Сервис подписи

Задача: Выполнение криптографических операций над ключами Пользователей DSS.
Регистрация криптопровайдеров является обязательной для работы Сервиса Подписи.

#Пример регистрации: 

Add-DssCryptoProvider -DisplayName <DisplayName > -TypeId GostWithMasterKey -ProviderType 80 -ProviderName "Crypto-Pro GOST R 34.10-2012 HSM Svc CSP"

Возможные значения параметров: 

1. TypeId:

• GOSTwithMasterKey - рекомендуемый. Ключи Пользователей хранятся в БД Сервиса Подписи, зашифрованные на мастер-ключ (МК), который хранится в HSM (или локально, если HSM не используется). Используются алгоритмы ГОСТ.
• RSAWithMasterKey – ключи Пользователей хранятся в БД Сервиса Подписи, зашифрованные на МК, который хранится в HSM (или локально, если HSM не используется). Используются алгоритмы RSA.
• Common - ключи Пользователей хранятся в HSM (или локально, если HSM не используется).
• Archive - для хранения резервных копий мобильных ключей пользователей (Документация).
• Lite - для хранения ключей пользователей на АРМ, съемных носителях и в мобильных приложениях на базе DSS SDK.

2. ProviderType: Документация

3. ProviderName: Название криптопровайдера (Crypto API)

Стандартные:
• HSM: "Crypto-Pro GOST R 34.10-2012 HSM Svc CSP" (Документация)
• Криптопро CSP (только для тестирования): "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"

4. <DisplayName >: имя приложения Сервиса Подписи.

Центр Идентификации (Опционально)

Задача: Используются для генерации QR-кодов и векторов аутентификации мобильных приложений на базе DSS SDK. Регистрация осуществляется путем добавления профиля криптопровайдеров.

Профиль представляет собой набор из двух криптопровайдеров с мастер-ключами, которые хранятся в КриптоПро HSM. Данный набор мастер-ключей используется для выработки ключей аутентификации DSS SDK и проверки кодов аутентификации.

#Пример регистрации: 

Add-DssCryptoProviderProfile -DisplayName <STSAppName> -Type MyDss -PrimaryProviderName "Crypto-Pro GOST R 34.10-2012 HSM Svc CSP" -PrimaryProviderType 80 -Name "New CryptoProfile for DSS SDK"

Возможные значения параметров: 

1. Type:
• MyDss - ключи аутентификации для мобильных устройств.

2. ProviderName: Название криптопровайдера (Crypto API)

Стандартные:
• HSM: "Crypto-Pro GOST R 34.10-2012 HSM Svc CSP" (Документация)
• Криптопро CSP (только для тестирования): "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"

3. ProviderType: Документация

4. <STSAppName>: имя приложения Центра Идентификации

Сервис Аудита (Опционально)

 Задача: Для контроля целостности записей аудита (Документация)

Срок жизни мастер ключей

При выборе режима хранения ключей в БД (Для сервиса подписи: GOSTwithMasterKey, RSAWithMasterKey, Для центра идентификации: Mydss) создается Мастер-ключ. Созданный Мастер-ключ имеет ограниченный срок жизни, по умолчанию равный 36 месяцам. По истечении срока действия Мастер-ключа должен быть создан новый Мастер-ключ, то есть зарегистрирован новый криптопровайдер.

Закрытые ключи Пользователей также имеют ограниченный срок действия, по умолчанию равный 15 месяцам. После окончания срока действия закрытый ключ Пользователя не может больше использоваться и должен быть удален.
На Рисунке отражено соотношение сроков действия Мастер-ключа и ключей Пользователей.

• Интервал А обозначает полный срок действия Мастер-ключа, по истечении которого Мастер-ключ удаляется.
• Интервал B обозначает период, в течение которого Мастер-ключ может использоваться для создания новых ключей Пользователей.
• Интервал С обозначает период, в течение которого Мастер-ключ не может использоваться для создания новых ключей Пользователей, так как в противном случае сроки действия ключей Пользователя превысили бы срок действия Мастер-ключа. В течение периода "C" Мастер-ключ используется только для работы с существующими ключами Пользователей.

Администратор КриптоПро DSS должен зарегистрировать новый криптопровайдер до наступления периода "C". В противном случае, создание новых ключей Пользователей, то есть выпуск новых сертификатов, станет невозможным (Докмуентация).

Добавление нового криптопровайдера рекомендуется выполнять заранее.
Пока старый провайдер не перейдет в Read-Only - новый и старый провайдер будут задействоваться DSS-ом для генерации ключей Пользователей по механизму "round-robin".
После того, как старый провайдер перейдет в Read-Only - ключи пользователей, которые были созданы на этом провайдере, можно будет продолжать использовать для подписи. Все новые ключи Пользователей будут создаваться на новом провайдере.

Пока на DSS хранятся действующие ключи Пользователей, не рекомендуется отключать или удалять криптопровайдер, а также мастер-ключ этого провайдера, так как созданные на нем ключи пользователей перестанут быть доступными.