Способ электронной подписи
Изобретение относится к средствам для защиты данных с использованием электронных подписей (ЭП). Технический результат заключается в повышении степени защиты ключа ЭП посредством ключа шифрования ключа ЭП при одновременном создании защищенного канала с двухсторонней аутентификацией по сертификатам. Устройство пользователя хранит ключ электронной подписи в зашифрованном виде. Сервер аутентификации хранит ключ шифрования ключа электронной подписи. По запросу сервера аутентификации программное приложение на устройстве пользователя устанавливает защищенное соединение устройства пользователя с сервером аутентификации с двухсторонней аутентификацией по сертификатам. Затем устройство пользователя получает от сервера аутентификации отображаемый программным приложением на экране устройства пользователя хэш документа, сравниваемый пользователем с хэшем документа, предоставленным ему ранее для ознакомления вместе с документом. При успешном сравнении и согласии подписать документ пользователь, используя интерфейс программного приложения на устройстве пользователя, направляет запрос на получение ключа шифрования серверу аутентификации. Используя ключ шифрования, программное приложение расшифровывает ключ подписи заявителя и формирует электронную подпись. 6 з.п. ф-лы, 1 ил.
Область техники
Изобретения относятся к способам защиты данных с использованием сертификатов или электронных подписей.
Предшествующий уровень техники
Известен, см. европейская патентная заявка ЕР 2582115 от 17.04.2013, способ электронной подписи документа, формируемой устройством пользователя, оснащенным программным приложением, после получения им от сервера аутентификации документа и хэша документа. Следует отметить, что в этом известном способе предусматривается использование мобильного телефона в качестве устройства пользователя для электронной подписи хэша документа. Этот известный способ является прототипом для заявленного способа электронной подписи.
Однако это известное техническое решение имеет низкую степень защиты ключа ЭП. На устранение этих недостатков и направлено заявленное изобретение.
Раскрытие изобретений
Техническим результатом, на достижение которого направлено заявленное изобретение, является повышение степени защиты ключа ЭП посредством ключа шифрования ключа ЭП при одновременном создании защищенного канала с двухсторонней аутентификацией по сертификатам. Для достижения этого технического результата операция по аутентификации пользователя и доступу к его ключу подписи, хранящемся на устройстве пользователя, в заявленном техническом решении разделена. В заявленном изобретении, сначала, сервер аутентификации производит аутентификацию пользователя по сообщению, полученному от устройства пользователя, в частности, от мобильного телефона пользователя в ответ, например, на push-уведомление, затем направляет пользователю хэш документа и сам документ, пользователь производит аутентификацию хэша документа и самого документа и только потом запрашивает с сервера аутентификации ключ шифрования к ключу электронной подписи (ЭП) пользователя.
Другим техническим результатом является повышение защищенности реализации электронной подписи документа при проникновении в сервер аутентификации или несанкционированном доступе к устройству пользователя из вне, поскольку ключ электронной подписи хранится в устройстве пользователя в зашифрованном виде, а ключ шифрования хранится на сервере аутентификации, в частности, зашифрованным паролем пользователя. Более того, предусмотрено два обмена сообщениями между мобильным телефоном пользователя и сервером аутентификации. Первый обмен сообщениями, инициируемый, например, push-уведомлением, происходит по защищенному каналу и позволяет произвести взаимную аутентификацию корреспондентов, а второй обмен сообщениями завершается направлением ключа шифрования устройству пользователя только после принятия решения пользователем, после ознакомления с документом и на основании сравнения хэшей документа полученных по разным каналам связи.
Дополнительным техническим результатом, достигаемым в заявленном изобретении, является использование одного устройства пользователя, в частности, мобильного телефона для ознакомления с документом, аутентификации этого документа и подписи этого документа.
Указанные технические результаты достигаются в способе электронной подписи документа, формируемой программным обеспечением, установленном на устройстве пользователя, хранящим ключ электронной подписи пользователя в зашифрованном виде, а ключ шифрования, который может быть симметричным или ассиметричным, хранится на сервере аутентификации, и может быть опционально, в свою очередь, тоже быть зашифрован,
например, паролем пользователя. При поступлении к нему документа, сервер аутентификации вычисляет хэш этого документа. Документ и его хэш предоставляются для ознакомления пользователю (варианты предоставления приведены ниже). По запросу сервера аутентификации программное приложение на устройстве пользователя устанавливает (само или по команде) защищенное соединение устройства пользователя с сервером аутентификации с двухсторонней аутентификацией по сертификатам, а затем устройство пользователя получает от сервера аутентификации, отображаемый программным приложением на экране устройства пользователя хэш документа, сравниваемый пользователем с хэшем документа, предоставленным ему ранее для ознакомления вместе с документом. При успешном сравнении и согласии подписать документ пользователь, используя интерфейс программного приложения на устройстве пользователя, направляет запрос на получение ключа шифрования серверу аутентификации, и, используя ключ шифрования, полученный (устройством пользователя) от сервера аутентификации, программное приложение расшифровывает ключ подписи заявителя и формирует электронную подпись, направляемую устройством пользователя серверу аутентификации.
Устройством пользователя может являться мобильный телефон с мобильным приложением, а уведомление, отправляемое сервером электронной подписи на мобильный телефон пользователя, может являться push-уведомлением, и пользователь открывает мобильное приложение, нажимая на push-уведомление, отображаемое на экране мобильного телефона. После открытия мобильного приложения пользователь может ввести пароль, тогда мобильное приложение сначала расшифровывает с использованием пароля ключ для создания защищенного канала, потом запрашивает ключ шифрования и расшифровывает его.
Для ознакомления пользователя сервер аутентификации, используя свой WEB интерфейс, может разместить документ, поступивший от внешнего (по отношению к устройствам пользователя и серверу аутентификации) или стороннего сервера, и хэш этого документа в сети Интернет, при этом браузер, используемый пользователем (установленный на оборудовании пользователя), может перенаправляться внешним сервером с программным обеспечением, которое использует программные интерфейсы интеграции (API - application programming interface) сервера аутентификации, по ссылке, предоставленной сервером аутентификации. При этом браузер может быть установлен или на устройстве с программным обеспечением, хранящим ключ электронной подписи пользователя в зашифрованном виде, или на другом устройстве пользователя, например, на мобильном телефоне пользователя.
Ссылка для ознакомления с документом и его хэшем в сети Интернет может не предоставляться сервером аутентификации внешнему или стороннему серверу, а пересылаться непосредственно на устройство пользоваться вместе с хэш документа после установки защищенного соединения устройства пользователя с сервером аутентификации с двухсторонней аутентификацией по сертификатам.
Сервер аутентификации может предоставлять документ и его хэш пользователю для ознакомления по электронной почте, адрес которой был указан при поступлении документа на сервер аутентификации.
Краткое описание чертежей
На фиг. 1 показан алгоритм реализации заявленного способа электронной подписи.
Варианты использования изобретений
Использование изобретений возможно, например, при подаче заявления на государственную регистрацию индивидуального предпринимателя или общества с ограниченной ответственностью.
Пользователь на сайте Автоматизированной Информационной Системы (далее АИС) в сети Интернет заполняет анкету и сервер АИС на основе данных пользователя создает документ "Заявление на регистрацию компании" и пересылает этот документ на сервер аутентификации,
где хранится ключ шифрования ключа электронной подписи пользователя, который хранится в мобильном приложении на телефоне пользователя.
Затем, сервер аутентификации:
- вычисляет хэш документа и используя свой WEB интерфейс размещает документ и его хэш в сети Интернет и возвращает в АИС ссылку, на которую сервер АИС перенаправляет браузер, установленный на компьютере пользователя (по этой ссылке пользователь знакомится с документом и его хэшем), и
- отправляет push-уведомление на мобильный телефон пользователя, оснащенный мобильным приложением, открываемым пользователем при нажиме на push-уведомление.
Затем пользователь, открыв мобильное приложение, вводит пароль и мобильное приложение:
- расшифровывает с использованием пароля, закрытый ключ для создания защищенного соединения,
- устанавливает защищенное соединение с сервером аутентификации с двухсторонней аутентификацией по сертификатам,
- получает от сервера аутентификации и отображает на экране телефона пользователя хэш подписываемого документа, который пользователь сравнивает с хэшем, отображаемым в браузере, установленном, например, на компьютере пользователя.
При успешном сравнении и согласии подписать документ пользователь инициирует отправку сообщения через интерфейс мобильного приложения, тогда мобильное приложение, используя защищенное соединение, запрашивает ключ шифрования с сервера аутентификации, получает его и расшифровывает им ключ ЭП, который хранится на мобильном телефоне пользователя. Мобильное приложение на мобильном телефоне пользователя формирует и направляет ЭП документа на сервер аутентификации, который сохраняет подпись и направляет ее в АИС, направляющий, в свою очередь, документ и ЭП к нему в Государственный орган регистрации предпринимателей и юридических лиц.
Другим примером реализации заявленного способа является его использование для подписания кредитного договора между банком и заемщиком.
Кредитный менеджер формирует и размещает договор кредитования между банком и заемщиком на сервере банка. Сервер банка отправляет договор кредитования на сервер аутентификации для подписания заемщиком и уполномоченным лицом банка и их адреса электронной почты. Сервер аутентификации вычисляет и направляет хэш договора вместе с договором кредитования для ознакомления и заемщику, и уполномоченному лицу банка по соответствующим адресам электронной почты.
И заемщик, и уполномоченное лицо банка получают push-уведомления на свои мобильные телефоны, открывают мобильные приложения и вводят свои пароли. И мобильное приложение на мобильных телефонах и заемщика, и уполномоченного лица банка:
- расшифровывает с использованием пароля ключ для создания защищенного канала,
- устанавливает защищенное соединение с сервером аутентификации с двухсторонней аутентификацией по сертификатам,
- получает от сервера аутентификации и отображает на экране телефона пользователя хэш договора кредитования, который пользователь сравнивает с хэшем, предоставленным ему по электронной почте.
При успешном сравнении и согласии подписать договор кредитования и заемщик и уполномоченное лицо банка инициируют отправку сообщения через интерфейс мобильного приложения, тогда мобильное приложение, используя защищенное соединение, запрашивает ключ шифрования с сервера аутентификации, получает его и расшифровывает им ключи ЭП, которые хранятся на мобильных телефонах, формирует и направляет подпись договора кредитования на сервер аутентификации, который сохраняет ЭП и передает ее на сервер банка, инициирующий перечисление средств в адрес заемщика.
Алгоритм реализации заявленного способа электронной подписи в обобщенном виде, изображенный на фиг. 1, включает следующие операции:
1. Ввод данных с компьютера пользователя в форму, хранимую на внешнем сервере, например, сервере АИС или сервере банка, как рассмотрено в примерах, приведенных выше.
2. Генерация внешним сервером документа для подписи.
3. Передача документа на подпись от внешнего сервера серверу аутентификации.
4. Запрос подписания документа сервером аутентификации у смартфона пользователя.
5. Ввод пользователем пароля.
6. Проверка пользователем отображенного документа.
7. Выражение пользователем согласия подписать документ, используя интерфейс смартфона, в простейшем случае - нажатие кнопки «Согласен».
8. Передача ключа расшифровки ключа ЭП от сервера аутентификации устройству пользователя.
9. Генерация ЭП на устройстве пользователя.
10. Получение ЭП сервером аутентификации и дальнейшая передача от сервера аутентификации внешнему серверу.
1. Способ электронной подписи документа, формируемой оснащенным программным приложением устройством пользователя после получения этим устройством документа и хэша документа от сервера аутентификации, отличающийся тем, что устройство пользователя хранит ключ электронной подписи в зашифрованном виде, а сервер аутентификации хранит ключ шифрования ключа электронной подписи, и по запросу сервера аутентификации программное приложение на устройстве пользователя устанавливает защищенное соединение устройства пользователя с сервером аутентификации с двухсторонней аутентификацией по сертификатам, а затем устройство пользователя получает от сервера аутентификации отображаемый программным приложением на экране устройства пользователя хэш документа, сравниваемый пользователем с хэшем документа, предоставленным ему ранее для ознакомления вместе с документом, при успешном сравнении и согласии подписать документ пользователь, используя интерфейс программного приложения на устройстве пользователя, направляет запрос на получение ключа шифрования серверу аутентификации и, используя ключ шифрования, полученный от сервера аутентификации, программное приложение расшифровывает ключ подписи заявителя и формирует электронную подпись, направляемую устройством пользователя серверу аутентификации.
2. Способ по п. 1, отличающийся тем, что устройством пользователя является мобильный телефон с мобильным приложением, а уведомление, отправляемое сервером электронной подписи на мобильный телефон пользователя, является push-уведомлением, и пользователь открывает мобильное приложение, нажимая на push-уведомление, отображаемое на экране мобильного телефона.
3. Способ по п. 2, отличающийся тем, что после открывания мобильного приложения пользователь вводит пароль, а мобильное приложение сначала расшифровывает с использованием пароля ключ для создания защищенного канала, потом запрашивает ключ шифрования и расшифровывает его.
4. Способ по п. 1, отличающийся тем, что для ознакомления пользователя сервер аутентификации, используя свой WEB интерфейс, размещает документ, поступивший от внешнего сервера, и хэш этого документа в сети Интернет, при этом браузер, используемый пользователем, перенаправляется внешним сервером по ссылке, предоставленной сервером аутентификации.
5. Способ по п. 4, отличающийся тем, что браузер установлен на мобильном телефоне пользователя.
6. Способ по п. 1, отличающийся тем, что сервер аутентификации предоставляет документ и его хэш пользователю для ознакомления по электронной почте, адрес которой был указан при поступлении документа на сервер аутентификации.
7. Способ по п. 1, отличающийся тем, что сервер аутентификации пересылает пользователю ссылку для ознакомления с документом и его хэшем в сети Интернет непосредственно на устройство пользователя вместе с хэшем документа после установки защищенного соединения устройства пользователя с сервером аутентификации с двухсторонней аутентификацией по сертификатам.
