RU2637991C1 - Method of electronic signature - Google Patents
Method of electronic signature Download PDFInfo
- Publication number
- RU2637991C1 RU2637991C1 RU2017112405A RU2017112405A RU2637991C1 RU 2637991 C1 RU2637991 C1 RU 2637991C1 RU 2017112405 A RU2017112405 A RU 2017112405A RU 2017112405 A RU2017112405 A RU 2017112405A RU 2637991 C1 RU2637991 C1 RU 2637991C1
- Authority
- RU
- Russia
- Prior art keywords
- user
- document
- electronic signature
- hash
- server
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
Область техникиTechnical field
Изобретение относится к способам защиты данных с использованием сертификатов или электронных подписей.The invention relates to methods for protecting data using certificates or electronic signatures.
Предшествующий уровень техникиState of the art
Известно использование мобильного телефона для электронной подписи (ЭП) хэша документа, поскольку размеры экрана мобильного телефона могут затруднять ознакомление пользователя с документом, например, публикация европейской патентной заявки ЕР 2582115 от 17.04.2013. Однако это известное техническое решение не предусматривает проверку подлинности документа, представленного на подпись.It is known to use a mobile phone for electronic signature (ES) of a document hash, since the screen sizes of a mobile phone can make it difficult for a user to familiarize themselves with a document, for example, the publication of European patent application EP 2582115 of 04.17.2013. However, this well-known technical solution does not provide for authentication of the document submitted for signature.
Из уровня техники известен патент США US 6453416 от 17.09.2002, в котором описан способ электронной подписи, формируемой сервером электронной подписи после получения им от устройства пользователя хэша документа и совпадения полученного хэша документа с хэшем документа вычисленным сервером электронной подписи.The prior art US patent US 6453416 from 09/17/2002, which describes the method of electronic signature generated by the electronic signature server after it receives a document hash from the user device and the received document hash matches the document hash computed by the electronic signature server.
Этот известный способ предусматривает идентификацию пользователя и его аутентификацию и является прототипом для заявленного способа электронной подписи.This known method provides for user identification and authentication and is a prototype for the claimed method of electronic signature.
Недостатком этого способа является то, что он не предусматривает аутентификации пользователем подписываемого документа и, соответственно, не обеспечивает неотказуемость пользователя от его поручения серверу ЭП подписать документ. На устранение этого недостатка и направлено заявленное изобретение.The disadvantage of this method is that it does not provide for authentication by the user of the signed document and, accordingly, does not ensure non-repudiation of the user from his instruction to the ES server to sign the document. To eliminate this drawback and directed the claimed invention.
Раскрытие изобретенийDisclosure of inventions
Техническим результатом, на достижение которого направлено заявленное изобретение, является реализация неотказуемости пользователя от его поручения серверу ЭП подписать документ, основанной на аутентификации и пользователя, и документа, подписываемого пользователем. Для достижения этого технического результата операция по аутентификации пользователя и получения его поручения подписать документ, предусмотренная в прототипе, в заявленном техническом решении разделена. В заявленном изобретении сначала сервер ЭП производит аутентификацию пользователя по сообщению, полученному от мобильного телефона пользователя в ответ на push-уведомление, затем направляет пользователю хэш документа и пользователь производит аутентификацию документа и только потом дает поручение серверу ЭП о подписи документа или отказывается от подписи.The technical result, to which the claimed invention is directed, is the implementation of the user's non-repudiation from his instruction to the ES server to sign a document based on the authentication of both the user and the document signed by the user. To achieve this technical result, the operation of authenticating the user and receiving his instructions to sign the document provided for in the prototype is divided in the claimed technical solution. In the claimed invention, the ES server first authenticates the user by a message received from the user's mobile phone in response to a push notification, then it sends the document hash to the user and the user authenticates the document, and only then instructs the ES server to sign the document or refuses to sign.
Другим техническим результатом является повышение защищенности реализации электронной подписи документа при проникновении в сервер электронной подписи извне, поскольку ключ электронной подписи хранится на сервере электронной подписи в зашифрованном виде, а ключ шифрования хранится в мобильном приложении на телефоне пользователя, причем зашифрован паролем пользователя. Более того, предусмотрены два обмена сообщениями между мобильным телефоном пользователя и сервером электронной подписи. Первый обмен сообщениями, инициируемый push-уведомлением, происходит по защищенному каналу и позволяет произвести взаимную аутентификацию корреспондентов, а второй обмен сообщениями завершается направлением ключа шифрования серверу электронной подписи только после принятия решения пользователем после ознакомления с документом и на основании сравнения хэшей документа, полученных по разным каналам связи.Another technical result is to increase the security of the electronic signature of the document when it enters the electronic signature server from the outside, since the electronic signature key is stored on the electronic signature server in encrypted form, and the encryption key is stored in the mobile application on the user's phone, and is encrypted with the user's password. Moreover, there are two messaging between the user's mobile phone and the electronic signature server. The first messaging initiated by push notification takes place over a secure channel and allows mutual authentication of correspondents, and the second messaging is completed by sending the encryption key to the electronic signature server only after the user makes a decision after reviewing the document and comparing the document hashes received for different communication channels.
Дополнительным техническим результатом, достигаемым в заявленном изобретении, является использование одного мобильного средства связи (мобильного телефона) и для ознакомления с документом, и для аутентификации этого документа, и для указания о подписи этого документа благодаря использованию в этих операциях различных каналов связи.An additional technical result achieved in the claimed invention is the use of one mobile means of communication (mobile phone) and to familiarize yourself with the document, and to authenticate this document, and to indicate the signature of this document due to the use of various communication channels in these operations.
Указанные технические результаты достигаются в способе электронной подписи документа, формируемой сервером электронной подписи, хранящим ключ электронной подписи пользователя в зашифрованном виде, а ключ шифрования, который может быть симметричным или асимметричным, хранится в мобильном приложении, установленном на телефоне пользователя, и может быть опционально в свою очередь тоже быть зашифрован, например, паролем пользователя. В соответствии с заявленным способом при поступлении документа сервер электронной подписи вычисляет хэш этого документа, предоставляет документ и его хэш для ознакомления пользователя и отправляет уведомление, например push-уведомление на телефон пользователя, оснащенный мобильным приложением, открываемым пользователем, в частности при нажиме на push-уведомление, затем пользователь, открыв мобильное приложение, может ввести пароль, если он предусмотрен, и мобильное приложение:The indicated technical results are achieved in the method of electronic signature of a document generated by the electronic signature server that stores the user’s electronic signature key in encrypted form, and the encryption key, which may be symmetric or asymmetric, is stored in the mobile application installed on the user's phone and can be optionally turn also be encrypted, for example, with a user password. In accordance with the claimed method, upon receipt of a document, the electronic signature server calculates the hash of this document, provides the document and its hash for familiarization with the user, and sends a notification, for example, a push notification to the user's phone equipped with a mobile application opened by the user, in particular by pressing push- notification, then the user, opening the mobile application, can enter the password, if one is provided, and the mobile application:
- если предусмотрен пароль, расшифровывает с использованием пароля ключ для создания защищенного канала (например, TLS) и ключ шифрования,- if a password is provided, decrypts the key to create a secure channel (for example, TLS) and the encryption key using a password,
- устанавливает защищенное соединение с сервером электронной подписи с двухсторонней аутентификацией по сертификатам,- establishes a secure connection with an electronic signature server with two-way certificate authentication,
- получает от сервера электронной подписи и отображает на экране телефона пользователя хэш подписываемого документа, который пользователь сравнивает с хэшем, отображаемым в браузере, установленном на оборудовании пользователя, и- receives the electronic signature from the server and displays the hash of the signed document on the user's phone screen, which the user compares with the hash displayed in a browser installed on the user's equipment, and
при успешном сравнении и согласии подписать документ пользователь инициирует отправку сообщения через интерфейс мобильного приложения, тогда:upon successful comparison and consent to sign the document, the user initiates sending a message through the mobile application interface, then:
- мобильное приложение по защищенному соединению отправляет хэш документа и ключ шифрования на сервер электронной подписи,- a mobile application sends a hash of a document and an encryption key to a digital signature server over a secure connection,
- полученный хэш документа сервер электронной подписи сравнивает с хэшем документа, вычисленным им ранее, при их совпадении используя ключ шифрования, полученный от мобильного приложения, установленного на телефоне пользователя, расшифровывает подпись заявителя, формирует и возвращает подпись хэш документа.- the electronic signature server compares the received document hash with the document hash computed by him earlier, if they match, using the encryption key received from the mobile application installed on the user's phone, decrypts the applicant’s signature, generates and returns the hash of the document.
Для ознакомления пользователя сервер электронной подписи, используя свой WEB интерфейс, может размещать документ и его хэш в сети Интернет, при этом браузер, установленный на оборудовании пользователя, перенаправляется отправителем документа - сервером с программным обеспечением, которое использует программные интерфейсы интеграции (API) application programming interface) сервера ЭП, по ссылке, предоставленной сервером электронной подписи.To familiarize the user, the electronic signature server, using its WEB interface, can place the document and its hash on the Internet, while the browser installed on the user's equipment is redirected by the document sender - a server with software that uses application programming interfaces (API) application programming interface) of the ES server, by the link provided by the electronic signature server.
Также возможен вариант, когда ссылка не предоставляется Сервером ЭП, а происходит сразу передача push-уведомления на телефон пользователя. В этом случае пользователь ознакамливается с документом только на своем телефоне. Браузер может быть установлен на телефоне пользователя.It is also possible that the link is not provided by the ES Server, but the push notification is immediately transmitted to the user's phone. In this case, the user is familiarized with the document only on his phone. The browser can be installed on the user's phone.
Сервер электронной подписи может предоставлять документ и его хэш пользователю для ознакомления по электронной почте, адрес которой может быть указан в сообщении при поступлении документа на сервер электронной подписи.The electronic signature server can provide the document and its hash to the user for review by e-mail, the address of which can be indicated in the message when the document arrives at the electronic signature server.
Мобильное приложение может содержать зашифрованные паролем пользователя ключ для создания защищенного канала (например, TLS) и ключ шифрования.A mobile application may contain a user-encrypted key for creating a secure channel (for example, TLS) and an encryption key.
Краткое описание чертежейBrief Description of the Drawings
На чертеже показан алгоритм реализации заявленного способа электронной подписи.The drawing shows an algorithm for implementing the claimed method of electronic signature.
Варианты использования изобретенийUse cases of inventions
Использование изобретений, например, возможно при подаче заявления на государственную регистрацию индивидуального предпринимателя или общества с ограниченной ответственностью.The use of inventions, for example, is possible when applying for state registration of an individual entrepreneur or limited liability company.
Пользователь на сайте Автоматизированной Информационной Системы (далее АИС) в сети Интернет заполняет анкету и АИС на основе данных пользователя создает документ "Заявление на регистрацию компании" и пересылает этот документ на сервер электронной подписи, где хранится ключ электронной подписи пользователя, зашифрованный ключом, хранящимся в мобильном приложении на телефоне пользователя.A user on the site of the Automated Information System (hereinafter AIS) on the Internet fills out a questionnaire and AIS on the basis of user data creates a document "Application for company registration" and sends this document to the electronic signature server, which stores the electronic signature key of the user, encrypted with the key stored in mobile application on the user's phone.
Затем сервер электронной подписи:Then the electronic signature server:
- вычисляет хэш документа и, используя свой WEB интерфейс, размещает документ и его хэш в сети Интернет и возвращает в АИС ссылку, на которую АИС перенаправляет браузер, установленный на компьютере пользователя (по этой ссылке пользователь ознакамливается с документом и его хэшем), и- calculates the hash of the document and, using its WEB interface, places the document and its hash on the Internet and returns to AIS a link to which AIS redirects the browser installed on the user's computer (this link allows the user to familiarize himself with the document and its hash), and
- отправляет push-уведомление на телефон пользователя, оснащенный мобильным приложением, открываемым пользователем при нажиме на push-уведомление.- sends a push notification to a user's phone equipped with a mobile application that the user opens when clicking on a push notification.
Затем пользователь, открыв мобильное приложение, вводит пароль и мобильное приложение:Then the user, having opened the mobile application, enters the password and the mobile application:
- расшифровывает с использованием пароля закрытый ключ для создания защищенного соединения и ключ шифрования,- decrypts using the password the private key to create a secure connection and the encryption key,
- устанавливает защищенное соединение с сервером электронной подписи с двухсторонней аутентификацией по сертификатам,- establishes a secure connection with an electronic signature server with two-way certificate authentication,
- получает от сервера электронной подписи и отображает на экране телефона пользователя хэш подписываемого документа, который пользователь сравнивает с хэшем, отображаемым в браузере, установленном на компьютере пользователя.- receives the electronic signature from the server and displays the hash of the signed document on the user's phone screen, which the user compares with the hash displayed in the browser installed on the user's computer.
При успешном сравнении и согласии подписать документ пользователь инициирует отправку сообщения через интерфейс мобильного приложения, тогда мобильное приложение, используя защищенное соединение, отправляет хэш документа и ключ шифрования на сервер электронной подписи, а сервер электронной подписи сравнивает полученный хэш документа с хэшем документа, вычисленным им ранее, и при их совпадении, используя ключ шифрования, полученный от мобильного приложения, установленного на телефоне пользователя, расшифровывает ключ электронной подписи заявителя, формирует и возвращает подпись документа в АИС, который отправляет документ и электронную подпись к нему в Государственный орган регистрации предпринимателей и юридических лиц.Upon successful comparison and consent to sign the document, the user initiates sending a message via the mobile application interface, then the mobile application sends the document hash and encryption key to the electronic signature server using the secure connection, and the electronic signature server compares the received document hash with the document hash calculated earlier , and if they match, using the encryption key received from the mobile application installed on the user's phone, decrypts the key electronically pisi applicant generates and returns a signed document in the AIS, which sends the document and electronic signature to it in the body of state registration of legal entities and entrepreneurs.
Другим примером является использование изобретения для подписания кредитного договора между банком и заемщиком. Кредитный менеджер формирует и размещает договор кредитования между банком и заемщиком на сервере банка. Сервер банка отправляет договор кредитования на Сервер электронной подписи 2 раза - для подписания заемщиком и уполномоченным лицом банка и каждый раз получает ссылку для подписания договора кредитования, которая предоставляется вместе с договором, соответственно, заемщику и уполномоченному лицу банка, например, по электронной почте. Каждый раз один из них получает push-уведомление, открывает мобильное приложение, вводит пароль и мобильное приложение:Another example is the use of the invention to sign a loan agreement between a bank and a borrower. The loan manager generates and places a loan agreement between the bank and the borrower on the bank's server. The bank server sends the loan agreement to the Electronic Signature Server 2 times - for signing by the borrower and the authorized person of the bank and each time receives a link for signing the loan agreement, which is provided together with the agreement, respectively, to the borrower and the authorized person of the bank, for example, by e-mail. Each time one of them receives a push notification, opens a mobile application, enters a password and a mobile application:
- расшифровывает с использованием пароля ключ для создания защищенного канала и ключ шифрования,- decrypts using a password a key to create a secure channel and an encryption key,
- устанавливает защищенное соединение с сервером электронной подписи с двухсторонней аутентификацией по сертификатам,- establishes a secure connection with an electronic signature server with two-way certificate authentication,
- получает от сервера электронной подписи и отображает на экране телефона пользователя хэш договора кредитования, который пользователь сравнивает с хэшем, предоставленным ему сервером банка.- receives the electronic signature from the server and displays the hash of the loan agreement on the user's phone screen, which the user compares with the hash provided to him by the bank server.
При успешном сравнении и согласии подписать договор кредитования и заемщик, и уполномоченное лицо банка инициируют отправку сообщения через интерфейс мобильного приложения, тогда мобильное приложение, используя защищенный канал, отправляет хэш договора кредитования и ключ шифрования на сервер электронной подписи, а сервер электронной подписи сравнивает полученный хэш договора кредитования с хэшем договора кредитования, вычисленным им ранее, и при их совпадении, используя ключ шифрования, полученный от мобильного приложения, установленного на телефоне пользователя, расшифровывает подпись заявителя, формирует и возвращает подпись хэша договора кредитования на сервер банка, который отдает команду на перечисление средств в адрес заемщика.Upon successful comparison and agreement to sign a loan agreement, both the borrower and the authorized person of the bank initiate sending a message through the mobile application interface, then the mobile application sends the hash of the loan agreement and encryption key to the electronic signature server using the secure channel, and the electronic signature server compares the received hash the loan agreement with the hash of the loan agreement calculated by him earlier, and if they match, using the encryption key received from the mobile application, set ennogo on the user's phone decrypts the signature of the applicant, forms and returns a hash signature of a loan agreement on the bank's server, which instructs to transfer funds to the borrower.
Алгоритм реализации заявленного способа электронной подписи в обобщенном виде, изображенный начертеже, включает следующие операции:The algorithm for implementing the claimed method of electronic signature in a generalized form, shown in the drawing, includes the following operations:
1. Ввод данных с компьютера пользователя в форму, хранимую на сервере прикладного программного обеспечения (ПО).1. Entering data from the user's computer into a form stored on the application software server (software).
2. Генерация сервером прикладного ПО документа для подписи.2. Generation by the application server of a document for signature.
3. Передача документа на подпись от сервера прикладного ПО серверу подписи.3. Transfer of the document for signature from the application server to the signature server.
4. Запрос подписания документа сервером подписи у смартфона пользователя.4. A request for a document to be signed by a signature server from a user's smartphone.
5. Ввод пользователем пароля.5. User input password.
6. Проверка пользователем отображенного документа.6. Verification by the user of the displayed document.
7. Выражение пользователем согласия подписать документ, используя интерфейс смартфона, в простейшем случае - нажатие кнопки «Согласен».7. Expression by the user of consent to sign the document using the smartphone interface, in the simplest case, by clicking the "Agree" button.
8. Передача ключа расшифровки ключа подписи от смартфона серверу подписи.8. Transfer of the decryption key of the signature key from the smartphone to the signature server.
9. Генерация подписи сервером подписи.9. Signature generation by the signature server.
10. Возврат подписи от сервера подписи серверу прикладного ПО.10. Returning the signature from the signature server to the application server.
Claims (6)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017112405A RU2637991C1 (en) | 2017-04-12 | 2017-04-12 | Method of electronic signature |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017112405A RU2637991C1 (en) | 2017-04-12 | 2017-04-12 | Method of electronic signature |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2637991C1 true RU2637991C1 (en) | 2017-12-08 |
Family
ID=60581498
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2017112405A RU2637991C1 (en) | 2017-04-12 | 2017-04-12 | Method of electronic signature |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2637991C1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6453416B1 (en) * | 1997-12-19 | 2002-09-17 | Koninklijke Philips Electronics N.V. | Secure proxy signing device and method of use |
RU110850U1 (en) * | 2011-04-11 | 2011-11-27 | Фёдор Владимирович Феоктистов | DEVICE OF UNIVERSAL DIGITAL KEY WITH REMOTE AUTHORIZATION BY BIOMETRIC PARAMETERS |
EP2582115A1 (en) * | 2011-10-10 | 2013-04-17 | Itside S.r.l. | A qualified electronic signature system, associated method and mobile phone device for a qualified electronic signature |
RU2504005C2 (en) * | 2007-12-20 | 2014-01-10 | Конинклейке Филипс Электроникс Н.В. | Digital rights management apparatus and method |
-
2017
- 2017-04-12 RU RU2017112405A patent/RU2637991C1/en active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6453416B1 (en) * | 1997-12-19 | 2002-09-17 | Koninklijke Philips Electronics N.V. | Secure proxy signing device and method of use |
RU2504005C2 (en) * | 2007-12-20 | 2014-01-10 | Конинклейке Филипс Электроникс Н.В. | Digital rights management apparatus and method |
RU110850U1 (en) * | 2011-04-11 | 2011-11-27 | Фёдор Владимирович Феоктистов | DEVICE OF UNIVERSAL DIGITAL KEY WITH REMOTE AUTHORIZATION BY BIOMETRIC PARAMETERS |
EP2582115A1 (en) * | 2011-10-10 | 2013-04-17 | Itside S.r.l. | A qualified electronic signature system, associated method and mobile phone device for a qualified electronic signature |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11695782B2 (en) | Electronic interaction authentication and verification, and related systems, devices, and methods | |
EP3175578B1 (en) | System and method for establishing trust using secure transmission protocols | |
ES2687191T3 (en) | Network authentication method for secure electronic transactions | |
US9838205B2 (en) | Network authentication method for secure electronic transactions | |
US8533482B2 (en) | Method for generating a key pair and transmitting a public key or request file of a certificate in security | |
US9692752B2 (en) | Ensuring information security using one-time tokens | |
CN107040513B (en) | Trusted access authentication processing method, user terminal and server | |
US20190229929A1 (en) | Production of cryptographic signatures | |
US20100042848A1 (en) | Personalized I/O Device as Trusted Data Source | |
CN112637131A (en) | User identity authentication method, device, equipment and storage medium | |
AU2016211551A1 (en) | Methods for secure credential provisioning | |
KR20170043520A (en) | System and method for implementing a one-time-password using asymmetric cryptography | |
WO2014107977A1 (en) | Key protection method and system | |
JP2008507892A (en) | System and method for implementing a digital signature using a one-time private key | |
US20110179478A1 (en) | Method for secure transmission of sensitive data utilizing network communications and for one time passcode and multi-factor authentication | |
WO2015161689A1 (en) | Data processing method based on negotiation key | |
US10091189B2 (en) | Secured data channel authentication implying a shared secret | |
US6910129B1 (en) | Remote authentication based on exchanging signals representing biometrics information | |
JP2015192446A (en) | Program, cipher processing method, and cipher processing device | |
WO2015158228A1 (en) | Server, user equipment, and method for user equipment to interact with server | |
CN107735788B (en) | Automatically provisioning devices to access accounts | |
US8452966B1 (en) | Methods and apparatus for verifying a purported user identity | |
CN113205342A (en) | User identity authentication method and device based on multi-terminal payment | |
WO2020101471A1 (en) | Secure framework for transaction signing | |
RU2699830C2 (en) | Electronic signature method |