RU2699830C2 - Способ электронной подписи - Google Patents

Способ электронной подписи Download PDF

Info

Publication number
RU2699830C2
RU2699830C2 RU2017132969A RU2017132969A RU2699830C2 RU 2699830 C2 RU2699830 C2 RU 2699830C2 RU 2017132969 A RU2017132969 A RU 2017132969A RU 2017132969 A RU2017132969 A RU 2017132969A RU 2699830 C2 RU2699830 C2 RU 2699830C2
Authority
RU
Russia
Prior art keywords
user
document
authentication server
hash
key
Prior art date
Application number
RU2017132969A
Other languages
English (en)
Other versions
RU2017132969A3 (ru
RU2017132969A (ru
Inventor
Александр Борисович Кофанов
Original Assignee
Общество с ограниченной ответственностью "СМ"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "СМ" filed Critical Общество с ограниченной ответственностью "СМ"
Priority to RU2017132969A priority Critical patent/RU2699830C2/ru
Publication of RU2017132969A publication Critical patent/RU2017132969A/ru
Publication of RU2017132969A3 publication Critical patent/RU2017132969A3/ru
Application granted granted Critical
Publication of RU2699830C2 publication Critical patent/RU2699830C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Изобретение относится к средствам для защиты данных с использованием электронных подписей (ЭП). Технический результат заключается в повышении степени защиты ключа ЭП посредством ключа шифрования ключа ЭП при одновременном создании защищенного канала с двухсторонней аутентификацией по сертификатам. Устройство пользователя хранит ключ электронной подписи в зашифрованном виде. Сервер аутентификации хранит ключ шифрования ключа электронной подписи. По запросу сервера аутентификации программное приложение на устройстве пользователя устанавливает защищенное соединение устройства пользователя с сервером аутентификации с двухсторонней аутентификацией по сертификатам. Затем устройство пользователя получает от сервера аутентификации отображаемый программным приложением на экране устройства пользователя хэш документа, сравниваемый пользователем с хэшем документа, предоставленным ему ранее для ознакомления вместе с документом. При успешном сравнении и согласии подписать документ пользователь, используя интерфейс программного приложения на устройстве пользователя, направляет запрос на получение ключа шифрования серверу аутентификации. Используя ключ шифрования, программное приложение расшифровывает ключ подписи заявителя и формирует электронную подпись. 6 з.п. ф-лы, 1 ил.

Description

Область техники
Изобретения относятся к способам защиты данных с использованием сертификатов или электронных подписей.
Предшествующий уровень техники
Известен, см. европейская патентная заявка ЕР 2582115 от 17.04.2013, способ электронной подписи документа, формируемой устройством пользователя, оснащенным программным приложением, после получения им от сервера аутентификации документа и хэша документа. Следует отметить, что в этом известном способе предусматривается использование мобильного телефона в качестве устройства пользователя для электронной подписи хэша документа. Этот известный способ является прототипом для заявленного способа электронной подписи.
Однако это известное техническое решение имеет низкую степень защиты ключа ЭП. На устранение этих недостатков и направлено заявленное изобретение.
Раскрытие изобретений
Техническим результатом, на достижение которого направлено заявленное изобретение, является повышение степени защиты ключа ЭП посредством ключа шифрования ключа ЭП при одновременном создании защищенного канала с двухсторонней аутентификацией по сертификатам. Для достижения этого технического результата операция по аутентификации пользователя и доступу к его ключу подписи, хранящемся на устройстве пользователя, в заявленном техническом решении разделена. В заявленном изобретении, сначала, сервер аутентификации производит аутентификацию пользователя по сообщению, полученному от устройства пользователя, в частности, от мобильного телефона пользователя в ответ, например, на push-уведомление, затем направляет пользователю хэш документа и сам документ, пользователь производит аутентификацию хэша документа и самого документа и только потом запрашивает с сервера аутентификации ключ шифрования к ключу электронной подписи (ЭП) пользователя.
Другим техническим результатом является повышение защищенности реализации электронной подписи документа при проникновении в сервер аутентификации или несанкционированном доступе к устройству пользователя из вне, поскольку ключ электронной подписи хранится в устройстве пользователя в зашифрованном виде, а ключ шифрования хранится на сервере аутентификации, в частности, зашифрованным паролем пользователя. Более того, предусмотрено два обмена сообщениями между мобильным телефоном пользователя и сервером аутентификации. Первый обмен сообщениями, инициируемый, например, push-уведомлением, происходит по защищенному каналу и позволяет произвести взаимную аутентификацию корреспондентов, а второй обмен сообщениями завершается направлением ключа шифрования устройству пользователя только после принятия решения пользователем, после ознакомления с документом и на основании сравнения хэшей документа полученных по разным каналам связи.
Дополнительным техническим результатом, достигаемым в заявленном изобретении, является использование одного устройства пользователя, в частности, мобильного телефона для ознакомления с документом, аутентификации этого документа и подписи этого документа.
Указанные технические результаты достигаются в способе электронной подписи документа, формируемой программным обеспечением, установленном на устройстве пользователя, хранящим ключ электронной подписи пользователя в зашифрованном виде, а ключ шифрования, который может быть симметричным или ассиметричным, хранится на сервере аутентификации, и может быть опционально, в свою очередь, тоже быть зашифрован,
например, паролем пользователя. При поступлении к нему документа, сервер аутентификации вычисляет хэш этого документа. Документ и его хэш предоставляются для ознакомления пользователю (варианты предоставления приведены ниже). По запросу сервера аутентификации программное приложение на устройстве пользователя устанавливает (само или по команде) защищенное соединение устройства пользователя с сервером аутентификации с двухсторонней аутентификацией по сертификатам, а затем устройство пользователя получает от сервера аутентификации, отображаемый программным приложением на экране устройства пользователя хэш документа, сравниваемый пользователем с хэшем документа, предоставленным ему ранее для ознакомления вместе с документом. При успешном сравнении и согласии подписать документ пользователь, используя интерфейс программного приложения на устройстве пользователя, направляет запрос на получение ключа шифрования серверу аутентификации, и, используя ключ шифрования, полученный (устройством пользователя) от сервера аутентификации, программное приложение расшифровывает ключ подписи заявителя и формирует электронную подпись, направляемую устройством пользователя серверу аутентификации.
Устройством пользователя может являться мобильный телефон с мобильным приложением, а уведомление, отправляемое сервером электронной подписи на мобильный телефон пользователя, может являться push-уведомлением, и пользователь открывает мобильное приложение, нажимая на push-уведомление, отображаемое на экране мобильного телефона. После открытия мобильного приложения пользователь может ввести пароль, тогда мобильное приложение сначала расшифровывает с использованием пароля ключ для создания защищенного канала, потом запрашивает ключ шифрования и расшифровывает его.
Для ознакомления пользователя сервер аутентификации, используя свой WEB интерфейс, может разместить документ, поступивший от внешнего (по отношению к устройствам пользователя и серверу аутентификации) или стороннего сервера, и хэш этого документа в сети Интернет, при этом браузер, используемый пользователем (установленный на оборудовании пользователя), может перенаправляться внешним сервером с программным обеспечением, которое использует программные интерфейсы интеграции (API - application programming interface) сервера аутентификации, по ссылке, предоставленной сервером аутентификации. При этом браузер может быть установлен или на устройстве с программным обеспечением, хранящим ключ электронной подписи пользователя в зашифрованном виде, или на другом устройстве пользователя, например, на мобильном телефоне пользователя.
Ссылка для ознакомления с документом и его хэшем в сети Интернет может не предоставляться сервером аутентификации внешнему или стороннему серверу, а пересылаться непосредственно на устройство пользоваться вместе с хэш документа после установки защищенного соединения устройства пользователя с сервером аутентификации с двухсторонней аутентификацией по сертификатам.
Сервер аутентификации может предоставлять документ и его хэш пользователю для ознакомления по электронной почте, адрес которой был указан при поступлении документа на сервер аутентификации.
Краткое описание чертежей
На фиг. 1 показан алгоритм реализации заявленного способа электронной подписи.
Варианты использования изобретений
Использование изобретений возможно, например, при подаче заявления на государственную регистрацию индивидуального предпринимателя или общества с ограниченной ответственностью.
Пользователь на сайте Автоматизированной Информационной Системы (далее АИС) в сети Интернет заполняет анкету и сервер АИС на основе данных пользователя создает документ "Заявление на регистрацию компании" и пересылает этот документ на сервер аутентификации,
где хранится ключ шифрования ключа электронной подписи пользователя, который хранится в мобильном приложении на телефоне пользователя.
Затем, сервер аутентификации:
- вычисляет хэш документа и используя свой WEB интерфейс размещает документ и его хэш в сети Интернет и возвращает в АИС ссылку, на которую сервер АИС перенаправляет браузер, установленный на компьютере пользователя (по этой ссылке пользователь знакомится с документом и его хэшем), и
- отправляет push-уведомление на мобильный телефон пользователя, оснащенный мобильным приложением, открываемым пользователем при нажиме на push-уведомление.
Затем пользователь, открыв мобильное приложение, вводит пароль и мобильное приложение:
- расшифровывает с использованием пароля, закрытый ключ для создания защищенного соединения,
- устанавливает защищенное соединение с сервером аутентификации с двухсторонней аутентификацией по сертификатам,
- получает от сервера аутентификации и отображает на экране телефона пользователя хэш подписываемого документа, который пользователь сравнивает с хэшем, отображаемым в браузере, установленном, например, на компьютере пользователя.
При успешном сравнении и согласии подписать документ пользователь инициирует отправку сообщения через интерфейс мобильного приложения, тогда мобильное приложение, используя защищенное соединение, запрашивает ключ шифрования с сервера аутентификации, получает его и расшифровывает им ключ ЭП, который хранится на мобильном телефоне пользователя. Мобильное приложение на мобильном телефоне пользователя формирует и направляет ЭП документа на сервер аутентификации, который сохраняет подпись и направляет ее в АИС, направляющий, в свою очередь, документ и ЭП к нему в Государственный орган регистрации предпринимателей и юридических лиц.
Другим примером реализации заявленного способа является его использование для подписания кредитного договора между банком и заемщиком.
Кредитный менеджер формирует и размещает договор кредитования между банком и заемщиком на сервере банка. Сервер банка отправляет договор кредитования на сервер аутентификации для подписания заемщиком и уполномоченным лицом банка и их адреса электронной почты. Сервер аутентификации вычисляет и направляет хэш договора вместе с договором кредитования для ознакомления и заемщику, и уполномоченному лицу банка по соответствующим адресам электронной почты.
И заемщик, и уполномоченное лицо банка получают push-уведомления на свои мобильные телефоны, открывают мобильные приложения и вводят свои пароли. И мобильное приложение на мобильных телефонах и заемщика, и уполномоченного лица банка:
- расшифровывает с использованием пароля ключ для создания защищенного канала,
- устанавливает защищенное соединение с сервером аутентификации с двухсторонней аутентификацией по сертификатам,
- получает от сервера аутентификации и отображает на экране телефона пользователя хэш договора кредитования, который пользователь сравнивает с хэшем, предоставленным ему по электронной почте.
При успешном сравнении и согласии подписать договор кредитования и заемщик и уполномоченное лицо банка инициируют отправку сообщения через интерфейс мобильного приложения, тогда мобильное приложение, используя защищенное соединение, запрашивает ключ шифрования с сервера аутентификации, получает его и расшифровывает им ключи ЭП, которые хранятся на мобильных телефонах, формирует и направляет подпись договора кредитования на сервер аутентификации, который сохраняет ЭП и передает ее на сервер банка, инициирующий перечисление средств в адрес заемщика.
Алгоритм реализации заявленного способа электронной подписи в обобщенном виде, изображенный на фиг. 1, включает следующие операции:
1. Ввод данных с компьютера пользователя в форму, хранимую на внешнем сервере, например, сервере АИС или сервере банка, как рассмотрено в примерах, приведенных выше.
2. Генерация внешним сервером документа для подписи.
3. Передача документа на подпись от внешнего сервера серверу аутентификации.
4. Запрос подписания документа сервером аутентификации у смартфона пользователя.
5. Ввод пользователем пароля.
6. Проверка пользователем отображенного документа.
7. Выражение пользователем согласия подписать документ, используя интерфейс смартфона, в простейшем случае - нажатие кнопки «Согласен».
8. Передача ключа расшифровки ключа ЭП от сервера аутентификации устройству пользователя.
9. Генерация ЭП на устройстве пользователя.
10. Получение ЭП сервером аутентификации и дальнейшая передача от сервера аутентификации внешнему серверу.

Claims (7)

1. Способ электронной подписи документа, формируемой оснащенным программным приложением устройством пользователя после получения этим устройством документа и хэша документа от сервера аутентификации, отличающийся тем, что устройство пользователя хранит ключ электронной подписи в зашифрованном виде, а сервер аутентификации хранит ключ шифрования ключа электронной подписи, и по запросу сервера аутентификации программное приложение на устройстве пользователя устанавливает защищенное соединение устройства пользователя с сервером аутентификации с двухсторонней аутентификацией по сертификатам, а затем устройство пользователя получает от сервера аутентификации отображаемый программным приложением на экране устройства пользователя хэш документа, сравниваемый пользователем с хэшем документа, предоставленным ему ранее для ознакомления вместе с документом, при успешном сравнении и согласии подписать документ пользователь, используя интерфейс программного приложения на устройстве пользователя, направляет запрос на получение ключа шифрования серверу аутентификации и, используя ключ шифрования, полученный от сервера аутентификации, программное приложение расшифровывает ключ подписи заявителя и формирует электронную подпись, направляемую устройством пользователя серверу аутентификации.
2. Способ по п. 1, отличающийся тем, что устройством пользователя является мобильный телефон с мобильным приложением, а уведомление, отправляемое сервером электронной подписи на мобильный телефон пользователя, является push-уведомлением, и пользователь открывает мобильное приложение, нажимая на push-уведомление, отображаемое на экране мобильного телефона.
3. Способ по п. 2, отличающийся тем, что после открывания мобильного приложения пользователь вводит пароль, а мобильное приложение сначала расшифровывает с использованием пароля ключ для создания защищенного канала, потом запрашивает ключ шифрования и расшифровывает его.
4. Способ по п. 1, отличающийся тем, что для ознакомления пользователя сервер аутентификации, используя свой WEB интерфейс, размещает документ, поступивший от внешнего сервера, и хэш этого документа в сети Интернет, при этом браузер, используемый пользователем, перенаправляется внешним сервером по ссылке, предоставленной сервером аутентификации.
5. Способ по п. 4, отличающийся тем, что браузер установлен на мобильном телефоне пользователя.
6. Способ по п. 1, отличающийся тем, что сервер аутентификации предоставляет документ и его хэш пользователю для ознакомления по электронной почте, адрес которой был указан при поступлении документа на сервер аутентификации.
7. Способ по п. 1, отличающийся тем, что сервер аутентификации пересылает пользователю ссылку для ознакомления с документом и его хэшем в сети Интернет непосредственно на устройство пользователя вместе с хэшем документа после установки защищенного соединения устройства пользователя с сервером аутентификации с двухсторонней аутентификацией по сертификатам.
RU2017132969A 2017-09-21 2017-09-21 Способ электронной подписи RU2699830C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2017132969A RU2699830C2 (ru) 2017-09-21 2017-09-21 Способ электронной подписи

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017132969A RU2699830C2 (ru) 2017-09-21 2017-09-21 Способ электронной подписи

Publications (3)

Publication Number Publication Date
RU2017132969A RU2017132969A (ru) 2019-03-21
RU2017132969A3 RU2017132969A3 (ru) 2019-04-24
RU2699830C2 true RU2699830C2 (ru) 2019-09-11

Family

ID=65858469

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017132969A RU2699830C2 (ru) 2017-09-21 2017-09-21 Способ электронной подписи

Country Status (1)

Country Link
RU (1) RU2699830C2 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2759249C1 (ru) * 2021-02-20 2021-11-11 Илья Иосифович Лившиц Вычислительное устройство для осуществления трансграничного электронного документооборота (варианты) и способ осуществления трансграничного электронного документооборота

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6411716B1 (en) * 1995-06-05 2002-06-25 Certco, Inc. Method of changing key fragments in a multi-step digital signature system
US20030135740A1 (en) * 2000-09-11 2003-07-17 Eli Talmor Biometric-based system and method for enabling authentication of electronic messages sent over a network
US6647493B1 (en) * 1998-03-06 2003-11-11 Stmicroelectronics S.R.L. Method and system for authentication and electronic signature
US7039805B1 (en) * 1998-05-20 2006-05-02 Messing John H Electronic signature method
US20070136800A1 (en) * 2005-12-13 2007-06-14 Microsoft Corporation Two-way authentication using a combined code
RU2325767C1 (ru) * 2006-11-02 2008-05-27 Николай Андреевич Молдовян Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ
RU2409903C2 (ru) * 2007-07-30 2011-01-20 Николай Андреевич Молдовян Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ
US20130332723A1 (en) * 2012-05-23 2013-12-12 Box, Inc. Systems and methods for secure file portability between mobile applications on a mobile device

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6411716B1 (en) * 1995-06-05 2002-06-25 Certco, Inc. Method of changing key fragments in a multi-step digital signature system
US6647493B1 (en) * 1998-03-06 2003-11-11 Stmicroelectronics S.R.L. Method and system for authentication and electronic signature
US7039805B1 (en) * 1998-05-20 2006-05-02 Messing John H Electronic signature method
US20030135740A1 (en) * 2000-09-11 2003-07-17 Eli Talmor Biometric-based system and method for enabling authentication of electronic messages sent over a network
US20070136800A1 (en) * 2005-12-13 2007-06-14 Microsoft Corporation Two-way authentication using a combined code
RU2325767C1 (ru) * 2006-11-02 2008-05-27 Николай Андреевич Молдовян Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ
RU2409903C2 (ru) * 2007-07-30 2011-01-20 Николай Андреевич Молдовян Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ
US20130332723A1 (en) * 2012-05-23 2013-12-12 Box, Inc. Systems and methods for secure file portability between mobile applications on a mobile device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2759249C1 (ru) * 2021-02-20 2021-11-11 Илья Иосифович Лившиц Вычислительное устройство для осуществления трансграничного электронного документооборота (варианты) и способ осуществления трансграничного электронного документооборота

Also Published As

Publication number Publication date
RU2017132969A3 (ru) 2019-04-24
RU2017132969A (ru) 2019-03-21

Similar Documents

Publication Publication Date Title
US20180295121A1 (en) Secure element authentication
US9838205B2 (en) Network authentication method for secure electronic transactions
US9692752B2 (en) Ensuring information security using one-time tokens
US9231925B1 (en) Network authentication method for secure electronic transactions
EP2700003B1 (en) Key management using quasi out of band authentication architecture
US11516213B2 (en) Authentication for requests from third-party interfaces
US9191394B2 (en) Protecting user credentials from a computing device
US9185096B2 (en) Identity verification
US9871804B2 (en) User authentication
CN110492990A (zh) 区块链场景下的私钥管理方法、装置及系统
US20200028679A1 (en) Public-private key pair protected password manager
CN110677382A (zh) 数据安全处理方法、装置、计算机系统及存储介质
JP2012248198A (ja) コンピュータ装置の安全な動作方法
US20100107218A1 (en) Secured compartment for transactions
RU2699830C2 (ru) Способ электронной подписи
CN107735788B (zh) 自动供应设备以访问帐户
US20210306306A1 (en) Method and system for secure communication
RU2637991C1 (ru) Способ электронной подписи
Pawar et al. Implementation of secure authentication scheme and access control in cloud computing
Baxter et al. ENHANCING IDENTITY AND ACCESS MANAGEMENT IN THE US NAVY VIA MIGRATION TO MORE MODERN STANDARDS OF AUTHENTICATION
EP2530618A1 (en) Sign-On system with distributed access
Eleftherios FIDO2 Overview, Use Cases, and Security Considerations
WO2023247998A1 (en) Multi-blind authentication
Ashraf Securing cloud applications with two-factor authentication
Zavrak et al. Global Journal of Computer Sciences: Theory and Research

Legal Events

Date Code Title Description
HE9A Changing address for correspondence with an applicant