Программно-аппаратный комплекс КриптоПро Ключ предназначен для централизованного выполнения действий пользователей по созданию электронной подписи (ЭП), управления сертификатами и других криптографических операций с использованием ключей, хранимых в ПАКМ КриптоПро HSM (дистанционная («облачная») подпись), локально в мобильном приложении (мобильная подпись) или на рабочем месте пользователя.

КриптоПро Ключ обеспечивает:

• создание электронной подписи любого формата электронного документа;
• отсутствие необходимости в установке клиентской части на стационарное рабочее место при работе с неквалифицированной подписью;
• отсутствие необходимости в установке клиентской части на стационарное рабочее место при установке клиентских компонент на мобильные устройства;
• возможность работы с квалифицированной электронной подписью в случае использования комплектаций, имеющих сертификаты соответствия требованиям ФСБ России (требуется установка указанных в документации на данные комплектации клиентских компонент);
• широкий охват платформ и устройств, с которых пользователь может работать с КриптоПро Ключ;
• снижение стоимости развертывания и владения инфраструктурой ЭП, т.к. нет необходимости установки средства ЭП на каждое стационарное рабочее место пользователя, а управление всей инфраструктурой сосредоточено на одном сервере;
• снижение риска компрометации ключей пользователей за счёт их централизованного защищённого хранения;
• возможность использования стандартного интерфейса CryptoAPI с помощью дополнительного модуля КриптоПро Cloud CSP  на базе КриптоПро CSP версии 5.0 для обеспечения совместимости с традиционными приложениями;
• возможность работы с локальными ключами электронной подписи на мобильных устройствах пользователей (режим мобильной подписи);
• лёгкость встраивания функций создания ЭП в прикладные системы за счёт наличия простых интерфейсов автоматизации на базе стандартных средств протокола HTTP и веб-сервисов (API), включая SOAP и REST;
• возможность усиления ранее созданной электронной подписи до усовершенствованного формата (CAdES-T или CAdES-X Long Type 1) путем добавления штампов времени и информации о статусе сертификата.
• возможность применения различных схем аутентификации пользователя для доступа к его ключам, включая возможность интеграции со сторонними центрами идентификации по протоколам SAML (WS-Security) и OAuth (в т.ч. с корпоративным доменом на безе MS AD и OpenLDAP);
• централизованное /локальное шифрование/расшифрование электронных документов;
• пакетная обработка электронных документов (подписание/шифрование по API одной командой набора однотипных электронных документов);
• Поддержка нескольких экземпляров сервисов электронной подписи и центров идентификации с различными параметрами настройки функционирования на одном сервере КриптоПро Ключ
• Визуализация (отображение) подписываемых электронных документов формата PDF, docx, txt, xml. Возможно расширение перечня форматов отображаемых файлов.
• создание видимой подписи с логотипом и текстом и в виде изображения (image appearance) с учетом требований Приказа Минкомсвязи и ФСО России от 27.05.2015 №186/258При для документов формата PDF с использованием API (SOAP/REST);
• возможность кастомизации графического веб-интерфейса (цветовой гаммы, логотипов, шрифтов и т.п.) в соответствии с корпоративным стилем и требованиями Заказчика.

Поддерживаемые форматы электронной подписи

• Необработанная электронная подпись ГОСТ Р 34.10-2012 (и ГОСТ 34.10-2001);
• Усовершенствованная подпись (CAdES-BES, CAdES-T и CAdES-X Long Type 1);
• Подпись XML-документов (XMLDSig);
• Подпись документов PDF;
• Подпись документов Microsoft Office.

Требования к окружению

КриптоПро Ключ предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро Ключ. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.

При встраивании КриптоПро Ключ в системы возможна работа через мобильное приложение, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро Ключ.

Безопасность

Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро Ключ. Дополнительно каждый ключевой контейнер защищается индивидуальным ПИН-кодом, который знает и может сменить только владелец ключа электронной подписи.

Пользователями КриптоПро Ключ управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:

• создание пользователя;
• блокирование и удаление пользователя;
• генерация ключа электронной подписи пользователя;
• формирование и передача в удостоверяющий центр запроса на создание сертификата ключа проверки электронной подписи;
• установку полученного сертификата пользователю;
• настройку параметров аутентификации пользователей;
• аудит и формирование аналитической отчетности по выполняемым пользователями операциям;
• сброс пароля в случае его утраты пользователем.

Способы аутентификации

В зависимости от настройки, КриптоПро Ключ может реализовывать следующие способы аутентификации пользователя:

• классическая однофакторная аутентификация по логину и паролю с дополнительной защитой доступа по протоколу TLS (только для неквалифицированной подписи или при работе в одной контролируемой зоне);
• криптографическая аутентификация по алгоритму HMAC в соответствии с Р-50.1.113-2016 с помощью мобильного приложения или специального апплета на SIM-карте;
• двухфакторная аутентификация с использованием цифровых сертификатов и USB-токенов или смарт-карт;
• двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS) (только для неквалифицированной подписи или в качестве дополнительного фактора аутентификации).

Высокая отказоустойчивость и доступность

Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро Ключ и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups или кластера PostgreSQL.

В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т.ч. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.