Разработка безопасных приложений на платформе Trusted.API (Андрей Селедкин, OSSDEVCONF-2017)

Докладчик

Андрей Селедкин

Доклад о регулирующих технологиях, об открытой платформе для создания безопасных приложений Trusted.API и о примерах созданных приложений на базе Trusted.API.

Видео

Презентация

Thesis

Регтех или регулирующие технологии

В финансовых сервисах главное — юридическая безопасность. Добиваться ее можно разными способами, но все большее признание среди банков получает относительно молодая отрасль технологий — регулирующие технологии или регтех.

Регтех уже называют одним из самых быстрорастущих секторов интернет-экономики. В США оборот индустрии регтеха по данным Reuters^[1] составит $120 млрд уже к 2020 году.

По словам председателя Банка России Эльвиры Набиуллиной в России в ближайшие пять лет регулирование в сфере финансовых информационных технологий станет приоритетной задачей для Центробанка России.

Законодательные требования в банковской сфере настолько сложны и многослойны, что кажется, будто за ними вообще невозможно уследить. Учитывая как быстро может меняться правовой климат, порой бывает сложно за всем уследить, даже имея большой штат юристов.

Поэтому технологии, призванные автоматизировать процессы приведения банковских инструментов, будь то клиентское приложение или онлайн сервис, в соответствие с законодательством, позволяют финансовым компаниям направить ценные ресурсы на развитие бизнеса и обслуживание клиентов.

Мы в компании «Цифровые технологии» на протяжении 15 лет занимаемся по сути тем же самым регтехом. Со своей, конечно, специализацией. Это защита данных, безопасная передача данных, электронная подпись, многофакторная аутентификация, все в соответствии с требованиями отечественных регуляторов.

Trusted API — открытая платформа для создания безопасных приложений

В 2014—2015 годах наше государство на волне принятых нашими западными коллегами санкций выбрало курс на активное импортозамещение во всех ключевых отраслях экономики. Применительно к ИТ сфере был создан Единый реестр российских программ для ЭВМ и баз данных, постановлением правительства №96 от 01.02.2015 г. было запрещены государственные закупки ПО, не включенного в данный реестр.

Тогда же нам стало понятно, что в ближайшие 5-10 лет, отечественным разработчикам понадобится создать большое количество ПО по самым разным направлениям. И эти решения должны будут соответствовать требованиям действующего законодательства, требованиям регуляторов ФСБ , ФСТЭК, ЦБ РФ по безопасности.

Поэтому, мы в свое время начали создавать собственную платформу для разработчиков софта, на которой они смогут легко и с минимальными затратами создать собственные безопасные веб-приложения, в котором уже будут внедрены все необходимые технологии защиты информации с соблюдением российского законодательства

Мы назвали платформу Trusted.API, она представляет из себя несколько основных компонент, большинство из которых полностью открыты.

Это актуальные сборки Node.js и Electron, позволяющие создать как веб-сервер, так и абсолютно любые приложения. Это известная криптографическая библиотека OpenSSL, модифицированная нами для поддержки российских криптографических алгоритмов, криптопровайдеров и требований к ключам и сертификатам электронной подписи.

В Trusted.API присутствуют отдельные модули, такие как CMS, PKI, XML Crypto, PKCS\#11, реализованные в соответствии с российскими стандартами.

Решение открытое, оно сейчас уже доступно на github, и его можно использовать свободно без какой либо платы. Хотя конечно мы не отказываемся от монетизации, и у Trusted.API существуют и коммерческие версии.

Trusted eSign — пример приложения созданного на платформе Trusted.API

Работая над платформой Trusted.API мы не могли, как говорится, сами не попробовать. И мы начали делать Trusted eSign.

Trusted это кроссплатформенное приложение для создания и проверки электронной подписи и шифрования файлов. Она поддерживает работу с отечественными криптопровайдерами, например СКЗИ КриптоПро CSP 4.0, поддерживает все стандарты подписи и шифрования, поддерживает работу с ключами усиленной квалифицированной электронной подписи, выдаваемыми аккредитованными удостоверяющими центрами.

Плюс у приложения простой и красивый пользовательский интерфейс, а за счет возможностей, которые дает применение Electron, нам не сложно менять его в любую сторону по пожеланиям наших пользователей.

Сейчас мы активно ведем работу по сотрудничеству с компаниями, выпускающими российские операционные системы, проводим совместное тестирование, договариваемся о включении программы в список приложений по умолчанию. Параллельно работаем над сертификацией решения, но это долгий процесс. Отмечу только, что Trusted eSign и Trusted.API были включены в Единый реестр российских программ для ЭВМ и баз данных.

Недавно мы также создали прототип приложения для ГИС ЖКХ, позволяющее отправлять запросы в ГИС ЖКХ по требованиям данной системы. Дело в том, что в ней используются запросы в формате xml, они должны соответствовать строго определенному виду каноникализации, подписываться УКЭП, и передаваться по зашифрованному каналу с использованием ГОСТ 28147-89. Все это у нас опять же создавалось на платформе Trusted.API.

Примечания и ссылки

• Discuss on Facebook
• Discuss on VK

1. ↑ [1] [idUSKBN1360UQ]

• https://reestr.minsvyaz.ru/reestr/107763/
• https://github.com/TrustedPlus

Plays:41   Comments:0