JetDoc – JetMind
Электронный документооборот между контрагентами

 

Проблематика

Несмотря на то, что большая часть человечества имеет быстрый непосредственный доступ к цифровым технологиям, большинство организаций и обычных пользователей до сих пор заключают договора и ведут учет первичных бухгалтерских документов на бумаге. Некоторая часть из них считает, что ЭЦП это скан-копия рукописной подписи. Технологии ЭЦП существуют уже более 10 лет, но так и не стали распространенными настолько, чтобы ими могли пользоваться все, ввиду того, что в этой области присутствует некоторый порог вхождения, который необходимо преодолеть простым людям, не обладающим техническими навыками. Иными словами — это сложно. 

Ещё одной проблемой является то, что для заключения договора все участники должны присутствовать в системе СЭД. Процесс получения квалифицированной ЭЦП представляет собой ряд нетривиальных и энергозатратных действий, таких как личное присутствие пользователя в удостоверяющем центре, установка специального программного обеспечения на рабочие станции, прохождение обучения для уверенной работы с системой. 

Большинство удостоверяющих центров выдает ЭЦП на USB-носителе, который можно использовать только на ПК. Её использование совместно с мобильными платформами оказывается невозможным. К тому же, увеличивается влияние человеческого фактора. Пользователь может сломать или потерять носитель с ключом ЭЦП, тем самым скомпрометировав её. 

Эти проблемы почти удалось решить с использованием облачных ЭЦП, которые хранятся не на носителе, а на серверах удостоверяющего центра. С таким подходом ключ ЭЦП невозможно потерять, появляется возможность использования мобильных платформ, все документы подписываются на серверах удостоверяющего центра, но появляется куда более существенная проблема — все ключи ЭЦП находятся под контролем удостоверяющего центра. Сотрудник, имеющий необходимый уровень доступа может подписать любой документ от лица любого пользователя и этот документ будет иметь юридическую силу. 

Количество фактов неправомерных использований ЭЦП в России за последний год увеличилось в разы. В этом виноваты как недостаточно надежный уровень защиты инфраструктуры удостоверяющего центра, так и его недобросовестные сотрудники.

Также, существует проблема защиты персональных данных пользователей и их корпоративных секретов. В подавляющем большинстве решений, которые предоставляют возможность хранить документы в облаке, пользовательские данные не шифруются, либо шифруются с использованием алгоритмов, предполагающих получение программного доступа к документам при наличии административных прав. Иными словами, администратор системы имеет полный доступ к пользовательским данным.

Более, чем трехлетний успешный опыт разработки блокчейн-решений, позволяет нам предложить рынку продукт, в котором будут решены все эти проблемы простым, технологичным и изящным способом.

 

Реализация

JetDoc — это облачный сервис, который предоставит пользователям возможность работать с документами и выпустить ЭЦП прямо в облаке. Пользователю не нужно хранить у себя специальный аппаратный токен, на котором находится закрытая часть ключа. Исключен риск и компрометации ЭЦП вследствии утери, пользователю нужно лишь не потерять пароль и быть доступным для получения кодов 2FA. Снижается вероятность влияния человеческого фактора. При этом появляется возможность подписывать документы в любое время в любой точке мира, даже без подключения к Интернету. 

Ключ ЭЦП не хранится на серверах JetDoc. Ключ не хранится нигде. JetDoc для удобства пользователей лишь хранит настройки алгоритма генерации закрытого ключа, которые являются уникальными для каждой сгенерированной ЭЦП. Все документы подписываются исключительно на клиентской стороне (на устройстве пользователя). Ключ ЭЦП не передается по сети, не покидает устройство пользователя.

Ввиду того, что JetDoc не имеет доступа к закрытым ключам ЭЦП, это исключает факт злоупотребления ими создателями системы, потенциальные взломы системы не дадут злоумышленникам получить никакой чувствительной информации. Алгоритм генерации закрытого ключа ЭЦП основан на эллиптических кривых. Процесс генерации проходит сотни тысяч итераций. Это делает ключ устойчивым к прямому перебору.

В качестве объектов, которые пользователь может подписать, могут выступать любые файлы: тексты, изображения, звуковые и исполняемые файлы. Перед отправкой на сервер файл будет зашифрован открытым ключом другого подписанта документа, в результате чего доступ к документу получит только указанный участник. Это так же исключит возможность злоумышленников получить несанкционированный доступ к чужим файлам и загрузить на сервер вредоносный код.

Все транзакции с ЭЦП фиксируются в высокоскоростном блокчейне. Это позволит обеспечить целостность информации, повысит отказоустойчивость и сделает процессы выдачи, отзыва и делегирования прав на подпись документов с использованием ЭЦП, прозрачными, верифицируемыми, но в то же время защищенными.

При этом, взаимодействие со сложным криптографическим ядром для пользователя реализовано через простой и доступный графический интерфейс.

Ссылка
jetdoc.ru
Среда
NodeJS 10
Web
VueJS 2
Инфраструктура
Яндекс.Облако