«Облачная» электронная подпись: путь технологии

20 ноября 2017
«Облачная» электронная подпись: путь технологии

Технологии «облачной» электронной подписи и безопасного доступа к ключам проверки от идеи и до практического воплощения прошли длинный путь. Реализованное на данный момент решение позволит забыть о приобретении токенов, установке на компьютер криптосредств и привязке к рабочему месту. 

Для начала обозначим суть фразы «выдана «облачная» электронная подпись» (ЭП или, более привычное для участников рынка, ЭЦП):

  • пользователю в «облаке» сформированы открытый и закрытый ключи,
  • проверена принадлежность открытого ключа конкретному человеку, а соответствие зафиксировано в сертификате,
  • предоставлено средство для доступа к ключам, хранящимся в облаке.

Справочно:

Данная технология построена на «облачных» (онлайн) хранилищах данных, в которых информация размещается на кластерах распределенных в сети серверов, предоставляемых клиентам в пользование.


Предыстория

Непростой путь данной технологии начался еще в 2010 — 2011 годах, когда многие компании пытались реализовать решение, позволяющее работать с электронной подписью в «облаке». Данный период был ознаменован активным развитием проекта «электронного правительства». Специалисты и пользователи рассчитывали, что большинство сервисов в нем будет реализовано именно с помощью «облачных» технологий, что расширило бы возможности предоставления услуг. Тем не менее электронное правительство было запущено без электронной подписи в «облаке», и всем пользователям (корпоративным и частным) портала госуслуг все еще предлагаются привычные токены. Выдача этих носителей ключей ЭЦП наряду со смарт-картами осуществляется в соответствии с правилами и требованиями регуляторов отрасли, и они подлежат строгому учету.

В профессиональной среде неоднократно обсуждались варианты перехода на более простую и комфортную для пользователей технологию хранения ключей ЭЦП. Специалистами высказывалось предположение, что избавление от необходимости применения токенов может привести к росту количества владельцев электронной подписи как со стороны юридических лиц, так и физических.

Интерес к «облачной» технологии подогревала и растущая популярность смартфонов, планшетных компьютеров среди частных и корпоративных пользователей, ведь подключение к этим гаджетам токена или смарт-карты – задача далеко нетривиальная, которая так и не была решена.

Со временем для большинства приверженцев «мобильности», необремененной дополнительными считывающими устройствами, переход на «облачное» хранение ключей подписи приобрел статус наиболее оптимального решения.

Становление технологии

Одной из первых вывела «облачные» технологии на рынок ЭЦП компания КриптоПро еще в 2011 — 2012 году.

Решением, которое используется и сейчас, стал программно-аппаратный комплекс, состоящий из КриптоПро DSS и модуля КриптоПро HSM.

КриптоПро DSS (Digital Signature Server) — сервер электронной подписи (условно можно назвать программной надстройкой).

КриптоПро DSS

Подробнее о возможностях использования, типовых схемах и прочем можно узнать по ссылке.

КриптоПро HSM (Hardware Security Module) — программно-аппаратный криптографический модуль (непосредственно в нем защищенно хранятся ключи электронной подписи).

КриптоПро HSM

Информация об алгоритмах, областях применения, вариантах комплектации и другом доступна по ссылке.

Данный комплекс предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию ЭЦП. Из-за технических особенностей это решение заняло нишу внутри корпоративного применения.

Специалисты рассматривали адаптацию данной технологии хранения ключей ЭЦП к масштабам публичных сервисов как один из наиболее сложных, но в то же время и наиболее подходящих вариантов.

Опираясь на опыт использования HSM для защищенного хранения закрытых ключей в корпоративной инфраструктуре, специалисты долгое время искали подход, который разрешил бы вопрос безопасности массового доступа.

Итак, каким образом пользователи, обладающие ЭЦП, могли бы получать доступ к ключам, хранящимся в «облаке»?

Изначально было предложено несколько вариантов:

1 – многоразовый пароль. В этом случае для подписания чего-либо в «облаке» пользователь каждый раз должен был аутентифицироваться в нем с помощью фиксированной комбинации символов. Множество инцидентов, связанных с хищением или непреднамеренной утерей многоразовых паролей, сигнализировало о недостаточном уровне безопасности данного варианта.

2 – одноразовый пароль. В целях аутентификации в «облаке» способ предусматривал передачу каждый раз уникальной последовательности символов через SMS или ее генерацию ОТР-токеном (One Time Password). Брешь в безопасности данного метода пробивала невозможность привязки одноразового пароля к конкретной операции. Мошенникам было доступно множество вариантов хищения, начиная с фишинга (создание поддельных сайтов и приложений, которым пользователь сообщает пароль) и заканчивая социальной инженерией (манипуляция поведением людей, позволяющая преступникам получить код при личном общении). В качестве дополнительной защиты можно было использовать привязку к реквизитам при отправке аутентифицирующего кода посредством SMS, но злоумышленники разработали ряд способов, позволяющих перехватить и подобные сообщения.

При обращении к любым сервисам важно помнить, что защищенность системы определяется надежностью ее «самого слабого звена». Так, например, внедрив для доступа к ключу многоразовый или одноразовый пароль, свойства безопасности «облачной» подписи были бы подменены свойствами безопасности данных механизмов аутентификации. Специалисты не могли допустить подобного ввиду юридически-значимых последствий, к которым ведет участие ЭЦП в бизнес-процессах.

3 – электронный ключ. Этот способ предусматривал аутентификацию в «облаке» при помощи подключаемого к компьютеру токена или смарт-карты. Этот вариант обеспечивал должный уровень безопасности, но на корню «убивал» идею простоты и мобильности, которую пропагандировала «облачная» ЭЦП, снова привязывая электронную подпись к сертифицированным носителям.

Решение, продиктованное рынком

В целях нивелирования уязвимостей предложенных ранее вариантов по реализации доступа к «облачной» квалифицированной электронной подписи было разработано комплексное решение КриптоПро myDSS. Две главных компоненты — PayControl и КриптоПро DSS совместно с HSM.

PayControl является программным комплексом, предназначенным для подтверждения пользователем операций в системах ДБО и/или ЭДО без использования вспомогательных устройств (токены, смарт-карты, OTP-генераторы). Комплекс состоит из двух частей:

  1. серверная часть,
  2. клиентская часть —  приложение для мобильных платформ iOS (8.0 и выше) и Android (4.0 и выше).

Совместная разработка компаний SafeTech и КриптоПро — КриптоПро myDSS — обеспечивает удобный, мобильный и безопасный доступ к функциям подписания и построена с помощью передовых технологий «облачного» управления ключами и функциями ЭЦП.

В комплексном решении для того, чтобы «облако» (серверная часть) выполнило подписание, ему необходима санкция на выполнение этого действия, которая зависит от четырех составляющих:

  1. времени,
  2. содержания подписываемого документа,
  3. уникальных признаков гаджета,
  4. уникального ключа, который хранится в защищенной области смартфона, планшета, либо другого устройства пользователя.

Главные преимущества системы:

  • гарантирует более высокую безопасность, чем применение одноразового или многоразового пароля, либо подтверждений через SMS,
  • реализована в форме мобильного приложения для современных платформ.

Все комплексное решение КриптоПро myDSS, включая:

- серверную часть, в которой в HSM хранятся ключи электронной подписи,

- систему, управляющую процессами формирования подписи на стороне сервера,

- приложение для смартфона, которое визуализирует пользователю подписываемый документ и вырабатывает санкции на подписание,

- защищенные каналы взаимодействия клиентской и серверной частей,

является полноценным средством электронной подписи. Условно его можно назвать «большим токеном».

«Облачная» электронная подпись: квалифицированная или неквалифицированная?

КриптоПро myDSS уже отправлено на рассмотрение в ФСБ России. На данный момент получен сертификат на КриптоПро DSS (серверную часть), на очереди сертификация комплексного решения в целом. А значит рынок находится в одном шаге от «облачной» квалифицированной ЭЦП. «Новинка» позволит в любое время, в любом месте и на любом устройстве безопасно подписывать документы, наделяя их юридической значимостью.

Принимая во внимание стремительную переориентацию технологий в сторону «мобильности» устройств, «облачная» квалифицированная электронная подпись станет неотъемлемым инструментом цифровой экономики.


Если вы заинтересованы в данном продукте и хотели бы приобрести его сразу после получения сертификата ФСБ на все решение, который позволит ставить «облачную» квалифицированную электронную подпись, то отправляйте предварительные заявки на почту iecp@aetp.ru Сразу после завершения процедуры сертификации вам будет направлено предложение приобрести КриптоПро myDSS. В теле письма укажите: ФИО, физическое или юридическое лицо вы представляете, ИНН, контактный телефон, назначение ЭЦП, электронный адрес.


Статья подготовлена редакцией Единого портала Электронной подписи iEcp.ru с использованием материалов компании SafeTech.

При полном или частичном использовании материала гиперссылка на www.iecp.ru обязательна.

Читайте также:

30 октября 2017

Что такое электронная подпись — простым языком для новичков мира цифровой экономики

В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.