PKI-сервисы, доверенная идентификация и аутентификация
Заключительная сессия первого дня PKI-форума, проходящего с 17 по 19 сентября 2019 года в Петербурге при поддержке медиа-группы "Авангард", Минкомсвязи и ФСБ России, была посвящена доверенным PKI-сервисам, доверенной идентификации и аутентификации.
В своем выступлении заместитель генерального директора ЗАО "Аладдин Р.Д." Алексей Сабанов поднял проблему злоупотреблений на рынке электронной подписи, источником которых становится недостаточное качество идентификации и аутентификации. Прежде всего, спикер определил понятия доверенного сервиса, уровня доверия, доверия и уверенности; выделил основные проблемы идентификации и аутентификации: нормативно-правовые, организационные, образовательные и научные. Среди организационных - отсутствие единого заказчика со сбалансированными сфере ИБ требованиями, недостаточное количество специалистов. Обозначена также роль этих процессов в PKI: в частности, они должны обеспечить определенный уровень доверия к определению лица, подписавшего документ. Совместно с волеизъявлением при подписании документа, наличия штампа и проверки полномочий - они позволяют решить задачу неотказуемости подписи. Уровни доверия к идентификации продиктованы требованиями ISO/IES 29003. За рубежом инструментом оценки уровней доверия является NIST SP 800-63-3. Критериями доверия к результатам идентификации становятся достоверность результатов, функциональная надежность системы и выполнение требований ИБ.
Юридические аспекты доверенных PKI-сервисов рассмотрела старший научный сотрудник Института государства и права РАН Нина Соловяненко. По ее словам, доверенные данные - объект внимания для авторов концепции устойчивого развития ООН. К созданию универсальной международной модели сервисов доверия в юриспруденции должно привести преодоление ряда препятствий, таких, как отсутствие законодательства, придающего юридическую силу идентификационным данным и доверенным сервисам, различие в законах и подходах, отсутствие механизмов трансграничного юридического признания и других.
"Мы переходим от понимания документа как имущества к пониманию электронного документа как действия, процесса, процедуры. Имущественный подход в юриспруденции уходит. Хранение информации рассматривается как некий этап ее движения", - отметила она.
Об опыте использования механизмов единой аутентификации пользователей в АС ОАО "РЖД" рассказал начальник Отделения разработки программного обеспечения сервисов электронной подписи АО "НИИАС" Александр Калашников. В компании сегодня используется несколько тыясяч автоматизированных систем, и сотруднику приходится работать с несколькими одновременно. В рамках пилотного проекта в инфраструктуру компании была внедрена система единой аутентификации на базе открытого стандарта OAUTH 2.0 - протокола, позволяющего выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. Использование OAUTH 2.0 возможно на любой платформе с доступом к сети и браузеру на сайтах, в мобильных и десктоп-приложениях, плагинах для браузеров. Возможны несколько вариантов получения маркера доступа: неявный, через пароль пользователя, по коду авторизации, по коду авторизации с ключом подтверждения для обмена кода, по учетным данным клиента. Среди преимуществ системы - упрощение процедуры администрирования пользователей, возможность аутентификации с использованием УЭП, упрощение мониторинга и разбора инцидентов ИБ.
Старший менеджер отдела развития продукта компании "ИнфоТеКС" Римма Бадмаева представила результаты тестирования на площадке НИИ "Восход" решения TLS (Transport Layer Security) ГОСТ в рамках выполнения поручения президента Пр-1380 об использовании отечественных средств шифрования. Исследовались TLS шлюзы нескольких вендоров на общедоступном госпортале ГИС ЖКХ. Главные выводы, сделанные по результатам тестирования: для полномасштабного перехода на TLT ГОСТ необходимо обеспечить доверие к сертификату серверной стороны, иметь возможность использовать любой браузер для доступа к информационным ресурсам, защищенным на алгоритмах ГОСТ, а также принять изменения нормативной базы, упрощающие порядок разработки и оборота СКЗИ на TLS ГОСТ.
Об актуальных трендах услуг доверия в ЕС - спустя три года после внедрения европейского регламента электронной идентификации eIDAS - говорила менеджер проектов польского провайдера ИТ-решений и оператора удостоверяющего центра Asseco Data Systems Алла Столярова-Мыц. Директива eIDAS, регламентирующая электронную идентификацию и услуги доверия в странах Евросоюза, была опубликована в 2014 году и вступила в силу два года спустя. Положение определяет основные термины - такие, как электронная подпись и печать, квалифицированные сертификат и подпись, квалифицированная услуга и т. д. - и используется для предоставления доверенных услуг.
Источник: Ib-bank.ru