1 апреля, 2015

Облачные технологии электронной подписи

Одной из тенденций современного рынка разработки программного обеспечения, безусловно, является упрощение пользовательских интерфейсов. Если этого не происходит, то какой бы полезной ни была технология, она  будет оставаться «нишевой» и не найдёт широкого применения на рынке.  

Этот тезис наглядно проявляется применительно к технологии электронной подписи (ЭП). Несмотря на ее очевидную полезность и даже безальтернативность для решения проблем надежной аутентификации пользователей, контроля  целостности  их информации и др.,  ЭП до сих пор не нашла массового применения в Интернете. Например, проблемы борьбы с клонами и неотказуемости от публикуемой информации в социальных сетях существуют достаточно давно, но массово-внедренных решений с использованием ЭП пока нет.

Объяснение этому достаточно простое: технологии PKI, на которых строится применение ЭП, оказываются сложными для рядового пользователя, при этом регулирование в отрасли задаёт дополнительные требования к ПО, что не всегда позволяет повернуть его лицом к потребителю. 

Вместе с тем, разработчики технологий безопасности постоянно совершенствуют свои продукты, в том числе и в части упрощения пользовательского интерфейса. Одно из популярных сегодня направлений −- это перенос в «облако» части криптографических преобразований, в частности, процедур проверки и формирования электронной подписи.

Проверка ЭП в облаке − это безусловно шаг  вперёд, который имеет много плюсов. Пользователям не нужно устанавливать у себя криптографическое ПО и отслеживать все нюансы проверки сертификатов ЭП. За них все это делает система и при проверке подписи выдаёт бинарный ответ − да/нет, при этом, как организована сама проверка и какие технологии для этого используются, пользователь не видит.

Перенос проверки подписи в облако, применительно к электронному документообороту, позволяет создавать публичные системы ЭДО в WWW, ознакомление с документами и проверка подписей в которых может производиться как при непосредственной работе в «облаке», так и по интернет-ссылкам на конкретные документы и становится доступной любому пользователю с помощью обычных браузеров. 

Примером использования подобного рода облачных технологий могут служить авторская сеть «Автограф» (www.i-autograph.com), разработки компании «Сигнал-КОМ», а также, частично, портал государственных услуг.

Что касается переноса в облако процедуры формирования подписи, то, несмотря на имеющиеся на рынке предложения, к их применению стоит подойти творчески. Речь идёт о решениях, основанных на использовании DSS/HSM. Если коротко, то данная технология предполагает подписание документов на сервере DSS (Digital Signature Server) с использованием ключей, хранящихся в HSM (Hardware Security Module). При этом, доступ пользователей к HSM основан на использовании, как правило,  некриптографических  систем аутентификации, таких как:

  • классическая однофакторная аутентификация по логину и паролю; 
  • двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS). 

Криптографические методы аутентификации, естественно, существуют, но редко  используются, т.к. они противоречат исходной постановке задачи: для работы с электронной подписью в облаке пользователю необходим только веб-браузер без установки  СКЗИ или средств ЭП на свое рабочем месте. 

Известно, однако, что безопасность всей системы определяется уязвимостью ее самого слабого звена, каковым как раз и является вышеуказанная некриптографическая аутентификация и какие бы криптостойкие технологии ЭП в дальнейшем не использовались, на безопасность всей системы они уже влиять не будут.

Напомним, что усиленная ЭП пользователя под электронным документом обеспечивает контроль его целостности (защиту от  искажений после подписания), достоверность источника информации (авторство) и неотказуемость от подписи, причем достоверность и неотказуемость обеспечиваются при условии неотчуждаемости ключа ЭП от его владельца. 
В случае, когда ключ пользователя хранится в удалённом хранилище,  ЭП, сформированная этим ключом, определяет, по сути, не владельца ключа (автора подписи), а владельца аутентифицирующей информации, которая обеспечила доступ к этому ключу. 

Нетрудно заметить, что в этой ситуации нивелируется одно из основных назначений   ЭП −  надежный криптографический способ определения автора электронного документа. Представляется, что такой подход может быть оправдан лишь для систем межкорпоративного ЭДО в которых решение на базе DSS/HSM реализуется на уровне участвующих в них корпораций. В этом случае исходящие документы в общей системе обрабатываются по обычным правилам, а решение с хранением ключей в защищённом облаке, реализуется для удобства сотрудников.

Если же речь идет о корпоративных (закрытых) системах, типа систем ДБО (дистанционного банковского обслуживания), то затраты на  дорогостоящие  хранилища ключей ЭП и организацию системы PKI для их обслуживания представляются нецелесообразными.  В этих случаях  предлагается отказаться от усиленной ЭП пользователя и реализовать «облачный» вариант его простой подписи, усиленной электронной подписью DSS-сервера со штампом времени.

На практике это выглядит так: после аутентификации пользователя на сервере DSS его персоналии автоматически добавляются к подписываемому документу в качестве  простой электронной подписи,  определяющей автора документа. Если документ с такой простой подписью заверить электронной подписью сервера DSS и получить штамп времени в службе штампов времени TSA (Time Stamp Authority), то будет обеспечена и защита целостности документа, и время его  подписания. Важно, что в этом случае проверка простой подписи сводится к проверке усиленной ЭП DSS-сервера со штампом времени и, поэтому, технологически, легко может быть интегрирована в существующие прикладные системы, работающие с усиленной ЭП пользователей.

В результате  предлагаемого решения на основе простой подписи с DSS/TSA получим подписанный электронный документ,  обладающий следующими свойствами: 

  • достоверность источника информации (авторство)  определяется сервером аутентификации, при этом атрибуты пользователя добавлены к документу в виде простой подписи;
  • целостность документа с простой подписью обеспечивается усиленной ЭП сервера DSS  и/или службы штампов времени.

Для сравнения, в варианте на основе DSS/HSM имеем все то же самое:

  • достоверность источника информации (авторство) определяется сервером аутентификации (ключ ЭП, используемый для подписи,  определяется на основании некриптографических методов аутентификации  пользователя); 
  • целостность  документа обеспечивается усиленной ЭП с использованием ключа, хранящегося  в HSM.

Сравнивая эти два решения, можно отметить, что при одинаковой криптографической стойкости, решение на основе простой подписи с DSS/TSP имеет для клиентов очевидные преимущества:

  • повышается общая производительность системы;
  • исключаются затраты, связанные с обслуживанием жизненного цикла  ключей и сертификатов ЭП пользователей;
  • резко снижается стоимость системы (не требуется закупка и обслуживание дорогостоящего оборудования типа HSM);
  • упрощается процедура разрешения конфликтных ситуаций:  
    − для варианта на базе DSS/HSM, в случае отказа клиента от подписи, доказать в суде обратное, при условии, что фактически клиент не владеет ключом, будет достаточно трудно,  поэтому потребуется договор о признании ЭП, что, например, в случае квалифицированной подписи приведет к полной потери преимуществ ее использования, нивелируя смысл, заложенный в № 63-ФЗ «Об электронной подписи»;
    − для варианта с простой подписью − на основе договора о признании.

Выводы:

  1. Перенос технологий электронной подписи в облако значительно повышает их удобство и привлекательность для пользователей.

  2. Для обеспечения безопасности информационных систем (ИС) на должном уровне,  в облако желательно переносить процедуру проверки подписи.

  3. В случаях, когда допускается снижение безопасности ИС до уровня, обеспечиваемого некриптографическими методами аутентификации пользователей, для корпоративных систем становится  экономически более выгодно при переносе в облако использование простой ЭП с DSS/TSP по сравнению с усиленной ЭП с DSS/HSM, при обеспечении одинаковых параметров безопасности. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных