«РОСЭУ» - ассоциация «Разработчики и Операторы Систем Электронных Услуг»

Облачная подпись: сближение практики и законодательства

16 Марта 2016 Назад

Облачная подпись: сближение практики и законодательства

Развитие вопросов применения использования электронной подписи согласно законодательству и с учетом потребностей бизнеса на сегодняшней день привело к существованию двух «крайних» позиций, когда одни пользователи пользуются только проверенными токенами, а другие – отказываются от них в пользу облачной подписи.

Чем же так хороша облачная подпись, почему такая замена стала в принципе возможной в сознании пользователей, привыкших к токенам?

  1. Ключ электронной подписи пользователя, решившего ее получить, будет находиться на специализированном сервере. Этот специализированный сервер обеспечивает надежное хранение ключа и обеспечивает доступ к нему только его владельца. В связи с этим можно утверждать, что ключ электронной подписи невозможно повредить или утерять в отличие от ключевого носителя.

  2. Подписание и шифрование документа происходит именно на этом специализированном и защищенном сервере, поэтому такая электронная подпись не требует установки на рабочее место специального программного обеспечения. А это значит, что нет требований к самому рабочему месту пользователя: к архитектуре компьютера, планшета или смартфона, к типу операционной системы и наличию специализированных устройств хранения ключа подписи. Достаточно иметь доступ в интернет, обеспечивающий доступ к серверу. То есть обеспечивается полная мобильность пользователя.

  3. Безопасность хранения ключа подписи и выполнения операций подписи и шифрования обеспечивается путем многофакторной аутентификации при доступе к самому серверу, к ключу подписи, к выполнению операций. Факторами являются пара логин-пароль для доступа к персональной странице сервиса, pin-код на контейнер закрытого ключа, SMS-сообщения с кодом подтверждения операций, одноразовые пароли, генерируемые OATP-токенами.

  4. Оператор информационной системы может достаточно легко встроить «облачную подпись» в свою систему.

Не смотря на все кажущееся удобство и безопасность использования, облачная подпись скорее является шагом навстречу пользователям, сделанным провайдерами различных сервисов, которые стараются сделать процедуры использования предлагаемых ими продуктов как можно проще и понятнее. На сегодняшний день еще масса вопросов остаются нерешенными в области использования и регулирования использования облачной подписи:

  1. Самый большой из них – «системо-ориентированность» облачной ЭП. Инфраструктура облачной ЭП, созданная для одной информационной системы, как правило, не применима для другой. Иначе говоря, пользователь обременен необходимостью обладания ключом подписи для каждой из систем.

  2. В качестве дополнительного фактора аутентификации, как правило, используются SMS-сообщения с одноразовым паролем, отсылаемым сервером электронной подписи на телефон пользователя. Таким образом, безопасность использования напрямую связана с доступом к телефону пользователя. На сегодняшний день этот риск постепенно снижается, так как установка pin-кода на телефон – все более распространенная практика у пользователей.

  3. Файл документа, передаваемый на сервер ЭП в открытом виде, может быть атакован с целью модификации или кражи информации. Меры по установке закрытого канала связи с сервером подписи требуют установки на рабочее место пользователя специализированного программного обеспечения, что снижает мобильность этой технологии электронной подписи.

При этом, основной задачей, которую необходимо решить, является сближение практики рынка и законодательства, и вот почему.

Допустим, облачная подпись является квалифицированной, то есть, такой подписью ее владелец хочет оперировать при подписании юридически значимых документов для предоставления их в адрес государственных и муниципальных органов, обмена документами в системах юридически значимого электронного документооборота (ЮЗЭДО). В настоящее время некоторые операторы систем предоставляют пользователям такую возможность. Для выполнения криптографических операций с квалифицированной ЭП согласно 63-ФЗ должны использоваться сертифицированные средства криптографической защиты информации (СКЗИ).

Что можно сказать о необходимости сертификации продукта, на основе которого провайдеры предоставляют сервис облачной подписи?

В случае с «облачной подписью» в качестве СКЗИ, как правило, используется сертифицированный аппаратный HSM модуль (или другое подобное решение). HSM модуль занимается также и обеспечением безопасного хранения ключей электронной подписи. Сам модуль ключи пользователей не хранит, а хранит некий «мастер-ключ», предельный срок хранения которого составляет 3 года. Стойкость хранения ключей в HSM модуле подтверждается сертификатом соответствия регулятора. Ключ пользователя же хранится в базе данных в зашифрованном виде. Шифрование производится на мастер-ключ и PIN – код пользователя. Всеми операциями, связанными с генерацией пары ключей, управлением жизненным циклом сертификатов, операциями с электронной подписью и т.д. занимается сам сервер электронной подписи во взаимодействии с сертифицированным модулем HSM.

Таким образом, операциями с «облачной» электронной подписью занимается некоторая система, которая с точки зрения законодательства может трактоваться как «средство электронной подписи». Такое средство электронной подписи может, безусловно, использоваться для информационных систем, применяющих неквалифицированную электронную подпись.

Федеральным законом от 06-04-2011 № 63-ФЗ «Об электронной подписи» установлено, что для создания и проверки квалифицированной электронной подписи должны использоваться средства электронной подписи, получившие подтверждение соответствия требованиям этого закона, то есть прошедшие сертификацию на соответствие требованиям 63-ФЗ у регулятора. Более простой проверки, контроля встраивания СКЗИ в конкретную информационную систему, где используется облачная электронная подпись, может оказаться недостаточно.

Конечным пользователям при наличии такой сертификации облачной подписи было бы недвусмысленно заявлено, что хранение его квалифицированного ключа электронной подписи в «облаке» надежно обеспечено, операции по простановке подписи и шифрованию защищены от внешнего воздействия и атак, что проверено государством в лице регулятора.

В более широком плане в результате сертификации были бы установлены требования к обеспечению безопасности применения «облачной подписи» при внедрении данного типа подписи в информационные системы (например, требования по многофакторной аутентификации при внедрении квалифицированной «облачной» подписи). В таком случае всем интеграторам было бы необходимо выполнить эти требования при внедрении.


Стандартизация доступа к серверу «облачной электронной подписи».

Сервер облачной электронной подписи действует в рамках информационной системы, в которую он встроен, либо автономно через веб-интерфейс, позволяющий пользователю осуществлять операции с документом вручную.

Каждый разработчик облачной ЭП предоставляет разработчикам систем свой протокол взаимодействия в зависимости от технологий разработки приложений сервера. Таким образом, нет единого стандарта по взаимодействию с серверами облачной подписи. Это снижает потенциал облачной ЭП, не позволяет пользователю использовать другие информационные системы, в которых происходит вызов функций криптографических операций из программного кода, не смотря на то, что его квалифицированная подпись не содержит ограничений на ее применение в них. Здесь нужна помощь со стороны государства, регулятора в области электронной подписи по упорядочению применения «облачной электронной подписи» в стране, в том числе и в области унификации программных протоколов.

Применение облачной подписи это один из шагов по развитию новейших технологий, наше приближение к удобному цифровому будущему. Однако в этой области еще есть над чем работать.

Выбор, использовать ли облачную подпись, ответственность пользователя.

Начнем с того, что с подачи производителей защищенных носителей электронная подпись чаще всего ассоциируется со специализированным ключевым носителем – токеном. Что сегодня понимает простой пользователь под словами «получить электронную подпись»? Подготовить договор (заявление) о присоединении к регламенту выбранного УЦ, подготовить копии нужных по регламенту документов и в итоге получить «токен». Что там на токене содержится, мало кого интересует. Главное, в понимании пользователя, токен – это и есть электронная подпись, которую надо не потерять и держать в секрете. Переход на «облачную» подпись требует от пользователя более глубокого понимания сути электронной подписи. Мало кому можно объяснить, почему в результате получения «облачной» электронной подписи за деньги можно получить только акт о проделанной работе без получения токена. Подпись-то где? Среднестатистический пользователь, не смотря на все преимущества облачной, выберет подпись на токене. Тем более что производители токенов добились внушительных результатов в автоматизации работы с токенами, в разнообразии форм-факторов, т.е. в повышении удобства работы с токенами.

При дальнейшем распространении практики применения «облачной» подписи работать пользователям станет значительно удобнее. Как минимум «облачную» подпись не потеряешь и не забудешь в другом помещении. Вывод: для дальнейшего развития применения «облачной» подписи необходимы:

  • гарантии со стороны государства в виде сертификата соответствия требованиям по безопасности информации средств облачной электронной подписи;

  • разработанный стандарт на ее применение;

  • технологическая готовность владельцев систем работать с «облачной» подписью других операторов.

Несмотря на ограничения, связанные с необходимостью сертификации для использования такой подписи в информационных системах, для удобства пользователей лидеры рынка уже предлагают клиентам облачную подпись. Квалифицированную облачную подпись можно получить, например, для работы в системах E-invoicing (Сбербанк), Контур.Экстерн, Контур.Эльба, Диадок, Sign.me, Татэнергосбыт и т.д. Наряду с перечисленными игроками компания «Сервионика» также обеспечила технологическую готовность облачной подписи и готова предоставлять этот сервис по запросу клиента.

Компания «Сервионика» (ГК «Ай-Теко»)

Назад