Относительно недавно один из участников хабрасообщества начал цикл статей, посвященный вопросам использования электронной цифровой подписи (ЭЦП). Замечательный цикл, приоткрывающий перед неискушенными в этом вопросе пользователями завесу тайны над этим понятием.
Но, к сожалению, уважаемый автор не рассказал о нескольких важных аспектах информационной безопасности, которые обязательно нужно принимать во внимание при использовании ЭЦП, особенно при подписании юридически значимых электронных документов.
Постараюсь восполнить этот пробел, чтобы уважаемый пользователь знал, с чем он столкнется при работе со зверем под названием «ЭЦП».
Первым делом, предлагаю разобраться в том, зачем нужна ЭЦП с юридической, а не с технической точки зрения. Согласно актуальному закону № 1-ФЗ «Об электронной цифровой подписи»:
Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
Этот факт открывает много возможностей перед различными системами документооборота, такими как сдача налоговой отчетности, удаленное подписание договоров, утверждение приказов, системы дистанционного банковского обслуживания (ДБО) и т.д. и т.п.
Но, в это же время, это открывает огромные возможности перед злоумышленниками, которые, подделав ЭЦП легального владельца, могут выдавать свое волеизъявление за легальное, принадлежащее владельцу ЭЦП.
Что это означает? Здесь можно фантазировать: (1) за крупную организацию сдают неверную налоговую декларацию и она нарывается на огромный штраф, (2) в газету приходит абсурдный пресс-релиз с подписью директора крупного холдинга, (3) деньги со счета компании перечисляются админу Василию Петровичу за подписью генерального директора, (4) Ваши деньги посредством системы ДБО перечисляются на счет в Екатеринбурге. И с точки зрения законодательства все легитимно. Ваша подпись (ЭЦП) стоит на «вашем» волеизъявлении (электронном документе).
Причем смею Вас заверить, что если примеры 1, 2 и 3 – вымышленные, то пример 4 – повседневная практика, с которой пытаются бороться множество компаний-лидеров рынка информационной безопасности. И Екатеринбург я привел не просто так – 70% средств утекают, почему-то в этот город, а затем практически бесследно растворяются.
А главное, как с этим бороться?
Приведу немного статистики, которая приблизительно отражает направленность атак, результатом которых является получение злоумышленником экземпляра Вашей ЭЦП под его документом.
Разобраться в первой части таблицы нам поможет небезызвестный (надеюсь на это) цикл статей об ЭЦП. Как мы знаем, для работы с ЭЦП есть ключевая пара – открытый и закрытый ключи. Для того, чтобы поставить ЭЦП, нужен закрытый ключ. Первая часть таблицы отражает атаки на этот актив пользователя.
К сожалению, подавляющее большинство пользователей хранят ключевой контейнер (это такая штука, набор файлов, где хранится ключевая пара, сертификат и некоторая служебная информация) где угодно, только не в защищенном месте. Например, флэшка, папка «C:\Ключи для счета в банке», дискета и пр. Нужно понимать, что в случае, если у Вас эту информацию скопируют, то новый владелец сможет выдавать свое волеизъявление за Ваше. Вы скажете: «Но ведь у меня ключи под паролем!» А я отвечу: «Это не надежная защита. После того, как Ваш пароль подберут, Вы будете всю жизнь работать на кредит на Ваше имя».
А теперь задайте себе вопрос: «Много ли у меня денег на WebMoney? где я храню ключи от своего WMID? Не жалко ли мне этих денег в случае чего?»
Или так: «Где хранятся ключи ЭЦП для работы с банковским счетом моей компании? Где я буду искать эти деньги, если кто-то сядет на 5 минут за мой рабочий ноутбук?»
Решение очень просто – храните ключи к критичным системам (к тем, где ваши денежки) на защищенном носителе (например, смарт-карты, USB-токены). Благо, таких на рынке сейчас предостаточно. Это закроет 70% атак.
Но в табличке есть еще 5%. Эти атаки возможны в силу того обстоятельства, что обычно, выработка ЭЦП осуществляется на компьютере программными средствами. И, как только ключи ЭЦП достаются этими средствами из защищенного хранилища, в действие вступает злобный троян и эти ключи крадет. Этот тип атак намного сложнее, чем просто скопировать ключи с флэшки, но он имеет свои 5% в общем зачете.
Выход – специализированные устройства (те же смарт-карты и USB-токены), которые реализуют механизмы выработки ЭЦП самостоятельно (аппаратные СКЗИ). То есть им на вход подается документ или его хеш, а на выходе мы имеем ЭЦП. В таких устройствах все операции с закрытым ключом (выработка, использование, уничтожение) производятся только внутри устройства. Закрытый ключ физически не может его покинуть, то есть атаки на него невозможны – только украсть устройство, но факт кражи скрыть очень проблематично. Согласно современным тенденциям и западному опыту – за такими устройствами будущее. Если интересуют конкретные модели – прорекламирую в комментариях.
Переходим к атакам посложнее кражи ключей.
Итак, украли СКЗИ, которое само вырабатывает ЭЦП (10% атак). Запарольте доступ к устройству! Ну и как обычно – не пишите пароль на бумажках, сделайте его стойким и поставьте ограничение на количество попыток ввода – современные аппаратные СКЗИ это позволяют. И как только обнаружили кражу СКЗИ – отзывайте сертификат!
Еще 14% атак – удаленное управление компьютером в тот момент, когда подключено СКЗИ. Банальный пример: тетенька-бухгалтер работает в системе ДБО со счетом компании, воткнула СКЗИ, уже авторизовалась в нем после заполнения первой платежки, заполняет вторую. Тут появляется надпись типа «Подождите, идет обновление системы…», экран темнеет и недоступен. В это время злоумышленник подключается к машине удаленно, меняет реквизиты платежа и отправляет документ на исполнение. СКЗИ вырабатывает ЭЦП, платежка уходит в банк, деньги ушли, тетенька-бухгалтер негодует.
Есть еще более изощренные методы удаленного доступа к СКЗИ (например, USB over IP), но они технически сложны, хотя используются при хорошо организованных атаках.
Выход: используйте одноразовые пароли для подтверждения транзакций при работе с критичными системами (например, при работе со счетами, где у Вас хранится золото партии). Одноразовые пароли – это пароли, которые действительны только для одной операции или в течение короткого промежутка времени (обычно 5-10 минут). Возможно, если Вы пользуетесь интернет-банкингом как физическое лицо, Вам выдавали распечатку с кучей так называемых АСП, которые нужно вводить последовательно, каждый раз новую. Так вот это и есть одноразовые пароли, только есть более цивилизованные устройства для их генерации, нежели бумажка с распечаткой (http://en.wikipedia.org/wiki/One-time_password).
И последний и самый сложный вид атак – подмена документа на этапе его передачи в СКЗИ на подпись. То есть Вы составляете электронный документ, передаете его на подпись в СКЗИ, в этом время специализированное вирусное ПО подменяет документ и передает на подпись свой. Далее СКЗИ запрашивает пароль на доступ к ключам, Вы в полной уверенности в правильности своих действий вводите пароль и получаете ЭЦП. Следующим этапом Вы нажимаете гипотетическую кнопку «отправить», указываете свой документ, но гадкий вирус опять подменяет документ на свой с уже полученной ЭЦП, вводит Вас в заблуждение любым доступным способом вплоть до подмены картинки на экране, и Вы отправляете документ злоумышленника своими руками.
Это наиболее сложный вид атак, который готовится под определенную систему, обычно высококлассными специалистами вместе с инсайдерами. Он является своеобразной комбинацией волеизъявлений Вашего и злоумышленника, а по сути – банальный обман. В настоящее время нет способов противодействия таким атакам, кроме использования доверенной изолированной операционной среды (специализированной операционной системы). Но, смею Вас заверить, работы ведутся во-всю.
Информация об описанных в статье атаках и статистика собраны в рамках Российской Федерации. Это реалии нашей жизни при работе с электронными документами и техническими средствами подтверждения подлинности и авторства. Будьте осторожны и применяйте адекватные меры защиты своих денег и репутации при использовании современных технических средств.
Но, к сожалению, уважаемый автор не рассказал о нескольких важных аспектах информационной безопасности, которые обязательно нужно принимать во внимание при использовании ЭЦП, особенно при подписании юридически значимых электронных документов.
Постараюсь восполнить этот пробел, чтобы уважаемый пользователь знал, с чем он столкнется при работе со зверем под названием «ЭЦП».
Юридические аспекты использования ЭЦП
Первым делом, предлагаю разобраться в том, зачем нужна ЭЦП с юридической, а не с технической точки зрения. Согласно актуальному закону № 1-ФЗ «Об электронной цифровой подписи»:
Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
- сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
- подтверждена подлинность электронной цифровой подписи в электронном документе;
- электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Этот факт открывает много возможностей перед различными системами документооборота, такими как сдача налоговой отчетности, удаленное подписание договоров, утверждение приказов, системы дистанционного банковского обслуживания (ДБО) и т.д. и т.п.
Но, в это же время, это открывает огромные возможности перед злоумышленниками, которые, подделав ЭЦП легального владельца, могут выдавать свое волеизъявление за легальное, принадлежащее владельцу ЭЦП.
Что это означает? Здесь можно фантазировать: (1) за крупную организацию сдают неверную налоговую декларацию и она нарывается на огромный штраф, (2) в газету приходит абсурдный пресс-релиз с подписью директора крупного холдинга, (3) деньги со счета компании перечисляются админу Василию Петровичу за подписью генерального директора, (4) Ваши деньги посредством системы ДБО перечисляются на счет в Екатеринбурге. И с точки зрения законодательства все легитимно. Ваша подпись (ЭЦП) стоит на «вашем» волеизъявлении (электронном документе).
Причем смею Вас заверить, что если примеры 1, 2 и 3 – вымышленные, то пример 4 – повседневная практика, с которой пытаются бороться множество компаний-лидеров рынка информационной безопасности. И Екатеринбург я привел не просто так – 70% средств утекают, почему-то в этот город, а затем практически бесследно растворяются.
Итак, как же это происходит?
А главное, как с этим бороться?
Приведу немного статистики, которая приблизительно отражает направленность атак, результатом которых является получение злоумышленником экземпляра Вашей ЭЦП под его документом.
| Угроза |
Риск |
Актуальность риска |
Решение |
| Актив: закрытый ключ ЭЦП пользователя |
|||
| Нарушение конфиденциальности с последующим несанкционированным использованием закрытого ключа ЭЦП пользователя |
Хищение закрытого ключа из незащищенного хранилища (напр. с Flash-диска) |
70% |
Криптографические устройства с неизвлекаемым закрытым ключом |
| Хищение закрытого ключа из оперативной памяти |
5% |
||
Разобраться в первой части таблицы нам поможет небезызвестный (надеюсь на это) цикл статей об ЭЦП. Как мы знаем, для работы с ЭЦП есть ключевая пара – открытый и закрытый ключи. Для того, чтобы поставить ЭЦП, нужен закрытый ключ. Первая часть таблицы отражает атаки на этот актив пользователя.
К сожалению, подавляющее большинство пользователей хранят ключевой контейнер (это такая штука, набор файлов, где хранится ключевая пара, сертификат и некоторая служебная информация) где угодно, только не в защищенном месте. Например, флэшка, папка «C:\Ключи для счета в банке», дискета и пр. Нужно понимать, что в случае, если у Вас эту информацию скопируют, то новый владелец сможет выдавать свое волеизъявление за Ваше. Вы скажете: «Но ведь у меня ключи под паролем!» А я отвечу: «Это не надежная защита. После того, как Ваш пароль подберут, Вы будете всю жизнь работать на кредит на Ваше имя».
А теперь задайте себе вопрос: «Много ли у меня денег на WebMoney? где я храню ключи от своего WMID? Не жалко ли мне этих денег в случае чего?»
Или так: «Где хранятся ключи ЭЦП для работы с банковским счетом моей компании? Где я буду искать эти деньги, если кто-то сядет на 5 минут за мой рабочий ноутбук?»
Решение очень просто – храните ключи к критичным системам (к тем, где ваши денежки) на защищенном носителе (например, смарт-карты, USB-токены). Благо, таких на рынке сейчас предостаточно. Это закроет 70% атак.
Но в табличке есть еще 5%. Эти атаки возможны в силу того обстоятельства, что обычно, выработка ЭЦП осуществляется на компьютере программными средствами. И, как только ключи ЭЦП достаются этими средствами из защищенного хранилища, в действие вступает злобный троян и эти ключи крадет. Этот тип атак намного сложнее, чем просто скопировать ключи с флэшки, но он имеет свои 5% в общем зачете.
Выход – специализированные устройства (те же смарт-карты и USB-токены), которые реализуют механизмы выработки ЭЦП самостоятельно (аппаратные СКЗИ). То есть им на вход подается документ или его хеш, а на выходе мы имеем ЭЦП. В таких устройствах все операции с закрытым ключом (выработка, использование, уничтожение) производятся только внутри устройства. Закрытый ключ физически не может его покинуть, то есть атаки на него невозможны – только украсть устройство, но факт кражи скрыть очень проблематично. Согласно современным тенденциям и западному опыту – за такими устройствами будущее. Если интересуют конкретные модели – прорекламирую в комментариях.
Переходим к атакам посложнее кражи ключей.
| Угроза |
Риск |
Актуальность риска |
Решение |
| Актив: криптографические возможности аппаратных СКЗИ |
|||
| Несанкционированное использование СКЗИ |
Хищение СКЗИ, инсайд |
10% |
Для работы с объектами пользователя (в том числе с закрытыми ключами) требуется аутентификация в устройстве на основе PIN-кода пользователя. После 10 неудачных попыток аутентификации устройство блокируется. Дальнейшее использование возможно только после прохождения процедуры разблокировки. |
| Удаленное управление машиной с подключенным СКЗИ |
14% |
Наряду с использованием ЭЦП, вырабатываемой СКЗИ, система может требовать подтверждения транзакций одноразовым паролем (OTP) |
|
Итак, украли СКЗИ, которое само вырабатывает ЭЦП (10% атак). Запарольте доступ к устройству! Ну и как обычно – не пишите пароль на бумажках, сделайте его стойким и поставьте ограничение на количество попыток ввода – современные аппаратные СКЗИ это позволяют. И как только обнаружили кражу СКЗИ – отзывайте сертификат!
Еще 14% атак – удаленное управление компьютером в тот момент, когда подключено СКЗИ. Банальный пример: тетенька-бухгалтер работает в системе ДБО со счетом компании, воткнула СКЗИ, уже авторизовалась в нем после заполнения первой платежки, заполняет вторую. Тут появляется надпись типа «Подождите, идет обновление системы…», экран темнеет и недоступен. В это время злоумышленник подключается к машине удаленно, меняет реквизиты платежа и отправляет документ на исполнение. СКЗИ вырабатывает ЭЦП, платежка уходит в банк, деньги ушли, тетенька-бухгалтер негодует.
Есть еще более изощренные методы удаленного доступа к СКЗИ (например, USB over IP), но они технически сложны, хотя используются при хорошо организованных атаках.
Выход: используйте одноразовые пароли для подтверждения транзакций при работе с критичными системами (например, при работе со счетами, где у Вас хранится золото партии). Одноразовые пароли – это пароли, которые действительны только для одной операции или в течение короткого промежутка времени (обычно 5-10 минут). Возможно, если Вы пользуетесь интернет-банкингом как физическое лицо, Вам выдавали распечатку с кучей так называемых АСП, которые нужно вводить последовательно, каждый раз новую. Так вот это и есть одноразовые пароли, только есть более цивилизованные устройства для их генерации, нежели бумажка с распечаткой (http://en.wikipedia.org/wiki/One-time_password).
| Угроза |
Риск |
Актуальность риска |
Решение |
| Актив: документ, для которого вырабатывается ЭЦП, или его хеш |
|||
| Подмена документа или хеш-значения в процессе его передачи в СКЗИ |
Активность специализированного вирусного ПО |
1% |
... |
И последний и самый сложный вид атак – подмена документа на этапе его передачи в СКЗИ на подпись. То есть Вы составляете электронный документ, передаете его на подпись в СКЗИ, в этом время специализированное вирусное ПО подменяет документ и передает на подпись свой. Далее СКЗИ запрашивает пароль на доступ к ключам, Вы в полной уверенности в правильности своих действий вводите пароль и получаете ЭЦП. Следующим этапом Вы нажимаете гипотетическую кнопку «отправить», указываете свой документ, но гадкий вирус опять подменяет документ на свой с уже полученной ЭЦП, вводит Вас в заблуждение любым доступным способом вплоть до подмены картинки на экране, и Вы отправляете документ злоумышленника своими руками.
Это наиболее сложный вид атак, который готовится под определенную систему, обычно высококлассными специалистами вместе с инсайдерами. Он является своеобразной комбинацией волеизъявлений Вашего и злоумышленника, а по сути – банальный обман. В настоящее время нет способов противодействия таким атакам, кроме использования доверенной изолированной операционной среды (специализированной операционной системы). Но, смею Вас заверить, работы ведутся во-всю.
В качестве итога
Информация об описанных в статье атаках и статистика собраны в рамках Российской Федерации. Это реалии нашей жизни при работе с электронными документами и техническими средствами подтверждения подлинности и авторства. Будьте осторожны и применяйте адекватные меры защиты своих денег и репутации при использовании современных технических средств.
