Облачные сервисы цифровых подписей



    Ещё в прошлом веке многие предприятия начали массово переходить на электронный документооборот. У всех появились компьютеры с офисными программами. Документы часто набирали в Microsoft Word или других текстовых редакторах, экспортировали в PDF, отправляли по электронной почте.

    Казалось, что если документооборот электронный, то мы скоро забудем о шкафах с бумажными архивами, на рабочих столах не останется ни единого бумажного листа. Если вдруг в организацию пришлют бумажный документ по обычной почте, то артефакт немедленно отсканируют и переведут в цифровой вид. В реальности вышло совсем наоборот. Оказалось, что чем больше организация использует компьютеры для цифрового документооборота — тем больше документов она печатает. Ведь каждый документ нужно завизировать. Документ без подписи — это просто черновик или информационная записка. Чтобы получить подпись, документы распечатывают, а потом зачастую сканируют обратно, храня оригиналы в архиве.

    Сейчас понятно, что действительно электронный (безбумажный) документооборот никак не внедрить без цифровых подписей.

    Сегодня B2B, B2C компании и государственные организации переходят к внедрению цифровых подписей за их неоспоримые преимущества:

    • Безбумажный документооборот. Экономия времени, денег и ресурсов.
    • Эффективные бизнес-процессы. Подписание в электронном виде делает каждую транзакцию более гладким процессом.
    • Мобильные возможности. Взаимодействие внутри организации и с клиентами становится проще.

    Инфраструктура открытых ключей (PKI) обеспечивает целостность и подтверждает авторство каждого документа. Метки времени удостоверяют время подписи документа, что необходимо для транзакций, привязанных к определённому времени, обеспечения невозможности отказа от авторства и сохранения данных для аудита. Разумеется, вся система документооборота с цифровыми подписями должна соответствовать необходимым требованиям, действующим в стране юрисдикции, а также в странах, где работают партнёры и клиенты.

    Постепенно вырабатываются единые стандарты для электронного документооборота и инфраструктуры цифровых подписей. Например, в странах Евросоюза с 1 июля 2016 года действует стандарт eIDAS (electronic IDentification, Authentication and trust Services) для электронных сервисов идентификации, аутентификации и доверия. В США принят стандарт 21 CFR 11.

    Самые большие в мире доверенные службы для электронных документов — доверенный список Adobe (AATL) и программа Microsoft Root Trust. Удостоверяющие центры, включённые в этот список, выпускают основанные на сертификатах цифровые идентификаторы и службы отметок времени, которые соответствуют нормативным требованиям в мире, как стандарт eIDAS. Для самых популярных форматов офисных документов уже поддерживаются электронные цифровые подписи. В том числе поддерживается подпись документа несколькими лицами, с метками времени.



    Что такое Digital Signing Service (Облачный сервис цифровых подписей)?


    Digital Signing Service (DSS) — это масштабируемая платформа с поддержкой API для быстрого развёртывания цифровых подписей, которая обеспечивает:

    • Цифровую подпись хэша любого документа или цифровую транзакцию в настройке PKI
    • Выдачу сертификата подписи
    • Поддержку AATL и Microsoft Root
    • Хранение приватных ключей на базе HSM
    • Проверку отзыва, требуемого для аудита
    • Продвинутые электронные печати и после аккредитации квалифицированные подписи, соответствующие стандарту eIDAS

    Теоретически, можно организовать «облачный» сервис внутри собственной компании на своих серверах, открыв для пользователей доступ к API. Например, в рамках европейского проекта CEF Digital разработано open-source решение Digital Signature Service (код на GitHub, демо).

    Для собственного сервиса DSS требуется наладить не только рабочий процесс подписи и управление пользователями. Требуются ещё сертификаты подписи для удостоверения личности автора каждого документа. Это включает в себя криптографические элементы, такие как управление ключами, система хранения ключей уровня безопасности FIPS level 2 или выше (например, аппаратные токены или HSM), служба OCSP или CRL, а также служба меток времени. Объединение этих компонентов, особенно интеграция с аппаратным модулем безопасности (HSM) напрямую, будь то облако или локально, требует значительных усилий со стороны отдела ИТ и отдела информационной безопасности наряду с хорошими знаниями криптографии и наличием необходимых ресурсов.

    Важно учитывать эти скрытые затраты и инвестиции, а также ограничения и накладные расходы при оценке решений для цифровой подписи.

    Отдельно стоит упомянуть, что если служба DSS критически важна для организации, то она должна работать с высоким уровнем аптайма и обеспечивать большую пропускную способность. То есть нужно проектировать своё решение с определённой долей избыточности — с запасом на будущее. И следует предполагать, что бизнесу свойственен рост. Инфраструктура должна быть масштабируемой.

    Digital Signing Service Традиционная реализация
    Интеграция с приложениями для подписи документов Через простой REST API Требует внутренней криптографической экспертизы для конфигурации и поддержки
    Компоненты криптографической подписи (сертификаты, OCSP, CRL, метки времени Включены в API, не требуют продвинутых знаний криптографии или ресурсов разработки Идут отдельно, требуют отдельных вызовов из приложений и внутренних ресурсов разработки для настройки
    Масштабируемость Высокая масштабируемость — не требуется дополнительная настройка или интеграция Может понадобиться закупка дополнительного оборудования и конфигурация
    Высокая доступность и аварийное восстановление Поставляется через инфраструктуру GlobalSign, проверенную WebTrust, с глобальными центрами обработки данных, избыточностью и лучшим оборудованием для защиты сети Требует дополнительных инвестиций в оборудование
    Управление секретными ключами и их хранение Через REST API, внутренние ресурсы или оборудование не используются Клиент отвечает за управление ключами и их хранение (например, в облаке или локальном HSM)
    Удостоверения подписи Поддержка подписей двух уровней: отделов и сотрудников (например, Джон Доу, бухгалтерия) Не все решения поддерживают оба типа удостоверений

    Облачный сервис сильно упрощает развёртывание системы документооборота с поддержкой цифровых подписей. Все операции просто проходят через API.



    Облачные сервисы отличаются по ценам и функциональности. Но все они гарантируют гибкость, масштабируемость и высокий уровень доступности. Хотя сервисы платные, зато избавляют компании от необходимости инвестировать в разработку собственных решений, в том числе закупать дорогостоящее криптографическое оборудование.

    Кому может понадобиться облачный сервис цифровых подписей? По идее, это любые организации любого размера, которые разрабатывают или вводят в эксплуатацию специально разработанные приложения и намерены либо интегрировать туда цифровые подписи, либо использовать уже интегрированное приложение.

    • Поставщики решений документооборота или приложений, желающие интегрировать цифровые подписи или печати. Другой вариант: предложить их клиентам в качестве премиальной опции как гарантированную защиту документов от подделки. Здесь поддерживается гибкая модель: цифровые подписи можно добавить в качестве дополнительного слоя или опции.
    • Предприятия, которые хотят интегрировать цифровые подписи или печати в свой документооборот.
    • Системные интеграторы, которые внедряют цифровые подписи в существующие и новые системы документооборота.

    В конечном счёте каждая организация сама определяет, какой вариант DSS подходит лучше всего, исходя из имеющихся требований к проекту. Здесь учитываются и требования регулирующих органов, и размер организации, и другие факторы, часто уникальные в каждом конкретном случае.





    GlobalSign
    137,78
    Компания
    Поделиться публикацией

    Комментарии 12

      0
      Признаются ли в России электронные документы подписанные через иностранные сервисы?
        0
        Зависит от того какая именно подпись нужна. Если простая или усиленная — то вполне признаются. Смотрите про виды подписи — линк. Сделать квалифицированную электронную подпись через такой сервис конечно не получится.
          0
          Ну я про то что: мы с одним иностранцем подписали договор в виде документа через иностранный сервис. В договоре прописали что подсудность его будет происходить в России, т.о. российский суд сможет квалифицировать данный договор как подписанный? или для него это просто филькина грамота?
            0
            Емнип, в ГК РФ отсутствует понятие «подписанный договор». Есть понятие " договор", в том числе «договор в простой письменной форме», несоблюдение которой лишает стороны права в случае спора ссылаться на свидетельские показания, но не влечёт в общем случае недействительности договора.
        0
        Масштабируемость DSS сервисов вызывает некоторые сомнения. DSS сервис требует отправки подписываемого контента (обычно в Base64), что при определенных размерах и количестве подписываемых документов может положить любой канал.
          0
          Мы подписываем только хэш документа, поэтому проблемы быть не должно. DSS интегрирован с Adobe Sign, мы также находимся в процессе интеграции с DocuSign. Таким образом будет обеспечено сотрудничество с двумя крупнейшими провайдерами цифровой подписи документов.
            0
            Для отечественного рынка интересна подпись по ГОСТ и, соответственно, интеграция с отечественными DSS-сервисами
          0
          Каким образом пользователь аутентифицируется для использования своих закрытых ключей в облаке? И каким образом защищается канал от пользователя до облака?
            0
            С нашей стороны аутентификации для каждого отдельно взятого конечного пользователя нет, но она существует для учетной записи API.
            Учетная запись API может быть настроена на уровне организации-клиента, а также на партнерском уровне для отдельных пользователей.
            Каждая учетная запись API будет доступна через приложение двухфакторной аутентификации, mTLS + API Key / Secret, которые не видны конечному пользователю.

            Уже в самом приложении для подписи документов должна быть аутентификация для входа пользователя в корпоративную учетную запись организации или личную учетную запись.
            Чтобы повторно использовать проверенный ID при аутентификации, данную информацию можно сохранить и повторно использовать (мы рекомендуем максимальный срок действия 6 месяцев). Для повторного доступа необходимо использовать двухфакторную аутентификацию. Это можно сделать напрямую в приложении или в интерфейсе IntesiGroup, если он используется.
              0
              Спасибо за развернутый ответ.
              Для повторного доступа необходимо использовать двухфакторную аутентификацию.

              Вы имеете в виду аутентификацию на уровне API (mTLS + API Key) или приложения пользователя? Если последнее, то что должно быть вторым фактором?
                0
                DanielStrolz, оба варианта. У нас уже есть 2-х факторная аутентификация для учетной записи API и мы рекомендуем 2-х факторную проверку подлинности для аутентификации каждого пользователя в приложении.
            0
            Интересная статья, но, насколько я помню (а я могу немного отстать от современного законодательства), российские ГОСТы понятия не имеют о такой сущности, как облачная электронная подпись, что накладывает ограничения на использовании в ЮЗЭДО.
            И второе, скорее ИМХО, будущее ЮЗЭДО лежит в сфере блокчейна в качестве механизма подтверждения транзакций (читай, подписания документов). Как считаете?

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое