Облачная электронная подпись в России и мире

Добрый день, дорогой читатель!

Я некоторое время активно следил за обновлениями и новостями программы «Цифровая экономика». С точки зрения внутреннего сотрудника системы ЕГАИС, конечно, процесс на десятилетия. И с точки зрения разработки, и с точки зрения тестирования, откатки и дальнейшего внедрения с последующими неизбежными и мучительными корректировками всевозможных багов. Тем не менее дело необходимое, важное и назревшее. Основной заказчик и драйвер всего этого веселья, конечно, государство. Собственно, как и во всем мире.
Все процессы уже давно перетекли в цифру или на пути к ней. Это таки замечательно. Тем не менее, существуют и оборотные стороны медалек за отличия. Я человек, который работает постоянно с цифровой подписью. Я сторонник может и «вчерашних», но «по-дедовски» надежных и беспройгрышных методов защиты электронной подписи с помощью токенов. Но цифровизация показывает нам, что все уже давно в «облаках» и КЭП тоже туда нужно и нужно очень быстро.

Я постарался разобраться, пока на уровне законодательной и технической базы, где было возможно, как обстоит дело с облачными ЭП у нас и в Европе. На самом деле, на эту тему даже уже не одна научная диссертация вышла. Поэтому призывают профи в этом вопросе подключаться к развитию темы.

Почему КЭП в «облаке» привлекательна? На самом деле, есть плюсы. Этих плюсов достаточное количество. Это быстро и удобно. Звучит как рекламный слоган, согласитесь, однако же это объективные характеристики облачной ЭЦП.

Быстрота заключается в возможности подписывать документы без привязки к токенам или смарт-картам. Не обязывает нас использовать только десктоп. Сто процентов кроссплатформенная история для любых ОС и браузеров. Особенно актуально для фанатов продукции Apple, для которых есть определенные сложности поддержки ЭП в системе MAC. Выход из любой точки мира, свобода выбора УЦ (даже не Российских). В отличи от аппаратных средств КЭП, облачные технологии позволяют избежать сложностей с совместимостью программного и аппаратного обеспечения. Что, да, удобно, и, да, быстро.

И как же тут не соблазниться на такую красоту? Дьявол кроется в деталях. Поговорим о безопасности.

«Облачная» КЭП в России


Безопасность облачных решений, а в особенности ЭЦП – это одна из основных болей безопасников. Что именно мне не нравится, спросит меня читатель, ведь уже все давно используют облачные сервисы, а с СМС-кой еще надежнее сделать банковский перевод.
На самом деле, опять-таки, вернемся к деталям. Облачная ЭЦП – это будущее, с которым сложно спорить. Но не сейчас. Для этого должны произойти нормативно-правовые изменения, которые позволят защищать обладателя облачных ЭЦП.

Что мы имеем сегодня? Существует ряд документов, определяющие понятие ЭП, электронного документооборота (ЭДО), а также законы о защите информации и обороте данными. В том числе нужно учитывать и Гражданский кодекс (ГК РФ), который регламентирует использование ЭП в документах.

Федеральный закон №63-ФЗ «Об электронной подписи» от 06.04.2011. Основной и рамочный закон описывающий общий смысл использования ЭП при совершении сделок различного характера и оказания услуг.

Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации от 27.07.2006. В настоящем документе конкретизируется понятие электронного документа и всех связанных с ним сегментов.

Есть дополнительные законодательные акты, которые сопричастны регулированию ЭДО
Федеральный закон 402-ФЗ «О бухгалтерском учете» от 06.12.2011. Законодательный акт предусматривает систематизацию требований к бухгалтерии и бухгалтерским документам в электронном виде.

В т.ч. можно учесть Арбитражный процессуальный кодекс РФ, которые допускают документы, подписанные ЭП в качестве доказательств в суде.

И именно тут и пришло мне в голову поковыряться в вопросе обеспечения безопасности, ведь у нас стандарты для средств крипто-защиты обеспечивает ФСБ и обеспечивает выдачу сертификатов соответствия. С 18 февраля ввелись-таки новые ГОСТы. Таким образом, ключи, хранящиеся в облаке напрямую не защищены сертификатами ФСТЭК. Защита самих ключей и безопасного входа в «облако» и являются краеугольными камнями, которые пока еще мы у нас не решили. Далее рассмотрю пример регулирования в Евросоюзе, что наглядно продемонстрирует более продвинутую систему безопасности.

Европейский опыт использования облачных ЭП


Начнем с главного – облачные технологии, не только ЭП имеют четкий стандарт. Основой Группа координации облачных стандартов (Cloud Standard Coordination, CSC) Европейского института телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI). Однако на территории разных государств все еще имеются различия в стандартах защиты данных.

Базой для комплексной защиты данных является обязательная для провайдеров сертификация по ISO 27001:2013 на системы менеджмента информационной безопасности (соответствующий российский ГОСТ Р ИСО/МЭК 27001-2006 базируется на версии этого стандарта от 2006 года).
В ISO 27017 предусматриваются дополнительные элементы безопасности для облака, отсутствующие в ISO 27002. Полное официальное название этого стандарта: «Свод правил для средств управления информационной безопасностью на базе ISO/IEC 27002 для облачных сервисов» («Code of practice for information security controls based on ISO/IEC 27002 for cloud services»).

Летом 2014 года ISO опубликовала стандарт ISO 27018:2015 о защите персональных данных в облаке, а в конце 2015 года — ISO 27017:2015 о средствах контроля информационной безопасности для облачных решений.

Осенью 2014-го года в силу вступило новое Постановление Европарламента №910/2014, получившее название eIDAS. Новые правила разрешают пользователям хранение и использование ключа КЭП на сервере аккредитованного поставщика доверенных услуг, так называемого TSP (Trust Service Provider).

Европейский комитет по стандартизации (CEN) в октябре 2013-го года принял техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing», посвященную регулированию облачный ЭЦП. В документе описано несколько уровней соответствия безопасности. К примеру, для соответствия «уровня 2», предъявляемого для формирования квалифицированной электронной подписи, является поддержка строгих вариантов аутентификации пользователей. По требованиям данного уровня аутентификация пользователя происходит напрямую на сервере подписи, в отличии, к примеру, от допустимой для «уровня 1»аутентификации в приложении, которое от своего имени обращается к серверу подписи. Так же в соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны обязательно храниться в памяти специализированного защищенного устройства (англ. hardware security module, HSM).

Аутентификация пользователя в облачном сервисе обязана быть как минимум двухфакторной. Как правило наиболее доступный и простой в использовании вариант — это подтверждение входа через код полученный в СМС-сообщении. Так к примеру, реализовано большинство личных кабинетов ДБО российских банков. Помимо привычных криптографических токенов в качестве средства аутентификации может применяться также приложение на смартфоне, и генераторы одноразовых паролей (OTP-токены).

Могу подвести пока промежуточный итог, относительно того, что облачные КЭП пока у нас еще только формируются и отходить от железа рано. В принципе, это естественный процесс, который то и в Европе (о, великая!) длился около 13-14 лет, пока были выработаны более менее точные стандарты.

Пока мы не разработаем хороших ГОСТов, регулирующих наши облачные сервисы, рано говорить о полном отказе от аппаратных решений. Скорее, они сейчас, наоборот, станут двигаться в сторону «гибридов», то есть работать с облачными подписями в том числе. Некоторые примеры, соответствующие евростандартам работы с Cloud уже реализованы. Но об этом чуть подробнее и в новом материале.
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 11

    0
    К примеру, для соответствия «уровня 2», предъявляемого для формирования квалифицированной электронной подписи, является поддержка строгих вариантов аутентификации пользователей. По требованиям данного уровня аутентификация пользователя происходит напрямую на сервере подписи


    Как это реализуется на практике?
    Вот есть некий субъект, с которым у физлица возникают какие-либо отношения, которые надо закрепить формально. Субъект о физлице, очевидно, владеет информацией. Но УЦ про физлицо ничего не знает. Или знает? Но тогда физлицо должно свои отношения с УЦ оформить заранее.
      0
      Вот тут для физиков была бы идеальной гос.социалка с функцией свидетеля.
      0
      Вся эта профанация криптографии направлена на то, чтобы под любым благовидным предлогом отнять закрытый ключ подписи у владельца этого ключа и положить в доступное для нужных служб хранилище.
        0
        Спасибо за статью
          0
          Садитесь. Два. Зачем в таком случае вообще КЭП? Это профанация. Вы:
          1) заменяете КЭП простой двухфакторной авторизацией.
          2) порождаете излишнее отношение доверия между пользователем и УЦ.

          УЦ — это удостоверяющий центр. Его роль — удостоверять. Пользователи доверяют УЦ в том и только в том, что вы честно выполнили процедуру удостоверения личности владельца открытого ключа и выдали ему сертификат, подписав его своей электронной подписью. Всё. End of story. Почему вам дополнительно кто-то должен доверять в том, что вы будете хранить его закрытый ключ? Может быть, вам ещё оставить пачку пустых листиков бумаги с подписью внизу и ключ от квартиры, где деньги лежат?

          Чтобы всё работало кроссплатформенно, достаточно разработать беспроводные токены и соответсвующее ПО к ним. И вот здесь нужна стандартизация.

          Простой тест: готов ли ваш УЦ хранить свой корневой ключ в чужом облаке?
            0
            Простой тест: готов ли ваш УЦ хранить свой корневой ключ в чужом облаке?


            Если УЦ не готов хранить свой приватный ключ в облаке, означает ли это все граждане не готовы хранить свои приватные ключи в облаке?

            Из той же оперы:
            У сделки, совершенной по доверенности есть, определенные риски, вследствие особенностей доверенности. Означает ли это теперь все сделки должны совершаться только без доверенности?

            Или:

            Определенные покупки можно совершать через интернет посредством ввода длинного номера, строки, двух двухзначных чисел и одного трехзначного. Означает ли это, что таким образом можно совершать любые покупки (включая, например, IBM купил Redhat)?

            И т.д.
              0
              > Если УЦ не готов хранить свой приватный ключ в облаке, означает ли это все граждане не готовы хранить свои приватные ключи в облаке?

              Посыл не в том, что граждане готовы или не готовы. Посыл в том, что под этим предлогом УЦ на самом деле снижают свои издержки — и это единственное что их заботит. Плевать они хотели на безопасность и удобство пользователя.

              Кроме того, я бы охотно проигнорил их такой порыв узаконить облачную подпись, если бы это не привело к тому, что выпуск ключей на хардварных токенов просто прекратится. Но как только 95% полоумных (в области криптографии) гендиров с радостью перейдут на облачное хранилище, УЦ захлопнет двери для оставшихся 5%.

              Это можно было бы избежать, если УЦ законодательно обязать обслуживать пользователей хардварных токенов. Но УЦ в лице большой тройки (не ОПСОСов) активно лоббируют, чтобы такого обязательства в законе не было. Это лишний раз подтверждает то, что будет с оставшимися 5%.
                0
                Посыл в том, что под этим предлогом УЦ на самом деле снижают свои издержки — и это единственное что их заботит.


                Строго говоря хранения чужого приватного ключа, наоборот, добавляет головняка для УЦ.
                Плюс нужно реализовывать новые методы подтверждения волеизъявления, чтобы подписать от имени владельца приватного ключа.
                  0
                  Нет. Вы исходите из того, что есть некий УЦ в вакууме, который выпускает сертификаты и только сертификаты.

                  На самом деле есть крупные игроки на этом рынке, такие как Тензор и Калуга-Астрал. У них сертификаты — это лишь побочный бизнес. Основной их бизнес — это ЭДО и электронная отчетность. Чтобы вся эта фигнатень работала с подписью на стороне клиента, требуется писать много софта, который на стороне клиента пашет, иметь службу поддержки, средства удаленной диагности и прочее, и прочее. А ещё добавьте сюда разные браузеры, разные платформы и ОС. Один отказ браузеров от NPAPI для плагинов чего стоил. Создание и поддержание всей этой инфраструктуры обходится в копеечку.

                  Уже всё почитано. Облачное хранение позволит снизить косты в 2,5-3 раза. Я не могу, к сожалению, сослаться вам на источник, так как такого разрешения он мне не давал. Но это не моя выдумка, а довольно крупного игрока на этом рынке.

                  На другой стороне — хранить ключи у себя и подписывать так, как хочется, не зависить ни от чьих API и прочее.

                  А кроме того, как только ты подсадишь клиента на кукан в облаке, то он не уйдет со своим сертификатом к конкуренту.

                  В общем, вы очень местечково мыслите. И то, что я вам излагаю, это не мои фантазии.

                  Вы возразите мне, что ничего не мешает существовать маленькому самобытному УЦ и вести свой бизнес исключительно в области сертификатов. Так вот мешает. Мешают поправки в законодательство, согласно которым ответственность УЦ должна обсепечиваться миллиардными уставными капиталами. И где такие деньги возьмут мелкие игроки? Нигде. Останется только крупняк типа тех, что я перечислил.
                    0
                    Поддерживать PKI в современном мире очень сложно. Это правда.
                    И озвученные сложности по его поддержке со стороны УЦ — они же обоюдоостры.

                    Точно также сложно пользоваться средствами PKI в условиях современного мира и обычным простым пользователям. Например, моя мама не при каких обстоятельствах не сможет самостоятельно воспользоваться любым каноническим средством PKI. Даже если очень сильно захочет, даже если будут детальные инструкции. Т.е. если оставить все как есть, то мир PKI пройдет мимо жизни простых граждан.
                      0
                      > Точно также сложно пользоваться средствами PKI в условиях современного мира и обычным простым пользователям.

                      Ещё раз. Когда в каждом УЦ будет альтернатива: запрос на сертификат или [облачная] подпись под ключ, я охотно вернусь к вашим думам о судьбах России и доле простого народа.

                      По состоянию на декабрь 2019 года, когда об облачной подписи не было ни слова в 63-ФЗ, действующий приказ ФСБ о том, что закрытый ключ не должен светиться нигде ни при каких обстоятельствах, никто не отменял, облачная подпись была в деле (пример, ДомКлик от Сбербанка), подпись на носителе под ключ — в каждом первом УЦ, а сертификат по схеме через запрос нужно искать днём с огнём.

                      > Например, моя мама не при каких обстоятельствах не сможет самостоятельно воспользоваться любым каноническим средством PKI.

                      Своей маме, когда ей понадобилась ЭП для своей организации, я устроил часовую лекцию и без всякой математики объяснил как работает ЭП, кто такие Алиса и Боб, как устроены ключи и всё вот это дело. Потом показал единожды как пользоваться запросами на сертификат и всё поехало. Если вы худшего мнения о своей маме, то я могу вам только посочувствовать.

                      Так что идите вы лесом со своими заботами о вашей маме. Благими намерениями вымощена дорога в ад.

                      УЦ стоило бы пролоббировать обязательный экзамен по краткому курсу основ использования криптографии для чайников, перед тем как получать сертификат. В противном случае такая музыка, как ваша мама, будет вечной, только заменяй батарейки.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое