Вопреки известным недостаткам «Закона об ЭЦП» и затянувшемуся вводу в эксплуатацию корневого Удостоверяющего центра УФО РФ, электронно-цифровая подпись уверенно шагает по России — применение ЭЦП постепенно становится массовым. По последним сведениям, количество валидных (действительных) сертификатов ЭЦП в России к настоящему времени превышает 200 тыс., а удостоверяющих центров — более 300. Особенно активно эти процессы идут в корпоративном сегменте экономики и ведомствах (таможенном, налоговом, транспортном и др.). Несмотря на то, что тема ЭЦП достаточно широко обсуждается, далеко не все потенциальные пользователи понимают, что такое ЭЦП, как происходит процесс формирования сертификата подписи, как и зачем ее применять. Тем более, мало кто знает, что такое компрометация ключа цифровой подписи и как снизить риски компрометации. Рассмотрению данного вопроса и посвящена данная статья.
Рассмотрим сферы реального применения ЭЦП:
Даже поверхностный анализ показывает, что возможность использования злоумышленником ЭЦП легального пользователя перечисленных систем может привести к ощутимым финансовым потерям. Представьте, если кто-то вместо вас отправит подписанный якобы вами финансовый документ и, например, снимет с вашего расчетного счета несколько миллионов долларов… Естественно, вам захочется как можно быстрее найти виновного и вернуть деньги. Вы обратитесь в финансовый институт (например, банк) и попытаетесь найти виновного там. Вам в письменном виде ответят, что информационная система банка построена в соответствии с существующими нормативно-правовыми документами, сеть аттестована по соответствующему классу, а для формирования и проверки подписи используются только сертифицированные средства ЭЦП. И еще вам докажут, что при получении ключевого материала вам были предложены альтернативные носители, из которых вы выбрали самый дешевый. Например, дискету… А потом напомнят, что согласно статье 12 «Закона об ЭЦП» 1, хранение закрытого ключа электронной цифровой подписи входит в обязанности владельца. Круг замкнулся. Во всем виноваты вы сами. Но все ли вы знали и предупреждали ли вас о возможности компрометации ключа до того, как произошла материальная потеря? Впрочем, обо всем по порядку. Для начала рассмотрим, какие виды подписи бывают, затем как генерируется ваша электронно-цифровая подпись.
Достаточно интересным в данном случае будет обращение к международному опыту. Чтобы понять некоторые тонкости видов подписи и способов их формирования, необходимо проанализировать подход к классификации электронных подписей в мире и у нас. Так уж исторически сложилось, что нам пришлось догонять многие страны по развитию ЭЦП как в части законов, технологий и т. д., так и в части понимания и правильного восприятия.Начнем с Европы. Согласно Директиве ЕС по применению электронной подписи (1999 г.) и последующим соглашениям между странами-участницами, к настоящему времени четко описаны виды ЭЦП и механизмы ее формирования и проверки. В частности, в документе [CWA 14365] указаны три типа подписи (cм. рисунок):
Квалифицированный сертификат должен быть валидным в момент подписи и однозначно идентифицировать лицо, воспользовавшееся данным видом подписи. Ключевая пара должна генерироваться при личном участии будущего владельца внутри защищенной памяти SSCD (токена, смарт-карты), закрытый ключ не должен иметь технических возможностей экспортирования (копирования) закрытого ключа. Таким образом, владелец подписи полностью контролирует жизненный цикл закрытого ключа подписи, и сам отвечает за его сохранность. В данном случае электронная подпись, согласно стандартам ЕС, полностью приравнена к собственноручной.
Генерация ключей ЭЦП
Основная проблема при этом заключается в том, что для подавляющего числа российских пользователей ЭЦП процесс формирования ключевой пары и условий хранения закрытого ключа в данное время никак не регламентирован. Соответствующие регламенты пишутся только на корпоративном уровне на основе ведомственных концепций информационной безопасности и принятых на предприятии политик безопасности.
Перечислим основные уязвимости:
Конечно, все зависит от состояния информационной системы вашего предприятия и/или вашего компьютера, если вы работаете дома. Все вероятные угрозы перечислить невозможно. Главный принцип защиты ключевого материала — он не должен попасть в чужие руки. Проще говоря, одно из основных условий гарантированного сохранения закрытого ключа в тайне (в соответствии с ФЗ) — сведение к минимуму риска (в идеале — исключение возможности) потери ключа, доступа к нему посторонних лиц и надежная защита ключа от копирования.
Правила хранения секретного ключа
Заключение
1Федеральный закон № 1-Ф3. «Об электронной цифровой подписи».
Источник