Содержание
Транскрипт
1 Описание технологии мобильнои ЭЦП версия 1.0 Реферат. Документ содержит описание технологии мобильной ЭЦП, созданной ЗАО «АВЕСТ» совместно с унитарным предприятием «Велком» и республиканским унитарным предприятием «Национальный центр электронных услуг». Содержание 1. Введение Задачи Организационная структура мобильной ЭЦП Технология мобильной ЭЦП Типовой порядок применения Поставщики электронных услуг Совместимость
3 3. Организационная структура мобильной ЭЦП Организационную инфраструктуру мобильной ЭЦП образуют: Мобильный оператор. Мобильный оператор предоставляет услуги связи на основе специализированной SIM, включая услуги передачи специализированных бинарных SMS. Государственная система управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь. РЦ РУЦ ГосСУОК (включая регистрационные центры мобильного оператора) осуществляют операции управления ключами на SIM и выпускают сертификаты открытых ключей. Сервер авторизации ГосСУОК. Сервер авторизации ГосСУОК 1 предоставляет сервис идентификации и аутентификации владельцев SIM с функцией ЭЦП и сервис выработки ЭЦП. Сервер авторизации осуществляет взаимодействие с мобильным оператором для передачи специализированных бинарных SMS на SIM, также взаимодействует с ГосСУОК для получения сертификатов открытых ключей SIM и информации об их статусе. Поставщики электронных услуг. Поставщикам требуется надежная идентификация и аутентификация своих пользователей, а также возможность выработки ЭЦП пользователем с соблюдением требований Закона Республики Беларусь «Об электронном документе и электронной цифровой подписи». Абоненты мобильного оператора, использующие SIM-карты с функцией ЭЦП. Абоненты мобильного оператора, в случае получения SIM с функций ЭЦП, могут использовать сервер авторизации для надежной идентификации и аутентификации перед поставщиком электронных услуг, а также для выработки ЭЦП. 4. Технология мобильной ЭЦП SIM с функцией ЭЦП создана на основе высокопроизводительного защищенного микроконтроллера. SIM соответствует стандартам GSM/3GPP/LTE (2G/3G/4G) в части услуг связи. Дополнительно SIM содержит приложение ЭЦП, которое соответствует спецификации SIM Application Toolkit согласно стандартам GSM/3GPP/LTE (2G/3G/4G). 1 Местонахождение Сервера авторизации ГосСУОК центр обработки данных республиканского унитарного предприятия «Национальный центр электронных услуг» 3
4 Приложение ЭЦП хранит личный ключ ЭЦП и выполняет криптографические операции с личным ключом: все операции выполняются только внутри SIM, личный ключ не покидает пределов SIM. Для проведения операций входные данные должны быть переданы на SIM в виде служебных («бинарных») SMS согласно 3GPP TS , результаты обработки возвращаются также в виде «бинарных» SMS. Приложение ЭЦП на SIM реализует сервис идентификации и аутентификации владельца SIM с использованием сертификата открытого ключа согласно СТБ После завершения аутентификации приложение ЭЦП на SIM устанавливает защищенное соединение 2 с сервером авторизации с использованием криптографических алгоритмов и протоколов согласно СТБ , СТБ , СТБ Приложение ЭЦП на SIM также реализует сервис выработки ЭЦП электронного документа согласно СТБ : приложение ЭЦП вырабатывает ЭЦП для хэш-значения, присланного сервером по защищенному соединению в бинарной SMS, выработанное значение ЭЦП возвращается на сервер также по защищенному соединению. Формат формируемого электронного документа соответствует требованиям СТБ Для подтверждения своего согласия на прохождение идентификации и аутентификации владелец SIM должен ввести на телефоне PIN1, для подтверждения своего согласия на выработку ЭЦП ввести PIN2. Длина PIN1 составляет 4 цифры, PIN2 5 цифр. После 5 неудачный попыток ввода каждого PIN-кода доступ к сервисам идентификации/аутентификации и выработки ЭЦП блокируется. PIN коды могут быть разблокированы путем ввода PUK-кода. После 3-х неудачный попыток ввода PUK-кода приложение ЭЦП на SIM блокируется. Сервер авторизации предоставляет поставщикам услуг программный интерфейс для идентификации и аутентификации владельцев SIM, для выработки ими электронной цифровой подписи. Программный интерфейс сервера авторизации доступен по протоколу Oauth2 с обеспечением защиты информации по протоколу TLS согласно СТБ В целом, SIM с функцией ЭЦП во взаимодействии с сервером авторизации реализует набор национальных стандартных криптографических алгоритмов в соответствии с Положением о криптографической защите информации Оперативноаналитического центра при Президенте Республики Беларусь (приказ Оперативно- 2 При создании защищенного соединения не используется криптографическая защита информации, предоставляемая оборудованием мобильного оператора. Вместо этого сервер авторизации и SIM самостоятельно организуют криптографическую защиту передаваемой информации согласно требованиям национального законодательства Республики Беларусь. 4
5 аналитического центра при Президенте Республики Беларусь в редакции приказа ). 5. Типовой порядок применения Порядок использования сервера авторизации для идентификации и аутентификации пользователя приведен на рис. 1: Рисунок 1 Идентификация и аутентификация пользователя 1. Пользователь, который является владельцем SIM с ЭЦП, обращается на электронный ресурс поставщика за услугой. 2. Поставщик перенаправляет пользователя на сервер авторизации с обращением к сервису идентификации и аутентификации сервера. Пользователь указывает серверу свой телефонный номер. 3. Сервер определяет сертификат, выпущенный на данный телефонный номер, и проверяет его статус. 4. Сервер выполняет протокол аутентификации пользователя путем обмена с SIM бинарными SMS. 5. Для подтверждения согласия на прохождение идентификации и аутентификации на сервере с последующей передачей своих идентификационных данных поставщику услуг владелец SIM вводит на телефоне PIN1. 6. Сервер возвращает поставщику услуг результат аутентификации пользователя и подлинные идентификационные данные пользователя: Ф.И.О., паспортные данные, сертификат открытого ключа ЭЦП и др. 5
7 6. Поставщики электронных услуг Поставщики электронных услуг предоставляют доступ (через Интернет, через устройства самообслуживания и т.п.) к государственным, банковским и любым другим услугам, которые требуют проведения идентификации гражданина по паспорту и получения его собственноручной подписи на документах. Поставщики заинтересованы в увеличении доступности своих услуг для пользователей (с соблюдением требований Закона Республики Беларусь «Об электронном документе и электронной цифровой подписи») и в уменьшении расходов на эксплуатацию системы защиты информации. Сервер авторизации предоставляет унифицированный программный интерфейс для идентификации и аутентификации граждан, для выработки ими электронной цифровой подписи независимо от используемого ими вида средства ЭЦП, в том числе с использованием SIM с функций ЭЦП. Сервер авторизации обеспечивает поддержку сертификатов открытых ключей, изданных РУЦ ГосСУОК, включая, атрибутные сертификаты. В случае использования сервера авторизации поставщик электронных услуг избавлен от необходимости обеспечения совместимости с существующими и перспективными средствами ЭЦП, упрощается разработка и аттестация системы защиты информации не требуется разработка подсистем аутентификации, управления полномочиями (авторизации) и электронной цифровой подписи. В целом, взаимодействие с сервером авторизации позволяет поставщикам электронных услуг идентифицировать обратившегося гражданина и получить его электронную цифровую подпись на электронных документах. Это будет сделано в правовых рамках Закона Республики Беларусь «Об электронном документе и электронной цифровой подписи», согласно которому электронная цифровая подпись по правовому статусу приравнивается к собственноручной подписи 3, электронный документ к обычному документу 4, а сертификат ключа ЭЦП используется для идентификации его владельца 5. 3 Статья 22 «Подлинный электронный документ приравнивается к документу на бумажном носителе, подписанному собственноручно, и имеет одинаковую с ним юридическую силу.» 4 Статья 22 «Если в соответствии с законодательством Республики Беларусь требуется, чтобы документ был оформлен в письменной форме, то электронный документ и его копия считаются соответствующими этому требованию.» 5 Статья 29 «Государственная система управления открытыми ключами предназначена для обеспечения возможности получения всеми заинтересованными организациями и физическими лицами информации об открытых ключах и их владельцах в Республике Беларусь»; Статья 1 «сертификат открытого ключа электронный документ, изданный поставщиком услуг и содержащий информацию, подтверждающую принадлежность указанного в нем открытого ключа определенным организации или физическому лицу»; Статья 26 «сертификат открытого 7
Источник