Развитие вопросов применения использования электронной подписи согласно законодательству и с учетом потребностей бизнеса на сегодняшней день привело к существованию двух «крайних» позиций, когда одни пользователи пользуются только проверенными токенами, а другие — отказываются от них в пользу облачной подписи.
Чем же так хороша облачная подпись, почему такая замена стала в принципе возможной в сознании пользователей, привыкших к токенам?
-
Ключ электронной подписи пользователя, решившего ее получить, будет находиться на специализированном сервере. Этот специализированный сервер обеспечивает надежное хранение ключа и обеспечивает доступ к нему только его владельца. В связи с этим можно утверждать, что ключ электронной подписи невозможно повредить или утерять в отличие от ключевого носителя. -
Подписание и шифрование документа происходит именно на этом специализированном и защищенном сервере, поэтому такая электронная подпись не требует установки на рабочее место специального программного обеспечения. А это значит, что нет требований к самому рабочему месту пользователя: к архитектуре компьютера, планшета или смартфона, к типу операционной системы и наличию специализированных устройств хранения ключа подписи. Достаточно иметь доступ в интернет, обеспечивающий доступ к серверу. То есть обеспечивается полная мобильность пользователя. -
Безопасность хранения ключа подписи и выполнения операций подписи и шифрования обеспечивается путем многофакторной аутентификации при доступе к самому серверу, к ключу подписи, к выполнению операций. Факторами являются пара логин-пароль для доступа к персональной странице сервиса, pin-код на контейнер закрытого ключа, SMS-сообщения с кодом подтверждения операций, одноразовые пароли, генерируемые OATP-токенами. -
Оператор информационной системы может достаточно легко встроить «облачную подпись» в свою систему.
Не смотря на все кажущееся удобство и безопасность использования, облачная подпись скорее является шагом навстречу пользователям, сделанным провайдерами различных сервисов, которые стараются сделать процедуры использования предлагаемых ими продуктов как можно проще и понятнее. На сегодняшний день еще масса вопросов остаются нерешенными в области использования и регулирования использования облачной подписи:
-
Самый большой из них — «системо-ориентированность» облачной ЭП. Инфраструктура облачной ЭП, созданная для одной информационной системы, как правило, не применима для другой. Иначе говоря, пользователь обременен необходимостью обладания ключом подписи для каждой из систем. -
В качестве дополнительного фактора аутентификации, как правило, используются SMS-сообщения с одноразовым паролем, отсылаемым сервером электронной подписи на телефон пользователя. Таким образом, безопасность использования напрямую связана с доступом к телефону пользователя. На сегодняшний день этот риск постепенно снижается, так как установка pin-кода на телефон — все более распространенная практика у пользователей. -
Файл документа, передаваемый на сервер ЭП в открытом виде, может быть атакован с целью модификации или кражи информации. Меры по установке закрытого канала связи с сервером подписи требуют установки на рабочее место пользователя специализированного программного обеспечения, что снижает мобильность этой технологии электронной подписи.
При этом, основной задачей, которую необходимо решить, является сближение практики рынка и законодательства, и вот почему.
Допустим, облачная подпись является квалифицированной, то есть, такой подписью ее владелец хочет оперировать при подписании юридически значимых документов для предоставления их в адрес государственных и муниципальных органов, обмена документами в системах юридически значимого электронного документооборота (ЮЗЭДО). В настоящее время некоторые операторы систем предоставляют пользователям такую возможность. Для выполнения криптографических операций с квалифицированной ЭП согласно 63-ФЗ должны использоваться сертифицированные средства криптографической защиты информации (СКЗИ).
Что можно сказать о необходимости сертификации продукта, на основе которого провайдеры предоставляют сервис облачной подписи?
В случае с «облачной подписью» в качестве СКЗИ, как правило, используется сертифицированный аппаратный HSM модуль (или другое подобное решение). HSM модуль занимается также и обеспечением безопасного хранения ключей электронной подписи. Сам модуль ключи пользователей не хранит, а хранит некий «мастер-ключ», предельный срок хранения которого составляет 3 года. Стойкость хранения ключей в HSM модуле подтверждается сертификатом соответствия регулятора. Ключ пользователя же хранится в базе данных в зашифрованном виде. Шифрование производится на мастер-ключ и PIN — код пользователя. Всеми операциями, связанными с генерацией пары ключей, управлением жизненным циклом сертификатов, операциями с электронной подписью и т.д. занимается сам сервер электронной подписи во взаимодействии с сертифицированным модулем HSM.
Таким образом, операциями с «облачной» электронной подписью занимается некоторая система, которая с точки зрения законодательства может трактоваться как «средство электронной подписи». Такое средство электронной подписи может, безусловно, использоваться для информационных систем, применяющих неквалифицированную электронную подпись.
Федеральным законом от
Конечным пользователям при наличии такой сертификации облачной подписи было бы недвусмысленно заявлено, что хранение его квалифицированного ключа электронной подписи в «облаке» надежно обеспечено, операции по простановке подписи и шифрованию защищены от внешнего воздействия и атак, что проверено государством в лице регулятора.
В более широком плане в результате сертификации были бы установлены требования к обеспечению безопасности применения «облачной подписи» при внедрении данного типа подписи в информационные системы (например, требования по многофакторной аутентификации при внедрении квалифицированной «облачной» подписи). В таком случае всем интеграторам было бы необходимо выполнить эти требования при внедрении.
Стандартизация доступа к серверу «облачной электронной подписи».
Сервер облачной электронной подписи действует в рамках информационной системы, в которую он встроен, либо автономно через веб-интерфейс, позволяющий пользователю осуществлять операции с документом вручную.
Каждый разработчик облачной ЭП предоставляет разработчикам систем свой протокол взаимодействия в зависимости от технологий разработки приложений сервера. Таким образом, нет единого стандарта по взаимодействию с серверами облачной подписи. Это снижает потенциал облачной ЭП, не позволяет пользователю использовать другие информационные системы, в которых происходит вызов функций криптографических операций из программного кода, не смотря на то, что его квалифицированная подпись не содержит ограничений на ее применение в них. Здесь нужна помощь со стороны государства, регулятора в области электронной подписи по упорядочению применения «облачной электронной подписи» в стране, в том числе и в области унификации программных протоколов.
Применение облачной подписи это один из шагов по развитию новейших технологий, наше приближение к удобному цифровому будущему. Однако в этой области еще есть над чем работать.
Выбор, использовать ли облачную подпись, ответственность пользователя.
Начнем с того, что с подачи производителей защищенных носителей электронная подпись чаще всего ассоциируется со специализированным ключевым носителем — токеном. Что сегодня понимает простой пользователь под словами «получить электронную подпись»? Подготовить договор (заявление) о присоединении к регламенту выбранного УЦ, подготовить копии нужных по регламенту документов и в итоге получить «токен». Что там на токене содержится, мало кого интересует. Главное, в понимании пользователя, токен — это и есть электронная подпись, которую надо не потерять и держать в секрете. Переход на «облачную» подпись требует от пользователя более глубокого понимания сути электронной подписи. Мало кому можно объяснить, почему в результате получения «облачной» электронной подписи за деньги можно получить только акт о проделанной работе без получения токена. Подпись-то где? Среднестатистический пользователь, не смотря на все преимущества облачной, выберет подпись на токене. Тем более что производители токенов добились внушительных результатов в автоматизации работы с токенами, в разнообразии форм-факторов, т.е. в повышении удобства работы с токенами.
При дальнейшем распространении практики применения «облачной» подписи работать пользователям станет значительно удобнее. Как минимум «облачную» подпись не потеряешь и не забудешь в другом помещении. Вывод: для дальнейшего развития применения «облачной» подписи необходимы:
-
гарантии со стороны государства в виде сертификата соответствия требованиям по безопасности информации средств облачной электронной подписи; -
разработанный стандарт на ее применение; -
технологическая готовность владельцев систем работать с «облачной» подписью других операторов.
Несмотря на ограничения, связанные с необходимостью сертификации для использования такой подписи в информационных системах, для удобства пользователей лидеры рынка уже предлагают клиентам облачную подпись. Квалифицированную облачную подпись можно получить, например, для работы в системах E-invoicing (Сбербанк), Контур.Экстерн, Контур.Эльба, Диадок, Sign.me, Татэнергосбыт и т.д. Наряду с перечисленными игроками компания «Сервионика» также обеспечила технологическую готовность облачной подписи и готова предоставлять этот сервис по запросу клиента.
Компания «Сервионика» (ГК «Ай-Теко»)
Источник