Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

хорошую работу на сайт">

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://allbest.ru

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Тамбовский государственный университет имени Г.Р. Державина»

Облачная электронная подпись: преимущества, недостатки и пути развития

Кириллова Владлена Олеговна

специалист учебно-методического отдела

Введение

Вместе с активной информатизацией всех сфер жизни современного общества реализуется переход к облачным вычислениям и сервисам.

Государственные услуги уже функционируют в облачных сервисах ввиду их высокой производительности для массового использования гражданами. облачный подпись безопасность логин банкинг

Перенос документооборота в облачные хранилища так же актуален и для малого динамически развивающегося бизнеса.

В процессе такого переноса и возникает вопрос безопасности и целесообразности использования облачной подписи.

Облачная подпись активно может использоваться в таких сферах деятельности, как:

· системы Интернет-банкинга или мобильного банкинга, в которых необходимо использование квалифицированной электронной подписи;

· порталы госуслуг, системы сдачи электронной отчетности;

· системы электронной коммерции;

· системы электронного документооборота.

Актуальность. Электронная подпись в облаке (облачная электронная подпись) - это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.

Облачная электронная подпись обладает всеми свойствами ЭП, только хранится не на токене или компьютере, а в Интернете - на специализированном защищенном сервере, в облаке.

Облачная ЭП подразумевает, что ваш закрытый ключ ЭП хранится на сервере удостоверяющего центра, и подписание документов происходит там же. С одной стороны факт того, что ключ и подписание документов происходят на стороне сервера удешевляет всю систему ЭП, с другой стороны ключ закрытый и должен храниться только у его владельца, что создает массу вопросов к безопасности данного сервиса.

Цели, задачи, материалы и методы. Целью данной работы является анализ научных публикаций и законодательства в сфере электронной подписи и ее подвида - облачной электронной подписи.

Реализация данной цели осуществляется с помощью решения следующих задач:

Провести анализ научной и учебной литературы по теме «Облачная электронная подпись»;

Изучить различные подходы к решению неотчуждаемости ключа электронной подписи пользователя;

Рассмотреть подробнее такие разработки как «Digital Signature Server» и «Hardware Security Module».

Методы исследования:

Анализ документов, федеральных законов;

Анализ данных периодической печати, учебной литературы, практических пособий.

Научная новизна. Новизна данной работы заключается в новом для ИТ индустрии РФ понятии Облачная подпись. Облачная подпись имеет свои достоинства и недостатки.

Облачная ЭП обычно дешевле обычной ЭП, это связано с отсутствием необходимости приобретения средства криптографической защиты информации и токена с сертификатом.

Для людей далеких от информационных технологий немаловажен факт простоты использования облачной подписи: не нужно устанавливать на АРМ сертификат ЭП и специальные средства работы с ней. Работать с облачной ЭП можно из любой точки мира, с любого устройства имеющего подключение к сети Интернет.

Однако существуют и недостатки, такие как передача и хранение ключа на сервере.

Серверы надежно защищены, но факт нарушения конфиденциальности ключа и отчуждения его от владельца делает облачную ЭП неквалифицированной, т.е. не подтвержденной сертификатом, выданным аккредитованным удостоверяющим центром.

Ориентированность облачной ЭП на одну конкретную систему, т.е. сервис облачной ЭП созданный для одной информационной системы, как правило, не применим для другой. Иначе говоря, пользователь обременен необходимостью обладания ключом подписи для каждой из систем.

Изложение основного материала

Облачная подпись в сегодняшнем понимании относится к категории усиленная неквалифицированная подпись. Большинство задач, выполняемых ею, соответствуют понятию, законодательно закрепленному как усиленная подпись. Но в то же время эта подпись не сертифицирована ФСБ как регулятором, отвечающим за безопасность подписей, основанных на криптографических методах. В настоящее время схема подписания документа в облаке выгладит так: подписание документов происходит на сервере DSS (Digital Signature Server) с использованием ключей, хранящихся в HSM (Hardware Security Module). При этом, доступ пользователей к HSM основан на использовании, как правило, некриптографических систем аутентификации, таких как:

* классическая однофакторная аутентификация по логину и паролю;

* двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS).

Основная проблема - идентификация личности пользователя - сохраняется и для облачной подписи. Выходя на облачный сервис, человек использует логин-пароль. Этого, конечно, мало. Нужно точно знать, кто вошел под этим логином-паролем. Можно использовать отпечаток пальца отправляя его по нешифруемому соединению серверу. Ключевым фактором останется «нешифруемое соединение», ведь мы не имеем средства криптографической защиты информации.

В таком случае нивелируется одно из основных назначений ЭП? надежный криптографический способ определения автора электронного документа. Такой подход может быть оправдан только для систем межкорпоративного электронного документооборота в которых решение на базе DSS/HSM реализуется на уровне участвующих в них корпораций. В этом случае исходящие документы в общей системе обрабатываются по обычным правилам, а хранение ключей в защищённом облаке, реализуется для удобства сотрудников.

Федеральным законом от 06-04-2011 № 63-ФЗ «Об электронной подписи» установлено, что для создания и проверки квалифицированной электронной подписи должны использоваться средства электронной подписи, получившие подтверждение соответствия требованиям этого закона, то есть прошедшие сертификацию на соответствие требованиям 63-ФЗ у регулятора . Более простой проверки, контроля встраивания СКЗИ в конкретную информационную систему, где используется облачная электронная подпись, может оказаться недостаточно .

В настоящее время компании разработки средств защиты информации озабочены повышением безопасности аутентификации пользователя при подтверждении подписания документа облачной ЭП и шифрованием данных при передачи посредством сети Интернет. Компании КРИПТО-ПРО и SafeTech представили совместную разработку КриптоПро myDSS на базе программно-аппаратного комплекса облачной электронной подписи (ЭП) КриптоПро DSS и системы подтверждения электронных транзакций PayControl .

Однако на данный момент решение находится на сертификации в ФСБ России, и подпись является квалифицированной только, по словам разработчиков. Контур.Диадок так же предлагает квалифицированную усиленную облачную ЭП с относительно низкой стоимостью и аутентификацией через логин+пароль и sms-сообщение с одноразовым паролем . Сертификата ФСБ России на сайте на обнаружено. Таким образом, безопасность использования напрямую связана с доступом к телефону пользователя. На сегодняшний день этот риск постепенно снижается, так как установка примитивной парольной защиты на телефон - все более распространенная практика у пользователей.

Заключение, результаты, выводы

Применение облачной подписи это один из шагов по развитию новейших информационных технологий, наше приближение к удобному цифровому будущему. Однако в этой области еще есть над чем работать.

Необходимы гарантии со стороны государства в виде сертификата соответствия требованиям по безопасности информации средств облачной электронной подписи. Целесообразна разработка и внедрение стандарта на применение облачной электронной подписи.

Библиографический список

1. Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ (последняя редакция) [Электронный ресурс]. - Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_112701/ (дата обращения: 07.06.2017)

2. Облачная подпись: сближение практики и законодательства [Электронный ресурс]. - Режим доступа: http://roseu.org/article/32 (дата обращения: 07.06.2017)

3. КриптоПро myDSS [Электронный ресурс]. - Режим доступа: https://www.cryptopro.ru/products/mydss (дата обращения: 07.06.2017)

4. Что такое облачная электронная подпись?[Электронный ресурс]. - Режим доступа: http://www.diadoc.ru/lp-instruction (дата обращения: 07.06.2017)

Аннотация

УДК 004.056.53

Облачная электронная подпись: преимущества, недостатки и пути развития. Кириллова Владлена Олеговна, специалист учебно-методического отдела. Федеральное государственное бюджетное образовательное учреждение высшего образования «Тамбовский государственный университет имени Г.Р. Державина»

В статье рассматривается проблема использования облачной электронной подписи с точки зрения законности и безопасности. Освещены различные подходы к изучению проблемы, приведены примеры российских разработок.

Ключевые слова: электронная подпись, облако, безопасность, информационные технологии, облачные технологии

Annotation

Cloud electronic signature: advantages, disadvantages and ways of development. Kirillova Vladlena Olegovna, a specialist in the teaching and methodical department. Federal State Budget Educational Institution of Higher Education "Tambov State University named G.R. Derzhavin »

The article discusses the problem of using cloud electronic signature from the point of view of legality and security. Various approaches to the study of the problem are highlighted, examples of Russian developments are given.

Keywords: electronic signature, cloud, security, Information Technology, cloud technologies

Размещено на Allbest.ru

Подобные документы

Закон "Об электронной подписи". Определение, технологии применения и принципы формирования электронной подписи. Стандартные криптографические алгоритмы. Понятие сертификата ключа подписи и проверка его подлинности. Системы электронного документооборота.

презентация , добавлен 19.01.2014


Назначение электронной цифровой подписи. Использование хеш-функций. Симметричная и асимметричная схема. Виды асимметричных алгоритмов электронной подписи. Создание закрытого ключа и получение сертификата. Особенности электронного документооборота.

реферат , добавлен 20.12.2011


Схема формирования электронной цифровой подписи, её виды, методы построения и функции. Атаки на электронную цифровую подпись и правовое регулирование в России. Средства работы с электронной цифровой подписью, наиболее известные пакеты и их преимущества.

реферат , добавлен 13.09.2011


Общая схема цифровой подписи. Особенности криптографической системы с открытым ключом, этапы шифровки. Основные функции электронной цифровой подписи, ее преимущества и недостатки. Управление ключами от ЭЦП. Использование ЭЦП в России и других странах.

курсовая работа , добавлен 27.02.2011


Правовое регулирование отношений в области использования электронной цифровой подписи. Понятие и сущность электронной цифровой подписи как электронного аналога собственноручной подписи, условия ее использования. Признаки и функции электронного документа.

контрольная работа , добавлен 30.09.2013


Назначение и применение электронной цифровой подписи, история ее возникновения и основные признаки. Виды электронных подписей в Российской Федерации. Перечень алгоритмов электронной подписи. Подделка подписей, управление открытыми и закрытыми ключами.

курсовая работа , добавлен 13.12.2012


Организационно-правовое обеспечение электронной цифровой подписи. Закон "Об электронной цифровой подписи". Функционирование ЭЦП: открытый и закрытый ключи, формирование подписи и отправка сообщения. Проверка (верификация) и сфера применения ЭЦП.

курсовая работа , добавлен 14.12.2011


Понятие, история создания электронной цифровой подписи. Ее разновидности и сфера применения. Использование ЭЦП в России и в других странах, ее алгоритмы и управление ключами. Способы ее подделки. Модели атак и их возможные результаты. Социальные атаки.

реферат , добавлен 15.12.2013


Общая характеристика электронной подписи, ее признаки и составляющие, основные принципы и преимущества применения. Использование электронной цифровой подписи в России и за рубежом. Правовое признание ее действительности. Сертификат ключа проверки ЭЦП.

курсовая работа , добавлен 11.12.2014


Электронная цифровая подпись: понятие, составляющие, назначение и преимущества ее использования. Использование ЭЦП в мире. Правовые основы и особенности использования ЭЦП в Украине. Функция вычисления подписи на основе документа и секретного ключа.

Электронная отчётность в России появилась около 10 лет назад. За прошедший период у бухгалтеров было много возможностей оценить её преимущества. С каждым годом количество компаний, сдающих отчётность в электронном виде, увеличивается в геометрической прогрессии. На сегодняшний день электронная отчётность - свидетельство эффективной работы компании и показатель уровня квалификации бухгалтера. Но если заверение отчётов электронной подписью стало уже привычным для российских компаний, то использование облачной электронной подписи - относительная редкость.

Давайте сравним возможности использования «традиционной» и облачной электронной подписи по нескольким параметрам: необходимость программного обеспечения, безопасность передачи данных и стоимость.

Традиционная электронная подпись требует обязательной установки специальной программы. При этом, заверить отчётность электронной подписью можно будет только на том компьютере, где установлено необходимое ПО. Кроме того, в российской действительности достаточно часто возникают ситуации, когда ключ электронной подписи вступает в конфликт с ключом от интернет-банка. В подобной ситуации компания вынуждена использовать специально выделенный компьютер для отправки электронной отчётности. Программное обеспечение для традиционной электронной подписи, как любое ПО, требует периодического обновления и затрат на обслуживание.

Необходимость устранения указанных недостатков и возможности высоких технологий позволили создать облачную электронную подпись. В отличие от традиционной ЭП, облачная - не требует установки на компьютер программного обеспечения и криптографии. Удостоверяющий центр выпускает электронную подпись и размещает её в своей сертифицированной защищенной ячейке (облаке). Доступ к этой ячейке есть только у владельца подписи с помощью sms, которое приходит на мобильный телефон. Поскольку вся информация о доступе к облачной электронной подписи хранится на облачном сервере в удостоверяющем центре, бухгалтер может ставить подпись иотправлять электронные отчёты с любого компьютера, планшета, смартфона или даже с мобильного телефона, имеющего доступ в интернет. Несомненным преимуществом облачной электронной подписи является отсутствие затрат на покупку программного обеспечения, его поддержку и обновление. Эта технология также применяется во многих интернет-банках.

Несмотря на то, что облачная электронная подпись ещё достаточно новое понятие для российской бухгалтерии, успешный опыт внедрения новых технологий уже накоплен. Первой на российском рынке внедрила облачную электронную подпись с использованием одноразовых паролей по sms интернет-бухгалтерия «Моё дело», совместно с удостоверяющим центром «Калуга Астрал». На сегодняшний день с помощью облачной ЭП уже сдано более 100 тысяч бухгалтерских отчётов.

«За два года работы, сервисом воспользовалась не одна тысяча организаций, которые оценили его удобство, доступность и дружественность для пользователя»,- говорит Игорь Чернин, директор компании «Калуга Астрал». «Сервис повысил привлекательность электронного способа сдачи отчётности для малых предприятий и ИП. Технические решения в области платформенной разработки и в области использования «облачной» ЭП, которые были реализованы в рамках сервиса, легли в основу многих аналогичных продуктов работающих сейчас на рынке».

Преимущества облаков оценили и другие участники рынка. К примеру, компания КРИПТО-ПРО, занимающая лидирующие позиции по распространению средств криптографической защиты информации и электронной цифровой подписи, создала новый программно-аппаратный криптографический модуль «КриптоПро HSM». Хотя пока этот сервис для отчётности не применяется, движение уже есть и есть надежда, что через пару лет о традиционной электронной подписи можно будет забыть в тех местах, где нет в ней стопроцентной необходимости.

Рынок уже несколько лет находится в ожидании «облачной» КЭП. Теперь, когда решение найдено, апробировано и прошло сертификацию ФСБ России, пришло время его внедрения в повседневную жизнь..

Давно сформированный и продолжающий усиливаться тренд на массовую цифровизацию иногда радует поистине прорывными решениями, которые экономят финансы, а также месяцы или даже годы человеко-часов своих пользователей. Очередной пример — это «облачная» электронная подпись.

«Облачная» квалифицированная электронная подпись («облачная» КЭП) — это юридически значимая электронная подпись, реализованная с помощью технологии, которая все вычислительные операции с использованием ЭП переносит на внешний сервис («облако»), на стороне пользователя оставляя лишь необходимость подтвердить свою личность и совершение операции удобным способом (например, через мобильное приложение).

Разобраться с тем, почему многие проблемы цифровой экономики становятся неактуальными для владельцев «облачной» квалифицированной электронной подписи, поможет понимание принципов и преимуществ технологии.

Суть технологии

Технология «облачной» электронной подписи базируется на 2 основных элементах: КриптоПро DSS 2.0* и КриптоПро HSM 2.0*, поддерживающие новый ГОСТ Р 34.10-2012. Подробнее о переходе на новый ГОСТ формирования электронной подписи можно прочитать в статье « ».

* Продукты компании ООО «КРИПТО-ПРО» - лидера рынка производства и распространения средств криптографической защиты информации (СКЗИ) и электронной подписи.

КриптоПро DSS — это сервер «облачной» ЭП, веб-интерфейс или, проще говоря, «оболочка», которую видит и с которой взаимодействует пользователь. КриптоПро DSS может использоваться как сам по себе, так и в составе других систем (ДБО, ЭДО, ЭТП, приложения для ПК и мобильных устройств), для интеграции с которыми предоставляются различные API (базовая часть интерфейса прикладного программирования, на основе которой легко надстроить нужный функционал в различных системах).

КриптоПро HSM — это программно-аппаратный криптографический модуль, предназначенный для безопасного хранения и использования секретных ключей ЭП удостоверяющих центров и пользователей. КриптоПро HSM выполняет операции формирования, проверки ЭП и вычисления значений хэш-функции, шифрования и расшифровки данных.

Реализованное компанией ООО «КРИПТО-ПРО» решение позволяет перенести ключ ЭП в «облако», позволяя владельцам обрести мобильность и забыть о риске компрометации подписи, потери токена и о ряде других сопутствующих проблем.

Подробнее о преимуществах «облачной» квалифицированной электронной подписи

1 — Подлинная мобильность

Пользователь ЭП освобождается от «жесткой» привязки к настроенному рабочему месту. Цикл работ по настройке криптографических механизмов и форматов, например, установка средства криптографической защиты - программы КриптоПро CSP, и по управлению ключами берут на себя серверные компоненты решения. Теперь доступ к ключу электронной подписи можно получить и с настольного компьютера, и с ноутбука, и с планшета, и со смартфона и даже с телефона, не имеющего подключения к Интернету. Для работы КриптоПро DSS требуется установить лишь удобное средство аутентификации.

Варианты аутентификации пользователей «облачной» КЭП

a. доступное и для iOS, и для Android мобильное приложение myDSS;
b. SIM-карта с криптографическим апплетом;
c. смарт-карта или USB-токен с криптографией;
d. использование средств протокола TLS (протокол защиты транспортного уровня).

2 — Защита от компрометации наивысшего уровня

Хранилище ключей — КриптоПро HSM, снабжено датчиками вскрытия, механизмами доверенной генерации и уничтожения ключей, «барьером» от утечек по побочным каналам и от внутреннего нарушителя (администратора), а также другими уровнями защиты, соответствующими классу КВ2. Ключи становятся неизвлекаемыми и некомпрометируемыми.

3 — Производительность

Аппаратные ресурсы решения обеспечивают высокую скорость вычисления электронной подписи, позволяя путем их наращивания масштабировать производительность до любого требуемого уровня.

4 — Надежность

С «облачной» ЭП больше не страшен риск отказа ключевого носителя, его поломки, потери или кражи. Любой сбой пройдет для пользователя незаметно и без последствий благодаря аппаратному резервированию серверных компонент. В качестве примера аппаратного резервирования можно привести дублирование.

5 — Экономическая целесообразность

Решение отменяет необходимость в обязательных расходах на строго регламентированную настройку рабочего места, т. е. на приобретение и установку локальных средств электронной подписи, на покупку usb-токенов и смарт-карт. Вместо этого пользователи получают гибкость в выборе вариантов аутентификации, которые подразумевают упрощенные процедуры передачи СКЗИ и установки средств ЭП. Выгода от владения данным решением также обеспечивается за счет того, что обслуживание множества пользователей, обеспечение высокой производительности, централизованное хранение ключей с аппаратным резервированием берет на себя один сервер. Переход на «облачную» КЭП позволит сохранить инвестиции , вложенные в:

a. систему электронного документооборота, поскольку не будет необходимости дорабатывать или менять действующую систему;
b. программное обеспечение для работы с ЭП, так как не будет необходимости отказываться от привычного ПО, например, КриптоПро CSP при установке «облачного» криптопровайдера Cloud CSP «бесшовно» сможет использовать ключи, хранящиеся в «облаке»;
c. партию аппаратных токенов, которыми обеспечен штат сотрудников компании, ведь они смогут выступить в качестве одного из вариантов аутентификации владельцев «облачной» квалифицированной электронной подписи.

Кроме этого, актуальный для 2018 года переход на новый ГОСТ Р 34.10-2012 не потребует от пользователей решения дополнительных вложений ни в покупку новых токенов, ни нового ПО при условии подключения расширенной технической поддержки.

Вопрос «квалифицированности» «облачной» ЭП

Технически и организационно сложное в своей реализации решение прошло долгий путь от идеи до получения сертификата от Федеральной Службы Безопасности. Процесс был осложнен тем, что помимо применения передовых технологий необходимо было обеспечить должный уровень безопасности пользователей.

10 августа 2018 года компания-разработчик ООО «КРИПТО-ПРО» получила сертификаты ФСБ России на все разработанные комплектации КриптоПро HSM 2.0 и DSS 2.0. Это позволяет формировать квалифицированные электронные подписи, используя любой из перечисленных выше способов аутентификации.

Сертификаты ФСБ России на различные комплектации решения

Для того чтобы наглядно продемонстрировать надежность данного решения, в качестве примера приведем один из вариантов прохождения аутентификации пользователя «облачной» квалифицированной электронной подписи.

Схема аутентификации пользователя «облачной» КЭП через мобильное приложение КриптоПро myDSS

Описание типовой схемы:

1. Создание документа пользователем в сервисе, интегрированном с сервером КриптоПро DSS.
2. Отправка документа на подписание пользователю через сервер.
3. С помощью мобильного приложения КриптоПро myDSS у пользователя запрашивается разрешение на подпись документа.
4. Документ отображается в приложении, для подтверждения операции пользователь вводит пароль (или, если пароль сохранен, проходит аутентификацию Touch ID/Face ID).
5. Криптографический код подтверждения, фиксирующий привязку к пользователю, содержимому документа, времени операции и отпечатку устройства, пересылается на сервер.
6. При условии успешной проверки кода подтверждения КриптоПро DSS формирует и отправляет запрос на подписание документа ключом электронной подписи пользователя в КриптоПро HSM. Программно-аппаратный криптографический модуль выполняет операцию и направляет подписанный КЭП документ обратно на сервер.
7. Подписанный документ отправляется в систему, интегрированную с КриптоПро DSS (например, ЭДО, ДБО и т.д.).

Внедрение и стоимость «облачной» квалифицированной электронной подписи

Важно отметить, что ввиду технических и организационных особенностей реализации решения, оно преимущественно ориентировано на крупные организации с разветвленной сетью владельцев электронных подписей и высокой мобильностью сотрудников: например, удостоверяющие центры, банки, страховые, производственно-сбытовые компании. Это не станет помехой для организаций другого типа и масштаба в использовании на практике «облачной» КЭП. Но может привести к диспропорции между стоимостью внедрения технологии и полученным эффектом.

Внедрение технологии «облачной» КЭП осуществляется при помощи компании-интегратора**. Интегратор обеспечивает взаимодействие разработчика ООО «КРИПТО-ПРО» и организации - конечного пользователя, которой ввиду высокой технологической сложности решения требуется помощь специалистов.

Цена внедрения нужной комплектации решения, а значит и итоговая стоимость каждой «облачной» квалифицированной электронной подписи рассчитывается для клиентов в индивидуальном порядке. Эти величины не имеют коммерческой «вольности», но строго определяются анализом текущего технического оснащения компании, временными и трудо- затратами интегратора на подбор подходящих вариантов, а затем необходимыми инвестициями в реализацию выбранного «пути».

Приглашаем читателей портала сайт получить подробную консультацию по развертыванию технологии «облачной» квалифицированной электронной подписи на практике, заявки принимаются на почту . В теле письма нужно указать название организации, направление бизнеса, контактное лицо и телефон для обратной связи.

Статья создана на основе информационно-справочных материалов ООО «КРИПТО-ПРО» и АО «Аналитический Центр». При использовании текста или его фрагментов обязательно соблюдение правил, указанных внизу портала

Электронная подпись применяется повсеместно. Для этого в удостоверяющем центре приобретается квалифицированный сертификат электронной подписи , на рабочий компьютер устанавливается требуемое программное обеспечение, после чего владельцу становятся доступны блага электронного документооборота. При всем удобстве такого обмена информацией есть и минусы: ЭП требует бережного хранения закрытого ключа и привязывает к конкретному рабочему месту, не позволяя воспользоваться подписью с другого компьютера.

Что такое облачная электронная подпись
Эти проблемы с успехом решает облачная электронная подпись - мобильная, удобная и простая в применении. Ее суть сводится к тому, что закрытый ключ хранится не у пользователя, а на сервере удостоверяющего центра, где и происходит визирование документа. Ответственность за хранение ключа при использовании облачной ЭП также несет удостоверяющий центр. Личность пользователя при этом подтверждается посредством SMS авторизации. Очевидно, что применение такой электронной подписи дает пользователю много преимуществ.

Облачная ЭП: плюсы

• Самое главное и неоспоримое достоинство облачной электронной подписи в том, что воспользоваться ею можно в любом месте, с любого компьютера. Единственное необходимое условие - доступ к интернету.
• Облачная ЭП не нуждается в специальном программном обеспечении: пользователю не придется устанавливать на компьютер ни сертификат ключа подписи , ни вспомогательные программы.
• Использование облачной электронной подписи обходится на порядок дешевле по сравнению с традиционной за счет того, что нет нужды приобретать дорогие средства криптозащиты.
• Пользоваться облачной электронной подписью можно с любых мобильных устройств, будь то планшет, нетбук или даже смартфон - независимо от платформы, на которой работает девайс.
• И наконец, облачная технология позволяет подписывать документы не только простой, но и усиленной квалифицированной ЭП, обладающей самой высокой степенью защищенности.

Может показаться, что эта технология состоит из одних достоинств, но это не совсем так.

Облачная ЭП: минусы

• Некоторые компании из тех, с которыми пользователь взаимодействует посредством электронного документооборота, могут возражать против использования облачной ЭП по причине недостаточно высокой степени безопасности. Ведь фактически право подписи серьезных документов при такой технологии передается третьему лицу.
• Не всех пользователей устраивает, что закрытый ключ ЭП хранится не у них, а на сервере удостоверяющего центра. Несмотря на надежную защиту серверов, многих пользователей беспокоит степень конфиденциальности данных, которые они вынуждены передавать УЦ для подписания.
• Не все сервисы поддерживают ПО удостоверяющего центра, поэтому облачная технология применима только для тех из них, интеграция которых с программным обеспечением УЦ возможна.

Облачная электронная подпись будет незаменима для тех, кому часто приходится подписывать и отправлять электронные документы вне стен офиса, - аудиторам, бизнесменам, юристам, руководителям предприятий. Тем сотрудникам, которые редко покидают рабочие кабинеты, больше подойдет «стационарный» вариант ЭП.

В традиционном, привычном для подавляющего большинства пользователей понимании электронной подписи (ЭП) ключ этой самой подписи хранится у её владельца. Чаще всего для этого используется некий защищённый ключевой носитель в формате USB-токена или смарт-карты, который пользователь может носить с собой. Этот ключевой носитель тщательно оберегается владельцем от посторонних лиц, поскольку попадание ключа в чужие руки означает его компрометацию. Для использования ключа на устройстве владельца устанавливается специализированное программное обеспечение (СКЗИ), предназначенное для вычисления ЭП.

С другой стороны, в мире ИТ всё шире применяется концепция « облачных вычислений» , которая во многих отношениях имеет массу преимуществ по сравнению с использованием традиционных приложений, установленных на компьютере пользователя. Вследствие этого возникает вполне закономерное желание воспользоваться данными преимуществами облачных технологий для создания « ЭП в облаке» .

Но прежде чем решать данную задачу необходимо определить, что же мы будем понимать под « электронной подписью в облаке» . В настоящее время в разных источниках можно встретить разные же трактовки этого понятия, зачастую годящиеся разве что только для объяснения на пальцах человеку « с улицы» , который зашёл в Удостоверяющий Центр, чтобы « купить электронную подпись» .

Что такое квалифицированная электронная подпись в облаке

Для целей данной статьи, а также других научно-популярных и практических дискурсов об облачной электронной подписи предлагается использовать следующее определение.

Электронная подпись в облаке (облачная электронная подпись) - это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.

В соответствии с данным определением, для облачной электронной подписи может использоваться в том числе и локальное средство ЭП. Например, используя , пользователь через веб-браузер может подписывать электронный документ с помощью средства ЭП, установленного на его оконечном устройстве (персональный компьютер или планшет). В подобной системе ключ подписи остаётся у владельца и вопросы безопасности решаются с помощью стандартного набора средств, известного в мире « традиционной ЭП» . Если хотите, можно назвать это облачной ЭП с локальным средством ЭП .

Другой вариант облачной ЭП получается при использовании средства ЭП, размещённого в облаке. Для удобства дальнейшего изложения назовём такую схему полностью облачной ЭП , чтобы отличать её от предыдущей. Эта схема регулярно вызывает жаркие дискуссии среди специалистов, поскольку подразумевает передачу самого ключа подписи « в облако» . Данная же статья призвана прояснить ряд вопросов, связанных с безопасностью полностью облачной ЭП.

Начнём с главного

Основной головной болью при переводе любой ИТ-системы « в облако» становится боль « безопасников» (и помогающих им юристов), связанная с передачей « туда» информации для обработки или хранения. Если раньше эта информация не покидала некоторого защищённого периметра, иможно было сравнительно легко обеспечить её конфиденциальность, то в облаке само понятие периметра отсутствует. При этом ответственность за обеспечение конфиденциальности информации в каком-то смысле « размывается» между её владельцем и поставщиком облачных услуг.

То же самое происходит и с ключом ЭП, передаваемым в облако. Более того, ключ ЭП - это не просто конфиденциальная информация. Ключ должен быть доступен только одному лицу - его владельцу. Таким образом, доверие к облачной подписи определяется не только личной ответственностью пользователя, но и безопасностью хранения и использования ключа на сервере и надежностью механизмов аутентификации.

В настоящее время проводятся сертификационные испытания нашего решения . Это сервер облачной ЭП, хранящий ключи и сертификаты пользователей и предоставляющий аутентифицированный доступ к ним для формирования электронной подписи. Оба упомянутых выше аспекта безопасности облачной ЭП в частности являются предметом исследований, проводимых в ходе испытаний КриптоПро DSS. В то же время, стоит отметить, что существенная часть этих вопросов уже рассмотрена в рамках тематических исследований , на котором основывается КриптоПро DSS.

В нашей стране пока слабо проработаны организационно-правовые аспекты применения облачной ЭП, поэтому в данной статье мы рассмотрим КриптоПро DSS с точки зрения требований к серверу подписи, разработанных Европейским Комитетом по Стандартизации (CEN).

Европейский путь

В октябре 2013 года Европейский Комитет по Стандартизации (CEN) одобрил техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing». В этом документе приводятся требования и рекомендации к серверу электронной подписи, предназначенному для создания, в том числе, квалифицированных подписей.

Хочется отметить, что уже сейчас КриптоПро DSS в полном объёме соответствует требованиям данной спецификации в наиболее сильном варианте: требованиям Уровня 2, предъявляемым для формирования квалифицированной электронной подписи (в терминах европейского законодательства).

Одним из основных требований Уровня 2 является поддержка строгих вариантов аутентификации. В этих случаях аутентификация пользователя происходит напрямую на сервере подписи - в противоположность допустимой для Уровня 1 аутентификации в приложении, которое от своего имени обращается к серверу подписи. Все методы аутентификации, поддерживаемые КриптоПро DSS, удовлетворяют данному требованию Уровня 2.

В соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны храниться в памяти специализированного защищенного устройства (криптографический токен, HSM). В случае КриптоПро DSS таковым устройством является программно-аппаратный криптографический модуль КриптоПро HSM - сертифицированный ФСБ России по уровню KB2 как средство ЭП.

Аутентификация пользователя на сервере электронной подписи для выполнения требований Уровня 2 обязана быть как минимум двухфакторной. КриптоПро DSS поддерживает широкий, постоянно пополняемый спектр методов аутентификации, в том числе и двухфакторных. Помимо привычных криптографических токенов в качестве средства аутентификации может использоваться и специализированное приложение на смартфоне, такое как , и генераторы одноразовых паролей (OTP-токены). В документе CEN эти методы также упомянуты.

Ещё одним перспективным способом аутентификации по Уровню 2 может стать использование криптографического приложения на SIM-карте в телефоне. По нашему мнению, данный вариант использования SIM-карт с криптографией наиболее реален, поскольку построение функционально законченного СКЗИ (или средства ЭП) по новым требованиям ФСБ на базе только лишь SIM-карты вряд ли возможно.

Рассматриваемая техническая спецификация также допускает использование сервера электронной подписи для формирования подписей сразу для некоторого набора документов. Данная возможность может быть полезна при подписании большого массива однородных документов, отличающихся лишь данными в нескольких полях. При этом аутентификация пользователя производится один раз для всего пакета документов. Поддержка такого варианта использования также имеется в КриптоПро DSS.

В документе CEN содержится также ряд требований к формированию, обработке, использованию и удалению пользовательского ключевого материала, а также к свойствам внутренней ключевой системы сервера электронной подписи и к аудиту. Эти требования полностью и даже «с запасом» покрываются требованиями, предъявляемыми к средствам ЭП класса KB2, по которому сертифицирован отвечающий за данные вопросы ПАКМ « КриптоПро HSM» .

Наше будущее

Решение КриптоПро DSS поддерживает широкий набор методов аутентификации, среди которых для каждой задачи возможно подобрать подходящий. Надёжность наиболее безопасных из них соответствует самым строгим критериям европейских требований CEN/TS 419241 и, как мы рассчитываем, в недалёком будущем будет подтверждена сертификатом соответствия ФСБ России.

Алексей Голдбергс,

заместитель технического директора

ООО "КРИПТО-ПРО"

Станислав Смышляев, к.ф.-м.н.,

начальник отдела защиты информации

ООО "КРИПТО-ПРО"

Павел Смирнов, к.т.н.,

заместитель начальника отдела разработок

ООО "КРИПТО-ПРО"