Что такое облачная подпись Сбербанк бизнес

Рынок уже несколько лет находится в ожидании «облачной» КЭП. Теперь, когда решение найдено, апробировано и прошло сертификацию ФСБ России, пришло время его внедрения в повседневную жизнь. Подробнее о технологии, ее стоимости, установке и преимуществах в материале портала iEcp.ru.

Давно сформированный и продолжающий усиливаться тренд на массовую цифровизацию иногда радует поистине прорывными решениями, которые экономят финансы, а также месяцы или даже годы человеко-часов своих пользователей. Очередной пример — это «облачная» электронная подпись.

«Облачная» квалифицированная электронная подпись («облачная» КЭП) — это юридически значимая электронная подпись, реализованная с помощью технологии, которая все вычислительные операции с использованием ЭП переносит на внешний сервис («облако»), на стороне пользователя оставляя лишь необходимость подтвердить свою личность и совершение операции удобным способом (например, через мобильное приложение).

Разобраться с тем, почему многие проблемы цифровой экономики становятся неактуальными для владельцев «облачной» квалифицированной электронной подписи, поможет понимание принципов и преимуществ технологии.

Привязка облачной подписи к приложению My DSS

Суть технологии

Технология «облачной» электронной подписи базируется на 2 основных элементах: КриптоПро DSS 2.0* и КриптоПро HSM 2.0*, поддерживающие новый ГОСТ Р 34.10-2012. Подробнее о переходе на новый ГОСТ формирования электронной подписи можно прочитать в статье «Старт выпуска подчиненных сертификатов аккредитованных УЦ по новому ГОСТ».

* Продукты компании ООО «КРИПТО-ПРО» — лидера рынка производства и распространения средств криптографической защиты информации (СКЗИ) и электронной подписи.

КриптоПро DSS — это сервер «облачной» ЭП, веб-интерфейс или, проще говоря, «оболочка», которую видит и с которой взаимодействует пользователь. КриптоПро DSS может использоваться как сам по себе, так и в составе других систем (ДБО, ЭДО, ЭТП, приложения для ПК и мобильных устройств), для интеграции с которыми предоставляются различные API (базовая часть интерфейса прикладного программирования, на основе которой легко надстроить нужный функционал в различных системах).

КриптоПро HSM — это программно-аппаратный криптографический модуль, предназначенный для безопасного хранения и использования секретных ключей ЭП удостоверяющих центров и пользователей. КриптоПро HSM выполняет операции формирования, проверки ЭП и вычисления значений хэш-функции, шифрования и расшифровки данных.

Реализованное компанией ООО «КРИПТО-ПРО» решение позволяет перенести ключ ЭП в «облако», позволяя владельцам обрести мобильность и забыть о риске компрометации подписи, потери токена и о ряде других сопутствующих проблем.

Подробнее о преимуществах «облачной» квалифицированной электронной подписи

1 — Подлинная мобильность

Пользователь ЭП освобождается от «жесткой» привязки к настроенному рабочему месту. Цикл работ по настройке криптографических механизмов и форматов, например, установка средства криптографической защиты — программы КриптоПро CSP, и по управлению ключами берут на себя серверные компоненты решения. Теперь доступ к ключу электронной подписи можно получить и с настольного компьютера, и с ноутбука, и с планшета, и со смартфона и даже с телефона, не имеющего подключения к Интернету. Для работы КриптоПро DSS требуется установить лишь удобное средство аутентификации.

Выпуск бесплатной электронной подписи

Варианты аутентификации пользователей «облачной» КЭП

a. доступное и для iOS, и для Android мобильное приложение myDSS;
b. SIM-карта с криптографическим апплетом;
c. смарт-карта или USB-токен с криптографией;
d. использование средств протокола TLS (протокол защиты транспортного уровня).

2 — Защита от компрометации наивысшего уровня

Хранилище ключей — КриптоПро HSM, снабжено датчиками вскрытия, механизмами доверенной генерации и уничтожения ключей, «барьером» от утечек по побочным каналам и от внутреннего нарушителя (администратора), а также другими уровнями защиты, соответствующими классу КВ2. Ключи становятся неизвлекаемыми и некомпрометируемыми.

3 — Производительность

Аппаратные ресурсы решения обеспечивают высокую скорость вычисления электронной подписи, позволяя путем их наращивания масштабировать производительность до любого требуемого уровня.

4 — Надежность

С «облачной» ЭП больше не страшен риск отказа ключевого носителя, его поломки, потери или кражи. Любой сбой пройдет для пользователя незаметно и без последствий благодаря аппаратному резервированию серверных компонент. В качестве примера аппаратного резервирования можно привести дублирование.

5 — Экономическая целесообразность

Решение отменяет необходимость в обязательных расходах на строго регламентированную настройку рабочего места, т. е. на приобретение и установку локальных средств электронной подписи, на покупку usb-токенов и смарт-карт. Вместо этого пользователи получают гибкость в выборе вариантов аутентификации, которые подразумевают упрощенные процедуры передачи СКЗИ и установки средств ЭП. Выгода от владения данным решением также обеспечивается за счет того, что обслуживание множества пользователей, обеспечение высокой производительности, централизованное хранение ключей с аппаратным резервированием берет на себя один сервер. Переход на «облачную» КЭП позволит сохранить инвестиции, вложенные в:

a. систему электронного документооборота, поскольку не будет необходимости дорабатывать или менять действующую систему;
b. программное обеспечение для работы с ЭП, так как не будет необходимости отказываться от привычного ПО, например, КриптоПро CSP при установке «облачного» криптопровайдера Cloud CSP «бесшовно» сможет использовать ключи, хранящиеся в «облаке»;
c. партию аппаратных токенов, которыми обеспечен штат сотрудников компании, ведь они смогут выступить в качестве одного из вариантов аутентификации владельцев «облачной» квалифицированной электронной подписи.

Кроме этого, актуальный для 2018 года переход на новый ГОСТ Р 34.10-2012 не потребует от пользователей решения дополнительных вложений ни в покупку новых токенов, ни нового ПО при условии подключения расширенной технической поддержки.

Вопрос «квалифицированности» «облачной» ЭП

Технически и организационно сложное в своей реализации решение прошло долгий путь от идеи до получения сертификата от Федеральной Службы Безопасности. Процесс был осложнен тем, что помимо применения передовых технологий необходимо было обеспечить должный уровень безопасности пользователей.

10 августа 2018 года компания-разработчик ООО «КРИПТО-ПРО» получила сертификаты ФСБ России на все разработанные комплектации КриптоПро HSM 2.0 и DSS 2.0. Это позволяет формировать квалифицированные электронные подписи, используя любой из перечисленных выше способов аутентификации.

Сертификаты ФСБ России на различные комплектации решения

Для того чтобы наглядно продемонстрировать надежность данного решения, в качестве примера приведем один из вариантов прохождения аутентификации пользователя «облачной» квалифицированной электронной подписи.

Схема аутентификации пользователя «облачной» КЭП через мобильное приложение КриптоПро myDSS

Описание типовой схемы:

1. Создание документа пользователем в сервисе, интегрированном с сервером КриптоПро DSS.
2. Отправка документа на подписание пользователю через сервер.
3. С помощью мобильного приложения КриптоПро myDSS у пользователя запрашивается разрешение на подпись документа.
4. Документ отображается в приложении, для подтверждения операции пользователь вводит пароль (или, если пароль сохранен, проходит аутентификацию Touch ID/Face ID).
5. Криптографический код подтверждения, фиксирующий привязку к пользователю, содержимому документа, времени операции и отпечатку устройства, пересылается на сервер.
6. При условии успешной проверки кода подтверждения КриптоПро DSS формирует и отправляет запрос на подписание документа ключом электронной подписи пользователя в КриптоПро HSM. Программно-аппаратный криптографический модуль выполняет операцию и направляет подписанный КЭП документ обратно на сервер.
7. Подписанный документ отправляется в систему, интегрированную с КриптоПро DSS (например, ЭДО, ДБО и т.д.).

Внедрение и стоимость «облачной» квалифицированной электронной подписи

Важно отметить, что ввиду технических и организационных особенностей реализации решения, оно преимущественно ориентировано на крупные организации с разветвленной сетью владельцев электронных подписей и высокой мобильностью сотрудников: например, удостоверяющие центры, банки, страховые, производственно-сбытовые компании. Это не станет помехой для организаций другого типа и масштаба в использовании на практике «облачной» КЭП. Но может привести к диспропорции между стоимостью внедрения технологии и полученным эффектом.

Внедрение технологии «облачной» КЭП осуществляется при помощи компании-интегратора**. Интегратор обеспечивает взаимодействие разработчика ООО «КРИПТО-ПРО» и организации — конечного пользователя, которой ввиду высокой технологической сложности решения требуется помощь специалистов.

** АО «Аналитический Центр» — центр авторизации УЦ при Ассоциации Электронных Торговых Площадок, поставщик продуктов и услуг в сфере информационной безопасности, аутентификации и идентификации.

Цена внедрения нужной комплектации решения, а значит и итоговая стоимость каждой «облачной» квалифицированной электронной подписи рассчитывается для клиентов в индивидуальном порядке. Эти величины не имеют коммерческой «вольности», но строго определяются анализом текущего технического оснащения компании, временными и трудо- затратами интегратора на подбор подходящих вариантов, а затем необходимыми инвестициями в реализацию выбранного «пути».

Статья создана на основе информационно-справочных материалов ООО «КРИПТО-ПРО» и АО «Аналитический Центр». При использовании текста или его фрагментов обязательно соблюдение правил, указанных внизу портала

03 августа 2018

Варианты мошенничества с электронной подписью

Цифровая экономика не только обеспечивает участников новыми возможностями, но и создает новые риски. Нестареющее правило «предупрежден — значит вооружен» здесь как никогда актуально.

СОГЛАШЕНИЕ О ПРЕДОСТАВЛЕНИИ И ИСПОЛЬЗОВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящее соглашение регламентирует отношения между АО «Аналитический центр» и физическим лицом (Пользователь) и вступает в силу с момента принятия Пользователем условий настоящего соглашения. При несогласии Пользователя с хотя бы одним из пунктов соглашения, Пользователь не имеет права дальнейшей регистрации. Продолжение процедуры регистрации говорит о полном и безоговорочном согласии с настоящим соглашением.

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Регистрация — процедура, в ходе которой Пользователь предоставляет достоверные данные о себе по утвержденной форме регистрации (регистрационная карта). Прохождение процедуры регистрации говорит о том, что Стороны полно и безоговорочно согласились с условиями настоящего соглашения.

Персональные данные Пользователя — данные, используемые для идентификации личности, добровольно указанные Пользователем при прохождении регистрации. Данные хранятся в базе данных на сервере АО «Аналитический центр» и подлежат использованию исключительно в соответствии с настоящим соглашением и законодательством РФ.

ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Облачная электронная подпись сбербанк что это такое

Пользователи интернет-банкинга для корпоративных клиентов теперь могут подтверждать платежи и подписывать документы с помощью облачного сервиса усиленной неквалифицированной электронной подписи (сокращённо УНЭП). Сервис станет доступен всем пользователям мобильного приложения Сбербанк Бизнес Онлайн уже в ближайшее время.

В чём преимущества для клиента?

• Простая процедура получения.
• Удобство использования.
• Безопасность.
• Возможность подписания документов при отсутствии сотовой связи — достаточно иметь подключение к сети Интернет.

Чтобы пользоваться новым сервисом, надо подключить его через мобильное приложение Сбербанк Бизнес Онлайн. После подключения будут сформированы и размещены на облачных ресурсах банка ключи электронной подписи, а также удостоверяющим центром банка будет выпущен сертификата УНЭП. В момент подписания документа необходимо подтвердить доступ к ключу аутентификации посредством биометрии или ПИН-кода, после чего приложение отправит в облако подтверждение на создание электронной подписи.

Анна Лоевская, директор дивизиона «Цифровой корпоративный банк» Сбербанка:

«По нашим оценкам, потенциальная аудитория этой технологии составляет не менее 800 тысяч пользователей мобильного приложения Сбербанк Бизнес Онлайн. Сейчас для подтверждения операций все они вводят код, который в реальном времени получают по СМС. Отсутствие сигнала сотовой связи может стать неразрешимым препятствием для совершения операции.

Новый вид подписи решает эту проблему. Так, например, одним из первых пользователей, оценивших эту технологию, стал клиент банка, которому понадобилось осуществить платёж из Северного Ледовитого океана, в условиях отсутствия мобильной связи. При этом используемая для создания УНЭП технология соответствует самым высоким требованиям защищённости и безопасности. Персональный ключ клиента хранится на криптосервере в зашифрованном виде во внутреннем периметре банка и доступен только со смартфона клиента через мобильное приложение Сбербанк Бизнес Онлайн после прохождения надёжной процедуры аутентификации».

Сегодня усиленная неквалифицированная электронная подпись доступна клиентам банка, но требует использования специального флеш-носителя (токена) и может быть применена только в веб-версии Сбербанк Бизнес Онлайн. УНЭП в мобильном приложении даст пользователям новые возможности, недоступные при использовании СМС-подтверждения, так в скором будущем появится возможность массового подписания платежей. Также повысится надёжность и безопасность совершаемых операций, упростится разбор инцидентов и спорных ситуаций.

Пользователи интернет-банкинга для корпоративных клиентов теперь могут подтверждать платежи и подписывать документы с помощью облачного сервиса усиленной неквалифицированной электронной подписи (сокращенно УНЭП). Сервис станет доступен всем пользователям мобильного приложения «Сбербанк Бизнес Онлайн» уже в ближайшее время.

Как отмечают в банке, преимущества для клиента следующие: простая процедура получения; удобство использования; безопасность; возможность подписания документов при отсутствии сотовой связи — достаточно иметь подключение к Сети.

Чтобы пользоваться новым сервисом, надо подключить его через мобильное приложение «Сбербанк Бизнес Онлайн». После подключения будут сформированы и размещены на облачных ресурсах банка ключи электронной подписи, а также удостоверяющим центром банка будет выпущен сертификата УНЭП. В момент подписания документа необходимо подтвердить доступ к ключу аутентификации посредством биометрии или PIN-кода, после чего приложение отправит в облако подтверждение на создание электронной подписи.

Анна Лоевская, директор дивизиона «Цифровой корпоративный банк» Сбербанка, сказала: «По нашим оценкам, потенциальная аудитория этой технологии составляет не менее 800 тыс. пользователей мобильного приложения «Сбербанк Бизнес Онлайн». Сейчас для подтверждения операций все они вводят код, который в реальном времени получают по SMS.

Отсутствие сигнала сотовой связи может стать неразрешимым препятствием для совершения операции. Новый вид подписи решает эту проблему. Так, например, одним из первых пользователей, оценивших эту технологию, стал клиент банка, которому понадобилось осуществить платеж из Северного Ледовитого океана, в условиях отсутствия мобильной связи. При этом используемая для создания УНЭП технология соответствует самым высоким требованиям защищенности и безопасности. Персональный ключ клиента хранится на криптосервере в зашифрованном виде во внутреннем периметре банка и доступен только со смартфона клиента через мобильное приложение «Сбербанк Бизнес Онлайн» после прохождения надежной процедуры аутентификации».

Сегодня усиленная неквалифицированная электронная подпись доступна клиентам банка, но требует использования специального флеш-носителя (токена) и может быть применена только в веб-версии «Сбербанк Бизнес Онлайн». УНЭП в мобильном приложении даст пользователям новые возможности, недоступные при использовании SMS-подтверждения, так в скором будущем появится возможность массового подписания платежей. Также повысится надежность и безопасность совершаемых операций, упростится разбор инцидентов и спорных ситуаций.

С недавних пор клиентам Сбербанка стала доступной услуга получения электронной подписи. Это уникальный инструмент, упрощающий различные банковские операции и способствующий развитию малого бизнеса.

Что представляет собой электронная подпись

Впервые Сбербанк предложил клиентам возможность получения индивидуальной электронной подписи документов в 2014 году. Всего за последующий год только в Москве было совершено более трех миллионов операций с использованием электронной подписи. В настоящее время треть операций по вкладам осуществляется так же с применением данного сервиса.

Электронная подпись – уникальный буквенный код, который любой клиент Сбербанка может зарегистрировать при обращении в организацию. Многие отделения банков оборудованы специальными pos-терминалами, поддерживающими ввод электронной подписи, которую можно использовать вместо стандартного пин-кода либо вместе с ним. Это упрощает доступ к различным услугам и операциям по банковским картам и счетам, позволяя сотрудникам организации удостовериться в подлинности личности заявителя.

Еще одно предназначение электронной подписи – упрощение документооборота в банке, поскольку она способна заменять обычную ручную подпись. Так клиент может подтвердить любое свое действие и в качестве его подтверждения получить не бумажный документ, а его электронную версию, которая будет также храниться в электронных архивах банка. Электронная и собственноручная подписи считаются юридически равнозначными, поэтому независимо от выбранного способа подписания документа последний будет иметь одинаковую юридическую силу.

Благодаря использованию электронной подписи, сокращающей бумажный оборот, Сбербанк получил возможность повысить скорость обслуживания клиентов. Вместо подписания многочисленных бумажных документов клиенту предлагается один раз указать свою цифровую подпись, чтобы сделка вступила в законную силу. Конечно, при этом также потребуется паспорт и в некоторых случаях ввод личного пин-кода к банковской карте.

Как получить и использовать электронную подпись

Обладателю электронной подписи предоставляется возможность на официальной основе подписывать документы в рамках взаимодействия с банком. Также электронная подпись Сбербанка представляет собой неотъемлемый реквизит при осуществлении разнообразных коммерческих операций. Полномочия на обладание цифровой подписью регулируются сертификатом, поэтому в случае его утери либо окончания срока действия ранее оформленная документация уже не будет иметь юридической силы.

К дополнительным преимуществам обладания электронной подписью Сбербанка можно отнести возможность тестирования инновационных продуктов, которые предоставляются организацией ограниченному кругу лиц. Кроме того, наличие цифрового ключа повышает шансы на одобрение кредита на выгодных условиях. Завести электронную подпись банк рекомендует всем предпринимателям, часто ведущим торги на валютном рынке и заключающим инвестиционные сделки. Благодаря личному ключу любые из этих операций упрощаются и не требуют от банка постоянной проверки личности всех участников процесса.

Учитывая законодательную необходимость составления электронной отчетности, цифровая подпись становится неотъемлемым инструментом в данном деле. Это удобный инструмент для ведения электронного документооборота, поскольку любой ключ уже содержит все основные данные заявителя, которые автоматически заносятся в любой из составляемых документов. Из недостатков услуги можно отметить лишь продолжительную по времени первичную процедуру идентификации пользователя и высокую стоимость оформления сертификата.

Чтобы воспользоваться новым сервисом, надо подключить его через мобильное приложение Сбербанк Бизнес Онлайн. После подключения будут сформированы и размещены на облачных ресурсах банка ключи электронной подписи, а удостоверяющим центром банка будет выпущен сертификат УНЭП. В момент подписания документа необходимо подтвердить доступ к ключу аутентификации посредством биометрии или ПИН-кода, после чего приложение отправит в облако подтверждение на создание электронной подписи.

Сегодня усиленная неквалифицированная электронная подпись также доступна клиентам банка, но требует использования специального флеш-носителя (токена) и может быть применена только в веб-версии Сбербанк Бизнес Онлайн. УНЭП в мобильном приложении даст пользователям новые возможности, недоступные при использовании СМС-подтверждения: так, в скором будущем появится возможность массового подписания платежей. Также повысится надежность и безопасность совершаемых операций, упростится разбор инцидентов и спорных ситуаций.

Анна Лоевская, директор дивизиона «Цифровой корпоративный банк» Сбербанка:

«По нашим оценкам, потенциальная аудитория этой технологии составляет не менее 800 тысяч пользователей мобильного приложения Сбербанк Бизнес Онлайн. Сейчас для подтверждения операций все они вводят код, который в реальном времени получают по СМС. Отсутствие сигнала сотовой связи может стать неразрешимым препятствием для совершения операции.

Новый вид подписи решает эту проблему. Так, например, одним из первых пользователей, оценивших эту технологию, стал клиент банка, которому понадобилось осуществить платёж из Северного Ледовитого океана, в условиях отсутствия мобильной связи. При этом используемая для создания УНЭП технология соответствует самым высоким требованиям защищённости и безопасности. Персональный ключ клиента хранится на криптосервере в зашифрованном виде во внутреннем периметре банка и доступен только со смартфона клиента через мобильное приложение Сбербанк Бизнес Онлайн после прохождения надёжной процедуры аутентификации».

• Замена подшипника вентилятора ноутбука
• 0x80070020 процесс не может получить доступ к файлу
• The launcher cannot query directx la noire что делать
• Lg 42lk430 замена матрицы
• Кодек div3 что это

Источник: kompyutery-programmy.ru

Что такое облачная подпись сбербанк бизнес

В традиционном, привычном для подавляющего большинства пользователей понимании электронной подписи (ЭП) ключ этой самой подписи хранится у её владельца. Чаще всего для этого используется некий защищённый ключевой носитель в формате USB-токена или смарт-карты, который пользователь может носить с собой. Этот ключевой носитель тщательно оберегается владельцем от посторонних лиц, поскольку попадание ключа в чужие руки означает его компрометацию. Для использования ключа на устройстве владельца устанавливается специализированное программное обеспечение (СКЗИ), предназначенное для вычисления ЭП.

С другой стороны, в мире ИТ всё шире применяется концепция « облачных вычислений » , которая во многих отношениях имеет массу преимуществ по сравнению с использованием традиционных приложений, установленных на компьютере пользователя. Вследствие этого возникает вполне закономерное желание воспользоваться данными преимуществами облачных технологий для создания « ЭП в облаке » .

Но прежде чем решать данную задачу необходимо определить, что же мы будем понимать под « электронной подписью в облаке » . В настоящее время в разных источниках можно встретить разные же трактовки этого понятия, зачастую годящиеся разве что только для объяснения на пальцах человеку « с улицы » , который зашёл в Удостоверяющий Центр, чтобы « купить электронную подпись » .

Что такое квалифицированная электронная подпись в облаке

Для целей данной статьи, а также других научно-популярных и практических дискурсов об облачной электронной подписи предлагается использовать следующее определение.

Электронная подпись в облаке (облачная электронная подпись) – это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.

В соответствии с данным определением, для облачной электронной подписи может использоваться в том числе и локальное средство ЭП. Например, используя КриптоПро DSS Lite, пользователь через веб-браузер может подписывать электронный документ с помощью средства ЭП, установленного на его оконечном устройстве (персональный компьютер или планшет). В подобной системе ключ подписи остаётся у владельца и вопросы безопасности решаются с помощью стандартного набора средств, известного в мире « традиционной ЭП » . Если хотите, можно назвать это облачной ЭП с локальным средством ЭП.

Другой вариант облачной ЭП получается при использовании средства ЭП, размещённого в облаке. Для удобства дальнейшего изложения н азовём такую схему полностью облачной ЭП , чтобы отличать её от предыдущей. Эта схема регулярно вызывает жаркие дискуссии среди специалистов, поскольку подразумевает передачу самого ключа подписи « в облако » . Данная же статья призвана прояснить ряд вопросов, связанных с безопасностью полностью облачной ЭП.

Начнём с главного

Основной головной болью при переводе любой ИТ-системы « в облако » становится боль « безопасников » (и помогающих им юристов), связанная с передачей « туда » информации для обработки или хранения. Если раньше эта информация не покидала некоторого защищённого периметра, и можно было сравнительно легко обеспечить её конфиденциальность, то в облаке само понятие периметра отсутствует. При этом ответственность за обеспечение конфиденциальности информации в каком-то смысле « размывается » между её владельцем и поставщиком облачных услуг.

То же самое происходит и с ключом ЭП, передаваемым в облако. Более того, ключ ЭП – это не просто конфиденциальная информация. Ключ должен быть доступен только одному лицу – его владельцу. Таким образом, доверие к облачной подписи определяется не только личной ответственностью пользователя, но и безопасностью хранения и использования ключа на сервере и надежностью механизмов аутентификации.

В настоящее время проводятся сертификационные испытания нашего решения КриптоПро DSS. Это сервер облачной ЭП, хранящий ключи и сертификаты пользователей и предоставляющий аутентифицированный доступ к ним для формирования электронной подписи. Оба упомянутых выше аспекта безопасности облачной ЭП в частности являются предметом исследований, проводимых в ходе испытаний КриптоПро DSS. В то же время, стоит отметить, что существенная часть этих вопросов уже рассмотрена в рамках тематических исследований СКЗИ «ПАКМ КриптоПро HSM» , на котором основывается КриптоПро DSS.

В нашей стране пока слабо проработаны организационно-правовые аспекты применения облачной ЭП, поэтому в данной статье мы рассмотрим КриптоПро DSS с точки зрения требований к серверу подписи, разработанных Европейским Комитетом по Стандартизации (CEN).

Европейский путь

В октябре 2013 года Европейский Комитет по Стандартизации (CEN) одобрил техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing». В этом документе приводятся требования и рекомендации к серверу электронной подписи, предназначенному для создания, в том числе, квалифицированных подписей.

Хочется отметить, что уже сейчас КриптоПро DSS в полном объёме соответствует требованиям данной спецификации в наиболее сильном варианте: требованиям Уровня 2, предъявляемым для формирования квалифицированной электронной подписи (в терминах европейского законодательства).

Одним из основных требований Уровня 2 является поддержка строгих вариантов аутентификации. В этих случаях аутентификация пользователя происходит напрямую на сервере подписи – в противоположность допустимой для Уровня 1 аутентификации в приложении, которое от своего имени обращается к серверу подписи. Все методы аутентификации, поддерживаемые КриптоПро DSS, удовлетворяют данному требованию Уровня 2.

В соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны храниться в памяти специализированного защищенного устройства (криптографический токен, HSM). В случае КриптоПро DSS таковым устройством является программно-аппаратный криптографический модуль КриптоПро HSM – сертифицированный ФСБ России по уровню KB2 как средство ЭП.

Аутентификация пользователя на сервере электронной подписи для выполнения требований Уровня 2 обязана быть как минимум двухфакторной. КриптоПро DSS поддерживает широкий, постоянно пополняемый спектр методов аутентификации, в том числе и двухфакторных. Помимо привычных криптографических токенов в качестве средства аутентификации может использоваться и специализированное приложение на смартфоне, такое как КриптоПро AirKey, и генераторы одноразовых паролей (OTP-токены). В документе CEN эти методы также упомянуты.

Ещё одним перспективным способом аутентификации по Уровню 2 может стать использование криптографического приложения на SIM-карте в телефоне. По нашему мнению, данный вариант использования SIM-карт с криптографией наиболее реален, поскольку построение функционально законченного СКЗИ (или средства ЭП) по новым требованиям ФСБ на базе только лишь SIM-карты вряд ли возможно.

Рассматриваемая техническая спецификация также допускает использование сервера электронной подписи для формирования подписей сразу для некоторого набора документов. Данная возможность может быть полезна при подписании большого массива однородных документов, отличающихся лишь данными в нескольких полях. При этом аутентификация пользователя производится один раз для всего пакета документов. Поддержка такого варианта использования также имеется в КриптоПро DSS.

В документе CEN содержится также ряд требований к формированию, обработке, использованию и удалению пользовательского ключевого материала, а также к свойствам внутренней ключевой системы сервера электронной подписи и к аудиту. Эти требования полностью и даже «с запасом » покрываются требованиями, предъявляемыми к средствам ЭП класса KB2, по которому сертифицирован отвечающий за данные вопросы ПАКМ « КриптоПро HSM » .

Наше будущее

Решение КриптоПро DSS поддерживает широкий набор методов аутентификации, среди которых для каждой задачи возможно подобрать подходящий. Надёжность наиболее безопасных из них соответствует самым строгим критериям европейских требований CEN/TS 419241 и, как мы рассчитываем, в недалёком будущем будет подтверждена сертификатом соответствия ФСБ России.

заместитель технического директора

начальник отдела защиты информации

Источник: www.cryptopro.ru