Что такое облачная цифровая подпись
Что такое облачная цифровая подпись
В традиционном, привычном для подавляющего большинства пользователей понимании электронной подписи (ЭП) ключ этой самой подписи хранится у её владельца. Чаще всего для этого используется некий защищённый ключевой носитель в формате USB-токена или смарт-карты, который пользователь может носить с собой. Этот ключевой носитель тщательно оберегается владельцем от посторонних лиц, поскольку попадание ключа в чужие руки означает его компрометацию. Для использования ключа на устройстве владельца устанавливается специализированное программное обеспечение (СКЗИ), предназначенное для вычисления ЭП.
Что такое квалифицированная электронная подпись в облаке
Для целей данной статьи, а также других научно-популярных и практических дискурсов об облачной электронной подписи предлагается использовать следующее определение.
Электронная подпись в облаке (облачная электронная подпись) – это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.
Начнём с главного
Основной головной болью при переводе любой ИТ-системы « в облако » становится боль « безопасников » (и помогающих им юристов), связанная с передачей « туда » информации для обработки или хранения. Если раньше эта информация не покидала некоторого защищённого периметра, и можно было сравнительно легко обеспечить её конфиденциальность, то в облаке само понятие периметра отсутствует. При этом ответственность за обеспечение конфиденциальности информации в каком-то смысле « размывается » между её владельцем и поставщиком облачных услуг.
То же самое происходит и с ключом ЭП, передаваемым в облако. Более того, ключ ЭП – это не просто конфиденциальная информация. Ключ должен быть доступен только одному лицу – его владельцу. Таким образом, доверие к облачной подписи определяется не только личной ответственностью пользователя, но и безопасностью хранения и использования ключа на сервере и надежностью механизмов аутентификации.
Европейский путь
В октябре 2013 года Европейский Комитет по Стандартизации (CEN) одобрил техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing». В этом документе приводятся требования и рекомендации к серверу электронной подписи, предназначенному для создания, в том числе, квалифицированных подписей.
Хочется отметить, что уже сейчас КриптоПро DSS в полном объёме соответствует требованиям данной спецификации в наиболее сильном варианте: требованиям Уровня 2, предъявляемым для формирования квалифицированной электронной подписи (в терминах европейского законодательства).
Одним из основных требований Уровня 2 является поддержка строгих вариантов аутентификации. В этих случаях аутентификация пользователя происходит напрямую на сервере подписи – в противоположность допустимой для Уровня 1 аутентификации в приложении, которое от своего имени обращается к серверу подписи. Все методы аутентификации, поддерживаемые КриптоПро DSS, удовлетворяют данному требованию Уровня 2.
Аутентификация пользователя на сервере электронной подписи для выполнения требований Уровня 2 обязана быть как минимум двухфакторной. КриптоПро DSS поддерживает широкий, постоянно пополняемый спектр методов аутентификации, в том числе и двухфакторных. Помимо привычных криптографических токенов в качестве средства аутентификации может использоваться и специализированное приложение на смартфоне, такое как КриптоПро AirKey, и генераторы одноразовых паролей (OTP-токены). В документе CEN эти методы также упомянуты.
Рассматриваемая техническая спецификация также допускает использование сервера электронной подписи для формирования подписей сразу для некоторого набора документов. Данная возможность может быть полезна при подписании большого массива однородных документов, отличающихся лишь данными в нескольких полях. При этом аутентификация пользователя производится один раз для всего пакета документов. Поддержка такого варианта использования также имеется в КриптоПро DSS.
Наше будущее
заместитель технического директора
начальник отдела защиты информации
Облачная электронная подпись в России и мире
Добрый день, дорогой читатель!
Я некоторое время активно следил за обновлениями и новостями программы «Цифровая экономика». С точки зрения внутреннего сотрудника системы ЕГАИС, конечно, процесс на десятилетия. И с точки зрения разработки, и с точки зрения тестирования, откатки и дальнейшего внедрения с последующими неизбежными и мучительными корректировками всевозможных багов. Тем не менее дело необходимое, важное и назревшее. Основной заказчик и драйвер всего этого веселья, конечно, государство. Собственно, как и во всем мире.
Все процессы уже давно перетекли в цифру или на пути к ней. Это таки замечательно. Тем не менее, существуют и оборотные стороны медалек за отличия. Я человек, который работает постоянно с цифровой подписью. Я сторонник может и «вчерашних», но «по-дедовски» надежных и беспройгрышных методов защиты электронной подписи с помощью токенов. Но цифровизация показывает нам, что все уже давно в «облаках» и КЭП тоже туда нужно и нужно очень быстро.
Я постарался разобраться, пока на уровне законодательной и технической базы, где было возможно, как обстоит дело с облачными ЭП у нас и в Европе. На самом деле, на эту тему даже уже не одна научная диссертация вышла. Поэтому призывают профи в этом вопросе подключаться к развитию темы.
Почему КЭП в «облаке» привлекательна? На самом деле, есть плюсы. Этих плюсов достаточное количество. Это быстро и удобно. Звучит как рекламный слоган, согласитесь, однако же это объективные характеристики облачной ЭЦП.
Быстрота заключается в возможности подписывать документы без привязки к токенам или смарт-картам. Не обязывает нас использовать только десктоп. Сто процентов кроссплатформенная история для любых ОС и браузеров. Особенно актуально для фанатов продукции Apple, для которых есть определенные сложности поддержки ЭП в системе MAC. Выход из любой точки мира, свобода выбора УЦ (даже не Российских). В отличи от аппаратных средств КЭП, облачные технологии позволяют избежать сложностей с совместимостью программного и аппаратного обеспечения. Что, да, удобно, и, да, быстро.
И как же тут не соблазниться на такую красоту? Дьявол кроется в деталях. Поговорим о безопасности.
«Облачная» КЭП в России
Безопасность облачных решений, а в особенности ЭЦП – это одна из основных болей безопасников. Что именно мне не нравится, спросит меня читатель, ведь уже все давно используют облачные сервисы, а с СМС-кой еще надежнее сделать банковский перевод.
На самом деле, опять-таки, вернемся к деталям. Облачная ЭЦП – это будущее, с которым сложно спорить. Но не сейчас. Для этого должны произойти нормативно-правовые изменения, которые позволят защищать обладателя облачных ЭЦП.
Что мы имеем сегодня? Существует ряд документов, определяющие понятие ЭП, электронного документооборота (ЭДО), а также законы о защите информации и обороте данными. В том числе нужно учитывать и Гражданский кодекс (ГК РФ), который регламентирует использование ЭП в документах.
Федеральный закон №63-ФЗ «Об электронной подписи» от 06.04.2011. Основной и рамочный закон описывающий общий смысл использования ЭП при совершении сделок различного характера и оказания услуг.
Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации от 27.07.2006. В настоящем документе конкретизируется понятие электронного документа и всех связанных с ним сегментов.
Есть дополнительные законодательные акты, которые сопричастны регулированию ЭДО
Федеральный закон 402-ФЗ «О бухгалтерском учете» от 06.12.2011. Законодательный акт предусматривает систематизацию требований к бухгалтерии и бухгалтерским документам в электронном виде.
В т.ч. можно учесть Арбитражный процессуальный кодекс РФ, которые допускают документы, подписанные ЭП в качестве доказательств в суде.
Европейский опыт использования облачных ЭП
Начнем с главного – облачные технологии, не только ЭП имеют четкий стандарт. Основой Группа координации облачных стандартов (Cloud Standard Coordination, CSC) Европейского института телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI). Однако на территории разных государств все еще имеются различия в стандартах защиты данных.
Базой для комплексной защиты данных является обязательная для провайдеров сертификация по ISO 27001:2013 на системы менеджмента информационной безопасности (соответствующий российский ГОСТ Р ИСО/МЭК 27001-2006 базируется на версии этого стандарта от 2006 года).
В ISO 27017 предусматриваются дополнительные элементы безопасности для облака, отсутствующие в ISO 27002. Полное официальное название этого стандарта: «Свод правил для средств управления информационной безопасностью на базе ISO/IEC 27002 для облачных сервисов» («Code of practice for information security controls based on ISO/IEC 27002 for cloud services»).
Летом 2014 года ISO опубликовала стандарт ISO 27018:2015 о защите персональных данных в облаке, а в конце 2015 года — ISO 27017:2015 о средствах контроля информационной безопасности для облачных решений.
Осенью 2014-го года в силу вступило новое Постановление Европарламента №910/2014, получившее название eIDAS. Новые правила разрешают пользователям хранение и использование ключа КЭП на сервере аккредитованного поставщика доверенных услуг, так называемого TSP (Trust Service Provider).
Европейский комитет по стандартизации (CEN) в октябре 2013-го года принял техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing», посвященную регулированию облачный ЭЦП. В документе описано несколько уровней соответствия безопасности. К примеру, для соответствия «уровня 2», предъявляемого для формирования квалифицированной электронной подписи, является поддержка строгих вариантов аутентификации пользователей. По требованиям данного уровня аутентификация пользователя происходит напрямую на сервере подписи, в отличии, к примеру, от допустимой для «уровня 1»аутентификации в приложении, которое от своего имени обращается к серверу подписи. Так же в соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны обязательно храниться в памяти специализированного защищенного устройства (англ. hardware security module, HSM).
Аутентификация пользователя в облачном сервисе обязана быть как минимум двухфакторной. Как правило наиболее доступный и простой в использовании вариант — это подтверждение входа через код полученный в СМС-сообщении. Так к примеру, реализовано большинство личных кабинетов ДБО российских банков. Помимо привычных криптографических токенов в качестве средства аутентификации может применяться также приложение на смартфоне, и генераторы одноразовых паролей (OTP-токены).
Могу подвести пока промежуточный итог, относительно того, что облачные КЭП пока у нас еще только формируются и отходить от железа рано. В принципе, это естественный процесс, который то и в Европе (о, великая!) длился около 13-14 лет, пока были выработаны более менее точные стандарты.
Пока мы не разработаем хороших ГОСТов, регулирующих наши облачные сервисы, рано говорить о полном отказе от аппаратных решений. Скорее, они сейчас, наоборот, станут двигаться в сторону «гибридов», то есть работать с облачными подписями в том числе. Некоторые примеры, соответствующие евростандартам работы с Cloud уже реализованы. Но об этом чуть подробнее и в новом материале.
«Облачная электронная подпись»
Получить облачную электронную подпись можно за 30 минут.
Данный комплект подходит для передачи сведений о сотрудниках на mos.ru, переведенных на дистанционный режим работы.
Системные требования:
СКЗИ КриптоПро CSP версии 5.0 функционирует в следующих группах
программно-аппаратных сред:
Приложение My Dss поддерживается смартфонами, работающими под управлением операционных систем:
Как облачная электронная подпись упрощает работу участников закупок?
Как пользоваться облачной электронной подписью?
Воспользуйтесь бесплатной услугой удаленного перевыпуска электронной подписи. Вы сможете получить новый сертификат не покидая рабочего места
Дополнительная сфера применения
Дополнительные услуги
Подходит для:
АО «ЕЭТП» – один из первых федеральных операторов электронных торгов заявил о готовности к внедрению нового инструмента. О необходимости скорейшего развития удостоверяющих центров и переходе на облачные электронные подписи не раз обсуждали в Минэкономразвития России. Как считают в ведомстве, эти инструменты позволят ускорить развитие цифровой экономики страны.
Где применяется: более двухсот сфер, в том числе государственные и коммерческие торги.
Кто может применять: заказчики и участники электронных торгов.
Облачные сервисы цифровых подписей
Ещё в прошлом веке многие предприятия начали массово переходить на электронный документооборот. У всех появились компьютеры с офисными программами. Документы часто набирали в Microsoft Word или других текстовых редакторах, экспортировали в PDF, отправляли по электронной почте.
Казалось, что если документооборот электронный, то мы скоро забудем о шкафах с бумажными архивами, на рабочих столах не останется ни единого бумажного листа. Если вдруг в организацию пришлют бумажный документ по обычной почте, то артефакт немедленно отсканируют и переведут в цифровой вид. В реальности вышло совсем наоборот. Оказалось, что чем больше организация использует компьютеры для цифрового документооборота — тем больше документов она печатает. Ведь каждый документ нужно завизировать. Документ без подписи — это просто черновик или информационная записка. Чтобы получить подпись, документы распечатывают, а потом зачастую сканируют обратно, храня оригиналы в архиве.
Сейчас понятно, что действительно электронный (безбумажный) документооборот никак не внедрить без цифровых подписей.
Сегодня B2B, B2C компании и государственные организации переходят к внедрению цифровых подписей за их неоспоримые преимущества:
Постепенно вырабатываются единые стандарты для электронного документооборота и инфраструктуры цифровых подписей. Например, в странах Евросоюза с 1 июля 2016 года действует стандарт eIDAS (electronic IDentification, Authentication and trust Services) для электронных сервисов идентификации, аутентификации и доверия. В США принят стандарт 21 CFR 11.
Самые большие в мире доверенные службы для электронных документов — доверенный список Adobe (AATL) и программа Microsoft Root Trust. Удостоверяющие центры, включённые в этот список, выпускают основанные на сертификатах цифровые идентификаторы и службы отметок времени, которые соответствуют нормативным требованиям в мире, как стандарт eIDAS. Для самых популярных форматов офисных документов уже поддерживаются электронные цифровые подписи. В том числе поддерживается подпись документа несколькими лицами, с метками времени.
Что такое Digital Signing Service (Облачный сервис цифровых подписей)?
Digital Signing Service (DSS) — это масштабируемая платформа с поддержкой API для быстрого развёртывания цифровых подписей, которая обеспечивает:
Для собственного сервиса DSS требуется наладить не только рабочий процесс подписи и управление пользователями. Требуются ещё сертификаты подписи для удостоверения личности автора каждого документа. Это включает в себя криптографические элементы, такие как управление ключами, система хранения ключей уровня безопасности FIPS level 2 или выше (например, аппаратные токены или HSM), служба OCSP или CRL, а также служба меток времени. Объединение этих компонентов, особенно интеграция с аппаратным модулем безопасности (HSM) напрямую, будь то облако или локально, требует значительных усилий со стороны отдела ИТ и отдела информационной безопасности наряду с хорошими знаниями криптографии и наличием необходимых ресурсов.
Важно учитывать эти скрытые затраты и инвестиции, а также ограничения и накладные расходы при оценке решений для цифровой подписи.
Отдельно стоит упомянуть, что если служба DSS критически важна для организации, то она должна работать с высоким уровнем аптайма и обеспечивать большую пропускную способность. То есть нужно проектировать своё решение с определённой долей избыточности — с запасом на будущее. И следует предполагать, что бизнесу свойственен рост. Инфраструктура должна быть масштабируемой.
| Digital Signing Service | Традиционная реализация | |
|---|---|---|
| Интеграция с приложениями для подписи документов | Через простой REST API | Требует внутренней криптографической экспертизы для конфигурации и поддержки |
| Компоненты криптографической подписи (сертификаты, OCSP, CRL, метки времени | Включены в API, не требуют продвинутых знаний криптографии или ресурсов разработки | Идут отдельно, требуют отдельных вызовов из приложений и внутренних ресурсов разработки для настройки |
| Масштабируемость | Высокая масштабируемость — не требуется дополнительная настройка или интеграция | Может понадобиться закупка дополнительного оборудования и конфигурация |
| Высокая доступность и аварийное восстановление | Поставляется через инфраструктуру GlobalSign, проверенную WebTrust, с глобальными центрами обработки данных, избыточностью и лучшим оборудованием для защиты сети | Требует дополнительных инвестиций в оборудование |
| Управление секретными ключами и их хранение | Через REST API, внутренние ресурсы или оборудование не используются | Клиент отвечает за управление ключами и их хранение (например, в облаке или локальном HSM) |
| Удостоверения подписи | Поддержка подписей двух уровней: отделов и сотрудников (например, Джон Доу, бухгалтерия) | Не все решения поддерживают оба типа удостоверений |
Облачный сервис сильно упрощает развёртывание системы документооборота с поддержкой цифровых подписей. Все операции просто проходят через API.
Облачные сервисы отличаются по ценам и функциональности. Но все они гарантируют гибкость, масштабируемость и высокий уровень доступности. Хотя сервисы платные, зато избавляют компании от необходимости инвестировать в разработку собственных решений, в том числе закупать дорогостоящее криптографическое оборудование.
Кому может понадобиться облачный сервис цифровых подписей? По идее, это любые организации любого размера, которые разрабатывают или вводят в эксплуатацию специально разработанные приложения и намерены либо интегрировать туда цифровые подписи, либо использовать уже интегрированное приложение.
Где применяется облачная электронная подпись и что это такое
Электронная цифровая подпись — это программный инструмент, который имеет юридическую силу и упрощает электронный документооборот. По сути, это электронный ключ, содержащийся в специальном файле.
В ЭЦП зашифрованы основные сведения о владельце, с помощью которых создаётся уникальный цифровой «оттиск». Классическая ЭЦП храниться на внешнем накопителе, например флеш-устройстве.
Опасность такого хранения заключается в рисках повреждения токена, потери электронной подписи, невозможности своевременно подписать отчёт, договор и другие важные документы.
Если ключ с ЭЦП станет доступен третьим лицам, есть вероятность мошеннических действий с токеном.
При этом придётся восстанавливать ЭЦП, чтобы получить доступ к нужному инструменту.
Минимизировать риски утери электронной подписи помогает облачное хранение ключа. Пользоваться такой ЭЦП удобно и безопасно. Вместе с этим функциональность облачного ключа идентична с функциональностью электронной подписи на физическом носителе.
Что такое облачная цифровая подпись?
Если традиционная ЭЦП успешно используется многими предпринимателями и гражданами в повседневной жизни, то облачный ключ для удостоверения электронных документов вызывает необоснованные опасения у пользователей.
Облачная ЭП обладает такими же свойствами, что и привычная. Разница заключается в месте хранения. Традиционный ключ сохраняется на компьютере или «флешке», и используется с непосредственным применением физического накопителя, токена.
Облачная электронная подпись хранится в интернете «в облаке», на специальном выделенном отдельном защищенном сервере. Доступ к ней осуществляется дистанционно, с любого мобильного устройства или ПК.
Программное обеспечение, которым является облачная электронная подпись, не требует установки сертификата на физический носитель. Весь процесс получения и применения облачной ЭЦП осуществляется онлайн, из любой точки, где есть выход в интернет.
Использовать облачный ключ для подписания документов безопасно. Для аутентификации обладателя ЭЦП и подтверждения юридически значимых действий используются специальные алгоритмы, регламентированные государственным стандартом Р 34.10-2012.
Преимущества облачной ЭП
Основные плюсы использования облачного сертификата электронной подписи состоят в следующем:
Важно знать! Правообладатель ЭЦП — удостоверяющий центр. Эта организация несёт ответственность за сохранность и неприкосновенность электронного ключа, а не то лицо, на кого оформлен сертификат облачной цифровой подписи.
Где используется облачная электронная подпись?
Применение виртуальной цифровой подписи официально разрешено в области закупок — коммерческих и государственных торгах, при сдаче отчётов в контролирующие организации, на портале госуслуг. Облачная ЭЦП пригодится при получении более 200 услуг в государственном секторе, а также в ведении коммерческого и делового документооборота.
Как получить облачную электронную подпись и как пользоваться?
Чтобы оформить облачный или удаленный цифровой ключевой сертификат, нужно обратиться в аккредитованный удостоверяющий центр с паспортом гражданина РФ.
Для использования электронной подписи УЦ выдаёт конверт с доступами к хранилищу ОЭЦП. Лицо, получившее такой доступ, должен установить в смартфоне приложение, либо в браузере компьютера скачать и установить плагин MyDss.
Первое подключение требует настройки программы — необходимо установить способ идентификации в программе.
С помощью QR-кода нужно установить сертификаты, полученные в удостоверяющем центре. После следует подтвердить действие по запросу системы. Об успешной установке цифровых сертификатов система оповестит уведомлением.
Использование облачной цифровой подписи ничем не отличается от традиционной ЭЦП. Подтверждение документов происходит так же, как и с ключом, находящимся на РуТокене.
Комфортное использование ОЭП в мобильном режиме без привязки к стационарному компьютеру — причина нарастающей популярности облачного цифрового ключевого сертификата. А простой способ получить облачную ЭП делает этот инструмент доступнее для бизнеса.