Облачная электронная подпись

В традиционном, привычном для подавляющего большинства пользователей понимании электронной подписи (ЭП) ключ этой самой подписи хранится у её владельца. Чаще всего для этого используется некий защищённый ключевой носитель в формате USB-токена или смарт-карты, который пользователь может носить с собой. Этот ключевой носитель тщательно оберегается владельцем от посторонних лиц, поскольку попадание ключа в чужие руки означает его компрометацию. Для использования ключа на устройстве владельца устанавливается специализированное программное обеспечение (СКЗИ), предназначенное для вычисления ЭП.

С другой стороны, в мире ИТ всё шире применяется концепция «облачных вычислений», которая во многих отношениях имеет массу преимуществ по сравнению с использованием традиционных приложений, установленных на компьютере пользователя. Вследствие этого возникает вполне закономерное желание воспользоваться данными преимуществами облачных технологий для создания «ЭП в облаке».

Но прежде чем решать данную задачу необходимо определить, что же мы будем понимать под «электронной подписью в облаке». В настоящее время в разных источниках можно встретить разные же трактовки этого понятия, зачастую годящиеся разве что только для объяснения на пальцах человеку «с улицы», который зашёл в Удостоверяющий Центр, чтобы «купить электронную подпись».

Что такое квалифицированная электронная подпись в облаке

Для целей данной статьи, а также других научно-популярных и практических дискурсов об облачной электронной подписи предлагается использовать следующее определение.

Электронная подпись в облаке (облачная электронная подпись) – это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.

В соответствии с данным определением, для облачной электронной подписи может использоваться в том числе и локальное средство ЭП. Например, используя КриптоПро DSS Lite, пользователь через веб-браузер может подписывать электронный документ с помощью средства ЭП, установленного на его оконечном устройстве (персональный компьютер или планшет). В подобной системе ключ подписи остаётся у владельца и вопросы безопасности решаются с помощью стандартного набора средств, известного в мире «традиционной ЭП». Если хотите, можно назвать это облачной ЭП с локальным средством ЭП.

Другой вариант облачной ЭП получается при использовании средства ЭП, размещённого в облаке. Для удобства дальнейшего изложения назовём такую схему полностью облачной ЭП, чтобы отличать её от предыдущей. Эта схема регулярно вызывает жаркие дискуссии среди специалистов, поскольку подразумевает передачу самого ключа подписи «в облако». Данная же статья призвана прояснить ряд вопросов, связанных с безопасностью полностью облачной ЭП.

Начнём с главного

Основной головной болью при переводе любой ИТ-системы «в облако» становится боль «безопасников» (и помогающих им юристов), связанная с передачей «туда» информации для обработки или хранения. Если раньше эта информация не покидала некоторого защищённого периметра, и можно было сравнительно легко обеспечить её конфиденциальность, то в облаке само понятие периметра отсутствует. При этом ответственность за обеспечение конфиденциальности информации в каком-то смысле «размывается» между её владельцем и поставщиком облачных услуг.

То же самое происходит и с ключом ЭП, передаваемым в облако. Более того, ключ ЭП – это не просто конфиденциальная информация. Ключ должен быть доступен только одному лицу – его владельцу. Таким образом, доверие к облачной подписи определяется не только личной ответственностью пользователя, но и безопасностью хранения и использования ключа на сервере и надежностью механизмов аутентификации.

В настоящее время проводятся сертификационные испытания нашего решения КриптоПро DSS. Это сервер облачной ЭП, хранящий ключи и сертификаты пользователей и предоставляющий аутентифицированный доступ к ним для формирования электронной подписи. Оба упомянутых выше аспекта безопасности облачной ЭП в частности являются предметом исследований, проводимых в ходе испытаний КриптоПро DSS. В то же время, стоит отметить, что существенная часть этих вопросов уже рассмотрена в рамках тематических исследований СКЗИ «ПАКМ КриптоПро HSM», на котором основывается КриптоПро DSS.

В нашей стране пока слабо проработаны организационно-правовые аспекты применения облачной ЭП, поэтому в данной статье мы рассмотрим КриптоПро DSS с точки зрения требований к серверу подписи, разработанных Европейским Комитетом по Стандартизации (CEN).

Европейский путь

В октябре 2013 года Европейский Комитет по Стандартизации (CEN) одобрил техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing». В этом документе приводятся требования и рекомендации к серверу электронной подписи, предназначенному для создания, в том числе, квалифицированных подписей.

Хочется отметить, что уже сейчас КриптоПро DSS в полном объёме соответствует требованиям данной спецификации в наиболее сильном варианте: требованиям Уровня 2, предъявляемым для формирования квалифицированной электронной подписи (в терминах европейского законодательства).

Одним из основных требований Уровня 2 является поддержка строгих вариантов аутентификации. В этих случаях аутентификация пользователя происходит напрямую на сервере подписи – в противоположность допустимой для Уровня 1 аутентификации в приложении, которое от своего имени обращается к серверу подписи. Все методы аутентификации, поддерживаемые КриптоПро DSS, удовлетворяют данному требованию Уровня 2.

В соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны храниться в памяти специализированного защищенного устройства (криптографический токен, HSM). В случае КриптоПро DSS таковым устройством является программно-аппаратный криптографический модуль КриптоПро HSM – сертифицированный ФСБ России по уровню KB2 как средство ЭП.

Аутентификация пользователя на сервере электронной подписи для выполнения требований Уровня 2 обязана быть как минимум двухфакторной. КриптоПро DSS поддерживает широкий, постоянно пополняемый спектр методов аутентификации, в том числе и двухфакторных. Помимо привычных криптографических токенов в качестве средства аутентификации может использоваться и специализированное приложение на смартфоне, такое как КриптоПро AirKey, и генераторы одноразовых паролей (OTP-токены). В документе CEN эти методы также упомянуты.

Ещё одним перспективным способом аутентификации по Уровню 2 может стать использование криптографического приложения на SIM-карте в телефоне. По нашему мнению, данный вариант использования SIM-карт с криптографией наиболее реален, поскольку построение функционально законченного СКЗИ (или средства ЭП) по новым требованиям ФСБ на базе только лишь SIM-карты вряд ли возможно.

Рассматриваемая техническая спецификация также допускает использование сервера электронной подписи для формирования подписей сразу для некоторого набора документов. Данная возможность может быть полезна при подписании большого массива однородных документов, отличающихся лишь данными в нескольких полях. При этом аутентификация пользователя производится один раз для всего пакета документов. Поддержка такого варианта использования также имеется в КриптоПро DSS.

В документе CEN содержится также ряд требований к формированию, обработке, использованию и удалению пользовательского ключевого материала, а также к свойствам внутренней ключевой системы сервера электронной подписи и к аудиту. Эти требования полностью и даже «с запасом» покрываются требованиями, предъявляемыми к средствам ЭП класса KB2, по которому сертифицирован отвечающий за данные вопросы ПАКМ «КриптоПро HSM».

Наше будущее

Решение КриптоПро DSS поддерживает широкий набор методов аутентификации, среди которых для каждой задачи возможно подобрать подходящий. Надёжность наиболее безопасных из них соответствует самым строгим критериям европейских требований CEN/TS 419241 и, как мы рассчитываем, в недалёком будущем будет подтверждена сертификатом соответствия ФСБ России.

Уже не первый год электронная подпись является обыденным инструментом, активно используемым в системе документооборота и других различных областях.

Несмотря на это, выражение «облачная ЭП» до сих пор настораживает и вызывает страх у большинства специалистов.

По своим свойствам данная подпись не имеет отличий от обычной ЭП. Разница лишь в том, что она хранится не на USB-носителе, а в Интернете.

Она находится на специальном сервере в «облаке», обладающем высокой защитой. Там же осуществляется шифрование документов и их подписание. Доступ к этой ЭП имеет только ее обладатель.

Наравне с обычной электронной подписью у «облачной» есть ряд преимуществ:

  • Не требует установки специализированного программного обеспечения.
  • Не привязана к USB-носителю.
  • Удобна в использовании.

Облачная ЭП по заказу

Современные технологии не стоят на месте, и облачные сервисы добрались до ЭЦП. Это новое и не часто используемое явление, которое постепенно начинает внедряться в электронный мир. Фактически, это та же подпись, но только ее ключ хранится и записан не на токене, а на сервере УЦ. Облачная ЭЦП не требует установки сертификата владельца и ПО, что является огромным достоинством. Как купить ЭЦП онлайн >>

Выпуская такую электронную подпись, удостоверяющий центр помещает ее в свою сертификационную ячейку с высокой степенью защиты. Правом доступа к данной ячейке обладает только владелец ЭП. Это происходит за счет одноразовых паролей, приходящих в виде смс-уведомления на привязанный мобильный телефон.

Электронная подпись в облаке

Несмотря на все удобства использования данной электронной подписи у большинства пользователей возникают сомнения, — «стоит ли хранить ключи в чужой организации?». Конечно же, многие привыкли самостоятельно контролировать любое использование своей подписи и хранение токена с ключами, но привычка — это одно, а надежность — другое. Шансов, что третьи лица получат возможность доступа к вашей электронной подписи, находящейся на токене, гораздо выше, чем в случае ее хранения на сервере удостоверяющего центра. Токен можно где-нибудь забыть, случайно потерять или же его могут просто украсть. УЦ – это организация, уполномоченная создавать и обслуживать сертификаты ключей ЭЦП и обладающая соответствующим уровнем информационной безопасности. Благодаря специальным сертифицированным средствам они могут обеспечить высокий уровень защищенности ЭЦП в облаке.

Как выбрать ЭЦП >> Несмотря на то, что электронная подпись в облаке является еще не столь популярной как обычная ЭП, можно не сомневаться, что в скором времени она сможет завоевать свои позицию и предоставить широкие возможности своего использования. Другие публикации
Стоимость ЭЦП
Читать >>Как использовать ЭЦП
Читать >>Электронный ключ ЭЦП
Читать >>

Облачная подпись — новая услуга от УЦ e-Notary

Вы хотите использовать электронную подпись в своих приложениях и сервисах, но не хотите приобретать дорогостоящее ПО, нанимать высокооплачиваемых специалистов и заниматься технической поддержкой клиентов? Тогда вы обратились по адресу.

Новая услуга «Облачная подпись» от УЦ e-Notary позволяет вам передать процедуру подписания на аутсорсинг, подключив вашу информационную систему к соответствующей услуге, как к «черному ящику».

Вы платите только за каждый подписанный документ — все остальные проблемы решаем мы.

Подробнее ознакомиться с услугой можно просмотрев презентацию, а протестировать ее можно, запросив в подразделе ДЕМО создание тестовой учетной записи оператора —

Информация для разработчиков

Структурная схема взаимодействия компонентов облачной электронной подписи с прикладной системой заказчика

На схеме ниже приведена упрощённая схема взаимодействия компонентов при использовании технологии «облачной» электронной подписи от компании «Сигнал-КОМ» и реализованные интерфейсы:

Пунктиром на схеме обведена неделимая часть: в рамках внедрения технологии облачной подписи эти компоненты поставляются только в комплекте. Для разработчиков и пользователей прикладных систем эта часть непрозрачна, а ее структура приводится только для общего понимания из чего складывается решение и его ценообразование.

У системы облачной подписи есть три интерфейса:

  1. интерфейс для встраивания в прикладную систему заказчика (интерфейс DSS Web Server) — представлен в виде документированного API, которым должны пользоваться разработчики прикладных систем;
  2. интерфейс взаимодействия с ПАК УЦ Notary-PRO — реализован и может быть использован как для собственного УЦ заказчика, так и при работе с УЦ e-Notary в режиме сервиса (для разработчиков, в режиме отладки, реализован тестовый контур в УЦ e-Notary с выдачей сертификатов в режиме on-line);
  3. интерфейс взаимодействия с сервером идентификации — реализован для соответствующего открытого проекта, бесплатно поставляемого в составе системы облачной подписи, и может настраиваться и дорабатываться под нужды заказчика.

Сопряжение с другими серверами идентификации может выполняться силами ЗАО «Сигнал-КОМ» на этапе внедрения системы.

Описание интерфейса DSS Web Server предоставляется по запросу

Обычно электронная подпись (ЭЦП) — это информация, хранящаяся на защищенном ключевом носителе. Это могут быть токены или смарт-карты, которые используются вместе с криптопровайдерами и иными системными средствами. Однако существует еще одна концепция хранения и использования электронных подписей, связанная с «облачными вычислениями» и называемая «ЭЦП в облаке».

Что такое электронная цифровая подпись в облаке

Облачная электронная подпись — это закрытая вычислительная система, которая дает возможность создания и проверки ЭЦП через интернет, а также интегрирует эти функции в бизнес-процессы прочих систем. Данное определение позволяет использовать для облачной ЭЦП и локальное средство. При работе с КриптоПро DSS Lite пользователь может заверять электронный документ через браузер при помощи ЭЦП, установленной на его ПК или планшете. В этом случае ключ ЭЦП остается на стандартном носителе, а облачная подпись используется с локальным средством ЭЦП.

Еще один вариант облачной подписи использует только средства ЭЦП, размещенные в облаке. Такой способ подразумевает полностью облачную ЭЦП и помещает закрытый ключ электронной подписи в облако.

Применение облачной ЭЦП

Электронная подпись, хранящаяся в облаке, может быть использована аналогично стандартному варианту для заверения документов любой значимости. Ее также применяют для внутреннего документооборота, для входа на электронные торговые площадки и в информационные системы и т.д.

Облачная подпись в России

Проблема развития облачной подписи в России заключается в отсутствии нормативно-правовой базы, регулирующей этот вопрос. На уровне Федерального законодательства существует ряд понятия, определяющих электронную цифровую подпись и электронный документооборот, а также оборот данных и защиту информации. Отдельно рассмотрен регламент использования ЭЦП в документах в статьях Гражданского кодекса РФ.

Основной закон об электронной подписи — ФЗ-63, а в Федеральном законе 149 конкретизируется термин электронного документа и связанных с ним сегментов. Дополнительно разработаны правовые акты, регулирующие работу электронного документооборота и предусматривающие требования к документам, в т.ч. и к банковским. Также при работе со стандартной электронной подписью учитывают и требования Арбитражного процессуального кодекса РФ, который определяет юридическую силу квалифицированной подписи и приравнивает ее к собственноручной.

Использование облачной электронной подписи в России пока ограничено недостаточностью и сертифицированных ФСБ средств защиты. Даже метод аутентификации, отвечающий строгим европейским критериям безопасности (CEN/TS 419241), пока не имеет сертификата соответствия ФСБ.

Опыт использования облачной подписи в Европе

Все облачные технологии, используемые в странах Европы, имеют четкий стандарт. К основным стандартам относят:

  • Cloud Standard Coordination, CSC);
  • European Telecommunications Standards Institute, ETSI.

Для комплексной защиты информации предусмотрена обязательная сертификация провайдеров по ISO 27001:2013. В 2017 г. ISO включила в стандарт безопасности дополнительные элементы для облачного хранилища, а полное название нового стандарта звучит так: Code of practice for information security controls based on ISO/IEC 27002 for cloud services (перевод: Свод правил для средств управления информационной безопасностью на базе ISO/IEC 27002 для облачных сервисов).

Первый свод стандартов был выпущен в 2014 г. и постоянно дорабатывался в соответствии с требованиями безопасности и с развитием технологий. В 2014 г. также вступило в силу Постановление Европарламента под номером 910. eIDAS устанавливает новые правила использования и хранения ключей квалифицированной электронной подписи на сервере поставщика доверенных услуг с аккредитацией (Trust Service Provider).

В октябре 2013 г. Европейский комитет по стандартизации принял и утвердил спецификацию CEN/TS 41924, регулирующую работу облачной цифровой подписи. Документ определяет уровни безопасности и соответствия ЭЦП, а также поддержку строгих методов аутентификации пользователей. Т.е. аутентификация пользователя происходит на сервере электронной подписи, а не в приложении, формирующем запрос к серверу. Пользовательские ключи квалифицированной подписи, согласно этому документу, хранятся только в памяти защищенного электронного устройства.

Защита персональных данных на облачных серверах

В облачном сервере аутентификация пользователя должна быть двухфакторной (минимум). Обычно это подтверждение входа при помощи кода, полученного в смс-сообщении или генератор одноразовых паролей в приложении на ПК или смартфоне.

Преимущества облачной ЭЦП

Несмотря на то что в РФ использование облачной ЭЦП очень ограничено, она имеет ряд преимуществ перед стандартной ЭЦП.

Облачная ЭЦП освобождает пользователя от привязки к конкретному рабочему месту и дает больше мобильности. Серверные программные компоненты берут на себя работу по настройке криптографических форматов и механизмов, а также по управлению ключами ЭЦП. При соблюдении требований к аутентификации и при введении в эксплуатацию соответствующих документов облачная ЭЦП по уровню безопасности превзойдет ЭЦП на стандартном носителе. Хранилище ключей от КриптоПро HSM имеет встроенные датчики вскрытия и механизмы доверенной генерации ключей.

Еще одно преимущество — производительность. Программные и системные ресурсы позволяют получить высокую скорость вычисления ключа ЭЦП. К плюсам можно отнести и отсутствие риска потери или порчи ключевого носителя, что сделает невозможным использование ЭЦП в течение определенного времени. При необходимости пользователь может создать дублирование ключа ЭЦП.

Облачная ЭЦП запущена в ВТБ банке

Удобнее использовать облачную ЭЦП и со стороны экономической выгоды. Она отменяет потребность в настройке рабочего места, установку и приобретение локальных средств и т.п.

Повсеместное внедрение и использование облачной электронной подписи — это проблема времени, сдерживаемая только отсутствием правовой базы в РФ. Облачная ЭЦП дает своему владельцу большую мобильность и безопасность, а ее использование возможно во всех рабочих и личных сферах. В Европе первые правовые акты, регулирующие требования к безопасности и методам аутентификации пользователя, появились еще в 2014 г. В России Федеральный закон пока регулирует только работу стандартной электронной подписи, но в ближайшем времени должны появиться документы, определяющие юридическую силу, уровень безопасности, а также методы подтверждения пользователя.