Semnatura electronica. Semnătura electronică cloud: avantaje, dezavantaje și modalități de dezvoltare
(EP) în nor. Practic, acest subiect este discutat de specialiști IT. Cu toate acestea, odată cu dezvoltarea serviciilor managementul documentelor electronice(EDO), specialiști în materie - contabili, secretare și alții - au început să se implice în subiectul cloud ES.
Permiteți-mi să vă explic, o semnătură electronică bazată pe cloud implică faptul că ES dumneavoastră privat este stocat pe server și semnarea documentelor are loc acolo. Aceasta este însoțită de încheierea contractelor relevante și a împuternicirilor. Iar confirmarea efectivă a identității semnatarului are loc, de regulă, folosind autorizarea prin SMS.
Necesitatea de a utiliza cloud ES de către un contabil depinde de modul în care lucrează. Dacă sunteți adesea în afara biroului sau, de exemplu, lucrați pentru o companie care oferă servicii de contabilitate (externalizare contabilă), atunci ES bazat pe cloud vă va ajuta să semnați documente de oriunde. Nu este nevoie să instaleze niciun alt element suplimentar. Cu toate acestea, în ciuda ușurinței în utilizare, nu toate companiile sunt pregătite să folosească această caracteristică.
Pentru a putea alege singur dacă aveți nevoie de o semnătură electronică bazată pe cloud sau nu, vom lua în considerare toate avantajele și dezavantajele utilizării acesteia. Și gândiți-vă și cine ar putea avea nevoie cu adevărat de o astfel de semnătură. Apropo, în acest articol vom vorbi doar despre îmbunătățit (în continuare - UKEP).
In spate
Semnătura electronică în cloud este mai ieftină decât de obicei. Acest lucru se datorează în principal faptului că nu trebuie să achiziționați un instrument de protecție a informațiilor criptografice (CIPF) și un token (unitate flash cu certificat). De regulă, ținând cont de achiziția lor, prețul produsului scade de 2-2,5 ori.
Comoditate și ușurință în utilizare. Pentru a lucra cu o semnătură electronică bazată pe cloud, nu trebuie să instalați atât certificatul de semnătură electronică în sine, cât și mijloace speciale să lucrez cu ea. Aceasta înseamnă că nu veți pierde timpul să vă dați seama cum funcționează totul.
Mobilitate. Pe acest moment comună şi solutii gratuite pentru a utiliza o semnătură electronică non-cloud dispozitive mobile Nu încă. În acest sens, un avantaj imens al unei semnături electronice bazate pe cloud este că poți lucra cu ea de pe orice computer, tabletă, smartphone cu acces la Internet.
Împotriva
Nu semnați fizic documentul. Trebuie să înțelegeți că, în cazul unei semnături electronice bazate pe cloud, partea privată a cheii, care este confidențială și ar trebui să vă aparțină numai dvs., va fi localizată pe serverul centrului de certificare. Desigur, acest lucru va fi documentat, iar serverele în sine sunt protejate în siguranță. Dar aici totul depinde de cerințele de securitate ale companiei și de documentele asociate semnării. Dacă este important pentru dvs. ca proprietarii cheilor private să semneze ei înșiși documentele, atunci o semnătură electronică bazată pe cloud nu vă va potrivi. În această situație, rămâne la latitudinea dvs. să decideți cât de mult aveți încredere în CA și în serverele care stochează cheile private.
Puteți utiliza ES bazat pe cloud numai în acele servicii cu care există integrare a software-ului centrului de certificare. Acest lucru se datorează și faptului că, în cazul cloud ES, cheia privată este stocată pe serverul CA. Pentru ca serviciul să poată utiliza o astfel de cheie ES privată pentru semnare, acesta trebuie să poată trimite o solicitare pentru generarea unei semnături electronice către serverul CA. Este clar că în acest moment există multe servicii și toate nu vor putea asigura integrarea cu software-ul CA. Se pare că va trebui să utilizați cloud ES doar cu anumite servicii. Pentru a lucra cu alte servicii, va trebui să cumpărați un alt certificat ES și nu există nicio posibilitate ca aceste servicii să accepte orice fel de semnătură electronică bazată pe cloud.
Si ce?
Semnătura electronică în cloud este un instrument convenabil, mobil și simplu, dar nu cel mai flexibil. Și în ceea ce privește securitatea, poate că stocarea cheii private pe un server securizat ar fi mai bună decât păstrarea unui token într-un sertar.
Cine are nevoie cu adevărat de semnătură electronică? În primul rând, cei care lucrează adesea în afara biroului lor în birou. De exemplu, auditorii care vizitează des clienții. Sau și pentru cine este important să semneze documente oriunde. Pentru ei, o semnătură electronică bazată pe cloud va deveni un asistent indispensabil în munca lor.
De asemenea, multe depind de politica companiei. Dacă o organizație se îndreaptă către tehnologiile cloud, de exemplu, în ceea ce privește stocarea documentelor, folosind servicii pentru gestionarea documentelor interne și externe, atunci semnăturile electronice vor fi cel mai probabil și bazate pe cloud. În caz contrar, contabilii, funcționarii și alți angajați care de obicei nu își părăsesc biroul în timpul lucrului nu au nevoie de o semnătură electronică bazată pe cloud. Aceștia pot achiziționa o cheie privată ES și un certificat ES în modul obișnuit, pe un operator care poate fi utilizat în majoritatea serviciilor pentru schimb cu contrapărți și agenții guvernamentale.
Recent, vorbim adesea despre semnătura electronică (ES) în cloud. Practic, acest subiect este discutat de specialiști IT. Cu toate acestea, odată cu dezvoltarea serviciilor electronice de gestionare a documentelor (EDF), specialiștii în materie - contabili, secretari, auditori și alții - au început să se implice în tema cloud ES.
Permiteți-mi să vă explic, o semnătură electronică bazată pe cloud implică faptul că cheia dumneavoastră privată ES este stocată pe serverul centrului de certificare, iar semnarea documentelor are loc acolo. Aceasta este însoțită de încheierea contractelor relevante și a împuternicirilor. Iar confirmarea efectivă a identității semnatarului are loc, de regulă, folosind autorizarea prin SMS.
Necesitatea de a utiliza cloud ES de către un contabil depinde de modul în care lucrează. Dacă sunteți adesea în afara biroului sau, de exemplu, lucrați pentru o companie care oferă servicii de contabilitate (externalizare contabilă), atunci ES bazat pe cloud vă va ajuta să semnați documente de oriunde. Nu este nevoie să instalați niciun software suplimentar. Cu toate acestea, în ciuda ușurinței de utilizare, nu toate companiile sunt pregătite să folosească această oportunitate.
Pentru a putea alege singur dacă aveți nevoie de o semnătură electronică bazată pe cloud sau nu, vom lua în considerare toate avantajele și dezavantajele utilizării acesteia. Și gândiți-vă și cine ar putea avea nevoie cu adevărat de o astfel de semnătură. Apropo, în acest articol vom vorbi doar despre semnătura electronică calificată îmbunătățită (în continuare - UKES).
In spate
Semnătura electronică în cloud este mai ieftină decât de obicei. Acest lucru se datorează în principal faptului că nu trebuie să achiziționați un instrument de protecție a informațiilor criptografice (CIPF) și un token (unitate flash cu certificat). De regulă, ținând cont de achiziția lor, prețul unui certificat crește de 2-2,5 ori.
Comoditate și ușurință în utilizare. Pentru a lucra cu o semnătură electronică bazată pe cloud, nu trebuie să instalați nici certificatul de semnătură electronică în sine, nici instrumente speciale pentru a lucra cu acesta. Aceasta înseamnă că nu veți pierde timpul să vă dați seama cum funcționează totul.
Mobilitate. În prezent, nu există soluții comune și gratuite pentru utilizarea unei semnături electronice non-cloud pe dispozitivele mobile. În acest sens, un avantaj imens al unei semnături electronice bazate pe cloud este că poți lucra cu ea de pe orice computer, tabletă, smartphone cu acces la Internet.
Împotriva
Nu semnați fizic documentul. Trebuie să înțelegeți că, în cazul unei semnături electronice bazate pe cloud, partea privată a cheii, care este confidențială și ar trebui să vă aparțină numai dvs., va fi localizată pe serverul centrului de certificare. Desigur, acest lucru va fi documentat, iar serverele în sine sunt protejate în siguranță. Dar aici totul depinde de cerințele de securitate ale companiei și de politica asociată cu semnarea documentelor. Dacă este important pentru dvs. ca proprietarii cheilor private să semneze ei înșiși documentele, atunci o semnătură electronică bazată pe cloud nu vă va potrivi. În această situație, rămâne la latitudinea dvs. să decideți cât de mult aveți încredere în CA și în serverele care stochează cheile private.
Puteți utiliza ES bazat pe cloud numai în acele servicii cu care există integrare a software-ului centrului de certificare. Acest lucru se datorează și faptului că, în cazul cloud ES, cheia privată este stocată pe serverul CA. Pentru ca serviciul să poată utiliza o astfel de cheie ES privată pentru semnare, acesta trebuie să poată trimite o solicitare pentru generarea unei semnături electronice către serverul CA. Este clar că în acest moment există multe servicii și toate nu vor putea asigura integrarea cu software-ul CA. Se pare că va trebui să utilizați cloud ES doar cu anumite servicii. Pentru a lucra cu alte servicii, va trebui să cumpărați un alt certificat ES și nu există garanții că aceste servicii vor accepta orice semnătură electronică bazată pe cloud.
Si ce?
Semnătura electronică în cloud este un instrument convenabil, mobil și simplu, dar nu cel mai flexibil. Și în ceea ce privește securitatea, poate că stocarea cheii private pe un server securizat ar fi mai bună decât păstrarea unui token într-un sertar.
Cine are nevoie cu adevărat de semnătură electronică? În primul rând, cei care lucrează adesea în afara biroului lor în birou. De exemplu, avocații și auditorii care vizitează adesea clienții. Sau directori și directori pentru care este important să semneze documente oriunde. Pentru ei, o semnătură electronică bazată pe cloud va deveni un asistent indispensabil în munca lor.
De asemenea, multe depind de politica companiei. Dacă o organizație se îndreaptă către tehnologiile cloud, de exemplu, în ceea ce privește stocarea documentelor, folosind servicii pentru gestionarea documentelor interne și externe, atunci semnăturile electronice vor fi cel mai probabil și bazate pe cloud. În caz contrar, contabilii, funcționarii și alți angajați care de obicei nu își părăsesc biroul în timpul lucrului nu au nevoie de o semnătură electronică bazată pe cloud. Aceștia pot achiziționa o cheie privată ES și un certificat ES în modul obișnuit, pe un operator care poate fi utilizat în majoritatea serviciilor pentru schimb cu contrapărți și agenții guvernamentale.
În înțelegerea tradițională a semnăturii electronice (ES), care este familiară pentru marea majoritate a utilizatorilor, cheia acestei semnături este stocată de proprietarul acesteia. Cel mai adesea, pentru aceasta se folosește un anumit purtător de chei securizat în formatul unui token USB sau al unui card inteligent, pe care utilizatorul îl poate purta cu el. Acest purtător de chei este păzit cu grijă de către proprietar de persoanele neautorizate, deoarece căderea cheii în mâini greșite înseamnă compromisul acesteia. Pentru a utiliza cheia pe dispozitivul proprietarului, un specialist software(SKZI), conceput pentru a calcula EP.
Pe de altă parte, în lumea IT este din ce în ce mai utilizat conceptul de „cloud computing”, care în multe privințe prezintă o mulțime de avantaje în comparație cu utilizarea aplicațiilor tradiționale instalate pe computerul utilizatorului. Ca urmare, există o dorință complet naturală de a profita de aceste avantaje ale tehnologiilor cloud pentru a crea „ES în cloud”.
Dar înainte de a rezolva această problemă, este necesar să definim ce înțelegem prin „semnătură electronică în cloud”. În prezent, în diferite surse puteți găsi diferite interpretări ale acestui concept, adesea potrivite doar pentru a explica pe degete unei persoane „de pe stradă” care a mers la Centrul de Certificare pentru a „cumpăra o semnătură electronică”.
Ce este o semnătură electronică calificată în cloud
În scopul acestui articol, precum și al altor discursuri practice și științifice populare despre semnătura electronică în cloud, se propune utilizarea următoarei definiții.
Semnatura electronica in cloud (semnătura electronică cloud) este un sistem de calcul care oferă acces prin intermediul rețelei la posibilitățile de creare, verificare ES și integrare a acestor funcții în procesele de afaceri ale altor sisteme.
În conformitate cu această definiție, un instrument ES local poate fi utilizat și pentru o semnătură electronică bazată pe cloud. De exemplu, folosind , utilizatorul poate semna printr-un browser web document electronic folosind instrumentul ES instalat pe dispozitivul său final ( Calculator personal sau tabletă). Într-un astfel de sistem, cheia de semnare rămâne la proprietar și problemele de securitate sunt rezolvate folosind set standardînseamnă cunoscut în lume ca „EP tradițional”. Îl poți suna dacă vrei cloud ES cu instrument local ES.
O altă versiune a cloud ES este obținută cu folosind un instrument ES găzduit în cloud. Pentru comoditatea prezentării ulterioare, să numim o astfel de schemăcomplet bazat pe cloudpentru a o deosebi de cea precedentă. Această schemă provoacă în mod regulat discuții aprinse între specialiști, deoarece implică transferul în sine a cheii de semnătură „în cloud”. Acest articol are scopul de a clarifica o serie de probleme legate de securitatea unui ES complet bazat pe cloud.
Să începem cu principalul
Principala bătaie de cap la transferul oricărui sistem IT „în cloud” este durerea „ofițerilor de securitate” (și avocaților care îi ajută) asociată cu transferul de informații „acolo” pentru procesare sau stocare. Dacă mai devreme aceste informații nu părăseau un anumit perimetru protejat și era relativ ușor să îi asigurăm confidențialitatea, atunci în cloud lipsește însuși conceptul de perimetru. În același timp, responsabilitatea asigurării confidențialității informațiilor este, într-un fel, „încețoșată” între proprietarul acesteia și furnizorul de servicii cloud.
Același lucru se întâmplă și cu cheia ES transmisă în cloud. Mai mult, cheia ES nu este doar informații confidențiale. Cheia trebuie să fie disponibilă doar pentru o singură persoană - proprietarul acesteia. Astfel, încrederea într-o semnătură cloud este determinată nu numai de responsabilitatea personală a utilizatorului, ci și de securitatea stocării și utilizării cheii pe server și de fiabilitatea mecanismelor de autentificare.
În prezent, se efectuează teste de certificare a soluției noastre. Acesta este un server cloud ES care stochează cheile și certificatele utilizatorului și oferă acces autentificat la acestea pentru a genera o semnătură electronică. Ambele aspecte menționate mai sus ale securității ES bazate pe cloud, în special, fac obiectul cercetărilor efectuate în timpul testării CryptoPro DSS. În același timp, este de remarcat faptul că o parte semnificativă a acestor probleme a fost deja luată în considerare în cadrul studiilor de caz. , pe care se bazează CryptoPro DSS.
În țara noastră, aspectele organizatorice și juridice ale utilizării cloud ES sunt încă slab dezvoltate, așa că în acest articol vom lua în considerare CryptoPro DSS din punctul de vedere al cerințelor pentru serverul de semnături dezvoltat de Comitetul European de Standardizare (CEN).mod european
octombrie 2013 Comitetul European de Standardizare (CEN) a aprobat specificația tehnică CEN/TS 419241 „Cerințe de securitate pentru sistemele de încredere care acceptă semnarea pe server”. Acest document sunt date cerințe și recomandări pentru un server de semnătură electronică conceput pentru a crea, printre altele, semnături calificate.
Aș dori să remarc că și acum CryptoPro DSS respectă pe deplin cerințele acestei specificații în cea mai puternică versiune: cerințele de Nivel 2 pentru formarea unei semnături electronice calificate (în ceea ce privește legislația europeană).
Una dintre cerințele principale ale stratului 2 este să accepte opțiuni de autentificare puternice. În aceste cazuri, utilizatorul este autentificat direct la serverul de semnare - spre deosebire de a fi permis pentru autentificarea de nivel 1 de către o aplicație care accesează serverul de semnare în nume propriu. Toate metodele de autentificare acceptate de CryptoPro DSS satisfac această cerință de nivel 2.
În conformitate cu această specificație, cheile de semnătură a utilizatorului pentru formarea unui ES calificat trebuie să fie stocate în memoria unui dispozitiv securizat specializat (token criptografic, HSM). În cazul CryptoPro DSS, un astfel de dispozitiv este modulul hardware și software criptografic CryptoPro HSM - certificat de FSB al Rusiei la nivelul KB2 ca instrument ES.
Autentificarea utilizatorului pe serverul de semnătură digitală pentru a îndeplini cerințele Nivelului 2 trebuie să aibă cel puțin doi factori. CryptoPro DSS acceptă o gamă largă, actualizată constant de metode de autentificare, inclusiv cele cu doi factori. Pe lângă jetoanele criptografice obișnuite, o aplicație specializată pentru smartphone, cum ar fi generatoarele de parole unice (token-uri OTP), poate fi folosită și ca instrument de autentificare. Documentul CEN menționează și aceste metode.
O altă metodă promițătoare de autentificare Layer 2 ar putea fi utilizarea unei aplicații criptografice pe cartela SIM din telefon. În opinia noastră, această opțiune de utilizare a cartelelor SIM cu criptografie este cea mai realistă, deoarece este greu de construit un CIPF complet funcțional (sau instrument ES) în conformitate cu noile cerințe ale FSB doar pe baza unui card SIM.
Specificația tehnică în cauză permite, de asemenea, utilizarea unui server de semnătură electronică pentru a genera semnături pentru un anumit set de documente simultan. Această ocazie poate fi util atunci când semnați o gamă largă de documente omogene care diferă doar în date în câteva câmpuri. În acest caz, autentificarea utilizatorului se realizează o singură dată pentru întregul pachet de documente. Suportul pentru acest caz de utilizare este disponibil și în CryptoPro DSS.
Documentul CEN conține, de asemenea, o serie de cerințe pentru formarea, prelucrarea, utilizarea și ștergerea materialului cheie de utilizator, precum și pentru proprietățile componentelor interne. sistem cheie server de semnătură electronică și audit. Aceste cerințe sunt acoperite integral și chiar „cu o marjă” de cerințele pentru instrumentele ES din clasa KB2, conform cărora CryptoPro HSM PACM, care este responsabil pentru aceste probleme, este certificat.
Viitorul nostru
Soluția CryptoPro DSS acceptă o gamă largă de metode de autentificare, printre care este posibil să o alegeți pe cea potrivită pentru fiecare sarcină. Fiabilitatea celor mai sigure dintre ele îndeplinește cele mai stricte criterii ale cerințelor europene CEN / TS 419241 și, așa cum ne așteptăm, în viitorul apropiat va fi confirmată de un certificat de conformitate de la FSB al Rusiei.
Alexey Goldbergs,
director tehnic adjunct
SRL „CRYPTO-PRO”
Stanislav Smyshlyaev, doctorat,
șeful departamentului de securitate a informațiilor
SRL „CRYPTO-PRO”
Pavel Smirnov, doctorat,
Şef adjunct al Departamentului Dezvoltare
SRL „CRYPTO-PRO”
Popular
- Submarine de tip Gato
- Însemne pe flota comercială a Detașamentului URSS al grupului II
- Cum să maximizați viteza conexiunii dvs. la Internet Alegerea celui mai bun browser
- Modalități productive de a petrece timpul online
- Ascunderea fotografiilor VKontakte
- Tim Berners-Lee - creatorul World Wide Web
- Începe în știință Greutatea netă a ouălor fără coajă = - - - - - - - - -
- Cum să ștergeți fotografiile de la colegii de clasă Cum să eliminați beteala dintr-o fotografie la colegii de clasă
- Cum să adaugi o fotografie într-un contact?
- Tatyana Gordienko: Alți designeri mă copiază și mă bucur de asta!