А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

27 февраля, 2017«BIS Journal» № 1(24)/2017

Баранов Александр

заместитель генерального директора (АО ГНИВЦ)


Облачная электронная подпись

или Кто разработает универсальный метод идентификации?

Что такое облачная электронная подпись в нынешнем понимании? С одной стороны, в законодательстве такого определения нет, с другой, облачная подпись довольно активно используется. Как правило, так называется механизм подтверждения подлинности, целостности авторства и неотказуемости от этого авторства. Этот механизм сосредоточен в квалифицированных руках, а пользователь квалифицирован минимально, но тем не менее периодически прибегает к услугам этого сервиса.

ЧТО ТАКОЕ ОЭП

В состав понятия облачная подпись обязательно входит электронная подпись. Какая? Cуществует два вида электронной подписи и два подвида. Первый вид – это простая электронная подпись, второй – усиленная. В усиленной подписи различаются квалифицированная и неквалифицированная.

Облачная подпись в нынешнем понимании относится к категории усиленная неквалифицированная подпись. Большинство задач, которые она выполняет, соответствует понятию, законодательно закрепленному как усиленная подпись. Но в то же время эта подпись не сертифицирована ФСБ как регулятором, отвечающим за безопасность подписей, основанных на криптографических методах.

По сути, усиленная подпись сегодня, в том числе и в облачном исполнении, – это фактически реализация квалифицированной подписи с некоторыми отклонениями от требований регулятора.

Усиленная подпись может и не быть основанной на отечественных криптографических примитивах. Например, подпись Microsoft – усиленная, но не квалифицированная. Она реализуется с помощью удостоверяющего центра Microsoft и основана на номере той копии, которую вам выдали. Именно она сопровождает вашу работу, заменяя ваше лицо и паспортные данные. Номер копии устанавливается на вашем компьютере и связывается потом с его mac-адресом. Дальше она удостоверяет вас как нормальная усиленная подпись: проверяет целостность, подписывает, проверяется в удостоверяющем центре Microsoft, причем, автоматически.

Однако, если вы скопировали программное обеспечение без разрешения производителя операционной системы, то происходит то же самое: вы работаете с дубликатом скопированного номера и не отличаетесь от легального пользователя с тем же номером. В этом, безусловно, заключается ее недостаток.

Наша усиленная неквалифицированная подпись использует отечественный криптопровайдер или криптографический примитив, ГОСТовский. Наши граждане и многие ведомства стараются быть максимально законопослушными, поэтому применяют именно ее.

Некоторые ведомства применяют ее, нарушая некоторые условия. Например, торговые площадки, у которых есть иностранные пользователи. Действительно, в условиях заграницы нашу квалифицированную подпись применить трудно.

Второй крупный потребитель усиленной неквалифицированной подписи – ФНС России. В личном кабинете физлица на сайте ФНС задействована именно эта подпись наряду с квалифицированной – так регламентировано налоговым кодексом.

РЕАЛИЗАЦИЯ

Стоит заметить, что процедура выдачи и процедура дальнейшей технической работы с неквалифицированной подписью в налоговой службе несколько отличается от того, что требует регулятор для квалифицированной. В налоговой службе происходит закрепление за личностью номера-пароля, который держится в секрете. Когда потом человек входит в личный кабинет, ему предлагается заменить этот пароль на другой. Что он и делает, после чего к новому паролю создается персональный ключ, хранящийся в ФНС, который используется уже в алгоритме квалифицированной подписи, находящимся на сервере ФНС, где собственно и подписывается документ.

То есть в случае облачной неквалифицированной подписи документ подписывается не на рабочем месте пользователя, а в ФНС. Тем самым пользователь демонстрирует, что доверяет налоговой службе.

В личном кабинете есть и альтернативная возможность. Налогоплательщик может скачать себе бесплатно криптопровайдер от фирмы «Инфотекс» (в облачном варианте используются криптопровайдеры фирмы «Крипто-Про»). В этом случае человеку приходится хранить ключ на токене или длинной бумажке у себя, и самому же при необходимости его вводить.

Тот, кто доверяет налоговой службе, пользуется облачным сервисом. При этом у него нет криптопровайдера на борту. Как в таком случае подписывается документ? Пользователь заполняет обращение или налоговую декларацию и направляет в ФНС. Там документ подписывается и направляется на подтверждение пользователю, если   налогоплательщик отвечает: согласен, то налоговая служба может с полным правом работать с его документом.

В случае, когда криптопровайдер на борту, человек сам готовит документ, сам его подписывает (с помощью токена или вручную) и отправляет в налоговую службу после чего документ поступает в работу. Кстати, пользователь может использовать как неквалифицированную подпись, так и квалифицированную. Сайт ФНС принимает и ту, и другую.

ДЕСЯТЬ ПРОТИВ ОДНОГО

Конечно, удобство облачной подписи очевидно, и пользователь на него тут же откликнулся. Соотношение между числом пользователей облачной подписи и подписи на борту – 10 к 1. То есть из 10 пользователей только один пользуется подписью на борту.

Объясняется это в первую очередь тем, что наши отечественные криптопровайдеры, к сожалению, плохо адаптированы к различным средам. У них отсутствует достаточная мультибраузерность и мультиплатформенность. Конечно, фирмы «Крипто-Про» и «Инфотекс» стараются сделать побольше платформ, но за обновлениями не поспевают. В результате большинство граждан с радостью пользуется облачной подписью, которая требует от них минимальной пользовательской квалификации.

С другой стороны, пользователь в массе своей вообще не хочет ни за что отвечать, в том числе и за безопасность. Ему это выгодно, в случае чего он всегда может оспорить проблему. Предположим, подписал он декларацию, а ее где-то изменили. Когда следом приходит реальная платежка, он, конечно, по ней не платит, а бежит в налоговую и начинает шуметь: что ж вы, ребята, с ума сошли что ли? И там начинают разбираться и поправляют, потому что мошенников, действительно, хватает. Но такого сорта мошенничество не проходит на нашем сайте оплаты.

Потому что, когда вы получаете платежку с нашего сайта, вы получаете платежку банка – партнера ФНС. В таком банке обязательно проверят реквизиты платежки, назначение платежа и т.д., и платеж в любом случае придет в ФНС. То есть деньги к злоумышленникам не попадут. Вернуть их вряд ли получится, но, по крайней мере, их зачислят в счет будущих ваших платежей.

И это тоже движет миллионами пользователей, чтобы применять облачную подпись. Да, маленькие неприятности возможны, но деньги-то не пропадают.

ВЫНУЖДЕННАЯ МЕРА

Так ситуация выглядит со стороны пользователя, а как со стороны разработчиков ресурса? Почему мы стали использовать неквалифицированную подпись?

Все дело в массовой рассылке. Если у нас 10 млн пользователей, то представьте, какие затраты потребуются, чтобы их только выдать? Сколько денег, операторов, помещений, времени! Даже если затраты на одну подпись составят 100 руб., а пользователей у нас 10 млн, то общие затраты – минимум 1 млрд руб. в год. В каждый год! Потому что по требованию регулятора ключ нужно менять ежегодно или создавать итеративную систему на борту с проблемами криптопровайдера. То есть для массового пользователя редко применяемая квалифицированная подпись слишком громоздка в применении. 

Стоит отметить, что облачная подпись оказалась выгодной и для банков, и для крупного бизнеса. Например, для большой компании, у которой тысяча филиалов по стране и в каждый нужно раздать по несколько подписей, обучить людей ими пользоваться, регулярно по закону эти подписи менять… В общем, возни и затрат много. Гораздо проще сделать один сервер, чтобы документы там подписывались и отправлялись назад.

Правда, возникает возможность отказов с мест. А я не отсылал такой документ, не подписывал... Это юридическая проблема, решается она достаточно просто – с помощью взаимных договоров или издается внутренний приказ о работе нового сервиса, и все сотрудники-пользователи сервиса подписываются, что они доверяет этой системе. Все это соответствует принципам, заложенным в ФЗ-63 – законе об электронной подписи, где для юридического подтверждения усиленной подписи требуется соглашение между вами и тем, кто с вами взаимодействует с помощью электронной подписи.

ГЛАВНАЯ ПРОБЛЕМА

Теперь вопрос. Что нужно, чтобы электронная подпись была автоматической, юридически значимой? Законодательное зацепление. И тут, оказалось, самая большая проблема – в распознавании личности хозяина подписи. Вот вы живьем приходите в удостоверяющий центр, предъявляете паспорт, и вам из рук в руки выдают ключ. Теперь считается, что ключ – это ваш идентификатор. Ключ и вы – одно и то же. Дальше, как полагается по закону, вы бережете этот ключ и используете его как собственный палец или глаз.

А если ключ у вас украли? Тогда вы должны позвонить в удостоверяющий центр и отозвать свой сертификат, отменить действие ключа. После этого ваша подпись становится недействительной. На этом, собственно, и основано применение усиленной подписи.

Но именно тут открывается простор для мошенников. Далеко не все специалисты удостоверяющих центров проверяют на подлинность паспорта клиентов. Кроме того, существует законодательная лазейка, позволяющая получить чужую подпись по простой рукописной доверенности.

Сколько подставных фирм открыто, сколько взято липовых кредитов, продано чужих квартир не знает даже МВД! Тем не менее, закон по-прежнему разрешает использовать рукописную доверенность для выдачи квалифицированной подписи.

Представляете, мошенник получил по такой доверенности токен и открыл управляющую компанию, которая дальше открывает все новые и новые фирмы. При этом удостоверяющий центр не имеет права отозвать подпись – только по заявлению владельца или решению суда. А такая судебная процедура занимает не менее полугода. И все это время мошенник занимается своим делом: открывает фирмы, проводит электронные платежи… Это, конечно, нонсенс!

Налоговая служба просто сбилась с ног, разбираясь с такими заявлениями. Я такая-то, ко мне пришло извещение, что я владелица электронной подписи и десяти фирм. Заявляю, что я не знаю, что такое электронная подпись. Доверенностей никому не давала. Фирм не открывала…

В таком контексте, конечно, облачная подпись оказывается более надежным инструментом. Там все-таки есть организация, которая берет на себя ответственность, заключаются договоры о доверии… Но тем не менее вопрос «какая подпись лучше?» остается открытым.  И там, и там есть как достоинства, так и недостатки.

ПРОБЛЕМА СОХРАНЯЕТСЯ И ДЛЯ ОЭП

Основная проблема – идентификация личности пользователя – сохраняется и для облачной подписи. Выходя на облачный сервис, человек использует логин-пароль. Этого, конечно, мало. Нужно точно знать, кто вошел под этим логином-паролем: Иванов или Сидоров?

Одни говорят: давайте использовать отпечаток пальца или всей пятерни. Можно и так. Но нельзя забывать, что этот самый отпечаток нужно переправить по почте. Говорят, а мы его зашифруем! А чем вы его зашифруете, если у вас на борту нет криптопровайдера? Вы можете, конечно, использовать SSL Microsoft, но он не сертифицирован. И как тут решить проблему «доверия-не доверия»? Это первый вопрос.

Второй. Если мошенники перехватят ваш отпечаток пальца в почте или похитят каким-то другим способом, они начнут его использовать и наделают много плохого от вашего имени. Пойди да разбери кто в действительности химичил. То же самое относится и к фотографии, и к радужной оболочке… – к чему угодно.

В чем дефект? В том, что наш объект не изменен. Его нельзя определить как подвижный, живой, изменяющийся. Когда вы проходите пограничный контроль, например, в гипсовой маске, пограничник это мгновенно заметит. Он строго скажет: «Ну-ка, улыбнитесь», или «Снимите очки, я посмотрю, как у вас там глаза двигаются». То есть, он отличит живое от неживого. Конечно, перенести такую способность в теорию распознавания образов достаточно сложно. Но не невозможно.

НА СТЫКЕ НАУК И ОТВЕТСТВЕННОСТЕЙ

Тут парадокс. С одной стороны, методы распознавания образов, личности, частей тела продвинулись далеко вперед. С другой стороны, этим у нас никто серьезно не занимается. Пользуются само собой разумеющимся. Потому что ни одно ведомство за это не отвечает, никому это законодательно не поручено. ФСБ отвечает за криптографию, ФСТЭК – за техническую защиту информации, милиция – за выдачу паспорта и соответственно за идентификацию личности непосредственно в паспортном столе. Все!

А кто разрабатывает методы идентификации? Оказывается, только энтузиасты. Безусловно, толковые энтузиасты многое могут, но создать полноценный серийный продукт они не могут. Для этого нужен государственный заказ, контроль и квалифицированный исполнитель.

Так в чем проблема? Дело в том, что наш ожидаемый продукт произрастает на стыке наук и методологий: электроники, математики, биологии... Представители ФСБ заявляют: а мы-то тут при чем? Мы биологии не знаем. ФСТЭК туда же: мы технари. Мы только в компьютерах понимаем. Милиционеры наоборот: мы человека знаем, мы его регулярно воспитываем. А электронику не очень... Тогда Минкомсвязи? Нет, у нас одни юристы…

Получается, насущная потребность есть, а создать продукт некому.

Тема идентификации, конечно, очень актуальна для банков, но поручить им создание конечного продукта на государственном уровне не имеет смысла. Дело в том, что банки заинтересованы в очень простом варианте. Риск в 2% для них – хороший показатель, потому что экономия, которую они получают на удаленном банкинге - десятки процентов. Самая простая идентификация их пока устраивает. А если все же кто-то получил чужие деньги, украв идентификатор…  Ну, и ладно, покроем за счет прибыли.

ТРЕБУЕТСЯ ГОСУДАРСТВЕННЫЙ ПОДХОД

На самом деле, если эту задачу поручить приличной фирме, серьезно занимающейся разработкой средств защиты информации, ее можно решить довольно быстро. Безусловно, это потребует денежных вложений, контроля за исполнением и серьезная объективная экспертиза результата с открытым обсуждением научной общественностью. Тем не менее за год такую работу вполне можно выполнить.

Нужно стандартным образом организовать конкурс без изначального указания и рекомендаций по выбору победителя, в котором примет участие ряд организаций. Создать комплексную комиссию, которая разработает условия конкурса, техническое задание и будет принимать результат. Пригласить в нее юристов, криминалистов, специалистов разных направлений, представителей ФСБ, ФСТЭК, МВД, Минкомсвязи… На эту подготовку с учетом бюрократической волокиты уйдет год.

Участники конкурса предложат свои программы, будет выбрана наиболее перспективная, и победитель за год выдаст продукт на гора. Решит проблему. Года для разработки вполне достаточно, так как ничего фундаментального в сфере идентификации не осталось, все фундаментальные проблемы в той или иной степени там решены. Да, возможно, полученный метод окажется не стопроцентно надежным, но он наверняка будет лучше, чем то, что есть сейчас. Кажется, что два года много, но сейчас нет ничего эффективного.

Напомню, что стопроцентно надежным не является и человек, как идентификатор другого человека. Если не говорить о близнецах, похожести лица, использовании париков и грима, то любой проверяющий элементарно устает. Еще в КГБ проводили исследование и пришли к выводу, что проверяющий документы офицер через полчаса начинает ошибаться. В пропуск вклеивали вместо фото гражданина собачью морду и так спокойно проходили через проходную. Возможно, найденный в результате конкурса метод идентификации поможет решить и эту проблему.

Мне кажется, путь решения проблемы идентификации личности требует именно такого – государственного подхода. Заказ – конкурс – результат.  Затем законодательное закрепление полученного метода, в том числе и в использовании его в облачной подписи. Думаю, с таким подходом согласятся и регулирующие органы, которые будут этот законопроект согласовывать. А пока этого нет, мы будем иметь то, что имеем – экстенсивное, малоэффективное и малопредсказуемое развитие по мере крайней необходимости. 

Поделитесь с друзьями:

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
К ближайшим мероприятиям...