28 августа, 2018

Преимущества «облачной» квалифицированной электронной подписи теперь доступны для пользователей


Рынок уже несколько лет находится в ожидании «облачной» КЭП. Теперь, когда решение найдено, апробировано и прошло сертификацию ФСБ России, пришло время его внедрения в повседневную жизнь.

Рынок уже несколько лет находится в ожидании «облачной» КЭП. Теперь, когда решение найдено, апробировано и прошло сертификацию ФСБ России, пришло время его внедрения в повседневную жизнь. 

Давно сформированный и продолжающий усиливаться тренд на массовую цифровизацию иногда радует поистине прорывными решениями, которые экономят финансы, а также месяцы или даже годы человеко-часов своих пользователей. Очередной пример — это «облачная» электронная подпись.

«Облачная» квалифицированная электронная подпись («облачная» КЭП) — это юридически значимая электронная подпись, реализованная с помощью технологии, которая все вычислительные операции с использованием ЭП переносит на внешний сервис («облако»), на стороне пользователя оставляя лишь необходимость подтвердить свою личность и совершение операции удобным способом (например, через мобильное приложение).

Разобраться с тем, почему многие проблемы цифровой экономики становятся неактуальными для владельцев «облачной» квалифицированной электронной подписи, поможет понимание принципов и преимуществ технологии.

Суть технологии

Технология «облачной» электронной подписи базируется на 2 основных элементах: КриптоПро DSS 2.0* и КриптоПро HSM 2.0*, поддерживающие новый ГОСТ Р 34.10-2012. Подробнее о переходе на новый ГОСТ формирования электронной подписи можно прочитать в статье «Старт выпуска подчиненных сертификатов аккредитованных УЦ по новому ГОСТ». [https://iecp.ru/articles/item/417928-podchinennye-sertifikaty-akkreditovannyh-uc-novyj-GOST?utm_source=internet&utm_medium=iecp&utm_campaign=stati]

* Продукты компании ООО «КРИПТО-ПРО» - лидера рынка производства и распространения средств криптографической защиты информации (СКЗИ) и электронной подписи.

КриптоПро DSS — это сервер «облачной» ЭП, веб-интерфейс или, проще говоря, «оболочка», которую видит и с которой взаимодействует пользователь. КриптоПро DSS может использоваться как сам по себе, так и в составе других систем (ДБО, ЭДО, ЭТП, приложения для ПК и мобильных устройств), для интеграции с которыми предоставляются различные API (базовая часть интерфейса прикладного программирования, на основе которой легко надстроить нужный функционал в различных системах).

КриптоПро HSM — это программно-аппаратный криптографический модуль, предназначенный для безопасного хранения и использования секретных ключей ЭП удостоверяющих центров и пользователей. КриптоПро HSM выполняет операции формирования, проверки ЭП и вычисления значений хэш-функции, шифрования и расшифровки данных.

Реализованное компанией ООО «КРИПТО-ПРО» решение позволяет перенести ключ ЭП в «облако», позволяя владельцам обрести мобильность и забыть о риске компрометации подписи, потери токена и о ряде других сопутствующих проблем.

Подробнее о преимуществах «облачной» квалифицированной электронной подписи

1 — Подлинная мобильность

Пользователь ЭП освобождается от «жесткой» привязки к настроенному рабочему месту. Цикл работ по настройке криптографических механизмов и форматов, например, установка средства криптографической защиты - программы КриптоПро CSP, и по управлению ключами берут на себя серверные компоненты решения. Теперь доступ к ключу электронной подписи можно получить и с настольного компьютера, и с ноутбука, и с планшета, и со смартфона и даже с телефона, не имеющего подключения к Интернету. Для работы КриптоПро DSS требуется установить лишь удобное средство аутентификации.

Варианты аутентификации пользователей «облачной» КЭП

a. доступное и для iOS, и для Android мобильное приложение myDSS;

b. SIM-карта с криптографическим апплетом;

c. смарт-карта или USB-токен с криптографией;

d. использование средств протокола TLS (протокол защиты транспортного уровня).

2 — Защита от компрометации наивысшего уровня

Хранилище ключей — КриптоПро HSM, снабжено датчиками вскрытия, механизмами доверенной генерации и уничтожения ключей, «барьером» от утечек по побочным каналам и от внутреннего нарушителя (администратора), а также другими уровнями защиты, соответствующими классу КВ2. Ключи становятся неизвлекаемыми и некомпрометируемыми.

3 — Производительность

Аппаратные ресурсы решения обеспечивают высокую скорость вычисления электронной подписи, позволяя путем их наращивания масштабировать производительность до любого требуемого уровня.

4 — Надежность

С «облачной» ЭП больше не страшен риск отказа ключевого носителя, его поломки, потери или кражи. Любой сбой пройдет для пользователя незаметно и без последствий благодаря аппаратному резервированию серверных компонент. В качестве примера аппаратного резервирования можно привести дублирование.

5 — Экономическая целесообразность

Решение отменяет необходимость в обязательных расходах на строго регламентированную настройку рабочего места, т. е. на приобретение и установку локальных средств электронной подписи, на покупку usb-токенов и смарт-карт. Вместо этого пользователи получают гибкость в выборе вариантов аутентификации, которые подразумевают упрощенные процедуры передачи СКЗИ и установки средств ЭП. Выгода от владения данным решением также обеспечивается за счет того, что обслуживание множества пользователей, обеспечение высокой производительности, централизованное хранение ключей с аппаратным резервированием берет на себя один сервер. Переход на «облачную» КЭП позволит сохранить инвестиции, вложенные в:

a. систему электронного документооборота, поскольку не будет необходимости дорабатывать или менять действующую систему;

b. программное обеспечение для работы с ЭП, так как не будет необходимости отказываться от привычного ПО, например, КриптоПро CSP при установке «облачного» криптопровайдера Cloud CSP «бесшовно» сможет использовать ключи, хранящиеся в «облаке»;

c. партию аппаратных токенов, которыми обеспечен штат сотрудников компании, ведь они смогут выступить в качестве одного из вариантов аутентификации владельцев «облачной» квалифицированной электронной подписи.

Кроме этого, актуальный для 2018 года переход на новый ГОСТ Р 34.10-2012 не потребует от пользователей решения дополнительных вложений ни в покупку новых токенов, ни нового ПО при условии подключения расширенной технической поддержки.

Вопрос «квалифицированности» «облачной» ЭП

Технически и организационно сложное в своей реализации решение прошло долгий путь от идеи до получения сертификата от Федеральной Службы Безопасности. Процесс был осложнен тем, что помимо применения передовых технологий необходимо было обеспечить должный уровень безопасности пользователей.

10 августа 2018 года компания-разработчик ООО «КРИПТО-ПРО» получила сертификаты ФСБ России на все разработанные комплектации КриптоПро HSM 2.0 и DSS 2.0. Это позволяет формировать квалифицированные электронные подписи, используя любой из перечисленных выше способов аутентификации.

Сертификаты ФСБ России на различные комплектации решения

<Галерея изображений сертификатов

https://www.cryptopro.ru/sites/default/files/docs/certificates/hsm-sf-124-3477-till-10-08-2021.jpg

https://www.cryptopro.ru/sites/default/files/docs/certificates/hsm-sf-124-3478-till-10-08-2021.jpg

https://www.cryptopro.ru/sites/default/files/docs/certificates/hsm-sf-124-3479-till-10-08-2021.jpg

https://www.cryptopro.ru/sites/default/files/docs/certificates/hsm-sf-124-3480-till-10-08-2021.jpg

https://www.cryptopro.ru/sites/default/files/docs/certificates/hsm-sf-124-3481-till-10-08-2021.jpg

https://www.cryptopro.ru/sites/default/files/docs/certificates/hsm-sf-124-3475-till-10-08-2021.jpg

https://www.cryptopro.ru/sites/default/files/docs/certificates/hsm-sf-124-3476-till-10-08-2021.jpg >

Для того чтобы наглядно продемонстрировать надежность данного решения, в качестве примера приведем один из вариантов прохождения аутентификации пользователя «облачной» квалифицированной электронной подписи.

Схема аутентификации пользователя «облачной» КЭП через мобильное приложение КриптоПро myDSS

Описание типовой схемы:

1. Создание документа пользователем в сервисе, интегрированном с сервером КриптоПро DSS.

2. Отправка документа на подписание пользователю через сервер.

3. С помощью мобильного приложения КриптоПро myDSS у пользователя запрашивается разрешение на подпись документа.

4. Документ отображается в приложении, для подтверждения операции пользователь вводит пароль (или, если пароль сохранен, проходит аутентификацию Touch ID/Face ID).

5. Криптографический код подтверждения, фиксирующий привязку к пользователю, содержимому документа, времени операции и отпечатку устройства, пересылается на сервер.

6. При условии успешной проверки кода подтверждения КриптоПро DSS формирует и отправляет запрос на подписание документа ключом электронной подписи пользователя в КриптоПро HSM. Программно-аппаратный криптографический модуль выполняет операцию и направляет  подписанный КЭП документ обратно на сервер.

7. Подписанный документ отправляется в систему, интегрированную с КриптоПро DSS (например, ЭДО, ДБО и т.д.).

Внедрение и стоимость «облачной» квалифицированной электронной подписи

Важно отметить, что ввиду технических и организационных особенностей реализации решения, оно преимущественно ориентировано на крупные организации с разветвленной сетью владельцев электронных подписей и высокой мобильностью сотрудников: например, удостоверяющие центры, банки, страховые, производственно-сбытовые компании. Это не станет помехой для организаций другого типа и масштаба в использовании на практике «облачной» КЭП. Но может привести к диспропорции между стоимостью внедрения технологии и полученным эффектом.

Внедрение технологии «облачной» КЭП осуществляется при помощи компании-интегратора**. Интегратор обеспечивает взаимодействие разработчика ООО «КРИПТО-ПРО» и организации - конечного пользователя, которой ввиду высокой технологической сложности решения требуется помощь специалистов.

** АО «Аналитический Центр» - центр авторизации УЦ при Ассоциации Электронных Торговых Площадок, поставщик продуктов и услуг в сфере информационной безопасности, аутентификации и идентификации.

Цена внедрения нужной комплектации решения, а значит и итоговая стоимость каждой «облачной» квалифицированной электронной подписи рассчитывается для клиентов в индивидуальном порядке. Эти величины не имеют коммерческой «вольности», но строго определяются анализом текущего технического оснащения компании, временными и трудо- затратами интегратора на подбор подходящих вариантов, а затем необходимыми инвестициями в реализацию выбранного «пути».

Приглашаем читателей портала iEcp.ru получить подробную консультацию по развертыванию технологии «облачной» квалифицированной электронной подписи на практике, заявки принимаются на почту token@iecp.ru. В теле письма нужно указать название организации, направление бизнеса, контактное лицо и телефон для обратной связи.

Статья создана на основе информационно-справочных материалов ООО «КРИПТО-ПРО» и АО «Аналитический Центр». 

 

По материалу портала iEcp.ru.