- Что такое квалифицированная электронная подпись в облаке
- Аутентификация в приложении mydss #
- В европе
- Внедрение и стоимость квалифицированной электронной подписи
- Второй шаг. установить криптопро cloud csp.
- Где и как получить облачную электронную подпись?
- Европейский путь
- Замена адреса dss сервера #
- Как работает оэп?
- Как установить оэп и начать работать?
- Настройка криптопро csp 5.0 #
- Начнём с главного
- Наше будущее
- Области применения
- Облачная подпись в россии
- Общие понятия об облачных эцп
- Опыт использования
- Ответы на самые распространенные вопросы
- Первый шаг. авторизоваться в криптопро dss.
- Понятие облачной электронной подписи
- Предназначение и суть
- Преимущества
- Преимущества и недостатки облачных электронных подписей
- Третий шаг. установить сертификат из dss в локальное хранилище.
- Условия получения
- Установка на смартфоне приложения mydss #
Что такое квалифицированная электронная подпись в облаке
Для целей данной статьи, а также других научно-популярных и практических дискурсов об облачной электронной подписи предлагается использовать следующее определение.
Электронная подпись в облаке (облачная электронная подпись) — это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.
В соответствии с данным определением, для облачной электронной подписи может использоваться в том числе и локальное средство ЭП. Например, используя КриптоПро DSS Lite, пользователь через веб-браузер может подписывать электронный документ с помощью средства ЭП, установленного на его оконечном устройстве (персональный компьютер или планшет).
Другой вариант облачной ЭП получается при использовании средства ЭП, размещённого в облаке. Для удобства дальнейшего изложения назовём такую схему полностью облачной ЭП, чтобы отличать её от предыдущей. Эта схема регулярно вызывает жаркие дискуссии среди специалистов, поскольку подразумевает передачу самого ключа подписи «в облако». Данная же статья призвана прояснить ряд вопросов, связанных с безопасностью полностью облачной ЭП.
Аутентификация в приложении mydss #
Следующим действием нам потребуется пройти Аутентификацию. Потребуется подтвердить операцию с помощью установленного приложения MyDss. Запустите приложение MyDss на смартфоне, и в открывшемся запросе нажимаем Подтвердить.
Конечным результатом успешной авторизации, должно стать уведомление Установка сертификатов завершилась успехом.
На этом установка и настройка облачной электронной подписи закончена.
Купить Электронную Подпись для любых целей вы можете в нашей компании. Срок выдачи один рабочий день.
В европе
Использование облачных технологий в Европе строго регламентировано соответствующими стандартами и требованиями информационной безопасности. Основным является Cloud Standard Coordination (CSC) European Telecommunications Standards Institute, ETSI. Провайдеры обязаны пройти сертификацию по нормам менеджмента качества ISO 27001:2021.
Данный стандарт – «Свод правил для средств управления информационной безопасностью на базе ISO/IEC 27002 для облачных сервисов» – прошел несколько этапов и дополнялся с учетом изменения требований к защите информации:
- В 2021 г. была выпущена техническая спецификация для определения уровня безопасности использования облачной ЭП, предоставляемого провайдером (CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing»). Уровень безопасности при этом зависит в основном от способа аутентификации (через мобильное приложение, сервер, генератор паролей и т.п.).
- Первый комплекс вышел в 2021 г. и был дополнен стандартами о защите персональных данных в облаке и в 2021 г. – о средствах контроля информационной безопасности в облаке.
- В 2021 г. также вышло постановление Европарламента №910/2021 под названием eIDAS. В соответствии с ним, стало возможным хранение ключа квалифицированной электронной подписи на удаленном сервере доверенного провайдера.
Внедрение и стоимость квалифицированной электронной подписи
Внедрение технологии облачной ЭП актуально для крупных организаций, сотрудники которых нуждаются в этом продукте ввиду постоянного взаимодействия с документооборотом и клиентами, повышенной мобильности.
Для того чтобы внедрить технологию на такое предприятие (удостоверяющий центр, банк, страховая компания и т.п.), необходимо связаться с разработчиком («КриптоПро») через АО «Аналитический центр».
На площадке Sign.me пользователи могут приобрести облачную электронную подпись:
- для физических лиц – 1500 руб. в год;
- для ИП – 2300 руб. в год;
- для юридических лиц – 3000 руб. в год.
Второй шаг. установить криптопро cloud csp.
Криптопровайдер КриптоПро Cloud CSP доступен для скачивания по ссылке. Помимо дистрибутива в архиве будет также краткая инструкция по использованию. Установка дистрибутива не вызовет сложностей. Но есть одно условие, перед установкой КриптоПро Cloud CSP нужно предварительно удалить все другие криптопровайдеры.
Где и как получить облачную электронную подпись?
Как создать облачную электронную подпись? Пока что всего несколько удостоверяющих центров предоставляют такую возможность. Среди них самыми популярными являются Sign Me . Кстати, работают они как раз на базе КриптоПро myDSS, то есть, на программном уровне у них идентичный функционал.
Европейский путь
В октябре 2021 года Европейский Комитет по Стандартизации (CEN) одобрил техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing». В этом документе приводятся требования и рекомендации к серверу электронной подписи, предназначенному для создания, в том числе, квалифицированных подписей.
Хочется отметить, что уже сейчас КриптоПро DSS в полном объёме соответствует требованиям данной спецификации в наиболее сильном варианте: требованиям Уровня 2, предъявляемым для формирования квалифицированной электронной подписи (в терминах европейского законодательства).
Одним из основных требований Уровня 2 является поддержка строгих вариантов аутентификации. В этих случаях аутентификация пользователя происходит напрямую на сервере подписи — в противоположность допустимой для Уровня 1 аутентификации в приложении, которое от своего имени обращается к серверу подписи. Все методы аутентификации, поддерживаемые КриптоПро DSS, удовлетворяют данному требованию Уровня 2.
В соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны храниться в памяти специализированного защищенного устройства (криптографический токен, HSM). В случае КриптоПро DSS таковым устройством является программно-аппаратный криптографический модуль КриптоПро HSM — сертифицированный ФСБ России по уровню KB2 как средство ЭП.
Аутентификация пользователя на сервере электронной подписи для выполнения требований Уровня 2 обязана быть как минимум двухфакторной. КриптоПро DSS поддерживает широкий, постоянно пополняемый спектр методов аутентификации, в том числе и двухфакторных.
Помимо привычных криптографических токенов в качестве средства аутентификации может использоваться и специализированное приложение на смартфоне, такое как КриптоПро AirKey, и генераторы одноразовых паролей (OTP-токены). В документе CEN эти методы также упомянуты.
Ещё одним перспективным способом аутентификации по Уровню 2 может стать использование криптографического приложения на SIM-карте в телефоне. По нашему мнению, данный вариант использования SIM-карт с криптографией наиболее реален, поскольку построение функционально законченного СКЗИ (или средства ЭП) по новым требованиям ФСБ на базе только лишь SIM-карты вряд ли возможно.
Рассматриваемая техническая спецификация также допускает использование сервера электронной подписи для формирования подписей сразу для некоторого набора документов. Данная возможность может быть полезна при подписании большого массива однородных документов, отличающихся лишь данными в нескольких полях.
В документе CEN содержится также ряд требований к формированию, обработке, использованию и удалению пользовательского ключевого материала, а также к свойствам внутренней ключевой системы сервера электронной подписи и к аудиту. Эти требования полностью и даже «с запасом» покрываются требованиями, предъявляемыми к средствам ЭП класса KB2, по которому сертифицирован отвечающий за данные вопросы ПАКМ «КриптоПро HSM».
Замена адреса dss сервера #
- Необходимо поменять текст в строке Сервер авторизации на адрес вашего сервера DSS(Адрес можно уточнить у вашего УЦ).
- Так жеизмените текств строке Сервер DSS на адрес предоставленный вашим УЦ.
- Нажимаем на кнопку Установить сертификаты.
Как работает оэп?
Рассмотрим пример, характерный для участников торгов. Допустим, поставщик направляет свое предложение на участие в тендере. До появления ОЭП подписать документ невозможно было без установленного на компьютер пользователя плагина. Этот плагин и софт локального средства сообщались друг с другом и работали в неразрывной связке.
Теперь вытащим из этой схемы флеш-накопитель: софт подключается к облачному хранилищу по защищенному каналу.
Одной из первых площадок, которая оценила возможности новых технологий и внедрила в свои процессы использование облачной ЭП, стала федеральная торговая площадка «Росэлторг».
Как установить оэп и начать работать?
Для работы на локальном компьютере потребуется:
Чтобы пользоваться ОЭП на мобильном устройстве, оно должно работать на базе операционных систем не ниже Android 7.0 или iOS 8/9/10/11. Кроме этого, нужно установить приложение MyDss
Установка и настройка на смартфоне приложения MyDss
- Зайдите в приложение Play Market или Apple Store (зависит от устройства, которое Вы используете).
- В поисковую строку вбейте «MyDss» и запустите установку приложения.
- После завершения скачивания нажмите кнопку «Открыть».
4. Для начала работы система уведомит вас о необходимости сканирования QR-кода. Предоставьте камере доступ к этому действию.
5. Считайте QR-код с сертификата, который получили в УЦ.
6. Придумайте имя для сохраняемого ключа, например, «ОЭП для торгов».
7. Выберите способ авторизации (с паролем, без пароля, отпечаток пальца, Face ID).
8. Программа готова к использованию.
Установка СКЗИ КриптоПро CSP 5
Чтобы пользоваться облачной ЭП потребуется наличие операционной системы Windows 7, 8, 8.1 или 10. Проверьте, что Ваша ОС подходит для работы с ОЭП. Для этого откройте «Центр обновлений Windows» и запустите поиск и обновления компонентов Windows.
Настройка криптопро csp 5.0 #
В операционной системе Windows: Нажимаем Пуск , переходим в папку Крипто-Про и выбираем пункт Инструменты Крипто-Про.
Далее переходим в раздел Облачный провайдер.
Начнём с главного
Основной головной болью при переводе любой ИТ-системы «в облако» становится боль «безопасников» (и помогающих им юристов), связанная с передачей «туда» информации для обработки или хранения. Если раньше эта информация не покидала некоторого защищённого периметра, и можно было сравнительно легко обеспечить её конфиденциальность, то в облаке само понятие периметра отсутствует.
То же самое происходит и с ключом ЭП, передаваемым в облако. Более того, ключ ЭП — это не просто конфиденциальная информация. Ключ должен быть доступен только одному лицу — его владельцу. Таким образом, доверие к облачной подписи определяется не только личной ответственностью пользователя, но и безопасностью хранения и использования ключа на сервере и надежностью механизмов аутентификации.
В настоящее время проводятся сертификационные испытания нашего решения КриптоПро DSS. Это сервер облачной ЭП, хранящий ключи и сертификаты пользователей и предоставляющий аутентифицированный доступ к ним для формирования электронной подписи.
Оба упомянутых выше аспекта безопасности облачной ЭП в частности являются предметом исследований, проводимых в ходе испытаний КриптоПро DSS. В то же время, стоит отметить, что существенная часть этих вопросов уже рассмотрена в рамках тематических исследований СКЗИ «ПАКМ КриптоПро HSM», на котором основывается КриптоПро DSS.
Наше будущее
Решение КриптоПро DSS поддерживает широкий набор методов аутентификации, среди которых для каждой задачи возможно подобрать подходящий. Надёжность наиболее безопасных из них соответствует самым строгим критериям европейских требований CEN/TS 419241 и, как мы рассчитываем, в недалёком будущем будет подтверждена сертификатом соответствия ФСБ России.
Алексей Голдбергс, заместитель технического директора ООО «КРИПТО-ПРО»
Станислав Смышляев, к.ф.-м.н., начальник отдела защиты информации ООО «КРИПТО-ПРО»
Павел Смирнов, к.т.н., заместитель начальника отдела разработок ООО «КРИПТО-ПРО»
Области применения
Облачная цифровая подпись будет полезна людям, большая часть рабочего времени которых проходит в деловых выездах и экспертизах, характерных для юристов, аудиторов, и других видах деятельности, связанных с электронным документооборотом и сделками в интернете.
Облачная ЭП, как и стандартная, используется для заверения документов: при участии в торгах, государственных закупках, оформлении отчетов в органы налогового и финансового учета, а также для получения государственных услуг с электронных порталов и т.д.
Облачная подпись в россии
Проблема развития облачной подписи в России заключается в отсутствии нормативно-правовой базы, регулирующей этот вопрос. На уровне Федерального законодательства существует ряд понятия, определяющих электронную цифровую подпись и электронный документооборот, а также оборот данных и защиту информации. Отдельно рассмотрен регламент использования ЭЦП в документах в статьях Гражданского кодекса РФ.
Основной закон об электронной подписи — ФЗ-63, а в Федеральном законе 149 конкретизируется термин электронного документа и связанных с ним сегментов. Дополнительно разработаны правовые акты, регулирующие работу электронного документооборота и предусматривающие требования к документам, в т.ч. и к банковским.
Использование облачной электронной подписи в России пока ограничено недостаточностью и сертифицированных ФСБ средств защиты. Даже метод аутентификации, отвечающий строгим европейским критериям безопасности (CEN/TS 419241), пока не имеет сертификата соответствия ФСБ.
Общие понятия об облачных эцп
Первый программный комплекс по работе с облачными ЭЦП был представлен ещё в 2021 году компанией КриптоПро. Но вплоть до 2021 года использовать их не представлялось возможным, так как на законодательном уровне мелись юридические ограничения, не дававшие возможности реализовать подобный проект.
В 2021 – 2021 годах в ФЗ 63, которым и регулируется использование ЭЦП, были внесены изменения, благодаря которым удостоверяющие центры получили возможность регистрировать облачные электронные подписи. Однако контроль за их использованием, а также защита данных, сертификатов от компрометации – все это УЦ обязан был брать на себя, разрабатывая специальные программные комплексы для работы с ЭЦП.
На текущий момент полноценное готовое решение по работе с облачными сертификатами электронных подписей представлено компанией «КриптоПРО» — речь идет про программный комплекс КриптоПро myDSS. По сути – это специальное приложение, с помощью которого владелец ЭЦП и может работать со своей подписью через мобильный телефон (заявлена поддержка платформ Android и iOS).
Что такое облачная электронная подпись простым языком?
Это тот же цифровой сертификат, но который хранится не на физическом носителе у владельца подписи, а на удаленном сервере, то есть, в интернете. Взаимодействие с ЭЦП в облаке возможно без так называемого RU-токена, что делает невозможным случайную потерю или повреждение электронной подписи.
Опыт использования
Применение и развитие облачной ЭП, как и других продуктов digital-сферы, в разных странах происходит неравномерно и во многом зависит от обеспеченности соответствующей законодательной базой, своевременности ее обновления и других формальных процедур.
Ответы на самые распространенные вопросы
А можно без софта на локальном компьютере?
Да, это возможно, если на ЭТП есть дополнительный сервер, который обрабатывает входящую информацию и выступает в роли этого самого локального средства. В этом случае пользователь может использовать любой браузер.
В чем отличие стандартной ЭП от облачной?
Оба эти варианта имеют общее ядро с сертификатом и уровнем безопасности. По своей сути, они аналогичны, просто меняется схема внутреннего API-шифрования при кодировке информации. В первом случае ключ извлекается из локального средства, а во втором – с виртуального (удаленного).
Для использования облачной ЭП тоже нужна авторизация?
Да. Однако теперь авторизация имеет два уровня защиты, и нет привязки к компьютеру. При этом авторизация для пользователя не вызовет никаких сложностей:
Первый шаг. авторизоваться в криптопро dss.
Для этого нужно пройти регистрацию или войти с уже имеющимися учетными данными.
После авторизации становится доступен раздел «Сертификаты». Если нет действующих сертификатов, то можно создать запрос на новый сертификат. Для этого нужно выбрать УЦ и заполнить необходимые поля. При создании запроса в сервисе будет создан контейнер с ключами, и получен сертификат электронной подписи. В реальном обстоятельствах, ключ электронной подписи выдает Удостоверяющий центр.
Понятие облачной электронной подписи
Этот IT-продукт позволяет подписывать документы и проводить деловые операции в электронном формате. Основное отличие облачной ЭП состоит в отсутствии привязки к флеш-носителю (токену) и к рабочему месту.
Зашифрованный ключ ЭП находится на специальном сервере (облаке) под защитой, а управление им осуществляется пользователем через удостоверяющий центр (УД) при помощи мобильного устройства.
Для того чтобы осуществить операцию с использованием облачной ЭП, выполняются следующие действия:
- с мобильного устройства направляется запрос в удостоверяющий центр;
- оператор (УД) высылает СМС для подтверждения или использует иной выбранный пользователем способ идентификации личности;
- после подтверждения удостоверяющий центр осуществляет подписание электронного документа.
Предназначение и суть
Суть этой технологии состоит в упрощении процесса использования цифровой подписи без использования флеш-накопителя и рабочего компьютера с установленным программным обеспечением.
Необходимые процессы осуществляются мобильно, с экономией времени и ресурсов.
При этом сервер, на котором хранится информация, обеспечивает защиту от незаконного использования ЭП и исключает риск физической потери токена.
Преимущества
- Владелец стандартной ЭП на USB-носителе при утере флешки должен будет получить новый ключ. Владелец облачной ЭП просто поменяет пароль.
- Мобильность пользователя. Раньше нужно было находиться поблизости к компьютеру, на который установлены все программы и надстройки. Теперь при использовании ОЭП привязка к рабочему месту не нужна.
- Нет привязки к браузеру: раньше это был IE, а это вызывало трудности еще на этапе выбора ОС: Linux-админы находили пути обхода, а вот на Mac-устройствах это невозможно.
- Нет территориальной привязки. Пользователь не обязательно должен находиться в РФ. Раньше владельцы должны были находиться внутри страны, ввиду особенностей защиты подписей на носителях.
- Двухуровневая защита обеспечивает более надежную сохранность информации о пользователе.
- Возможность подписывать документы через приложение на смартфоне.
Преимущества и недостатки облачных электронных подписей
Главное преимущество облачных цифровых подписей – для их использования не нужен USB-носитель (рутокен). А если нет физического носителя, то и сломать его, потерять, украсть – не получится.
При этом доступ к своей электронной подписи у владельца все равно остается – для этого нужно лишь установить специальное мобильное или десктопное приложение (которое и предоставляет удостоверяющий центр). С помощью же него можно подписывать документы, проходить авторизацию на сайтах (где имеется возможность такой верификации пользователя), выполнять заверение файлов.
Стоит заметить, что подобные технологии уже активно используются во многих европейских странах. И многие граждане или предприниматели постепенно переходят на использование только облачных ЭЦП, отказываясь от традиционных.
Из преимуществ облачной ЭЦП можно выделить:
- нет необходимости покупать физический носитель для хранения закрытого ключа;
- нет нужды в обязательной установке открытого сертификата на ПК (можно не переживать, что доступ к подписи получит тот, кто имеет возможность воспользоваться компьютером владельца ЭЦП);
- получать ЭЦП можно будет быстрее – обращаться лично в удостоверяющий центр уже не потребуется, ждать изготовления рутокена – тоже;
- закрытый ключ нигде не публикуется, при подписи документов или при любом другом алгоритме использования ЭЦП будет применяться открытый ключ.
Что касательно недостатков облачных электронных подписей, то ключевых – всего три:
- Риск взлома удаленного сервера и последующей кражи закрытых ключей ЭЦП – вполне возможен. Никто не сможет предоставить 100%-гарантии того, что программная платформа не имеет уязвимостей. Удостоверяющие же центры утверждают, что при выявлении подобного факта действие всех хранимых ЭЦП будет прекращено (их попросту удалят из реестра, после чего ими не удастся воспользоваться злоумышленникам).
- Удаленный сервер, на котором будут храниться ЭЦП, может оказаться недоступным по техническим причинам. Владелец электронной подписи воспользоваться ею при этом никак не сможет. А это может привести, к примеру, к потере выгодного контракта или к штрафу за несвоевременную подачу финансовой отчетности (со стороны ФНС). Что делать в таких случаях – не ясно.
- С юридической точки зрения владельцем закрытого ключа ЭЦП будет являться удостоверяющий центр, а не сам получатель сертификата.
Ещё одна особенность – не получится оформить неквалифицированную облачную подпись, так как в предложенной платформе КриптоПро myDSS обязательно используется криптошифрование (на стороне сервера). Но, в принципе, неквалифицированные ЭЦП постепенно уходят из обихода, в будущем от их использования планируется отказаться на законодательном уровне.
Третий шаг. установить сертификат из dss в локальное хранилище.
Найти в папке Tools утилиту cptools и запустить ее. входящую в дистрибутив КриптоПро Cloud CSP.
Условия получения
В связи с динамичностью изменений норм и стандартов услугу предоставления облачной ЭП в России оказывает ограниченное число удостоверяющих центров. Услуга оказывалась сервисом СКБ «Контур», однако эта возможность временно отсутствует. Наиболее простым и популярным является сервис Sing.me.
Получить подпись можно, отправив запрос на сайт. Перед получением продукта пользователю необходимо пройти очную верификацию документов (оригиналы паспорта, ИНН и СНИЛС) с представителем для заключения договора. По истечении срока соглашения потребуется обновление данных.
Установка на смартфоне приложения mydss #
Запускаем приложение Play Маркет или Apple store в зависимости от типа вашего устройства. В форме поиске, введите myDSS и нажмите кнопку Установить. После окончания установки нажимаем на кнопку Открыть.