- «облачная» электронная подпись: путь технологии
- Где и как получить облачную электронную подпись?
- Запрос и выпуск сертификата
- Как работает оэп?
- Как стали использовать облачные электронные подписи (оэп)?
- Настройка облачной кэп и работа с ней на примере авторизации на портале госуслуги
- Настройка приложения mydss
- Облачная подпись в россии
- Облачная электронная подпись – система электронного документооборота easydocs
- Ответы на самые распространенные вопросы
- Подтверждение операции подписания документа
- Преимущества
- Применение облачной эцп
- Системные требования
- Установка приложения my dss
«облачная» электронная подпись: путь технологии
20 ноября 2021
Технологии «облачной» электронной подписи и безопасного доступа к ключам проверки от идеи и до практического воплощения прошли длинный путь. Реализованное на данный момент решение позволит забыть о приобретении токенов, установке на компьютер криптосредств и привязке к рабочему месту.
Для начала обозначим суть фразы «выдана «облачная» электронная подпись» (ЭП или, более привычное для участников рынка, ЭЦП):
- пользователю в «облаке» сформированы открытый и закрытый ключи,
- проверена принадлежность открытого ключа конкретному человеку, а соответствие зафиксировано в сертификате,
- предоставлено средство для доступа к ключам, хранящимся в облаке.
Справочно:
Данная технология построена на «облачных» (онлайн) хранилищах данных, в которых информация размещается на кластерах распределенных в сети серверов, предоставляемых клиентам в пользование.
Предыстория
Непростой путь данной технологии начался еще в 2021 — 2021 годах, когда многие компании пытались реализовать решение, позволяющее работать с электронной подписью в «облаке». Данный период был ознаменован активным развитием проекта «электронного правительства». Специалисты и пользователи рассчитывали, что большинство сервисов в нем будет реализовано именно с помощью «облачных» технологий, что расширило бы возможности предоставления услуг. Тем не менее электронное правительство было запущено без электронной подписи в «облаке», и всем пользователям (корпоративным и частным) портала госуслуг все еще предлагаются привычные токены. Выдача этих носителей ключей ЭЦП наряду со смарт-картами осуществляется в соответствии с правилами и требованиями регуляторов отрасли, и они подлежат строгому учету.
В профессиональной среде неоднократно обсуждались варианты перехода на более простую и комфортную для пользователей технологию хранения ключей ЭЦП. Специалистами высказывалось предположение, что избавление от необходимости применения токенов может привести к росту количества владельцев электронной подписи как со стороны юридических лиц, так и физических.
Интерес к «облачной» технологии подогревала и растущая популярность смартфонов, планшетных компьютеров среди частных и корпоративных пользователей, ведь подключение к этим гаджетам токена или смарт-карты – задача далеко нетривиальная, которая так и не была решена.
Со временем для большинства приверженцев «мобильности», необремененной дополнительными считывающими устройствами, переход на «облачное» хранение ключей подписи приобрел статус наиболее оптимального решения.
Становление технологии
Одной из первых вывела «облачные» технологии на рынок ЭЦП компания КриптоПро еще в 2021 — 2021 году.
Решением, которое используется и сейчас, стал программно-аппаратный комплекс, состоящий из КриптоПро DSS и модуля КриптоПро HSM.
КриптоПро DSS (Digital Signature Server) — сервер электронной подписи (условно можно назвать программной надстройкой).
Подробнее о возможностях использования, типовых схемах и прочем можно узнать по ссылке.
КриптоПро HSM (Hardware Security Module) — программно-аппаратный криптографический модуль (непосредственно в нем защищенно хранятся ключи электронной подписи).
Информация об алгоритмах, областях применения, вариантах комплектации и другом доступна по ссылке.
Данный комплекс предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию ЭЦП. Из-за технических особенностей это решение заняло нишу внутри корпоративного применения.
Специалисты рассматривали адаптацию данной технологии хранения ключей ЭЦП к масштабам публичных сервисов как один из наиболее сложных, но в то же время и наиболее подходящих вариантов.
Опираясь на опыт использования HSM для защищенного хранения закрытых ключей в корпоративной инфраструктуре, специалисты долгое время искали подход, который разрешил бы вопрос безопасности массового доступа.
Итак, каким образом пользователи, обладающие ЭЦП, могли бы получать доступ к ключам, хранящимся в «облаке»?
Изначально было предложено несколько вариантов:
1 – многоразовый пароль. В этом случае для подписания чего-либо в «облаке» пользователь каждый раз должен был аутентифицироваться в нем с помощью фиксированной комбинации символов. Множество инцидентов, связанных с хищением или непреднамеренной утерей многоразовых паролей, сигнализировало о недостаточном уровне безопасности данного варианта.
2 – одноразовый пароль. В целях аутентификации в «облаке» способ предусматривал передачу каждый раз уникальной последовательности символов через SMS или ее генерацию ОТР-токеном (One Time Password). Брешь в безопасности данного метода пробивала невозможность привязки одноразового пароля к конкретной операции. Мошенникам было доступно множество вариантов хищения, начиная с фишинга (создание поддельных сайтов и приложений, которым пользователь сообщает пароль) и заканчивая социальной инженерией (манипуляция поведением людей, позволяющая преступникам получить код при личном общении). В качестве дополнительной защиты можно было использовать привязку к реквизитам при отправке аутентифицирующего кода посредством SMS, но злоумышленники разработали ряд способов, позволяющих перехватить и подобные сообщения.
При обращении к любым сервисам важно помнить, что защищенность системы определяется надежностью ее «самого слабого звена». Так, например, внедрив для доступа к ключу многоразовый или одноразовый пароль, свойства безопасности «облачной» подписи были бы подменены свойствами безопасности данных механизмов аутентификации. Специалисты не могли допустить подобного ввиду юридически-значимых последствий, к которым ведет участие ЭЦП в бизнес-процессах.
3 – электронный ключ. Этот способ предусматривал аутентификацию в «облаке» при помощи подключаемого к компьютеру токена или смарт-карты. Этот вариант обеспечивал должный уровень безопасности, но на корню «убивал» идею простоты и мобильности, которую пропагандировала «облачная» ЭЦП, снова привязывая электронную подпись к сертифицированным носителям.
Решение, продиктованное рынком
В целях нивелирования уязвимостей предложенных ранее вариантов по реализации доступа к «облачной» квалифицированной электронной подписи было разработано комплексное решение КриптоПро myDSS. Две главных компоненты — PayControl и КриптоПро DSS совместно с HSM.
PayControl является программным комплексом, предназначенным для подтверждения пользователем операций в системах ДБО и/или ЭДО без использования вспомогательных устройств (токены, смарт-карты, OTP-генераторы). Комплекс состоит из двух частей:
- серверная часть,
- клиентская часть — приложение для мобильных платформ iOS (8.0 и выше) и Android (4.0 и выше).
Совместная разработка компаний SafeTech и КриптоПро — КриптоПро myDSS — обеспечивает удобный, мобильный и безопасный доступ к функциям подписания и построена с помощью передовых технологий «облачного» управления ключами и функциями ЭЦП.
В комплексном решении для того, чтобы «облако» (серверная часть) выполнило подписание, ему необходима санкция на выполнение этого действия, которая зависит от четырех составляющих:
- времени,
- содержания подписываемого документа,
- уникальных признаков гаджета,
- уникального ключа, который хранится в защищенной области смартфона, планшета, либо другого устройства пользователя.
Главные преимущества системы:
- гарантирует более высокую безопасность, чем применение одноразового или многоразового пароля, либо подтверждений через SMS,
- реализована в форме мобильного приложения для современных платформ.
Все комплексное решение КриптоПро myDSS, включая:
– серверную часть, в которой в HSM хранятся ключи электронной подписи,
– систему, управляющую процессами формирования подписи на стороне сервера,
– приложение для смартфона, которое визуализирует пользователю подписываемый документ и вырабатывает санкции на подписание,
– защищенные каналы взаимодействия клиентской и серверной частей,
является полноценным средством электронной подписи. Условно его можно назвать «большим токеном».
«Облачная» электронная подпись: квалифицированная или неквалифицированная?
КриптоПро myDSS уже отправлено на рассмотрение в ФСБ России. На данный момент получен сертификат на КриптоПро DSS (серверную часть), на очереди сертификация комплексного решения в целом. А значит рынок находится в одном шаге от «облачной» квалифицированной ЭЦП. «Новинка» позволит в любое время, в любом месте и на любом устройстве безопасно подписывать документы, наделяя их юридической значимостью.
Принимая во внимание стремительную переориентацию технологий в сторону «мобильности» устройств, «облачная» квалифицированная электронная подпись станет неотъемлемым инструментом цифровой экономики.
Если вы заинтересованы в данном продукте и хотели бы приобрести его сразу после получения сертификата ФСБ на все решение, который позволит ставить «облачную» квалифицированную электронную подпись, то отправляйте предварительные заявки на почту [email protected] Сразу после завершения процедуры сертификации вам будет направлено предложение приобрести КриптоПро myDSS. В теле письма укажите: ФИО, физическое или юридическое лицо вы представляете, ИНН, контактный телефон, назначение ЭЦП, электронный адрес.
Статья подготовлена редакцией Единого портала Электронной подписи ecpexpert.ru с использованием материалов компании SafeTech.
При полном или частичном использовании материала гиперссылка на www.ecpexpert.ru обязательна.
Где и как получить облачную электронную подпись?
Как создать облачную электронную подпись? Пока что всего несколько удостоверяющих центров предоставляют такую возможность. Среди них самыми популярными являются Sign Me . Кстати, работают они как раз на базе КриптоПро myDSS, то есть, на программном уровне у них идентичный функционал.
Запрос и выпуск сертификата
1. После одобрения выпуска сертификата Удостоверяющим центром (УЦ) на e-mail, указанный в анкете, автоматически будет отправлена ссылка для генерации ОКЭП.
2. Откройте браузер перейдите по указанной в письме ссылке.
3. Откроется страница «Запрос сертификата».
4. Нажмите «Продолжить» и дождитесь выполнения всех пунктов
5. Когда все пункты будут зачеркнуты, нажмите на клавиатуре клавишу F5 либо ссылку «обновив страницу»
Как работает оэп?
Рассмотрим пример, характерный для участников торгов. Допустим, поставщик направляет свое предложение на участие в тендере. До появления ОЭП подписать документ невозможно было без установленного на компьютер пользователя плагина. Этот плагин и софт локального средства сообщались друг с другом и работали в неразрывной связке.
Теперь вытащим из этой схемы флеш-накопитель: софт подключается к облачному хранилищу по защищенному каналу.
Одной из первых площадок, которая оценила возможности новых технологий и внедрила в свои процессы использование облачной ЭП, стала федеральная торговая площадка «Росэлторг».
Как стали использовать облачные электронные подписи (оэп)?
Использование электронных подписей прочно вошло во многие сферы нашей жизни. В различных компаниях сотрудников переводят на электронный документооборот (ЭДО), что делает все процессы удобными и быстрыми. Для подписания документов (договоров, актов, ведомостей, бухгалтерских отчетов и т.д.) требуется наличие электронной подписи. С помощью нее также осуществляется вход в личный кабинет пользователя ЭДО.
В своей работе применяют ЭП онлайн-специалисты и фрилансеры, которые ведут свою деятельность легально и заключают договора с заказчиками. Физические лица могут приобрести ЭП и пользоваться услугами государственных учреждений: записываться на прием в ФНС, к врачу районной больницы, подавать заявления, справки, заходить на «Госуслуги».
Наши читатели – это, в основном, участники торгов и заказчики, которые такие торги организовывают. Они тоже пользуются ЭП для входа в личный кабинет ЕИС, на электронную торговую площадку, при непосредственном участии в торгах.
Мы уже привыкли к электронной цифровой подписи (ЭЦП), которая записана на рутокен (флеш-накопитель), принадлежит одному конкретному владельцу и обеспечивает безопасность данных о нем. Сегодня аббревиатура ЭЦП уже не используется, так говорить неправильно.
На смену понятию электронной подписи, записанной на цифровой носитель, пришло понятие облачной электронной подписи (ОЭП), которая реализована с помощью современных технологий. Она не требует записи сертификата и ключа на какой-либо носитель, а хранится на специальном облаке, в связи с чем у пользователей возникает вопрос о ее надежности. В статье максимально подробно постараемся на него ответить.
Для ЭП на носителе необходима установка специальных программ на компьютер пользователя (СКЗИ) и дополнительных надстроек. В связи с тем, что на смену таким приложениям пришли облачные приложения, у IT-разработчиков появилось желание внедрить их в работу с ОЭП.
Настройка облачной кэп и работа с ней на примере авторизации на портале госуслуги
1. Если Ваш компьютер ранее не был настроен для работы с электронной подписью, установите необходимо ПО и настройке компьютер – инструкция «Настройка КЭП для работы на Windows» или инструкция «Настройка КЭП для работы на MacOS».
Внимание! Для работы с облачной электронной подписью должен быть установлен криптопровайдер КриптоПро версии 5.0.
2. Если у вас есть серийный номер для активации лицензии КриптоПро 5.0, введите его, воспользовавшись инструкцией.
3. Если облачная КЭП еще не выпущена и не добавлена в приложение myDSS, воспользуйтесь инструкцией.
Настройка приложения mydss
1. Запустите на мобильном устройстве установленное ранее приложение «КриптоПро myDSS».
2. На главном экране нажмите кнопку с изображением QR-кода.
3. На экране сканирования нажмите кнопку «Сканировать».
4. Наведите камеру мобильного устройства на QR-код, который Вы получили в разделе «Запрос и выпуск сертификата» пункт 11 данной инструкции.
5. Введите в мобильном приложении Код активации ключа в myDSS и нажмите кнопку «Продолжить».
6. Выберите, каким образом будет защищен ключ аутентификации. К примеру, ПИН-кодом (паролем).
7. По желанию задайте имя ключа (по умолчанию «Ключ 1»).
8. Задайте ПИН-код (Пароль) для доступа к ключу аутентификации. ПИН-код НЕ ДОЛЖЕН быть короче 6 цифр. Повторно введите ПИН-код (Пароль) и нажмите кнопку «Продолжить».
9. После регистрации устройства на сервере ключ будет добавлен и отобразится на экране мобильного приложения. Закройте мобильное приложение.
Настройка Крипто Про CSP 5.0
1. Windows: Откройте меню Пуск , в папке Крипто Про выберите пункт Инструменты Крипто Про / Mac OS: Найдите среди установленных программ CP Tools и запустите.
2. В окне программы нажмите раздел «Облачный провайдер» и укажите:
Облачная подпись в россии
Проблема развития облачной подписи в России заключается в отсутствии нормативно-правовой базы, регулирующей этот вопрос. На уровне Федерального законодательства существует ряд понятия, определяющих электронную цифровую подпись и электронный документооборот, а также оборот данных и защиту информации. Отдельно рассмотрен регламент использования ЭЦП в документах в статьях Гражданского кодекса РФ.
Основной закон об электронной подписи — ФЗ-63, а в Федеральном законе 149 конкретизируется термин электронного документа и связанных с ним сегментов. Дополнительно разработаны правовые акты, регулирующие работу электронного документооборота и предусматривающие требования к документам, в т.ч. и к банковским.
Использование облачной электронной подписи в России пока ограничено недостаточностью и сертифицированных ФСБ средств защиты. Даже метод аутентификации, отвечающий строгим европейским критериям безопасности (CEN/TS 419241), пока не имеет сертификата соответствия ФСБ.
Облачная электронная подпись – система электронного документооборота easydocs
Ответы на самые распространенные вопросы
А можно без софта на локальном компьютере?
Да, это возможно, если на ЭТП есть дополнительный сервер, который обрабатывает входящую информацию и выступает в роли этого самого локального средства. В этом случае пользователь может использовать любой браузер.
В чем отличие стандартной ЭП от облачной?
Оба эти варианта имеют общее ядро с сертификатом и уровнем безопасности. По своей сути, они аналогичны, просто меняется схема внутреннего API-шифрования при кодировке информации. В первом случае ключ извлекается из локального средства, а во втором – с виртуального (удаленного).
Для использования облачной ЭП тоже нужна авторизация?
Да. Однако теперь авторизация имеет два уровня защиты, и нет привязки к компьютеру. При этом авторизация для пользователя не вызовет никаких сложностей:
Подтверждение операции подписания документа
1. После подписания электронной подписью документа на экране смартфона появится предложение подтвердить операцию. Дождитесь PUSH-уведомления на Вашем мобильном устройстве об операции. Если PUSH-уведомление не приходит, просто откройте приложение «КриптоПро myDSS».
2. При входе в мобильное приложение «КриптоПро myDSS» нажмите кнопку «Подтвердить».
3. Введите ПИН-код (Пароль) доступа к ключу аутентификации и нажмите кнопку «Продолжить».
4. На экране мобильного устройства отобразится подписываемый документ и информация о нем. Убедитесь, что хотите подтвердить подпись именно этого документа и нажмите кнопку «Подтвердить».
5. Если операция подтверждена успешно, на экране появится соответствующее сообщение. Нажмите «Продолжить».
Преимущества
- Владелец стандартной ЭП на USB-носителе при утере флешки должен будет получить новый ключ. Владелец облачной ЭП просто поменяет пароль.
- Мобильность пользователя. Раньше нужно было находиться поблизости к компьютеру, на который установлены все программы и надстройки. Теперь при использовании ОЭП привязка к рабочему месту не нужна.
- Нет привязки к браузеру: раньше это был IE, а это вызывало трудности еще на этапе выбора ОС: Linux-админы находили пути обхода, а вот на Mac-устройствах это невозможно.
- Нет территориальной привязки. Пользователь не обязательно должен находиться в РФ. Раньше владельцы должны были находиться внутри страны, ввиду особенностей защиты подписей на носителях.
- Двухуровневая защита обеспечивает более надежную сохранность информации о пользователе.
- Возможность подписывать документы через приложение на смартфоне.
Применение облачной эцп
Электронная подпись, хранящаяся в облаке, может быть использована аналогично стандартному варианту для заверения документов любой значимости. Ее также применяют для внутреннего документооборота, для входа на электронные торговые площадки и в информационные системы и т.д.
Системные требования
СКЗИ КриптоПро CSP версии 5.0 функционирует в следующих группах программно-аппаратных сред:
- Windows 7/8.1/10/Server 2008 (x86, x64);
- Windows Server 2008 R2/2021/2021 R2/2021/2021 (x64).
- Mac OS X 10.9/10.10/10.11/10.12/10.13/10.14 (x64).
Приложение My Dss поддерживается смартфонами, работающими под управлением операционных систем:
- iOS, версии 8.0 и старше — подойдут большинство IPhone и IPad. Проверить версию iOS можно в «Настройках» смартфона: выберите пункт «Основные» — «Обновление ПО».
- Android, версии 4.0 и старше. Чтобы проверить версию операционной системы, зайдите в «Настройки» на своем устройстве и выберите пункт «О телефоне».
Браузеры “Спутник” или Google Chrome
Установка приложения my dss
В мобильном приложении myDSS вы подтверждаете действия, которые совершаете с помощью облачной электронной подписи (ОКЭП).
Приложение не хранит закрытый ключ электронной подписи, но оно создает его учетную запись — ключ DSS. С помощью него приложение обращается к серверу УЦ и работает с сертификатом электронной подписи.
1. Приложение myDSS нужно установить на смартфон или планшет владельца ОКЭП. Приложение бесплатное.