Облачная КЭП — как пользоваться | ITCOM удостоверяющий центр

Описание типовой схемы:

  1. Создание документа пользователем в сервисе, интегрированном с сервером КриптоПро DSS.
  2. Отправка документа на подписание пользователю через сервер.
  3. С помощью мобильного приложения КриптоПро myDSS у пользователя запрашивается разрешение на подпись документа.
  4. Документ отображается в приложении, для подтверждения операции пользователь вводит пароль (или, если пароль сохранен, проходит аутентификацию Touch ID/Face ID).
  5. Криптографический код подтверждения, фиксирующий привязку к пользователю, содержимому документа, времени операции и отпечатку устройства, пересылается на сервер.
  6. При условии успешной проверки кода подтверждения КриптоПро DSS формирует и отправляет запрос на подписание документа ключом электронной подписи пользователя в КриптоПро HSM. Программно-аппаратный криптографический модуль выполняет операцию и направляет  подписанный КЭП документ обратно на сервер.
  7. Подписанный документ отправляется в систему, интегрированную с КриптоПро DSS (например, ЭДО, ДБО и т.д.).

Почему только сейчас?

Инициатива внедрения облачной цифровой подписи оттягивалась из соображений безопасности. Хоть подделать ЭЦП, в отличие от обычной подписи, невозможно, счетная палата выявила нарушения со стороны самих удостоверяющих центров, выдающих ЭЦП. Они оформляли подпись без участия самих граждан.

7 ноября был принят законопроект, усиливающий регулирование деятельности удостоверяющих центров. Увеличение собственного капитала и размера страховой ответственности уменьшает количество мошенников на рынке. Кроме того, были внесены некоторые изменения, касающиеся совершения действий на рынке недвижимости с использованием электронной цифровой подписи.

Что можно сделать с помощью облачной подписи?

Облачная цифровая подпись открывает те же возможности, что и обычная ЭЦП. После ее оформления вы сможете:

  • подавать заявки на участие в тендерах на 8 государственных торговых площадках;
  • участвовать в торгах на 127 коммерческих площадках в России;
  • подписывать документы с полным сохранением их юридической силы.

Оформив облачную ЭЦП, вы будете пользоваться всеми преимуществами электронной документации. Это снижает нагрузку на сотрудников, делает ненужным выделение места под архив и соответствует принципам ЭКО.

2 — защита от компрометации наивысшего уровня

Хранилище ключей — КриптоПро HSM, снабжено датчиками вскрытия, механизмами доверенной генерации и уничтожения ключей, «барьером» от утечек по побочным каналам и от внутреннего нарушителя (администратора), а также другими уровнями защиты, соответствующими классу КВ2. Ключи становятся неизвлекаемыми и некомпрометируемыми.

3 — производительность

Аппаратные ресурсы решения обеспечивают высокую скорость вычисления электронной подписи, позволяя путем их наращивания масштабировать производительность до любого требуемого уровня.

4 — надежность

С «облачной» ЭП больше не страшен риск отказа ключевого носителя, его поломки, потери или кражи. Любой сбой пройдет для пользователя незаметно и без последствий благодаря аппаратному резервированию серверных компонент. В качестве примера аппаратного резервирования можно привести дублирование.

Внедрение и стоимость «облачной» квалифицированной электронной подписи

Важно отметить, что ввиду технических и организационных особенностей реализации решения, оно преимущественно ориентировано на крупные организации с разветвленной сетью владельцев электронных подписей и высокой мобильностью сотрудников: например, удостоверяющие центры, банки, страховые, производственно-сбытовые компании.

Внедрение технологии «облачной» КЭП осуществляется при помощи компании-интегратора**. Интегратор обеспечивает взаимодействие разработчика ООО «КРИПТО-ПРО» и организации — конечного пользователя, которой ввиду высокой технологической сложности решения требуется помощь специалистов.

** АО «Аналитический Центр» — центр авторизации УЦ при Ассоциации Электронных Торговых Площадок, поставщик продуктов и услуг в сфере информационной безопасности, аутентификации и идентификации.

Цена внедрения нужной комплектации решения, а значит и итоговая стоимость каждой «облачной» квалифицированной электронной подписи рассчитывается для клиентов в индивидуальном порядке. Эти величины не имеют коммерческой «вольности», но строго определяются анализом текущего технического оснащения компании, временными и трудо- затратами интегратора на подбор подходящих вариантов, а затем необходимыми инвестициями в реализацию выбранного «пути».

Вопрос «квалифицированности» «облачной» эп

Технически и организационно сложное в своей реализации решение прошло долгий путь от идеи до получения сертификата от Федеральной Службы Безопасности. Процесс был осложнен тем, что помимо применения передовых технологий необходимо было обеспечить должный уровень безопасности пользователей.

10 августа 2021 года компания-разработчик ООО «КРИПТО-ПРО» получила сертификаты ФСБ России на все разработанные комплектации КриптоПро HSM 2.0 и DSS 2.0. Это позволяет формировать квалифицированные электронные подписи, используя любой из перечисленных выше способов аутентификации.

Европейский опыт использования облачных эп

Начнем с главного – облачные технологии, не только ЭП имеют четкий стандарт. Основой Группа координации облачных стандартов (Cloud Standard Coordination, CSC) Европейского института телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI). Однако на территории разных государств все еще имеются различия в стандартах защиты данных.

Базой для комплексной защиты данных является обязательная для провайдеров сертификация по ISO 27001:2021 на системы менеджмента информационной безопасности (соответствующий российский ГОСТ Р ИСО/МЭК 27001-2006 базируется на версии этого стандарта от 2006 года).

В ISO 27017 предусматриваются дополнительные элементы безопасности для облака, отсутствующие в ISO 27002. Полное официальное название этого стандарта: «Свод правил для средств управления информационной безопасностью на базе ISO/IEC 27002 для облачных сервисов» («Code of practice for information security controls based on ISO/IEC 27002 for cloud services»).

Летом 2021 года ISO опубликовала стандарт ISO 27018:2021 о защите персональных данных в облаке, а в конце 2021 года — ISO 27017:2021 о средствах контроля информационной безопасности для облачных решений.

Читайте также:  Словарь терминов — Контур.Крипто

Осенью 2021-го года в силу вступило новое Постановление Европарламента №910/2021, получившее название eIDAS. Новые правила разрешают пользователям хранение и использование ключа КЭП на сервере аккредитованного поставщика доверенных услуг, так называемого TSP (Trust Service Provider).

Европейский комитет по стандартизации (CEN) в октябре 2021-го года принял техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing», посвященную регулированию облачный ЭЦП. В документе описано несколько уровней соответствия безопасности.

К примеру, для соответствия «уровня 2», предъявляемого для формирования квалифицированной электронной подписи, является поддержка строгих вариантов аутентификации пользователей. По требованиям данного уровня аутентификация пользователя происходит напрямую на сервере подписи, в отличии, к примеру, от допустимой для «уровня 1»аутентификации в приложении, которое от своего имени обращается к серверу подписи.

Аутентификация пользователя в облачном сервисе обязана быть как минимум двухфакторной. Как правило наиболее доступный и простой в использовании вариант — это подтверждение входа через код полученный в СМС-сообщении. Так к примеру, реализовано большинство личных кабинетов ДБО российских банков.

Могу подвести пока промежуточный итог, относительно того, что облачные КЭП пока у нас еще только формируются и отходить от железа рано. В принципе, это естественный процесс, который то и в Европе (о, великая!) длился около 13-14 лет, пока были выработаны более менее точные стандарты.

Пока мы не разработаем хороших ГОСТов, регулирующих наши облачные сервисы, рано говорить о полном отказе от аппаратных решений. Скорее, они сейчас, наоборот, станут двигаться в сторону «гибридов», то есть работать с облачными подписями в том числе. Некоторые примеры, соответствующие евростандартам работы с Cloud уже реализованы. Но об этом чуть подробнее и в новом материале.

Как получить облачную эцп в удостоверяющем центре?

Облачная подпись оформляется намного быстрее обычной. Вам не нужно возвращаться за флешкой и ждать, пока удостоверяющий центр проверит бумаги. На получение уходит буквально 30 минут:

Теперь вы можете удобно и быстро подписывать документы, авторизовываться на сайтах госуслуг и торговых площадках без неудобств и страха за свои данные.

Как работает оэп?

Рассмотрим пример, характерный для участников торгов. Допустим, поставщик направляет свое предложение на участие в тендере. До появления ОЭП подписать документ невозможно было без установленного на компьютер пользователя плагина. Этот плагин и софт локального средства сообщались друг с другом и работали в неразрывной связке.

Теперь вытащим из этой схемы флеш-накопитель: софт подключается к облачному хранилищу по защищенному каналу.

Одной из первых площадок, которая оценила возможности новых технологий и внедрила в свои процессы использование облачной ЭП, стала федеральная торговая площадка «Росэлторг».

Как стали использовать облачные электронные подписи (оэп)?

Использование электронных подписей прочно вошло во многие сферы нашей жизни. В различных компаниях сотрудников переводят на электронный документооборот (ЭДО), что делает все процессы удобными и быстрыми. Для подписания документов (договоров, актов, ведомостей, бухгалтерских отчетов и т.д.) требуется наличие электронной подписи. С помощью нее также осуществляется вход в личный кабинет пользователя ЭДО.

В своей работе применяют ЭП онлайн-специалисты и фрилансеры, которые ведут свою деятельность легально и заключают договора с заказчиками. Физические лица могут приобрести ЭП и пользоваться услугами государственных учреждений: записываться на прием в ФНС, к врачу районной больницы, подавать заявления, справки, заходить на «Госуслуги».

Наши читатели – это, в основном, участники торгов и заказчики, которые такие торги организовывают. Они тоже пользуются ЭП для входа в личный кабинет ЕИС, на электронную торговую площадку, при непосредственном участии в торгах.

Мы уже привыкли к электронной цифровой подписи (ЭЦП), которая записана на рутокен (флеш-накопитель), принадлежит одному конкретному владельцу и обеспечивает безопасность данных о нем. Сегодня аббревиатура ЭЦП уже не используется, так говорить неправильно.

На смену понятию электронной подписи, записанной на цифровой носитель, пришло понятие облачной электронной подписи (ОЭП), которая реализована с помощью современных технологий. Она не требует записи сертификата и ключа на какой-либо носитель, а хранится на специальном облаке, в связи с чем у пользователей возникает вопрос о ее надежности. В статье максимально подробно постараемся на него ответить.

Для ЭП на носителе необходима установка специальных программ на компьютер пользователя (СКЗИ) и дополнительных надстроек. В связи с тем, что на смену таким приложениям пришли облачные приложения, у IT-разработчиков появилось желание внедрить их в работу с ОЭП.

Как установить оэп и начать работать?

Для работы на локальном компьютере потребуется:

Чтобы пользоваться ОЭП на мобильном устройстве, оно должно работать на базе операционных систем не ниже Android 7.0 или iOS 8/9/10/11. Кроме этого, нужно установить приложение MyDss

Установка и настройка на смартфоне приложения MyDss

  1. Зайдите в приложение Play Market или Apple Store (зависит от устройства, которое Вы используете).
  2. В поисковую строку вбейте «MyDss» и запустите установку приложения.
  3. После завершения скачивания нажмите кнопку «Открыть».

4. Для начала работы система уведомит вас о необходимости сканирования QR-кода. Предоставьте камере доступ к этому действию.

5. Считайте QR-код с сертификата, который получили в УЦ.

Читайте также:  Как восстановить пароль ЭЦП: стандартный пароль ЭЦП по умолчанию

6. Придумайте имя для сохраняемого ключа, например, «ОЭП для торгов».

7. Выберите способ авторизации (с паролем, без пароля, отпечаток пальца, Face ID).

8. Программа готова к использованию.

Установка СКЗИ КриптоПро CSP 5

Чтобы пользоваться облачной ЭП потребуется наличие операционной системы Windows 7, 8, 8.1 или 10. Проверьте, что Ваша ОС подходит для работы с ОЭП. Для этого откройте «Центр обновлений Windows» и запустите поиск и обновления компонентов Windows.

Можно ли оформить облачную эцп дистанционно?

Эксперимент предполагает дистанционную выдачу подписи. Участвовать в нем могут физические лица, юридические лица и индивидуальные предприниматели. Вместо посещения удостоверяющего центра нужно авторизоваться в ЕСИА (Единой системе идентификации и авторизации) или зарегистрироваться в ЕБС (Единой биометрической системе), разработанной Центробанком и Ростелекомом.

Насколько безопасно пользоваться облачной подписью?

Теперь облачная электронная подпись стала даже безопаснее обычной. Раньше злоумышленник мог украсть ваш сертификат, завладев физическим носителем, на котором он хранится. Теперь ему буквально нечего красть. Ни диска, ни флешки — ничего.

Настройка крипто про csp 5.0

1.     Windows: Откройте меню Пуск, в папке КРИПТО-ПРО выберите пункт Инструменты КриптоПро;

Mac OS: Найдите среди установленных программ CPTools и запустите.

2.     В окне программы нажмите раздел «Облачный провайдер» и укажите:

Настройка облачной кэп и работа с ней на примере авторизации на портале госуслуги

1.     Если Ваш компьютер ранее не был настроен для работы с электронной подписью, установите необходимо ПО и настройке компьютер – инструкция «Настройка КЭП для работы на Windows» или инструкция «Настройка КЭП для работы на MacOS».

Внимание! Для работы с облачной электронной подписью должен быть установлен криптопровайдер КриптоПро версии 5.0.

2.     Если у вас есть серийный номер для активации лицензии КриптоПро 5.0, введите его, воспользовавшись инструкцией.

3.     Если облачная КЭП еще не выпущена и не добавлена в приложение myDSS, воспользуйтесь инструкцией.

Ответы на самые распространенные вопросы

А можно без софта на локальном компьютере?

Да, это возможно, если на ЭТП есть  дополнительный сервер, который обрабатывает входящую информацию и выступает в роли этого самого локального средства. В этом случае пользователь может использовать любой браузер. 

В чем отличие стандартной ЭП от облачной?

Оба эти варианта имеют общее ядро с сертификатом и уровнем безопасности. По своей сути, они аналогичны, просто меняется схема внутреннего API-шифрования при кодировке информации. В первом случае ключ извлекается из локального средства, а во втором – с виртуального (удаленного).

Для использования облачной ЭП тоже нужна авторизация?

Да. Однако теперь авторизация имеет два уровня защиты, и нет привязки к компьютеру. При этом авторизация для пользователя не вызовет никаких сложностей:

Преимущества

  1. Владелец стандартной ЭП на USB-носителе при утере флешки должен будет получить новый ключ. Владелец облачной ЭП просто поменяет пароль.
  2. Мобильность пользователя. Раньше нужно было находиться поблизости к компьютеру, на который установлены все программы и надстройки. Теперь при использовании ОЭП привязка к рабочему месту не нужна.
  3. Нет привязки к браузеру: раньше это был IE, а это вызывало трудности еще на этапе выбора ОС: Linux-админы находили пути обхода, а вот на Mac-устройствах это невозможно.
  4. Нет территориальной привязки. Пользователь не обязательно должен находиться в РФ. Раньше владельцы должны были находиться внутри страны, ввиду особенностей защиты подписей на носителях.
  5. Двухуровневая защита обеспечивает более надежную сохранность информации о пользователе.
  6. Возможность подписывать документы через приложение на смартфоне.

Сертификаты фсб россии на различные комплектации решения

Для того чтобы наглядно продемонстрировать надежность данного решения, в качестве примера приведем один из вариантов прохождения аутентификации пользователя «облачной» квалифицированной электронной подписи.

Структурная схема взаимодействия компонентов облачной электронной подписи с прикладной системой заказчика

На схеме ниже приведена упрощённая схема взаимодействия компонентов при использовании технологии «облачной» электронной подписи от компании «Сигнал-КОМ» и реализованные интерфейсы:

Пунктиром на схеме обведена неделимая часть: в рамках внедрения технологии облачной подписи эти компоненты поставляются только в комплекте. Для разработчиков и пользователей прикладных систем эта часть непрозрачна, а ее структура приводится только для общего понимания из чего складывается решение и его ценообразование.

У системы облачной подписи есть три интерфейса:

  1. интерфейс для встраивания в прикладную систему заказчика (интерфейс DSS Web Server) — представлен в виде документированного API, которым должны пользоваться разработчики прикладных систем;
  2. интерфейс взаимодействия с ПАК УЦ Notary-PRO — реализован и может быть использован как для собственного УЦ заказчика, так и при работе с УЦ e-Notary в режиме сервиса (для разработчиков, в режиме отладки, реализован тестовый контур в УЦ e-Notary с выдачей сертификатов в режиме on-line);
  3. интерфейс взаимодействия с сервером идентификации — реализован для соответствующего открытого проекта, бесплатно поставляемого в составе системы облачной подписи, и может настраиваться и дорабатываться под нужды заказчика.

Сопряжение с другими серверами идентификации может выполняться силами ЗАО «Сигнал-КОМ» на этапе внедрения системы.

Описание интерфейса DSS Web Server предоставляется по запросу

Читайте также:  Как установить сертификат ЭЦП на компьютер?

Суть технологии

Технология «облачной» электронной подписи базируется на 2 основных элементах: КриптоПро DSS 2.0* и КриптоПро HSM 2.0*, поддерживающие новый ГОСТ Р 34.10-2021. Подробнее о переходе на новый ГОСТ формирования электронной подписи можно прочитать в статье «Старт выпуска подчиненных сертификатов аккредитованных УЦ по новому ГОСТ».

* Продукты компании ООО «КРИПТО-ПРО» — лидера рынка производства и распространения средств криптографической защиты информации (СКЗИ) и электронной подписи.

КриптоПро DSS — это сервер «облачной» ЭП, веб-интерфейс или, проще говоря, «оболочка», которую видит и с которой взаимодействует пользователь. КриптоПро DSS может использоваться как сам по себе, так и в составе других систем (ДБО, ЭДО, ЭТП, приложения для ПК и мобильных устройств), для интеграции с которыми предоставляются различные API (базовая часть интерфейса прикладного программирования, на основе которой легко надстроить нужный функционал в различных системах).

КриптоПро HSM — это программно-аппаратный криптографический модуль, предназначенный для безопасного хранения и использования секретных ключей ЭП удостоверяющих центров и пользователей. КриптоПро HSM выполняет операции формирования, проверки ЭП и вычисления значений хэш-функции, шифрования и расшифровки данных.

Реализованное компанией ООО «КРИПТО-ПРО» решение позволяет перенести ключ ЭП в «облако», позволяя владельцам обрести мобильность и забыть о риске компрометации подписи, потери токена и о ряде других сопутствующих проблем.

Чем облачная подпись отличается от обычной?

Главное отличие облачной ЭЦП от обычной в том, что она не имеет физического носителя — не содержится на диске или флешке. Все данные хранятся на облаке.

Подпись функционирует с помощью мобильного приложения на IOS и Android, одобренного ФСБ России (например, «КриптоPRO DDS»). Канал защищен, криптографическая аутентификация присутствует. Такие меры безопасности гарантируют, что документ будет подписан исключительно тем лицом, на имя которого был оформлен сертификат.

Кроме того, приложение упростило саму процедуру подписания документов с помощью электронной цифровой подписи. Теперь это можно сделать за несколько минут из любой точки мира. Вам необязательно иметь при себе компьютер. Приложение устанавливается на стационарные устройства. Оно работает на операционных системах Windows и Mac OS.

Эцп для физических лиц | квалифицированная электронная подпись для физлиц

1. Зарегистрировать юридическое лицо или ИП

На сайте ФНС работает сервис «Подача документов на государственную регистрацию в электронном виде». Пакет документов нужно сформировать при помощи бесплатного программного обеспечения, заверить квалифицированной электронной подписью и выслать в ведомство через интернет. Вам не придется самостоятельно идти в ИФНС (а если каких-то документов не будет хватать, то несколько раз).

2. Работать удаленно

Официальные удаленные трудовые отношения постепенно входят в норму. В апреле 2021 года Трудовой Кодекс РФ был дополнен главой  «Особенности регулирования труда дистанционных работников» (49.1). В соответствии с поправками все электронные документы, которыми обмениваются работодатель и сотрудники, должны быть подписаны квалифицированной электронной подписью. Можно оформлять трудовые отношения без контакта с работодателем. Договоры, акты выполненных работ и другие документы, подписанные КЭП, приравнены к собственноручно подписанным.  

3. Заработать на кредитовании физических лиц или самому взять в долг

В интернете работают сайты (самый популярный — Loanberry.ru), на которых одни физические лица одалживают деньги другим физическим лицам напрямую, без посредников. Это один из способов заработать — можно занимать от 1000 рублей. Сервисы проверяют заемщиков перед оформлением сделки, а в случае невыплаты передают информацию коллекторам. Работать на сайте можно и без электронной подписи, но без нее кредитор не сможет вывести деньги, а кредитуемый получит заем на менее выгодных условиях.

4. Получить патент на изобретение

Через сайт федерального института промышленной собственности (ФИПС) можно подавать заявки на получение патента на изобретение или полезную модель. Если подаете заявку через интернет, не только экономите время, но и получаете скидку 30 % на оплату госпошлины.

5. Получить госуслуги через интернет

С электронной подписью можно быстро получить доступ к полному набору сервисов Портала госуслуг:

  • заполнить анкету на получение паспорта гражданина РФ или загранпаспорта,
  • контролировать пенсионные накопления и штрафы ГИБДД,
  • подать налоговую декларацию,
  • и т.д.

Все документы и заявления можно подать без очередей. Вам или назначают определенную дату приема для получения услуги, или вся процедура проходит в электронном виде.

6. Подать заявления на поступление в вуз

Многие вузы дают возможность иногороднему абитуриенту отправить заявление через интернет.  Главное — оно должно быть заверено электронной подписью. В отличие от доставки обычной почтой, пакет электронных документов точно дойдет получателю вовремя.

Отправить заявку

Требования к рабочему месту для работы с электронной подписью

Подведем итоги

Оформляя подпись дистанционно, вы экономите свое время и получаете преимущества облачного сертификата. Вот все, что нужно знать, если вы хотите принять участие в эксперименте:

  • Имея облачный сертификат ЭЦП, вы получаете все те же возможности, что доступны владельцу обычной электронной цифровой подписи.
  • Разница между обычной ЭЦП и облачной заключается в том, что сертификат находится на защищенном сервере, а не на физическом носителе.
  • Раньше инициатива введения возможности дистанционного получения облачной подписи блокировалась из соображений безопасности.
  • Облачная подпись надежнее обычной. Злоумышленник не сможет пройти двойную аутентификацию.
  • Использование облачной подписи происходит с помощью специального мобильного приложения.
  • До 2021 года все граждане и компании могут оформить электронную цифровую подпись дистанционно с помощью ЕСИА или ЕБС.

А вы уже получили подпись? Обращайтесь в удостоверяющий центр «Калуга Астрал», чтобы быстро оформить ЭЦП и пользоваться всеми преимуществами цифрового документооборота. У нас вы сможете получить подпись даже в течение 1 часа — достаточно представить паспорт и номер СНИЛС. Удостоверьтесь самостоятельно!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector