- «электронная подпись на мобильных устройствах и облачные решения: секреты должны оставаться секретами»
- Криптонуц — электронная подпись на мобильных устройствах / новости / пресс-центр / рутокен
- Мобильную электронную подпись «мегафона» теперь можно использовать для работы в системе эдо контур.диадок
- Преимущества для бизнеса
- Электронная подпись в смартфоне – будущее уже здесь!
«электронная подпись на мобильных устройствах и облачные решения: секреты должны оставаться секретами»
Директор по развитию компании «Актив» Владимир Иванов представил на PKI-Форуме 2020 решение для электронной и облачной подписи — смарт-карту Рутокен ЭЦП 3.0 с интерфейсом NFC. По его словам, мобильное приложение, мобильное устройство, токены и SIM-карты в качестве носителей имеют слишком много недостатков.
Смарт-карта
Владимир Иванов в своём выступлении на тему «Электронная подпись на мобильных устройствах и облачные решения: секреты должны оставаться секретами» отметил, что сейчас стоит задача отделить ключи подписи от устройства, но при этом не прибегать к контактным интерфейсам, сделать это по разумной цене и при этом с хорошей криптографией. И решением является их новое устройство – дуальная смарт-карта Рутокен ЭЦП 3.0 с интерфейсом NFC.
«Мы сегодня представляем наше новое устройство – это дуальная смарт-карта Рутокен ЭЦП 3.0 с интерфейсом NFC. Что такое дуальная карта? У неё два интерфейса: есть контактный интерфейс как у обычной смарт-карты, и есть интерфейс NFC – это бесконтактный интерфейс, который задействуется на современных смартфонах, и который можно подключить как считыватель к выделенному компьютеру. И у нас получается, что неизвлекаемые ключи подписи лежат на смарт-карте. Мы можем подписывать на этой карте данные и от приложений, и от браузера, и на мобильном приложении – фактически, где угодно. И плюс к тому, если мы работаем в облачной среде, мы эту смарт-карту можем использовать для аутентификации пользователя на облачном сервисе. Таким образом, ключи подписи продолжают лежать в облачном сервисе, а доступ к ним осуществляется по защищённым протоколам, с хорошей мощной аутентификацией на аппараты криптографии», – пояснил Владимир Иванов.
Чем это хорошо? По словам директора по развитию компании «Актив», NFC-карта не требует как такового отдельного источника питания, она питается от интерфейса (беспроводного или контактного). А также она может использоваться практически на любой мобильной платформе. К тому же в систему облачной подписи можно добавить возможность аутентификации пользователя по карте через мобильное устройство, либо через контактный или бесконтактный интерфейс на компьютере. «Мы в итоге можем одну карту использовать и для локальной подписи, и для мобильной подписи, и для дистанционной подписи», – рассказал Владимир Иванов.
Но всё же, чем плохи другие носители электронной и облачной подписи? Давайте разбираться.
Мобильная подпись непосредственно в мобильном приложении
По словам Владимира Иванова, мобильная подпись в мобильном приложении – это фактически программное СКЗИ, которое работает на не доверенном устройстве. И тут возникает много вопросов к защите генератора случайных чисел, который используется в процессе подписи, и вообще к безопасности самих ключей, которые хранятся не в доверенном хранилище, а непосредственно на устройстве в файловой системе или где-то ещё, поскольку мобильные устройства не поддерживают по умолчанию российскую криптографию и хранение криптографических ключей.
«При этом пользоваться такой подписью можно только в мобильном приложении, больше нигде. То есть прислав туда в приложение абстрактный документ, подписать его — получается не очень хорошая история, непонятно как это делать. Получается, у нас решение по ЭП несколько функционально ограниченное. Плюс к тому доступ к ключам подписи у нас производится фактически средствами мобильной платформы. Это означает, в большинстве случаев, что аутентификация у нас сидит на четырёх символьном пин-коде. Потому что и Face ID, и пальчики при неудачных попытках в большинстве случаев предлагают ввести 4-х значный пин-код, который выясняется каким-то образом очевидно», р — рассказал Владимир Иванов.
К тому же он задался вопросом: раз это СКЗИ, и при этом сертифицированное для распространение через, например, AppStore, то есть ли лицензия на распространение СКЗИ у Apple и Google? Скорее всего нет.
Ещё один из минусов использования мобильного приложения в качестве носителя электронной подписи — при удалении такого приложения, пользователь лишается тех ключей, которые там были сгенерированы, которые используются. А это означает, что ему придётся заново проходить процедуру аутентификации и процедуру получения сертификата. Опять же всё это не бесплатно.
SIM-карты
Также плохи в качестве носителей ЭП и SIM-карты. Во-первых, потому что нужно тогда производить специальные SIM-карты, а это стоит денег. Во-вторых, потому что возникает проблема с идентификацией пользователей: мобильный оператор должен идентифицировать своего клиента, когда он выдаёт ему сим-карту, при этом при выпуске электронного сертификата клиент также должен пройти идентификацию в удостоверяющем центре. «По идее в данной ситуации мобильный оператор становится удостоверяющим центром. Но в следствии изменения в законодательстве, например, руководитель предприятия не может пользоваться такой подписью, потому что он должен получать квалифицированный сертификат в одном их трёх государственных удостоверяющих центров. Ни один из которых не является мобильным оператором. Пока», — пояснил Владимир Иванов.
Также существует проблема с коммуникацией, потому что мобильная платформа устроена таким образом, что доступ к криптографии на сим-карте возможен исключительно из сим-приложения и эти функции криптографические недоступны из операционной системы.
«То есть фактически мы очень сильно ограничены функциональностью этого приложения. Мы не можем отобразить подписываемый документ. Соответственно мы не можем установить соответствие самого документы и того, что мы подписываем. Плюс к тому коммуникация с этим приложением возможна только через смс. А через смс много информации не пошлёшь и pdf-файл по смс не передашь. Соответственно, мы получаем сильное сокращение функциональности такого решения», — поделился спикер.
«И моё личное мнение, что опираться на технологию позавчерашнего дня, которой является SIM-карта, не очень хорошая идея», — добавил он.
Токены
Ещё один из вариантов носителей ЭП – токены, контактные или бесконтактные. «С контактными устройствами история такая, что у нас существует масса интерфейсов аппаратных – micro-USB, Type-C и другие – и, соответственно, сделать такое аппаратное решение за разумные деньги не представляется возможным. А решение, которое основано на бесконтактном интерфейсе Bluetooth, во-первых, требует процедуры сопряжения между устройствами, и, во-вторых, не очень хорошо ведёт себя в условиях радиопомех. И тоже эксплуатация его возможна только с приложением на мобильном устройстве», — сказал Владимир Иванов.
Однако тут он отметил большой плюс токенов — устройство можно переносить куда угодно. «Переносимость ключа подписи на сегодняшний день — это будет достаточно интересная задача в плане технических решений, потому что по новому законодательству руководитель предприятия может иметь всего один сертификат квалифицированной подписи. Соответственно, нельзя сделать так, чтобы на телефоне был один сертификат, на компьютере другой и так далее. Плюс к тому, есть сложившиеся бизнес-практики, которые на самом деле порождают юридические казусы, когда руководитель передаёт ключ своей подписи своим сотрудникам. При этом руководители сейчас выпускают и пять, и десять ЭП, что будет невозможно, если мы замкнёмся на ту подпись, которая будет на телефоне. То есть свой телефон он никому не отдаст», — пояснил спикер.
Облачная подпись
В облачной подписи для аутентификации используются мобильные устройства. Условия использования примерно такие же как при ЭП: либо приложение, либо SIM-карта с криптографией.
«Для аутентификации там конечно всё гораздо проще получается и лучше. И при всех несомненных плюсах облачных решений мы всё равно получаем ключ аутентификации, привязанный к мобильному устройству. То есть они хранятся либо на устройстве, либо на SIM-карте. При этом ключи подписи и ключи аутентификации лежат у облачного провайдера в HSM и работают с теми приложениями, которые предоставляет данный провайдер. … И в случае мобильной облачной подписи очень много работы предстоит по интеграции», — рассказал Владимир Иванов.
Криптонуц — электронная подпись на мобильных устройствах / новости / пресс-центр / рутокен
Современные мобильные технологии предлагают пользователям множество разнообразных способов общения между собой. Существует масса приложений для обмена сообщениями, фотографиями и другим контентом. При этом зачастую защищенность передаваемой информации приносится в жертву простоте передачи и доступности. В то же время, чем больше человек погружен в сеть, тем более уязвимым он становится для разного рода мошенников, использующих его персональную информацию в корыстных целях. Многие пользователи считают, что защита информации — это что-то сложное и дорогое, требующее специальных знаний и навыков. В действительности же, существуют решения, позволяющие пользователям надежно, а главное просто защищать данные, которыми они обмениваются в сети.
Приложение КриптоНУЦ от компании «Национальный удостоверяющий центр» позволяет удобно шифровать и подписывать электронной подписью любые файлы на мобильном устройстве. Для работы приложения используются сертификаты электронной подписи, что дает возможность адресно зашифровывать данные — расшифровать их сможет только владелец сертификата.
Для хранения личного секретного ключа электронной подписи применяются защищенные ключевые производства компании «Актив». Пользователи могут выбрать USB-токены Рутокен ЭЦП или Рутокен Lite в стандартном и микро-корпусе, microSD-карты Рутокен Lite SD или беспроводной токен — Рутокен ЭЦП Bluetooth.
Для выполнения операций шифрования и подписи используется широко распространенное средство криптографической защиты информации КриптоПро CSP компании «КриптоПро». Защищенные при помощи КриптоНУЦ файлы пересылаются так же, как и любые другие — через почту, социальные сети, сервисы мгновенных сообщений. При этом можно быть уверенным, что передаваемые данные не будут перехвачены или изменены злоумышленниками.
Мобильную электронную подпись «мегафона» теперь можно использовать для работы в системе эдо контур.диадок
Мобильная электронная подпись (МЭП) — это усиленная квалифицированная электронная подпись. МЭП подходит для подписания и согласования. Документы, подписанные МЭП, признаются юридически значимыми.
Воспользоваться МЭП можно будет везде, где есть GSM-покрытие, даже в международном роуминге. Для работы с МЭП подойдет любое мобильное устройство, которое поддерживает работу с SIM-меню: телефон, смартфон или планшет. Еще пользователю понадобится поменять свою SIM-карту на новую, специальную карту с установленным ПО. Телефонный номер абонента при этом можно сохранить.
При активации SIM-карты пользователь задает индивидуальный ПИН-код. В дальнейшем он нужен для того, чтобы подтверждать действия с документами — подписание, согласование или отказ в подписи.
Ирина Штейнварг
Руководитель отдела внедрения Контур.Диадока
Реализация технологии МЭП — это возможность буквально на ходу подписывать документы и еще более оперативно влиять на бизнес-процессы. Использование МЭП снижает требования к техническому оснащению рабочего места — для срочного подписания документов подойдет даже кнопочный телефон. Со стороны системы ЭДО тоже нет никаких барьеров. Работу с МЭП поддерживают веб-версия и API Диадока.
Преимущества для бизнеса
Так как телефон всегда под рукой, применение мобильной PKI обеспечивает массу преимуществ. В России, однако, по сравнению со странами Европы и Азии, эта технология пока недостаточно востребована. Если обратиться к статистике, то среди населения Финляндии, которое составляет 5,4 млн человек, пользователями мобильной PKI являются 3 млн человек, или более 55%. При этом с помощью мобильных телефонов они совершают порядка 500 млн транзакций в год.
Эти данные не могли не заинтересовать российских операторов сотовой связи, входящих в «Большую тройку». Их первым шагом в данном направлении стало принятие принципиального решения об использовании одной технологии, единых стандартов и требований к выдаче карт, API для встраивания и тому подобное.
Для вывода новой технологии на рынок необходимо выстроить мощную инфраструктуру, которая будет затрагивать все аспекты работы новой технологии: от выдачи sim-карт до внедрения разработки на электронных сервисах. Именно поэтому сам факт использования единых стандартов и технологий должен дать мощный стимул к развитию в России электронных сервисов для физических лиц. Сервис же станет массовым тогда, когда будет выстроена необходимая платформа операторами сотовой связи.
Не секрет, что сегодня около 90% всех электронных сервисов разработаны для корпоративных клиентов. Постепенное насыщение массового рынка средствами электронной подписи способно изменить эту статистику. Компания Yota уже выдает sim-карты с поддержкой электронной подписи и технологии NFC, поэтому, возможно, проблема с нехваткой электронных сервисов для физлиц в скором времени останется в прошлом.
Положительное влияние на распространение мобильной PKI окажет и деятельность крупных ритейлеров и банков. Специалисты подсчитали, что средняя стоимость одного очного контакта с клиентом кредитной организации в среднем обходится в i850 в Москве и i730 в регионе.
В эту сумму входит оплата помещения, коммунальных услуг, а также заработная плата работника, осуществляющего прием. Благодаря использованию электронной подписи на sim-карте точки ритейла смогут в несколько раз ускорить обслуживание, что снизит затраты и даст дополнительные преимущества перед конкурентами.
Кроме того, развитие технологии мобильной PKI позволит ускорить переход на безбумажный документооборот, что опять же приведет к снижению накладных расходов (к слову, крупная компания или банк в месяц тратит до 9–12 тонн бумаги).
Электронная подпись в смартфоне – будущее уже здесь!
Вот мы и подошли вплотную к вопросу о том, какими технологиями можно реализовать удобную и безопасную электронную подпись, неотъемлемой частью которой является простота использования, соответствие законодательству и мобильность.
Несколько лет назад мы представили рынку платформу PayControl для подписи «в смартфоне», призванное свести к нулю риски, возникающие при использовании SMS- и PUSH-кодов. Это решение «превращает» мобильное устройство в удобный и очень мобильный аналог привычного USB-токена, в котором формируется электронная подпись. Теперь высокий уровень безопасности операций, который раньше был доступен только в ДБО юридических лиц и только на рабочих компьютерах, стал доступен всем.
Сейчас PayControl – это полноценная платформа мобильной аутентификации и электронной подписи. При ее использовании клиенты защищены от наиболее распространенных атак: «перевыпуска» SIM-карты, фишинга, подмены документа, и, самое главное в настоящее время — от социальной инженерии. Решение PayControl может быть полностью встроено в мобильное приложение банка. Во время подписи транзакций и документов клиент видит их реквизиты на своем смартфоне и подтверждает одним нажатием кнопки. Никаких дополнительных скретч-карт или криптокалькуляторов, никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl нисколько не сложнее, чем звонок с мобильного телефона.
На чем основывается безопасность PayControl? При его использовании подпись формируется как функция от 4-х аргументов: реквизиты конкретной операции, ключ подписи клиента, момент времени операции и «отпечаток» смартфона пользователя. В этот же момент проводится анализ смартфона на Root/Jailbreak и наличие подозрительных приложений, а также отправляются во фрод-мониторинг банка параметры рабочей сессии. Даже если пофантазировать и предположить, что злоумышленник как-то получит доступ к ключу, то он никак не сможет его использовать для другой операции, на другом устройстве, в другое время.
При этом PayControl повышает не только уровень безопасности, но и удобство работы клиента. С его помощью можно сделать простой и безопасный вход в Интернет-банк без логина и пароля, с ним можно подтверждать документы прямо в интерактивных уведомлениях и на смарт-часах! Поговорим об этом в следующий раз.
#safetech#paycontrol#verestnikova#дашавделе