Получите, распишитесь: эволюция электронной подписи

Василий Степаненко: директор департамента ИБ ООО «Сервионика»

Пожалуй, каждый, взяв шариковую ручку, начинает вспоминать, когда же он в последний раз что-то писал от руки. Мир стал электронным, и теперь навык набора текста на клавиатуре намного более востребован, чем скоропись. И хотя сейчас для оформления документов все так же необходима подпись, теперь она тоже может быть электронной. Главные преимущества этой инновации – удобство и безопасность. В отличие от обычного автографа, электронную подпись практически невозможно подделать, ведь состоит она из уникальной зашифрованной последовательности символов, прикрепленной к заверяемому документу.

Принятый в 2011 году №63-ФЗ «Об электронной подписи» расширил не только сферу применения электронной подписи (сейчас она допустима как для юридических, так и для физических лиц), но и обеспечил так называемую «технологическую нейтральность». Теперь признаются различные виды электронных подписей, в том числе выданные по нормам иностранного права. Сейчас в России определено целых три вида электронной подписи. Первая — простая — обычно используется внутри одного юридического лица. Вторая — неквалифицированная — подходит для использования между юридическими лицами в рамках холдинга. Наконец, последняя — квалифицированная — необходима, например, для проведения операций между компанией и внешними контрагентами.

Вместе с распространением ЭП активно развивается и технологический прогресс, пользователи ищут новые способы работы с нею. На фоне развития облачных технологий и тенденций к построению систем на основе WEB-технологий привычные средства обеспечения электронной подписи (например, USB-ключи) становятся менее востребованными, ведь применять их на смартфонах и планшетах весьма неудобно. К перспективным способам обеспечения ЭП сейчас относится подпись на SIM-картах мобильных устройств, а также облачные решения на базе специализированных серверов электронной подписи и аппаратных криптографических модулей (HSM), которые обеспечивают защищенное хранение ключевой информации.

SIM-карта вместо ручки

Повсеместное распространение мобильных устройств (по данным Aruba, к 2015 году число пользователей смартфонов достигнет 1,75 миллиардов) закономерно привело к тому, что их все чаще используют  для доступа к различным сервисам. А значит – и к тем, где необходимо подтверждение операций с помощью электронной подписи. Но мобильные телефоны или планшеты нельзя считать безопасной средой (в силу несовершенства существующих мобильных средств защиты и нередко недоверенной аппаратной платформы), поэтому на рынке появляются решения, обходящие эту уязвимость. Наиболее популярной среди них стала технология осуществления электронной подписи по SIM-карте мобильного устройства, с использованием имеющегося на ней криптографического сопроцессора.

Схема предоставления электронной подписи в этом случае следующая: пользователь загружает документ на веб-сервис или формирует его на нем, при этом  среда подготовки документа и канал связи могут быть незащищенными.

После сервис передает документ или ключевую информацию из него, а также его хэш по GSM-каналу пользователю, предварительно зашифровав их открытым ключом пользователя. Полученное сообщение обрабатывается непосредственно на SIM-карте, поэтому приложения, установленные на мобильном устройстве, получить к ним доступ не могут. Следовательно, снижается риск кражи данных. Пользователю предлагается ввести пин-код, после чего сообщение подписывается его закрытым ключом и отправляется сервису. Учитывая, что количество SIM-карт в мире по итогам 2014 года практически сравнялось с численностью населения (7,2 миллиарда мобильных подключений на 7,3 миллиарда человек), технологическая основа для их использования как средств идентификации уже есть. При этом уже разработаны и успешно применяются решения, позволяющие в случае утери мобильного телефона или его кражи предложить гораздо больше способов предотвратить хищение закрытых ключей электронной подписи, чем при использовании тех же USB-токенов. Поиск по GPS, отсылка фотографий со встроенной камеры при попытке доступа — вариантов довольно много.

Мировым лидером по внедрению систем электронной подписи на мобильных устройствах является компания Gemalto. В России активно продвигает технологию ЭП на мобильных устройствах компания Алладин Р.Д. (технологический партнер ООО «Сервионика»), совместно с Gemalto адаптировавшая ее в соответствии с российскими стандартами шифрования. Системы электронной подписи с использованием SIM-карт уже работают в Финляндии, Турции и странах Прибалтики. Особенно интересен пример Турции, где ЭП на мобильных устройствах применяется повсеместно, причем не только для подписи документов, но и для прохождения двухфакторной аутентификации на многих сервисах (например, в интернет-банкинге), подписи электронных писем, подтверждения операций на портале электронного правительства. Причем жители Турции могут использовать для этого обычные телефоны, а не только смартфоны – ведь все вычисления производятся на SIM-карте. В России выпуск SIM-карт со встроенной электронной подписью начала компания Yota в 2014 году.

Отметим, что применяться в качестве устройства для осуществления электронной подписи могут не только sim-карты: ряд перспективных разработок связан с использованием банковских карт для этой цели. Банковская карта и пин-код становятся полноценной заменой ручной подписи в банке, повышая безопасность проводимых операций и ускоряя процедуру их оформления. В частности, данная технология позволяет проводить двойную идентификацию клиента: по паспорту и с помощью карты (ведь ее пин-код известен только клиенту). А вместо ручного подписания стопки документов теперь достаточно один раз ввести пин-код. В 2014 году технология впервые стала доступна клиентам Московского банка Сбербанка, за прошедший год москвичи совершили более трех миллионов операций с использованием электронной подписи

Облачный автограф

С развитием облачных технологий появилась и новая концепция ЭП — облачная подпись. Она предполагает хранение закрытого ключа и выполнение процедуры шифрования данных непосредственно на сервере. Для этого используются программно-аппаратные модули HSM,  выполняющие криптографические операции без участия компьютера пользователя и обеспечивающие защищенное централизованное хранение закрытых ключей. Данные криптографические операции тщательно проверены различными сертифицирующими органами  и имеют различные сертификаты  на корректность/правильность их выполнения для систем, в рамках которых производится сертификация. Таким образом, пользователь может быть уверен в правильности формирования электронной подписи и надежности хранения его закрытых ключей.

Наиболее распространенным в России является серийно выпускаемый криптографический модуль «КриптоПро HSM» от компании «КРИПТО-ПРО». Данный криптографический модуль сертифицирован ФСБ России, в том числе и  для систем, использующих квалифицированную электронную подпись. На его базе создано и единственное на сегодняшний день отечественное коммерческое решение для облачной электронной подписи — сервер электронной подписи "КриптоПро DSS" (Digital Signature Server), предоставляющий web-интерфейс для подписания документов и документированный интерфейс для встраивания в программное обеспечение различных систем. В таком исполнении серверы электронной подписи могут применяться для создания квалифицированной электронной подписи, а также успешно использоваться в тех отраслях, где допускается  применение неквалифицированной электронной подписи. С их помощью можно создавать системы дистанционного банковского обслуживания  в  банках, системы электронного документооборота на рынке ценных бумаг и коллективных инвестиций, системы электронной коммерции. Более того, возможность развернуть такой сервер в облаках значительно облегчает его внедрение в любом  коммерческом сегменте. Применение же российских разработок в области облачной электронной подписи  обуславливается текущими законодательными и нормативно-правовыми актами, а также тенденцией к импортозамещению».

Главными отличительными  особенностями облачной электронной подписи являются :

• полная мобильность, т.к. доступ к сервисам электронной подписи осуществляется  через любой браузер вне зависимости от программно-аппаратной  среды;
• отсутствие риска потери ключей и ключевых носителей: аппаратных токенов, смарт-карт,  планшетов и телефонов с токенами на  SIM-картах  и т.д.;
• исключение расходов пользователя  на приобретение специализированных аппаратных средств и программного обеспечения.

Вместе с расширением сфер применения электронной подписи меняется и законодательство. Активная работа государства над созданием электронного правительства, оперативно предоставляющего госуслуги онлайн, а также общая тенденция перехода бизнеса на электронный документооборот стимулируют развитие электронной подписи и, как следствие, новых технологий и аппаратных средств по ее предоставлению. Облачные подписи и «автографы», оставить которые можно всего лишь с помощью SIM-карты, — уже распространенная практика во многих странах мира и, как можно с радостью отметить, набирающий популярность тренд в России.