Александр Баранов, зав. кафедрой Комплексной безопасности критически важных объектов Российского государственного университета нефти и газа имени И. М. Губкина, на PKI-Форуме 2020 говорил о реализации квалифицированной электронной подписи в массовых системах.
«У массовой электронной подписи есть принципиальное отличие от корпоративной. При числе пользователей более десятков миллионов возникает совершенно новые проблемы», – начал он.
Так, легкая авторизация, которая обеспечивается для массовой квалифицированной ЭП, вызывает недостаточную надежность аутентификации. Личный идентификатор должен быть защищен от посторонней активизации и подделки – например, от применения фальшивой соты, которая позволяет воспроизвести чужой номер телефона.
Спикер упомянул вышедшее на днях Постановление Правительства Российской Федерации от 09.09.2020 №1389 «О внесении изменений в Положение о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации», где, в частности, наконец определен оператор удаленной идентификации. Предложение разрабатывает Минцифра, а утверждает и согласует ФСБ. «Посмотрим, как эти два ведомства сработаются для того, чтобы решить ту проблему, которую не могли решить уже в течение довольно длительного времени», – заметил Александр Баранов.
Топологически система массовой квалифицированной ЭП – это система удостоверяющих центров (несколько тысяч точек выдачи) и вычислительная система, которая фактически представляет собой географически распределенный с высокоскоростными защищенными каналами. Одним из требований этой системы является короткое время обслуживания: «Если для выдачи КЭП юридическому лицу проверка по внутренней системе его дееспособности и принадлежности к фирме при предварительной явке составляет около 5 минут, то проверка физического лица и выдача ему КЭП доставит трудности, поскольку идентификация личности – это краеугольная проблема, – уточнил спикер. – Связь между от отдельными узлами кластера должна быть по КС2 или выше. При этом принципиальное отличие КС1 от КС3 для КЭП – в том, что по КС1 вы фактически можете отказаться от подписи, сославшись на то, что у вас «на борту» сидит какой-то неизвестный хакер, а КС3 этого не позволяет сделать».
Для создания доверенного элемента, оперирующего КЭП, в гаджете пользователя предлагается использовать доверенную сим-карту, прототип которой сейчас находится на аттестации по уровню КС3.
