14 сентября в рамках PKI-Форума прошел круглый стол на тему «Мобильная электронная подпись: проблемы и решения». Участники дискуссии обсудили нюансы реализации и сценарии применения мобильной электронной подписи.
Ведущий сессии, заместитель генерального директора «КриптоПро» Станислав Смышляев указал на то, что именно в части технической реализации мобильной подписи сильно продвинулись все участники профессионального сообщества – разработчики, интеграторы и пользователи. «С другой стороны, остаются трудные вопросы, связанные с порядком применения таких средств. В случае мобильного устройства существует более высокая степень риска компрометации ключей – например, если носитель ключа находится в чехле или в самом телефоне. Появляются и новые трудности, связанные с внешними факторами: например, риск удаления приложения из магазина приложений, риск блокировки устройств, отзыв сертификатов для защищенных соединений, потенциальные уязвимости, намеренно внесенные в компонентах Open Source», – рассказал он.
По мнению спикера, главный вопрос сегодня – в каких направлениях следует развивать технологию мобильной подписи, как сделать ее применение безопасной, обеспечить единственность ключа ЭП, организовать использование ключей на отчуждаемых носителях, соответствовать повышенным требованиям к защите ключей с учетом риска утери или временной компрометации, создать возможность развития прикладного функционала без постоянной досертификации приложений.
Антон Мелузов, заместитель генерального директора «РТЛабс», в докладе «Масштабирование Госключа. Особенности массового внедрения средств электронной подписи» выступил от лица потребителя информационных систем, которые встраивают технологии мобильной подписи в свои решения, системы ЭДО.
«Госключ существует чуть больше года, и за это время этой технологией воспользовались более 600 тысяч человек для разных процессов. Конечно, это гораздо меньше, чем количество сертификатов, выданных УЦ Казначейства или ФНС. Но важно подчеркнуть, что это неквалифицированные люди, которые самостоятельно в своем мобильном телефоне прошли этот путь до конца, без помощи системного администратора и других специалистов. Это совершенно другой подход к технологиям. Раньше мы говорили, что стопором для массового внедрения ЭП является именно низкая квалификация пользователей и технологическая сложность средств ЭП. Сегодня в этом направлении мы очень хорошо продвинулись», – уверен он.
О совмещении классической и мобильной парадигм работы с квалифицированной электронной подписью говорил директор по развитию компании «Актив» Владимир Иванов. Он обратил внимание на то, что по-настоящему мобильной можно назвать подпись, которая работает в любых условиях, в том числе при отсутствии подключения устройства к сетям связи. «При этом под мобильными устройствами понимаются не только смартфоны и планшеты, но и другие устройства, применяемые в бизнес-процессах – например, терминалы и кассовые аппараты, для которых также очень важна автономная работа», – сказал он.
Спикер отметил и другие нюансы применения мобильной ЭП: например, важность переносимости ключей подписи между устройствами и информационными системами. Пользователь должен обладать единственным ключом подписи, который применяется везде, а не только в конкретной СЭД, которая к ней привязана. Сам же ключ подписи должен храниться и использоваться на внешнем защищенном доверенном устройстве, прошедшем оценку соответствия, и быть отделенным от среды исполнения – мобильной ОС и приложений.
В выступлении «Банковская идентификация в мобильной электронной подписи» Алексей Дегтярев, руководитель единой цифровой платформы «Тинькофф Банка», представил позицию клиента мобильного банковского сервиса. Для банка важно, чтобы клиент получал все сервисы в одном интерфейсе взаимодействия – мобильном приложении: клиент должен простым действием зайти в единый интерфейс и получить все доступные услуги и сервисы экосистемы, в том числе связанные с электронным подписанием.
«Мобильное устройство – это будущее электронной подписи. Действительно, для него подпись может быть и облачной, и гибридной, и с совмещением различных способов использования на внешних носителях. Говоря именно о применении мобильной ЭП – важно учитывать факторы идентификации, хранения и использования этой подписи. Так, у нас уже сформировался успешный клиентский опыт в части банковских продуктов, когда мы используем дистанционную идентификацию», – пояснил спикер.
После ряда докладов с презентациями участники круглого стола перешли к живому обсуждению, и к ним присоединились еще два спикера.
«У мобильной подписи есть ценность на традиционном для нас рынке ЭДО, где она в какой-то мере конкурирует с классическими технологиями подписи. Но самое главное – мобильная подпись открывает для бизнеса «голубой океан» проектов по цифровизации, который был недоступен ранее. Только она способна сделать подпись действительно массовой. В идеале – мобильная подпись применяется в сочетании с теми или иными технологиями удаленной идентификации. В ближайшие год-два самые интересные вещи будут происходить именно в этом направлении», – уверен генеральный директор SafeTech Денис Калемберг.
Заместитель генерального директора «ИнфоТеКС» Дмитрий Гусев согласился с мнением о том, что в перспективе останутся разные варианты ЭП – облачные, локальные, квалифицированные, неквалифицированные и другие – в зависимости от задач потребителей. При этом успешное применение криптографических средств в мобильных приложениях во многом зависит от надежности самих этих приложений. «Компании которые приходят к нам как к разработчикам криптографии, часто не могут однозначно ответить на вопрос, как они готовы продемонстрировать надежность реализации механизмов использования встроенного доверенного криптоядра. Важно помнить, что не существует универсального средства, доверенного мобильного СКЗИ, криптомодуля, который будет идеально работать независимо от того, как выглядит идентификация и аутентификация в конечном приложении», – уточнил он.
.png)