17 июня, 2021

Простая электронная подпись – больше, чем коды!

Знали ли вы, что простая электронная подпись (ПЭП) может быть разной и, более того, по уровню безопасности она может быть ничуть не ниже и даже выше, чем усиленная неквалифицированная электронная подпись (УНЭП)? А в вопросе юридической значимости простая ЭП и УНЭП также могут быть эквиваленты? Миф это или реальность?

На сегодняшний день довольно прочно устоялась парадигма, что простая ЭП– это исключительно OTP-коды, передаваемые на мобильные устройства через SMS и PUSH каналы, либо постоянные пароли. Действительно, когда только появилось деление на виды электронной подписи, простая ЭП разрабатывалась по принципу простоты и удобства: человек получает код себе на устройство, вводит его и что-то подписывает. А в итоге этот метод подписания создал пространство для бессчётного количества атак на физических и юридических лиц в банковском сегменте.

О технической стороне «безопасности» (именно в кавычках) OTP-кодов сказано уже много – они подвержены фишингу; не обеспечивают целостность и авторство транзакции; если речь идёт о SMS и PUSH-уведомлениях – элементарно перехватываются почти на всех этапах передачи и непосредственно в устройстве.

Юридическая значимость «кодиков» тоже весьма сомнительна. Хороший юрист вместе с техническим специалистом легко докажут, что отправленный по SMS или PUSH код не является персонифицированной информацией и доступен неограниченному кругу лиц еще до получения его адресатом. Судебные прецеденты таких решений общеизвестны.

Отдельной головной болью является уязвимость OTP-кодов социальной инженерии. 

Сегодня мошенники без труда получают всю информацию о клиентах банков – ФИО, номер телефона, данные банковских карт, остатки по счетам, историю операций. И для монетизации всего этого объема информации им недостаточно только одной составляющей – одноразового кода из SMS или PUSH-уведомления. И, если это нетехническая атака, в ход идёт социальная инженерия.

Мошенники, стоит признать, отличные психологи: они разработали большое количество методик, как заставить человека продиктовать нужные цифры. Но все эти методики основаны на простейшей механике – ввести человека в стресс, пообещать помочь избежать губительных последствий и, в качестве промежуточного шага, попросить сообщить код. И человек делает это на автомате, диктуя код прямо из шторки уведомлений смартфона, не вникая в содержимое сообщения.

То есть для того, чтобы кардинально снизить уровень успешности социальной инженерии, этот шаблон необходимо сломать. И, для начала, необходимо избавиться от одноразовых кодов, чтобы у пользователя не было возможности что-то кому-то продиктовать. Вроде бы, выход вполне очевиден: отказаться от простой ЭП и перейти на использование УНЭП или КЭП. Но и здесь возникает сложность – КЭП очень строго регулируется законодательством, и выдать ее всем физическим лицам мягко говоря, непросто (читай – дорого). Остается – УНЭП.

 

Усиленная неквалифицированная подпись в наших реалиях

Прежде всего предлагаем детально разобраться, что говорит законодательство.

Согласно п. 3, ст. 5, Федерального закона 63-ФЗ, УНЭП «получена путем криптографического преобразования…» и «создается с использованием средств электронной подписи…».

В Постановлении Правительства РФ от 16 апреля 2012 г. №313 разработка, а также внедрение шифровальных и криптографических средств обозначена как работы, которые подлежат лицензированию.

Если компания-разработчик получает лицензию, то она обязана выполнять требования к лицензиатам, в том числе по разработке тех самых криптографических средств. Одним из руководящих документов в этой области является ПКЗ -2005, где прописана рекомендация использования национальных стандартов при разработке криптографических средств.

Более того, если работа предполагается в банковской сфере, то есть Положение Банка России 683-П, которое говорит следующее: «в случае если кредитная организация применяет СКЗИ российского производства, то СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности».

Путем несложных умозаключений получаем следующее: если кредитная организация использует средства ЭП для УНЭП российского производства, то это должны быть сертифицированные средства, работающие с ГОСТ-алгоритмами. А это, в свою очередь, мало чем отличается от «зарегулированной» КЭП, что «убивает» идею простоты использования ЭП.

Если использовать УНЭП и следовать букве закона, то ее применение в ряде цифровых платежных каналов становится сложным, дорогим и просто неудобным для клиентов.

Что интересно – при использовании СКЗИ (средства ЭП) нероссийского производства, такого требования нет.

 

Следуем закону и требованиям бизнеса!

Главные требования бизнеса к подписанию и подтверждению действий в цифровых каналах можно обозначить тремя пунктами.

Во-первых, это должно быть удобно и мобильно: все устали от ввода «кодиков», дополнительных устройств и привязки к рабочему месту.

Во-вторых, должен обеспечиваться высокий уровень безопасности, как минимум на уровне УНЭП.

В-третьих, это должно быть экономически эффективно (даже средний банк тратит на рассылку SMS-кодов десятки миллионов рублей в год).

И здесь сам собой напрашивается вопрос: а что если реализовать все функции безопасности по принципу УНЭП, но назвать получившееся решение простой ЭП?

И снова обратимся к 63-ФЗ. Статья 9 описывает использование простой электронной подписи и говорит о том, что простая ЭП также имеет ключ, который применяется в соответствии с правилами, предусматривающими определение лица, подписавшего документ, и обязывающими соблюдать конфиденциальность этого ключа. Очень похоже на «закрытый» ключ при использовании криптографии, не так ли?

Статья 6 говорит о том, что условия признания электронных документов должны быть описаны в соглашении между пользователем и оператором, например, информационной системы, то есть между двумя участниками. Опять же, такое соглашение должно быть подписано и при использовании УНЭП.

Резюмируя, получается, что по законодательству простая ЭП и УНЭП равны: у них есть ключ ЭП и двустороннее соглашение, определяющее порядок проверки подписи и разрешение конфликтных ситуаций.

Следовательно, мы можем использовать простую ЭП со всеми признаками УНЭП, кроме использования сертифицированных криптосредств, но не называть ее УНЭП. Тем самым мы получим удобное, безопасное и экономически эффективное средство электронной подписи.

 

Как реализовать «правильную» простую ЭП?

Реализация «правильной» простой ЭП требует следующего порядка действий:

Первое. Берем устраивающее нас решение для формирования электронной подписи – безопасное и удобное, которое реализует контроль авторства и целостности, а также неотказуемость. Оно должно удовлетворять, как минимум, следующему списку требований:

  • Подпись вырабатывается только на устройстве клиента. То есть не должно быть генерации кода подтверждения на стороне банка и его отправки через агрегаторов/операторов.
  • Должен обеспечиваться контроль целостности и авторства транзакции с доказуемой надежностью. Другими словами, математические алгоритмы электронной подписи (ГОСТ, ECDSA и др.) – обеспечивают нужные свойства. Отправленная SMS и «прилепленная» к ней сноска в договоре, что «доставленная SMS является доказательством авторства» — не обеспечивает.
  • Должна выполняться визуализация документа перед подписанием, чтобы пользователь точно понимал, что именно он подписывает. «Безымянный» кодик в сообщении «123456 – Ваш код подтверждения» вовсе не отвечает на вопрос «Я перевожу деньги на безопасный счет?» или «Я перевожу все свои деньги гражданину Вазгену?»
  • Реализация решения должна удовлетворять всем современным практикам в области безопасности: по хранению ключей, по защите данных, по противодействию различным техническим и нетехническим атакам и т.д.
  • Пользователь не должен испытывать неудобства при работе: с мобильного устройства, в роуминге, в офлайн-режиме, на смарт-часах, прямо в приложении банка и пр. Здесь требования по удобству у всех разные, но они очень важны.

В случае использования простой ЭП также отсутствует необходимость соблюдения требований регулятора в области криптографии. Алгоритмы вполне могут быть западные (например, ECDSA, SHA-256, AES-256), устройства тоже западные (iPhone и Android), и приложения распространяются через западные цифровые магазины (AppStore и Google Play). Главное здесь – уровень защиты от злоумышленника и удобство наших пользователей.

К тому же, исключение, описанное в пп. «В» п. 3 Постановления Правительства 313, говорит нам о том, что оно не распространяется на деятельность с использованием товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, либо электронной подписи. Другими словами, лицензия на распространение в этом случае не требуется.

Второе. Составляем для этого решения «юридическую обвязку» для наших конкретных целей и нашей системы. То есть, прописываем соглашение, в котором фиксируется порядок выработки и проверки ЭП, включая описание работы с ключами и процедуры разбора конфликтных ситуаций.

Третье. Реализуем техническую интеграцию.

Четвертое — радуемся жизни.

Следуя данному алгоритму действий или изучая опыт других коллег по цеху, вы непременно столкнетесь с платформой мобильной аутентификации и электронной подписи PayControl. Безопасность работы решения основана на использовании встроенных криптографических механизмов мобильных и серверных операционных систем (ECDSA, HMAC-SHA-256, AES), асимметричных ключах для контроля целостности и авторства, визуализации данных транзакции, анализе уязвимости мобильного устройства и многом другом.

Когда мы начинаем работу с заказчиком, то кроме технической интеграции всегда помогаем реализовать и юридическую обвязку всех бизнес-сценариев. У нас довольно большой опыт в составлении юридических конструкций использования ЭП: от очень простых до «железобетонных», которые оспорить нет никакой возможности, с примерами различных вариантов процедур формирования подписи и разбора конфликтов.

С технической точки зрения, PayControl — богатая возможностями платформа, которая очень просто встраивается в процессы заказчика. В качестве примера, один из наших самых крупных проектов был реализован за полтора месяца «под ключ», а рекорд по технической интеграции составляет всего 4 часа.

И конечно, про радости жизни: по данным наших клиентов, время подтверждения транзакций пользователем сокращается в несколько раз. Это следует из того, что уменьшается количество действий: не надо переколачивать OTP-коды, не надо ждать, пока придет SMS. И не менее важно для бизнеса – сокращение расходов составляет до пяти раз в сравнении с SMS.

В качестве итога, простая электронная подпись – это не только OTP-коды из SMS или пароли. Если сделать простую ЭП правильно, то она может обеспечивать очень высокий уровень безопасности, быть удобной для пользователя и экономически выгодной для бизнеса.

Если сравнивать простую ЭП с УНЭП, то с точки зрения юридической конструкции и нюансов, связанных с встраиванием и распространением, простая ЭП – проще (простите за тафтологию). С точки зрения безопасности при правильной реализации простая ЭП не отличается от УНЭП. С юридической точки зрения – они эквивалентны.

На сегодняшний день, правильная реализация ЭП – это одно из наиболее эффективных средств противодействия техническим атакам и социальной инженерии. Использование платформы аутентификации и мобильной электронной подписи PayControl позволит сделать работу конечных пользователей максимально удобной, значительно повысить уровень безопасности в цифровых каналах, обеспечить соответствие требованиям регулятора, а также повысить экономическую эффективность цифровых каналов банка.

Смотрите также

15.08.2022
Agile-подход: «культура семьи» VS «культура армии»
15.08.2022
«Банки надо обязать предоставить клиенту возможности настройки профиля безопасности»
15.08.2022
Первая массовая волна кибератак немного стихает
15.08.2022
«Новый институт должен способствовать доверительной атмосфере на рынке»
15.08.2022
Китайский бигтех показал, что у него в карманах
12.08.2022
Dragos: Число кибератак на промсектор снизилось
12.08.2022
Корпоративные данные Lockheed Martin были опубликованы хакерами из Killnet
12.08.2022
VK Видео или Rutube — кто придёт на место YouTube?
12.08.2022
«Расширение возможностей телемедицинских технологий». «Сколково» и «Ростех» держат руку на пульсе
11.08.2022
«У нас есть рабочая группа по финансам между двумя государствами»