Реальность, похожая на миф. Простая электронная подпись – больше, чем коды!

BIS Journal №3(42)/2021

22 июля, 2021

Реальность, похожая на миф. Простая электронная подпись – больше, чем коды!

Знали ли вы, что простая электронная подпись (ПЭП) может быть разной и, более того, по уровню безопасности она может быть ничуть не ниже и даже выше, чем усиленная неквалифицированная электронная подпись (УНЭП)? А в вопросе юридической значимости простая ЭП и УНЭП также могут быть эквиваленты? Миф это или реальность?

На сегодняшний день довольно прочно устоялась парадигма, что простая ЭП– это исключительно OTP-коды, передаваемые на мобильные устройства через SMS и PUSH-каналы, либо постоянные пароли. Действительно, когда только появилось деление на виды электронной подписи, простая ЭП разрабатывалась по принципу простоты и удобства: человек получает код себе на устройство, вводит его и что-то подписывает. А в итоге этот метод подписания создал пространство для бессчётного количества атак на физических и юридических лиц в банковском сегменте.

О технической стороне «безопасности» (именно в кавычках) OTP-кодов сказано уже много – они подвержены фишингу; не обеспечивают целостность и авторство транзакции; если речь идёт о SMSи PUSH-уведомлениях – элементарно перехватываются почти на всех этапах передачи и непосредственно в устройстве.

Юридическая значимость «кодиков» тоже весьма сомнительна. Хороший юрист вместе с техническим специалистом легко докажут, что отправленный по SMSили PUSHкод не является персонифицированной информацией и доступен неограниченному кругу лиц ещё до получения его адресатом. Судебные прецеденты таких решений общеизвестны.

Отдельной головной болью является уязвимость OTP-кодов социальной инженерии. 

Сегодня мошенники без труда получают всю информацию о клиентах банков – Ф. И. О., номер телефона, данные банковских карт, остатки по счетам, историю операций. И для монетизации всего этого объёма информации им недостаточно только одной составляющей – одноразового кода из SMSили PUSH-уведомления. И, если это нетехническая атака, в ход идёт социальная инженерия.

Мошенники, стоит признать, отличные психологи: они разработали большое количество методик, как заставить человека продиктовать нужные цифры. Но все эти методики основаны на простейшей механике – ввести человека в стресс, пообещать помочь избежать губительных последствий и, в качестве промежуточного шага, попросить сообщить код. И человек делает это на автомате, диктуя код прямо из шторки уведомлений смартфона, не вникая в содержимое сообщения.

То есть для того, чтобы кардинально снизить уровень успешности социальной инженерии, этот шаблон необходимо сломать. И для начала необходимо избавиться от одноразовых кодов, чтобы у пользователя не было возможности что-то кому-то продиктовать. Вроде бы выход вполне очевиден: отказаться от простой ЭП и перейти на использование УНЭП или КЭП. Но и здесь возникает сложность: КЭП очень строго регулируется законодательством, и выдать её всем физическим лицам, мягко говоря, непросто (читай: дорого). Остаётся УНЭП.

 

УСИЛЕННАЯ НЕКВАЛИФИЦИРОВАННАЯ ПОДПИСЬ В НАШИХ РЕАЛИЯХ

Прежде всего предлагаем детально разобраться, что говорит законодательство. Согласно п. 3 ст. 5 Федерального закона 63-ФЗ, УНЭП «получена путем криптографического преобразования…» и «создается с использованием средств электронной подписи…»

В Постановлении Правительства РФ от 16 апреля 2012 г. № 313 разработка, а также внедрение шифровальных и криптографических средств обозначены как работы, которые подлежат лицензированию.

Если компания-разработчик получает лицензию, то она обязана выполнять требования к лицензиатам, в том числе по разработке тех самых криптографических средств. Одним из руководящих документов в этой области является ПКЗ-2005,где прописана рекомендация использования национальных стандартов при разработке криптографических средств.

Более того, если работа предполагается в банковской сфере, то есть Положение Банка России 683-П, которое говорит следующее: «в случае если кредитная организация применяет СКЗИ российского производства, то СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности».

Путём несложных умозаключений получаем следующее: если кредитная организация использует средства ЭП для УНЭП российского производства, то это должны быть сертифицированные средства, работающие с ГОСТ-алгоритмами. А это, в свою очередь, мало чем отличается от «зарегулированной» КЭП, что «убивает» идею простоты использования ЭП.

Если использовать УНЭП и следовать букве закона, то её применение в ряде цифровых платёжных каналов становится сложным, дорогим и просто неудобным для клиентов.

Что интересно, при использовании СКЗИ (средства ЭП) нероссийского производства такого требования нет.

 

СЛЕДУЕМ ЗАКОНУ И ТРЕБОВАНИЯМ БИЗНЕСА

Главные требования бизнеса к подписанию и подтверждению действий в цифровых каналах можно обозначить тремя пунктами.

Во-первых, это должно быть удобно и мобильно: все устали от ввода «кодиков», дополнительных устройств и привязки к рабочему месту.

Во-вторых, должен обеспечиваться высокий уровень безопасности, как минимум на уровне УНЭП.

В-третьих, это должно быть экономически эффективно (даже средний банк тратит на рассылку SMS-кодов десятки миллионов рублей в год).

И здесь сам собой напрашивается вопрос: а что если реализовать все функции безопасности по принципу УНЭП, но назвать получившееся решение простой ЭП?

И снова обратимся к 63-ФЗ. Статья 9 описывает использование простой электронной подписи и говорит о том, что простая ЭП также имеет ключ, который применяется в соответствии с правилами, предусматривающими определение лица, подписавшего документ, и обязывающими соблюдать конфиденциальность этого ключа. Очень похоже на «закрытый» ключ при использовании криптографии, не так ли?

Статья 6 говорит о том, что условия признания электронных документов должны быть описаны в соглашении между пользователем и оператором, например, информационной системы, то есть между двумя участниками. Опять же такое соглашение должно быть подписано и при использовании УНЭП.

Резюмируем: получается, что по законодательству простая ЭП и УНЭП равны — у них есть ключ ЭП и двустороннее соглашение, определяющее порядок проверки подписи и разрешение конфликтных ситуаций.

Следовательно, мы можем использовать простую ЭП со всеми признаками УНЭП, кроме использования сертифицированных криптосредств, но не называть её УНЭП. Тем самым мы получим удобное, безопасное и экономически эффективное средство электронной подписи.

 

КАК РЕАЛИЗОВАТЬ «ПРАВИЛЬНУЮ» ПРОСТУЮ ЭП?

Реализация «правильной» простой ЭП требует следующего порядка действий:

Первое. Берём устраивающее нас решение для формирования электронной подписи – безопасное и удобное, которое реализует контроль авторства и целостности, а также неотказуемость. Оно должно удовлетворять как минимум следующему списку требований:

  • Подпись вырабатывается только на устройстве клиента. То есть не должно быть генерации кода подтверждения на стороне банка и его отправки через агрегаторов/операторов.
  • Должен обеспечиваться контроль целостности и авторства транзакции с доказуемой надёжностью. Другими словами, математические алгоритмы электронной подписи (ГОСТ, ECDSA и др.) обеспечивают нужные свойства. Отправленная SMSи «прилепленная» к ней сноска в договоре, что «доставленная SMSявляется доказательством авторства»,— не обеспечивает.
  • Должна выполняться визуализация документа перед подписанием, чтобы пользователь точно понимал, что именно он подписывает. «Безымянный» кодик в сообщении «123456 – Ваш код подтверждения» вовсе не отвечает на вопрос «Я перевожу деньги на безопасный счёт?» или «Я перевожу все свои деньги гражданину Вазгену?»
  • Реализация решения должна удовлетворять всем современным практикам в области безопасности: по хранению ключей, по защите данных, по противодействию различным техническим и нетехническим атакам и т. д.
  • Пользователь не должен испытывать неудобства при работе: с мобильного устройства, в роуминге, в офлайн-режиме, на смарт-часах, прямо в приложении банка и пр. Здесь требования по удобству у всех разные, но они очень важны.

В случае использования простой ЭП также отсутствует необходимость соблюдения требований регулятора в области криптографии. Алгоритмы вполне могут быть западные (например, ECDSA, SHA-256, AES-256), устройства тоже западные (iPhoneи Android), и приложения распространяются через западные цифровые магазины (AppStoreи GooglePlay). Главное здесь – уровень защиты от злоумышленника и удобство наших пользователей.

К тому же исключение, описанное в пп. «В» п. 3 Постановления Правительства 313, говорит нам о том, что оно не распространяется на деятельность с использованием товаров, содержащих шифровальные (криптографические) средства, имеющих функцию либо аутентификации, либо электронной подписи. Другими словами, лицензия на распространение в этом случае не требуется.

Второе. Составляем для этого решения «юридическую обвязку» для наших конкретных целей и нашей системы. То есть прописываем соглашение, в котором фиксируется порядок выработки и проверки ЭП, включая описание работы с ключами и процедуры разбора конфликтных ситуаций.

Третье. Реализуем техническую интеграцию.

Четвёртое — радуемся жизни.

Следуя данному алгоритму действий или изучая опыт других коллег по цеху, вы непременно столкнётесь с платформой мобильной аутентификации и электронной подписи PayControl. Безопасность работы решения основана на использовании встроенных криптографических механизмов мобильных и серверных операционных систем (ECDSA, HMAC-SHA-256, AES), асимметричных ключах для контроля целостности и авторства, визуализации данных транзакции, анализе уязвимости мобильного устройства и многом другом.

 

ЮРИДИЧЕСКИЙ АСПЕКТ

Когда мы начинаем работу с заказчиком, то, кроме технической интеграции, всегда помогаем реализовать и юридическую обвязку всех бизнес-сценариев. У нас довольно большой опыт в составлении юридических конструкций использования ЭП: от очень простых до «железобетонных», которые оспорить нет никакой возможности, с примерами различных вариантов процедур формирования подписи и разбора конфликтов.

С технической точки зрения, PayControl — богатая возможностями платформа, которая очень просто встраивается в процессы заказчика. В качестве примера: один из наших самых крупных проектов был реализован за полтора месяца под ключ, а рекорд по технической интеграции составляет всего 4 часа.

 

ПРО РАДОСТИ ЖИЗНИ

И конечно, про радости жизни: по данным наших клиентов, время подтверждения транзакций пользователем сокращается в несколько раз. Это следует из того, что уменьшается количество действий: не надо переколачивать OTP-коды, не надо ждать, пока придёт SMS. И не менее важно для бизнеса – сокращение расходов составляет до пяти раз в сравнении с SMS.

В качестве итога, простая электронная подпись – это не только OTP-коды из SMS или пароли. Если сделать простую ЭП правильно, то она может обеспечивать очень высокий уровень безопасности, быть удобной для пользователя и экономически выгодной для бизнеса.

Если сравнивать простую ЭП с УНЭП, то с точки зрения юридической конструкции и нюансов, связанных со встраиванием и распространением, простая ЭП – проще (простите за тавтологию). С точки зрения безопасности при правильной реализации простая ЭП не отличается от УНЭП. С юридической точки зрения – они эквивалентны.

На сегодняшний день правильная реализация ЭП – это одно из наиболее эффективных средств противодействия техническим атакам и социальной инженерии. Использование платформы аутентификации и мобильной электронной подписи PayControl позволит сделать работу конечных пользователей максимально удобной, значительно повысить уровень безопасности в цифровых каналах, обеспечить соответствие требованиям регулятора, а также повысить экономическую эффективность цифровых каналов банка.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.03.2024
Сколько денег тратят на маркетинг лидеры российского рынка инфобеза
18.03.2024
Microsoft закроет доступ к облачным сервисам для российских компаний
18.03.2024
От операторов связи потребовали ограничить продажу «симок»
18.03.2024
Жертва социнженеров пыталась поджечь отделение «Сбера»
18.03.2024
Системы МВФ были взломаны впервые за 13 лет
15.03.2024
ИИ поможет бизнесу выявлять брак и маркировать продукцию
15.03.2024
Минцифры поручено и дальше цифровизировать всё вокруг
15.03.2024
Стоит с настороженностью относиться к сообщениям о перевыпуске SIM-карты
15.03.2024
IDC: Больше всех на «облака» в этом году потратит Польша
14.03.2024
Вендоры хотят ограничить госкомпании в закупках зарубежного харда

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных