«Подпись мобильная vs подпись облачная: и главный вопрос “когда?”»

12 октября, 2021

«Подпись мобильная vs подпись облачная: и главный вопрос “когда?”»

С 1 января 2021 года вступили положения, которые выделили в рамках законодательства особый класс средств электронной подписи (ЭП), предполагающих хранение ключей на сервере, а не на устройстве пользователя — то, что в простонародье называется облачной подписью.

Однако уже есть мобильная ЭП, которая имеет небольшое отличие от облачной. Поэтому сейчас встает вопрос: «Зачем вообще облачная ЭП, если есть мобильная ЭП?» На него и попытался ответить заместитель генерального директора по развитию бизнеса АО «Инфотекс Интернет Траст» Антон Мелузов в рамках своего доклада на конференции GIS Days 2021.

 

Облачная ЭП и мобильная ЭП — суть и отличая

Классическая схема ЭП выглядит так: клиент владеет каким-то устройством и хранит на этом устройстве ключи, а когда ему необходимо сформировать подпись под документом, он это делает с помощью средств электронной подписи, которое на этом же устройстве и функционирует. Подписанный документ передается в информационную систему или просто передается контрагенту. Соответственно, удостоверяющий центр (УЦ) здесь в процессе подписания никак не участвует, но участвует в процессе выдачи сертификата на самом первом этапе для того, чтобы пользователь вообще получил сертификат и мог эти ключи применять для подписания документов.

Облачная схема — как она теперь выделяется с 1 января этого года — ключи самой подписи хранятся на сервере на специальном средстве ЭП, которое функционирует на стороне оператора — УЦ, аккредитованного по расширенным требованиям, — пользователь при этом обладает специальным ключом управления, находящимся на его криптографическом средстве и позволяющим ему сформировать некое поручение на подписание документа, который уже будет подписан в этой облачной инфраструктуре и передан в информационную систему.

Мобильная подпись, в отличие от облачной, функционирует наоборот, то есть пользователь обладает ключом ЭП, он хранится у него на устройстве, но человек не может применять этот ключ без специального ключа защиты, который как раз хранится в облачной инфраструктуре. Таким образом, информационная система передает документ на подпись, после чего пользователь запрашивает у оператора информационной системы ключ защиты, который в зашифрованном виде ему передается, и человек с помощью ключа защиты использует уже ключ ЭП для того, чтобы сформировать подпись под документом, и документ обратно уходит в информационную систему уже подписанный.

«С точки зрения клиентского пути разница небольшая. Действительно здесь есть небольшие нюансы в том, как пользователь получает непосредственно сами ключи. В одном случае ему нужно получить или сформировать ключи электронной подписи: если он формирует их самостоятельно на устройстве, то доставка таких ключей не требуется, он самостоятельно формирует эти ключи и получает сертификат. Если мы говорим про облачную схему, вот эти ключи управления, которые формируются на стороне оператора информационной системы, должны быть каким-то образом доставлены на устройство пользователя по доверенному каналу», — пояснил Антон Мелузов.

Также, по словам спикера, в процессе применения ключей ЭП тоже разные точки формирования электронной подписи. Для облачной подписи в приложении формируется поручение, а в облаке формируется подпись. В мобильной ЭП подпись формируется, собственно, на мобильном устройстве.

 

Текущая ситуация в сфере мобильной и облачной подписи

На данный момент мобильная подпись, поскольку она не выделяется в отдельные классы и отдельных требований к ней не предъявляется, доступна, реализована и может применяться сейчас, есть сертифицированные решения.

Однако относительно облачной подписи, как отметил Антон Мелузов, все ждут требования к средствам облачной подписи для того, чтобы оценить какой-то горизонт сертификации соответствующих средств и понять, когда это можно будет использовать. И спикер предположил, что такие требования могут появится в 2022 году. «Но надо сказать, что за год, прошедший с начала вступления изменений, практически исчезли открытые предложения по получению  облачной подписи с сайтов УЦ. Остались какие-то архивные статьи, но сейчас в открытую облачную (которая пока еще не может быть использована для формирования квалифицированной электронной подписи) технологию найти проблематично. Частично это компенсируется мобильной подписью, частично идет миграция в неквалифицированную подпись», — добавил он.

 

Зачем вообще облачная ЭП, если есть мобильная ЭП? 

«Во-первых, можно стать доверенным лицом УЦ ФНС по идее, — предложил первый ответ сам Антон Мелузов. — Но уже есть доверенное лицо УЦ ФНС, у которых нет средств облачной подписи».

Второе предположение — чтобы позволять позволять пользователям использовать ключи подписи без визуализации документа или с каким-то простым механизмом аутентификации без СКЗИ на стороне пользователя. Но и это тоже не так, по словам спикера. «Требования к облачной подписи, конечно, будут предполагать обязательную сертификацию средств электронной подписи на стороне пользователя вместе со средствами электронной подписи серверными», — сказал Антон Мелузов.

Следующее предположение спикера — чтобы пользователи имели доступ к ключам с различных устройств. Однако с учетом МЧД (машинно читаемые доверенности) и с учетом возможности дистанционной идентификации по действующему сертификату — это тоже аргумент, который легко отбить.

Четвертым вариантом ответа стало — чтобы пользователи юридические лица могли применять подпись в различных сценариях. «Но для этого, опять же, есть МЧД, то есть для этого не обязательно класть куда-то к оператору свой ключ, для этого можно сформировать МЧД и назначить ответственных людей, чтобы они применяли подписи физических лиц вместе с МЧД для реализации этих сценариев», — отверг и этот вариант эксперт.

«И вот последний пункт — для того, чтобы стать облачным аккредитованным УЦ. То есть аккредитованным УЦ по пунктам 3.1, по расширенным требованиям к УЦ аккредитованным. И он действительно должен обладать средствами облачной ЭП для того, чтобы эту аккредитацию пройти», — указал на единственно верный, по его мнению, ответ Антон Мелузов.

 

BIS Journal — информационный партнёр GIS Days 2021. 

Смотрите также