19 февраля, 2014, BIS Journal №1(12)/2014

Доверенное пространство как сервис


Трифаленков Илья

директор Центра информационной безопасности (Компания R-Style)

Особенности использования технологий электронной подписи в современных информационных системах

Необходимость массового применения электронной подписи сегодня – осознанная необходимость, ответ на современный технологический вызов. Развитие информационных услуг требует создания технологии электронной подписи, работающей по аналогичной схеме. В настоящее время перенос процесса электронной подписи с клиентской части на серверную позволяет решить обозначенную проблему для наиболее широкого круга приложений и пользователей.

 

ТРИ ДЕЙСТВУЮЩИХ ВИДА

Электронная подпись является уникальным механизмом, обеспечивающим как целостность информации, так и неотказуемость действий пользователей и иных активных компонентов хранения, обработки и передачи информации. Применение электронной подписи является жестко регламентированным механизмом с различными уровнями нормирования федеральными законами, требованиями регуляторов и уполномоченных органов (Минкомсвязи РФ и ФСБ России), а также стандартами.

С 1 января 2014 года в полной мере и безальтернативно действует только федеральный закон ФЗ-63 от 6 апреля 2011 года «Об электронной подписи», а «параллельное» действие старого закон ФЗ-1 от 10 января 2002 года «Об электронной цифровой подписи» прекращается. ФЗ-63, совместно с набором подзаконных нормативно-правовых актов, обеспечивает существенное расширение области применения электронной подписи.

Это связано с унификацией структуры сертификата электронной подписи, появлением понятия и законодательного требования принимать подпись, выпущенную с использованием действующего сертификата любого аккредитованного удостоверяющего центра. Таким образом, появляется возможность создания реального пространства доверия в России.

Как известно, федеральный закон «Об электронной подписи» предусматривает использование 3-х её видов:

  •  простой электронной подписи;
  •  усиленной электронной подписи;
  •  усиленной квалифицированной электронной подписи.

Простая электронная подпись при этом полноценной электронной подписью не является. Появление её в законе обусловлено желанием провести аналогии с соответствующими европейскими нормами. По сути дела, в качестве простой электронной подписи на практике выступает механизм парольной аутентификации пользователя при проведении тех или иных действий.

Однако способов связать этот механизм с конкретным содержанием информационных ресурсов или действий не существует. При этом обеспечение надёжности паролей налагает на пользователя существенные обременения, связанные с длиной и необходимостью периодического изменения паролей, разнообразием используемых примитивов – базовых сочетаний символов. Простая электронная подпись на практике оказывается, таким образом, не совсем простой и не совсем подписью.

Усиленная электронная подпись представляет собой полноценный механизм электронной подписи. Его реализация требует проведения всего набора организационных и технических мер, обеспечивающих достоверность соответствия пользователя и используемых криптографических ключей и сертификатов, надёжность работы удостоверяющих центров. В результате применение усиленной электронной подписи конкретному пользователю либо проектировщику системы, по сути дела, «стоит» столько же, сколько применение квалифицированной подписи, но при существенно более узкой области ее применения.

В качестве положительных сторон применения усиленной электронной подписи необходимо отметить более широкий спектр решений, которые возможно использовать, и отсутствие необходимости проведения проверок на корректность встраивания. Интересным является то, что использование усиленной неквалифицированной подписи отнюдь не автоматически означает использования несертифицированных средств электронной подписи (ЭП) либо несертифицированных удостоверяющих центров (УЦ). Наоборот, многие системы используют сертифицированные решения для выдачи усиленной неквалифицированной подписи.

Заканчивая обсуждение проблем, связанных с использованием усиленной неквалифицированной электронной подписи, хотелось бы отметить следующее. Самоустранение государственных регуляторов и уполномоченного органа в области электронной подписи существенно снижает надёжность работы этого механизма при его использовании в портальных решениях, предназначенных для широкого круга пользователей.

Дело в том, что стандартные механизмы защищенного соединения с порталами на основе SSL-протокола используют международную систему доверия WebTrust. Хотя ключевые компоненты этой системы проходят серьёзный аудит на соответствие требованиям информационной безопасности, надёжность вторичных систем, выпускающих сертификаты, может вызывать сомнения. Создание российского узла в системе WebTrust, который обеспечивал бы сертификатами российские организации, существенно повысило бы надёжность применения механизма усиленной электронной подписи.

Таким образом, усиленная квалифицированная электронная подпись является сегодня практически безальтернативным механизмом в случае, когда необходимо обеспечить широкое применение подписи, с одной стороны, и высокий уровень надежности и доверия – с другой.

SOAP, МОБИЛЬНОСТЬ, ВИРТУАЛИЗАЦИЯ…

Реализация механизмов электронной подписи традиционно осуществляется в рамках разработки приложений и, как следствие, накладывает на разработчиков дополнительные требования. Это необходимость наличия соответствующих лицензий и специалистов по средствам криптографической защиты информации, а также прохождения процедуры проверки, насколько корректно механизмы электронной подписи встраиваются в прикладное программное обеспечение.

В последнее время получили широкое развитие ряд тенденций в информационных технологиях, заставляющих существенно переформулировать традиционные подходы к применению электронной подписи. В числе таких тенденций могут быть названы следующие:

  • Широкое использование SOAP-технологий при построении корпоративных информационных систем, и, как следствие, более тесная интеграция приложений, а также выделение специализированных сервисов там, где это возможно, для снижения затрат на разработку и поддержку компонент прикладного программного обеспечения.
  • Активное использование мобильных устройств, в том числе в корпоративном сегменте. При этом сами мобильные устройства могут быть корпоративными, а следовательно, жестко стандартизованными, а могут и не быть. Даже в первом случае вопрос контроля среды электронной подписи оказывается достаточно сложным, а во втором – становится практически неразрешимым. Перенос реализации электронной подписи полностью на SIM-карты мобильных устройств формально является решением проблемы, но не всегда может использоваться из-за ограниченных вычислительных ресурсов SIM-карты.
  • Переход на технологии облачных вычислений – применение технологий виртуализации для построения корпоративных систем, существенное повышение эффективности использования имеющихся ресурсов за счёт их динамического и мобильного перераспределения. С точки зрения электронной подписи, это также порождает проблему контроля корректности среды электронной подписи и гарантий её правильного исполнения. При этом стандартная процедура проверки корректности встраивания значительно усложняется и, следовательно, становится более долгой и дорогой.

Перечисленные тенденции носят объективный характер и вряд ли могут тормозиться соображениями информационной безопасности. Соответственно, необходима существенная модернизация подхода к использованию электронной подписи в новых условиях.

Одним из следствий указанных тенденций является отказ от применения квалифицированной электронной подписи везде, где это возможно, особенно в коммерческих сегментах рынка. Однако вряд ли это является решением проблемы, поскольку организация полноценной системы работы с усиленной неквалифицированной подписью не менее сложна. К тому же отсутствие необходимости формально подтверждать выполнение требований по безопасности не избавляет от необходимости эти требования реализовывать. В противном случае риски использования такой системы существенно возрастают.

ДВА ВОЗМОЖНЫХ РЕШЕНИЯ

Ниже постараемся показать, что реализация квалифицированной электронной подписи в описанных условиях вполне возможна. В качестве принципов построения системы квалифицированной электронной подписи могут быть определены следующие:

  1. Перенос разработки, связанной с управлением электронной подписью, в специализированное приложение, размещение SOAP-сервисов проверки и создания электронной подписи в рамках организации или группы организаций, использующих аналогичные информационные системы.
  2. Разделение использования механизма электронной подписи для подписывания документов и для аутентификации пользователей.

Первое решение позволяет «освободить» разработчиков прикладного программного обеспечения, которые не обязаны быть специалистами в разработке механизмов криптографической защиты информации, от дополнительных и несвойственных им функций. И, кроме того, избежать дублирования работ при реализации механизмов электронной подписи в различных системах.

Второе решение позволяет использовать технологии централизованного хранения ключевой информации пользователей с их аутентификацией на основе механизмов квалифицированной электронной подписи. Поскольку аутентификация представляет собой заведомо менее ресурсоёмкий процесс, чем электронная подпись документов, её можно обеспечить посредством существующих сегодня технологий. При этом перенос наиболее «тяжёлых» компонентов процесса электронной подписи со стороны клиента на сторону оператора позволяет достигать существенно большее широкого применения.

Целевая схема реализации описанных выше принципов приведена на приведённой Схеме. Пользователи набора прикладных сервисов взаимодействуют с ними через портал. При этом возможна как локальная реализация электронной подписи, в случае использования компьютера, так и мобильная, при которой пользователь применяет ключи на SIM-карте для аутентификации и доступа к централизованному хранилищу ключей и криптографическому контроллеру, выполняющему операции электронной подписи.

Подписанные документы хранятся в защищённом хранилище с целью верификации содержимого, как представленного на подпись, так и подписанного.

Основными компонентами распредёленной системы управления электронной подписью являются:

  • управление жизненным циклом ключей и сертификатов электронной подписи;
  • сервис проверки электронной подписи;
  • сервис создания электронной подписи;
  • удостоверяющий центр;
  • централизованное хранилище ключей электронной подписи и криптографический процессор;
  • защищённое хранилище подписанных документов.

Сервер управления жизненным циклом ключей электронной подписи обеспечивает учёт выданных ключей и сертификатов, сроков их действия, необходимость перевыпуска, временную приостановку и отзыв. Портал электронной подписи является средством взаимодействия с пользователями, маршрутизируя пользовательские запросы внутри системы управления электронной подписью.

Преимуществом данной схемы является высокая производительность, как по количеству пользователей, так и по объёму подписанных документов. А также возможность разделить услуги между различными операторами: использовать внешние удостоверяющие центры и системы управления жизненным циклом электронной подписи и т.д.

Кроме того, для данной схемы не является критическим контроль среды на клиентских устройствах, который является проблемой даже в корпоративных системах, а в условиях массовых услуг принципиально нереализуем. При этом серверная часть гораздо более сложный для атаки объект, обладающий понятными реализациями основных механизмов защиты, таких как управление уязвимостями и инцидентами, а также обеспечение неотказуемости действий.

Основным вопросом данной технологии является защита от возможных действий внутреннего нарушителя. Для его решения сертификационные испытания хранилища ключей и криптографического контроля должны подтвердить невозможность несанкционированных действий, в том числе и со стороны обслуживающего персонала.

Реализация услуг электронной подписи «As а Service» ведёт к переходу от того, чтобы задействовать многочисленные удостоверяющие центры, к использованию большого количества услуг управления электронной подписью. Что, несомненно, намного более востребовано пользователями и разработчиками информационных систем массового обслуживания.

 

Смотрите также

Подпишись на новости!
Подписаться