ЭЦП и аутентификация
для Web-порталов и облачных сервисов

Расширенный поиск · Карта сайта

Проблема безопасности Web-сервисов

Web-порталы и облачные сервисы предоставляют массу выгод и обеспечивают удобство работы: больше не нужно думать об установке программного обеспечения, поддержании актуальности версий, синхронизации данных при групповой работе и т.п. Все, что нужно для работы — это Интернет-браузер и компьютер, подключенный к сети Интернет.

Но за все надо платить, и обратной стороной этой медали является необходимость обеспечения безопасности.

Современные Интернет-браузеры имеют встроенные средства, обеспечивающие аутентификацию участников обмена и защиту передаваемых данных с использованием семейства протоколов SSL/TLS. Но в этих протоколах реализована западная криптография, что ограничивает возможность их применения в государственных структурах и при построении систем, в которых требуется использование сертифицированных решений, в том числе криптографии с открытым ключом и/или цифровых сертификатов с использованием ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 и ГОСТ 28147-89.

Использование стандартных сертифицированных средств криптографической защиты информации, например, поставщиков криптографии стандарта Microsoft CSP (Crypto Service Provider), добавляющих поддержку отечественной криптографии в протоколы SSL/TLS, решает проблему легитимности, но накладывает серьезные ограничения на удобство работы: необходимо установить на компьютер CSP (а это будет уже не тонкий клиент!), необходимо обладать при этом правами администратора, необходимо вести поэкземплярный учет СКЗИ и пр.

Еще одной фундаментальной проблемой обеспечения безопасности является практическая невозможность создания «доверенной» среды, в которой работает пользователь. Как следствие, возможность реализации целевых атак на сервис через незащищенность пользователя — фишинг, удаленное управление или «проброс» USB-портов на удаленный компьютер с подписанием подложных документов, атаки с кражей ключа ЭЦП, подменой подписываемого документа и пр.

Что нужно для Web-сервисов?

При создании Web-порталов и облачных доверенных сервисов, необходимо решить две важные задачи: удобство работы и безопасность сервиса.

  • Почему важно обеспечить удобство работы пользователя?
    Если массовому (неквалифицированному) пользователю будет неудобно, то он просто не будет использовать этот ресурс (или средства обеспечения безопасности).
  • Почему важно обеспечить безопасность сервиса?
    Успешная атака на сервис приведет к финансовым, репутационным и др. потерям, и, как следствие, к снижению количества клиентов.

Что нужно для удобства и безопасности Web-сервисов?

Возможность удобной работы:

  • на любом компьютере (в том числе «чужом», например, стоящем в холле гостиницы);
  • на любой платформе (Windows, Mac OS X, Linux);
  • из любого Web-браузера (Internet Explorer, Firefox, Opera, Safari, Chrome);
  • без предварительной установки каких-либо программ, приложений, драйверов;
  • без наличия прав администратора.

Обеспечение безопасной работы:

  • взаимная двухфакторная аутентификация пользователя и Web-сервиса (с использованием сертифицированной российской криптографии — ЭЦП);
  • квалифицированная подпись для Web-форм и документов (файлов) с использованием USB-токенов и смарт-карт (ЭЦП с неизвлекаемым закрытым ключом);
  • защита передаваемых данных в канале (шифрование с использованием сертифицированной российской криптографии);
  • защита от новейших атак (с удаленным управлением компьютером и подменой подписываемого документа) и кардинальное снижение рисков при работе в недоверенной среде.

ЭЦП и аутентификация для Web-порталов и облачных сервисов

Master Card

Компания «Аладдин Р.Д.» предоставляет разработчикам Web-порталов и облачных сервисов новейшую технологию, позволяющую решить перечисленные выше задачи и проблемы.

Состав решения

  • USB-токен или смарт-карта (например, eToken ГОСТ) с реализацией сертифицированной российской криптографии «на борту»:
    • используется как персональное средство строгой аутентификации пользователя на Web-портале, формирования квалифицированной электронной подписи (ЭЦП с неизвлекаемым закрытым ключом), и переносное хранилище цифровых сертификатов.
    • может работать на разных платформах, не требует установки драйвера устройства в современных ОС (работает через штатный CCID драйвер Windows 7, Vista, XP SP2, MacOS X, Linux).
    • имеет сертификат ФСБ №СФ124-1671 (класс защищенности — КС2, срок хранения закрытых ключей — 3 года).
  • JC-WebClient — кроссплатформенный мультибраузерный плагин, обеспечивающий взаимодействие Web-приложения с USB-токеном и/или смарт-картой в контексте браузера. При первом посещении Web-портала JC-WebClient автоматически подгружается и устанавливается в наиболее популярные браузеры (Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari, Opera). При этом наличие у пользователя прав локального администратора не требуется.
  • Серверная компонента – поддержка технологии на стороне сервера проиллюстрирована примерами кода для сред разработки ASP.Net и PHP, и ее реализация не должна вызвать у разработчиков особых проблем. В качестве примера также предоставляется демонстрационный портал, в котором реализованы все типовые сценарии и операции.

Для встраивания этой технологии в собственные Web-порталы и облачные сервисы предоставляется комплект разработчика JC-WebClient SDK.

Работа в недоверенной среде

SafeTech SafeTouch

Надежно защитить подключенный к Интернету пользовательский компьютер от целевых атак, направленных на подмену подписываемого документа, крайне сложно и дорого.

Существенно снизить риски, уменьшить требования к защите компьютера и ее стоимости можно, используя специализированное устройство SafeTouch, подключаемое к компьютеру через порт USB.

Это устройство является считывателем смарт-карты (карт-ридером) с функцией визуализации значимых полей в подписываемом документе, например:

  • Тип подписываемого документа (Платеж в банк).
  • Банк получателя (БИК банка).
  • Номер счета получателя.
  • Название получателя.
  • Сумма перевода.

Подписывая документ, пользователь видит на экране устройства значимые поля документа и проверяет, не были ли они изменены злоумышленником. Если данные не изменены, то пользователь подтверждает формирование ЭЦП нажатием кнопки на корпусе устройства, или отклоняет операцию формирования подписи, нажав кнопку.

Области применения

Электронное правительство
  • Системы дистанционного банковского обслуживания (ДБО), Интернет-банкинг.
  • Системы сдачи электронной отчетности.
  • Электронные торговые площадки.
  • Массовые социальные Web-сервисы.
  • Системы корпоративного и межведомственного документооборота.
  • Порталы государственных и муниципальных услуг, предоставляемых в электронном виде.
  • Различные облачные сервисы.
Дополнительные материалы

Успешные внедрения