19.11.2012

Электронная подпись для Apple iOS

Information Security, № 5, 2012
<br>Статья Алексея Александрова, руководителя направления по работе с технологическими партнёрами компании "Аладдин Р.Д."

Мобильность сотрудников неизменно растет за счет повсеместного использования смартфонов и планшетов, в том числе производства компании Apple. Однако разработчики, пытающиеся адаптировать устройства iPad и iPhone для корпоративного использования и обеспечить легитимность таких бизнес-процессов, сталкиваются со множеством проблем.

Во-первых, это закрытость платформы iOS. У Apple есть два типа комплектов разработчика: общий - для создания разнообразных приложений и SDK нижнего, "системного" уровня, позволяющий реализовать функционал на уровне ОС, работать с аппаратной составляющей, обращаться к файлам, SIM-карте и коммуникационным порталам напрямую. Его корпорация Apple предоставляет только ограниченному кругу компаний-партнеров.

Вторая проблема - это отсутствие USB-портов, к которым подключаются электронные ключи. Существуют переходники типа Apple Dock to USB, но полноценно работать с электронным ключом с их помощью нельзя.

Наконец, разработчики сталкиваются с архитектурными ограничениями iOS (монолитность и изолированность приложений), политикой Apple в отношении публикации в Арр-Store приложений, реализующих криптографические алгоритмы, а также законодательными ограничениями РФ на экспорт криптографии.

Криптографическая защита мобильных устройств

Нам видится правильным подход, при котором криптография реализована на смарт-карте, подключаемой к iPad или iPhone с помощью совместимого с ней считывателя. "Аладдин Р.Д." предлагает такое устройство: оно подключается к iPad/iPhone через разъем Apple Dock. Дополнительно считыватель имеет microUSB-разъем и может быть подключен к рабочему компьютеру (Win/Mac/Linux) как обычный CCID-совместимый считыватель, не требующий установки драйверов (рис. 1).


Вторая часть решения - это смарт-карты. Мы предлагаем несколько моделей для различных задач.

Во-первых, это PKI-карты для корпоративных пользователей, обеспечивающие вход в домен, работу с УЦ, хранение ключевых контейнеров на карте и т.д. Опционально на аппаратном уровне может быть реализована электронная подпись (ЭП). Карты сертифицированы ФСБ России по классу КС2 (рис. 2).


Второе востребованное направление, которое мы поддерживаем, - это электронные удостоверения сотрудников (ID-карты). Они используются как бейдж для визуальной идентификации сотрудников, легко интегрируются со СКУД, а также могут выполнять "социальную" функцию, например, использоваться для льготного проезда в транспорте. Поддерживается и функция строгой двухфакторной аутентификации пользователей и формирования ЭП (рис. 3).


В-третьих, это комбинированные международные платежные карты. Благодаря успешной реализации платежных приложений MasterCard и Visa на нашем чипе мы создали комбинированную платежную карту с аппаратной реализацией российской криптографии, сертифицированной ФСБ России. Карту можно использовать для работы с "облачными сервисами", портальными системами, для аутентификации, цифровой подписи, обеспечения юридической значимости электронного документооборота и пр. (рис. 1).

Мы уверены, что наше решение будет востребовано, и, в первую очередь, корпоративными пользователями iPhone и iPad, так как оно позволяет решить множество проблем и рисков BYOD.