27.03.2013

Электронная подпись для Web-порталов и облачных сервисов

ИнформКурьер-Связь, № 3, март, 2013<br>
Статья Максима Чиркова, руководителя направления развития сервисов ЭП компании "Аладдин Р.Д."

Безопасность – важнейшее требование при работе с юридически значимыми документами. Обеспечить её в рамках облачного сервиса или Web-портала помогают специализированные решения.

Если на стороне технологической площадки сервиса создать эффективную систему защиты несложно, то на стороне клиента всегда приходится искать баланс между безопасностью и удобством работы. Поэтому именно на клиентов направлено острие атак злоумышленников, наиболее распространенные из которых – кража ключей электронной подписи (ЭП), несанкционированное использование носителя ЭП и подмена подписываемого документа. Таким образом, при построении или модернизации Web-сервиса, обрабатывающего юридически значимые документы, необходимо достичь трёх целей:

  • комплексной информационной безопасности в недоверенной среде пользователя;
  • соответствия требованиям российского законодательства в области использования средств криптографической защиты информации;
  • простоты и удобства работы пользователя.

Еще несколько лет назад для этого понадобились бы несколько различных средств, но сегодня существуют системы, объединяющие в себе всю необходимую функциональность.

Решение от "Аладдин Р.Д." предоставляет возможность работать с Web-приложениями в безопасном режиме, используя практически любой компьютер или мобильное устройство (iOS, Android и т.д.) с подключением к Интернету. При этом обеспечиваются взаимная двухфакторная аутентификация клиента и сервиса, конфиденциальность передаваемых данных, формирование и проверка квалифицированной ЭП Web-форм и файлов с помощью российских криптографических алгоритмов. В результате предложенное решение позволяет организовать доверенное юридически значимое взаимодействие клиента с Web-сервисом в рамках сеанса браузера.

Безопасность работы с Web-сервисом в значительной степени достигается применением электронных ключей. Это USB-токены, смарт-карты, банковские либо Secure MicroSD-карты с реализацией сертифицированной российской криптографии "на борту". Устройства построены на высокозащищённой платформе, разработанной для смарт-карт. Встроенный генератор псевдослучайной последовательности и неизвлекаемые закрытые ключи позволяют выдавать сертификаты на срок до трёх лет с возможностью самостоятельной перегенерации ключей клиентом без использования дополнительных СЗИ и СКЗИ.

Следующим "кирпичиком" решения является кроссплатформенный мультибраузерный плагин. В момент первого посещения портала плагин подгружается автоматически и вне зависимости от клиентской операционной системы (MS Windows, Linux, Mac OS) устанавливается во всех распространённых Web-браузерах: MS IE, Firefox, Chrome, Opera, Safari. Именно этот компонент обеспечивает взаимодействие Web-приложения с электронным ключом в рамках сеанса браузера.

Для поддержки коммуникации с плагином, работающим на клиентском компьютере, на стороне сервиса необходим специализированный модуль. Поскольку архитектура и логика всех Web-приложений различны, то предоставление этого модуля в скомпилированном виде нецелесообразно. Обеспечить взаимодействие модуля с Web-сервисом позволит комплект разработчика, содержащий необходимые примеры кода и методологию встраивания. С помощью этого компонента без серьёзных усилий разработчик может сформировать защищённый канал передачи данных и реализовать набор действий с ЭП и цифровыми сертификатами, применяя на стороне сервера российскую криптографию.

Таким образом, применение предложенного решения представляет интерес как для вновь создаваемых сервисов, так и для уже существующих, поддерживающих работу с криптографией. При этом значительно расширяется парк устройств, с помощью которых осуществляется доступ, уменьшаются требования к квалификации пользователей и обеспечивается достаточный уровень безопасности клиентов при работе с документами, имеющими юридическую силу.