"Мобильная" электронная подпись
Статья Максима Чиркова, руководителя направления развития сервисов ЭП компании "Аладдин Р.Д."
Взаимодействие в электронном виде делает нас мобильнее. Изобретение механизмов электронной подписи позволило сделать мобильнее обмен информацией с подтверждением целостности и авторства. А применение электронной подписи на мобильных устройствах — логичный эволюционный шаг и новая степень свободы в нашем динамичном мире.
Современное российское законодательство определяет три вида электронной подписи: простая электронная подпись, усиленная неквалифицированная электронная подпись (неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (квалифицированная электронная подпись).
Простая электронная подпись
Если говорить о простой подписи, то с уверенностью можно сказать, что почти каждый из нас сталкивался с этим видом подписи на своем телефоне, смартфоне или планшете. Этот механизм достаточно давно взят на вооружение учреждениями кредитно-финансового сектора и рядом онлайн-сервисов. Действительно, каждый из нас получал так называемые одноразовые пароли или одноразовые сгенерированные гиперссылки для подтверждения тех или иных действий в личном кабинете системы дистанционного банковского обслуживания (ДБО), управления услугами оператора связи и т.д. Важно отметить, что при использовании простой электронной подписи отсутствует возможность проверки подписываемых данных на предмет наличия изменений с момента подписания.
Неквалифицированная электронная подпись
Усиленная неквалифицированная электронная подпись создаётся с использованием криптографических средств и позволяет определить не только автора документа, но и проверить его на наличие изменений. Для формирования данного вида подписи можно использовать средства с реализованными общеизвестными алгоритмами (RSA, DSA, ГОСТ 31.10-2001 и т.д.). Основное применение - внутренние системы, интегрированные с PKI, такие как электронная почта, корпоративные порталы, системы электронного документооборота, системы управления и т.д. При использовании западных алгоритмов особых сложностей в работе на мобильных платформах с данными привычными системами нет, так как основные распространенные мобильные операционные системы содержат в себе необходимые криптографию и функционал. Более того, хорошим тоном становится выпуск разработчиками корпоративных систем специальных мобильных приложений (мобильных клиентов) с адаптированным интерфейсом, даже если система имеет Web-интерфейс и доступна из обычного мобильного браузера.
Помимо внутренних корпоративных задач неквалифицированная электронная подпись может применяться и в межкорпоративных системах, системах публичных сервисов. Но надо понимать, что для признания данного вида электронной подписи аналогом собственноручной подписи необходима тщательная проработка регламента электронного взаимодействия и применения ЭП, юридических аспектов и закрепление их в соглашении.
Квалифицированная электронная подпись
Технологические сложности работы с "ГОСТовой подписью" и шифрованием:
- Требуются операции взлома внутренних механизмов мобильной операционной системы.
- Возникают вопросы с размещением в общедоступных репозиториях ПО, так как фактически эта операция может быть подведена под экспорт криптографии.
- При сертификации средства ЭП обязательно определяется перечень версий ОС, на которых допустимо его использование.
- Хранение криптографических ключей на мобильном устройстве - устройство становится носителем ключевой информации с особым порядком обращения с ним.
Несмотря на то что действующая редакция Федерального закона № 63-ФЗ "Об электронной подписи" позволяет при определенных условиях признавать неквалифицированную электронную подпись аналогом собственноручной подписи, всё больше и больше систем используют именно квалифицированную электронную подпись, что подразумевает применение сертифицированных ФСБ России средств ЭП с реализованными российскими криптографическими алгоритмами, а сертификат должен быть определенного вида и выдан аккредитованным удостоверяющим центром. Количество таких центров, по данным Минкомсвязи, на 15 августа 2013 г. составляет 296 организаций. Неоспоримым достоинством квалифицированной электронной подписи является признание аналогом собственноручной подписи во всех системах без дополнительных условий. Так как использование данного вида электронной подписи на мобильных платформах вызывает больше всего вопросов, рассмотрим технологии, которые существуют на рынке.
Технологически сложность работы с "ГОСТовой подписью" заключается в том, что мобильные платформы не содержат средства, реализующие требуемые криптографические алгоритмы. Самый логичный шаг - полностью программная реализация средства ЭП и шифрования. При кажущейся простоте реализации возникает много вопросов. Во-первых, для некоторых подобного рода продуктов требуются операции взлома внутренних механизмов мобильной операционной системы, например Jailbreak на платформе iOS и UnlockRoot на Android, что не может не сказаться на общей безопасности. Во-вторых, так как такие реализации содержат российскую криптографию, возникают вопросы с размещением в общедоступных репозиториях ПО как со стороны политик владельца репозитория, так и со стороны регулятора, так как фактически эта операция может быть подведена под экспорт криптографии. В-третьих, при сертификации средства ЭП обязательно определяется перечень версий ОС, на которых допустимо его использование, но новые версии мобильных ОС выходят гораздо чаще, чем для ПК. В-четвёртых, полностью программная реализация подразумевает хранение криптографических ключей на мобильном устройстве, таким образом устройство становится носителем ключевой информации с особым порядком обращения с ним.
Криптография на смарт-карте
Аппаратная реализация криптографии на внешнем устройстве (смарт-карте) лишена большинства вышеуказанных недостатков. Действительно, ключи, сформированные в режиме неизвлекаемого ключа, хранятся на смарт-карте, что обеспечивает гораздо более высокий уровень защиты ключевой информации, чем при хранении непосредственно на самом мобильном устройстве. Также снимаются вопросы, связанные с распространением СКЗИ, так как приложения, использующие карту, криптографию не содержат.
Более того, на рынке уже представлены PKI смарт-карты с платёжным приложением MasterCard или Visa и различными радиометками "на борту", которые содержат сертифицированное ФСБ России СКЗИ. Данные карты получили определение "единое электронное удостоверение сотрудника" и позволяют не только формировать электронные подписи, хранить ключевую информацию, аутентифицироваться как на обычных ПК, так и на мобильных устройствах, но и выступать визуальным пропуском, пропуском СКУД систем и зарплатной картой. Последнее заставляет пользователя с большим вниманием относиться к персональному средству аутентификации, ЭП и идентификации.
Подключение подобных карт к мобильному устройству на платформе iOS (iPad или iPhone) производится посредствам специального считывателя смарт-карт через разъёмы Apple Dock или Lightning. Дополнительно считыватель имеет microUSB-разъём и может быть подключен к рабочему компьютеру (Win/Mac/Linux) как обычный CCID-совместимый считыватель, не требующий установки драйверов. Если Android-устройство допускает подключение по USB, этот же считыватель может применяться и на данной платформе.
Карта SecureMicroSD
Ещё одной разновидностью внешних криптографических устройств для мобильных платформ является карта SecureMicroSD. В корпус карты Flash-памяти формата MicroSD имплантируется чип смарт-карты с российской и западной криптографией. Таким образом, Secure MicroSD совмещает криптографические возможности и функции модуля Flash-памяти на любом устройстве, которое поддерживает формат карт памяти MicroSD.
Описание технологий следует закончить так называемыми SIM-картами с ЭП "на борту". Они несколько отличаются от классических PKI смарт-карт как архитектурно, так и методом обращения к криптографической подсистеме. В данном случае процедура подписания подразумевает использование инфраструктуры оператора сотовой связи, что несёт определенные риски. Однако несмотря на это, данная технология довольно перспективна и позволит привести электронную подпись в широкие массы. На сегодняшний момент уже стартовало несколько пилотных проектов с подобными комбинированными SIM-картами у операторов сотовой связи.
Сегодня на рынке представлено несколько технологий, позволяющих использовать ЭП с любого устройства (телефона, смартфона, планшета) из любой точки мира. Все они имеют и плюсы, и минусы. Однако нельзя забывать и об угрозах ИБ на мобильных платформах. Лишь комплексный подход позволит безопасно использовать сервисы с ЭП на таких ставших уже привычными мобильных устройствах.
Комментарий эксперта
Владимир Зыков
Ведущий инженер, департамент информационной безопасности "Энвижн Груп", к.т.н.
Реализация электронной подписи (ЭП) на SIM-карте накладывает ряд ограничений на архитектуру её использования. Во-первых, производительности интерфейса взаимодействия с SIM-картой и объёма памяти на ней недостаточно для выполнения потокового шифрования передаваемых данных и трудоемких криптографических операций, таких как вычисление хэш-значения подписываемого документа. Во-вторых, необходимо обеспечить независимость от операционной системы мобильного устройства, визуализацию подписываемого документа и аутентификацию владельца ключа ЭП.
Для решения задачи в текущих условиях требуется:
- предварительно вычислять хэш-функцию подписываемого документа на стороне оператора связи или доверенной платформы документооборота;
- защитить канал передачи данных (от платформы до оператора связи и от оператора до мобильного устройства);
- добавить в STK-меню (располагается на SIM-карте) функции визуализации подписываемого документа (как минимум основных реквизитов) и аутентификации владельца ключа ЭП (например, путем ввода пароля) перед подписанием.
Кроме механизмов электронной подписи непосредственно на мобильном устройстве, существует облачная технология, позволяющая использовать ЭП с любого мобильного или стационарного устройства посредством Web-браузера. В этом случае хранение ключей ЭП и все операции подписания документов осуществляются на удалённой платформе, выступающей в роли доверенной третьей стороны. Для подтверждения подлинности пользователя можно применять как традиционные методы (логин и пароль), так и альтернативные, например одноразовые пароли.
Важно отметить, что во всех случаях использования ЭП на мобильных устройствах для обеспечения защиты и юридической значимости электронного документооборота требуется проработка вопросов, связанных с обеспечением информационной безопасности мобильных устройств, а также разграничением ответственности между пользователями, операторами документооборота и сотовой связи.