23.12.2014

Мобильная PKI в России – зарождающийся тренд уходящего года

"Национальный банковский журнал", № 12 (127), декабрь, 2014<br>
Статья Сергея Груздева, генерального директора компании "Аладдин Р.Д."

В настоящий момент порядка 90% всех электронных сервисов разработаны для юридических лиц, что создаёт заметный перекос на рынке электронных услуг в сторону корпоративного сегмента. Повлиять на данную статистику просто: необходимо, чтобы на массовом рынке появились простые в применении и надёжные средства электронной подписи для физлиц. Оптимальным способом решения этой задачи является внедрение технологии "ЭП на SIM-карте", благодаря которой мобильный телефон, который сегодня есть практически у каждого россиянина, можно использовать в качестве токена безопасности.

Положительное влияние распространения мобильной PKI трудно переоценить. Если сейчас средняя стоимость одного очного контакта с клиентом обходится кредитной организации в 850 руб. в Москве и 730 руб. в регионе, то благодаря использованию мобильной PKI банки смогут в несколько раз ускорить обслуживание, снизить затраты и получить преимущества перед конкурентами. Кроме того, применение ЭП на SIM-карте способствует скорейшему переходу на безбумажный документооборот, что опять же сокращает накладные расходы.

На текущий момент использование электронной подписи на SIM-карте возможно по двум каналам: посредством SMS (или online-канала), который, по сути, является вторым доверенным каналом в телефоне, или с помощью бесконтактной технологий NFC (или offline-канала).

Для процесса формирования ЭП на SIM-карте посредством SMS нам необходимы четыре компонента:

  1. телефон (или компьютер);
  2. электронный сервис (площадка для проведения ЭДО);
  3. платформа, которая обращается к удостоверяющему центру (УЦ) – здесь осуществляется проверка сертификата ключа подписи;
  4. оператор связи.

На любом компьютере или мобильном устройстве мы заполняем необходимую информацию о документе, после чего генерируется запрос на ЭП. Данный запрос отправляется на проверку в электронный сервис. Он выявляет значимую информацию, которую должен увидеть пользователь на телефоне для подтверждения (например, если это платёжное поручение, то нужна информация, кому, куда и сколько), и выделяет хэш документа, который, в свою очередь, отправляется на платформу.

Далее платформа идентифицирует пользователя, выявляет, чей он абонент, и отправляет запрос на ЭП оператору сотовой связи, который после проверки высылает на SIM-карту пользователя серию зашифрованных SMS-сообщений. Внешне эти сообщения похожи на применяемую в банках технологию 3D-Secure, однако они содержат большее количество информации по ключевым данным. Например, если это платёжное поручение, то в SMS будут находиться ИНН, БИК, номер счёта получателя платежа и информация о сумме перечисляемых средств.

После всех вышеперечисленных операций пользователь получает сообщение с визуализацией подписываемых им данных и запросом на ввод PIN-кода на ЭП. Если он вводит верный PIN-код, на SIM-карте происходит подписание хэша, что удовлетворяет требованиям ФЗ-63 "Об электронной подписи".

В завершении подписанный хэш отправляется обратно оператору связи, на платформу и электронный сервис, где сравнивается отправленный и подписанный хэш, и при совпадении пользователь получает уведомление об успешной подписи электронного документа.

Если мы используем технологию NFC, то сформировать ЭП можно приложив телефон к NFC-ридеру. При этом в качестве ридера может быть использован другой телефон, поддерживающий данную технологию. При подписании электронного документа телефоны нужно лишь поднести один к другому и подтвердить сделку, введя PIN-код.

Казалось бы, всё достаточно просто, но для внедрения технологии необходимо решить ряд проблем. Например, для того чтобы посчитать подпись на SIM-карте, нужно доработать как операционную систему, так и саму SIM-карту. Это значит, что на уже действующих SIM-картах воспользоваться данной технологией нельзя – требуется произвести их замену.

Кроме того, для вывода новой технологии на рынок необходимо выстроить мощную инфраструктуру, которая будет затрагивать все аспекты работы: от выдачи SIM-карт до внедрения разработки на электронные сервисы.

Несмотря на это российские операторы сотовой связи, входящие в "большую тройку", делают первые шаги в данном направлении. Они уже приняли принципиальное решение об использовании одной технологии, единых стандартов и требований к выдаче карт, API для встраивания и т.д. Несколько опередила остальных компания Yota, которая осенью 2014 года начала продажи SIM-карт с поддержкой электронной подписи и технологии NFC.