Мобильная PKI в России – зарождающийся тренд уходящего года
Статья Сергея Груздева, генерального директора компании "Аладдин Р.Д."
В настоящий момент порядка 90% всех электронных сервисов разработаны для юридических лиц, что создаёт заметный перекос на рынке электронных услуг в сторону корпоративного сегмента. Повлиять на данную статистику просто: необходимо, чтобы на массовом рынке появились простые в применении и надёжные средства электронной подписи для физлиц. Оптимальным способом решения этой задачи является внедрение технологии "ЭП на SIM-карте", благодаря которой мобильный телефон, который сегодня есть практически у каждого россиянина, можно использовать в качестве токена безопасности.
Положительное влияние распространения мобильной PKI трудно переоценить. Если сейчас средняя стоимость одного очного контакта с клиентом обходится кредитной организации в 850 руб. в Москве и 730 руб. в регионе, то благодаря использованию мобильной PKI банки смогут в несколько раз ускорить обслуживание, снизить затраты и получить преимущества перед конкурентами. Кроме того, применение ЭП на SIM-карте способствует скорейшему переходу на безбумажный документооборот, что опять же сокращает накладные расходы.
На текущий момент использование электронной подписи на SIM-карте возможно по двум каналам: посредством SMS (или online-канала), который, по сути, является вторым доверенным каналом в телефоне, или с помощью бесконтактной технологий NFC (или offline-канала).
Для процесса формирования ЭП на SIM-карте посредством SMS нам необходимы четыре компонента:
- телефон (или компьютер);
- электронный сервис (площадка для проведения ЭДО);
- платформа, которая обращается к удостоверяющему центру (УЦ) – здесь осуществляется проверка сертификата ключа подписи;
- оператор связи.
На любом компьютере или мобильном устройстве мы заполняем необходимую информацию о документе, после чего генерируется запрос на ЭП. Данный запрос отправляется на проверку в электронный сервис. Он выявляет значимую информацию, которую должен увидеть пользователь на телефоне для подтверждения (например, если это платёжное поручение, то нужна информация, кому, куда и сколько), и выделяет хэш документа, который, в свою очередь, отправляется на платформу.
Далее платформа идентифицирует пользователя, выявляет, чей он абонент, и отправляет запрос на ЭП оператору сотовой связи, который после проверки высылает на SIM-карту пользователя серию зашифрованных SMS-сообщений. Внешне эти сообщения похожи на применяемую в банках технологию 3D-Secure, однако они содержат большее количество информации по ключевым данным. Например, если это платёжное поручение, то в SMS будут находиться ИНН, БИК, номер счёта получателя платежа и информация о сумме перечисляемых средств.
После всех вышеперечисленных операций пользователь получает сообщение с визуализацией подписываемых им данных и запросом на ввод PIN-кода на ЭП. Если он вводит верный PIN-код, на SIM-карте происходит подписание хэша, что удовлетворяет требованиям ФЗ-63 "Об электронной подписи".
В завершении подписанный хэш отправляется обратно оператору связи, на платформу и электронный сервис, где сравнивается отправленный и подписанный хэш, и при совпадении пользователь получает уведомление об успешной подписи электронного документа.
Если мы используем технологию NFC, то сформировать ЭП можно приложив телефон к NFC-ридеру. При этом в качестве ридера может быть использован другой телефон, поддерживающий данную технологию. При подписании электронного документа телефоны нужно лишь поднести один к другому и подтвердить сделку, введя PIN-код.
Казалось бы, всё достаточно просто, но для внедрения технологии необходимо решить ряд проблем. Например, для того чтобы посчитать подпись на SIM-карте, нужно доработать как операционную систему, так и саму SIM-карту. Это значит, что на уже действующих SIM-картах воспользоваться данной технологией нельзя – требуется произвести их замену.
Кроме того, для вывода новой технологии на рынок необходимо выстроить мощную инфраструктуру, которая будет затрагивать все аспекты работы: от выдачи SIM-карт до внедрения разработки на электронные сервисы.
Несмотря на это российские операторы сотовой связи, входящие в "большую тройку", делают первые шаги в данном направлении. Они уже приняли принципиальное решение об использовании одной технологии, единых стандартов и требований к выдаче карт, API для встраивания и т.д. Несколько опередила остальных компания Yota, которая осенью 2014 года начала продажи SIM-карт с поддержкой электронной подписи и технологии NFC.