Статьи и публикации

В России могут заменить электронную подпись на отпечаток пальца

Интернет-портал Journal.ib-bank.ru, 23 апреля 2019

Экспертный комментарий Алексея Сабанова, к.т.н., заместителя генерального директора компании "Аладдин Р.Д."

В России электронную подпись собираются заменить на отпечаток пальца. По словам руководителя Федеральной кадастровой палаты, к этому нужно подходить комплексно.

В России собираются заменить электронную подпись на отпечаток пальца. Руководитель Федеральной кадастровой палаты Парвиз Тухтасунов сообщил о сложностях данной процедуры. По его словам, к этому вопросу нужно подходить комплексно. Об этом Тухтасунов рассказал на Ялтинском международном экономическом форуме.

Руководитель Федеральной кадастровой палаты уточнил, что одна из причин – это удобство пользования самими сервисами и их популяризация. А вторая причина заключается в способах идентификации личности.

Тухтасунов рассказал, что для использования юридически важных электронных сервисов нужна электронная цифровая подпись. Он уточнил, что в этом деле есть сложность. Так, например, сделки на рынке недвижимости совершаются одним лицом редко. По этой причине потребитель не всегда готов платить за разовую цифровую подпись. По словам эксперта, на внедрение данного инструмента потребуется около 2 – 3 лет.

Экспертный комментарий Алексея Сабанова, к.т.н., заместителя генерального директора компании "Аладдин Р.Д."

В заметке чёрным по белому написано о том, что отпечаток пальца планируется использовать для получения подписанных документов, обладающих юридической силой. Не вдаваясь в подробности, замечу, что для этого недостаточно одной электронной подписи: необходимо доказать, что подпись поставил именно этот субъект (идентификация и аутентификация), что у него были полномочия на подписание, проставить при этом штамп времени, проверить действительность его сертификата проверки подписи. Желающие могут найти многочисленные статьи в серьёзных журналах на эту тему, в том числе и автора.

Для активации электронной подписи нужно зафиксировать факт волеизъявления подписывающего (называемого подписантом). Сама по себе подпись не витает в воздухе - её механизм (средство криптографической защиты, которое сертифицируется ФСБ России) вызывается программным приложением (электронный документооборот, электронная почта и т.д.), к которому надо получить доступ. Напомним, что для доступа к программному приложению необходимо идентифицировать и аутентифицировать (подтвердить предъявленный идентификатор и доказать факт владения аутентификационной информацией) подписанта, проверить его права доступа и предоставить сам доступ в соответствии с действующими на момент доступа правами. Для того, чтобы электронная подпись была усиленной квалифицированной (принималась в суде), необходимо, чтобы эти два процесса (аутентификация лица, подписывающего документ или сообщение, и факт волеизъявления для проставления электронной подписи) должны быть сбалансированы по требованиям безопасности. Например, для возможности использования усиленной квалифицированной подписи должна использоваться проведённая по очень высокому уровню первичная идентификация при регистрации пользователя, и строгая многофакторная аутентификация при каждой попытке доступа к программному приложению, способному вызывать механизм подписи. Исключения допускаются только в так называемых доверенных системах.

Замечу, что дактилоскопическая идентификация не может рассматриваться как фактор аутентификации, это всего лишь идентификация с существенными ошибками первого и второго рода. Статистика показывает, что фингерпринт не работает у значительного % населения априори, а также при загрязнении пальца или датчика...

Только сегодня выступал на форуме МАС на тему обязательности выполнения требований безопасности при цифровой трансформации. Если это забывать в угоду развития информационных сервисов, получим эффект отторжения у населения. Например, сколько говорил о необходимости защиты баз данных граждан в МФЦ - не слушали. Говорили, что сервисы должны "летать" и никакая безопасность не нужна. Пожалуйста, в СМИ появилась информация, что находясь в МФЦ можно собрать массу чужих чувствительных персональных данных.

А с электронной подписью лучше не шутить, даже в угоду удобства...