В традиционния смисъл, познат на по-голямата част от потребителите електронен подпис(ES) ключът на този подпис се съхранява от неговия собственик. Най-често за това се използва определен защитен ключов носител във формат на USB токен или смарт карта, който потребителят може да носи със себе си. Този ключодържател се пази внимателно от собственика от неупълномощени лица, тъй като ключът попада в грешни ръце означава неговия компромет. За да използвате ключа, на устройството на собственика се инсталира специализиран софтуер (CIPF), предназначен за изчисляване на ES.
От друга страна, в ИТ света все повече се използва концепцията за „облачни изчисления“, която в много отношения има много предимства в сравнение с използването на традиционни приложения, инсталирани на компютъра на потребителя. В резултат на това възниква напълно естествено желание да се възползваме от тези предимства на облачните технологии за създаване на „ES в облака“.
Но преди да разрешим този проблем, е необходимо да дефинираме какво разбираме под „електронен подпис в облака“. В момента в различни източници можете да намерите различни тълкувания на тази концепция, често подходящи само за обяснение на пръсти на човек „от улицата“, който отиде в Сертификационния център, за да „купи електронен подпис“.
Какво е квалифициран електронен подпис в облака
За целите на тази статия, както и на други научно-популярни и практически дискурси за облачен електронен подпис, се предлага да се използва следната дефиниция.
Електронният подпис в облака (облачен електронен подпис) е изчислителна система, която осигурява достъп чрез мрежата до възможностите за създаване, проверка на ES и интегриране на тези функции в бизнес процеси на други системи.
В съответствие с тази дефиниция, локален ES инструмент може да се използва и за облачен електронен подпис. Например, използването на потребителя през уеб браузър може да подпише електронен документ с помощта на инструмента ES, инсталиран на неговото крайно устройство ( Персонален компютърили таблет). В такава система ключът за подпис остава при собственика и проблемите със сигурността се решават с помощта на стандартен набор от инструменти, известни в света като "традиционен ES". Можете да го наречете, ако желаете облачен ES с локален ES инструмент.
Друга версия на облачния ES се получава с с помощта на ES инструмент, хостван в облака. За удобство на по-нататъшното представяне, нека наречем такава схемаизцяло базиран на облакза да го разграничим от предишния. Тази схема редовно предизвиква разгорещени дискусии сред специалистите, тъй като включва прехвърлянето на самия ключ за подпис „в облака“.Тази статия има за цел да изясни редица въпроси, свързани със сигурността на изцяло базиран в облак ES.
Да започнем с основното
Основното главоболие при прехвърлянето на всяка ИТ система „в облака“ е болката на „служителите по сигурността“ (и помагащите им адвокати), свързана с прехвърлянето на информация „там“ за обработка или съхранение. Ако по-рано тази информация не напускаше някакъв защитен периметър и беше относително лесно да се гарантира нейната поверителност, тогава в облака самата концепция за периметъра отсъства. В същото време отговорността за гарантиране на поверителността на информацията е в известен смисъл „размита“ между нейния собственик и доставчика на облачна услуга.
Същото се случва и с ES ключа, предаван в облака. Освен това ES ключът не е просто поверителна информация. Ключът трябва да бъде достъпен само за едно лице - неговия собственик. По този начин доверието в облачен подпис се определя не само от личната отговорност на потребителя, но и от сигурността на съхранението и използването на ключа на сървъра и надеждността на механизмите за удостоверяване.
В момента се провеждат сертификационни тестове на нашето решение. Това е облачен ES сървър, който съхранява потребителски ключове и сертификати и предоставя удостоверен достъп до тях за генериране на електронен подпис. И двата гореспоменати аспекта на сигурността на облачно базираните ES са обект на изследване, проведено по време на тестването на CryptoPro DSS. В същото време си струва да се отбележи, че значителна част от тези въпроси вече са разгледани в рамките на казуси. , на който се базира CryptoPro DSS.
В нашата страна организационните и правните аспекти на използването на облачен ES все още са слабо развити, така че в тази статия ще разгледаме CryptoPro DSS от гледна точка на изискванията за сървъра за подпис, разработен от Европейския комитет по стандартизация (CEN).европейски път
октомври 2013 г Европейският комитет по стандартизация (CEN) одобри техническата спецификация CEN/TS 419241 „Изисквания за сигурност за надеждни системи, поддържащи подписване на сървър“. Този документ са дадени изисквания и препоръки за сървър за електронен подпис, предназначен да създава, наред с други неща, квалифицирани подписи.
Бих искал да отбележа, че дори и сега CryptoPro DSS отговаря напълно на изискванията на тази спецификация в най-силната версия: изискванията на ниво 2 за формиране на квалифициран електронен подпис (от гледна точка на европейското законодателство).
Едно от основните изисквания на слой 2 е да поддържа силни опции за удостоверяване. В тези случаи потребителят се удостоверява директно на сървъра за подписване - вместо да му бъде разрешено удостоверяване от ниво 1 от приложение, което осъществява достъп до сървъра за подписване от свое име. Всички методи за удостоверяване, поддържани от CryptoPro DSS, удовлетворяват това изискванеНиво 2
В съответствие с тази спецификация ключовете за потребителски подпис за формиране на квалифициран ES трябва да се съхраняват в паметта на специализирано защитено устройство (криптографски токен, HSM). В случая на CryptoPro DSS такова устройство е криптографският хардуерен и софтуерен модул CryptoPro HSM - сертифициран от ФСБ на Русия на ниво KB2 като ES инструмент.
Удостоверяването на потребителя на сървъра за цифров подпис, за да отговаря на изискванията на ниво 2, трябва да бъде поне двуфакторно. CryptoPro DSS поддържа широка, постоянно актуализирана гама от методи за удостоверяване, включително двуфакторни. В допълнение към обичайните криптографски токени, специализирано приложение за смартфон, като например генератори на еднократни пароли (OTP токени), също може да се използва като инструмент за удостоверяване. Документът на CEN също споменава тези методи.
Друг обещаващ метод за удостоверяване на Layer 2 може да бъде използването на криптографско приложение на SIM картата в телефона. Според нас, тази опцияИзползването на SIM-карти с криптография е най-реалистично, тъй като изграждането на функционално завършен криптографски инструмент за защита на информацията (или ES инструмент) според новите изисквания на FSB, базиран само на SIM-карта, едва ли е възможно.
Разглеждан лист с данни също така позволява използването на сървър за електронен подпис за генериране на подписи за определен набор от документи наведнъж. Тази възможностможе да бъде полезно при подписване на голям масив от еднородни документи, които се различават само по данни в няколко полета. В този случай автентификацията на потребителя се извършва еднократно за целия пакет документи. Поддръжка за този случай на употреба също е налична в CryptoPro DSS.
Документът на CEN съдържа и редица изисквания за формиране, обработка, използване и изтриване на потребителски ключов материал, както и за свойствата на вътрешната ключова система на сървъра за електронен подпис и за одит. Тези изисквания са изцяло и дори „с марж“ покрити от изискванията за ES инструменти от клас KB2, според които CryptoPro HSM PACM, който отговаря за тези проблеми, е сертифициран.
Нашето бъдеще
Решението CryptoPro DSS поддържа широка гама от методи за удостоверяване, сред които е възможно да изберете правилния за всяка задача. Надеждността на най-безопасния от тях отговаря на най-строгите критерии на европейските изисквания CEN / TS 419241 и, както очакваме, в близко бъдеще ще бъде потвърдена от сертификат за съответствие от FSB на Русия.
Алексей Голдбергс,
заместник технически директор
LLC "CRYPTO-PRO"
Станислав Смишляев, Доцент доктор,
началник отдел по информационна сигурност
LLC "CRYPTO-PRO"
Павел Смирнов, Доцент доктор.,
Заместник-началник отдел "Развитие".
LLC "CRYPTO-PRO"
19 юни 2014 г. 09:21 чIN напоследъкчесто говорим за електронен подпис (ЕС) в облака. По принцип тази тема се обсъжда от IT-специалисти. Въпреки това, с развитието на услугите електронен документооборот(EDO), специалисти по предмети като счетоводители, секретари, одитори и други започнаха да се включват в темата за облачните ES.
Нека обясня, базираният на облак електронен подпис предполага, че вашият частен ключ ES се съхранява на сървъра на удостоверителния център и там се извършва подписването на документи. Това е придружено от сключването на съответните споразумения и пълномощни, а действителното потвърждение на самоличността на подписващия се извършва, като правило, с помощта на SMS разрешение.
Необходимостта от използване на облачен ES от счетоводител зависи от режима, в който той работи. Ако често отсъствате от офиса или например работите за фирма, която предоставя счетоводни услуги (счетоводен аутсорсинг), то облачно базираният ES ще ви помогне да подписвате документи отвсякъде. Не е необходимо да инсталирате допълнителен софтуер. Но въпреки лекотата на използване, не всички компании са готови да използват тази възможност.
За да можете сами да изберете дали имате нужда от облачен електронен подпис или не, ние ще разгледаме всички предимства и недостатъци на използването му. И също така помислете кой може наистина да има нужда от такъв подпис. Между другото, в тази статия ще говорим само за усъвършенстван квалифициран електронен подпис (наричан по-долу ECES).
Отзад
Облачният електронен подпис е по-евтин от обичайния. Това се дължи главно на факта, че не е необходимо да купувате криптографски инструмент за защита на информацията (CIPF) и токен (флаш устройство със сертификат). Като правило, като се вземе предвид тяхното придобиване, цената на сертификата нараства 2-2,5 пъти.
Удобство и лекота на използване. За да работите с облачен електронен подпис, не е необходимо да инсталирате както самия сертификат за електронен подпис, така и специални средствада работи с нея. Това означава, че няма да губите време да разберете как работи всичко.
Мобилност. На този моментобщи и безплатни решенияза използване на електронен подпис извън облака мобилни устройстваВсе още не. В това отношение огромно предимство на облачно базирания електронен подпис е, че можете да работите с него от всеки компютър, таблет, смартфон с достъп до интернет.
Против
Вие не подписвате физически документа. Трябва да разберете, че в случай на облачен електронен подпис частната част на ключа, която е поверителна и трябва да принадлежи само на вас, ще се намира на сървъра на сертификационния център. Разбира се, това ще бъде документирано, а самите сървъри са надеждно защитени. Но тук всичко зависи от изискванията за сигурност на компанията и от политиката, свързана с подписването на документи. Ако за вас е важно самите собственици на частните ключове да подписват документите, тогава електронният подпис, базиран на облак, няма да ви подхожда. В тази ситуация зависи от вас да решите доколко имате доверие на CA и сървърите, които съхраняват частните ключове.
Можете да използвате облачно базирани ES само в тези услуги, с които има интеграция на софтуера на сертификационния център. Това се дължи и на факта, че в случай на облачен ES частният ключ се съхранява на CA сървъра. За да може услугата да може да използва такъв частен ES ключ за подписване, тя трябва да може да изпрати заявка за генериране на електронен подпис към CA сървъра. Ясно е, че в момента има много услуги и всички те няма да могат да осигурят интеграция със софтуера на CA. Оказва се, че ще трябва да използвате облачен ES само с определени услуги. За да работите с други услуги, ще трябва да закупите друг ES сертификат и няма гаранции, че тези услуги ще поддържат електронен подпис, базиран на облак.
И какво?
Облачният електронен подпис е удобен, мобилен и прост инструмент, но не и най-гъвкавият. И от гледна точка на сигурността, може би съхраняването на частния ключ на защитен сървър би било по-добре, отколкото да държите токен в чекмедже.
Кой наистина се нуждае от електронен подпис? На първо място, тези, които често работят извън офиса си в офиса. Например адвокати и одитори, които често посещават клиенти. Или ръководители и директори, за които е важно да подписват документи навсякъде. За тях ще стане облачен електронен подпис незаменим помощникна работа.
Освен това много зависи от политиката на компанията. Ако една организация се движи към облачни технологии, например по отношение на съхранение на документи, използване на услуги за вътрешни и външен документооборот, тогава е вероятно електронните подписи също да бъдат базирани в облак. Иначе счетоводители, чиновници и други служители, които обикновено не излизат от офиса си по време на работа, нямат нужда от облачен електронен подпис. Те могат да закупят ES частен ключ и ES сертификат в обичайния режим, на носител, който може да се използва в повечето услуги за обмен с контрагенти и държавни агенции.
(4,33 - оценка от 9 души)
Подобни публикации
Е, не е вярно. Например, има Crypto-Pro за iOS от дълго време. Доставчиците на EDMS решения го използват. За същия DIRECTUM има и EDS, базиран на Crypto-Pro за Android.
Физически всеки електронен документ не е подписан от вас. Софтуерът го прави.
По-точно не на CA сървъра, а в специализиран хардуерен сървър за съхранение на ключове на услугата за електронен подпис, който взаимодейства с информационната система (електронен документооборот).
В този случай наистина потребителят не трябва да инсталира нищо, но цялата сигурност на използването на ключа не зависи от потребителя, а от надеждността на удостоверяването на собственика на ключа от услугата за електронен подпис и информационната система .
Е, ключът може да се използва само в онези информационни системи, които са "свързани" с услугата за електронен подпис, която съхранява и прилага ключа на собственика. Тези. ключът ще бъде "не напълно функционален" (например не може да защити връзката към сървъри с криптография, операционна система, електронна поща и файлове, предоставят разрешение за GOSSLUGITOCHKARU и много други места), но само за конкретна задача в конкретна система. Все едно да сравняваш автобус и трамвай, навсякъде има +/-.
Има решения, но те не са често срещани поради относителната си несигурност. Безплатно неизвестно. А ще се появят ли...
Имам малко по-различна гледна точка: ако основният не е облачен сертификат, а облачна услуга. Да, един облачен сертификат не може да се използва за всички услуги. Но стойността според мен не е в сертификата, а в услугите. И няма нищо лошо във факта, че всяка услуга използва свой собствен облачен ключ. За разлика от „локалните“ сертификати (на жетони, смарт карти или в регистъра на вашето лично устройство), не е нужно да носите маркери или да копирате сертификати в регистрите на всички устройства. Просто sms ще идват от различни номера. Освен това облачният сертификат обикновено е по-евтин на място и не се изисква закупуване на софтуер (криптопровайдер). Е, от гледна точка на сигурността, такава схема a priori изглежда по-надеждна, тъй като когато един ключ е компрометиран, други могат да останат работещи (некомпрометирани).
Няма нищо срамно, но цената е повече от използването на един пълнофункционален ключ (не мъниста) в много системи. В модела на заплаха за използване на „облачен ES ключ“ се добавя рискът от пробиви в сигурността в канала за удостоверяване. Освен това OTPviaSMS не е безопасно да се използва навсякъде. И психологически повечето хора се чувстват по-уверени, когато съхраняват ключа си в сейфа си, отколкото с виртуален ключ във виртуално хранилище с условно защитен канал за управление на използването му.
Разбира се, това е вярно, докато подписването се инициира от едно устройство, а SMS с кода за потвърждение на подписа пристига на друго устройство. И веднага щом мобилният клиент остане сам, такава схема вече не е априори по-надеждна. Остава само удобството за потребителя, но не и надеждността.
Потребителят може да спечели, да получи известно предимство пред конкурентите, използвайки хартия с мастило или физически токени с хардуерна поддръжка на OneTimePassword, поради по-бърза реакция, по-голяма мобилност. Но той поема и големи рискове. Риск от недостъпност на услугата. Рискът от компрометиране на мобилното устройство. Рисковете са оправдани, когато става въпрос за малки суми пари. Бих доверил сделка за милион на добрата стара хартия, подписана мълчаливо, без любопитни очи, без посредници и без бързане.
Ако трябва да подпишете пакет от 30 документа. И услугата не поддържа пакетно подписване. След това ще трябва да получите 30 SMS (или един с 30 кода за потвърждение) и да въведете кодовете за потвърждение 30 пъти. Това е времето и реакцията вече не е по-бърза.
Но ако всяка услуга има своя собствена услуга за настройка на ES, тогава интеграцията на услугите трябва да бъде много близка. И партидното подписване ще бъде включено там. Например ще дойде един логичен SMS: „Код 0xs3cr3t за операция №22_1806. Уважаеми Константин Василиевич. За потвърждение на получаването на входящи документи за периода 01.06.2014-18.06.2014 г. (20 фактури, 7 акта за извършена работа) и 3 пътни листа), а именно подписването на 30 бр официални документипотвърждавайки получаването, въведете посочения код".
Решения има. Но, доколкото знам, CryptoPro за iOS и Android не се разпространява безплатно.
Съгласен. В общи линии това се има предвид. В това отношение използването на облачен сертификат не е много удобно.
Като цяло, ако трябва да работите с няколко услуги, закупуването на няколко облачни ES може да бъде дори по-скъпо от закупуването на един квалифициран сертификат, CIPF и токен.
Що се отнася до надеждността, това е въпрос на доверие в сигурността на мястото, където ще се съхраняват ключовете, в технологиите, с които ще се извършва подписването. Мисля, че докато технологията не е много добре тествана, няма да има голямо доверие. Но, виждате ли, използването на облачен подпис все още е доста удобно в някои случаи. За да разберете кой подпис е подходящ в конкретен случай, трябва да разгледате процесите, да проучите нуждите, да оцените плюсовете и минусите на двата варианта и след това да вземете решение. Затова се опитваме да покажем и двете страни на една и съща монета на облачния ES.
И за кои платформи CryptoPro е безплатен?
Мисля, че технологията решава малко - единственият въпрос е доверието в доставчика на решение, на когото поверявате своя сертификат.
Следователно, когато говорят за такива технологии в контекста на вътрешнокорпоративна употреба, аз също разбирам, че може да "излети". Щом говорим за доверие на сертификат на трета страна, не виждам никакъв шанс.
Доколкото си спомням, Crypto-Pro за iOS и Android не се продава на крайни потребители. Следователно всичко е по преценка на доставчика на приложния софтуер. Ако иска да ви го даде безплатно, ще го направи. Ако не иска, няма да го направи. Или може да даде допълнение към функционалността, за която сте закупили решението.
Това предположение ли е (както в оригиналната статия) или можете да го подкрепите с реални числа?
Както и Microsoft, Facebook, Twitter и стотици други доставчици на федерално удостоверяване, като всеки ресурс избира с кой доставчик да се интегрира. Предлагате ли да направите същото със съхранението на сертификати?
И правилно ли разбирам, че приравнявате федеративното удостоверяване, при което никакви потребителски данни, с изключение на много ограничен набор, предаван с токен за удостоверяване, напускат периметъра на услугата и EDS услугата, през която ще трябва да преминат всички ваши подписани данни?
Може и да не е така. Облачният ключ не изисква токен или софтуер. Услугата може например да включва разходите за издаване на облачен токен в абонаментната такса и да предоставя облачни сертификати „безплатно“. Във всеки случай това е въпрос на маркетинг, а не на технология.
Можете също така да подпишете пакет от 30 документа. Така се конфигурира самата услуга, независимо дали поддържа пакетно подписване. А откъде идва ключа (от облака или от регистъра/токена) - това вече е ортогонален въпрос. Благодаря ви, доразвихте тази идея в коментар. Това често се случва и на хартия. Големият шеф може само собственоръчно да подписва регистъра на плащанията, а след това плащанията се подписват от упълномощени лица.
Слава до точката! :) Докато облачният подпис се използва при облачно счетоводство и отчитане.
Миша, вече работи :)
Юджийн, аплодирам коментара ти прав :)
Миша, да изчакаме отговора на Евгений, но това го разбрах като пример. Ново, по-удобно и вероятно по-малко безопасно решение, поради удобството си, се приема от потребителите с течение на времето, тъй като полученият комфорт надвишава възможни рискове. Може би преди първото бедствие. Възможно е потребителите да продължат да използват това решение след негативното събитие.
Облачният подпис сега изглежда по-удобен, но априори по-малко сигурен. Но някои потребители ще бъдат съблазнени от удобството и ще оценят рисковете за сигурността като приемливи. И ще използва облачния подпис.
Облачният подпис вече работи в сегмента на „евтините“. Би било интересно да се пробва в сегмента "корпоративен". Може би думите „CryptoPro HSM“ или нещо друго ще успокоят бизнеса. Трябва да мислим, предлагаме и опитваме.
Е, премахнете аргумента "мобилност" от секцията "за" в статията.
Защо е там?
Правилно ли разбирам, че облачното счетоводство е услуга, в която се съхраняват записи и от която след това се изпращат отчети? Защо в този случай не е достатъчно само да оторизирате потребителя в услугата? Защо иначе EDS - за да отговаря на изискванията на регулатора?
Къде точно? В рамките на една услуга или услуги на един доставчик? Добре, приех.
Чак сега трябва ли да взема сертификат от всеки доставчик? Така?
За какво точно е удобно?
Виждам плюс само в едно нещо - ако използвате уеб услуга, организирането на подпис от локален клиент може да бъде проблематично.
Според мен споменаването на CryptoPro (както и всичко, свързано с нашия странен „руски квалифициран подпис") нормалният бизнес вече започва да бъде идиоскарзия.
Да, така е, но може да са различни услуги. Не всеки има нужда от счетоводство и отчетност. Много хора предпочитат да водят счетоводство на място и след това да подават отчети чрез услугата. CEP е необходим за спазване на законовите изисквания.
Да, работи в рамките на услугите на един доставчик. Теоретично можете да се научите да предоставяте облачен сертификат на други доставчици, ако това стане икономически смисъл. Но стойността според мен се осигурява точно от услугите и средите, където може да се използва ES, простото притежаване на облачен или обикновен сертификат няма икономически смисъл.
В случай на облачен сертификат, потребителят не трябва да инсталира софтуер на устройството си и да мисли за копиране на сертификати на всяко устройство или винаги да носи ключов носител със себе си. Притежаването на облачен сертификат е по-малко неприятно, така че не бих се уплашил толкова от получаването на куп сертификати от различни доставчици. И цената на необходимия софтуер и ключов носител (в случай на сертификати на място) ще бъде значително по-ниска от таксите за абонамент, така че използването на един универсален сертификат е по-скоро въпрос на удобство, отколкото на икономическа изгода.
Прочетете за HSM - интересна работа. Чуждите конкуренти имат подобни решения и то отдавна. Така че тук CryptoPro използва универсалния световен опит.
Радвам се, че тази тема представлява интерес. Ще се опитам да развия горната концепция за облачна услуга, като взема предвид коментарите. 1. Облачните услуги, тъй като развитието на информационните системи вече е свършен факт, което означава, че производителите на софтуер се довеждат до този стандарт. По отношение на намаляването на разходите - преди трябваше да купувате 2-3 софтуерен продукткоито отговарят на вашите нужди, сега е 1 и 30-40% по-ниска обща цена.
2. Какво е цифров подпис и кому е нужен на първо място? Централният процесор е вашият идентификатор в ИТ системите, който ви позволява да кажете „Аз съм аз“, за да вземате решения на всяко ниво на финансова отговорност с гарантирано ниво на защита срещу хакване или злоупотреба. Във всеки случай, появата на CPU е еволюция на "жив" подпис с цел ускоряване на изпълнението на бизнес процесите на компанията. Тези. ако по-рано хартиен документсе обработват бавно, сега едно щракване е достатъчно за вземане на решения.
3. Никой не казва, че има идеални решения и средства. Наистина, CryptoPro е напрегнал, когато го използва. Наскоро преинсталирах системата за счетоводители, използващи 1C, VLSI и 2 банкови сметки през уеб интерфейса (с помощта на CryptoPro) - проклинах всичко, докато не добавих всички необходими сертификати и поддръжка на ключове.
Майкъл, не точно знак за равенство. По-скоро знакът за самоличност, т.к FA ви позволява да внедрите механизъм с един прозорец за потребители от различни домейни, т.е. действа като идентификационен гарант за участника в оторизацията. Самата услуга EDS разполага с инструменти за оторизация и решава специфичните си задачи. В този случай ярък пример е уебсайтът на обществените услуги и сателитните услуги (например ROI). Уебсайтът за обществени услуги е FA, който гарантира идентификация на потребителя за други услуги.
Сергей, абсолютно съм съгласен с теб. Облачният подпис може и трябва да действа като единна идентификационна услуга, приета от другите участници в бизнес процесите. Сега всичко е твърде фрагментирано и има много посредници по пътя на движението на документите.
Откъде идва този извод?
Може би не знаете как да го използвате? Инсталирането на сертификати е много тривиална задача и никой не повдига въпроси. Освен това, технологично това не се различава от инсталирането на сертификати на други доставчици на крипто.
Използвайте УДОБНИ приложения, които работят с CIPF и ще бъдете доволни.
Сега това, което се продава под името "cloud signature" по никакъв начин не може да изпълнява функциите на идентификационна услуга, т.к. зависи изцяло от удостоверяването. Облачният подпис няма задача за идентификация, той е необходим за прехвърляне на процеса на генериране на подпис от работното място в облака, но само поради причината, че работно мястопотребителят не е толкова безопасен за работа с CIPF.
Какво е фрагментирано? Какви са посредниците? Ако за UC, тогава е необходимо за производство квалифицирани сертификати. Ако за оператора, как си го представяте без него? Нуждаете се от електрически оператор, оператор за достъп до мрежата, оператор на услуги за подпис в облак, оператор информационна системаи така нататък. Това е специализирана дейност. Нямаме натурално стопанство.
Както и да го казах :) Напълно признавам употребата облачни подписиза индивидуални услуги, добре, нека услугите от един оператор. Но за момента бих се поколебал да го използвам като единствена услуга за идентификация.
Да, напоследък често се чува как операторите на EDF се сравняват с продавачите на въздух. Вероятно ще напиша голяма статия за това какво прави операторът, в допълнение към осигуряването на правна значимост, засега ще се огранича до тези:
1. Създаване на ЕД. В интерфейса на услугата, като правило, можете да създавате най-често срещаните ED (ESF, TORG-12, актове и др.).
2. Съхранение на ЕД. Не мога да говоря за всички услуги, но Diadoc пази вашите документи, докато не ги изтриете сами. Дори ако вече не плащате абонаментна такса.
3. Единно правно пространство. Опитайте се да сключите споразумения с всички ваши контрагенти, ако сте, да речем, телеком оператор или компания за продажба на енергия!
4. Транспорт. Добре, можете ли да организирате транспортирането на електронни документи през комуникационни канали и да контролирате подписването за всичките си 10 хиляди контрагента? О добре...
5. Интеграция. Ще ви разкажа една малка история. Една транснационална корпорация реши да изпрати чрез оператора ESF и TORG-12. Да, проблемът е, че ERP можеше да качи само PDF и то в специален извратен формат. IT Corporation беше някъде вътре Латинска Америкаи приети поръчки за развитие за следващата година. Това не включва бюрокрацията с формулирането на m TOR и координацията на няколко континента. Кой успя бързо да установи интеграция? Точно така, оператор.
Сергей, т.е. Можете ли да обобщите неуспеха на ИТ инфраструктурата да осигури необходимото качество на ED в рамките на съществуващото ERP? Въз основа на това, което казахте, ED е все още в начален стадий и не може напълно да отговори на нуждите на крайните потребители.
След това се оказва, че производителите на хартия продават обработена целулоза.. :) EDF операторите предоставят услуги, които се търсят от пазара (въпреки че някои успяват да продадат консервиран въздух от Алпите)
Защо така? Електронният документооборот не е самоцел, той е инструмент. Развива се, а изискванията растат. Някъде изискванията са по-високи, някъде ЕД сама формира нуждите. Като цяло смятам, че състоянието на EDI в Русия е повече или по-малко адекватно на изискванията на пазара.
Сергей, правя такова заключение, аз се основавам на това, което сте написали по-горе. В крайна сметка вие повдигате въпроса за ефективността на ИТ инструментите за внедряване на ЕД. Освен това облачната услуга, като сектор на услугите, се развива доста динамично и шансовете да се появи електронен подпис са въпрос на време.
Ежедневен абонамент. Други видове абонаменти са достъпни след регистрация.
(EP) в облака. По принцип тази тема се обсъжда от IT-специалисти. Въпреки това, с развитието на услугите за електронно управление на документи (EDF), специалисти по темата - счетоводители, секретари и други - започнаха да се включват в темата за облачните ES.
Нека обясня, базираният в облак електронен подпис предполага, че вашият личен ES се съхранява на сървъра и там се извършва подписването на документи. Това е придружено от сключването на съответните договори и пълномощни. И действителното потвърждение на самоличността на подписващия се случва, като правило, с помощта на SMS разрешение.
Необходимостта от използване на облачен ES от счетоводител зависи от режима, в който той работи. Ако често сте извън офиса или например работите за фирма, която предоставя счетоводни услуги (счетоводен аутсорсинг), тогава облачно базираният ES ще ви помогне да подписвате документи отвсякъде. Не е необходимо да инсталирате допълнителни. Въпреки това, въпреки лекотата на използване, не всички компании са готови да използват тази функция.
За да можете сами да изберете дали имате нужда от облачен електронен подпис или не, ние ще разгледаме всички предимства и недостатъци на използването му. И също така помислете кой може наистина да има нужда от такъв подпис. Между другото, в тази статия ще говорим само за подобрени (по-нататък - UKEP).
Отзад
Облачният електронен подпис е по-евтин от обичайния. Това се дължи главно на факта, че не е необходимо да купувате криптографски инструмент за защита на информацията (CIPF) и токен (флаш устройство със сертификат). Като правило, като се вземе предвид тяхното придобиване, цената на продукта се покачва 2-2,5 пъти.
Удобство и лекота на използване. За да работите с облачен електронен подпис, не е необходимо да инсталирате нито самия сертификат за електронен подпис, нито специални инструменти за работа с него. Това означава, че няма да губите време да разберете как работи всичко.
Мобилност. В момента няма общи и безплатни решения за използване на необлачен електронен подпис на мобилни устройства. В това отношение огромно предимство на облачно базирания електронен подпис е, че можете да работите с него от всеки компютър, таблет, смартфон с достъп до интернет.
Против
Вие не подписвате физически документа. Трябва да разберете, че в случай на облачен електронен подпис частната част на ключа, която е поверителна и трябва да принадлежи само на вас, ще се намира на сървъра на сертификационния център. Разбира се, това ще бъде документирано, а самите сървъри са надеждно защитени. Но тук всичко зависи от изискванията за сигурност на компанията и от документите, свързани с подписването. Ако за вас е важно самите собственици на частните ключове да подписват документите, тогава електронният подпис, базиран на облак, няма да ви подхожда. В тази ситуация зависи от вас да решите доколко имате доверие на CA и сървърите, които съхраняват частните ключове.
Можете да използвате облачно базирани ES само в тези услуги, с които има интеграция на софтуера на сертификационния център. Това се дължи и на факта, че в случай на облачен ES частният ключ се съхранява на CA сървъра. За да може услугата да може да използва такъв частен ES ключ за подписване, тя трябва да може да изпрати заявка за генериране на електронен подпис към CA сървъра. Ясно е, че в момента има много услуги и всички те няма да могат да осигурят интеграция с софтуер UC. Оказва се, че ще трябва да използвате облачен ES само с определени услуги. За да работите с други услуги, ще трябва да закупите друг ES сертификат и няма начин тези услуги да поддържат какъвто и да е вид базиран на облак електронен подпис.
И какво?
Облачният електронен подпис е удобен, мобилен и прост инструмент, но не и най-гъвкавият. И от гледна точка на сигурността, може би съхраняването на частния ключ на защитен сървър би било по-добре, отколкото да държите токен в чекмедже.
Кой наистина се нуждае от електронен подпис? На първо място, тези, които често работят извън офиса си в офиса. Например одитори, които често посещават клиенти. Или и за когото е важно да подписва документи навсякъде. За тях електронният подпис, базиран на облак, ще се превърне в незаменим помощник в тяхната работа.
Освен това много зависи от политиката на компанията. Ако една организация се насочи към облачни технологии, например по отношение на съхранение на документи, използване на услуги за вътрешно и външно управление на документи, тогава електронните подписи най-вероятно също ще бъдат базирани на облак. Иначе счетоводители, чиновници и други служители, които обикновено не излизат от офиса си по време на работа, нямат нужда от облачен електронен подпис. Те могат да закупят ES частен ключ и ES сертификат в обичайния режим, на носител, който може да се използва в повечето услуги за обмен с контрагенти и държавни агенции.
Само крипто ключове, издадени с CryptoPro CIPF, могат да бъдат прехвърлени в облака.
Прехвърлянето се извършва на 2 етапа, те са описани по-долу.
Проверка на EDS за съответствие с изискванията
- В прозореца "" (Фигура 3) попълнете полето "Име на контейнер на ключ". Може да се намери в списъците с контейнери (бутон " Преглед“) или сертификати (бутон “ Според удостоверението»).
Отворете контролния панел на инструмента за защита на криптографска информация CryptoPro CSP (CIPF) („Старт“ – „Контролен панел“ – „CryptoPro CSP“) като администратор (раздел „Общи“ – „Изпълни като администратор“) и отидете на раздела „Хардуер“ (Снимка 1).
Фигура 1 - Настройка на четците
Щракнете върху бутона Настройте четци... ". USB флаш устройството и четецът на флопи дискове се инсталират по подразбиране при инсталиране на CryptoPro CSP. Проверете дали в раздела „Читатели“ има елемент „ Всички сменяеми устройства". Ако елементът „Всички преносими устройства“ липсва, той трябва да бъде добавен чрез бутона „ Добавете…” (Фигура 2).
Фигура 2 - Управление на четци
Уверете се, че празно USB флаш устройство е свързано и достъпно.
Отидете в раздела „Услуга“ и щракнете върху „ копие».
Фигура 3 - Раздел "Услуга" бутон "Копиране"
Отваря се прозорецът Copy Private Key Container.
След като бъде намерен контейнерът с ключове, щракнете върху „ По-нататък". Ако е зададена парола за достъп до личния ключ, тя ще бъде поискана.
Въведете паролата си и щракнете върху „ Добре". Ще се отвори прозорец за въвеждане на параметрите на новия контейнер с частен ключ (Фигура 4).
Фигура 4 - Прозорец за въвеждане на параметри на нов контейнер за частен ключ
Прозореца " Копиране на контейнера за личен ключ» (Фигура 5).
Фигура 5 - Прозорец "Копиране на контейнер за личен ключ"
Въведете името на новия ключов контейнер и маркирайте бутона за избор " Въведеното име указва контейнера на ключа» на позиция « Потребител».
Щракнете върху бутона Готово. Ще се отвори прозорец, в който трябва да изберете USB флаш устройство, за да поставите копирания контейнер (Фигура 6).
Фигура 6 - Прозорец за избор на медия
Щракнете върху бутона Добре". Ще се отвори прозорец за създаване на парола за достъп до контейнера с частен ключ (Фигура 7).
Фигура 7 - Прозорец за въвеждане на парола
На тази стъпка трябва да създадете парола за новия контейнер за личен ключ и да я потвърдите. Тази парола ще защити цифровия подпис, ще трябва да го въвеждате всеки път, когато го отваряте. След като въведете необходимите данни, щракнете върху бутона "OK". Инструментът за криптографска защита на информацията (CIPF) "CryptoPro CSP" ще копира контейнера на частния ключ на USB флаш устройството.
За да копирате публичния ключ на EDS, стартирайте панела с настройки на Internet Explorer (“ Започнете» – « Контролен панел» – « Свойства на браузъра» (Фигура 8)) и отидете на раздела « Съдържание» (Фигура 9).
Фигура 8 - " Контролен панел» – « Свойства на браузъра»
Фигура 9 - " Свойства на браузъра» - « Съдържание» - « Сертификати»;
В раздела Съдържание щракнете върху бутона Сертификати. В прозореца „Сертификати“ изберете EDS сертификата, свързан с частния ключ, и щракнете върху бутона „Експортиране ...“ (Фигура 10).
Фигура 10 - Оборудване "Сертификати"
Прозореца " Съветник за експортиране на сертификати» (Фигура 11).
Фигура 11 - Съветник за експортиране на сертификат
В прозореца на съветника за експортиране на сертификат, който се отваря, щракнете върху „ По-нататък". В следващата стъпка се откажете от експортирането на частния ключ, като поставите отметка на „ Не, не експортирайте частния ключ” (Фигура 12) и щракнете върху бутона „Напред”.
Фигура 12 - Избор на типа ключове за експортиране
В следващата стъпка изберете файловия формат на EDS сертификата, като изберете бутона за избор в полето „DER-кодирани X.509 (.CER) файлове“ и щракнете върху „ По-нататък» (Фигура 13).
Фигура 13 - Избор на файлов формат на EDS сертификат
На последния етап посочете името и местоположението на файла и щракнете върху " По-нататък". В последната стъпка на съветника проверете избраните опции и щракнете върху " Готов» (Фигури 14 и 15).
Фигура 14 - Посочване на пътя за запис и името на сертификата
Фигура 15 - Запазване на EDS сертификата
Файловете, получени в резултат на горните манипулации, трябва да бъдат поставени в папка и копирани в облака по пътя " W:\EDS". Това папката е достъпна само за основния потребител.
Резултатът трябва да бъде нещо като следното "W: \ EDS \ LLC Test" (Фигура 16).
Фигура 16 - EDS, копиран в облака.
Монтажът се извършва от специалисти информационна сигурност, те работят през делничните дни от 9 до 18 московско време. В заявлението трябва да посочите името на папката, в която сте запазили EDS.
Ако вашите ключове са издадени чрез VipNet CIPF, тогава те няма да работят в терминалната група (чрез отдалечен работен плот или RemoteApp). В този случай работата може да се извършва на локален компютър с помощта на тънък клиент, повече за инсталирането и работата в .
Ако опцията за работа в тънък клиент не ви подхожда, тогава EDS трябва да бъде преиздаден чрез CryptoPro, за да одобрите заявлението за преиздаване на сертификата, трябва да се свържете с вашата сервизна организация.
През миналия век много предприятия започнаха масово да преминават към електронно управление на документи. Всеки има компютри с офис програми. Документите често се въвеждаха Майкрософт Уърдили други текстови редактори, експортирани в PDF, изпратени по имейл.
Изглеждаше, че ако работният процес електронен, тогава скоро ще забравим за шкафове с хартиени архиви, нито един лист хартия няма да остане на настолните компютри. Ако внезапно хартиен документ бъде изпратен на организацията по обикновена поща, артефактът ще бъде незабавно сканиран и дигитализиран. В действителност се оказа точно обратното. Оказа се, че колкото повече една организация използва компютри за дигитален работен процес, толкова повече документира отпечатъци. В крайна сметка всеки документ трябва да бъде заверен. Документ без подпис е просто чернова или информационна бележка. За да получите подпис, документите се отпечатват и след това често се сканират обратно, като оригиналите се съхраняват в архива.
Вече е ясно какво всъщност електронен(безхартиен) работен процес не може да бъде реализиран без цифрови подписи.
Днес B2B, B2C компании и държавни организациипреминете към въвеждането на цифрови подписи поради техните неоспорими предимства:
- Безхартиен работен процес. Спестяване на време, пари и ресурси.
- Ефективни бизнес процеси. Вписване в електронен форматправи всяка транзакция по-плавен процес.
- Мобилни възможности. Комуникацията в организацията и с клиентите става по-лесна.
Постепенно се разработват единни стандарти за управление на електронни документи и инфраструктура за цифров подпис. Например в страните от ЕС от 1 юли 2016 г. е в сила стандартът eIDAS (electronic IDentification, Authentication and trust Services) за електронни услугиидентификация, удостоверяване и доверие. В САЩ е приет стандартът 21 CFR 11.
Най-големите доверени услуги в света за електронни документи- Adobe Trusted List (AATL) и програма Microsoft Root Trust. Сертификаторите, включени в този списък, издават базирани на сертификати цифрови идентификатори и услуги за клеймо за време, които отговарят на глобалните разпоредби, като стандарта eIDAS. Електронните формати вече се поддържат за най-популярните формати на офис документи. цифрови подписи. Поддържа се включително подпис на документа от няколко лица, с клеймо за време.
Какво представлява услугата за цифрово подписване (облачна услуга за цифрови подписи)?
Услугата за цифрово подписване (DSS) е мащабируема платформа с активиран API за бързо внедряване на цифрови подписи, която предоставя:За вашата собствена DSS услуга трябва да настроите повече от просто работен поток за подписване и управление на потребителите. Сертификатите за подпис също са необходими за потвърждаване на самоличността на автора на всеки документ. Това включва криптографски елементи като управление на ключове, FIPS ниво 2 или по-висока система за съхранение на ключове (като хардуерни токени или HSM), OCSP или CRL услуга и услуга за клеймо за време. Комбинирането на тези компоненти, особено интегрирането с хардуерен модул за сигурност (HSM) директно, независимо дали в облака или на място, изисква значителни усилия от страна на отделите за ИТ и информационна сигурност, заедно с добро познаване на криптографията и наличието на необходимите ресурси.
Важно е да се вземат предвид тези скрити разходи и инвестиции, както и ограниченията и режийните разходи, когато се оценяват решенията за цифров подпис.
Отделно си струва да се спомене, че ако услугата DSS е критична за организацията, тогава тя трябва да работи с високо ниво на непрекъсната работа и да осигурява висока производителност. Тоест, трябва да проектирате решението си с известна доза излишък - с запас за бъдещето. И трябва да се приеме, че бизнесът се характеризира с растеж. Инфраструктурата трябва да бъде мащабируема.
| Услуга за цифров подпис | Традиционно изпълнение | |
|---|---|---|
| Интеграция с приложения за подписване на документи | Чрез прост REST API | Изисква вътрешна криптографска експертиза за конфигуриране и поддръжка |
| Компоненти на криптографски подпис (сертификати, OCSP, CRL, времеви марки | Включени в API, не изискват напреднали криптографски познания или ресурси за разработка | Те вървят отделно, изискват отделни обаждания от приложения и вътрешни ресурси за разработка за конфигуриране |
| Мащабируемост | Висока мащабируемост - не е необходимо допълнителна настройкаили интеграция | Може да се наложи закупуване и конфигуриране на допълнително оборудване |
| Висока наличност и възстановяване след бедствие | Доставя се чрез проверена от WebTrust GlobalSign инфраструктура с глобални центрове за данни, резервиране и най-добрия хардуер за мрежова сигурност | Изисква допълнителна инвестиция в оборудване |
| Управление и съхранение на секретни ключове | Чрез REST API, вътрешни ресурсиили оборудването не се използва | Клиентът е отговорен за управлението и съхранението на ключове (например в облака или локалния HSM) |
| Подписване на самоличности | Поддръжка на подписи на две нива: отдели и служители (например John Doe, счетоводство) | Не всички решения поддържат и двата типа идентичности |
Облачната услуга значително опростява внедряването на система за управление на документи с поддръжка на цифрови подписи. Всички операции просто преминават през API.
Облачните услуги се различават по цена и функционалност. Но всички те гарантират гъвкавост, мащабируемост и високо ниводостъпност. Въпреки че услугите са платени, те освобождават компаниите от необходимостта да инвестират в разработването на собствени решения, включително закупуване на скъпо криптографско оборудване.
Кой може да има нужда от базирана на облак услуга за цифров подпис? На теория това са всякакви организации от всякакъв размер, които разработват или пускат в експлоатация специално разработени приложения и възнамеряват или да интегрират цифрови подписи там, или да използват вече интегрирано приложение.
- Доставчици на решения или приложения за управление на документи, които искат да интегрират цифрови подписи или печати. Друг вариант: да ги предлагаме на клиентите като премиум опция като гарантирана защита на документи срещу фалшифициране. Тук се поддържа гъвкав модел: цифровите подписи могат да се добавят като допълнителен слой или опция.
- Бизнеси, които искат да интегрират цифрови подписи или печати в своя работен процес.
- Системни интегратори, които внедряват цифрови подписи в съществуващи и нови системи за управление на документи.
