En el sentido tradicional familiar para la gran mayoría de los usuarios firma electronica(ES) la clave de esta misma firma la guarda su propietario. En la mayoría de los casos, se utiliza para esto un determinado portador de clave segura en el formato de un token USB o una tarjeta inteligente, que el usuario puede llevar consigo. Este portador de llaves está cuidadosamente protegido por el propietario de personas no autorizadas, ya que la llave que cae en las manos equivocadas significa su compromiso. Para usar la clave, se instala un software especializado (CIPF) en el dispositivo del propietario, diseñado para calcular el ES.
Por otro lado, en el mundo de las TI, cada vez se utiliza más el concepto de "computación en la nube", que en muchos sentidos tiene muchas ventajas frente al uso de aplicaciones tradicionales instaladas en el ordenador del usuario. Como resultado, existe un deseo completamente natural de aprovechar estas ventajas de las tecnologías en la nube para crear "ES en la nube".
Pero antes de solucionar este problema, es necesario definir qué entendemos por “firma electrónica en la nube”. Actualmente, en distintas fuentes se pueden encontrar distintas interpretaciones de este concepto, muchas veces aptas solo para explicar con los dedos a una persona “de la calle” que acude al Centro de Certificación a “comprar una firma electrónica”.
Qué es una firma electrónica cualificada en la nube
A los efectos de este artículo, así como de otros discursos científicos y prácticos de divulgación sobre la firma electrónica en la nube, se propone utilizar la siguiente definición.
Una firma electrónica en la nube (cloud electronic signature) es un sistema informático que proporciona acceso a través de la red a las posibilidades de creación, verificación de SE e integración de estas funciones en los procesos de negocio de otros sistemas.
De acuerdo con esta definición, una herramienta ES local también se puede utilizar para una firma electrónica basada en la nube. Por ejemplo, utilizando el usuario a través de un navegador web puede firmar un documento electrónico utilizando la herramienta ES instalada en su dispositivo terminal ( Computadora personal o tableta). En dicho sistema, la clave de firma permanece con el propietario y los problemas de seguridad se resuelven utilizando un conjunto estándar de herramientas conocido en el mundo como "ES tradicional". Puedes llamarlo si quieres ES en la nube con la herramienta ES local.
Se obtiene otra versión de la nube ES con utilizando una herramienta ES alojada en la nube. Para la conveniencia de una presentación más detallada, llamemos a tal esquemacompletamente basado en la nubepara distinguirlo del anterior. Este esquema provoca regularmente acaloradas discusiones entre los especialistas, ya que implica la transferencia de la clave de firma en sí misma "a la nube". Este artículo pretende aclarar una serie de cuestiones relacionadas con la seguridad de un ES completamente basado en la nube.
Empecemos con lo principal
El principal dolor de cabeza al transferir cualquier sistema de TI "a la nube" es el dolor de los "oficiales de seguridad" (y los abogados que los ayudan) asociado con la transferencia de información "allí" para su procesamiento o almacenamiento. Si antes esta información no dejaba un perímetro protegido, y era relativamente fácil garantizar su confidencialidad, entonces en la nube falta el concepto mismo del perímetro. Al mismo tiempo, la responsabilidad de garantizar la confidencialidad de la información está, en cierto sentido, “difuminada” entre su propietario y el proveedor de servicios en la nube.
Lo mismo sucede con la clave ES transmitida a la nube. Además, la clave ES no es solo información confidencial. La clave debe estar disponible solo para una persona: su propietario. Así, la confianza en una firma en la nube viene determinada no solo por la responsabilidad personal del usuario, sino también por la seguridad de almacenar y utilizar la clave en el servidor y la fiabilidad de los mecanismos de autenticación.
Actualmente se están realizando pruebas de certificación de nuestra solución. Este es un servidor ES en la nube que almacena claves y certificados de usuario y proporciona acceso autenticado a ellos para generar una firma electrónica. Los dos aspectos mencionados anteriormente de la seguridad de ES basados en la nube en particular son objeto de investigación realizada durante la prueba de CryptoPro DSS. Al mismo tiempo, vale la pena señalar que una parte importante de estos temas ya se ha considerado en el marco de los estudios de casos. , en el que se basa CryptoPro DSS.
En nuestro país, los aspectos organizativos y legales del uso de ES en la nube aún están poco desarrollados, por lo que en este artículo consideraremos CryptoPro DSS desde el punto de vista de los requisitos para el servidor de firma desarrollado por el Comité Europeo de Normalización (CEN).manera europea
octubre 2013 El Comité Europeo de Normalización (CEN) aprobó la especificación técnica CEN/TS 419241 "Requisitos de seguridad para sistemas confiables que admitan la firma de servidores". Este documento se dan requisitos y recomendaciones para un servidor de firma electrónica diseñado para crear, entre otras cosas, firmas cualificadas.
Me gustaría señalar que incluso ahora CryptoPro DSS cumple completamente con los requisitos de esta especificación en la versión más fuerte: los requisitos de Nivel 2 para la formación de una firma electrónica calificada (en términos de legislación europea).
Uno de los requisitos principales de la capa 2 es admitir opciones de autenticación sólidas. En estos casos, el usuario se autentica directamente en el servidor de firmas, en lugar de que una aplicación que accede al servidor de firmas en su propio nombre le permita la autenticación de Nivel 1. Todos los métodos de autenticación compatibles con CryptoPro DSS satisfacen este requisito Nivel 2
De acuerdo con esta especificación, las claves de firma del usuario para la formación de un ES calificado deben almacenarse en la memoria de un dispositivo seguro especializado (token criptográfico, HSM). En el caso de CryptoPro DSS, dicho dispositivo es el módulo criptográfico de hardware y software CryptoPro HSM, certificado por el FSB de Rusia en el nivel KB2 como una herramienta ES.
La autenticación del usuario en el servidor de firma digital para cumplir con los requisitos del Nivel 2 debe ser al menos de dos factores. CryptoPro DSS es compatible con una amplia gama de métodos de autenticación constantemente actualizados, incluidos los de dos factores. Además de los tokens criptográficos habituales, también se puede utilizar una aplicación de teléfono inteligente especializada, como los generadores de contraseñas de un solo uso (tokens OTP), como herramienta de autenticación. El documento CEN también menciona estos métodos.
Otro método prometedor de autenticación de Capa 2 podría ser el uso de una aplicación criptográfica en la tarjeta SIM del teléfono. En nuestra opinion, esta opción El uso de tarjetas SIM con criptografía es más realista, ya que la construcción de una herramienta de protección de información criptográfica funcionalmente completa (o herramienta ES) de acuerdo con los nuevos requisitos del FSB basada solo en una tarjeta SIM es casi imposible.
Consideró ficha de datos también permite el uso de un servidor de firma electrónica para generar firmas para un determinado conjunto de documentos a la vez. Esta oportunidad puede ser útil cuando se firma una gran variedad de documentos homogéneos que difieren solo en los datos de unos pocos campos. En este caso, la autenticación de usuario se realiza una vez para todo el paquete de documentos. El soporte para este caso de uso también está disponible en CryptoPro DSS.
El documento CEN también contiene una serie de requisitos para la formación, procesamiento, uso y eliminación del material de clave de usuario, así como para las propiedades del sistema de clave interna del servidor de firma electrónica y para la auditoría. Estos requisitos están completamente e incluso "con un margen" cubiertos por los requisitos para herramientas ES de clase KB2, según los cuales está certificado el CryptoPro HSM PACM, que es responsable de estos problemas.
Nuestro futuro
La solución CryptoPro DSS admite una amplia gama de métodos de autenticación, entre los cuales es posible elegir el adecuado para cada tarea. La fiabilidad del más seguro de ellos cumple con los criterios más estrictos de los requisitos europeos CEN/TS 419241 y, como esperamos, en un futuro próximo será confirmada por un certificado de conformidad del FSB de Rusia.
Alexey Goldberg,
subdirector tecnico
LLC "CRYPTO-PRO"
Stanislav Smyshlyaev, Doctor,
jefe del departamento de seguridad de la información
LLC "CRYPTO-PRO"
Pavel Smirnov, Doctor.,
Subdirector del Departamento de Desarrollo
LLC "CRYPTO-PRO"
19 de junio de 2014 09:21EN Últimamente a menudo hablamos de firma electrónica (ES) en la nube. Básicamente, este tema es discutido por especialistas en TI. Sin embargo, con el desarrollo de los servicios gestión de documentos electrónicos(EDO), especialistas en la materia como contadores, secretarios, auditores y otros comenzaron a involucrarse en el tema de la nube ES.
Me explico, una firma electrónica basada en la nube implica que su llave privada El ES se almacena en el servidor del centro de certificación y allí se lleva a cabo la firma de documentos. Esto va acompañado de la celebración de acuerdos y poderes notariales relevantes, y la confirmación real de la identidad del firmante se produce, por regla general, mediante la autorización de SMS.
La necesidad de usar la nube ES por parte de un contador depende del modo en que trabaja. Si a menudo está fuera de la oficina o, por ejemplo, trabaja para una empresa que brinda servicios de contabilidad (subcontratación de contabilidad), entonces ES basado en la nube lo ayudará a firmar documentos desde cualquier lugar. No es necesario instalar ningún software adicional. Sin embargo, a pesar de la facilidad de uso, no todas las empresas están preparadas para aprovechar esta oportunidad.
Para que pueda elegir por sí mismo si necesita o no una firma electrónica basada en la nube, consideraremos todos los pros y los contras de usarla. Y también piense en quién podría realmente necesitar esa firma. Por cierto, en este artículo solo hablaremos de la firma electrónica cualificada mejorada (en adelante, ECES).
Detrás
La firma electrónica en la nube es más barata de lo habitual. Esto se debe principalmente al hecho de que no necesita comprar una herramienta de protección de información criptográfica (CIPF) y un token (unidad flash con certificado). Como regla general, teniendo en cuenta su adquisición, el precio de un certificado se eleva 2-2,5 veces.
Comodidad y facilidad de uso. Para trabajar con una firma electrónica basada en la nube, no es necesario instalar tanto el propio certificado de firma electrónica como medios especiales para trabajar con ella. Esto significa que no perderá el tiempo averiguando cómo funciona todo.
Movilidad. En este momento común y soluciones gratuitas utilizar una firma electrónica que no sea en la nube en dispositivos móviles Aún no. En este sentido, una gran ventaja de la firma electrónica en la nube es que se puede trabajar con ella desde cualquier ordenador, tablet, smartphone con acceso a Internet.
Contra
No firmas físicamente el documento. Debe comprender que en el caso de una firma electrónica basada en la nube, la parte privada de la clave, que es confidencial y debe pertenecerle solo a usted, se ubicará en el servidor del centro de certificación. Por supuesto, esto se documentará y los propios servidores estarán protegidos de forma segura. Pero aquí todo depende de los requisitos de seguridad de la empresa y de la política asociada a la firma de documentos. Si es importante para usted que los propios propietarios de las claves privadas firmen los documentos, entonces una firma electrónica basada en la nube no le conviene. En esta situación, depende de usted decidir cuánto confía en la CA y los servidores que almacenan las claves privadas.
Puede usar ES basado en la nube solo en aquellos servicios con los que hay integración del software del centro de certificación. Esto también se debe al hecho de que, en el caso de la nube ES, la clave privada se almacena en el servidor de CA. Para que el servicio pueda utilizar una clave ES privada de este tipo para firmar, debe poder enviar una solicitud para generar una firma electrónica al servidor de CA. Está claro que en este momento hay muchos servicios, y todos ellos no podrán proporcionar integración con el software de CA. Resulta que tendrás que usar cloud ES solo con ciertos servicios. Para trabajar con otros servicios, deberá comprar otro certificado ES y no hay garantías de que estos servicios admitan ninguna firma electrónica basada en la nube.
¿Y qué?
La firma electrónica en la nube es una herramienta cómoda, móvil y sencilla, pero no la más flexible. Y en términos de seguridad, tal vez sería mejor almacenar la clave privada en un servidor seguro que guardar un token en un cajón.
¿Quién necesita realmente una firma electrónica? En primer lugar, aquellos que a menudo trabajan fuera de su oficina en la oficina. Por ejemplo, abogados y auditores que a menudo visitan a los clientes. O ejecutivos y directores para quienes es importante firmar documentos en cualquier lugar. Para ellos, una firma electrónica basada en la nube se convertirá en asistente indispensable en el trabajo.
Además, mucho depende de la política de la empresa. Si una organización se está moviendo hacia tecnologías en la nube, por ejemplo, en términos de almacenamiento de documentos, utilizando servicios para uso interno y flujo de documentos externos, es probable que las firmas electrónicas también estén basadas en la nube. De lo contrario, los contadores, oficinistas y otros empleados que normalmente no salen de su oficina durante el trabajo no necesitan una firma electrónica basada en la nube. Pueden comprar una clave privada ES y un certificado ES en el modo habitual, en un operador que se puede utilizar en la mayoría de los servicios para el intercambio con contrapartes y agencias gubernamentales.
(4.33 - calificado por 9 personas)
Publicaciones similares
Bueno, no es cierto. Por ejemplo, existe Crypto-Pro para iOS desde hace mucho tiempo. Los proveedores de soluciones EDMS lo utilizan. Para el mismo DIRECTUM, también existe un EDS basado en Crypto-Pro para Android.
Físicamente, ningún documento electrónico está firmado por usted. El software lo hace.
Más precisamente, no en el servidor de la CA, sino en un servidor de hardware especializado para almacenar claves del servicio de firma electrónica que interactúa con el sistema de información (gestión de documentos electrónicos).
En este caso, en efecto, el usuario no necesita instalar nada sobre sí mismo, pero toda la seguridad de utilizar la clave no depende del usuario, sino de la fiabilidad de la autenticación del propietario de la clave por el servicio de firma electrónica y el sistema de informacion.
Pues bien, la clave sólo podrá ser utilizada en aquellos sistemas de información que estén "conectados" al servicio de firma electrónica que almacena y aplica la clave del titular. Aquellos. la clave será "no totalmente funcional" (por ejemplo, no puede proteger la conexión a servidores con criptografía, Sistema operativo, correo electrónico y archivos, proporcionan autorización para GOSSLUGITOCHKARU y muchos lugares más), pero solo para una tarea específica en un sistema específico. Es como comparar un autobús y un tranvía, en todas partes hay +/-.
Hay soluciones, pero no son comunes debido a su relativa inseguridad. Gratis desconocido. Y aparecerán...
Tengo un punto de vista ligeramente diferente: si el principal no es un certificado en la nube, sino un servicio en la nube. Sí, no se puede utilizar un único certificado en la nube para todos los servicios. Pero el valor, en mi opinión, no está en el certificado, sino en los servicios. Y no tiene nada de malo que cada servicio utilice su propia clave de nube. A diferencia de los certificados "en las instalaciones" (en tokens, tarjetas inteligentes o en el registro de su dispositivo personal), no tiene que llevar cuentas de token ni copiar certificados en registros en todos los dispositivos. Solo los sms vendrán de diferentes números. Además, un certificado en la nube suele ser más barato en las instalaciones y no se requiere la compra de software (criptoproveedor). Bueno, desde el punto de vista de la seguridad, tal esquema a priori parece más confiable, ya que cuando una clave está comprometida, otras pueden seguir funcionando (sin comprometer).
No hay nada vergonzoso, pero el costo es más que usar una tecla de función completa (no perlas) en muchos sistemas. En el modelo de amenazas de usar la "clave ES en la nube", se agrega el riesgo de brechas de seguridad en el canal de autenticación. Además, OTPviaSMS no es seguro de usar en todas partes. Y psicológicamente, la mayoría de las personas se sienten más seguras cuando almacenan su clave en su caja fuerte que con una clave virtual en un almacenamiento virtual con un canal condicionalmente seguro para administrar su uso.
Por supuesto, esto es cierto siempre que la firma sea iniciada por un dispositivo y el SMS con el código de confirmación de firma llegue a otro dispositivo. Y tan pronto como el cliente móvil se queda solo, tal esquema ya no es a priori más confiable. Solo queda la comodidad del usuario, pero no la fiabilidad.
El usuario puede ganar, obtener alguna ventaja sobre los competidores utilizando papel con tinta o tokens físicos con soporte de hardware OneTimePassword, debido a una respuesta más rápida, mayor movilidad. Pero también asume grandes riesgos. Riesgo de indisponibilidad del servicio. El riesgo de compromiso del dispositivo móvil. Los riesgos están justificados cuando se trata de pequeñas cantidades de dinero. Yo confiaría un trato por un millón al buen papel viejo, firmado en silencio, sin miradas indiscretas, sin intermediarios y sin prisas.
Si necesita firmar un paquete de 30 documentos. Y el servicio no admite la firma por lotes. Luego tendrás que recibir 30 SMS (o uno con 30 códigos de confirmación) e ingresar códigos de confirmación 30 veces. Este es el momento, y la reacción ya no es más rápida.
Pero si cada servicio tiene su propio servicio para configurar un SE, entonces la integración de los servicios debería ser muy estrecha. Y la firma de lotes se incluirá allí. Por ejemplo, un SMS lógico vendrá: "Código 0xs3cr3t para la operación #22_1806. Estimado Konstantin Vasilievich. Para confirmar la recepción de los documentos entrantes para el período 01/06/2014-18/06/2014 (20 facturas, 7 actos de trabajo realizados y 3 cartas de porte), a saber, la firma de 30 documentos oficiales confirmando la recepción, ingrese el código especificado".
Hay soluciones. Pero, que yo sepa, CryptoPro para iOS y Android no se distribuye de forma gratuita.
Aceptar. En general, esto es lo que se quiere decir. En este sentido, usar un certificado en la nube no es muy conveniente.
En general, si necesita trabajar con varios servicios, comprar varios ES en la nube puede ser incluso más costoso que comprar un certificado calificado, CIPF y token.
En cuanto a la fiabilidad, es una cuestión de confianza en la seguridad del lugar donde se almacenarán las claves, en las tecnologías con las que se realizará la firma. Creo que mientras la tecnología no esté muy bien probada, no habrá mucha confianza. Pero, verá, usar una firma en la nube sigue siendo bastante conveniente en algunos casos. Para comprender qué firma es adecuada en un caso particular, debe observar los procesos, estudiar las necesidades, evaluar los pros y los contras de ambas opciones y luego tomar una decisión. Por lo tanto, tratamos de mostrar las dos caras de la misma moneda de la nube ES.
¿Y para qué plataformas es gratuito CryptoPro?
Creo que la tecnología resuelve poco: la única pregunta es la confianza en el proveedor de la solución a quien le confía su certificado.
Por lo tanto, cuando hablan de este tipo de tecnologías en el contexto de uso intraempresarial, también entiendo que puede “despegar”. Tan pronto como hablamos de confiar un certificado a un tercero, no veo ninguna posibilidad.
Que yo recuerde, Crypto-Pro para iOS y Android no se vende a usuarios finales. Por lo tanto, todo queda a discreción del proveedor del software de la aplicación. Si quiere dártelo gratis, lo hará. Si no quiere, no lo hará. O puede brindar además de la funcionalidad para la que compró la solución.
¿Es esto una conjetura (como en el artículo original) o puede respaldarlo con números reales?
Además de Microsoft, Facebook, Twitter y cientos de otros proveedores de autenticación federada, cada recurso elige con qué proveedor integrarse. ¿Sugiere hacer lo mismo con el almacenamiento de certificados?
¿Y entiendo bien que equiparas la autenticación federada, en la que ningún dato de usuario, a excepción de un conjunto muy limitado transmitido con un token de autenticación, sale del perímetro del servicio y del servicio EDS por el que tendrán que pasar todos tus datos firmados?
Puede que no sea. Una clave de nube no requiere token ni software. El servicio puede, por ejemplo, incluir el costo de emitir un token de nube en la tarifa de suscripción y proporcionar certificados de nube "gratis". En cualquier caso, esto es una cuestión de marketing, no de tecnología.
También puede firmar un paquete de 30 documentos. Así es como se configura el propio servicio, ya sea que admita la firma por lotes. ¿Y de dónde proviene la clave (de la nube o del registro/token)? Esta ya es una pregunta ortogonal. Gracias, desarrollaste aún más esta idea en un comentario. Esto también sucede a menudo en el papel. El gran jefe solo puede firmar el registro de pagos con su propia mano, y los pagos luego son firmados por personas autorizadas.
¡Gloria al grano! :) Mientras que la firma en la nube se usa en la contabilidad y la generación de informes en la nube.
Misha, ya trabajando :)
Eugene, aplaudo tu comentario de pie :)
Misha, esperemos la respuesta de Evgeny, pero entendí esto como un ejemplo. Una solución nueva, más conveniente y, posiblemente, menos segura, debido a su conveniencia, es aceptada por los consumidores con el tiempo, ya que la comodidad resultante superó posibles riesgos. Quizás antes del primer desastre. Es posible que los consumidores continúen usando esta solución después del evento negativo.
La firma en la nube ahora parece más conveniente, pero a priori menos segura. Pero algunos usuarios se dejarán seducir por la conveniencia y evaluarán los riesgos de seguridad como aceptables. Y utilizará la firma de la nube.
La firma en la nube ya está trabajando en el segmento "low-cost". Sería interesante probarlo en el segmento "empresarial". Quizás las palabras "CryptoPro HSM" u otra cosa calmará el negocio. Hay que pensar, ofrecer y probar.
Bueno, elimine el argumento "movilidad" de la sección "para" en el artículo artículo.
¿Por qué está ella allí?
¿Entiendo correctamente que la contabilidad en la nube es un servicio sobre el cual se mantienen registros y desde el cual se envían informes? ¿Por qué no basta con autorizar al usuario en el servicio en este caso? ¿Por qué más EDS - para cumplir con los requisitos del regulador?
¿Donde exactamente? ¿Dentro de un servicio o servicios de un proveedor? Vale, aceptado.
¿Solo ahora necesito obtener un certificado de cada proveedor? ¿Entonces?
¿Para qué es exactamente cómodo?
Solo veo una ventaja en una cosa: si usa un servicio web, organizar una firma de un cliente local puede ser problemático.
En mi opinión, la mención de CryptoPro (así como todo lo relacionado con nuestro extraño "ruso firma cualificada") el negocio normal ya está comenzando a ser idioskarziya.
Sí, así es, pero pueden ser diferentes servicios. No todos necesitan contabilidad e informes. Muchas personas prefieren llevar la contabilidad en las instalaciones y luego enviar informes a través del servicio. El CEP es necesario para cumplir con los requisitos legales.
Sí, funciona dentro de los servicios de un proveedor. En teoría, puede aprender a proporcionar un certificado en la nube a otros proveedores, si así lo desea. sentido económico. Pero el valor, en mi opinión, lo proporcionan precisamente los servicios y entornos donde se puede utilizar ES, la mera posesión de un certificado en la nube o regular no tiene sentido económico.
En el caso de un certificado en la nube, el usuario no necesita instalar software en su dispositivo y pensar en copiar certificados a cada dispositivo o llevar siempre consigo un portador de claves. Poseer un certificado en la nube es menos complicado, por lo que no me intimidaría tanto obtener un montón de certificados de diferentes proveedores. Y el costo del software requerido y el portador de claves (en el caso de los certificados locales) será notablemente menor que las tarifas de suscripción, por lo que el uso de un certificado universal es más una cuestión de conveniencia que de beneficio económico.
Lea sobre HSM: algo interesante. Los competidores extranjeros tienen soluciones similares y desde hace mucho tiempo. Así que aquí CryptoPro usa la experiencia del mundo universal.
Me alegro que este tema sea de interés. Intentaré desarrollar el concepto anterior de un servicio en la nube, teniendo en cuenta los comentarios. 1. El servicio en la nube como el desarrollo de los sistemas de información ya es un hecho consumado, lo que significa que los fabricantes de software se están adaptando a este estándar. En términos de reducción de costos, anteriormente tenía que comprar 2-3 producto de software que satisfacen sus necesidades, ahora es 1, y un 30-40% más bajo en costo total.
2. ¿Qué es una firma digital y quién la necesita en primer lugar? La CPU es su identificador en los sistemas de TI, lo que le permite decir "Yo soy yo" para tomar decisiones en cualquier nivel de responsabilidad financiera con un nivel garantizado de protección contra la piratería o el uso indebido. En cualquier caso, la aparición de la CPU es la evolución de una firma “viva” con el fin de acelerar la implementación de los procesos de negocio de la empresa. Aquellos. si antes documento en papel procesado lentamente, ahora un clic es suficiente para tomar decisiones.
3. Nadie dice que existen soluciones y medios ideales. De hecho, CryptoPro ha puesto los dientes al límite al usarlo. Recientemente reinstalé el sistema para contadores usando 1C, VLSI y 2 cuentas bancarias a través de la interfaz web (usando CryptoPro). Lo maldije todo hasta que agregué todos los certificados necesarios y el soporte clave.
Michael, no es exactamente un signo igual. Más bien, la seña de identidad, porque FA le permite implementar un mecanismo de ventana única para usuarios de diferentes dominios, es decir, actúa como garante de la identificación del participante de la autorización. El propio servicio EDS dispone de herramientas de autorización y resuelve sus tareas específicas. En este caso, un claro ejemplo es el sitio web de servicios públicos y servicios satelitales (por ejemplo, ROI). El sitio web de servicios públicos es una FA que garantiza la identificación del usuario para otros servicios.
Sergio, estoy totalmente de acuerdo contigo. Una firma en la nube puede y debe actuar como un servicio de identificación único aceptado por otros participantes en los procesos comerciales. Ahora, todo está demasiado fragmentado y hay muchos intermediarios en el camino del movimiento de documentos.
¿De dónde viene esta conclusión?
¿Quizás no sabes cómo usarlo? La instalación de certificados es una tarea muy trivial y nadie plantea dudas. Además, tecnológicamente no es diferente de instalar certificados en otros proveedores de criptografía.
Utilice aplicaciones CONVENIENTES que funcionen con CIPF y será feliz.
Ahora bien, lo que se vende bajo el nombre de "firma en la nube" no puede de ninguna manera realizar las funciones de un servicio de identificación, porque depende enteramente de la autenticación. La firma en la nube no tiene una tarea de identificación, se requiere transferir el proceso de generación de firma del lugar de trabajo a la nube, pero solo por la razón de que lugar de trabajo el usuario no es tan seguro para trabajar con CIPF.
¿Qué está fragmentado? ¿Cuáles son los intermediarios? Si se trata de UC, entonces es necesario para la fabricación. certificados calificados. Si se trata del operador, ¿cómo te lo imaginas sin él? Necesita operador de electricidad, operador de acceso a la red, operador de servicios de firma en la nube, operador sistema de informacion etcétera. Esta es una actividad especializada. No tenemos agricultura de subsistencia.
No importa cómo lo dije :) Admito completamente el uso firmas en la nube para servicios individuales, está bien, deje los servicios de un operador. Pero por el momento, dudaría en utilizarlo como un único servicio de identificación.
Sí, últimamente uno escucha a menudo cómo se comparan los operadores de EDF con los vendedores aéreos. Probablemente escribiré un gran artículo sobre lo que hace el operador, además de garantizar la importancia legal, por ahora me limitaré a estas tesis:
1. Creación de ED. En la interfaz de servicio, por regla general, puede crear los ED más comunes (ESF, TORG-12, actos, etc.).
2. Almacenamiento de ED. No puedo hablar por todos los servicios, pero Diadoc conserva sus documentos hasta que los elimine usted mismo. Incluso si ya no está pagando una tarifa de suscripción.
3. Espacio jurídico único. ¡Intente concluir acuerdos con todas sus contrapartes, si usted es, por ejemplo, un operador de telecomunicaciones o una empresa de venta de energía!
4. Transporte. Bien, ¿podrá organizar el transporte de documentos electrónicos a través de canales de comunicación y controlar la firma de todas sus 10 000 contrapartes? Oh bien...
5. Integración. Te contaré una pequeña historia. Una corporación transnacional decidió enviar a través del operador ESF y TORG-12. Sí, el problema es que ERP solo podía cargar PDF y luego en un formato pervertido especial. IT Corporation estaba en algún lugar de América Latina y aceptó órdenes de desarrollo para el próximo año. Esto sin contar los trámites burocráticos con la formulación de m TOR y la coordinación en varios continentes. ¿Quién fue capaz de establecer rápidamente la integración? Así es, operador.
Sergio, es decir ¿Puede resumir la falla de la infraestructura de TI para garantizar la calidad requerida de ED dentro del ERP existente? Según lo que ha dicho, ED aún está en pañales y no puede satisfacer completamente las necesidades de los usuarios finales.
Entonces resulta que los fabricantes de papel venden pulpa procesada.. :) Los operadores de EDF brindan servicios que son demandados por el mercado (aunque algunos logran vender aire enlatado de los Alpes)
¿Porque? La gestión de documentos electrónicos no es un fin en sí mismo, es una herramienta. Se desarrolla, y los requisitos crecen lo mismo. En algún lugar los requisitos son más altos, en algún lugar el propio ED forma las necesidades. En general, creo que el estado del EDI en Rusia es más o menos adecuado a los requisitos del mercado.
Sergey, llegando a tal conclusión, me baso en lo que escribiste anteriormente. Después de todo, está planteando la cuestión de la eficacia de las herramientas informáticas para la implementación de la ED. Además, el servicio en la nube, como sector de servicios, se está desarrollando de forma bastante dinámica y las posibilidades de que aparezca una firma electrónica son cuestión de tiempo.
Suscripción diaria. Otros tipos de suscripciones están disponibles al registrarse.
(EP) en la nube. Básicamente, este tema es discutido por especialistas en TI. Sin embargo, con el desarrollo de los servicios de gestión de documentos electrónicos (EDF), los especialistas en la materia (contadores, secretarios y otros) comenzaron a involucrarse en el tema de la nube ES.
Me explico, una firma electrónica basada en la nube implica que su ES privado se almacena en el servidor y la firma de documentos se lleva a cabo allí. Esto va acompañado de la celebración de los contratos y poderes correspondientes. Y la confirmación real de la identidad del firmante ocurre, por regla general, mediante la autorización de SMS.
La necesidad de usar la nube ES por parte de un contador depende del modo en que trabaja. Si a menudo está fuera de la oficina o, por ejemplo, trabaja para una empresa que brinda servicios de contabilidad (subcontratación de contabilidad), el ES basado en la nube lo ayudará a firmar documentos desde cualquier lugar. No necesita instalar nada adicional. Sin embargo, a pesar de la facilidad de uso, no todas las empresas están listas para usar esta función.
Para que pueda elegir por sí mismo si necesita o no una firma electrónica basada en la nube, consideraremos todos los pros y los contras de usarla. Y también piense en quién podría realmente necesitar esa firma. Por cierto, en este artículo solo hablaremos de mejorado (en adelante, UKEP).
Detrás
La firma electrónica en la nube es más barata de lo habitual. Esto se debe principalmente al hecho de que no necesita comprar una herramienta de protección de información criptográfica (CIPF) y un token (unidad flash con certificado). Como regla general, teniendo en cuenta su adquisición, el precio del producto se dispara entre 2 y 2,5 veces.
Comodidad y facilidad de uso. Para trabajar con una firma electrónica basada en la nube, no es necesario instalar el propio certificado de firma electrónica ni herramientas especiales para trabajar con él. Esto significa que no perderá el tiempo averiguando cómo funciona todo.
Movilidad. Por el momento, no existen soluciones comunes y gratuitas para utilizar una firma electrónica fuera de la nube en dispositivos móviles. En este sentido, una gran ventaja de la firma electrónica en la nube es que se puede trabajar con ella desde cualquier ordenador, tablet, smartphone con acceso a Internet.
Contra
No firmas físicamente el documento. Debe comprender que en el caso de una firma electrónica basada en la nube, la parte privada de la clave, que es confidencial y debe pertenecerle solo a usted, se ubicará en el servidor del centro de certificación. Por supuesto, esto se documentará y los propios servidores estarán protegidos de forma segura. Pero aquí todo depende de los requisitos de seguridad de la empresa y de los documentos asociados a la firma. Si es importante para usted que los propios propietarios de las claves privadas firmen los documentos, entonces una firma electrónica basada en la nube no le conviene. En esta situación, depende de usted decidir cuánto confía en la CA y los servidores que almacenan las claves privadas.
Puede usar ES basado en la nube solo en aquellos servicios con los que hay integración del software del centro de certificación. Esto también se debe al hecho de que, en el caso de la nube ES, la clave privada se almacena en el servidor de CA. Para que el servicio pueda utilizar una clave ES privada de este tipo para firmar, debe poder enviar una solicitud para generar una firma electrónica al servidor de CA. Está claro que en este momento hay muchos servicios y todos ellos no podrán proporcionar integración con software UC. Resulta que tendrás que usar cloud ES solo con ciertos servicios. Para trabajar con otros servicios, deberá comprar otro certificado ES, y no hay forma de que estos servicios admitan ningún tipo de firma electrónica basada en la nube.
¿Y qué?
La firma electrónica en la nube es una herramienta cómoda, móvil y sencilla, pero no la más flexible. Y en términos de seguridad, tal vez sería mejor almacenar la clave privada en un servidor seguro que guardar un token en un cajón.
¿Quién necesita realmente una firma electrónica? En primer lugar, aquellos que a menudo trabajan fuera de su oficina en la oficina. Por ejemplo, los auditores que a menudo visitan a los clientes. O y para quien es importante firmar documentos en cualquier lugar. Para ellos, una firma electrónica basada en la nube se convertirá en un asistente indispensable en su trabajo.
Además, mucho depende de la política de la empresa. Si una organización se mueve hacia las tecnologías de la nube, por ejemplo, en términos de almacenamiento de documentos, utilizando servicios para la gestión de documentos internos y externos, lo más probable es que las firmas electrónicas también estén basadas en la nube. De lo contrario, los contadores, oficinistas y otros empleados que normalmente no salen de su oficina durante el trabajo no necesitan una firma electrónica basada en la nube. Pueden comprar una clave privada ES y un certificado ES en el modo habitual, en un operador que se puede utilizar en la mayoría de los servicios para el intercambio con contrapartes y agencias gubernamentales.
Solo las claves criptográficas emitidas con CryptoPro CIPF se pueden transferir a la nube.
La transferencia se realiza en 2 etapas, se describen a continuación.
Comprobación del EDS para el cumplimiento de los requisitos
- En la ventana "" (Figura 3), rellene el campo "Nombre del contenedor de claves". Se puede encontrar en las listas de contenedores (botón " Revisar”) o certificados (botón “ Según el certificado»).
Abra el panel de control de la herramienta de protección de información criptográfica (CIPF) de CryptoPro CSP ("Inicio" - "Panel de control" - "CryptoPro CSP") como administrador (pestaña "General" - "Ejecutar como administrador") y vaya a la pestaña "Hardware" (Foto 1).
Figura 1 - Configuración de lectores
Clic en el botón Configurar lectores... ". La unidad flash USB y el lector de disquetes se instalan de forma predeterminada al instalar CryptoPro CSP. Compruebe que en la pestaña "Lectores" hay un elemento " Todas las unidades extraíbles". Si falta el elemento "Todas las unidades extraíbles", debe agregarse a través del botón " Agregar…" (Figura 2).
Figura 2 - Gestión de lectores
Asegúrese de que una unidad flash USB en blanco esté conectada y accesible.
Vaya a la pestaña "Servicio" y haga clic en " Copiar».
Figura 3 - Pestaña "Servicio" botón "Copiar"
Se abre la ventana Copiar contenedor de clave privada.
Después de encontrar el contenedor de claves, haga clic en " Más". Si se establece una contraseña para acceder a la clave privada, se solicitará.
Ingrese su contraseña y haga clic en " DE ACUERDO". Se abrirá una ventana para ingresar los parámetros del nuevo contenedor de claves privadas (Figura 4).
Figura 4 - Ventana para ingresar parámetros de un nuevo contenedor de clave privada
La ventana " Copiar el contenedor de clave privada" (Figura 5).
Figura 5 - Ventana "Copiar contenedor de clave privada"
Ingrese el nombre del nuevo contenedor de claves y marque el botón de radio " El nombre ingresado especifica el contenedor de claves" posicionar " Usuario».
Haga clic en el botón Listo. Se abrirá una ventana en la que deberá seleccionar una unidad flash USB para colocar el contenedor copiado (Figura 6).
Figura 6 - Ventana de selección de medios
Clic en el botón DE ACUERDO". Se abrirá una ventana para crear una contraseña para acceder al contenedor de claves privadas (Figura 7).
Figura 7 - Ventana de entrada de contraseña
En este paso, debe crear una contraseña para el nuevo contenedor de claves privadas y confirmarla. Esta contraseña protegerá la firma digital, deberá introducirlo cada vez que acceda a él. Después de ingresar los datos requeridos, haga clic en el botón "Aceptar". La herramienta de protección de información criptográfica (CIPF) "CryptoPro CSP" copiará el contenedor de la clave privada en la unidad flash USB.
Para copiar la clave pública de EDS, inicie el panel de configuración de Internet Explorer (“ Comenzar» – « Panel de control» – « Propiedades del navegador» (Figura 8)) y vaya a la pestaña « Contenido» (Figura 9).
Figura 8 - " Panel de control» – « Propiedades del navegador»
Figura 9 - " Propiedades del navegador» - « Contenido» - « Certificados»;
En la pestaña Contenidos, haga clic en el botón Certificados. En la ventana "Certificados", seleccione el certificado EDS asociado a la clave privada y haga clic en el botón "Exportar..." (Figura 10).
Figura 10 - Equipo "Certificados"
La ventana " Asistente de exportación de certificados» (Figura 11).
Figura 11 - Asistente de exportación de certificados
En la ventana Asistente para exportación de certificados que se abre, haga clic en " Más". En el siguiente paso, opte por no exportar la clave privada marcando la opción " No, no exportar la clave privada” (Figura 12) y haga clic en el botón “Siguiente”.
Figura 12 - Selección del tipo de claves para exportar
En el siguiente paso, seleccione el formato de archivo del certificado EDS seleccionando el botón de radio en el campo "Archivos X.509 (.CER) codificados por DER" y haga clic en " Más» (Figura 13).
Figura 13: selección del formato de archivo del certificado EDS
En la etapa final, especifique el nombre y la ubicación del archivo y haga clic en " Más". En el último paso del asistente, verifique las opciones seleccionadas y haga clic en " Listo» (Figuras 14 y 15).
Figura 14 - Especificación de la ruta de guardado y el nombre del certificado
Figura 15 - Guardar el certificado EDS
Los archivos obtenidos como resultado de las manipulaciones anteriores deben colocarse en una carpeta y copiarse en la nube a lo largo de la ruta " W:\EDS". Este la carpeta es accesible solo para el usuario principal.
El resultado debería ser algo como lo siguiente "Prueba W:\EDS\LLC" (Figura 16).
Figura 16 - EDS copiado a la nube.
La instalación es realizada por expertos. seguridad de información, trabajan de lunes a viernes de 9 a 18, hora de Moscú. La aplicación debe indicar el nombre de la carpeta en la que guardó el EDS.
Si sus claves se emiten utilizando VipNet CIPF, entonces no funcionarán en la granja de terminales (a través de Remote Desktop o RemoteApp). En este caso, el trabajo se puede hacer en una PC local usando un cliente ligero, más información sobre la instalación y el trabajo en .
Si la opción de trabajar en un cliente ligero no le conviene, entonces el EDS debe volver a emitirse a través de CryptoPro, para aprobar la solicitud de volver a emitir el certificado, debe comunicarse con su organización de servicio.
En el siglo pasado, muchas empresas comenzaron a cambiar masivamente a la gestión de documentos electrónicos. Todo el mundo tiene ordenadores con programas ofimáticos. Los documentos se mecanografiaban a menudo en Microsoft Word u otros editores de texto, exportados a PDF, enviados por correo electrónico.
Parecía que si el flujo de trabajo electrónico, pronto nos olvidaremos de los armarios con archivos de papel, no quedará ni una sola hoja de papel en los escritorios. Si de repente se envía un documento en papel a la organización por correo ordinario, el artefacto se escaneará y digitalizará de inmediato. En realidad, resultó todo lo contrario. Resultó que cuanto más usa una organización las computadoras para el flujo de trabajo digital, más documentos huellas dactilares. Después de todo, cada documento debe ser aprobado. Un documento sin firma es solo un borrador o una nota informativa. Para obtener una firma, los documentos se imprimen y, a menudo, se vuelven a escanear, conservando los originales en el archivo.
Ahora está claro lo que realmente electrónico El flujo de trabajo (sin papel) no se puede implementar sin firmas digitales.
Hoy en día las empresas B2B, B2C y organizaciones estatales pasar a la introducción de firmas digitales por sus innegables ventajas:
- Flujo de trabajo sin papel. Ahorro de tiempo, dinero y recursos.
- Procesos comerciales efectivos. Iniciando sesión en formato electrónico hace que cada transacción sea un proceso más fluido.
- Capacidades móviles. La comunicación dentro de la organización y con los clientes se vuelve más fácil.
Se están desarrollando gradualmente estándares uniformes para la gestión de documentos electrónicos y la infraestructura de firma digital. Por ejemplo, en los países de la UE, desde el 1 de julio de 2016, está en vigor el estándar eIDAS (servicios de identificación, autenticación y confianza electrónica) para servicios electronicos identificación, autenticación y confianza. En los EE. UU., se adoptó el estándar 21 CFR 11.
Los servicios de confianza más grandes del mundo para documentos electronicos- Lista de confianza de Adobe (AATL) y programa Microsoft Root Trust. Las CA incluidas en esta lista emiten identificadores digitales basados en certificados y servicios de sellos de tiempo que cumplen con las regulaciones globales, como el estándar eIDAS. Los formatos electrónicos ya son compatibles con los formatos de documentos de oficina más populares. firmas digitales. Se admite incluir la firma del documento por varias personas, con sellos de tiempo.
¿Qué es Digital Signing Service (servicio en la nube de firmas digitales)?
El Servicio de firma digital (DSS) es una plataforma escalable habilitada para API para implementar rápidamente firmas digitales que proporciona:Para su propio servicio DSS, necesita configurar algo más que un flujo de trabajo de firma y administración de usuarios. También se requieren certificados de firma para verificar la identidad del autor de cada documento. Esto incluye elementos criptográficos como la gestión de claves, un sistema de almacenamiento de claves FIPS de nivel 2 o superior (como tokens de hardware o HSM), un servicio OCSP o CRL y un servicio de marca de tiempo. La combinación de estos componentes, especialmente la integración con un módulo de seguridad de hardware (HSM) directamente, ya sea en la nube o en las instalaciones, requiere un esfuerzo importante por parte de los departamentos de TI y seguridad de la información, junto con un buen conocimiento de la criptografía y la disponibilidad de los necesarios. recursos.
Es importante tener en cuenta estos costes e inversiones ocultos, así como las limitaciones y los gastos generales, al evaluar las soluciones de firma digital.
Por separado, vale la pena mencionar que si el servicio DSS es fundamental para la organización, entonces debería funcionar con un alto nivel de tiempo de actividad y proporcionar un alto rendimiento. Es decir, debe diseñar su solución con cierta cantidad de redundancia, con un margen para el futuro. Y se debe suponer que el negocio se caracteriza por el crecimiento. La infraestructura debe ser escalable.
| Servicio de Firma Digital | Implementación Tradicional | |
|---|---|---|
| Integración con aplicaciones de firma de documentos | Mediante una sencilla API REST | Requiere experiencia criptográfica interna para configuración y soporte |
| Componentes de firma criptográfica (certificados, OCSP, CRL, sellos de tiempo) | Incluido en la API, no requiere conocimientos avanzados de criptografía ni recursos de desarrollo | Van por separado, requieren llamadas separadas de aplicaciones y recursos de desarrollo internos para configurar |
| Escalabilidad | Alta escalabilidad - no requerida configuración adicional o integración | Es posible que se requiera la compra y configuración de equipos adicionales |
| Alta disponibilidad y recuperación ante desastres | Entregado a través de la infraestructura GlobalSign verificada por WebTrust con centros de datos globales, redundancia y el mejor hardware de seguridad de red | Requiere inversión adicional en equipo |
| Gestión y almacenamiento de claves secretas | A través de la API REST, recursos internos o equipo que no se utiliza | El cliente es responsable de la administración y el almacenamiento de claves (por ejemplo, en la nube o en las instalaciones de HSM) |
| firma de identidades | Soporte para firmas de dos niveles: departamentos y empleados (por ejemplo, John Doe, contabilidad) | No todas las soluciones admiten ambos tipos de identidades |
El servicio en la nube simplifica enormemente la implementación de un sistema de gestión de documentos con soporte para firmas digitales. Todas las operaciones simplemente pasan por la API.
Los servicios en la nube difieren en precio y funcionalidad. Pero todos garantizan flexibilidad, escalabilidad y nivel alto accesibilidad. Si bien los servicios son de pago, liberan a las empresas de la necesidad de invertir en el desarrollo de sus propias soluciones, incluida la compra de costosos equipos criptográficos.
¿Quién podría necesitar un servicio de firma digital basado en la nube? En teoría, se trata de organizaciones de cualquier tamaño que desarrollan o ponen en funcionamiento aplicaciones especialmente desarrolladas y tienen la intención de integrar firmas digitales allí o utilizar una aplicación ya integrada.
- Proveedores de soluciones o aplicaciones de gestión documental que deseen integrar firmas o sellos digitales. Otra opción: ofrecerlos a los clientes como una opción premium como documento de protección garantizado contra la falsificación. Aquí se admite un modelo flexible: las firmas digitales se pueden agregar como una capa u opción adicional.
- Empresas que quieran integrar firmas o sellos digitales en su flujo de trabajo.
- Integradores de sistemas que implementan firmas digitales en sistemas de gestión de documentos existentes y nuevos.
