hogar / Pagando impuestos / Beneficios de la firma electrónica en la nube. Soluciones criptográficas
03.12.2019

Beneficios de la firma electrónica en la nube. Soluciones criptográficas

Iván Piskunov

La tendencia de los últimos años sugiere que muchos servicios están pasando de las instalaciones tradicionales de escritorio a la nube. no fue la excepción y firma electronica. Sin embargo, la comunidad de usuarios y expertos todavía percibe la migración de ES a las nubes como muy ambigua. Entre las ventajas indudables de las nuevas soluciones en la nube, la cuestión de proporcionar seguridad de información. Sin embargo, ni la tecnología ni la legislación se detienen y pronto podemos esperar una nueva ronda de desarrollo de la firma electrónica con la participación de la computación en la nube.

Firma electronica como base de legalmente significativo gestión de documentos electrónicos

Una firma electrónica (en adelante, ES) de conformidad con la Ley Federal No. 63-FZ del 06/04/2011 es un requisito obligatorio legalmente significativo de un documento electrónico. Además de esto, la ley también dice que el ES es un análogo absoluto de la firma manual real colocada en documento en papel. En vista de esto, es lógico y bastante razonable suponer que documento electrónico La facturación es una alternativa real al trabajo de oficina tradicional en general y, en particular, a los procesos individuales de celebración y confirmación de diversas transacciones, acuerdos, convenios, contratos, etc.

Según la ley federal mencionada anteriormente, ES, como elemento obligatorio del EDI, está diseñado para proporcionar tres tareas clave:

1. Proporcionar una identificación única del firmante.

documento;

2. Proporcionar protección contra cambios no autorizados al documento;

3. Asegurar la fuerza legal del documento electrónico.


La importancia jurídica del uso de firmas electrónicas está consagrada en una serie de leyes nacionales. documentos normativos. Aquí hay algunos enlaces clave:

  • Arte. 160, 434, 847 del Código Civil de la Federación de Rusia, que regulan uso práctico Firmas electrónicas en circulación de documentos.
  • · Ley Federal N° 63-FZ "Sobre Firma Electrónica" de 06/04/2011. La ley principal y marco que describe el significado general del uso de firmas electrónicas en transacciones. diferente naturaleza y prestación de servicios.
  • · Ley Federal N° 149-FZ “Sobre Información, Tecnologías de la Información y Protección de la Información de 27 de julio de 2006. Este documento especifica el concepto de documento electrónico y todos los segmentos relacionados.
  • · Ley Federal 402-FZ "Sobre Contabilidad" de 12.06.2011. El acto legislativo prevé la sistematización de los requisitos para la contabilidad y los documentos contables en en formato electrónico.
  • · Según el párrafo 3 del artículo 75 del Código de Procedimiento de Arbitraje de la Federación de Rusia, los documentos obtenidos utilizando la red de información y telecomunicaciones de Internet y firmados con firma electrónica se permiten como prueba escrita en disputas de arbitraje.

Todos los hechos y argumentos anteriores significan que, utilizando el ES, siempre podemos saber claramente quién y cuándo se firmó el documento, asegurarnos de que no se hayan realizado cambios en el documento después de la firma y, en caso de desacuerdo entre las partes y procedimientos contenciosos posteriores para garantizar el no repudio del hecho de la transacción (celebración de un contrato, etc.).

Actualmente, la legislación establece tres opciones para el uso de SE en el territorio Federación Rusa, Este:

  • · EP sencillo;
  • · ES no cualificados reforzados;
  • · EP cualificado reforzado.

¿En qué se diferencian y qué tipo de firma electrónica se puede y se debe utilizar para realizar transacciones financieras? A continuación los analizaremos. Y entonces, comencemos (ver Figura 1)

1. Firma electrónica sencilla

Una firma simple, o como suele denominarse enlace “login-contraseña”, es una firma electrónica que, mediante el uso de códigos, contraseñas u otros medios, confirma que una firma electrónica ha sido formada por una determinada persona.

Un ejemplo clásico es cuando ingresa el PIN de su tarjeta de crédito, diga la frase de contraseña (etiqueta de voz) en conversación telefónica con el call center del banco y similares: todo esto será tuyo Firma Electrónica Sencilla. En otras palabras, la única función de dicha firma es confirmación de autoría , identificación personal. EP simple proporciona un nivel básico de protección y autenticación. P.ej. Su firma se utiliza para obtener acceso a funciones. Portal único de servicios públicos. Una firma electrónica simple no se puede utilizar categóricamente al firmar documentos electrónicos o en el sistema de información estatal (SIG) que contienen secretos de estado.

2. El PE es reforzado NO CALIFICADO si se cumplen las siguientes condiciones:

  • obtenido como resultado de la transformación criptográfica de información mediante una clave de firma electrónica;
  • le permite identificar a la persona que firmó el documento electrónico;
  • le permite detectar el hecho de realizar cambios en un documento electrónico después del momento de su firma;
  • · se crea mediante medios de firma electrónica.

ES NO CALIFICADO reforzado permite determinar el autor del documento firmado y acreditar la inmutabilidad de la información contenida en el mismo. EN firma electrónica no cualificada Se establecen algoritmos criptográficos que brindan protección confiable de documentos de acuerdo con GOST ruso para el cifrado. Esta firma es muy adecuada para la gestión de documentos internos de una empresa, así como para el envío de documentos electrónicos de una empresa a otra. Firma electrónica no cualificada También es adecuado para participar en el comercio electrónico.

3. Y, finalmente, la tercera opción, cuando EP es calificado mejorado, si cumple todas las características anteriores de un ES no calificado y las dos características adicionales siguientes:

  • Para crear y verificar una firma electrónica se utilizan herramientas de firma electrónica que han recibido confirmación del cumplimiento de los requisitos establecidos de conformidad con esta Ley Federal.

Vale la pena señalarlo. Qué software requerido para trabajar con CEP debe estar certificado por el Servicio Federal de Seguridad. Por tanto, una firma electrónica cualificada otorga documentos. plena fuerza legal y cumple con todos los requisitos para la protección de la información confidencial. Las autoridades reguladoras, como el Servicio Federal de Impuestos, el Fondo de Pensiones de la Federación de Rusia, el FSS, reconocen la fuerza legal solo de aquellos documentos que están firmados con una firma electrónica calificada.

Figura 1. Tipos de firmas electrónicas

Firma electrónica en servicios en la nube

En los últimos años, las tendencias en la transición de operar su propia infraestructura de TI al uso de la computación en la nube se han arraigado firmemente en la industria de TI. Se trata, en primer lugar, de la sustitución de los sistemas informáticos tradicionales inicialmente desplegados en la base material y técnica de cada empresa hotelera por servicios bajo demanda, tk. SaaS, PaaS e IaaS. Según un estudio reciente "Servicios en la nube en el sector corporativo, Rusia 2017". Según las empresas SAP y Forrester, las tecnologías en la nube en Rusia crecerán más rápido que todo el mercado de TI en su conjunto: por lo tanto, a una tasa promedio anual del 21%, el mercado de la nube crecerá 3 veces en comparación con 2015. El informe afirma que las grandes empresas están actualmente lo más preparadas posible para utilizar los servicios en la nube: en este segmento, más del 90% de los encuestados conocen los servicios en la nube, en las pequeñas empresas, más del 70%. En las grandes empresas, el 54,5% de los encuestados utiliza simultáneamente servicios en la nube de dos o más categorías, en las medianas empresas, el 50%, en las pequeñas empresas, el 43%.

La situación actual con el uso de la nube ES en Rusia.

Más recientemente, en junio de 2017, se supo que el FSB, junto con Rostelecom, estaba creando una firma electrónica que "explotaría y revolucionaría el mercado". La idea es la misma, crear una firma electrónica que no requiera el uso de un token (portador en una unidad flash). Sobre esto habló Mikhail Bondarenko, director de gobierno electrónico de Rostelecom. "Tengo información de colegas de Lubyanka de que antes de fin de año debería lanzarse una determinada solución que permitirá crear firmas digitales confiables basadas en la nube", dijo, sin dar detalles, pero contrastando esta solución con las firmas electrónicas en tokens. que son comunes hoy en día. "En nuestra opinión, esto explotará y cambiará el mercado de autorización e identificación confiables". añadió. Pero hay un matiz, además del uso de "nubes", también está previsto utilizar biometría, es decir. características biométricas individuales de cada persona como parámetros para su autenticación única.

Según la misma fuente según Bondarenko - “ Se supone que Rostelecom se convertirá en el operador de esta plataforma y realizará un experimento piloto con los bancos durante dos años, tiempo durante el cual se les proporcionarán servicios de identificación biométrica de forma gratuita., señalando que en el piloto que ya ha comenzado participan una decena de bancos, entre ellos Sberbank, VTB y Gazprombank.

Al mismo tiempo, el operador tiene la intención de completar la creación de la plataforma a finales de 2017. Además, sólo a partir del 1 de enero de 2018 se modificarán 115 la ley federal permitiendo el uso de identificación biométrica en sector financiero- para abrir y cerrar cuentas, realizar y retirar depósitos, transferencias, etc. De ahí, según el alto directivo, la idea de crear un "banco nacional para la identificación y autorización" de los residentes rusos sobre la base del banco nacional Ya se está considerando una plataforma biométrica.

Comentarios de expertos:

“Según nuestras estimaciones, el número total de usuarios de firmas electrónicas en Rusia supera los dos millones. La tecnología de firma electrónica "en la nube", que apareció hace varios años, hace que esta herramienta sea más accesible para las empresas. Así lo confirman varias decenas de miles de clientes de SKB Kontur que han elegido a su favor.- dice el experto Kazakov.

Una firma electrónica "en la nube" tiene todas las propiedades de una normal, solo que no se almacena en una unidad flash o computadora, sino en Internet, en un servidor seguro especial, "en la nube".- dice Igor Chepkasov, fundador y presidente del Fondo Nacional de Desarrollo de Criptomonedas. - Allí también se realiza la firma y el cifrado del documento, por lo que dicha firma electrónica no requiere la instalación de ningún software especial en el ordenador. Chepkasov señala que una de las principales ventajas de la firma "en la nube" es la posibilidad de firmar documentos y enviarlos desde cualquier parte del mundo y desde cualquier dispositivo.

Anton Elikov (proyecto Merkat) señala que una firma electrónica "en la nube" es algo que muchos de nosotros usamos todos los días sin siquiera darnos cuenta. “El ejemplo más sorprendente es el mecanismo de autorización en los bancos móviles y de Internet, cuando, después de ingresar una contraseña, se le envía un código PIN único por SMS. Una autorización de dos niveles de este tipo ya puede ser, en esencia, una firma electrónica ".- dice el experto.

Igor Chepkasov habla sobre las posibilidades de utilizar ES en nuevos servicios, por ejemplo, basados ​​en la tecnología cadena de bloques es decir, contratos inteligentes. “La descentralización, el principio fundamental de la tecnología, proporciona protección absoluta contra el compromiso y el acceso no autorizado a cualquier documento y a la firma misma, ya que cada elemento del bloque (firma, documento, archivo, etc.) está ubicado en una fuerte cadena de bloques numerados. protegido por el código criptográfico más complejo", él dice. Así, según el experto, es imposible realizar cambios en el bloque ya puesto en circulación; Un contrato inteligente es un algoritmo electrónico que describe un conjunto de condiciones, cuyo cumplimiento implica ciertos eventos. “Su trabajo se basa en la creación y aplicación de los llamados protocolos de baja confianza, donde el algoritmo del protocolo utiliza solo software, y el factor humano está lo más excluido posible de la cadena de toma de decisiones: la persona aquí actúa exclusivamente como una de las partes involucradas en la ejecución del contrato. Por ejemplo, al enviar pagos, la ejecución del contrato es imposible sin recibir el número de firmas electrónicas especificadas en el contrato., señala.

Actualmente, los certificados de claves de verificación de firma electrónica (SKP) se emiten en medios especiales, dijo Mikhail Evraev, subdirector del Ministerio de Telecomunicaciones y Comunicaciones Masivas. Al mismo tiempo, el costo promedio de dicho SPC es de aproximadamente 5 mil rublos. "El sistema de firma electrónica en la nube permitirá crear una firma sin soporte material, lo que reducirá significativamente el costo de su uso y aumentará la seguridad de uso",- explicó el viceministro.

La situación también fue comentada por el Defensor del Pueblo de Internet, Dmitri Marinichev, quien está seguro de que se producirá una verdadera revolución en las tecnologías de firma digital, como ya ocurrió hace varios años con los dispositivos de almacenamiento de información. Por ejemplo, en los años 90 las películas se vendían en cintas VHS, en los años 2000 aparecieron en CD, luego en DVD y diez años después finalmente se distribuyen en unidades flash y en Internet.

Perspectivas del uso de ES en la nube para la industria bancaria

La firma electrónica fue concebida como un medio universal para confirmar la validez legal de las transacciones y, por ello, tiene una amplia gama de aplicaciones, desde el uso de un portal de servicios públicos hasta la gestión de documentos electrónicos entre organizaciones y autoridades reguladoras estatales. Para la industria bancaria, ES por parte de individuos y entidades legales Se utiliza con mayor frecuencia para realizar transacciones financieras a través de los servicios de RBS. Esto incluye el acceso en línea a Área personal a través de tecnologías web y banca móvil, es decir Gestión de cuentas a través de una aplicación socializada desde teléfonos inteligentes y tabletas.

Por ejemplo, EP para individuos en el banco federal más grande, Sberbank, hace posible que una organización bancaria reduzca la rotación de papel y aumente la velocidad del servicio al cliente. Es decir, durante la apertura de un depósito, en lugar de establecer una firma en 4 documentos diferentes, el visitante deberá marcar su PIN (contraseña de ES) 1 vez. Este tipo La tecnología podrá proporcionar una doble identificación del cliente mediante un pasaporte y una tarjeta con un código PIN que sólo el propietario podrá conocer. Esto también evitará posibles fraudes. Así, según datos internos de Sberbank correspondientes a 2014, doce meses después del lanzamiento de dicho servicio, los residentes de Moscú realizaron más de tres millones de operaciones utilizando firma electrónica.

El procedimiento para obtener la clave correspondiente de la firma electrónica del Banco de Rusia es bastante sencillo, es necesario realizar el registro en línea en el sitio web especializado "Sber Key". Así, el banco da derecho a firma electrónica a cualquiera de sus propietarios para participar en la subasta y colocarla en el lugar necesario. recursos electronicos declaraciones personales.

Otra opción ilustrativa para el uso masivo de Cloud ES puede estar disponible en el banco de Internet Sberbank Business Online, que se ha convertido en la herramienta oficial de Sberbank para firma electronica acuerdos multilaterales y bilaterales entre cualquier entidad jurídica y empresarios individuales (IP), el llamado EDI intercorporativo. Según explicó, gracias a este sistema, los costes laborales para procesar un documento se reducen de 2-3 minutos a 10-15 segundos. Además, al eliminar el papeleo, la empresa puede reducir significativamente el costo de papelería, alquiler de espacio de almacén, reposición Suministros para equipos de oficina, etc.

Problemas de seguridad de Cloud ES

A pesar de todas las ventajas tangibles del uso de ES en la nube, este concepto no ha encontrado un amplio apoyo entre los expertos en seguridad de la información. Por tanto, según algunos expertos, el uso de herramientas ES en un teléfono móvil supone una importante amenaza para la seguridad. No es necesario ser un experto para ver las deprimentes estadísticas del crecimiento en el número de malware móvil que intercepta mensajes SMS de los usuarios, se disfraza de aplicaciones oficiales de banca móvil y realiza otras acciones no autorizadas sin el conocimiento del usuario.

En vista de esto, sólo un entorno confiable (aislado) en el que el usuario y medios tecnicos en el momento de la interacción están protegidos de interferencias externas. Es difícil llamar a un teléfono móvil un entorno tan confiable: el usuario puede instalar cualquier aplicación a su discreción. La situación es peor, aunque sólo sea si el sistema operativo del dispositivo está rooteado. Sin embargo, hay una salida: como ya se describió anteriormente, es el uso de una tarjeta SIM especial integrada con el EP.

Al utilizar servicios bancarios remotos, los atacantes suelen llevar a cabo un ataque del tipo "hombre en el navegador", que es una implementación privada de un ataque "hombre en el medio", cuando, al reemplazar los detalles de un pago legal, se muestra al usuario los datos correctos, y enviando los suyos propios, falsificados, al banco. Con la nueva característica de seguridad, el truco de un atacante ya no funcionará: una vez recibidos los detalles, un subprograma especial en la tarjeta SIM los mostrará en la pantalla del teléfono y solicitará un código PIN. Tras comprobar visualmente la exactitud de los datos, el usuario introduce el código PIN de su firma electrónica para confirmarlo, los firma y luego los envía de vuelta a la puerta de enlace, que transmite la información al banco.

Serguéi Gruzdev, CEO Aladdin R.D., desarrollador de sistemas de protección criptográfica nacionales, destaca otra forma de utilizar esta tecnología: “Además de autenticar y firmar documentos, el sistema desarrollado se puede utilizar para notificar a un cliente bancario sobre transacciones con su cuenta, lo que ha adquirido especial relevancia a la luz de la entrada en vigor del artículo noveno. 163-FZ "Sobre el sistema de pagos nacional" . A diferencia de los más populares este momento método: información por SMS, en este caso se garantiza el secreto bancario (nadie puede leer las notificaciones, ni infectando el teléfono inteligente con un virus, ni siquiera reemplazando la estación base), y se excluye la sustitución de mensajes por intrusos.

Otro problema persiste, por ejemplo, en caso de pérdida y robo intencionado del teléfono y del código PIN guardado en las notas u otra memoria interna del teléfono. En este caso, el atacante podrá gastar todo el dinero al menos de la cuenta móvil del propietario y, por ejemplo, firmar documentos vinculantes para el suscriptor, por ejemplo, pagar compras a crédito en una de las tiendas en línea más populares. Sin embargo, estos riesgos se previenen con bastante seguridad, del mismo modo que con las tarjetas de pago y de crédito. El propietario de la cuenta (tarjeta) puede limitar el volumen diario y el contenido de las transacciones permitidas desde esta tarjeta SIM, así como utilizar la opción de desactivar su ES por un período temporal mientras no la utilice.

Este artículo es una continuación del artículo y cubre soluciones criptográficas:

  • firma en la nube
  • navegadores separados con criptografía rusa
  • clientes de correo separados con criptografía rusa
  • Criptografía rusa en marcos, plataformas, intérpretes.
  • aplicaciones criptográficas de escritorio
  • medios para formar un entorno de confianza

firma en la nube

El concepto de firma en la nube implica almacenar la clave privada y realizar el procedimiento de firma/cifrado de datos directamente en el servidor.
Para una aplicación segura firma en la nube es necesario resolver el problema de la autenticación sólida del cliente al acceder a su clave privada y el problema del almacenamiento seguro de la clave privada en el servidor. Un ejemplo de una solución de este tipo es CryptoPro DSS, que admite Rutoken WEB (autenticación segura de dos factores) como una de las opciones de autenticación y utiliza HSM para almacenar la clave privada.
Plataformas Cualquiera con navegador y acceso a Internet. El método de autenticación puede imponer restricciones
EDS, cifrado, función hash, protección contra imitaciones, HMAC, VKO
Integración con PKI
Mecanismos EDS Enviar el documento al servidor, firmar el documento en el servidor, devolver la firma
API WEB para integración en servicios de terceros
Interfaz SOAP para integración con servicios de terceros
Mecanismos de autenticación según el protocolo de autenticación WEB de Rutoken
por SMS
Contraseña de inicio de sesión
Formatos de mensajes seguros PKCS#7, CMS, XMLSec, CADES
Integración del navegador 100%
Plataformas móviles iOS, Android
Utilidad de línea de comando Comer
Bóvedas de claves HSM, base de datos segura
Es posible autenticarse en el servicio de firma en la nube mediante tokens (CryptoPRO DSS y Rutoken WEB)
Ejemplos (GOST) CriptoPro DSS
Firma "Nube" SKB Kontur
servicio sign.me

Problemas:

  • autenticación fuerte en el servicio
  • Garantías de protección de clave privada contra el acceso no autorizado.
  • reducción de seguridad del sistema -> limitación de aplicaciones
Ventajas:
  • multiplataforma, multinavegador
  • comodidad para el usuario final: no es necesario instalar ni configurar nada en absoluto
  • fácil integración en Sistemas de información(API WEB)

Navegadores separados con criptografía rusa.

Los navegadores basados ​​en proyectos de código abierto Mozilla FireFox y Chromium utilizan NSS u OpenSSL como criptokernel. OpenSSL admite algoritmos criptográficos rusos. Para NSS, también hay desarrollos que brindan soporte para algoritmos criptográficos rusos. Hace algún tiempo, aparecieron en el mercado navegadores con todas las funciones compatibles con la criptografía rusa.

Esta solución tiene un gran potencial, actualmente no reclamado, ya que permite crear clientes WEB estándar seguros para sistemas con altos requisitos de seguridad. Otra ventaja de este navegador es su "portabilidad". Dada la existencia de tokens USB seguros con memoria FLASH, se han creado soluciones seguras en las que las operaciones más críticas con la clave privada se realizan en la “placa” del token USB, y el propio navegador se almacena en su memoria FLASH protegido. de la modificación. Tal solución distinta de nivel alto La seguridad es muy cómoda de usar.

Basado en NSS

La imagen muestra la arquitectura de la solución implementada en el proyecto de extensión NSS aToken.
Especificación NSS utilizando tokens, software y hardware PKCS#11
Plataformas
Algoritmos y protocolos criptográficos
Integración con PKI X.509, PKCS#10, CMS, CRL
Mecanismos EDS
TLS-GOST
Formatos de mensajes seguros PKCS#7, CMS
Integración del navegador 100%
Plataformas móviles iOS, Android
Bóvedas de claves
Interacción con tokens USB
instalación
Ejemplos (GOST) Mozilla FireFox, Chromium de Lissy
Proyecto token de R-Alpha (Mozilla FireFox)
CryptoFox (token PKCS11 basado en CryptoPro CSP)

Problemas:

  • sólo una aplicación con criptografía rusa: el propio navegador
  • actualización del navegador
  • volver a capacitar al usuario para que utilice un navegador personalizado
  • certificación (sin precedentes)
Ventajas:
  • multiplataforma
  • transparencia de uso para el usuario
  • sin límites para los desarrolladores back-end
  • no requiere instalación, se ejecuta desde un token USB de memoria FLASH

Clientes de correo electrónico separados con criptografía rusa

Los clientes de correo individuales con criptografía rusa le permiten implementar la protección de la correspondencia mediante firma electrónica y cifrado de mensajes para un suscriptor / grupo de suscriptores (S / MIME). Esta solución es conveniente de utilizar en sistemas construidos según el principio "punto a punto", en los que la información se intercambia directamente entre suscriptores y el servidor se utiliza únicamente para el enrutamiento de mensajes.
Plataformas Familia Windows, GNU\Linux, OS X, iOS, Android
Algoritmos y protocolos criptográficos EDS, cifrado, función hash, protección contra imitaciones, HMAC, VKO, TLS
Integración con PKI X.509, PKCS#10, CMS, CRL
Mecanismos EDS Llamar a las funciones integradas del navegador desde JavaScript
TLS-GOST Integrado en la biblioteca y compatible con el navegador.
Formatos de mensajes seguros PKCS#7, CMS
Integración del navegador 100%
Plataformas móviles iOS, Android
Bóvedas de claves Almacenamiento en el navegador, tokens USB
Interacción con tokens USB Almacenamiento de claves y certificados
Uso de implementación de hardware de algoritmos.
instalación El instalador generalmente no requiere derechos de administrador del sistema.
portátil. Por ejemplo, iniciar un navegador desde la memoria FLASH de un token USB
Ejemplos (GOST) Mozilla ThunderBird de Lissy
DiPost del Factor TS

Criptografía rusa en marcos, plataformas, intérpretes.

Microsoft.NET

Extensiones de clase

La plataforma cuenta con un conjunto de clases criptográficas que proporcionan mecanismos de extensión mediante algoritmos de terceros. La solución más conocida en el mercado para ampliar la plataforma Microsoft.NET con criptoalgoritmos rusos es el producto CryptoPro. NET, que es un complemento para CryptoPro CSP.
La instalación de CryptoPro.NET le permite utilizar algoritmos criptográficos rusos, por ejemplo,
en servicios WEB basados ​​en ASP.NET, servicios SOAP, en aplicaciones de navegador cliente MS.Silverlight.
Plataformas Microsoft.NET 2.0 y posterior
Algoritmos y protocolos criptográficos EDS, cifrado, función hash, protección contra imitaciones, HMAC, VKO, TLS, SOAP
Integración con PKI X.509, PKCS#10, CMS, CRL
Mecanismos EDS Un conjunto de clases. Hay implementaciones totalmente "administradas". Existen implementaciones basadas en Crypto API 2.0 y CNG
Mecanismos de autenticación autenticación de cliente dentro de TLS
autenticación en servicios SOAP
Mecanismos de autenticación propios basados ​​en datos aleatorios de EDS.
TLS-GOST incrustar
Formatos de mensajes seguros PKCS#7, CMS, XMLSec, SOAP (estándar OASIS 200401), S/MIME
Integración del navegador EDS y cifrado mediante MS Silverlight
Bóvedas de claves Registro, tokens UBS
Interacción con tokens USB Almacenamiento de claves y certificados
Uso de implementación de hardware de algoritmos.
A través de Crypto API 2.0
Aplicaciones Microsoft Lync 2010, Microsoft Office Forms Server 2007 y Microsoft SharePoint 2010, Microsoft XPS Viewer
instalación Microsoft. NET se ha incluido con Windows desde Windows Vista. La compatibilidad con los algoritmos criptográficos rusos requiere la instalación de software adicional
Ejemplos (GOST) CriptoPro. NET (basado en CryptoPro CSP)

Bibliotecas separadas

BouncyCastle es una biblioteca de código abierto que implementa su propio sistema de clases criptográficas para la plataforma Microsoft.NET. La biblioteca admite tanto los algoritmos criptográficos básicos GOST 28147-89, GOST R 34.10-2001, GOST R 34.11-94 como los formatos criptográficos PKCS#7/CMS, PKCS#10, X.509, teniendo en cuenta las especificaciones descritas en el RFC. de los fabricantes rusos SKZI. Además, según los desarrolladores, la biblioteca admite el formato CADES con algoritmos criptográficos rusos.

Java

La Arquitectura de Criptografía Java le permite ampliar el conjunto de algoritmos criptográficos soportados en la plataforma. Dada la alta prevalencia de Java, muchos de los desarrolladores rusos de herramientas criptográficas ofrecen proveedores JCP certificados.

PCJ

Especificación Arquitectura de criptografía Java, Extensión de criptografía JavaTM, Extensión de socket seguro JavaTM
Plataformas Máquina virtual Sun Java 2
Algoritmos y protocolos criptográficos EDS, cifrado, función hash, protección contra imitaciones, HMAC, VKO, TLS
Integración con PKI X.509, PKCS#10, CMS, CRL, OCSP, TSP
Mecanismos EDS conjunto de clases
Mecanismos de autenticación autenticación de cliente dentro de TLS
TLS-GOST Proveedor TLS independiente implementado en Java según la especificación JavaTM Secure Socket Extension
Formatos de mensajes seguros PKCS#7, CMS, XMLSec (por ejemplo, a través de Apache XML Security API), S/MIME;
Integración del navegador Firma digital/cifrado a través de subprogramas de Java, descarga de subprogramas a través de Java TLS
Integración del servicio de directorio con un directorio LDAP arbitrario
Plataformas móviles Androide
Bóvedas de claves Registro, archivos, tokens UBS, tokens MicroSD
Interacción con tokens USB Almacenamiento de claves y certificados
Utilizando la implementación hardware de criptoalgoritmos a través de PKCS # 11 (en los productos Java LCPKCS11 de Lissy y en el proveedor de Java para Rutoken EDS de Active)
instalación Se requieren derechos de instalador y administrador del sistema
Ejemplos (GOST) CryptoPro JCP, CryptoPro JTLS
Señal-COM JCP, Señal-COM Java TLS
LCJCE, LCJSSE, LCPKCS11
Proveedor de Java para Rutoken EDS
Confía en Java

subprogramas de Java

Una de las opciones para utilizar CIPF en un navegador es su integración en subprogramas de Java.
En algunos casos, las bibliotecas CIPF y criptográficas no requieren instalación y son una biblioteca nativa. En este caso, es posible integrarlo directamente "dentro" del subprograma y llamar a las funciones CIPF a través del mecanismo JNI. Con este esquema, la biblioteca se instalará en el perfil del usuario cuando el subprograma de Java se cargue en el navegador por primera vez y no se requiere su instalación por separado.
Otra opción es escribir un subprograma de Java que llame al CIPF preinstalado en el sistema (CSP, JCP, etc.)
En el artículo se describe un ejemplo más detallado de dicha implementación, basada en el uso de Rutoken EDS y OpenSSL.

Ejemplos:

  • Subprograma ETP "Stroytorgy" (implementado de acuerdo con la arquitectura que se muestra en el diagrama)
  • Sistema de banca remota Beefit

PHP

PHP es uno de los lenguajes de desarrollo web más utilizados. El subsistema criptográfico PHP está construido sobre la base de OpenSSL, que admite algoritmos criptográficos rusos. Pero al mismo tiempo, PHP no admite criptoalgoritmos rusos. Alguno Fabricantes rusos CIPF comenzó a crear un parche para PHP que permitiría el uso de criptografía rusa, pero este trabajo no se completó.
La compatibilidad binaria de CIPF como MagPro CryptoPacket con OpenSSL permitiría dar legitimidad a esta solución.
Actualmente, muchos desarrolladores de sistemas de información basados ​​en PHP utilizan la llamada directa a la utilidad de línea de comandos OpenSSL para realizar operaciones criptográficas utilizando algoritmos rusos.

La exótica solución se implementó como parte del proyecto Rutoken WEB. En el componente de servidor de la solución, la verificación de firma GOST R 34.10-2001 se implementa directamente en PHP utilizando primitivas matemáticas de la biblioteca nativa.

perla

Otro ejemplo exótico es la implementación del cifrado según GOST 28147-89 directamente en Perl http://search.cpan.org/~ams/Crypt-GOST-1.00/GOST.pm.
Al mismo tiempo, en proyectos reales de Perl, los desarrolladores suelen utilizar llamadas a utilidades de línea de comandos desde OpenSSL o alguna herramienta de protección de información criptográfica compatible con Linux.

rubí

Ruby utiliza openssl como criptokernel, lo que permitió al autor de este artículo parchearlo para que admita la criptografía rusa.

javascript

Hace algún tiempo apareció un artículo sobre Habré, cuyo autor implementó muchos formatos criptográficos directamente en JavaScript.
Al mismo tiempo, se utilizan algoritmos criptográficos del núcleo unificado de WebCrypto, que ya es compatible con la mayoría de los navegadores modernos.

Problemas:

  • Sin GOST
  • La clave privada está en el "almacenamiento del navegador", no en un medio transferible.
  • ¿Cómo conectar dispositivos compatibles con PKCS#11?

Ventajas:

  • solución multiplataforma y multinavegador
  • firma en el cliente
  • Soporte PKI
  • no se requiere ninguna instalación en el cliente

Aplicaciones criptográficas de escritorio

Una clase de aplicaciones que proporcionan una interfaz de usuario con ventana completa para realizar operaciones criptográficas del lado del cliente. Como regla general, se utiliza algo de CIPF como criptonúcleo.

Operaciones:

  • firma de archivo
  • verificación de firma de archivos, incluida la creación de cadenas y la verificación de listas de revocación, OCSP, verificación de marca de tiempo
  • cifrado de archivos, incluso para varios encuestados
  • descifrado de archivos
  • búsqueda y selección de un certificado de usuario
  • Ver Certificado
  • mantener una base de datos de certificados de encuestados, integración con el servicio de directorio (usando el protocolo LDAP) para buscar un certificado de encuestados
  • generación de par de claves, generación de solicitud de certificado
  • eliminar un par de claves
  • importación/exportación de certificados (raíz, usuario, respondedores)
  • eliminar un certificado

Ejemplos:

  • CriptoARM
  • CriptoNUC
  • Archivo PRO, Administrador PKI
  • EDS de host de bloque
  • fabricante de la muestra
  • Archivo criptográfico ViPNet

Herramientas para construir un entorno confiable

El problema de formar un entorno confiable para realizar operaciones criptográficas, en particular EDS, es un gran tema aparte. Este artículo no planea considerarlo en detalle, pero me gustaría señalar que conceptualmente, los desarrolladores siguen los siguientes caminos:
  • un dispositivo separado en el que se visualizan los datos destinados a la firma y la firma en sí se realiza después de la confirmación del usuario (pantalla de confianza)
  • instalación de un complejo de herramientas de protección de la información (MDZ, antivirus, etc.) en la computadora y el sistema operativo del cliente para minimizar la posibilidad de infección de la computadora con malware
  • arrancar un sistema operativo de confianza independiente en modo USB-live
  • operación paralela del sistema operativo del cliente y el entorno confiable en diferentes núcleos de una computadora

Me gustaría detenerme en el último método para formar un DS con más detalle.

La compañía Security Code ha propuesto un producto interesante, Jinn, que le permite emular un entorno confiable tanto en una computadora de múltiples núcleos como en una de un solo núcleo. Idea principal esta decisión es que el entorno confiable se ejecuta en núcleos lógicos que no ejecutan el sistema operativo del cliente. En el caso de una computadora de un solo núcleo, las soluciones actuales permiten emular un dispositivo informático físico separado que no es visible para el sistema operativo (o, mejor dicho, el acceso a él desde el sistema operativo es muy difícil).

En el caso de una computadora de múltiples núcleos, el entorno confiable opera en 2 núcleos y el sistema operativo del cliente opera en los núcleos restantes. El entorno confiable se carga antes de cargar el sistema operativo del cliente, ya sea desde una unidad flash o desde la cerradura electrónica Sobol. La solución garantiza que el sistema operativo del cliente (y, por tanto, el posible malware) no controle el comportamiento del entorno de confianza.
De hecho, en la solución, dos sistemas operativos están separados por diferentes núcleos de una computadora y se configura un canal de transferencia de datos entre ellos. Al mismo tiempo, uno de los sistemas operativos (entorno de confianza) está diseñado de tal manera que las opciones de infección se minimizan y su funcionalidad tiene como único propósito la visualización y escritura segura de datos.

Para acceder al entorno confiable desde el sistema operativo del cliente, se utiliza una biblioteca especial (objeto COM). Al firmar un pago a través de esta biblioteca, Jinn intercepta el control del adaptador de gráficos y realiza el pago en él. Si la información proporcionada es correcta, luego de la confirmación del usuario, Jinn firma la orden de pago y devuelve el control al sistema operativo del cliente.

22 de julio de 2014 08:50

Las tecnologías en la nube continúan transformando industria tras industria, apareciendo donde su aparición parecería menos lógica. El proceso recuerda en gran medida el nacimiento y la marcha triunfal de las computadoras en un paisaje diverso. actividad humana. Hoy en día, pocas personas piensan en cómo las computadoras han cambiado la producción de periódicos y revistas, la producción, Agricultura y especialmente el negocio en todas sus manifestaciones. Ahora todo alrededor de la nube está cambiando de la misma manera y algunas áreas ya están en el segundo círculo. Por ejemplo, contabilidad.

En 1994, la Dirección General de Seguridad de FAPSI desarrolló el primer estándar de firma electrónica en Rusia, pero el país todavía atravesaba una época muy convulsa, por lo que realmente empezaron a hablar de firma electrónica solo 8 años después, en 2002, cuando apareció un nuevo estándar. Se aprobó la protección criptográfica de ES, lo que en realidad iguala concepto ruso"firma electrónica" e internacional - "firma digital". Entonces, la historia de esta tecnología en nuestro país, aunque ya tiene veinte años, en realidad no se utiliza más de diez.

yo b oh Durante la mayor parte de esta década, la tecnología funcionó así. En las computadoras de la organización (generalmente solo en el departamento de contabilidad), se instaló un software especial para trabajar con ES y la unidad USB contenía claves personalizadas almacenadas en una sola copia. Debo decir que la seguridad en este caso fue casi completa. Sin tomar posesión de la misma "unidad flash" con las llaves (una ficha), era imposible firmar documentos en nombre de la organización. ¡Pero también hubo desventajas! El token puede ser robado, perdido o destruido físicamente, y luego tendrá que volver a pasar por el procedimiento de autorización en el centro de certificación. ¿Y si necesitas firmar documentos urgentes? En una palabra, las tecnologías en la nube ya estaban a punto de cambiar para siempre la próxima industria, y hoy el sector de la gestión de documentos electrónicos puede convertirse en la locomotora de su desarrollo.

Le pedimos a la especialista del sector Anastasia Shchepina, analista de la empresa, que nos hablara sobre los beneficios de implementar el EDI. Sinerdocs, quien cree que la renuencia de las empresas a pasar del papel a los documentos electrónicos, de una firma electrónica en un soporte a una firma electrónica basada en la nube, en la mayoría de los casos está asociada a miedos y hábitos:

“Hay que disipar los miedos, sustituir los procesos establecidos por otros nuevos y más eficientes y desarrollar nuevos hábitos que permitan trabajar y obtener beneficios más rápidamente. La preocupación suele estar asociada a la desconfianza hacia los servidores que almacenan las claves privadas de las firmas electrónicas. De hecho, los servidores donde se almacenan las claves están protegidos de forma segura. Creo que esto es incluso más confiable que llevar consigo una ficha o una tarjeta flash. Por supuesto, esto es una cuestión de confianza, pero ahora las tecnologías en la nube apenas se están desarrollando y los centros de certificación se lo están tomando en serio.

Ahora sobre los hábitos. Ya se han escrito muchos artículos sobre las ventajas de la gestión de documentos electrónicos, aquí no hay ningún secreto. La firma electrónica basada en la nube añade ventajas: permite reducir el coste de adquisición de firmas electrónicas, permite firmar documentos en cualquier momento y en cualquier lugar donde exista conexión a Internet. Como resultado, resulta que los competidores de una empresa conservadora, que están abiertos a las nuevas tecnologías, hacen que su negocio sea más eficiente y obtienen ventaja competitiva. Esto puede obligar a la empresa a empezar a pasar primero a la gestión de documentos electrónicos utilizando una firma electrónica en un soporte y, más tarde, posiblemente, a firmas electrónicas basadas en la nube”.

¿Cómo se ve la tecnología ES habitual en la nube? La autoridad certificadora crea tu firma electrónica y la almacena en su propia nube. En este caso no se necesitan tokens: la autorización se realiza mediante SMS, a través del enlace teléfono móvil. La firma en sí está ubicada en la nube, por lo que puedes firmar facturas y otros documentos desde cualquier dispositivo con acceso a Internet: desde un ordenador de oficina, desde un portátil personal, desde una tableta o incluso un smartphone. Este enfoque tiene ventajas obvias. Según Anastasia Shchepina, analista de Synerdocs, la firma electrónica basada en la nube tiene dos ventajas principales.

1. Su costo es menor. Comprar una firma electrónica basada en la nube requiere menos costos que comprar en el modo habitual. Esto se debe a que para trabajar con esta firma no es necesario adquirir un medio y un medio de protección de información criptográfica (en adelante, CIPF). En el caso de una firma digital basada en la nube, el CIPF se encuentra únicamente en el servidor donde se almacena la clave privada. Todo ello se formaliza mediante los correspondientes acuerdos y poderes.

2. Movilidad. Ahora Internet está disponible en casi todas partes, lo que significa que puede firmar documentos con una firma electrónica basada en la nube desde cualquier tableta, teléfono inteligente o dispositivo que admita acceso a Internet. Ni el papel ni la firma electrónica en un soporte ofrecen esa oportunidad. Por supuesto, CIPF para dispositivos móviles se está desarrollando ahora, pero es más fácil trabajar sin CIPF en su dispositivo. Además, llave privada No será necesario que usted instale personalmente Cloud ES ni que le pague a un empleado de CA que configurará todo. No será necesario capacitar a los usuarios para trabajar con certificados CIPF y ES.

Pero al tener una masa cualidades positivas, la firma en la nube también tiene aspectos negativos. A pesar de que en 2013 ya se emitieron más de 100.000 ES en la nube a través de servicios de contabilidad populares, el uso generalizado de firmas aún está en duda. Anastasia Shchepina cree que la empresa aún no se ha decidido por completo sobre el componente técnico del uso de Cloud ES:

Si hablamos de ES basado en la nube en el flujo de trabajo, aún no está claro cómo funcionará con varios servicios EDI. Probablemente con gran dificultad. La clave privada se almacena en el servidor de CA, el servicio EDI necesita realizar una solicitud allí para generar una firma electrónica. Por el momento, no todos los servicios se integrarán fácilmente con el software de la CA; deberá tener esto en cuenta al cambiar a una firma en la nube. Es posible que tengas que comprar una firma separada para cada servicio.

El segundo inconveniente proviene más bien del área conceptual. La esencia de una firma electrónica implica la sustitución de una manuscrita: es decir, usted personalmente, con mis propias manos firmar el documento con la parte privada de la clave. Debería ser tuyo y sólo tuyo. En la versión en la nube, la clave privada no está en sus manos, sino en algún lugar, en el servidor de CA. Es decir, de hecho, no firma con sus propias manos, sino a través de un intermediario. Por supuesto, todo esto quedará documentado y los propios servidores estarán protegidos de forma segura, pero no en todas las organizaciones el servicio de seguridad lo aprobará. Si es importante para usted que los propios propietarios de las claves privadas firmen los documentos, entonces la firma electrónica basada en la nube no le conviene.

En general, las perspectivas para la ES en la nube y la gestión de documentos electrónicos en nuestro país son alentadoras. La Duma del Estado ya aprobó el plan de desarrollo. gobierno electrónico hasta 2018, que incluye una serie de medidas para fomentar el negocio. Por ejemplo, "una disminución en el número promedio de solicitudes de representantes de la comunidad empresarial a una autoridad estatal para recibir un servicio público". Y aunque la tesis no parezca muy convincente, ya que se prevé reducir el número de solicitudes a sólo dos, esto ya es un avance que nos lleva al escenario europeo. Es decir, una situación en la que será posible abrir una empresa, pagar impuestos y firmar cualquier documento en Internet y, a menudo, desde un teléfono inteligente.

En el sentido tradicional de firma electrónica (ES), familiar para la gran mayoría de usuarios, la clave de esta firma la almacena su propietario. La mayoría de las veces, algunos protegidos. portador de llaves en forma de token USB o tarjeta inteligente que el usuario puede llevar consigo. Este portador de llaves está cuidadosamente protegido por el propietario de personas no autorizadas, ya que la caída de la llave en las manos equivocadas significa su compromiso. Para utilizar la clave, se instala un software especializado (CIPF) en el dispositivo del propietario, diseñado para calcular el ES.

Por otro lado, en el mundo de las tecnologías de la información se utiliza cada vez más el concepto de "computación en la nube", que en muchos sentidos tiene muchas ventajas en comparación con el uso de aplicaciones tradicionales instaladas en la computadora del usuario. Como resultado, existe un deseo completamente natural de aprovechar estas ventajas de las tecnologías en la nube para crear "ES en la nube".

Pero antes de solucionar este problema es necesario definir qué entendemos por “firma electrónica en la nube”. Actualmente, en diferentes fuentes se pueden encontrar diferentes interpretaciones de este concepto, muchas veces aptas sólo para explicar con los dedos a una persona "de la calle" que acudió al Centro de Certificación para "comprar una firma electrónica".

Qué es una firma electrónica cualificada en la nube

Para los fines de este artículo, así como para otros discursos prácticos y de divulgación científica sobre la firma electrónica en la nube, se propone utilizar la siguiente definición.

Una firma electrónica en la nube (firma electrónica en la nube) es un sistema informático que brinda acceso a través de la red a las posibilidades de crear, verificar ES e integrar estas funciones en los procesos comerciales de otros sistemas.

De acuerdo con esta definición, también se puede utilizar una herramienta ES local para una firma electrónica basada en la nube. Por ejemplo, utilizando el usuario a través de un navegador web puede firmar un documento electrónico utilizando la herramienta ES instalada en su dispositivo terminal ( Computadora personal o tableta). En dicho sistema, la clave de firma permanece en manos del propietario y los problemas de seguridad se resuelven utilizando un conjunto estándar de herramientas conocido en el mundo como "ES tradicional". Puedes llamarlo si quieres. nube ES con herramienta ES local.

Otra versión de la nube ES se obtiene con utilizando una herramienta ES alojada en la nube. Para facilitar una presentación adicional, llamemos a tal esquemacompletamente basado en la nubepara distinguirlo del anterior. Este esquema provoca regularmente acalorados debates entre los especialistas, ya que implica la transferencia de la clave de firma "a la nube". Este artículo tiene como objetivo aclarar una serie de cuestiones relacionadas con la seguridad de un ES completamente basado en la nube.

Empecemos por lo principal.

El principal dolor de cabeza al transferir cualquier sistema de TI "a la nube" es el dolor de los "oficiales de seguridad" (y los abogados que los ayudan) asociado con la transferencia de información "allí" para su procesamiento o almacenamiento. Si antes esta información no salía de un perímetro protegido y era relativamente fácil garantizar su confidencialidad, entonces en la nube falta el concepto mismo de perímetro. Al mismo tiempo, la responsabilidad de garantizar la confidencialidad de la información está, en cierto sentido, “difuminada” entre su propietario y el proveedor de servicios en la nube.

Lo mismo ocurre con la clave ES transmitida a la nube. Además, la clave ES no es sólo información confidencial. La clave debe estar disponible únicamente para una persona: su propietario. Por tanto, la confianza en una firma en la nube está determinada no sólo por la responsabilidad personal del usuario, sino también por la seguridad del almacenamiento y uso de la clave en el servidor y la fiabilidad de los mecanismos de autenticación.

Actualmente se están realizando pruebas de certificación de nuestra solución. Este es un servidor ES en la nube que almacena claves y certificados de usuario y les proporciona acceso autenticado para generar una firma electrónica. En particular, los dos aspectos mencionados anteriormente de la seguridad de ES basados ​​en la nube son objeto de investigación realizada durante las pruebas de CryptoPro DSS. Al mismo tiempo, cabe señalar que una parte importante de estas cuestiones ya han sido consideradas en el marco de estudios de casos. , en el que se basa CryptoPro DSS.

En nuestro país, los aspectos organizativos y legales del uso de Cloud ES aún están poco desarrollados, por lo que en este artículo consideraremos CryptoPro DSS desde el punto de vista de los requisitos para el servidor de firmas desarrollado por el Comité Europeo de Normalización (CEN).

camino europeo

octubre 2013 El Comité Europeo de Normalización (CEN) aprobó la especificación técnica CEN/TS 419241 "Requisitos de seguridad para sistemas confiables que admiten la firma de servidores". Este documento Se dan requisitos y recomendaciones para un servidor de firma electrónica diseñado para crear, entre otras cosas, firmas cualificadas.

Me gustaría señalar que incluso ahora CryptoPro DSS cumple plenamente con los requisitos de esta especificación en la versión más estricta: los requisitos de Nivel 2 para la formación de una firma electrónica cualificada (según los términos de la legislación europea).

Uno de los principales requisitos de la Capa 2 es admitir opciones de autenticación sólidas. En estos casos, el usuario se autentica directamente en el servidor de firma, en lugar de que una aplicación que accede al servidor de firma en su propio nombre le permita la autenticación de Nivel 1. Todos los métodos de autenticación admitidos por CryptoPro DSS satisfacen este requisito Nivel 2

De acuerdo con esta especificación, las claves de firma del usuario para la formación de un ES calificado deben almacenarse en la memoria de un dispositivo seguro especializado (token criptográfico, HSM). En el caso de CryptoPro DSS, dicho dispositivo es el módulo de software y hardware criptográfico CryptoPro HSM, certificado por el FSB de Rusia en el nivel KB2 como herramienta ES.

La autenticación del usuario en el servidor de firma digital para cumplir con los requisitos del Nivel 2 debe ser al menos de dos factores. CryptoPro DSS admite una amplia gama de métodos de autenticación constantemente actualizados, incluidos los de dos factores. Además de los tokens criptográficos habituales, también se puede utilizar como herramienta de autenticación una aplicación especializada para teléfonos inteligentes, como los generadores de contraseñas de un solo uso (tokens OTP). El documento del CEN también menciona estos métodos.

Otro método prometedor de autenticación de Capa 2 podría ser el uso de una aplicación criptográfica en la tarjeta SIM del teléfono. En nuestra opinion, esta opción El uso de tarjetas SIM con criptografía es más realista, ya que la construcción de una herramienta de protección de información criptográfica funcionalmente completa (o herramienta ES) de acuerdo con los nuevos requisitos del FSB basada únicamente en una tarjeta SIM es casi imposible.

Consideró ficha de datos También permite el uso de un servidor de firma electrónica para generar firmas para un determinado conjunto de documentos a la vez. Esta oportunidad Puede resultar útil al firmar una gran variedad de documentos homogéneos que difieren sólo en los datos de unos pocos campos. En este caso, la autenticación del usuario se realiza una vez para todo el paquete de documentos. El soporte para este caso de uso también está disponible en CryptoPro DSS.

El documento CEN también contiene una serie de requisitos para la formación, procesamiento, uso y eliminación del material de claves de usuario, así como para las propiedades del sistema de claves interno del servidor de firma electrónica y para la auditoría. Estos requisitos están total e incluso "con un margen" cubiertos por los requisitos para las herramientas ES de clase KB2, según los cuales está certificado el CryptoPro HSM PACM, responsable de estos problemas.

Nuestro futuro

La solución CryptoPro DSS admite una amplia gama de métodos de autenticación, entre los cuales es posible elegir el adecuado para cada tarea. La fiabilidad del más seguro cumple con los criterios más estrictos de los requisitos europeos CEN / TS 419241 y, como esperamos, en un futuro próximo será confirmada por un certificado de conformidad del FSB de Rusia.

Alexey Goldberg,

subdirector técnico

LLC "CRYPTO-PRO"


Stanislav Smyshlyaev, Doctor,

jefe del departamento de seguridad de la información

LLC "CRYPTO-PRO"

Pavel Smirnov, Doctor.,

Subjefe del Departamento de Desarrollo

LLC "CRYPTO-PRO"

Como sabes, la tarea de una firma electrónica es simplificar el flujo de trabajo. Según la ley de 2011 "Sobre firma electrónica", un documento digital firmado por un ES equivale a un documento en papel con un autógrafo hecho a mano.

"Una firma electrónica en la "nube" tiene todas las propiedades de una normal, sólo que no se almacena en una unidad flash o en una computadora, sino en Internet, en un servidor seguro especial, "en la nube", dice Igor Chepkasov, fundador y presidente del Fondo Nacional de Desarrollo de Criptomonedas. Allí también se realiza la firma y el cifrado del documento, por lo que dicha firma electrónica no requiere la instalación de ningún software especial en el ordenador. El experto señala que una de las ventajas de la firma "en la nube" es la posibilidad de firmar documentos (incluidos informes) y enviarlos desde cualquier parte del mundo y desde cualquier dispositivo.

Anton Elikov (proyecto Merkat) señala que una firma electrónica "en la nube" es algo que muchos de nosotros usamos todos los días sin siquiera darnos cuenta. “El ejemplo más sorprendente es el mecanismo de autorización en los bancos móviles y de Internet, cuando, después de ingresar una contraseña, se le envía un código PIN único por SMS. Una autorización de dos niveles de este tipo ya puede ser, en esencia, una firma electrónica”, afirma el experto.

¿Por qué necesitas el correo electrónico? Sergey Kazakov, experto en el campo de la seguridad de la información de SKB Kontur, recuerda que con la ayuda de firmas electrónicas, las empresas presentan informes a las autoridades fiscales y otras autoridades reguladoras y realizan la gestión de documentos electrónicos. Firma digital también ampliamente utilizado en el campo la contratación pública. “Según nuestras estimaciones, el número total de usuarios de firmas electrónicas en Rusia supera los dos millones”, señala el experto. “La tecnología de firma electrónica “en la nube”, que apareció hace varios años, hace que esta herramienta sea más accesible para las empresas. Esto lo confirman decenas de miles de clientes de SKB Kontur que han elegido a su favor”, afirma Kazakov.

nota

Mientras los expertos hablan de la difusión de ES "en la nube", hay un problema: los problemas de su aplicación no se detallan en regulaciones.

Como señala Aleksey Dashkov, jefe de seguridad de la información de System Software, un ES realiza la misma función que una firma estampada. “Asegura la autenticidad del documento y consta de una clave pública y privada. El documento se firma mediante una clave privada, que normalmente se almacena en un medio especial: un token. Se puede comprar un servicio de varias empresas que prestan dichos servicios, no se exigen requisitos especiales, excepto la disponibilidad de un conjunto estándar de documentos constitutivos”, afirma.

“La firma electrónica “en la nube” es una firma electrónica normal, pero con una diferencia: la clave privada se almacena en los servidores del centro de certificación y allí se realiza la firma de los documentos. La identidad del firmante generalmente se verifica enviando un SMS con un código al teléfono móvil”, explica Dashkov.

Precio de emisión

Igor Chepkasov dijo que el coste de un EP depende de su funcionalidad y alcance y oscila entre 1.000 y 15.000 rublos. “Al menos yo personalmente cumplí esos precios cuando necesitaba un EP para trabajar. En algunas empresas que conozco, una firma electrónica "en la nube" cuesta 3.000 rublos”, comparte el experto.

El coste de una firma "en la nube" varía según las distintas empresas operativas. Puede encontrar una oferta por 900 rublos al año. Sin embargo, no crea incondicionalmente en las promesas publicitarias. Le recomendamos que se familiarice en detalle con la lista de precios de la firma "en la nube" y averigüe qué está incluido en el precio, y solo después de eso tome una decisión sobre su compra.

“El coste de una firma electrónica “en la nube” suele estar incluido en la tarifa del servicio que contrata el cliente. El único servicio de SKB Kontur que lo vende por separado es el sistema de gestión de documentos electrónicos Diadok. En él son 900 rublos. Al mismo tiempo, un certificado normal de un operador con licencia para una herramienta de protección de información criptográfica (CIPF) costará 3.000 rublos ”, dice Sergey Kazakov.

¿Como funciona?

La tecnología se basa en un servidor de firma electrónica especializado ubicado "en la nube". “Si el usuario necesita, por ejemplo, enviar un informe a oficina de impuestos, su sistema contable interactúa con el servidor de firma electrónica y le envía un documento para firmar. El servidor de firma electrónica está obligado a solicitar permiso al usuario; esto se puede hacer enviando el código de confirmación de la transacción a su teléfono móvil, como en el banco de Internet ", dice Sergey Kazakov. Al ingresar el código de confirmación en el sistema contable, el usuario autoriza el acceso a la clave ES y se crea una firma para el documento. “Todas las claves de firma electrónica se almacenan cifradas en un dispositivo especializado que cumple con los requisitos de seguridad más estrictos. El operador del servidor de firma electrónica debe tomar todas las medidas necesarias para minimizar el riesgo de acceso no autorizado a las claves”, afirma Kazakov.

Para utilizar una firma electrónica "clásica", es necesario adquirir un token y un software especializado: un proveedor criptográfico. “Este es un gasto importante, especialmente para los emprendedores que se inician. Luego, este software debe instalarse y configurarse, y si va a utilizar la firma en varias estaciones de trabajo, para cada lugar por separado. Una firma electrónica "en la nube" no requiere la compra de software ni una configuración previa, no se puede perder ni olvidar", dice Kazakov. A diferencia de las tecnologías tradicionales, la firma "en la nube" está disponible para los usuarios en cualquier Sistema operativo y plataforma, incluso en dispositivos móviles.

Alexey Dashkov señala que los ES "en la nube" son populares entre pequeñas empresas o empresarios individuales utilizando activamente servicios “como la contabilidad en línea y la gestión de documentos en línea”. EN grandes organizaciones Para quienes no utilizan "nubes", el uso de dicha firma, según él, puede resultar más caro y más complicado que el uso de un ES convencional.

¿Cuáles son las perspectivas?

Según Anton Elikov, toda la industria del transporte en Rusia está esperando que se generalice el uso de firmas electrónicas "en la nube". “Basta imaginar una situación en la que un conductor expedidor se embarca en un vuelo no con un fajo de papeles, sino con una tableta. ¡Y justo en el lugar de envío, firma una carta de porte con el cliente! Pero la firma electrónica "en la nube" podría aportar el beneficio principal en el caso de que el documento de entrega difiera del volumen realmente enviado de productos (reclasificación, rotura durante el transporte)”, señala. Según Elikov, en la práctica estos casos ocurren a veces hasta en un 40 por ciento. “Y todos estos documentos ahora se envían en un largo viaje de interacción entre los departamentos de contabilidad por parte del proveedor y del comprador. Aunque la cuestión de las discrepancias podría resolverse directamente en el lugar de envío, y el hecho del cambio se confirmaría mediante una firma "en la nube", concluye el experto.

Igor Chepkasov afirma que actualmente ya existen desarrollos completamente nuevos que utilizan la tecnología Blockchain, concretamente los contratos inteligentes. “La descentralización, el principio fundamental de la tecnología, proporciona protección absoluta contra el compromiso y el acceso no autorizado a cualquier documento y a la firma misma, ya que cada elemento del bloque (firma, documento, archivo, etc.) está ubicado en una fuerte cadena de bloques numerados. protegido por el código criptográfico más complejo”, afirma. Según Chepkasov, es imposible modificar un bloque ya puesto en circulación; Un contrato inteligente es un algoritmo electrónico que describe un conjunto de condiciones, cuyo cumplimiento implica ciertos eventos. “Su trabajo se basa en la creación y aplicación de los llamados protocolos de baja confianza, donde el algoritmo del protocolo utiliza únicamente herramientas de software y el factor humano está lo más excluido posible de la cadena de toma de decisiones; aquí una persona actúa exclusivamente in ro y una de las partes involucradas en la ejecución del contrato. Por ejemplo, al enviar pagos, la ejecución de un contrato es imposible sin recibir el número de firmas electrónicas especificadas en el contrato”, señala.

Mientras tanto, mientras los expertos hablan de la difusión de la práctica del uso de la firma electrónica "en la nube" y de las posibilidades de desarrollo de tecnologías, surge un problema. Esto se debe al hecho de que hoy en día las cuestiones relativas a la aplicación de dicho ES no están debidamente detalladas en los reglamentos. Pero pronto, concretamente en el tercer trimestre de 2016, los rusos tendrán la posibilidad legal de utilizar una firma electrónica sin un medio físico: una unidad flash USB o una tarjeta SIM. Esta norma está contenida en las "hojas de ruta" del programa para el desarrollo de Internet en Rusia, que el Instituto de Desarrollo de Internet preparó para el Presidente de la Federación de Rusia. Por tanto, podemos esperar que las empresas pronto dejen de temer a las tecnologías de la "nube" y comiencen a utilizar este tipo de firma electrónica de forma más activa en su trabajo.

Popular
Categorías

2023
newmagazineroom.ru - Estados contables. UTII. Salario y personal. Operaciones de divisas. Pago de impuestos. IVA. Primas de seguro