З іншого боку, в світі ІТ все ширше застосовується концепція «хмарних обчислень». яка у багатьох відношеннях має масу переваг в порівнянні з використанням традиційних додатків, встановлених на комп'ютері користувача. Внаслідок цього виникає цілком закономірне бажання скористатися даними перевагами хмарних технологій для створення «ЕП в хмарі».
Але перш ніж вирішувати це завдання необхідно визначити, що ж ми будемо розуміти під «електронним підписом в хмарі». В даний час в різних джерелах можна зустріти різні же трактування цього поняття, часто годяться хіба що тільки для пояснення на пальцях людині «з вулиці». який зайшов в Удостоверяющий Центр, щоб «купити електронний підпис».
Що таке кваліфікована електронний підпис в хмарі
Для цілей цієї статті, а також інших науково-популярних і практичних дискурсів про хмарної електронного підпису пропонується використовувати наступне визначення.
Електронний підпис в хмарі (хмарна електронний підпис) - це обчислювальна система, що надає через мережу доступ до можливостей створення, перевірки ЕП і інтеграції цих функцій в бізнес-процеси інших систем.
Відповідно до даного визначення, для хмарної електронного підпису може використовуватися в тому числі і локальне засіб ЕП. Наприклад, використовуючи КріптоПро DSS Lite. користувач через веб-браузер може підписувати електронний документ за допомогою засобу ЕП, встановленого на його крайовому пристрої (персональний комп'ютер або планшет). У подібній системі ключ підпису залишається у власника і питання безпеки вирішуються за допомогою стандартного набору засобів, відомого в світі «традиційної ЕП». Якщо хочете, можна назвати це хмарної ЕП з локальним засобом ЕП.
Почнемо з головного
Основним головним болем при перекладі будь ІТ-системи «в хмару» стає біль «безпечники» (і допомагають їм юристів), пов'язана з передачею «туди» інформації для обробки або зберігання. Якщо раніше ця інформація не покидала деякого захищеного периметра, і можна було порівняно легко забезпечити її конфіденційність, то в хмарі саме поняття периметра відсутня. При цьому відповідальність за забезпечення конфіденційності інформації в якомусь сенсі «розмивається» між її власником і постачальником хмарних послуг.
Те ж саме відбувається і з ключем ЕП, переданим в хмару. Більш того, ключ ЕП - це не просто конфіденційна інформація. Ключ повинен бути доступний тільки одній особі - його власнику. Таким чином, довіру до хмарної підпису визначається не тільки особистою відповідальністю користувача, але і безпекою зберігання і використання ключа на сервері і надійністю механізмів аутентифікації.
В даний час проводяться сертифікаційні випробування нашого рішення КріптоПро DSS. Це сервер хмарної ЕП, який зберігає ключі та сертифікати користувачів і надає аутентіфіцированний доступ до них для формування електронного підпису. Обидва згаданих вище аспекту безпеки хмарної ЕП зокрема є предметом досліджень, що проводяться в ході випробувань КріптоПро DSS. У той же час, варто відзначити, що істотна частина цих питань вже розглянута в рамках тематичних досліджень ЗКЗІ «Пакмена КріптоПро HSM». на якому ґрунтується КріптоПро DSS.
У нашій країні поки слабо опрацьовані організаційно-правові аспекти застосування хмарної ЕП, тому в даній статті ми розглянемо КріптоПро DSS з точки зору вимог до сервера підписи, розроблених Європейським Комітетом по Стандартизації (CEN).
Європейський шлях
Хочеться відзначити, що вже зараз КріптоПро DSS в повному обсязі відповідає вимогам даної специфікації в найбільш сильному варіанті: вимогам Рівня 2, які висуваються для формування кваліфікованої електронного підпису (в термінах європейського законодавства).
Одним з основних вимог Рівня 2 є підтримка суворих варіантів аутентифікації. У цих випадках аутентифікація користувача відбувається безпосередньо на сервері підпису - на противагу допустимої для Рівня 1 аутентифікації в додатку, яке від свого імені звертається до сервера підпису. Всі методи аутентифікації, підтримувані КріптоПро DSS, задовольняють даній вимозі Рівня 2.
Відповідно до цієї специфікації, призначені для користувача ключі підпису для формування кваліфікованої ЕП повинні зберігатися в пам'яті спеціалізованого захищеного пристрою (криптографічний токен, HSM). У разі КріптоПро DSS таким пристроєм є програмно-апаратний криптографічний модуль КріптоПро HSM - сертифікований ФСБ Росії за рівнем KB2 як засіб ЕП.
Вже згадана технічна специфікація також допускає використання сервера електронного підпису для формування підписів відразу для деякого набору документів. Дана можливість може бути корисна при підписанні великого масиву однорідних документів, що відрізняються лише даними в декількох полях. При цьому аутентифікація користувача проводиться один раз для всього пакета документів. Підтримка такого варіанту використання також є в КріптоПро DSS.
У документі CEN міститься також ряд вимог до формування, обробки, використання і видалення користувача ключового матеріалу, а також до властивостей внутрішньої ключової системи сервера електронного підпису і до аудиту. Ці вимоги повністю і навіть «із запасом» покриваються вимогами, що пред'являються до засобів ЕП класу KB2, за яким сертифікований відповідає за ці питання Пакмена «КріптоПро HSM».
Наше майбутнє
Рішення КріптоПро DSS підтримує широкий набір методів аутентифікації, серед яких для кожного завдання можливо підібрати підходящий. Надійність найбільш безпечних з них відповідає найсуворішим критеріям європейських вимог CEN / TS 419241 і, як ми розраховуємо, в недалекому майбутньому буде підтверджена сертифікатом відповідності ФСБ Росії.
заступник технічного директора
начальник відділу захисту інформації