Электронные подписи в «облаках»
Электронные документы, подписанные цифровой подписью, легализованы в Украине еще в 2003 году Законом «Об электронной цифровой подписи». Но в ноябре 2017-го он утратил силу, так как ему на смену пришел Закон «Об электронных доверительных услугах», в который позже был внесен ряд изменений. Несмотря на то, что прямых упоминаний об «облачных» подписях в законе нет, на практике они приравниваются к обычным квалифицированным электронным подписям (далее — КЭП).
«Облачные» подписи — квалифицированные электронные подписи, хранящиеся не на ПК, токене или флешке, а на сервере провайдера услуги — сравнительно новая технология. Пока далеко не все системы электронного документооборота поддерживают эту технологию. Но это — наше будущее.
Правовой статус
«В Законе «Об электронных доверительных услугах» четко определен круг лиц, которые обязаны хранить свои КЭП на аппаратно-программных устройствах, обеспечивающих защиту данных от несанкционированного доступа, — объясняет адвокат и координатор подкомитета по вопросам электронного документооборота (ЭДО) и электронным доверительным услугам ИКТ комитета Союза украинских предпринимателей (СУП) Кристина Венгриняк. — Это — органы государственной власти, органы местного самоуправления, предприятия, организации государственной формы собственности, государственные регистраторы, нотариусы и прочие субъекты, уполномоченные государством на осуществление функций госрегистратора».
После вступления в силу Закона «Об электронных доверительных услугах», был установлен переходной период и еще два года действовали электронные цифровые подписи, полученные по утратившему силу Закону «Об электронной цифровой подписи». Одновременно выдавались КЭП по Закону «Об электронных доверительных услугах».
В апреле 2019 года тем, кто подавал отчетность в налоговую и подписывал ее ЭЦП или КЭП на так называемом «незащищенном» носителе, внезапно начали приходить уведомления «используется подпись на незащищенном носителе». Информационно-справочный департамент ГФС Украины на своем сайте опубликовал сообщение, что с определенной даты КЭП будут выдавать только на защищенном носителе.
Причиной этому стали неоднозначные положения Закона «Об электронных доверительных услугах», для уточнения которых было принято Постановление КМУ №193 «О реализации экспериментального проекта по обеспечению возможности использования усовершенствованных электронных подписей и печатей, основанных на квалифицированных сертификатах открытых ключей» от 03.03.2020.
«Бизнесу официально разрешили подписывать документы КЭП на незащищенных носителях, — поясняет Кристина. — Это постановление действует до 31 декабря 2021 года. К этой дате вопрос с хранением КЭП должны урегулировать на законодательном уровне.
Таким образом на данный момент частный бизнес имеет право использовать КЭП на компьютере, флешке, SIM-карте. Некоторые компании используют для КЭП и облачное хранение, но в этом случае существует риск компрометации КЭП, поскольку к месту хранения могут иметь доступ несколько лиц, а КЭП необходимо хранить втайне от других. До конца текущего года ситуация может измениться, а бизнесу следует быть начеку и следить за нововведениями законодательства, поскольку уже завтра всем нам могут разрешить работать только с КЭП, которые хранятся на защищенных носителях».
В чем преимущества
Каждый из нас без проблем может потерять или сломать флешку либо защищенный токен с КЭП. А если ключ хранится лишь на рабочем компьютере, то нет возможности подписывать документы в других местах.
А вот когда электронная подпись находится на удаленном сервере, доступ к ней будет в любое время. Услуги провайдеров облачных сервисов, у которых хранятся ключи, могут быть особенно полезны крупным компаниям с сотнями сотрудников и региональными представительствами.
Облачные сервисы дают возможность следить за всеми действиями с КЭП, которые выполняют сотрудники, удаленно предоставлять или ограничивать доступ к ключу. Кроме того, для подписания документов с помощью «облачной» подписи нужен только смартфон.
Также хранилище ключей имеет специальные датчики вскрытия, механизмы доверенной генерации и уничтожения ключей и барьер от утечек и внутренних нарушений (вдруг один из администраторов решил сделать то, чего делать не стоит). Ключи остаются неизвлекаемыми и некомпрометируемыми. Даже если какой-то из элементов системы выходит из строя, его автоматически заменяет резервный. При этом не будет никаких перебоев в работе и не требуется участие обслуживающего персонала. Не стоит бояться, что кто-то сможет его украсть и войти в вашу систему.
Еще один важный момент — облачная подпись дешевле обычной ЭП, ведь не нужно покупать токен и средство криптографической защиты информации. Так же благодаря тому, что используется облако, есть возможность выпустить сколько угодно ключей и сертификатов. Если, например, компании нужно внедрить электронный документооборот и дать каждому сотруднику электронную подпись, то облако — лучший вариант. Это будет намного мобильнее и дешевле.
Облачные подписи в Украине
Несмотря на то, что технология относительно нова, в Украине уже есть несколько провайдеров сервисов для хранения облачных подписей.
Компания есть в списке «Квалифицированных поставщиков электронных доверительных услуг» Министерства цифровой трансформации Украины. Это значит, что она может не только хранить в облаке цифровые подписи, но и выдавать их.
Перед тем как воспользоваться этим сервисом, необходимо получить КЭП у одного из «Квалифицированных поставщиков». Многие из них выпускают КЭП бесплатно. После этого можно будет установить приложение UKey на смартфон (из AppStore или PlayMarket) и добавить свою КЭП на устройство. Дальнейший алгоритм использования аналогичен использованию Modile ID — все документы вы сможете подписывать с помощью своего смартфона.
Услуга предоставляется Приватбанком. Так как банк есть в списке «Квалифицированных поставщиков электронных доверительных услуг», можно не вставать два раза: получить КЭП и хранить ее в облаке одной экосистемы. Электронная подпись выдается бесплатно, хранение SmartID — тоже. Единственный нюанс — подписывать документы с помощью этой КЭП вы сможете только в приложении Privat24, то есть для этого необходимо быть клиентом Приватбанка.
В прошлом году «Дiя» анонсировала проект «Смарт-Дія». После завершения тестового периода у пользователей приложения «Дiя» появится возможность получать КЭП и подписывать ею документы. Услуга еще не предоставляется, но «Дiя» уже есть в списке «Квалифицированных поставщиков» Минцифры. В «Дiя» сообщили, что запуск сервиса запланирован на апрель 2021-го. После того как это произойдет, в приложении можно будет хранить не только данные паспорта и ИНН, но и КЭП.
Облачные подписи и электронный документооборот
Некоторые украинские поставщики сервисов электронного документооборота уже предоставляют своим клиентам возможность регистрации/входа и подписания документов с помощью «облачной» подписи.
В разработанную Приватбанком Paperless, которая позиционируется как система электронного документооборота для малого бизнеса, войти можно только как в старые добрые времена — с помощью логина/пароля, но подписывать документы можно уже через Privat24. Вход/подписание с помощью UKey поддерживает Document.Online. На портале системы электронного документооборота Deals уже есть тестовые опции входа/регистрации и подписания документов с помощью «облачных» КЭП всех четырех украинских провайдеров.
Но в техподдержке системы сообщили, что пока тестовый период можно считать завершенным лишь для одного из них — DepositSign.
Взгляд в будущее
«Хранить свою личную подпись на ПК или тем более на обычной флешке, небезопасно и непрактично, — считает СЕО Intecracy Deals и сопредседатель IT-комитета СУП Александр Вернигора. — Лично я для подписания документов сейчас использую Mobile ID. Это обеспечивает мобильность, двухфакторную аутентификацию, при этом КЭП хранится непосредственно на SIM-карте смартфона. Вместе с тем технология «облачной» подписи тоже достаточно перспективна».
Сервисы, подобные «Дiя», предоставляют высокий уровень защиты и множество услуг. Возможность на одном портале получить и КЭП, и место для ее хранения в облаке, и необходимое ПО — это удобно. То, что КЭП хранится на каком-то удаленном сервере, многих пугает, но на самом деле потерять флешку с КЭП гораздо проще, чем лишиться доступа к своей подписи в облаке. Теоретически сервер может на какое-то время «упасть». Его могут взломать и получить доступ к файлам подписей клиентов, но воспользоваться ими никто не сможет, так как аутентификация двухфакторная. Подтвердить подписание документа необходимо не только с помощью логина/пароля в браузере, но и с вашего смартфона. А вероятность того, что злоумышленники взломают сервер, завладеют не только файлом ключа, но и логином, паролем и вашим смартфоном с биометрической защитой почти минимальна. Технология «облачных» подписей пока еще находится на стадии внедрения, но вполне возможно, что за ней будущее».
Здравствуйте! Объясните, как работает облачная ЭЦП и можно ли купить облачную подпись в вашем центре?
Средство электронной подписи принято называть облачным, когда хранение ключей ЭП осуществляется централизованно в удостоверяющем центре, а управление осуществляется удалённо, путём передачи поручений от владельцев ключей ЭП.
После вступления в силу новой редакции федерального закона об электронной подписи средства облачной электронной подписи обособились и теперь, чтобы такое средство могло использоваться для формирования квалифицированных электронных подписей, производитель должен подтвердить соответствие этих средств специальным требованиям, предъявляемым к средствам облачной электронной подписи, которые еще не опубликованы.
Ориентировочно соответствующие новым требованиям средства облачной электронной подписи появятся на рынке не раньше середины 2021 года.
От этих средств не стоит ожидать условного «управления с помощью кодов из СМС». Позиция регулятора в этом вопросе, известная из выступлений на публичных мероприятиях, свидетельствует о необходимости криптографического подтверждения поручений на формирование электронных подписей в облаке. Иначе говоря, для работы с облаком все равно нужно локальное СКЗИ с ключами для управления, которые тоже нужно получить и связать с владельцем. На сегодняшний день удостоверяющие центры не имеют возможности оказывать услугу выпуска облачной подписи.
Никита Вылегжанин
Бизнес-аналитик «Инфотекс Интернет Траст»
Где найти кэп в облаке
В традиционном, привычном для подавляющего большинства пользователей понимании электронной подписи (ЭП) ключ этой самой подписи хранится у её владельца. Чаще всего для этого используется некий защищённый ключевой носитель в формате USB-токена или смарт-карты, который пользователь может носить с собой. Этот ключевой носитель тщательно оберегается владельцем от посторонних лиц, поскольку попадание ключа в чужие руки означает его компрометацию. Для использования ключа на устройстве владельца устанавливается специализированное программное обеспечение (СКЗИ), предназначенное для вычисления ЭП.
С другой стороны, в мире ИТ всё шире применяется концепция « облачных вычислений » , которая во многих отношениях имеет массу преимуществ по сравнению с использованием традиционных приложений, установленных на компьютере пользователя. Вследствие этого возникает вполне закономерное желание воспользоваться данными преимуществами облачных технологий для создания « ЭП в облаке » .
Но прежде чем решать данную задачу необходимо определить, что же мы будем понимать под « электронной подписью в облаке » . В настоящее время в разных источниках можно встретить разные же трактовки этого понятия, зачастую годящиеся разве что только для объяснения на пальцах человеку « с улицы » , который зашёл в Удостоверяющий Центр, чтобы « купить электронную подпись » .
Что такое квалифицированная электронная подпись в облаке
Для целей данной статьи, а также других научно-популярных и практических дискурсов об облачной электронной подписи предлагается использовать следующее определение.
Электронная подпись в облаке (облачная электронная подпись) – это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.
В соответствии с данным определением, для облачной электронной подписи может использоваться в том числе и локальное средство ЭП. Например, используя КриптоПро DSS Lite, пользователь через веб-браузер может подписывать электронный документ с помощью средства ЭП, установленного на его оконечном устройстве (персональный компьютер или планшет). В подобной системе ключ подписи остаётся у владельца и вопросы безопасности решаются с помощью стандартного набора средств, известного в мире « традиционной ЭП » . Если хотите, можно назвать это облачной ЭП с локальным средством ЭП.
Другой вариант облачной ЭП получается при использовании средства ЭП, размещённого в облаке. Для удобства дальнейшего изложения н азовём такую схему полностью облачной ЭП , чтобы отличать её от предыдущей. Эта схема регулярно вызывает жаркие дискуссии среди специалистов, поскольку подразумевает передачу самого ключа подписи « в облако » . Данная же статья призвана прояснить ряд вопросов, связанных с безопасностью полностью облачной ЭП.
Начнём с главного
Основной головной болью при переводе любой ИТ-системы « в облако » становится боль « безопасников » (и помогающих им юристов), связанная с передачей « туда » информации для обработки или хранения. Если раньше эта информация не покидала некоторого защищённого периметра, и можно было сравнительно легко обеспечить её конфиденциальность, то в облаке само понятие периметра отсутствует. При этом ответственность за обеспечение конфиденциальности информации в каком-то смысле « размывается » между её владельцем и поставщиком облачных услуг.
То же самое происходит и с ключом ЭП, передаваемым в облако. Более того, ключ ЭП – это не просто конфиденциальная информация. Ключ должен быть доступен только одному лицу – его владельцу. Таким образом, доверие к облачной подписи определяется не только личной ответственностью пользователя, но и безопасностью хранения и использования ключа на сервере и надежностью механизмов аутентификации.
В настоящее время проводятся сертификационные испытания нашего решения КриптоПро DSS. Это сервер облачной ЭП, хранящий ключи и сертификаты пользователей и предоставляющий аутентифицированный доступ к ним для формирования электронной подписи. Оба упомянутых выше аспекта безопасности облачной ЭП в частности являются предметом исследований, проводимых в ходе испытаний КриптоПро DSS. В то же время, стоит отметить, что существенная часть этих вопросов уже рассмотрена в рамках тематических исследований СКЗИ «ПАКМ КриптоПро HSM» , на котором основывается КриптоПро DSS.
В нашей стране пока слабо проработаны организационно-правовые аспекты применения облачной ЭП, поэтому в данной статье мы рассмотрим КриптоПро DSS с точки зрения требований к серверу подписи, разработанных Европейским Комитетом по Стандартизации (CEN).
Европейский путь
В октябре 2013 года Европейский Комитет по Стандартизации (CEN) одобрил техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing». В этом документе приводятся требования и рекомендации к серверу электронной подписи, предназначенному для создания, в том числе, квалифицированных подписей.
Хочется отметить, что уже сейчас КриптоПро DSS в полном объёме соответствует требованиям данной спецификации в наиболее сильном варианте: требованиям Уровня 2, предъявляемым для формирования квалифицированной электронной подписи (в терминах европейского законодательства).
Одним из основных требований Уровня 2 является поддержка строгих вариантов аутентификации. В этих случаях аутентификация пользователя происходит напрямую на сервере подписи – в противоположность допустимой для Уровня 1 аутентификации в приложении, которое от своего имени обращается к серверу подписи. Все методы аутентификации, поддерживаемые КриптоПро DSS, удовлетворяют данному требованию Уровня 2.
В соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны храниться в памяти специализированного защищенного устройства (криптографический токен, HSM). В случае КриптоПро DSS таковым устройством является программно-аппаратный криптографический модуль КриптоПро HSM – сертифицированный ФСБ России по уровню KB2 как средство ЭП.
Аутентификация пользователя на сервере электронной подписи для выполнения требований Уровня 2 обязана быть как минимум двухфакторной. КриптоПро DSS поддерживает широкий, постоянно пополняемый спектр методов аутентификации, в том числе и двухфакторных. Помимо привычных криптографических токенов в качестве средства аутентификации может использоваться и специализированное приложение на смартфоне, такое как КриптоПро AirKey, и генераторы одноразовых паролей (OTP-токены). В документе CEN эти методы также упомянуты.
Ещё одним перспективным способом аутентификации по Уровню 2 может стать использование криптографического приложения на SIM-карте в телефоне. По нашему мнению, данный вариант использования SIM-карт с криптографией наиболее реален, поскольку построение функционально законченного СКЗИ (или средства ЭП) по новым требованиям ФСБ на базе только лишь SIM-карты вряд ли возможно.
Рассматриваемая техническая спецификация также допускает использование сервера электронной подписи для формирования подписей сразу для некоторого набора документов. Данная возможность может быть полезна при подписании большого массива однородных документов, отличающихся лишь данными в нескольких полях. При этом аутентификация пользователя производится один раз для всего пакета документов. Поддержка такого варианта использования также имеется в КриптоПро DSS.
В документе CEN содержится также ряд требований к формированию, обработке, использованию и удалению пользовательского ключевого материала, а также к свойствам внутренней ключевой системы сервера электронной подписи и к аудиту. Эти требования полностью и даже «с запасом » покрываются требованиями, предъявляемыми к средствам ЭП класса KB2, по которому сертифицирован отвечающий за данные вопросы ПАКМ « КриптоПро HSM » .
Наше будущее
Решение КриптоПро DSS поддерживает широкий набор методов аутентификации, среди которых для каждой задачи возможно подобрать подходящий. Надёжность наиболее безопасных из них соответствует самым строгим критериям европейских требований CEN/TS 419241 и, как мы рассчитываем, в недалёком будущем будет подтверждена сертификатом соответствия ФСБ России.
заместитель технического директора
начальник отдела защиты информации
Как и где получить ЭЦП/КЭП
ЭЦП – электронная цифровая подпись, являющаяся идентификатором физического или юридического лица и используемая для подписи электронных документов.
КЭП – усовершенствованная электронная подпись, в основе которой лежит квалифицированный сертификат открытого ключа.
КЭП – это ключ, который пришел на смену ЭЦП после вступления в силу закона «Об электронных доверительных услугах».
Как выглядит квалифицированная электронная подпись
КЭП – зашифрованный набор цифр, генерируемый в центре сертификации ключей с помощью программного шифрования. При этом сама подпись имеет обозначение: тип носителя – защищенный, тип сертификата – квалифицированный.
Для чего можно использовать ЭЦП/КЭП
Электронная цифровая подпись и ее преемник КЭП используется для электронного документооборота, подписи любых документов, для подачи отчетности в цифровом формате, для получения государственных услуг, для электронной торговли и прочее.
Преимущества КЭП
КЭП имеет усовершенствованный уровень защиты. Преимуществами квалифицированной электронной подписи являются:
- аутентичность – подтверждение оригинальности документа;
- целостность — проверка изменений в подписываемом документе;
- конфиденциальность — ограниченность для прочтения только адресатом и адресантом;
- подделка подписи – возможность подработать КЭП равна почти нулю;
Таким образом, в отличие от обычного ЭЦП, квалифицированная электронная подпись имеет усовершенствованную форму защиты и соответствия ЭД.
КЭП однозначно может идентифицировать владельца ключа и компанию, которую подписчик представляет.
Где хранятся ЭЦП и КЭП
До вступления в силу закона «Об электронных доверительных услугах» ЭЦП можно хранить в файловом формате на любом носителе цифровой информации. Это может быть как флешка, так и персональный компьютер или ноутбук.
Для КЭП есть два возможных варианта для хранения квалифицированной электронной подписи.
Токен – USB-устройство, имеющее свой инвентарный номер и утвержденное государственной службой спецсвязи.
Особенностью этого носителя является то, что при проверке подлинности считывается и сам файл подписи и параметры токена; такой ключ существует в единственном экземпляре, который невозможно скопировать, перенести на другое устройство; дополнительно токен защищен паролем.
Облачная среда – программно-аппаратное хранилище, где можно хранить КЭП.
Преимуществами этого хранения является высокий уровень защиты и недорогая оплата услуги за хостинг ключа. Его еще называют депозитарием. Хранение КЭП в облаке не противоречит законодательным требованиям, регулирующим электронный документооборот.
Кто предоставляет КЭП
Представителями квалифицированной электронной подписи могут быть как аккредитованные государством учреждения, так и коммерческие поставщики электронных услуг – центры аккредитации сертификации ключей (АЦСК).
Самые распространенные учреждения для получения ЭЦП/КЭП:
На сайте ДПС
Через приложение «Действие»
Через Приват 24
Как получить КЭП онлайн через Приват Банк
Квалифицированную электронную подпись можно получить через онлайн-сервис «Приват 24» бесплатно. Воспользоваться услугой могут как юридические лица, ФЛП, так и физические лица, не связанные с предпринимательской деятельностью.
Для получения КЭП необходимо выполнить следующий алгоритм действий в Приват24:
- В категории «Все услуги» выбираем пункт «Бизнес»;
- Выбираем пункт «Электронная цифровая подпись»;
- Открываем вкладку «Загрузить сертификат»;
- Подтверждаем данные;
- Создаем пароль;
- Загружаем ключ.
Также бесплатно получить КЭП можно, обратившись в справочно-информационный отдел ГНС, Министерство внутренних дел Украины.
Какие документы необходимы для получения КЭП
Если у вас нет возможности получить квалифицированную электронную подпись онлайн, вы можете обратиться к любому аккредитованному поставщику электронных услуг. Для этого предварительно подготовьте следующие документы:
Заявление на получение КЭП;
Идентификационный код;
Носитель информации (например флешка).
Срок действия ключа от 1 до 2 лет. По истечении срока действия обновить электронную подпись можно через сервис действия онлайн.
Как подписать документы с помощью КЭП
На всех государственных интернет-ресурсах имеется электронный документооборот. Соответственно, для всех документов, требующих подтверждения подписью, можно использовать КЭП.
На примере сервиса «ДИЯ» рассмотрим алгоритм действий для владельца КЭП:
- Заходим во вкладку меню «Услуги»;
- Переходим к вкладке «Предпринимательство»;
- Загружаем КЭП, подтвердив пароль;
- Загружаем для подписи документ;
- Подписываем.
Сгружаем при необходимости подписанный документ в формате p7s-файл и справку, подтверждающую подписание вами документа.
Как проверить КЭП
Бывают ситуации, когда подписанный документ следует проверить на подлинность. Это можно сделать с помощью сервиса “ДИЯ”, через сервисы M.E.Doc или FREDO Отчет.
Через портал «ДИЯ» проверить подпись можно через вкладку «Проверить подпись». Для этого нужно скачать документ формата p7s-файл и нажать Проверить. Таким образом можно проверить, когда и кто подписал документ.