Finversia-TV
×

Доверенное пространство как сервис. A A= A+

15.02.2014

ТрифаленковИлья Трифаленков

Директор Центра информационной безопасности R-Style

Илья работает в области информационной безопасности с 1995 года. В R-Style эксперт пришел из «Ростелекома», где два года успешно занимался безопасностью инфраструктуры электронного правительства. До этого в «Инфосистемы Джет» фактически с нуля создал направление информационной безопасности. Впоследствии это направление стало визитной карточкой компании, которая сейчас является одним из ключевых игроков на рынке информационной безопасности. Илья имеет кандидатскую степень в области технических наук, награжден знаками Федеральной Службы по Техническому и Экспортному Kонтролю РФ «За вклад в создание государственной системы информационной безопасности».

В компании R-Style под руководством Ильи Трифаленкова команда из 50 специалистов разрабатывает новые подходы к безопасности, направленные на комплексное решение задач защиты информации. С одной стороны, эксперт отвечает за развитие уже типичных решений вглубь, с другой – перед Ильей стоит важная задача обеспечить развитие линейки продуктов и решений, совершенствуя безопасность технологий, которые только набирают обороты – облачные технологии, мобильный информационный обмен и тд.


Доверенное пространство как сервис.

Особенности использования технологий электронной подписи в современных информационных системах

Необходимость массового применения электронной подписи сегодня осознанна,и является ответом на современный технологический вызов. Развитие информационных услуг требует создания технологии электронной подписи, работающей по аналогичной схеме. В настоящее время перенос процесса электронной подписи с клиентской части

на серверную позволяет решить обозначенную проблему для наиболее широкого круга приложений и пользователей.

Три действующих вида

Электронная подпись является уникальным механизмом, обеспечивающим

как целостность информации, так и неотказуемость действий пользователей и иных активных компонентов хранения, обработки и передачи информации. Применение электронной подписи является жестко регламентированным механизмом с различными уровнями нормирования федеральными законами, требованиями регуляторов

и уполномоченных органов (Минкомсвязи РФ и ФСБ России), а также стандартами.

С 1 января 2014 года в полной мере и безальтернативно действует только федеральный закон ФЗ-63 от 6 апреля 2011 года «Об электронной подписи», а «параллельное» действие старого закона ФЗ-1 от 10 января 2002 года «Об электронной цифровой подписи» прекращается. ФЗ-63, совместно с набором подзаконных нормативно-правовых актов, обеспечивает существенное расширение области применения электронной подписи. Это связано с унификацией структуры сертификата электронной подписи, появлением понятия и законодательного требования принимать подпись, выпущенную

с использованием действующего сертификата любого аккредитованного удостоверяющего центра. Таким образом, появляется возможность создания реального пространства доверия в России.

Как известно, федеральный закон «Об электронной подписи» предусматривает использование трех её видов: простой электронной подписи; усиленной электронной подписи; усиленной квалифицированной электронной подписи.

Простая электронная подпись, при этом, полноценной электронной подписью не является. Её появление в законе обусловлено желанием провести аналогии с соответствующими европейскими нормами. По сути, в качестве простой электронной подписи на практике выступает механизм парольной аутентификации пользователя при проведении тех или иных действий.

Однако способов связать этот механизм с конкретным содержанием информационных ресурсов, или действий, не существует. При этом обеспечение надёжности паролей налагает на пользователя существенные обременения, связанные с длиной

и необходимостью периодического изменения паролей, разнообразием используемых примитивов – базовых сочетаний символов. Простая электронная подпись на практике оказывается, таким образом, не совсем простой и не совсем подписью.

Усиленная электронная подпись представляет собой полноценный механизм электронной подписи. Его реализация требует проведения всего набора организационных и технических мер, обеспечивающих достоверность соответствия пользователя и используемых криптографических ключей и сертификатов, надёжность работы удостоверяющих центров. В результате, применение усиленной электронной подписи конкретному пользователю, либо проектировщику системы, по факту «стоит» столько же, сколько применение квалифицированной подписи, но при существенно более узкой области ее применения.

В качестве положительных сторон применения усиленной электронной подписи необходимо отметить более широкий спектр решений, которые можно использовать, и отсутствие необходимости проведения проверок на корректность встраивания.

Интересным является то, что использование усиленной неквалифицированной подписи отнюдь не означает использование несертифицированных средств электронной подписи (ЭП), либо несертифицированных удостоверяющих центров (УЦ). Наоборот, многие системы используют сертифицированные решения для выдачи усиленной неквалифицированной подписи.

Резюмируя все сказанное о проблемах, связанных с использованием усиленной неквалифицированной электронной подписи, хотелось бы отметить, что самоустранение государственных регуляторов и уполномоченного органа в области электронной подписи существенно снижает надёжность работы этого механизма при его использовании в портальных решениях, предназначенных для широкого круга пользователей.

Дело в том, что стандартные механизмы защищенного соединения с порталами на основе SSL-протокола используют международную систему доверия WebTrust. Хотя ключевые компоненты этой системы проходят серьёзный аудит на соответствие требованиям информационной безопасности, надёжность вторичных систем, выпускающих сертификаты, может вызывать сомнения. Создание российского узла в системе WebTrust, который обеспечивал бы сертификатами российские организации, существенно повысило бы надёжность применения механизма усиленной электронной подписи.

Таким образом, усиленная квалифицированная электронная подпись является сегодня практически безальтернативным механизмом в случае, когда необходимо обеспечить широкое применение подписи, с одной стороны, и высокий уровень надежности и доверия – с другой.

Soap, мобильность, виртуализация…

Реализация механизмов электронной подписи традиционно осуществляется в рамках разработки приложений и, как следствие, накладывает на разработчиков дополнительные требования. Это как необходимость наличия соответствующих лицензий и специалистов по средствам криптографической защиты информации, так и обязательное прохождение процедуры проверки того, насколько корректно механизмы электронной подписи встраиваются в прикладное программное обеспечение.

В последнее время широкое распространение получили ряд тенденций в области информационных технологий, заставляющих существенно переформулировать традиционные подходы к применению электронной подписи. В числе таких тенденций могут быть названы следующие:

  • Широкое использование SOAP-технологий при построении корпоративных информационных систем, и, как следствие, более тесная интеграция приложений, а также выделение специализированных сервисов там, где это возможно, для снижения затрат на разработку и поддержку компонент прикладного программного обеспечения.

  • Активное использование мобильных устройств, в том числе, в корпоративном сегменте. При этом сами мобильные устройства могут быть корпоративными, а, следовательно, жестко стандартизованными. Даже в первом случае решение вопроса контроля среды электронной подписи оказывается достаточно сложным, а во втором – вопрос становится практически неразрешимым. Перенос реализации электронной подписи полностью на SIM-карты мобильных устройств формально является решением проблемы, но не всегда может использоваться из-за ограниченных вычислительных ресурсов SIM-карты.

  • Переход на технологии облачных вычислений – применение технологий виртуализации для построения корпоративных систем, существенное повышение эффективности использования имеющихся ресурсов за счёт их динамического и мобильного перераспределения. С точки зрения электронной подписи, это также порождает проблему контроля корректности среды электронной подписи и гарантий её правильного исполнения. При этом стандартная процедура проверки корректности встраивания значительно усложняется и, следовательно, становится более долгой и дорогой.

Перечисленные тенденции носят объективный характер и вряд ли могут тормозиться соображениями информационной безопасности. Соответственно, необходима существенная модернизация подхода к использованию электронной подписи в новых условиях.

Одним из следствий указанных тенденций является отказ от применения квалифицированной электронной подписи везде, где это возможно, особенно в коммерческих сегментах рынка. Однако вряд ли это является решением проблемы, поскольку организация полноценной системы работы с усиленной неквалифицированной подписью не менее сложна. К тому же отсутствие необходимости формально подтверждать выполнение требований по безопасности не избавляет от необходимости эти требования реализовывать. В противном случае, риски использования такой системы существенно возрастают.

Два возможных решения

Ниже постараемся показать, что реализация квалифицированной электронной подписи в описанных условиях вполне возможна. В качестве принципов построения системы квалифицированной электронной подписи могут быть определены следующие.

  • Перенос разработки, связанной с управлением электронной подписью, в специализированное приложение, размещение SOAP-сервисов проверки и создания электронной подписи в рамках организации, или группы организаций, использующих аналогичные информационные системы.

  • Разделение использования механизма электронной подписи для подписания документов и для аутентификации пользователей.

Первое решение позволяет «освободить» разработчиков прикладного программного обеспечения, которые не обязаны иметь компетенции в разработке механизмов криптографической защиты информации, от дополнительных и несвойственных им функций. И, кроме того, избежать дублирования работ при реализации механизмов электронной подписи в различных системах.

Второе решение позволяет использовать технологии централизованного хранения ключевой информации пользователей с их аутентификацией на основе механизмов квалифицированной электронной подписи. Поскольку аутентификация представляет собой заведомо менее ресурсоёмкий процесс, чем электронная подпись документов, её можно обеспечить посредством существующих сегодня технологий. При этом перенос наиболее «тяжёлых» компонентов процесса электронной подписи со стороны клиента на сторону оператора позволяет достигать существенно более широкого применения.

Приводим целевую схему реализации описанных выше принципов.

sxema

Пользователи набора прикладных сервисов взаимодействуют с ними через портал.

При этом возможна как локальная реализация электронной подписи, в случае использования компьютера, так и мобильная, при которой пользователь применяет ключи на SIM-карте для аутентификации и доступа к централизованному хранилищу ключей и криптографическому контроллеру, выполняющему операции электронной подписи.

Подписанные документы хранятся в защищённом хранилище с целью верификации содержимого, как представленного на подпись, так и подписанного. Основными компонентами распределённой системы управления электронной подписью являются:

  • управление жизненным циклом ключей и сертификатов электронной подписи;
  • сервис проверки электронной подписи;
  • сервис создания электронной подписи;
  • удостоверяющий центр;
  • централизованное хранилище ключей электронной подписи и криптографический процессор;
  • защищённое хранилище подписанных документов.

Сервер управления жизненным циклом ключей электронной подписи обеспечивает учёт выданных ключей и сертификатов, сроков их действия, необходимость перевыпуска, временную приостановку и отзыв. Портал электронной подписи является средством взаимодействия с пользователями, маршрутизируя пользовательские запросы внутри системы управления электронной подписью.

Преимуществом данной схемы является высокая производительность, как с точки зрения количества пользователей, так и по объёму подписанных документов.

А также важным преимуществом является возможность разделить услуги между различными операторами: использовать внешние удостоверяющие центры и системы управления жизненным циклом электронной подписи и т.д.

Кроме того, для данной схемы не является критическим контроль среды на клиентских устройствах, который является проблемой даже в корпоративных системах, а в условиях массовых услуг принципиально нереализуем. При этом серверная часть гораздо более сложный для атаки объект, обладающий понятными реализациями основных механизмов защиты, таких как управление уязвимостями и инцидентами, а также обеспечение неотказуемости действий.

Основным вопросом данной технологии является защита от возможных действий внутреннего нарушителя. Для его решения сертификационные испытания хранилища ключей и криптографического контроля должны подтвердить невозможность несанкционированных действий, в том числе, со стороны обслуживающего персонала.

* * *

Реализация услуг электронной подписи «As а Service» ведёт к переходу от того чтобы задействовать многочисленные удостоверяющие центры, к использованию большого количества услуг управления электронной подписью. Это, несомненно, намного более востребовано пользователями и разработчиками информационных систем массового обслуживания.

Finversia-TV

Корпоративные новости

Все новости »