«Облачная» КЭП: миф или реальность?
10 августа этого года компания «Крипто-Про» получила лицензию ФСБ на разработанные комплектации КриптоПро HSM 2.0 и DSS 2.0.
Что это значит для нас?
То, что не за горами старт выпуска и интеграции «облачной» КЭП в России. В Европе эта практика распространена c 2014 года.
Заместит ли она полностью подпись на носителе или выбор останется делом вкуса — неизвестно. Давайте разберёмся в характеристиках нового продукта.
Чем отличается новая подпись?
Во-первых, это удобно.
USB-токен больше не нужен. КЭП становится абсолютно виртуальной. Теперь подписывать документы можно не только с ПК, оборудованного в соответствии со всеми требованиями, но и с планшета или мобильного устройства. Уже появились приложения для iOS и Android, вроде myDSS от КриптоПро.
Это делает бизнес мобильнее и быстрее. Теперь за то же время можно решить больше задач.
Во-вторых, это безопасно.
Не сломается USB-носитель, потому что его нет.
Благодаря двухфакторной аутентификации, надёжному хранилищу ключей, защищённому от взлома, вероятность утечки, кражи или любого другого негативного воздействия практически равна нулю.
В-третьих, это практично.
Пользователи сами выбирают одну из систем аутентификации. При этом СКЗИ, как и токены, купленные ранее, всё ещё пригодны. «Облачная» структура организована так, чтобы максимально бюджетно и органично подстроиться под текущие условия.
Как работает «Облачная» КЭП?
Её работа строится на взаимодействии двух элементов: программно-аппаратного комплекса DSS и криптографического модуля HSM.
Первый является «лицом» подписи, с которым и взаимодействует пользователь. Может работать как самостоятельно, так и интегрируясь в другие платформы, включая ЭДО и ЭТП. Работает при наличии браузера на устройстве.
Второй формирует ЭП, охраняет от кражи и деформации, шифрует и расшифровывает данные на разных этапах передачи.
Таким образом части взаимодействуют друг с другом, каждый раз создавая уникальный ключ — электронную цифровую подпись.
Кому полезна «Облачная» КЭП?
Самым очевидным кажется применение виртуальных подписей в тех сферах, где требуется наличие большого количества электронных подписей, ещё и одновременно.
Например, банковская сфера, производство, здравоохранение и образование. Розничная и, конечно, оптовая торговля.
Представителям остальных сфер, ценящим время и стремящимся к современному технологическому оснащению, переход в «облачные» технологии тоже будет полезен.
Когда начнётся массовый выпуск «облачной» ЭП пока не известно — лицензия ФСБ была получена меньше двух недель назад. Для внедрения и отладки такого масштабного проекта нужно больше времени. На сегодняшний день ни госпорталы, ни торговые площадки не имеют достаточно технического оснащения, чтобы работать с «облачной» подписью.
Главное, что начало положено и УЦ ITCOM оснащён всеми необходимыми технологиями и ресурсами для запуска и внедрения «облачных» технологий в электронный документооборот.
Поправки в закон об электронной подписи: облачная ЭП, цифровой нотариус и выдача сертификатов по новым правилам
С января 2021 года применение облачных электронных подписей урегулировано законом. Теперь четко прописано, что владелец такой ЭП будет получать сведения о каждом случае ее использования. Также появится понятие «доверенная третья сторона». Это цифровой нотариус, который будет проверять правильность подписей на электронных документах. А через год — с января 2022 года — директору придется обращаться за сертификатом в ФНС, а каждому уполномоченному сотруднику получать подпись на свое имя.
Чем утверждены изменения
Поправки внесены в Федеральный закон от 06.04.11 № 63-ФЗ «Об электронной подписи» (далее — Закон об электронной подписи). Новая редакция утверждена Федеральным законом от 27.12.19 № 476-ФЗ (далее — Закон № 476-ФЗ).
Некоторые изменения вступили в силу с января 2021 года, другие нужно будет применять с июля этого года. Есть новшества, которые начнут действовать через год — с начала 2022 года. Расскажем обо всех этих изменениях подробнее.
Облачные электронные подписи (поправки действуют с января 2021 года)
Облачные электронные подписи (ОЭП) применялись и ранее, до 2021 года. Но при этом в законе не было норм, регулирующих использование таких подписей.
В чем основное отличие облачной ЭП от «обычной» электронной подписи? В традиционном варианте ключ ЭП хранится на флешке, USB-накопителе или ином носителе. При использовании облачной электронной подписи ключ хранится в удостоверяющем центре (в облаке). Подписать документ при помощи ОЭП можно не только со своего компьютера, где установлены средства криптозащиты, но и с иного гаджета. Например, с планшета или мобильного телефона. Владелец сертификата вправе выбрать любой вариант: традиционный или облачный.
Теперь в Законе об электронной подписи предусмотрены положения, посвященные ОЭП. В частности, оговорено следующее:
- — чтобы получить аккредитацию для работы с ОЭП, удостоверяющий центр должен иметь финансовое обеспечение ответственности за убытки, причиненные в результате компрометации или несанкционированного использования хранимых им ключей. В общем случае сумма обеспечения составляет не менее 200 млн руб.;
- — УЦ — хранитель ключа обязан информировать владельца сертификата об использовании этого ключа;
- — владелец сертификата может потребовать, чтобы УЦ предоставил историю использования ОЭП (то есть список документов, завизированных посредством облачной подписи).
Такие дополнения содержатся в новой части 2.2 статьи 15 и новой редакции части 3.1 статьи 16 Закона об электронной подписи.
Доверенная третья сторона (поправки действуют с января 2021 года)
С января 2021 года в Законе об электронной подписи появилось понятие «доверенная третья сторона» (ДТС). Это юридическое лицо, которое проверяет правильность применения электронной подписи при совершении той или иной сделки. По сути, на ДТС возложены функции цифрового нотариуса. Организация, которая планирует стать доверенной третьей стороной, должна получить аккредитацию в Министерстве цифрового развития, связи и массовых коммуникаций.
ДТС создает «метку доверенного времени» — достоверную информацию в электронной форме о дате и времени подписания документа посредством ЭП. Такая метка служит дополнительным подтверждением того, что сделка законна. Функции ДТС чем-то напоминают полномочия оператора электронного документооборота, через которого сдается налоговая отчетность или происходит обмен юридически значимыми электронными счетами-фактурами. Как известно, оператор ЭДО тоже фиксирует время отправки отчета или дату подписания счета-фактуры.
В настоящее время привлечение ДТС является добровольным. Предположительно доверенная третья сторона будет участвовать в следующих видах сделок.
1. Экспортные и импортные операции. Ожидается, что РФ заключит международные соглашения о взаимном признании квалифицированной электронной подписи или ее аналогов. Тогда ДТС станут подтверждать достоверность сделок с иностранными контрагентами.
2. Внутрироссийские операции, при которых стороны предъявляют повышенные требования к качеству оформления электронных документов.
Полномочия и условия аккредитации ДТС прописаны в новых статьях 18.1 и 18.2 Закона об электронной подписи.
Закрытие небольших УЦ (с июля 2021 года) и окончание срока действия их сертификатов (с января 2022 года)
С июля 2020 года удостоверяющим центрам (УЦ) стало труднее получить аккредитацию. Для них увеличили размер собственных средств (в общем случае до 1 млрд руб.) и страховой ответственности (составляет от 100 млн до 200 млн руб.).
УЦ, которые не смогут соответствовать новым требованиям, продолжат выпускать сертификаты электронной подписи до конца июня 2021 года включительно. Начиная с июля, воспользоваться услугами данных центров не получится.
Квалифицированные сертификаты, которые выданы такими удостоверяющими центрами, будут действовать до конца декабря 2021 года. С января 2022 года подписывать документы с их помощью нельзя.
Такие правила установлены в пунктах 3 и 4 статьи 3 Закона № 476-ФЗ.
Организациям и предпринимателям следует заранее выяснить, планирует ли обслуживающий их УЦ получить аккредитацию по новым требованиям. И если не планирует, подобрать другой удостоверяющий центр.
Как ИП и организации будут получать сертификаты подписей с января 2022 года
Закон № 476-ФЗ внес серьезные изменения в порядок подписания электронных документов (включая отчетность), созданных юридическим лицом или ИП.
Сейчас подписать документы организации может либо ее руководитель, либо уполномоченное лицо. Делается это с помощью сертификата усиленной квалифицированной электронной подписи физлица, которая является аналогом собственноручной подписи. Сейчас получить сертификат для подписания электронных документов (отчетности или первички) можно в коммерческом удостоверяющем центре. Индивидуальный предприниматель тоже получает электронную подпись как физлицо и подписывает ею отчетность и другие документы ИП.
Начиная с 1 января 2022 года, будут применяться алгоритмы, прописанные в новых статьях 17.2 и 17.3 Закона об электронной подписи. Их суть заключается в следующем:
- — директор (другие лица, уполномоченные подписывать отчетность и иные документы организации) или ИП получает в коммерческом удостоверяющем центре сертификат физлица на свое имя;
- — директор или ИП получает единственный экземпляр сертификата подписи на юрлицо или на предпринимателя. Пользоваться такой подписью может только один человек — директор или ИП (он будет вписан в сертификат). Такие сертификаты выдает Федеральная налоговая служба;
- — документы подписывает либо руководитель компании (ИП) посредством электронной подписи юрлица (ИП), либо сотрудник своей квалифицированной ЭП. В последнем случае к документу нужно приложить машиночитаемую доверенность, подписанную усиленной квалифицированной подписью юрлица или ИП.
Предполагается, что получить в ФНС сертификат подписи юрлица можно будет заранее — до наступления 2022 года. Как только появится точная информация о сроках, крупнейший удостоверяющий центр СКБ Контур сообщит ее своим клиентам. Контур планирует оказывать клиентам максимальное содействие в получении электронной подписи в ФНС.
Облачная электронная подпись в России и мире
Я некоторое время активно следил за обновлениями и новостями программы «Цифровая экономика». С точки зрения внутреннего сотрудника системы ЕГАИС, конечно, процесс на десятилетия. И с точки зрения разработки, и с точки зрения тестирования, откатки и дальнейшего внедрения с последующими неизбежными и мучительными корректировками всевозможных багов. Тем не менее дело необходимое, важное и назревшее. Основной заказчик и драйвер всего этого веселья, конечно, государство. Собственно, как и во всем мире.
Все процессы уже давно перетекли в цифру или на пути к ней. Это таки замечательно. Тем не менее, существуют и оборотные стороны медалек за отличия. Я человек, который работает постоянно с цифровой подписью. Я сторонник может и «вчерашних», но «по-дедовски» надежных и беспройгрышных методов защиты электронной подписи с помощью токенов. Но цифровизация показывает нам, что все уже давно в «облаках» и КЭП тоже туда нужно и нужно очень быстро.
Я постарался разобраться, пока на уровне законодательной и технической базы, где было возможно, как обстоит дело с облачными ЭП у нас и в Европе. На самом деле, на эту тему даже уже не одна научная диссертация вышла. Поэтому призывают профи в этом вопросе подключаться к развитию темы.
Почему КЭП в «облаке» привлекательна? На самом деле, есть плюсы. Этих плюсов достаточное количество. Это быстро и удобно. Звучит как рекламный слоган, согласитесь, однако же это объективные характеристики облачной ЭЦП.
Быстрота заключается в возможности подписывать документы без привязки к токенам или смарт-картам. Не обязывает нас использовать только десктоп. Сто процентов кроссплатформенная история для любых ОС и браузеров. Особенно актуально для фанатов продукции Apple, для которых есть определенные сложности поддержки ЭП в системе MAC. Выход из любой точки мира, свобода выбора УЦ (даже не Российских). В отличи от аппаратных средств КЭП, облачные технологии позволяют избежать сложностей с совместимостью программного и аппаратного обеспечения. Что, да, удобно, и, да, быстро.
И как же тут не соблазниться на такую красоту? Дьявол кроется в деталях. Поговорим о безопасности.
«Облачная» КЭП в России
Безопасность облачных решений, а в особенности ЭЦП – это одна из основных болей безопасников. Что именно мне не нравится, спросит меня читатель, ведь уже все давно используют облачные сервисы, а с СМС-кой еще надежнее сделать банковский перевод.
На самом деле, опять-таки, вернемся к деталям. Облачная ЭЦП – это будущее, с которым сложно спорить. Но не сейчас. Для этого должны произойти нормативно-правовые изменения, которые позволят защищать обладателя облачных ЭЦП.
Что мы имеем сегодня? Существует ряд документов, определяющие понятие ЭП, электронного документооборота (ЭДО), а также законы о защите информации и обороте данными. В том числе нужно учитывать и Гражданский кодекс (ГК РФ), который регламентирует использование ЭП в документах.
Федеральный закон №63-ФЗ «Об электронной подписи» от 06.04.2011. Основной и рамочный закон описывающий общий смысл использования ЭП при совершении сделок различного характера и оказания услуг.
Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации от 27.07.2006. В настоящем документе конкретизируется понятие электронного документа и всех связанных с ним сегментов.
Есть дополнительные законодательные акты, которые сопричастны регулированию ЭДО
Федеральный закон 402-ФЗ «О бухгалтерском учете» от 06.12.2011. Законодательный акт предусматривает систематизацию требований к бухгалтерии и бухгалтерским документам в электронном виде.
В т.ч. можно учесть Арбитражный процессуальный кодекс РФ, которые допускают документы, подписанные ЭП в качестве доказательств в суде.
И именно тут и пришло мне в голову поковыряться в вопросе обеспечения безопасности, ведь у нас стандарты для средств крипто-защиты обеспечивает ФСБ и обеспечивает выдачу сертификатов соответствия. С 18 февраля ввелись-таки новые ГОСТы. Таким образом, ключи, хранящиеся в облаке напрямую не защищены сертификатами ФСТЭК. Защита самих ключей и безопасного входа в «облако» и являются краеугольными камнями, которые пока еще мы у нас не решили. Далее рассмотрю пример регулирования в Евросоюзе, что наглядно продемонстрирует более продвинутую систему безопасности.
Европейский опыт использования облачных ЭП
Начнем с главного – облачные технологии, не только ЭП имеют четкий стандарт. Основой Группа координации облачных стандартов (Cloud Standard Coordination, CSC) Европейского института телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI). Однако на территории разных государств все еще имеются различия в стандартах защиты данных.
Базой для комплексной защиты данных является обязательная для провайдеров сертификация по ISO 27001:2013 на системы менеджмента информационной безопасности (соответствующий российский ГОСТ Р ИСО/МЭК 27001-2006 базируется на версии этого стандарта от 2006 года).
В ISO 27017 предусматриваются дополнительные элементы безопасности для облака, отсутствующие в ISO 27002. Полное официальное название этого стандарта: «Свод правил для средств управления информационной безопасностью на базе ISO/IEC 27002 для облачных сервисов» («Code of practice for information security controls based on ISO/IEC 27002 for cloud services»).
Летом 2014 года ISO опубликовала стандарт ISO 27018:2015 о защите персональных данных в облаке, а в конце 2015 года — ISO 27017:2015 о средствах контроля информационной безопасности для облачных решений.
Осенью 2014-го года в силу вступило новое Постановление Европарламента №910/2014, получившее название eIDAS. Новые правила разрешают пользователям хранение и использование ключа КЭП на сервере аккредитованного поставщика доверенных услуг, так называемого TSP (Trust Service Provider).
Европейский комитет по стандартизации (CEN) в октябре 2013-го года принял техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing», посвященную регулированию облачный ЭЦП. В документе описано несколько уровней соответствия безопасности. К примеру, для соответствия «уровня 2», предъявляемого для формирования квалифицированной электронной подписи, является поддержка строгих вариантов аутентификации пользователей. По требованиям данного уровня аутентификация пользователя происходит напрямую на сервере подписи, в отличии, к примеру, от допустимой для «уровня 1»аутентификации в приложении, которое от своего имени обращается к серверу подписи. Так же в соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны обязательно храниться в памяти специализированного защищенного устройства (англ. hardware security module, HSM).
Аутентификация пользователя в облачном сервисе обязана быть как минимум двухфакторной. Как правило наиболее доступный и простой в использовании вариант — это подтверждение входа через код полученный в СМС-сообщении. Так к примеру, реализовано большинство личных кабинетов ДБО российских банков. Помимо привычных криптографических токенов в качестве средства аутентификации может применяться также приложение на смартфоне, и генераторы одноразовых паролей (OTP-токены).
Могу подвести пока промежуточный итог, относительно того, что облачные КЭП пока у нас еще только формируются и отходить от железа рано. В принципе, это естественный процесс, который то и в Европе (о, великая!) длился около 13-14 лет, пока были выработаны более менее точные стандарты.
Пока мы не разработаем хороших ГОСТов, регулирующих наши облачные сервисы, рано говорить о полном отказе от аппаратных решений. Скорее, они сейчас, наоборот, станут двигаться в сторону «гибридов», то есть работать с облачными подписями в том числе. Некоторые примеры, соответствующие евростандартам работы с Cloud уже реализованы. Но об этом чуть подробнее и в новом материале.
Что такое облачная электронная подпись
В традиционном, привычном для подавляющего большинства пользователей понимании электронной подписи (ЭП) ключ этой самой подписи хранится у её владельца. Чаще всего для этого используется некий защищённый ключевой носитель в формате USB-токена или смарт-карты, который пользователь может носить с собой. Этот ключевой носитель тщательно оберегается владельцем от посторонних лиц, поскольку попадание ключа в чужие руки означает его компрометацию. Для использования ключа на устройстве владельца устанавливается специализированное программное обеспечение (СКЗИ), предназначенное для вычисления ЭП.
С другой стороны, в мире ИТ всё шире применяется концепция « облачных вычислений » , которая во многих отношениях имеет массу преимуществ по сравнению с использованием традиционных приложений, установленных на компьютере пользователя. Вследствие этого возникает вполне закономерное желание воспользоваться данными преимуществами облачных технологий для создания « ЭП в облаке » .
Но прежде чем решать данную задачу необходимо определить, что же мы будем понимать под « электронной подписью в облаке » . В настоящее время в разных источниках можно встретить разные же трактовки этого понятия, зачастую годящиеся разве что только для объяснения на пальцах человеку « с улицы » , который зашёл в Удостоверяющий Центр, чтобы « купить электронную подпись » .
Что такое квалифицированная электронная подпись в облаке
Для целей данной статьи, а также других научно-популярных и практических дискурсов об облачной электронной подписи предлагается использовать следующее определение.
Электронная подпись в облаке (облачная электронная подпись) – это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.
В соответствии с данным определением, для облачной электронной подписи может использоваться в том числе и локальное средство ЭП. Например, используя КриптоПро DSS Lite, пользователь через веб-браузер может подписывать электронный документ с помощью средства ЭП, установленного на его оконечном устройстве (персональный компьютер или планшет). В подобной системе ключ подписи остаётся у владельца и вопросы безопасности решаются с помощью стандартного набора средств, известного в мире « традиционной ЭП » . Если хотите, можно назвать это облачной ЭП с локальным средством ЭП.
Другой вариант облачной ЭП получается при использовании средства ЭП, размещённого в облаке. Для удобства дальнейшего изложения н азовём такую схему полностью облачной ЭП , чтобы отличать её от предыдущей. Эта схема регулярно вызывает жаркие дискуссии среди специалистов, поскольку подразумевает передачу самого ключа подписи « в облако » . Данная же статья призвана прояснить ряд вопросов, связанных с безопасностью полностью облачной ЭП.
Начнём с главного
Основной головной болью при переводе любой ИТ-системы « в облако » становится боль « безопасников » (и помогающих им юристов), связанная с передачей « туда » информации для обработки или хранения. Если раньше эта информация не покидала некоторого защищённого периметра, и можно было сравнительно легко обеспечить её конфиденциальность, то в облаке само понятие периметра отсутствует. При этом ответственность за обеспечение конфиденциальности информации в каком-то смысле « размывается » между её владельцем и поставщиком облачных услуг.
То же самое происходит и с ключом ЭП, передаваемым в облако. Более того, ключ ЭП – это не просто конфиденциальная информация. Ключ должен быть доступен только одному лицу – его владельцу. Таким образом, доверие к облачной подписи определяется не только личной ответственностью пользователя, но и безопасностью хранения и использования ключа на сервере и надежностью механизмов аутентификации.
В настоящее время проводятся сертификационные испытания нашего решения КриптоПро DSS. Это сервер облачной ЭП, хранящий ключи и сертификаты пользователей и предоставляющий аутентифицированный доступ к ним для формирования электронной подписи. Оба упомянутых выше аспекта безопасности облачной ЭП в частности являются предметом исследований, проводимых в ходе испытаний КриптоПро DSS. В то же время, стоит отметить, что существенная часть этих вопросов уже рассмотрена в рамках тематических исследований СКЗИ «ПАКМ КриптоПро HSM» , на котором основывается КриптоПро DSS.
Европейский путь
В октябре 2013 года Европейский Комитет по Стандартизации (CEN) одобрил техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing». В этом документе приводятся требования и рекомендации к серверу электронной подписи, предназначенному для создания, в том числе, квалифицированных подписей.
Хочется отметить, что уже сейчас КриптоПро DSS в полном объёме соответствует требованиям данной спецификации в наиболее сильном варианте: требованиям Уровня 2, предъявляемым для формирования квалифицированной электронной подписи (в терминах европейского законодательства).
Одним из основных требований Уровня 2 является поддержка строгих вариантов аутентификации. В этих случаях аутентификация пользователя происходит напрямую на сервере подписи – в противоположность допустимой для Уровня 1 аутентификации в приложении, которое от своего имени обращается к серверу подписи. Все методы аутентификации, поддерживаемые КриптоПро DSS, удовлетворяют данному требованию Уровня 2.
В соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны храниться в памяти специализированного защищенного устройства (криптографический токен, HSM). В случае КриптоПро DSS таковым устройством является программно-аппаратный криптографический модуль КриптоПро HSM – сертифицированный ФСБ России по уровню KB2 как средство ЭП.
Аутентификация пользователя на сервере электронной подписи для выполнения требований Уровня 2 обязана быть как минимум двухфакторной. КриптоПро DSS поддерживает широкий, постоянно пополняемый спектр методов аутентификации, в том числе и двухфакторных. Помимо привычных криптографических токенов в качестве средства аутентификации может использоваться и специализированное приложение на смартфоне, такое как КриптоПро AirKey, и генераторы одноразовых паролей (OTP-токены). В документе CEN эти методы также упомянуты.
Ещё одним перспективным способом аутентификации по Уровню 2 может стать использование криптографического приложения на SIM-карте в телефоне. По нашему мнению, данный вариант использования SIM-карт с криптографией наиболее реален, поскольку построение функционально законченного СКЗИ (или средства ЭП) по новым требованиям ФСБ на базе только лишь SIM-карты вряд ли возможно.
Рассматриваемая техническая спецификация также допускает использование сервера электронной подписи для формирования подписей сразу для некоторого набора документов. Данная возможность может быть полезна при подписании большого массива однородных документов, отличающихся лишь данными в нескольких полях. При этом аутентификация пользователя производится один раз для всего пакета документов. Поддержка такого варианта использования также имеется в КриптоПро DSS.
В документе CEN содержится также ряд требований к формированию, обработке, использованию и удалению пользовательского ключевого материала, а также к свойствам внутренней ключевой системы сервера электронной подписи и к аудиту. Эти требования полностью и даже «с запасом » покрываются требованиями, предъявляемыми к средствам ЭП класса KB2, по которому сертифицирован отвечающий за данные вопросы ПАКМ « КриптоПро HSM » .
Наше будущее
Решение КриптоПро DSS поддерживает широкий набор методов аутентификации, среди которых для каждой задачи возможно подобрать подходящий. Надёжность наиболее безопасных из них соответствует самым строгим критериям европейских требований CEN/TS 419241 и, как мы рассчитываем, в недалёком будущем будет подтверждена сертификатом соответствия ФСБ России.