Pe de altă parte, conceptul de "cloud computing" este din ce în ce mai utilizat în lumea IT. care în multe privințe are multe avantaje față de utilizarea aplicațiilor tradiționale instalate pe computerul utilizatorului.
În consecință, există o dorință legitimă de a profita de aceste tehnologii pentru a crea "EP în nor".
Dar, înainte de a rezolva această problemă, este necesar să determinăm ce înțelegem prin "semnătura electronică în nor". În prezent, interpretări diferite ale acestui concept pot fi găsite în diferite surse, adesea potrivite doar pentru explicarea pe degetele unei persoane "de pe stradă". care a mers la Centrul de Certificare pentru a "cumpăra o semnătură electronică".
Ce este o semnătură electronică calificată în cloud
În sensul prezentului articol, precum și al altor discursuri științifice și practice populare privind semnătura electronică a cloudului, se propune următoarea definiție.
Semnătura electronică în cloud (semnătura electronică a cloud-ului) este un sistem informatic care oferă acces prin rețea la capacitățile de a crea, verifica EP și integra aceste funcții în procesele de afaceri ale altor sisteme.
În conformitate cu această definiție, pentru o semnătură electronică bazată pe cloud, poate fi de asemenea folosită o facilitate locală EP. De exemplu, folosind CryptoPro DSS Lite. utilizatorul poate să semneze un document electronic prin intermediul unui browser web utilizând instrumentul EP instalat pe dispozitivul său terminal (computer personal sau tabletă). Într-un astfel de sistem, cheia de semnătură rămâne cu proprietarul, iar problemele de securitate sunt rezolvate utilizând un set standard de instrumente cunoscute în lume ca "EP tradițional". Dacă doriți, îl puteți numi un grup EP cu o unitate locală EP.
Să începem cu
Principala durere de cap atunci când transferați orice sistem informatic în nor este durerea "securității" (și a asistenților juridici) asociată cu transferul informațiilor "acolo" pentru procesare sau stocare. Dacă mai devreme această informație nu a lăsat un perimetru protejat și ar putea fi destul de ușor să se asigure confidențialitatea acestuia, atunci în nor, conceptul de perimetru în sine este absent. În același timp, responsabilitatea pentru asigurarea confidențialității informațiilor într-un anumit sens este "neclară" între proprietarul său și furnizorul de servicii cloud.
Același lucru se întâmplă când cheia EP este trecută la nor. În plus, cheia EP nu este doar informație confidențială. Cheia ar trebui să fie accesibilă numai unei singure persoane - proprietarului acesteia. Astfel, încrederea în semnătura cloud este determinată nu numai de responsabilitatea personală a utilizatorului, ci și de securitatea stocării și utilizării cheii de pe server și de fiabilitatea mecanismelor de autentificare.
Testele de certificare a soluției noastre CryptoPro DSS sunt în curs de desfășurare. Acesta este un server bazat pe cloud care stochează cheile și certificatele de utilizator și oferă acces autentificat la acestea pentru generarea unei semnături electronice. Ambele aspecte de mai sus ale securității norului sunt în special obiectul cercetărilor efectuate în timpul testelor Cryptopro DSS. În același timp, este demn de remarcat faptul că o parte semnificativă a acestor aspecte a fost deja luată în considerare în cadrul studiilor de caz ale CCPI "PACM CryptoPro HSM". pe care se bazează DSS CryptoPro.
În țara noastră sunt prost elaborate aspectele organizatorice și juridice ale PE nor, astfel încât în acest articol ne vom uita la DSS CryptoPro din punct de vedere al cerințelor unui server de semnătură, elaborate de Comitetul European pentru Standardizare (CEN).
Modul european
Trebuie remarcat faptul că deja în Crypto DSS respectă în totalitate cerințele din această specificație în cea mai puternică versiune: cerințele de nivel 2, cerințele pentru formarea unei semnături electronice calificate (în ceea ce privește legislația europeană).
Una dintre cerințele cheie ale nivelului 2 este de a sprijini opțiunile puternice de autentificare. În aceste cazuri, autentificarea utilizatorului are loc direct pe serverul de semnături - spre deosebire de nivelul de autentificare permis pentru nivelul 1 din aplicație, care, în nume propriu, se referă la serverul de semnături. Toate metodele de autentificare acceptate de CryptoPro DSS satisfac această cerință a Tier 2.
În conformitate cu această specificație, cheile de semnătură ale utilizatorilor pentru formarea unui EP calificat trebuie să fie stocate în memoria unui dispozitiv securizat specializat (tokenul criptografic, HSM). În cazul CryptoPro DSS, acest dispozitiv este modulul criptografic software CryptoPro HSM - certificat de către Serviciul Federal de Securitate al Rusiei în KB2 ca mijloc al EP.
Specificația tehnică în cauză permite, de asemenea, utilizarea unui server de semnături electronice pentru a forma simultan semnături pentru un set de documente. Această caracteristică poate fi utilă atunci când semnați o gamă largă de documente omogene care diferă numai în cazul datelor din mai multe domenii. În acest caz, autentificarea utilizatorului este efectuată o dată pentru întregul pachet de documente. Suportul pentru acest caz de utilizare este de asemenea disponibil în CryptoPro DSS.
Documentul CEN conține o serie de cerințe pentru formarea, prelucrarea, utilizarea și eliminarea materialului keying de utilizator, precum și proprietățile miezului interior al sistemului de semnătură electronică și server de audit. Aceste cerințe sunt pe deplin și chiar „cu rezerve“ sunt acoperite de cerințele pentru clasa EA înseamnă KB2, prin care este certificat responsabil de aceste probleme PacMan „Crypto HSM».
Viitorul nostru
Soluția CryptoPro DSS suportă o gamă largă de metode de autentificare, printre care este posibilă selectarea celei potrivite pentru fiecare activitate. Fiabilitatea celor mai sigure dintre ele îndeplinește criteriile cele mai stricte din cerințele europene CEN / TS 419241 și, așa cum ne așteptăm, în viitorul apropiat va fi confirmată de certificatul de conformitate al FSB al Rusiei.
Director adjunct tehnic
Șef al Departamentului de Securitate Informatică
Trimiteți-le prietenilor: