Рынок поддержит регулятора в вопросе требований к ОЭП?
14/09/2023
Третий день PKI-Форума начался с обсуждения актуальных задач мобильной и облачной подписей. Открыл сессию «Мобильная, удалённая, дистанционная, облачная подпись: актуальные задачи» Станислав Смышляев («КриптоПро»), который представил краткий доклад «Безопасная мобильная подпись для всех». Спикер описал текущее положение дел и направление развития технологии в целом.
«Облачная подпись — одна из технологий», — отметил докладчик, подчеркнув, что большинство пользователей интересует некая удобная ЭЦП с использованием мобильных устройств. Аспекты использования средств криптозащиты информации на мобильных устройствах неоднократно обсуждались на профильных мероприятиях, поэтому спикер остановился на аспектах проблемы с учётом использования СКЗИ на устройствам класса КС1. В связи со слабой защищённостью мобильных устройств и особенностями их массового применения, есть несколько принципиальных подходов к использованию облачных подписей:
Простой и дешёвый, когда СКЗИ и ключ хранятся на телефоне, на нём же осуществляются все проверки;
Использования токенов. При этом возможна компрометация разового доступа, среди минусов решения — его высокая стоимость;
Хранение ключа на сервере, что требует отдельных требований и дополнительной аккредитации УЦ, выделения отдельного класса ЭЦП. С учётом особенностей реализации подхода, в теории ключ можно сломать;
Комбинированное клиент-серверное решение, при котором ключ распределён между клиентским устройством и сервером. Минус такого подхода — расшифровка ключа на телефоне при применении подписи и возможность его компрометации.
Компания «КриптоПро» разработала семейство протоколов DKSSP, которые поставили цель защитить ключи в условии отсутствия доверия как к клиенту, так и к серверу. Решение успешно реализовано в продуктах компании и как самостоятельный инструмент оно сертифицировано ФСБ. Однако не является облачным и требует доработки программных СКЗИ и hsm. Сегодня идут исследования облачного решения, при их удачном завершении можно получить безопасную мобильную подпись на устройствах.
Антон Мелузов («РТЛабс»), приступая к докладу «Актуальные задачи применения технологий мобильной электронной подписи», отметил, что текущая ситуация показывает темпы развития отрасли. Вопросы облачной и мобильной подписи звучали ещё три года назад, ответа а них не было. Сегодня есть решение, о его стандартизации можно будет говорить в следующем году.
По данным измерений в сфере мобильных подписей, по количеству скачивания популярных приложений число уникальных пользователей, которые используют приложения «Госключ» и аналогичные ему приближается к 10 млн. Это существенная цифра, которая охватывает 10-15% экономически активного населения, заявил докладчик. Поэтому уже можно говорить о качественном переходе на такие решения. Учитывая переход до 31.08.2024 на сертификаты физлица с МЧД, стоит задача поддержать эти процессы.
При этом с точки зрения массового применения технологий необходимо универсальное применение решений для разных бизнес-процессов. Здесь возникают сложности с контролем систем, а не потребителей. Работу в этом направлении ведёт Минцифры, которое отслеживает системы с целью обеспечения доверия и защиты пользователей. Есть вопросы в части ЗАС, защиты конфиденциальной информации или части информации при передаче её через промежуточную площадку. Отдельно стоит вопрос визуализации, порядка подписей аудио- и видео-файлов, архивов. Необходимо найти единую трактовку в этом вопросе, полагает спикер. Нет и универсального решения по визуализации xml, преобразования шаблонов документов в человекочитаемый формат с учетом СКЗИ. Есть проблемы с архивным хранением ЭДО и метками времени.
Отдельный вопрос связан со способами идентификации, учитывая небольшое распространение загранпаспортов. Использование ЕБС как способа идентификации меняет ситуацию. Однако в «Госключе» нет системы очной идентификации гражданина при визите в МФЦ. Работа над этими вопросами ведётся.
Отвечая на вопрос модераторов сессии о сроках принятия требований к облачным и мобильным подписям, представитель 8 Центра ФСБ России Константин Дробаденко отметил, что документ готов и идёт его согласование со всеми заинтересованными лицами. Оценка воздействия будет испытанием для отрасли, как и согласование между желаемым результатом и технологиями, которые позволят его реализовать. Важно, чтобы в ходе подписания документа на стороне сервиса подписывался именно тот документ, который нужен пользователю. Важно, чтобы УЦ который предоставляет услуги, был аккредитован. На стороне пользователя должны быть минимальные риски, уверен представитель регулятора. Он добавил, что требования должны пройти регуляторную гильотину, потребуется широкий консенсус отрасли на стадии регистрации требований в Минюсте. Приказ готов и технологически нейтрален, выдержан в требованиях, которым должны отвечать технологии.
«Работа по принятию требования предстоит большая, необходимо соблюдение всей бюрократической процедуры», — отметил Константин Дробаденко. Он отказался называть конкретные сроки принятия документа, заметив, что рынок должен поддержать регулятора при обсуждении требований к облачной подписи, чтобы переход от формальной стороны вопроса к реализации не стал обременением для отрасли.
Участники круглого стола обсудили бизнес-вопросы и технические аспекты реализации технологий безопасного использования облачных подписей и их технологичности, реальные кейсы и сценарии их применения. Коснулись и вопроса рисков применения различных видов ЭЦП. В завершении дискуссии её участники сошлись на том, что многие вопросы остались за рамками сессии и надо решать эти вопросы путём широкого обсуждения.