Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?
Международный научно-исследовательский журнал публикации ВАК
Научные направления
Поделиться:
Разделы: Информационные технологии
Размещена 15.06.2017. Последняя правка: 13.06.2017.

Облачная электронная подпись: преимущества, недостатки и пути развития

Кириллова Владлена Олеговна

специалист

Федеральное государственное бюджетное образовательное учреждение высшего образования «Тамбовский государственный университет имени Г.Р. Державина»

специалист учебно-методического отдела

Аннотация:
В статье рассматривается проблема использования облачной электронной подписи с точки зрения законности и безопасности. Освещены различные подходы к изучению проблемы, приведены примеры российских разработок.


Abstract:
The article discusses the problem of using cloud electronic signature from the point of view of legality and security. Various approaches to the study of the problem are highlighted, examples of Russian developments are given.


Ключевые слова:
электронная подпись, облако, безопасность, информационные технологии, облачные технологии

Keywords:
electronic signature, cloud, security, Information Technology, cloud technologies


УДК 004.056.53

Введение

Вместе с активной информатизацией всех сфер жизни современного общества реализуется переход к облачным вычислениям и сервисам. Государственные услуги уже функционируют в облачных сервисах ввиду их высокой производительности для массового использования гражданами. Перенос документооборота в облачные хранилища так же актуален и для малого динамически развивающегося бизнеса. В процессе такого переноса и возникает вопрос безопасности и целесообразности использования облачной подписи. Облачная подпись активно может использоваться в таких сферах деятельности, как:

  • системы Интернет-банкинга или мобильного банкинга, в которых необходимо использование квалифицированной электронной подписи;
  • порталы госуслуг, системы сдачи электронной отчетности;
  • системы электронной коммерции;
  • системы электронного документооборота.

Актуальность.

Электронная подпись в облаке (облачная электронная подпись) – это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем. Облачная электронная подпись обладает всеми свойствами ЭП, только хранится не на токене или компьютере, а в Интернете – на специализированном защищенном сервере, в облаке. Облачная ЭП подразумевает, что ваш закрытый ключ ЭП хранится на сервере удостоверяющего центра, и подписание документов происходит там же. С одной стороны факт того, что ключ и подписание документов происходят на стороне сервера удешевляет всю систему ЭП, с другой стороны ключ закрытый и должен храниться только у его владельца, что создает массу вопросов к безопасности данного сервиса.

Цели, задачи, материалы и методы.

Целью данной работы является анализ научных публикаций и законодательства в сфере электронной подписи и ее подвида – облачной электронной подписи.

Реализация данной цели осуществляется с помощью решения следующих задач:

- провести анализ научной и учебной литературы по теме «Облачная электронная подпись»;

- изучить различные подходы к решению неотчуждаемости ключа электронной подписи пользователя;

- рассмотреть подробнее такие разработки как «Digital Signature Server» и «Hardware Security Module».

Методы исследования:

- анализ документов, федеральных законов;

- анализ данных периодической печати, учебной литературы, практических пособий.

Научная новизна.

Новизна данной работы заключается в новом для ИТ индустрии РФ понятии Облачная подпись. Облачная подпись имеет свои достоинства и недостатки. Облачная ЭП обычно дешевле обычной ЭП, это связано с отсутствием необходимости приобретения средства криптографической защиты информации и токена с сертификатом. Для людей далеких от информационных технологий немаловажен факт простоты использования облачной подписи: не нужно устанавливать на АРМ сертификат ЭП и специальные средства работы с ней. Работать с облачной ЭП можно из любой точки мира, с любого устройства имеющего подключение к сети Интернет. Однако существуют и недостатки, такие как передача и хранение ключа на сервере. Серверы надежно защищены, но факт нарушения конфиденциальности ключа и отчуждения его от владельца делает облачную ЭП неквалифицированной, т.е. не подтвержденной сертификатом, выданным аккредитованным удостоверяющим центром. Ориентированность облачной ЭП на одну конкретную систему, т.е. сервис облачной ЭП созданный для одной информационной системы, как правило, не применим для другой. Иначе говоря, пользователь обременен необходимостью обладания ключом подписи для каждой из систем.

Облачная подпись в сегодняшнем понимании относится к категории усиленная неквалифицированная подпись. Большинство задач, выполняемых ею, соответствуют понятию, законодательно закрепленному как усиленная подпись. Но в то же время эта подпись не сертифицирована ФСБ как регулятором, отвечающим за безопасность подписей, основанных на криптографических методах. В настоящее время схема подписания документа в облаке выгладит так: подписание документов происходит на сервере DSS (Digital Signature Server) с использованием ключей, хранящихся в HSM (Hardware Security Module). При этом, доступ пользователей к HSM основан на использовании, как правило, некриптографических систем аутентификации, таких как:

• классическая однофакторная аутентификация по логину и паролю;

• двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS).

Основная проблема – идентификация личности пользователя – сохраняется и для облачной подписи. Выходя на облачный сервис, человек использует логин-пароль. Этого, конечно, мало. Нужно точно знать, кто вошел под этим логином-паролем. Можно использовать отпечаток пальца отправляя его по нешифруемому соединению серверу. Ключевым фактором останется «нешифруемое соединение», ведь мы не имеем средства криптографической защиты информации.

В таком случае нивелируется одно из основных назначений ЭП − надежный криптографический способ определения автора электронного документа. Такой подход может быть оправдан только для систем межкорпоративного электронного документооборота в которых решение на базе DSS/HSM реализуется на уровне участвующих в них корпораций. В этом случае исходящие документы в общей системе обрабатываются по обычным правилам, а хранение ключей в защищённом облаке, реализуется для удобства сотрудников.

Федеральным законом от 06-04-2011 № 63-ФЗ «Об электронной подписи» установлено, что для создания и проверки квалифицированной электронной подписи должны использоваться средства электронной подписи, получившие подтверждение соответствия требованиям этого закона, то есть прошедшие сертификацию на соответствие требованиям 63-ФЗ у регулятора [1]. Более простой проверки, контроля встраивания СКЗИ в конкретную информационную систему, где используется облачная электронная подпись, может оказаться недостаточно [2].

В настоящее время компании разработки средств защиты информации озабочены повышением безопасности аутентификации пользователя при подтверждении подписания документа облачной ЭП и шифрованием данных при передачи посредством сети Интернет. Компании КРИПТО-ПРО и SafeTech прдеставили совместную разработку КриптоПро myDSS на базе программно-аппаратного комплекса облачной электронной подписи (ЭП) КриптоПро DSS и системы подтверждения электронных транзакций PayControl [3].Однако на данный момент решение находится на сертификации в ФСБ России, и подпись является квалифицированной только, по словам разработчиков. Контур.Диадок так же предлагает квалифицированную усиленную облачную ЭП с относительно низкой стоимостью и аутентификацией через логин+пароль и sms-сообщение с одноразовым паролем [4]. Сертификата ФСБ России на сайте на обнаружено. Таким образом, безопасность использования напрямую связана с доступом к телефону пользователя. На сегодняшний день этот риск постепенно снижается, так как установка примитивной парольной защиты на телефон – все более распространенная практика у пользователей.

Заключение, результаты, выводы

Применение облачной подписи это один из шагов по развитию новейших информационных технологий, наше приближение к удобному цифровому будущему. Однако в этой области еще есть над чем работать. Необходимы гарантии со стороны государства в виде сертификата соответствия требованиям по безопасности информации средств облачной электронной подписи. Целесообразна разработка и внедрение стандарта на применение облачной электронной подписи.

Библиографический список:

1. Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ (последняя редакция) [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_112701/ (дата обращения: 07.06.2017)
2. Облачная подпись: сближение практики и законодательства [Электронный ресурс]. – Режим доступа: http://roseu.org/article/32 (дата обращения: 07.06.2017)
3. КриптоПро myDSS [Электронный ресурс]. – Режим доступа: https://www.cryptopro.ru/products/mydss (дата обращения: 07.06.2017)
4. Что такое облачная электронная подпись?[Электронный ресурс]. – Режим доступа: http://www.diadoc.ru/lp-instruction (дата обращения: 07.06.2017)




Рецензии:

15.06.2017, 15:46 Эрштейн Леонид Борисович
Рецензия: В связи с отсутствием какой-либо новизны к публикации не рекомендую.



Комментарии пользователей:

Оставить комментарий


 
 

Вверх