Аннотация: В статье рассматриваются вопросы использования криптографических средств защиты информации, и в частности электронной подписи. Рассказывается о применении ЭП различны секторах, использовании отечественных алгоритмов, требований ФСБ к аппаратному и программному обеспечению. Так же внимание уделено европейскому стандарту eIDAS и соответствии отечественных УЦ и ИБ продуктов его требования.

Ключевые слова: digital security signature, e-document workflow, remote banking services, authentication, eIDAS, Russian GOST, Crypto-Pro

Требования к информационной безопасности и защите платежной информации для всех банков ведущих бизнес в России устанавливает федеральный регулятор – Центральный Банк России. В стеке документов получивших название СТО БР ИББС (отраслевой стандарта Банка России по безопасности) указаны требования к защите критически значимых бизнес процессов связных с финансовыми операциями и личными данными клиентов. В документе рассматриваются все подсистемы корпоративной информационной безопасности, которые разделены на два больших блока: менеджмент ИБ (1) и технические требования (2). В технических требованиях внимание уделяется таким пунктам как распределении прав и ролей пользователей, конфигурация встроенных механизмов защиты в автоматизированных банковских системах, управлении доступом и регистрацией событий, антивирусной защиты, использовании ресурсов сети Интернет, обработке персональных данных и так далее. Одна из глав стандарта посвящена использованию средств криптографической защиты информации, в которую входит понятие «электронной подписи».

Электронная подпись на электронных документах согласно российского законодательства считается обязательным юридически значимым реквизитом документа. Подпись обеспечивает документу такие свойства как:

  • защита от модификации (имитозащита)

  • определение авторства

  • фиксация факта действия

Благодарят электронной подписи (ЭП) стал возможен переход от бумажного делопроизводство на электронной документооборот и обмен данными через сеть Интернет. По требованиям ФСБ (федеральная служба безопасности России) и ФСТЭК (специальной службы государственной безопасности по техническим средствам) все устройства (например, микросхемы usb-брелков) и программы ЭП должны соответствовать ГОСТ (национальный стандарт), т.е. использованы только российские алгоритмы создания и проверки подписей (хешей). Использование иностранного программного обеспечения (ПО) запрещено, исключения сделано только для тех компаний вендоров, которые добровольно прошли сертификацию в ФСБ. Сертификация в ФСБ простыми словами это передача исходных кодов ПО содержащих алгоритмы ЭП для проверки на недокументированные возможности и специальные закладки в коде. Именно поэтому в Росси для банков, государственных и многих коммерческих компаний применяются только отечественные разработки ПО и почти не распространены европейские стандарты, например eIDAS. ЭП которая устанавливается на платежные поручения, кассовые ордера, платежные требования и подобные финансовые документы обязательно должна быть выполнена по российскому ГОСТ. Хотя ГОСТ отличатся от общемировых алгоритмов, в своей основе они использую аналоги, например в ГОСТ 28147-89 используется математическая база крипто алгоритма DES.

Однако, в автоматизированных банковских системах (АБС, программное обеспечение в банках для автоматизации банковских операций) и в сервисах дистанционного банковского обслуживания используются общепризнанные мировые стандарты криптографии. Так при web-аутентификации в личный кабинет проверяется SSL-сертификат домена. Так же используя ассиметричные математические алгоритмы Деффи-Хелмана, Эл Гамаля или RSA происходит создание защищенного сеанса связи и обмена ключами между устройством клиента и сервером банка. Передача данных от одного банка к другому происходит через защищенный VPN-канал, например, зашифрованное по протоколу IPSec или российскому ГОСТ, который может быть инкапсулирован, т.е. так называемое двойное шифрование «тунель-в-тунель». Нужно сказать, что российский стандарт ЭП открыт публике и описан в ГОСТ Р 34.10-2012, поэтому зарубежные разработчики легко могут взять его при необходимости адаптировать свое ПО под требования российского законодательства. Помимо ЭП данные ГОСТ Р 34.10-2012 используется в защищенных протоколах TSL, HTTPS, XML Encryption и DNSSEC.

Технически ЭП по закону разделена на три типа:

  • простая ЭП

  • неквалифицированная усиленная ЭП

  • квалифицированная усиленная ЭП

Простая ЭП – это по сути связка логин и пароль, т.е. набор данных не позволяющих однозначно идентифицировать пользователя, но все таки обеспечивающее какую-то защиту. Это наиболее простой и дешевый вариант. Используется для входа в почту, личные кабинеты некоторых сайтов и т.д.

Неквалифицированная усиленная ЭП – подпись, позволяющая однозначно установить авторство и имеющая защиту от модификации документа. Используется, например, в двухстороннем электронном документообороте.

Квалифицированная усиленная ЭП - подпись, позволяющая однозначно установить авторство и имеющая защиту от модификации документа, выполненная на защищенном устройстве хранения (usb-брелок) и подверженная аккредитованным и официальным центром сертификации. Такая подпись может использоваться для участия на сайте государственных закупок, обмена финансовыми данными с государственными ведомствами (налоговая служба, пенсионный фонд, органы власти) и частными компаниями на территории России и за ее пределами.

Не смотря на то, что Россия она не входит в Евросоюз, она все же присоединилась к директиве EU Regulation № 910/2014 от 23 июля 2014. В ее основе лежит eIDAS – новый регламент, устанавливающий общий стандарт для доверительных услуг, включая электронные подписи, а также обеспечивает основу для многопрофильной электронной коммерческой деятельности, осуществляемой между государственными органами, предприятиями и частными лицами во всех странах-членах Европейского Союза.

eIDAS устанавливает европейские требования к системам криптографической защиты. К примеру, разрешается хранение и использование ключа квалифицированной ЭП на сервере аккредитованного поставщика доверенных услуг - так называемого TSP (Trust Service Provider). А таким поставщиком может выступить аккредитованный УЦ. Накладывается также и ряд требований по аутентификации: должны поддерживаться строгие варианты аутентификации, аутентификация пользователя должна происходить напрямую на сервере подписи и быть как минимум двухфакторной. При этом в качестве средства аутентификации может использоваться и специализированное программное приложение на смартфоне, к примеру «КриптоПро AirKey».

Одним из Российских удостоверяющих центров (УЦ) советующий всем требованиям европейского стандарта eIDAS сегодня является центр «Крипто-Про». А так же разработанные им продукты такие как «КриптоПро DSS» и «КриптоПро HSM» (программно-аппаратный криптографический модуль) сертифицированный ФСБ России. По мимо этого «КриптоПро DSS» поддерживает широкий набор методов аутентификации, в том числе наиболее безопасных по самым строгим критериям европейских требований CEN/TS 419241.

 New Call-to-action

References and Further Reading

 Image: 0371 - Moskau 2015, courtesy of Uwe Brodrecht, Flickr (CC BY-SA 2.0CC BY-SA 2.0) 

Other Related Articles: # Digital Signatures # eIDAS # Banking

Want to know how we can help ?

Get in touch to better understand how our solutions secure ecommerce and billions of transactions worldwide.