Аннотация: В статье рассматриваются вопросы использования криптографических средств защиты информации, и в частности электронной подписи. Рассказывается о применении ЭП различны секторах, использовании отечественных алгоритмов, требований ФСБ к аппаратному и программному обеспечению. Так же внимание уделено европейскому стандарту eIDAS и соответствии отечественных УЦ и ИБ продуктов его требования.
Ключевые слова: digital security signature, e-document workflow, remote banking services, authentication, eIDAS, Russian GOST, Crypto-Pro
Требования к информационной безопасности и защите платежной информации для всех банков ведущих бизнес в России устанавливает федеральный регулятор – Центральный Банк России. В стеке документов получивших название СТО БР ИББС (отраслевой стандарта Банка России по безопасности) указаны требования к защите критически значимых бизнес процессов связных с финансовыми операциями и личными данными клиентов. В документе рассматриваются все подсистемы корпоративной информационной безопасности, которые разделены на два больших блока: менеджмент ИБ (1) и технические требования (2). В технических требованиях внимание уделяется таким пунктам как распределении прав и ролей пользователей, конфигурация встроенных механизмов защиты в автоматизированных банковских системах, управлении доступом и регистрацией событий, антивирусной защиты, использовании ресурсов сети Интернет, обработке персональных данных и так далее. Одна из глав стандарта посвящена использованию средств криптографической защиты информации, в которую входит понятие «электронной подписи».
Электронная подпись на электронных документах согласно российского законодательства считается обязательным юридически значимым реквизитом документа. Подпись обеспечивает документу такие свойства как:
-
защита от модификации (имитозащита)
-
определение авторства
-
фиксация факта действия
Благодарят электронной подписи (ЭП) стал возможен переход от бумажного делопроизводство на электронной документооборот и обмен данными через сеть Интернет. По требованиям ФСБ (федеральная служба безопасности России) и ФСТЭК (специальной службы государственной безопасности по техническим средствам) все устройства (например, микросхемы usb-брелков) и программы ЭП должны соответствовать ГОСТ (национальный стандарт), т.е. использованы только российские алгоритмы создания и проверки подписей (хешей). Использование иностранного программного обеспечения (ПО) запрещено, исключения сделано только для тех компаний вендоров, которые добровольно прошли сертификацию в ФСБ. Сертификация в ФСБ простыми словами это передача исходных кодов ПО содержащих алгоритмы ЭП для проверки на недокументированные возможности и специальные закладки в коде. Именно поэтому в Росси для банков, государственных и многих коммерческих компаний применяются только отечественные разработки ПО и почти не распространены европейские стандарты, например eIDAS. ЭП которая устанавливается на платежные поручения, кассовые ордера, платежные требования и подобные финансовые документы обязательно должна быть выполнена по российскому ГОСТ. Хотя ГОСТ отличатся от общемировых алгоритмов, в своей основе они использую аналоги, например в ГОСТ 28147-89 используется математическая база крипто алгоритма DES.
Однако, в автоматизированных банковских системах (АБС, программное обеспечение в банках для автоматизации банковских операций) и в сервисах дистанционного банковского обслуживания используются общепризнанные мировые стандарты криптографии. Так при web-аутентификации в личный кабинет проверяется SSL-сертификат домена. Так же используя ассиметричные математические алгоритмы Деффи-Хелмана, Эл Гамаля или RSA происходит создание защищенного сеанса связи и обмена ключами между устройством клиента и сервером банка. Передача данных от одного банка к другому происходит через защищенный VPN-канал, например, зашифрованное по протоколу IPSec или российскому ГОСТ, который может быть инкапсулирован, т.е. так называемое двойное шифрование «тунель-в-тунель». Нужно сказать, что российский стандарт ЭП открыт публике и описан в ГОСТ Р 34.10-2012, поэтому зарубежные разработчики легко могут взять его при необходимости адаптировать свое ПО под требования российского законодательства. Помимо ЭП данные ГОСТ Р 34.10-2012 используется в защищенных протоколах TSL, HTTPS, XML Encryption и DNSSEC.
Технически ЭП по закону разделена на три типа:
-
простая ЭП
-
неквалифицированная усиленная ЭП
-
квалифицированная усиленная ЭП
Простая ЭП – это по сути связка логин и пароль, т.е. набор данных не позволяющих однозначно идентифицировать пользователя, но все таки обеспечивающее какую-то защиту. Это наиболее простой и дешевый вариант. Используется для входа в почту, личные кабинеты некоторых сайтов и т.д.
Неквалифицированная усиленная ЭП – подпись, позволяющая однозначно установить авторство и имеющая защиту от модификации документа. Используется, например, в двухстороннем электронном документообороте.
Квалифицированная усиленная ЭП - подпись, позволяющая однозначно установить авторство и имеющая защиту от модификации документа, выполненная на защищенном устройстве хранения (usb-брелок) и подверженная аккредитованным и официальным центром сертификации. Такая подпись может использоваться для участия на сайте государственных закупок, обмена финансовыми данными с государственными ведомствами (налоговая служба, пенсионный фонд, органы власти) и частными компаниями на территории России и за ее пределами.
Не смотря на то, что Россия она не входит в Евросоюз, она все же присоединилась к директиве EU Regulation № 910/2014 от 23 июля 2014. В ее основе лежит eIDAS – новый регламент, устанавливающий общий стандарт для доверительных услуг, включая электронные подписи, а также обеспечивает основу для многопрофильной электронной коммерческой деятельности, осуществляемой между государственными органами, предприятиями и частными лицами во всех странах-членах Европейского Союза.
eIDAS устанавливает европейские требования к системам криптографической защиты. К примеру, разрешается хранение и использование ключа квалифицированной ЭП на сервере аккредитованного поставщика доверенных услуг - так называемого TSP (Trust Service Provider). А таким поставщиком может выступить аккредитованный УЦ. Накладывается также и ряд требований по аутентификации: должны поддерживаться строгие варианты аутентификации, аутентификация пользователя должна происходить напрямую на сервере подписи и быть как минимум двухфакторной. При этом в качестве средства аутентификации может использоваться и специализированное программное приложение на смартфоне, к примеру «КриптоПро AirKey».
Одним из Российских удостоверяющих центров (УЦ) советующий всем требованиям европейского стандарта eIDAS сегодня является центр «Крипто-Про». А так же разработанные им продукты такие как «КриптоПро DSS» и «КриптоПро HSM» (программно-аппаратный криптографический модуль) сертифицированный ФСБ России. По мимо этого «КриптоПро DSS» поддерживает широкий набор методов аутентификации, в том числе наиболее безопасных по самым строгим критериям европейских требований CEN/TS 419241.
References and Further Reading
- Selected articles on Authentication (2014-16), by Heather Walker, Luis Balbas, Guillaume Forget and Dawn M. Turner
- Selected articles on Electronic Signing and Digital Signatures (2014-16), by Ashiq JA, Guillaume Forget, Peter Landrock, Torben Pedersen, Dawn M. Turner and Tricia Wittig
- REGULATION (EU) No 910/2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC (2014) by the European Parliament and the European Commission
- Recommendations for the Security of Internet Payments (Final Version) (2013), by the European Central Bank
- Draft NIST Special Publication 800-63-3: Digital Authentication Guideline (2016), by the National Institute of Standards and Technology, USA.
- NIST Special Publication 800-63-2: Electronic Authentication Guideline (2013), by the National Institute of Standards and Technology, USA.
- Security Controls Related to Internet Banking Services (2016), Hong Kong Monetary Authority
Image: 0371 - Moskau 2015, courtesy of Uwe Brodrecht, Flickr (CC BY-SA 2.0CC BY-SA 2.0)