Смирнов В. А.: Облачные технологии электронной подписи

Перенос электронной подписи (ЭП) в облако, безусловно, значительно упрощает работу пользователей. Однако при выборе такого рода решений необходимо найти правильный компромисс между удобством, сложностью и безопасностью всей системы.

Работу с ЭП в облаке можно разделить на 2 составляющие — формирование и проверка.

Проверка ЭП в облаке.

Проверка ЭП в облаке — шаг, который имеет много плюсов. Для этого пользователям не нужно устанавливать у себя криптографическое ПО и отслеживать все нюансы проверки сертификатов ЭП. За них все это делает система, которая при проверке подписи выдаёт бинарный ответ — Да/Нет, при этом, как организована сама проверка и какие технологии для этого используются, пользователь не видит.

Перенос проверки подписи в облако, применительно к электронному документообороту, позволяет в WWW создавать публичные системы ЭДО, ознакомление с документами и проверка подписей в которых становится доступной любому пользователю с помощью обычных браузеров и может производиться как при непосредственной работе в «облаке», так и по интернет-ссылкам на конкретные документы.

Примером использования подобного рода облачных технологий могут служить авторская сеть «Автограф» (www.i-autograph.com), разработки компании «Сигнал-КОМ», в которой проверка ЭП реализуется в облаке с передачей её результатов проверяющему по защищённому, на основе протокола TLS, каналу. Проверка подписи осуществляется при просмотре документа, при этом, на экран выводятся:

  • её результат,
  • параметры сертификата подписавшего,
  • время подписания,
  • ссылка на соответствующую политику электронной подписи.

Подписание документов в сети «Автограф» производится на стороне клиента, на основе предустановленного в его браузере java-аплета.

В сети «Автограф» использование документов, подписанных ЭП со штампами времени, позволяет также организовать их архивное хранение.

Формирование ЭП в облаке

При формировании усиленной ЭП в облаке, там же приходится размещать и хранилище секретных ключей, обеспечивая к ним защиту от НСД. Обычно для этого используются изделия HSM (hardware secure module), доступ к которым в облаке организуется на основе некриптографических методов аутентификации.

Понятно, что в этих условиях общая безопасность всей системы определяется безопасностью её самого слабого звена, каковым является данная аутентификация, и последующее использование усиленной ЭП на неё не влияет.

Поэтому, но нашему мнению, в случаях, когда допускается снижение требований к безопасности системы и хочется перенести формирование ЭП в облако, целесообразнее вместо усиленной ЭП использовать простую ЭП в совокупности с ЭП сервера со штампом времени.

Описание решения

В состав облачной информационной системы с использованием технологии ЭП, как правило, входят сервер аутентификации, сервер приложений и сервер DSS (Digital Signature Server) c сервером TSA (Time Stamp Authority).

После аутентификации пользователя он попадает в свой личный кабинет на сервере приложений, где формирует электронный документ (ЭД) путём, например, заполнения полей Web-формы. Поле «Подпись» в форме автоматически заполняется аутентифицирующей пользователя информацией, представляет собой его простую ЭП и предназначено для визуального контроля.

Если документ с такой простой подписью заверить электронной подписью сервера DSS и получить штамп времени в службе штампов времени TSA, то будет обеспечена и защита целостности документа, и время его подписания.

В этом случае проверка простой ЭП сводится к проверке усиленной ЭП DSS-сервера со штампом времени и, поэтому, технологически, легко может быть интегрирована в существующие прикладные системы, работающие с усиленной ЭП пользователей.

В результате предлагаемого решения на основе простой подписи с DSS/TSA получим подписанный электронный документ, обладающий следующими свойствами:

  • достоверность источника информации (авторство) определяется сервером аутентификации, при этом атрибуты пользователя добавлены к документу в виде простой подписи;
  • целостность документа с простой подписью обеспечивается усиленной ЭП сервера DSS и/или службы штампов времени.

Сравнивая описанный вариант, с вариантом усиленной ЭП в облаке на основе DSS/HSM имеем все то же самое:

  • достоверность источника информации (авторство) определяется сервером аутентификации (ключ ЭП, используемый для подписи, определяется на основании некриптографических методов аутентификации пользователя);
  • целостность документа обеспечивается усиленной ЭП с использованием ключа, хранящегося в HSM.

Перенос ЭП в облако в конкретных информационных системах выполняется на основе проектирования с учётом требований заказчиков по безопасности и с использованием сертифицированных СКЗИ, разработки компании «Сигнал-КОМ».