Карпов И. О.: Отчет о XV юбилейной международной конференции по проблематике инфраструктуры открытых ключей и электронной подписи «PKI-Форум Россия 2017»

Основными темами конференции являлись:

• актуальные проблемы использования электронной подписи и PKI;
• новости нормативного регулирования отрасли;
• диалог с регуляторами;
• перспективные технологии с использованием PKI: новинки, тренды, российский и международный опыт; мобильная ЭП и идентификация;
• трансграничное пространство доверия PKI: ЕАЭС, РСС, ЕС, ЭСКАТО ООН, ЮНСИТРАЛ, СЕФАКТ и другие международные объединения;
• злоупотребления в области PKI: причины и последствия, статистика, опыт борьбы и варианты решения проблем, в том числе в сфере нормативного регулирования;
• организация ЭДО и PKI в современных бизнес-условиях: отраслевое применение;
• доверенные сервисы на базе PKI: нормативное, правовое и техническое обеспечение;
• PKI в блокчейн технологиях.

Помимо тем и проблем, обсуждаемых в докладах, большой круг вопросов обсуждался участниками в кулуарах форума. Данный формат общения является крайне полезным, поскольку позволяет, например, в непосредственном общении конкретизировать позиции регуляторов по некоторым спорным вопросам, услышать мнение отдельных специалистов.

Остановимся более подробно на тематике наиболее интересных докладов и обсуждений.

О деятельности Минкомсвязи в 2017 году

Кузнецов Роман Валерьевич

Директор Правового департамента Минкомсвязи России

В докладе вновь поднимался вопрос о законопроектах 2017 года, инициатором которых является Минкомсвязь России. Цель этих законопроектов — создание единого пространства доверия, полная централизация процедур и механизмов создания и выдачи ключей и квалифицированных сертификатов.

Основные тезисы доклада:

• процедура создания и выдачи квалифицированного сертификата получает статус государственной услуги;
• как следствие, сокращение общего количества УЦ, выдающих квалифицированные сертификаты, до 5 государственных УЦ;
• процедура создания и выдачи электронной подписи будет унифицирована;
• оплата за услугу в виде госпошлины.

Кроме самих представителей Минкомсвязи России, все участники конференции скептически отнеслись к данным планам. В частности, в кулуарах представитель ФСБ высказал свое мнение, что данное решение в ближайшей перспективе не реализуемо. Солидарное с ним мнение высказал и заместитель руководителя ГНИВЦ ФНС России: сокращение числа УЦ в России в ближайшее время невозможно по организационным и технологическим причинам.

Среди предлагаемых изменений существующей законодательной базы можно отметить планируемое внесение изменений в Федеральный закон № 63-ФЗ «Об электронной подписи», предполагающих ужесточение требований к доверенности на получение квалифицированного сертификата – нотариальная доверенность или приравненная к ней законодательно.

Часть доклада была посвящена острой для регулятора проблеме дисквалификации УЦ-нарушителей. В настоящее время, в случае прекращения аккредитации УЦ из-за каких-либо нарушений, уже на следующий день этот УЦ может повторно подать документы на аккредитацию. И если документы будут соответствовать предъявляемым требованиям, то у Минкомсвязи нет оснований в отказе в выдаче аккредитации. Поэтому в ближайшем будущем регулятор рассматривает возможность внесения изменений в существующее законодательство, предполагающие:

• при досрочном прекращении аккредитации УЦ в связи с несоблюдением требований законодательства, УЦ-нарушитель будет лишен возможности повторной аккредитации на срок от 3 до 5 лет;
• ввод санкций к руководителям и/или сотрудникам УЦ при досрочном прекращении аккредитации УЦ из-за нарушений, что также будет являться основанием для отказа в аккредитации УЦ.

Также была озвучена информация, что 6 сентября 2017 года в очередной раз (пятый по счету) направлен на государственную регистрацию в Минюст России Приказ Минкомсвязи России от 28.06.2017 N 331 «Об утверждении требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей».

Все упоминаемые в докладе законопроекты находятся на различных стадиях готовности, часть из них уже внесена в Правительство РФ или находится на стадии регистрации в Минюсте России.

О проекте дополнительных требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей, а также к обеспечению информационной безопасности аккредитованного удостоверяющего центра

Аристархов Иван Владимирович

Сотрудник ФСБ России

В соответствии с пунктом 4 части 5 статьи 8 Федерального закона № 63-ФЗ «Об электронной подписи» ФСБ России разрабатывает дополнительные требования к порядку реализации функций аккредитованного УЦ и исполнения его обязанностей, а также дополнительные требования к обеспечению информационной безопасности аккредитованного УЦ.

Можно выделить следующие планируемые изменения:

• Дополнительные требования к процедурам, необходимым для реализации функций удостоверяющего центра:
  • при выполнении процедуры создания ключей ЭП и для создания сертификатов УЦ должен применять средства ЭП только классов КВ2 или КА1, имеющие в своем составе физический ДСЧ; какое-либо использование и копирование ключей ЭП, созданных УЦ для владельцев сертификатов ключей проверки ЭП, запрещается;
  • ключи ЭП УЦ, используемые для подписания сертификатов, а также иных ЭД и информации, должны создаваться, храниться, использоваться и уничтожаться в отдельном криптографическом модуле (ДВУ), исходные тексты системного и прикладного ПО которого совместно с анализом программного кода BIOS прошли формальную верификацию отсутствия в них НДВ, а также формальную верификацию реализации в них методов и способов защиты информации;
  • удостоверяющий центр должен обеспечить защищенное хранение корневого сертификата ГУЦ, на котором основывается ЭП, с помощью которой подписан сертификат аккредитованного УЦ, исключающее модификацию таких сертификатов, а также несанкционированные добавление/удаление сертификатов в хранилище.
• Требования к УЦ перед созданием сертификата:
  • проверить действительность своего сертификата, а также его соответствие требованиям;
  • проверить действительность корневого сертификата и его соответствие требованиям;
  • реализовывать автоматизированную процедуру проверки действительности всех сертификатов, а также их соответствие требованиям.
• Требования к УЦ при выполнении им своих функций:
  • осуществлять видеорегистрацию процесса выдачи сертификата заявителю и хранить полученную информацию в течение всего срока действия соответствующего сертификата;
  • убедиться в наличии у заявителя документа, свидетельствующего о праве собственности заявителя или о другом законном основании владения им средством ЭП.
• Иные обязанности УЦ:
  • запрашивать у заявителя в письменной форме подтверждение соблюдения им условий эксплуатации средств ЭП;
  • соблюдать для используемых средств ЭП и средств УЦ сроки действия сертификатов соответствия указанных средств требованиям;
  • обеспечить в срок не менее 10 дней до окончания действия сертификата соответствия на средства ЭП и/или средства УЦ переход на использование сертифицированных средств;
  • описание организационных мер обеспечения информационной безопасности аккредитованного УЦ должно быть включено в Регламент УЦ;
  • аккредитованный УЦ должен включить в Регламент перечень аппаратных средств, которые запрещается подключать к сетям общего пользования;
  • аккредитованный УЦ должен включить в Регламент УЦ раздел, описывающий порядок проведения аудита ИБ;
  • аккредитованный УЦ должен организовать учет носителей информации, используемых средствами УЦ; использование неучтенных носителей не допускается;
  • аккредитованный УЦ должен обеспечить физическую защиту пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств, предназначенного для размещения аппаратных средств, на которых функционируют средства УЦ; меры по разграничению доступа в контролируемую зону должны быть указаны в Регламенте УЦ.

 Особенности работы головного удостоверяющего центра

Пьянченко Андрей Андреевич

ИО руководителя департамента НИИ Восход

Терзи Александр Михайлович

Начальник отдела управления проектами НИИ Восход

Постановлением правительства РФ от 14 июля 2017 г. №839 «О федеральной государственной информационной системе «Федеральный ситуационный центр электронного правительства» создан Федеральный ситуационный центр электронного правительства (официальный сайт https://sc.minsvyaz.ru/).

В связи с этим изменен порядок взаимодействия с ГУЦ:

• основной способ взаимодействия — Личный кабинет на портале СЦ;
• резервный способ, если портал СЦ недоступен, — электронная почта;
• по телефону – только вопросы использования портала СЦ.

Схема обработки заявок:

Система работает в режиме 24/7. Обработка заявки — 10 дней.

Положительные аспекты новой системы:

• аутентификация аккредитованных УЦ (АУЦ) при направлении запросов на выдачу сертификата;
• контроль присоединения ИС АУЦ к инфраструктуре (часть 5 статьи 16 Федерального закона № 63-ФЗ «Об электронной подписи»);
• более тщательная проверка подключения АУЦ к инфраструктуре.

Кроме того, вступил в силу приказ Минкомсвязи России от 14.08.2017 г. № 416 «Об утверждении Порядка передачи реестров выданных аккредитованными удостоверяющими центрами квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи, в случае прекращения деятельности аккредитованного удостоверяющего центра» (зарегистрировано в Минюсте РФ 11.09.2017 г. № 48141). Теперь при прекращении своей деятельности УЦ должен передать реестр выданных сертификатов в электронной форме с использованием информационной системы головного удостоверяющего центра. Для этих целей на портале уполномоченного федерального органа в области использования электронной подписи (https://e-trust.gosuslugi.ru/) есть личный кабинет «Вход для аккредитованных УЦ».

Также докладчиками было упомянуто о странной ситуации с ГУЦ, созданной регулятором. Истекло заключение на головной ПАК УЦ, которое в настоящий момент находится в стадии продления. Существует проблема с переходом на ГОСТ Р 34.10-2012. ТЗ на головной ПАК УЦ согласовано только в августе 2017 года, и ПО передано на исследование в лабораторию. Представители лаборатории сообщили, что данная задача для них является первостепенной, и в течение месяца они планируют выполнить исследования и написать заключение. Но, по общему мнению участников форума, нет никакой уверенности, что до конца 2017 года все будет готово. И в связи с этим переход аккредитованных УЦ на ГОСТ Р 34.10-2012 может состояться в лучшем случае в конце текущего года, что лишает их возможности плавного перевода своих клиентов с ГОСТ Р 34.10-2001 на ГОСТ Р 34.10-2012.

Интерес вызывает и тот факт, что по заявлению представителя НИИ Восход их УЦ не умеет работать с длинными именами.

 Деятельность Минкомсвязи России по контролю аккредитованных УЦ

Кузнецов Александр Юрьевич

Заместитель директора Правового Департамента Минкомсвязи России

С 2016 года у Минкомсвязи России помимо проведения плановых проверок аккредитованных УЦ появилась возможность проведения и внеплановых. Поводом для внеплановой проверки может стать жалоба гражданина или государственного органа.

В зависимости от причин проверки в ней могут принимать участие не только представители Минкомсвязи, но и представители ФСБ России.

В ходе проведения проверки:

• проверяется сотрудниками Минкомсвязи России:
  • подключение к СМЭВ;
  • передача сертификатов;
  • копия сертификата в бумажном виде;
  • комплект документов для выпуска сертификатов;
• проверяется сотрудниками ФСБ России:
  • корректность эксплуатации средств УЦ и ЭП;
  • сертифицирован ли УЦ, и если сертифицирован, то не модифицирован ли;
  • требования по эксплуатации (подключение к сетям общего пользования). – КВ2 (п.35 Приложения №2 к Приказу ФСБ России от 27.12.2011 № 796*) или выделенные (Федеральный закон «О связи» от 07.07.2003 N 126-ФЗ);
  • соответствие регламента типовой форме;
  • соответствие процесса передачи запросов и получения сертификатов эксплуатационной документации.

 *п. 35. При подключении средств УЦ к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1.

 В ходе выступления высказывалась идея о том, что в лицензии на СКЗИ должен быть указан класс защищенности.

В выступлении и последующем его обсуждении упоминались поправки в 44-ФЗ и 223-ФЗ, предполагающие возможность использования усиленных квалифицированных сертификатов проверки ЭП.

Кроме того, анонсировались поправки к проекту федерального закона № 623906-6 «О внесении изменений в Федеральный закон «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд». Рассмотрение указанного проекта федерального закона запланировано на осенней сессии Государственной Думы.

С 1 января 2018 года госзаказчики будет иметь право проводить закупки по 44-ФЗ в электронной форме, а с 1 июля 2018 года это станет обязательным, и бумажные конкурсы и запросы котировок более не будут применяться.

 Использование электронной подписи и построение инфраструктуры открытых ключей в Федеральном казначействе

Бражко Вячеслав Сергеевич

Начальник Управления режима секретности и безопасности информации Федерального казначейства

В докладе освещались особенности функционирования УЦ Федерального казначейства. В частности, описывалась проблема выдачи сертификатов бюджетным организациям. Сути ее состоит в том, что сертификаты для участия в госторгах выдаются бюджетным учреждениям на безвозмездной основе. Используя этот факт, бюджетные организации при необходимости получения квалифицированного сертификата для любых нужд обращаются в казначейство за бесплатным сертификатом, указывая, что он нужен для торгов.

Статистика УЦ Федерального казначейства:

• На 01.09.2016 г. – 640 000 сертификатов;
• На 09.2017 г. – 800 000 сертификатов.

С 2018 УЦ Федерального казначейства года планирует запустить сервис подготовки запроса.

 Российские перспективы развития применения криптосредств в гражданском обществе

Баранов Александр Павлович

Заместитель Генерального директора АО «ГНИВЦ»

Говорилось о возрастающей роли ИБ. Приняты ряд законов, изменяющих и расширяющих функции регулирующих органов ФСТЭК, ФСБ России и Минкомсвязи России:

• Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

  Вводится новая Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Согласно текущей редакции закона информация о мерах по обеспечению безопасности критической информационной структуры и о состоянии её защищённости должна быть отнесена к государственной тайне.

• «Пакет Яровой», № 325-ФЗ от 06.08.2016 и № 374-ФЗ от 06.08.2016.

  Внесены изменения в порядок и объёмы хранения и предоставления информации для СОРМ (Система технических средств для обеспечения функций оперативно-розыскных мероприятий).

• Федеральный закон от 29.07.2017 № 276-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации».

  Изменяет порядок применения VPN, анонимайзеров и proxy.

Современные черты крупных создаваемых и эксплуатируемых систем:

• низкая квалификация основной группы пользователей;
• высокие требования абонентов к устанавливаемому ПО в части простоты установки, эксплуатации и низкой цены;
• применение программных средств для различных базовых операционных систем;
• связь и взаимодействие через Интернет в варианте применения мобильных устройств;
• обработка чувствительной и конфиденциальной информации, дополнительной к ПД;
• конфиденциальность растет: банковская, налоговая, медицинская, коммерческая и другие виды информации.

Примеры массовых систем:

• портал госуслуг и взаимодействующие с ним госсистемы — более 10 000 000 абонентов;
• единая система идентификации и авторизации (ЕСИА); все госорганы, аккредитованные УЦ и банковские системы – абоненты ЕСИА;
• система контроля кассовой техники (ККТ) – 1 000 000 абонентов;
• маркировка товаров (в том числе ЕГАИС) – 100 000 абонентов;
• личные кабинеты граждан – абонентов ведомственных систем (ПВДНП, МВД, ПФР и др.) – 10 000 000 пользователей.

От кого защищаемся с КС2:

• внешний противник для канала связи реализует утечку информации (персональных данных и др.) при передаче от одного объекта к другому. Противник может иметь доступ к каналу связи и не иметь доступа к СВТ, где функционирует СЗИ, то есть нарушитель не пытается, подделывать данные;
• по требованиям ФСБ России к защите ПД это — КС2 для систем 4-2 уровней защищенности, а госсистемы почти всегда требуют 1;
• рабочее место может использовать широкий спектр ОС и аппаратных платформ. Однако массовый пользователь требования, содержащиеся в условиях действия сертификата, не выполняет;
• проблема в неравной защищенности партнеров.

По мнению докладчика:

• КС3 – защита от внутреннего нарушителя, цель применения.
• КС3 – неотказуемость от произведенных пользователем действий.

Если взять как пример подключение к системе межведомственного электронного документооборота (СМЭВ), то по регламентирующим документам для подключения к защищенной сети передачи данных организации требуется СКЗИ класса КС3.

Да и как показывает практика, государственному сектору требуется классы выше КС2. Последние официальные закупки Удостоверяющих центров различными государственными учреждениями, помимо широкого набора различных служб УЦ (сертифицированных TSP, OCSP), предъявляли требования к классу защищенности не ниже КС3.

Возникновение массовых систем с повышенными требованиями по ИБ, как в среде ответственности ФСТЭК, так и по линии ФСБ России – новое явление.

Упрощение пользовательского интерфейса и функционала будет только нарастать, при этом требования ИБ к системам будут только повышаться. Комфортность и удовлетворенность абонента главное.

 Мобильная электронная подпись — российские реалии

Смышляев Станислав Витальевич

начальник отдела, компания «КриптoПрo»

Основные тезисы доклада:

• пожелания:
  • дать пользователю инструмент, позволяющий с помощью его мобильного телефона воспользоваться своим ключом ЭП;
  • дать пользователю возможность использования произвольного телефона, не только устройства на iOS или Android;
  • дать пользователю возможность пользоваться данной услугой всюду, где есть связь, не не только через мобильный Интернет;
  • упростить процесс использования данной услуги для всех категорий пользователей, в том числе и неподготовленных;
• путь решения — обеспечить работу с использованием ключевой информации на SIM-картах:
  • нет ограничений по телефонным аппаратам (работа через STK);
  • требуется только работа с сервисными сообщениями (~SMS);
  • существуют существенные ограничения по визуализации;
• подход:
  • ключ электронной подписи расположен непосредственно на SIM-карте (аналогично мобильным приложениям для ЭП на iOS/Android);
• проблема:
  • в ряде аспектов, важных для средств ЭП с учетом российских требований, SIM существенно отличается от привычных сред функционирования;
• причины:
  • принципиальные отличия ГОСТ Р 34.10 от RSA;
  • необходимость доверенной реализации, что напрямую связано с производительностью;
  • «тяжеловесность» криптографии с открытым ключом при реализации с учетом российских требований (даже КС1) при работе на низкоресурсных вычислителях;
• требования по визуализации:
  • должно быть реализовано однозначное соответствие подписываемого документа визуализируемому;
• безопасность подписи:
  • источник случайности:
    • в отличие от RSA для ГОСТ Р 34.10 требуется доверенный источник случайности;
    • сбой источника случайности влечет за собой компрометацию ключа ЭП;
    • такие события крайне трудно детектировать автоматически (подпись останется корректной);
  • доверенные реализации криптографии на эллиптических кривых:
    • реализация работы с эллиптическими кривыми на уровне апплета — 2-3 минуты;
    • реализация на SIM-карте с сопроцессором — не соответствует требованиям в случае зарубежной SIM, дорого в случае специальной российской;
    • необходимость противодействия атакам по побочным каналам (в т.ч. по времени), что влечет дополнительное снижение производительности;
• в итоге:
  • безопасная реализация процедур вычисления электронной подписи непосредственно на SIM-карте существенно затруднена;
• дополнительная проблема – визуализация:
  • российские требования строго обязывают в полной мере визуализировать документ;
  • требуется обеспечить эквивалентность визуализируемого документа подписываемому;
  • невозможно выполнить подобные требования для сервисных (SMS) сообщений.

Исключения: отдельные случаи коротких текстов/xml.

Следствие 1:

• требуется отдельно обеспечить доверенную визуализацию документа дополнительными средствами.

Следствие 2:

• требуются доверенные серверные компоненты, их взаимодействие с SIM и с компьютером пользователя. К таким серверным компонентам должно быть полное доверие: наличие злоумышленника, имеющего к ним доступ, немедленно приводит к угрозе подмены подписываемого сообщения.
• требуется доверенная серверная часть;
• отношения доверия пользователя с серверной частью устанавливаются явным образом;
• аутентификация в рамках замкнутой системы.

Все вышесказанное приводит к выводу, что потребности в «асимметричности» криптографии нет.

Альтернатива:

• аутентификацию сообщений между мобильным устройством и серверной стороной можно осуществлять с использованием симметричных алгоритмов;
• HMAC_GOSTR3411_2012_256, стандартизированный в Р 50.1.113-2016 Росстандарта. Задача безопасной реализации данного алгоритма на SIM-карте является беспроблемно выполнимой;
• производительности базовой (без криптосопроцессора) архитектуры достаточно;
• учесть необходимость противодействия атакам по побочным каналам можно без вреда для эффективности вычислений;
• нет требований по доверенным ДСЧ на клиентской стороне.

Общая схема:

Централизованное хранение ключей ЭП пользователей на серверной стороне решает и ряд других задач:

• повреждение/утеря телефона не приводит к утере ключей ЭП; в случае утери доступ к ключам блокируется мгновенно на серверной стороне (а не через CRL с задержкой);
• наличие журналов аудита на сервере при любой нештатной ситуации позволяет гарантированно установить, был ли осуществлен несанкционированный доступ к ключу подписи;
• пользователь имеет возможность доступа к своим ключам подписи сразу с нескольких устройств, что удобно для «мобильных» сотрудников и для руководителей высшего звена;
• преимущества симметричных алгоритмов в части сроков действия ключей — нет априорно известного нарушителю открытого ключа, не начать атаку до использования ключа;
• на телефоне присутствует только средство аутентификации — компонента, не являющаяся самостоятельным СКЗИ, что важно для массовой криптографии с пониженным регулированием.

Компания КриптоПро предлагает следующие решения по данной тематике:

• DSS (первые 11 исполнений), сертифицирован (СКЗИ, Средство ЭП) в августе 2017;
• работа DSS в составе УЦ; согласование новых (включающих в свой состав DSS) исполнений УЦ находится в процессе (по дополнительному ТЗ);
• DSS с поддержкой SIM с ключом аутентификации (HMAC); отчет находится на экспертизе с июня 2017 года.

Для некоторых операций администрирования требуется присутствие 3 из 5 администраторов безопасности.

 ViPNet PKI Service — новый уровень доверия к серверной подписи

Бадмаева Римма Викторовна

Специалист отдела развития продуктов компании «ИнфоТеКС»

В докладе рассказывалось о линейке продуктов ViPNet HSM.

Технические характеристики:

• поддерживаемые криптоалгоритмы: ГОСТ 28147-89, ГОСТ Р 34.10-2001/2012,ГОСТ Р 34.11-94/2012;
• выполнение криптографических операций по запросам различных сервисов («большой токен»);
• высокопроизводительная платформа;
• повышенные меры безопасности (встроенные меры защиты, ролевая модель);
• СКЗИ класса КВ;
• средство ЭП класса КВ2.

Линейка ViPNet HSM представлена двумя продуктами: ViPNet HSM PS (платежные системы, МИР) и ViPNet PKI Service.

ViPNet PKI Service :

• взаимодействие с другими компонентами PKI: УЦ, TSP, OCSP, CDP;
• лицензирование:
  • по количеству пользователей;
  • по количеству сертификатов;
• при вскрытии корпуса удаляется основной ключ, на котором зашифрованы ключи пользователей;
• возможна частичная настройка с встроенной консоли.

ТЗ на сертификацию ПАК ViPNet HSM по классу КВ/КВ2 согласовано с регулятором.

Mobile ID

В ряде докладов зарубежных коллег рассказывалось о применяемой ими технологии «Mobile ID». Технология хорошо зарекомендовала себя в ряде стран, таких как Эстония, Норвегия, Швейцария, Австрия, Финляндия, Турция, Молдова и Азербайджан.

Mobile ID – это двухфакторная аутентификация и электронная подпись построенные с применением SIM-карты.

Преимущества:

• обмен данными между вашим мобильным телефоном и электронным сервисом осуществляется через зашифрованное соединение;
• никакого специализированного ПО для пользователя;
• не требует апгрейдов устройства;
• все, что нужно, это мобильный телефон с защищенной SIM.

Mobile-ID позволяет:

• Войти в электронную среду (используется PIN1):
  • банки (как интернет, так и мобильные);
  • государственные и коммерческие электронные услуги. Нужно только запомнить код PIN 1, и вы можете выполнять операции на своем мобильном телефоне, планшете или персональном компьютере. Mobile-ID — безопасный способ аутентификации.
• Подписать (используется PIN2):
  • банковские платежи;
  • электронное голосование;
  • заключение договоров.

С электронной подписью можно выполнять операции в электронном виде и без бумаги. В Эстонии, например, все структуры власти обязаны принимать документы с электронной подписью.

Пример работы технологии «Mobile ID» в электронных сервисах Эстонии:

1. на веб-сайте, на котором Вы собираетесь зарегистрироваться, будет предложено указать номер телефона (и/или личный идентификационный код*) и/или имя пользователя, связанное с электронным сервисом;

*Личный идентификационный код (isikukood, IK) — число, формируемоt на основе даты рождения и пола. Состоит из 11 цифр в формате GYYMMDDSSSC, где G пол и столетие рождения (нечетные цифры- мужчины, четные- женщины, 1-2 19-е столетие, 3-4 20-е столетие, 5-6 21-е столетие), SSS уникальный номер для родившихся в один день, C контрольная цифра.

2. на странице веб-сайта появится код подтверждения;

3. сообщение аутентификации отправляется на Ваш телефон, а имя службы и контрольный номер отображаются на экране телефона;

4. если имя службы правильное, а контрольный номер соответствует номеру, отображаемому на служебной странице, то необходимо нажать кнопку «Accept»; в противном случае необходимо прекратить работу;

5. после нажатия кнопки «Accept» на мобильном устройстве будет отображено окно ввода PIN-кода;

Чтобы обеспечить корректное использование Mobile-ID, важно, чтобы:

• имя службы, отображаемое на мобильном телефоне, было привязано к электронному сервису или веб-сайту, на котором вы хотите ввести Mobile-ID;
• коды подтверждения должны быть идентичны на странице веб-сайта службы и на мобильном телефоне;
• при аутентификации нужно ввести PIN1, а для подписания — PIN2.

Чтобы начать пользоваться Mobile-ID в Эстонии необходимо:

• обратиться к своему оператору мобильной связи и зарегистрировать заявку на SIM-карту с поддержкой Mobile-ID;
• подписать соглашение об использовании услуги и получить новую SIM-карту, предъявив удостоверению личности;
• вставить SIM-карту в мобильный телефон и активировать услугу (через веб-сайты полиции и погранохраны, используя удостоверение личности).

В итоге:

• установлена личность при личном контакте (получение SIM-карты);
• у пользователя есть физическое устройство;
• код доступа (PIN1 – аутентификация, PIN2- подпись).

————

Полезная информация

На Рускрипто-2016 был доклад о перспективах и вариантах применения подобной технологии в России http://www.safe-surf.ru/upload/conf/%D0%A0%D1%83%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE_2016/12_markovich.pdf

————

Ряд докладов были посвящены стандартам.

Развитие системы стандартов в области криптографической защиты информации

Бондаренко Александр Иванович

Эксперт Технического комитета по стандартизации «Криптографическая защита информации» (ТК26)

http://www.pki-forum.ru/files/files/2017/22_Bondarenko.pdf

Перспективы стандартизации доверенных сервисов на базе PKI

Сабанов Алексей Геннадьевич

Академик Международной академии связи

http://www.pki-forum.ru/files/files/2017/23_Sabanov.pdf

Общие вопросы.

В ходе общения в кулуарах форума сотрудниками ФСБ России была подтверждена информация о том, что к концу текущего года ожидается приказ, в котором TSP и OCSP будут включены в структуру УЦ. Потребуется сертификация данных компонент, но для тех, у кого уже сертифицированы эти компоненты, сертификация будет упрощенная. Данные изменения могут послужить предпосылкой к применению усовершенствованного формата подписи. Будет ли упоминаться в приказе усовершенствованный формат подписи неизвестно.

 Данный отчет Вы также можете скачать в виде отдельного документа.