Смирнов В. А. «Технология мультиподписания электронных документов – eSign-PRO применительно к системам поименного голосования»

Темой моего доклада являются некоторые вопросы использования технологии мультиподписания электронных документов eSign-PRO применительно к системам электронного голосования. Но сначала несколько слов о самой проблеме электронного голосования (ЭГ), как она видится с позиции компании-разработчика средств криптографической защиты информации (СКЗИ). Само понятие ЭГ достаточно широкое и подразумевает фактически любое использование средств вычислительной техники в этом процессе. Я бы хотел остановиться на более частной проблеме, касающейся непосредственного оформления волеизъявления граждан, производимого на основе передачи электронных бюллетеней непосредственно в центр учета (на избирательный участок) через Интернет – так называемого дистанционного голосования.

Преимущество такого способа очевидны: это и удобство, и скорость, и значительная экономия средств на организацию и проведение голосования. Но существуют и ряд проблем, связанных с обеспечением безопасности и достоверности ЭГ.

Говоря о безопасности, при построении подобных систем, на мой взгляд, не обойтись без применения криптографических технологий ЭЦП, обеспечивающих, как известно, аутентификацию подписывающего, целостность сообщения и неотказуемость от подписи. Голосование бывает тайным и поименным. В первом случае за рубежом разработаны и применяются технологии, так называемой, слепой подписи (Blind Signature), обеспечивающей тайну волеизъявления, а во втором, для поименного голосования, подойдет и обычная ЭЦП. Технологии применения ЭЦП в России отработаны, давно и широко используются в различных системах, поэтому вопросы и проблемы их безопасности достаточно хорошо известны. Другими словами, проблему безопасности при использовании ЭЦП можно переместить с правой чаши весов на левую.

При оценке достоверности необходимо отметить известную специфику, связанную с использованием ЭЦП, а именно: отторгаемость ключевого носителя. И здесь при использовании ЭГ я бы отметил пару из возможных проблем, связанных исключительно с «человеческим фактором»:

1. соблюдение тайны голосования – например, внутри одной семьи вполне можно допустить передачу ключевого носителя от одного лица к другому, более «технологически продвинутому»;
2. соблюдение регламента безопасности удостоверяющего центра (УЦ) – с учетом того, что голосование процедура достаточно редкая, вполне возможно допустить, что контроль за сохранностью ключевого носителя со стороны его владельца может быть утрачен, без информирования об этом УЦ.

Чтобы этого не происходило, необходимо:

• наличие повышенной социальной ответственности избирателя (достаточно идеалистический посыл)

либо

• серьезный экономический стимул к сохранности и отслеживанию возможной компрометации ключевого носителя, а также востребованность к его частому использованию.

Из последнего тезиса можно сделать вывод, что системы электронного голосования, построенные на основе ЭЦП, должны быть частью других электронных сервисов, связанных с предоставлением государственных услуг, управлением своим банковским счетом и т.п., построенных с использованием единого ключевого носителя, выполненного, например, в виде id-карты или создаваемой универсальной электронной карты.

В этом случае можно рассчитывать на повышенное внимание владельца к своей карте, на осознание им проблем, связанных с компрометацией секретных ключей и, как следствие, с соблюдением регламента УЦ.

Безусловно, для внедрения систем ЭГ на основе ЭЦП существуют и другие проблемы, например, связанные с наличием единого PKI пространства и с необходимостью доработки криптографического стандарта ГОСТ Р 34.10-2001 для реализации алгоритма слепой подписи, с разработкой единого ключевого носителя на базе id или универсальной электронной карты, которые также придется решать.

Перейдем теперь к рассмотрению технологии мультиподписания электронных документов (ЭД) eSign-PRO. Ее мы разработали в прошлом году, применительно для создания системы межкорпоративного электронного документооборота, предназначенного для обмена первичной бухгалтерской документацией и счетами-фактурами между предприятиями в рамках их хозяйственной деятельности. Но она может быть также использована и для построения систем поименного голосования, например, для сбора подписных листов (известная проблема проверки достоверности подписей), при условии внесения изменений в действующее законодательство, а также в корпоративных системах ЭГ при участии территориально удаленных акционеров.

Решение eSign-PRO выполнено на базе Microsoft Office SharePoint Services (по клиент-серверной технологии с использованием Web-интерфейса на стороне сервера), обеспечивает наряду с мультиподписанием многосторонних документов их архивное хранение и в настоящее время реализовано в виде одноименного сервиса (www.esign-pro.ru). Структурная схема сервиса приведена на рис. 2:

В состав eSign-PRO наряду с вышеупомянутым сервером входят: сервер БД, содержащий глобальный архив подписанных электронных документов, и элементы PKI-инфраструктуры в виде УЦ с LDAP-справочником и сервера штампов времени (Time Stamp). На стороне клиента используется обычный браузер с криптоплагином и, опционально, локальный сервер БД для хранения пользовательских электронных документов.

Решение может быть легко адаптировано к различным сценариям (workflow) мультиподписания электронных документов и в общем виде может быть описано следующим образом. Организатор создаваемого сервиса имеет возможность выкладывать на Web-сервере различные электронные документы, подписанные его ЭЦП, заполнять поля карточек этих документов (для облегчения последующего поиска в архиве) и задавать различные сценарии их обработки. Например, в самом простейшем сценарии, каждый участник сервиса после идентификации на сервере (опциональная возможность) может в течение определенного времени (до наступления часа Х) подписать размещенный на сайте документ, после чего тот с набором присоединенных ЭЦП попадает в архив. Далее происходит обработка электронных документов по задаваемому алгоритму, например, с целью подсчета голосов. Использование сервиса меток времени позволяет отслеживать время голосования и обеспечивает проверку валидности сертификата ЭЦП на момент подписания.

Дополнительно необходимо отметить масштабируемость предлагаемой технологии. На рис. 3 и 4 показаны структура головной фермы серверов и организация на ее основе множества идентичных сервисных площадок, соответственно.

Рис. 3. Структура головной фермы серверов.

Рис. 4. Организация сервисных площадок на основе головной фермы.

Основными особенностями eSign-PRO являются:

• Использование в качестве средства формирования и проверки ЭЦП криптоплагина со встроенным сертифицированным СКЗИ «Крипто-КОМ 3.2» (сертификаты ФСБ России СФ/114-1551, СФ/114-1552, СФ/124-1153, СФ/124-1554 от 07.11.2011 г.). Криптоплагин, реализующий все криптографические операции, устанавливается на рабочее место клиента при первом доступе (или обращении) к порталу. Поддерживаемые браузеры: Internet Explorer 6-8, Firefox и Google Chrome (Windows, Linux, Mac OS X).
• Использование протокола TLS, в режиме односторонней аутентификации сервера для обеспечения конфиденциальности информации, передаваемой через Интернет. Аутентификация подписантов выполняется на основе персональных идентификаторов и паролей, передаваемых на сервер после установки защищенного соединения.
• Использование технологии штампов времени, позволяющей обеспечить проверку валидности сертификата ЭЦП на момент подписания электронного документа, что, в свою очередь, обеспечивает возможность архивного хранения электронных документов с сохранением их юридической значимости после истечения срока действия сертификатов.
• Поддержка работы криптоплагина с LDAP справочниками.

Использование технологии eSign-PRO на порядки ускоряет время сбора подписей под документами, минимизирует расходы на обработку бумажных документов, на ведение бумажных архивов и обеспечивает комфорт для подписантов за счет поддержки их мобильности.