Ещё в прошлом веке многие предприятия начали массово переходить на электронный документооборот. У всех появились компьютеры с офисными программами. Документы часто набирали в Microsoft Word или других текстовых редакторах, экспортировали в PDF, отправляли по электронной почте.
Казалось, что если документооборот электронный , то мы скоро забудем о шкафах с бумажными архивами, на рабочих столах не останется ни единого бумажного листа. Если вдруг в организацию пришлют бумажный документ по обычной почте, то артефакт немедленно отсканируют и переведут в цифровой вид. В реальности вышло совсем наоборот. Оказалось, что чем больше организация использует компьютеры для цифрового документооборота - тем больше документов она печатает . Ведь каждый документ нужно завизировать. Документ без подписи - это просто черновик или информационная записка. Чтобы получить подпись, документы распечатывают, а потом зачастую сканируют обратно, храня оригиналы в архиве.
Сейчас понятно, что действительно электронный
(безбумажный) документооборот никак не внедрить без цифровых подписей.
Сегодня B2B, B2C компании и государственные организации переходят к внедрению цифровых подписей за их неоспоримые преимущества:
- Безбумажный документооборот. Экономия времени, денег и ресурсов.
- Эффективные бизнес-процессы. Подписание в электронном виде делает каждую транзакцию более гладким процессом.
- Мобильные возможности. Взаимодействие внутри организации и с клиентами становится проще.
Постепенно вырабатываются единые стандарты для электронного документооборота и инфраструктуры цифровых подписей. Например, в странах Евросоюза с 1 июля 2016 года действует стандарт eIDAS (electronic IDentification, Authentication and trust Services) для электронных сервисов идентификации, аутентификации и доверия. В США принят стандарт 21 CFR 11 .
Самые большие в мире доверенные службы для электронных документов - доверенный список Adobe (AATL) и программа Microsoft Root Trust. Удостоверяющие центры, включённые в этот список, выпускают основанные на сертификатах цифровые идентификаторы и службы отметок времени, которые соответствуют нормативным требованиям в мире, как стандарт eIDAS. Для самых популярных форматов офисных документов уже поддерживаются электронные цифровые подписи. В том числе поддерживается подпись документа несколькими лицами, с метками времени.
Что такое Digital Signing Service (Облачный сервис цифровых подписей)?
Digital Signing Service (DSS) - это масштабируемая платформа с поддержкой API для быстрого развёртывания цифровых подписей, которая обеспечивает:Для собственного сервиса DSS требуется наладить не только рабочий процесс подписи и управление пользователями. Требуются ещё сертификаты подписи для удостоверения личности автора каждого документа. Это включает в себя криптографические элементы, такие как управление ключами, система хранения ключей уровня безопасности FIPS level 2 или выше (например, аппаратные токены или HSM), служба OCSP или CRL, а также служба меток времени. Объединение этих компонентов, особенно интеграция с аппаратным модулем безопасности (HSM) напрямую, будь то облако или локально, требует значительных усилий со стороны отдела ИТ и отдела информационной безопасности наряду с хорошими знаниями криптографии и наличием необходимых ресурсов.
Важно учитывать эти скрытые затраты и инвестиции, а также ограничения и накладные расходы при оценке решений для цифровой подписи.
Отдельно стоит упомянуть, что если служба DSS критически важна для организации, то она должна работать с высоким уровнем аптайма и обеспечивать большую пропускную способность. То есть нужно проектировать своё решение с определённой долей избыточности - с запасом на будущее. И следует предполагать, что бизнесу свойственен рост. Инфраструктура должна быть масштабируемой.
| Digital Signing Service | Традиционная реализация | |
|---|---|---|
| Интеграция с приложениями для подписи документов | Через простой REST API | Требует внутренней криптографической экспертизы для конфигурации и поддержки |
| Компоненты криптографической подписи (сертификаты, OCSP, CRL, метки времени | Включены в API, не требуют продвинутых знаний криптографии или ресурсов разработки | Идут отдельно, требуют отдельных вызовов из приложений и внутренних ресурсов разработки для настройки |
| Масштабируемость | Высокая масштабируемость - не требуется дополнительная настройка или интеграция | Может понадобиться закупка дополнительного оборудования и конфигурация |
| Высокая доступность и аварийное восстановление | Поставляется через инфраструктуру GlobalSign, проверенную WebTrust, с глобальными центрами обработки данных, избыточностью и лучшим оборудованием для защиты сети | Требует дополнительных инвестиций в оборудование |
| Управление секретными ключами и их хранение | Через REST API, внутренние ресурсы или оборудование не используются | Клиент отвечает за управление ключами и их хранение (например, в облаке или локальном HSM) |
| Удостоверения подписи | Поддержка подписей двух уровней: отделов и сотрудников (например, Джон Доу, бухгалтерия) | Не все решения поддерживают оба типа удостоверений |
Облачный сервис сильно упрощает развёртывание системы документооборота с поддержкой цифровых подписей. Все операции просто проходят через API.
Облачные сервисы отличаются по ценам и функциональности. Но все они гарантируют гибкость, масштабируемость и высокий уровень доступности. Хотя сервисы платные, зато избавляют компании от необходимости инвестировать в разработку собственных решений, в том числе закупать дорогостоящее криптографическое оборудование.
Кому может понадобиться облачный сервис цифровых подписей? По идее, это любые организации любого размера, которые разрабатывают или вводят в эксплуатацию специально разработанные приложения и намерены либо интегрировать туда цифровые подписи, либо использовать уже интегрированное приложение.
- Поставщики решений документооборота или приложений, желающие интегрировать цифровые подписи или печати. Другой вариант: предложить их клиентам в качестве премиальной опции как гарантированную защиту документов от подделки. Здесь поддерживается гибкая модель: цифровые подписи можно добавить в качестве дополнительного слоя или опции.
- Предприятия, которые хотят интегрировать цифровые подписи или печати в свой документооборот.
- Системные интеграторы, которые внедряют цифровые подписи в существующие и новые системы документооборота.
В последнее время речь часто заходит об электронной подписи (ЭП) в облаке. В основном, эту тему обсуждают IT-специалисты. Однако с развитием сервисов электронного документооборота (ЭДО), в тему облачной ЭП стали втягиваться и специалисты-предметники – бухгалтеры, секретари, аудиторы и другие.
Поясню, облачная электронная подпись подразумевает, что ваш закрытый ключ ЭП хранится на сервере удостоверяющего центра, и подписание документов происходит там же. Сопровождается это заключением соответствующих договоров и доверенностей, а фактическое подтверждение личности подписанта происходит, как правило, с использованием авторизации по SMS.
Необходимость использования облачной ЭП бухгалтером зависит от того, в каком режиме он работает. Если вы часто находитесь вне офиса или, например, работаете в компании, которая оказывает услуги по бухучету (аутсорсинг бухгалтерии), то облачная ЭП поможет вам подписывать документы из любого места. При этом не понадобится устанавливать никакого дополнительного программного обеспечения. Однако, несмотря на простоту использования, не все компании готовы использовать эту возможность.
Чтобы вы смогли сами выбрать, нужна вам облачная электронная подпись или нет, рассмотрим все «за» и «против» её использования. А также подумаем, кому может действительно пригодиться такая подпись. Кстати, в данной статье мы будем говорить только об усиленной квалифицированной электронной подписи (далее – УКЭП).
За
Облачная электронная подпись дешевле обычной . В основном это связано с тем, что вам не нужно приобретать средство криптографической защиты информации (СКЗИ) и токен (флэшка с сертификатом). Как правило, с учетом их приобретения, цена на сертификат взлетает в 2-2.5 раза.
Удобство и простота использования . Для работы с облачной электронной подписью не нужно устанавливать как сам сертификат электронной подписи, так и специальные средства для работы с ней. Это значит, что вы не будете тратить время на то, чтобы разобраться, как всё это работает.
Мобильность . На данный момент распространенных и бесплатных решений для использования не облачной электронной подписи на мобильных устройствах ещё нет. В этом плане огромным плюсом облачной электронной подписи является то, что работать с ней можно с любого компьютера, планшета, смартфона, где есть интернет.
Против
Физически документ подписываете не вы . Нужно понимать, что в случае облачной электронной подписи закрытая часть ключа, которая является конфиденциальной и должна принадлежать только вам, будет находиться на сервере удостоверяющего центра. Конечно, это будет оформлено документально, а сами серверы надежно защищены. Но здесь всё зависит от требований компании к безопасности и от политики, связанной с подписанием документов. Если вам важно, чтобы документы подписывали сами владельцы закрытых ключей, то облачная электронная подпись вам не подойдет. В данной ситуации только вам решать, насколько вы доверяете УЦ и серверам, на которых хранятся закрытые ключи.
Вы можете использовать облачную ЭП только в тех сервисах, с которыми есть интеграция программного обеспечения удостоверяющего центра. Это тоже связано с тем, что в случае облачной ЭП закрытый ключ хранится на сервере УЦ. Для того, чтобы нужный вам сервис мог использовать такой закрытый ключ ЭП для подписания, ему нужно уметь отправлять запрос на формирование электронной подписи на сервер УЦ. Понятно, что на данный момент сервисов много, и все они не смогут предусмотреть интеграцию с программным обеспечением УЦ. Получается, что облачную ЭП вам придется использовать только с определенными сервисами. Для работы с другими сервисами придется покупать другой сертификат ЭП, и нет гарантий, что эти сервисы будут поддерживать какую-либо облачную электронную подпись.
И что же?
Облачная электронная подпись – это удобный, мобильный и простой инструмент, но не самый гибкий. А с точки зрения надежности, возможно, хранить закрытый ключ на защищенном сервере будет лучше, чем на токене в ящике стола.
Кому же действительно нужна электронная подпись? В первую очередь, тем, кто часто работает не из своего кабинета в офисе. Например, юристы и аудиторы, которые часто выезжают к клиентам. Или руководители и директоры, которым важно подписывать документы в любом месте. Для них облачная электронная подпись станет незаменимым помощником в работе.
Также, очень много зависит от политики компании. Если организация двигается в сторону облачных технологий, например, в части хранения документов, использования сервисов для внутреннего и внешнего документооборота, то и электронные подписи, скорее всего, тоже будут облачными. В остальном, бухгалтерам, делопроизводителям и другим сотрудникам, которые обычно при работе не покидают свой кабинет, облачная электронная подпись не нужна. Им можно приобрести закрытый ключ ЭП и сертификат ЭП в обычном режиме, на носителе, который можно использовать в большинстве сервисов для обмена с контрагентами и государственными учреждениями.
(4,33 - оценили 9 чел.)
Похожие записи
Ну неправда же. Например, для iOS уже давно есть Крипто-Про. Поставщики решений для СЭД его используют. Для того же DIRECTUM есть и ЭЦП на базе Крипто-Про под Android.
Физически любой электронный документ подписываете не вы. Это делает ПО.
Точнее, не на сервере УЦ, а в специализированном аппаратном сервере хранения ключей сервиса электронной подписи, взаимодействующего с информационной системой (электронного документооборота).
В этом случае, действительно, пользователю ничего не нужно устанавливать у себя, но вся безопасность использования ключа зависит не от пользователя, а от надежности аутентификации владельца ключа сервисом электронной подписи и информационной системой.
Ну и ключом можно пользоваться лишь в тех информационных системах, которые "подключены" к сервису электронной подписи, хранящему и применяющему ключ владельца. Т.е. ключ будет "неполнофункционален" (например, им нельзя защитить криптографией подключение к серверам, операционную систему, электронную почту и файлы, обеспечить авторизацию на ГОСУСЛУГИТОЧКАРУ и еще много где), а только для конкретной задачи в определенной системе. Это как сравнивать автобус и трамвай, везде есть +/-.
Решения есть, но они не распространены в виду их относительной небезопасности. Бесплатные неизвестны. Да и появятся ли они...
У меня несколько другая точка зрения: если первичным считать не облачный сертификат, а облачный сервис. Да, единый облачный сертификат можно использовать не о всех сервисах. Но ценность, на мой взгляд, не в сертификате, а в сервисах. И нет ничего зазорного в том, что каждый сервис использует свой облачный ключ. В отличие от "on premise" сертификатов (на токенах, смарт-картах или в реестре вашего персонального устройства) вам не придется носить бусы из токенов или копировать сертификаты в реестры на все устройства. Просто будут приходить sms с разных номеров. Тем более, что облачный сертификат, как правило, дешевле on premise, и не требуется покупка ПО (криптопровайдера). Ну и с точки зрения безопасности такая схемы априори выглядит надежнее, поскольку при компрометации одного ключа другие могут оставаться рабочими (нескомпрометированными).
Зазорного ничего нет, но затраты больше, чем использовать один полнофункциональный ключ (а не бусы) во многих системах. В модели угроз применения "облачного ключа ЭП" добавляется риск нарушения безопасности в канале аутентификации. Кроме того, не везде можно безопасно использовать OTPviaSMS. Да и психологически большинство людей увереннее себя чувствует при хранении своего ключа в своем сейфе, чем с виртуальным ключом в виртуальном хранилище с условно безопасным каналом управления его использованием.
Конечно, это так, пока подписание инициируется одним устройством, а SMS с кодом подтверждения подписания приходит на другое устройство. А как только мобильный клиент остаётся один, такая схема уже не априори надёжнее. Остаётся только удобство пользователя, но не надёжность.
Пользователь может выиграть, получить некое преимущество перед конкурентами, использующими бумагу с чернилами или физические токены с аппаратной поддержкой OneTimePassword, за счёт более быстрой реакции, большей мобильности. Но и примет большие риски. Риск недоступности сервиса. Риск компрометации мобильного устройства. Риски оправданы, если речь идёт о небольших денежных суммах. Сделку на миллион я бы доверил старой доброй бумаге, подписываемой в тишине, без посторонних глаз, без посредников и без спешки.
Если надо будет подписать пакет из 30 документов. А сервис не поддерживает пакетное подписание. То придётся получить 30 SMS (или одно с 30-ю кодами подтверждения) и 30 раз ввести коды подтверждения. Это время, и реакция уже не более быстрая.
Но если у каждого сервиса свой сервис для простановки ЭП, то интеграция сервисов должна быть очень тесной. И пакетное подписание туда будет входить. К примеру, придёт одно логическое SMS: "Код 0xs3cr3t для операции #22_1806. Уважаемый Константин Васильевич. Для подтверждения получения входящих документов за период 01.06.2014-18.06.2014 (20 счётов-фактур, 7 актов выполненных работ и 3-х товарных накладных), а именно - подписания 30-ти служебных документов, подтверждающих получение, введите указанный код".
Решения есть. Но, насколько я знаю, КриптоПро для iOS и Android распространяется не бесплатно.
Согласна. В общем-то, это и имеется в виду. В этом плане использовать облачный сертификат не очень удобно.
В целом, если нужно работать с несколькими сервисами, то покупка нескольких облачных ЭП может быть даже затратнее, чем покупка одного квалифицированного сертификата, СКЗИ и токена.
Что касается надежности, то здесь вопрос доверия к защищенности того места, на котором будут храниться ключи, к технологиям, с помощью которых будет осуществляться подписание. Думаю, пока технология не очень обкатана, и доверия будет не очень много. Но, согласитесь, пользоваться облачной подписью все-таки довольно удобно в некоторых случаях. Чтобы понять, какая подпись подойдет в конкретном случае, нужно посмотреть на процессы, изучить потребности, оценить плюсы и минусы обоих вариантов и потом уже принимать решение. Поэтому и стараемся показать обе стороны одной медали облачной ЭП.
А для каких платформ КриптоПро бесплатен?
Думаю, технология мало что решает - вопрос только в доверии к поставщику решения, которому вы доверите свой сертификат.
Поэтому когда о подобных технологиях говорят в контексте внутрикорпоративного использования, я еще понимаю, что это может "взлететь". Как только мы говорим о доверии сертификата третьей стороне, я не вижу ни одного шанса.
Насколько я помню, Крипто-Про для iOS и Android не продается конечным пользователям. Поэтому все идет на усмотрение вендора прикладного ПО. Захочет он вам дать бесплатно - даст. Не захочет - не даст. А может дать в довесок к той функциональности, ради которой вы решение и покупали.
Это предположение (как в исходной статье) или вы можете подтвердить это реальными цифрами?
А также Microsoft, Facebook, Twitter и сотни других поставщиков федеративной аутентификации, причем каждый ресурс сам выбирает с каим из поставщиков ему интегрироваться. Вы предлагаете так же поступить и с хранением сертификатов?
И я правильно понимаю, что вы ставите знак равенства между федеративной аутентификацией, в которой никакие данные пользователя, за исключением очень ограниченого набора, передающегося с аутентификационным токеном, не покидают периметра сервиса и сервисом ЭЦП, через который должны будут проходить все ваши подписываемые данные?
А может и не быть. Для облачного ключа не нужно токена и ПО. Сервис может, например, включить расходы на выдачу облачного токена в абонентскую плату и предоставлять облачные сертификаты "бесплатно". В любом случае, это вопрос маркетинга, а не техники.
Можно и подписать пакет из 30 документов. Это уже как настроен сам сервис, поддерживает ли он пакетное подписание. А откуда берется ключ (из облака или из реестра/токена) - это уже ортогональный вопрос. Слава, ты далее в комменте развил эту м мысль. Такое часто происходит и "на бумаге". Биг босс может подписать собственноручно только реестр платежей, а платежки потом подписывают доверенные лица.
Слава, в точку! :) Пока облачная подпись применяется в облачной бухгалтерии и сдаче отчетности.
Миша, уже работает:)
Евгений, аплодирую Вашему комментарию стоя:)
Миша, дождемся ответа Евгения, но я это понял как пример. Новое, более удобное и, возможно, менее безопасное решение, в силу своего удобства, со временем принимается потребителями, так как полученный комфорт перевесил возможные риски. Возможно, до первой беды. Возможно, что потребители продолжат пользоваться этим решением и после негативного события.
Облачная подпись сейчас кажется более удобным, но априори менее безопасной. Но часть пользователей прельстится удобством и оценит риски безопасности как приемлемые. И будет пользоваться облачной подписью.
Облачная подпись уже работает в "low-cost" сегменте. Интересно было бы попробовать ее в сегменте "enterprise". Возможно, бизнес успокоят слова "КриптоПро HSM" или что-то другое. Надо думать, предлагать и пробовать.
Ну так удалите в статье статьи аргумент "мобильность" из раздела "за".
А зачем она там?!
Я ведь правильно понимаю, что под облачной бухгалтерией понимается сервис, на котором ведется учет и с которого затем отсылается отчетность? Почему в данном случае не достаточно просто авторизации пользователя на сервисе? Зачем еще ЭЦП - чтобы соответствовать требованиям регулятора?
Где именно? Внутри одного сервиса или сервисов одного поставщика? Ок, принимается.
Только теперь мне нужно завести по сертификату у каждого поставщика? Так?
В чем именно она удобна?
Я вижу плюс только в одном - если ты пользуешься web-сервисом, то организация подписи с локального клиента может быть проблематичным.
По-моему на упоминание КриптоПро (как и всего, что связано с нашей странной "российской квалифицированной подписью") у нормального бизнеса уже начинается идиоскарзия.
Да, правильно, но это могут быть разные сервисы. Не всем нужна и бухгалтерия и отчетность. Многие предпочитают вести бухучет on premise, а потом уже сдавать отчетность через сервис. КЭП нужна, чтобы соответствовать требованиям законодательства.
Да, внутри сервисов одного поставщика это работает. Теоретически можно научиться предоставлять облачный сертификат другим поставщикам, если в этом будет экономический смысл. Но ценность, на мой взгляд, предоставляют именно сервисы и среды, где может быть использована ЭП, простое обладание облачным или обычным сертификатом не несет экономического смысла.
В случае облачного сертификата у пользователя нет необходимости устанавливать ПО на свое устройство и думать о копировании сертификатов на каждое устройство или носить с собой всегда ключевой носитель. Владение облачным сертификатом - менее хлопотная процедура, так что я бы не стал так сильно пугаться заводить кучу сертификатов у разных провайдеров. Да и стоимость необходимого ПО и ключевого носителя (в случае с on premise сертификатами) будет заметно меньше абонентских платежей, так что использование одного универсального сертификата - вопрос скорее удобства, чем экономической выгоды.
Про HSM почитай - штука интересная. Подобные решения есть и у зарубежных конкурентов, и давно. Так что тут КриптоПро использует универсальный мировой опыт.
Радует, что данная тем вызывает интерес. Постараюсь развить высказанную выше концепцию облачного сервиса с учетом замечаний. 1. Облачный сервис как развитие информационных систем является уже свершившимся фактом, что подразумевает подтягивание до этого стандарта производителей программного софта. С точки зрения снижения затрат - ранее вам приходилось покупать 2-3 программных продукта, обеспечивающих ваши потребности, теперь это 1, причем на 30-40% ниже по суммарной стоимости.
2. Что такое цифровая подпись и для кого она в первую очередь нужна? ЦП - это ваш идентификатор в IT системах, позволяющий вам сказать "Я-это Я" для принятия решений при любом уровне финансовой ответственности с гарантированным уровнем защиты от взлома или неправомерного использования. В любом случае появление ЦП - это эволюция "живой" подписи с целью ускорения реализации бизнес-процессов компании. Т.е. если раньше бумажный документ обрабатывался не спеша, то теперь достаточно одного щелчка для принятия решений.
3. Никто не говорит, что есть идеальные решения и средства. Действительно КриптоПро набил оскомину при его использовании. Недавно переустанавливал систему для бухгалтеров использующих 1C, СБИС и 2 учетки банков через web-интерфейс (с использованием КриптоПро) - проклял все, пока добавил все необходимые сертификаты и поддержку ключей.
Михаил, не совсем знак равенства. Скорее знак тождество, т.к. ФА позволяет реализовать механизм единого окна для пользователей различных доменов, т.е. выступает идентификационным гарантом для участника авторизации. Сервис ЭЦП сам имеет средства авторизации и решает свои конкретные задачи. В данном случае, явным примером может служить сайт госуслуги и сервисы сателиты (например РОИ). Сайт госуслуг является ФА, который гарантирует идентификацию пользователей для других сервисов.
Сергей, абсолютно с вами согласен. Облачная подпись может и должна выступать в качества единого идентификационного сервиса, принимаемого другими участниками бизнес-процессов. Сейчас, это все слишком фрагментировано и существует много посредников на пути движения документов.
Откуда следует этот вывод?
Может быть Вы не умеете им пользоваться? Установка сертификатов задача весьма тривиальная и ни у кого не вызывает вопросов. Причем технологически она ничем не отличается от установки сертификатов на других криптопровайдерах.
Используйте УДОБНЫЕ прикладные средства, которые работают с СКЗИ и будет Вам счастье.
Сейчас то, что продается под названием "облачная подпись", никак не может выполнять функции идентификационного сервиса, т.к. само целиком зависит от аутентификации. У облачной подписи и нет задачи идентификации, требуется перенести процесс формирования подписи с рабочего места в облако, но лишь по причине, что рабочее место пользователя не так безопасно, чтобы работать с СКЗИ.
Что фрагментировано? Какие посредники? Если про УЦ, то он нужен для изготовления квалифицированных сертификатов. Если про оператора, то как Вы без него это представляете? Нужен оператор электричества, оператор доступа к сети, оператор сервиса облачной подписи, оператор информационной системы и т.п. Это специализированная деятельность. У нас же не натуральное хозяйство.
Я как бы этого не говорил:) Вполне допускаю использование облачных подписей для отдельных сервисов, ну ладно, пусть сервисов от одного оператора. Но в качестве единого идентификационного сервиса я пока бы постеснялся ее использовать.
Ага, в последнее время часто доводится слышать, как операторов ЭДО сравнивают с продавцами воздуха. Наверно, напишу таки большую статью, что делает оператор, кроме обеспечения юридической значимости, пока ограничусь тезисами:
1. Создание ЭД. В интерфейсе сервиса, как правило, можно создать самые распространенные ЭД (ЭСФ, ТОРГ-12, акты и т.п.).
2. Хранение ЭД. Не скажу за все сервисы, но Диадок хранит ваши документы до тех пор, пока вы сами их не удалите. Даже если вы уже не платите абонплату.
3. Единое правовое пространство. Попробуйте заключить договоры со всеми своими контрагентами, если вы, скажем, оператор связи или энергосбытовая компания!
4. Транспорт. Ок, вы сами сможете организовать транспортировку ЭД по каналам связи и контролировать подписание для всех своих 10 тысяч контрагентов? Ну-ну...
5. Интеграция. Расскажу маленькую историю. Одна транснациональная корпорация надумала слать через оператора ЭСФ и ТОРГ-12. Да вот беда, что ERP могла выгружать только PDF и то особого извращенного формата. ИТ корпорации был где-то в Латинской Америке и принимал заказы на разработку на следующий год. Это не считая волокиты с формулирование м ТЗ и согласованием на нескольких континентах. Кто смог быстро наладить интеграцию? Правильно, оператор.
Сергей, т.е. можно резюмировать о несостоятельности IT-инфраструктуры для обеспечения требуемого качество ЭД в рамках существующих ERP? Исходя из вышесказанного Вами, ЭД еще находится в зачаточном состоянии и не может полностью удовлетворить потребности конечных пользователей в полном объеме.
Тогда получается, что производители бумаги продают обработанную целлюлозу..:) Оператор ЭДО предоставляют услуги, которые востребованы рынком (хотя некоторые умудряются продавать консервированный воздух Альп)
Зачем же так? Электронный документооборот - не самоцель, это инструмент. Он развивается, и требования растут то же. Где-то требования выше, где-то ЭД сам формирует потребности. В целом, я считаю, состояние ЭДО в России более-менее адекватно требованиям рынка.
Сергей, делая такой вывод, я основываюсь на том, что вы написали выше. Ведь вы поднимаете вопрос об эффективности IT-средств для реализации ЭД. Кроме этого, облачный сервис, как сфера услуг, достаточно динамично развивается и шансы появления электронной подписи - вопрос времени.
Ежедневная подписка. Другие виды подписок доступны при регистрации.
Электронная отчётность в России появилась около 10 лет назад. За прошедший период у бухгалтеров было много возможностей оценить её преимущества. С каждым годом количество компаний, сдающих отчётность в электронном виде, увеличивается в геометрической прогрессии. На сегодняшний день электронная отчётность - свидетельство эффективной работы компании и показатель уровня квалификации бухгалтера. Но если заверение отчётов электронной подписью стало уже привычным для российских компаний, то использование облачной электронной подписи - относительная редкость.
Давайте сравним возможности использования «традиционной» и облачной электронной подписи по нескольким параметрам: необходимость программного обеспечения, безопасность передачи данных и стоимость.
Традиционная электронная подпись требует обязательной установки специальной программы. При этом, заверить отчётность электронной подписью можно будет только на том компьютере, где установлено необходимое ПО. Кроме того, в российской действительности достаточно часто возникают ситуации, когда ключ электронной подписи вступает в конфликт с ключом от интернет-банка. В подобной ситуации компания вынуждена использовать специально выделенный компьютер для отправки электронной отчётности. Программное обеспечение для традиционной электронной подписи, как любое ПО, требует периодического обновления и затрат на обслуживание.
Необходимость устранения указанных недостатков и возможности высоких технологий позволили создать облачную электронную подпись. В отличие от традиционной ЭП, облачная - не требует установки на компьютер программного обеспечения и криптографии. Удостоверяющий центр выпускает электронную подпись и размещает её в своей сертифицированной защищенной ячейке (облаке). Доступ к этой ячейке есть только у владельца подписи с помощью sms, которое приходит на мобильный телефон. Поскольку вся информация о доступе к облачной электронной подписи хранится на облачном сервере в удостоверяющем центре, бухгалтер может ставить подпись иотправлять электронные отчёты с любого компьютера, планшета, смартфона или даже с мобильного телефона, имеющего доступ в интернет. Несомненным преимуществом облачной электронной подписи является отсутствие затрат на покупку программного обеспечения, его поддержку и обновление. Эта технология также применяется во многих интернет-банках.
Несмотря на то, что облачная электронная подпись ещё достаточно новое понятие для российской бухгалтерии, успешный опыт внедрения новых технологий уже накоплен. Первой на российском рынке внедрила облачную электронную подпись с использованием одноразовых паролей по sms интернет-бухгалтерия «Моё дело», совместно с удостоверяющим центром «Калуга Астрал». На сегодняшний день с помощью облачной ЭП уже сдано более 100 тысяч бухгалтерских отчётов.
«За два года работы, сервисом воспользовалась не одна тысяча организаций, которые оценили его удобство, доступность и дружественность для пользователя»,- говорит Игорь Чернин, директор компании «Калуга Астрал». «Сервис повысил привлекательность электронного способа сдачи отчётности для малых предприятий и ИП. Технические решения в области платформенной разработки и в области использования «облачной» ЭП, которые были реализованы в рамках сервиса, легли в основу многих аналогичных продуктов работающих сейчас на рынке».
Преимущества облаков оценили и другие участники рынка. К примеру, компания КРИПТО-ПРО, занимающая лидирующие позиции по распространению средств криптографической защиты информации и электронной цифровой подписи, создала новый программно-аппаратный криптографический модуль «КриптоПро HSM». Хотя пока этот сервис для отчётности не применяется, движение уже есть и есть надежда, что через пару лет о традиционной электронной подписи можно будет забыть в тех местах, где нет в ней стопроцентной необходимости.
В традиционном, привычном для подавляющего большинства пользователей понимании электронной подписи (ЭП) ключ этой самой подписи хранится у её владельца. Чаще всего для этого используется некий защищённый ключевой носитель в формате USB-токена или смарт-карты, который пользователь может носить с собой. Этот ключевой носитель тщательно оберегается владельцем от посторонних лиц, поскольку попадание ключа в чужие руки означает его компрометацию. Для использования ключа на устройстве владельца устанавливается специализированное программное обеспечение (СКЗИ), предназначенное для вычисления ЭП.
С другой стороны, в мире ИТ всё шире применяется концепция « облачных вычислений» , которая во многих отношениях имеет массу преимуществ по сравнению с использованием традиционных приложений, установленных на компьютере пользователя. Вследствие этого возникает вполне закономерное желание воспользоваться данными преимуществами облачных технологий для создания « ЭП в облаке» .
Но прежде чем решать данную задачу необходимо определить, что же мы будем понимать под « электронной подписью в облаке» . В настоящее время в разных источниках можно встретить разные же трактовки этого понятия, зачастую годящиеся разве что только для объяснения на пальцах человеку « с улицы» , который зашёл в Удостоверяющий Центр, чтобы « купить электронную подпись» .
Что такое квалифицированная электронная подпись в облаке
Для целей данной статьи, а также других научно-популярных и практических дискурсов об облачной электронной подписи предлагается использовать следующее определение.
Электронная подпись в облаке (облачная электронная подпись) - это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.
В соответствии с данным определением, для облачной электронной подписи может использоваться в том числе и локальное средство ЭП. Например, используя , пользователь через веб-браузер может подписывать электронный документ с помощью средства ЭП, установленного на его оконечном устройстве (персональный компьютер или планшет). В подобной системе ключ подписи остаётся у владельца и вопросы безопасности решаются с помощью стандартного набора средств, известного в мире « традиционной ЭП» . Если хотите, можно назвать это облачной ЭП с локальным средством ЭП .
Другой вариант облачной ЭП получается при использовании средства ЭП, размещённого в облаке. Для удобства дальнейшего изложения назовём такую схему полностью облачной ЭП , чтобы отличать её от предыдущей. Эта схема регулярно вызывает жаркие дискуссии среди специалистов, поскольку подразумевает передачу самого ключа подписи « в облако» . Данная же статья призвана прояснить ряд вопросов, связанных с безопасностью полностью облачной ЭП.
Начнём с главного
Основной головной болью при переводе любой ИТ-системы « в облако» становится боль « безопасников» (и помогающих им юристов), связанная с передачей « туда» информации для обработки или хранения. Если раньше эта информация не покидала некоторого защищённого периметра, иможно было сравнительно легко обеспечить её конфиденциальность, то в облаке само понятие периметра отсутствует. При этом ответственность за обеспечение конфиденциальности информации в каком-то смысле « размывается» между её владельцем и поставщиком облачных услуг.
То же самое происходит и с ключом ЭП, передаваемым в облако. Более того, ключ ЭП - это не просто конфиденциальная информация. Ключ должен быть доступен только одному лицу - его владельцу. Таким образом, доверие к облачной подписи определяется не только личной ответственностью пользователя, но и безопасностью хранения и использования ключа на сервере и надежностью механизмов аутентификации.
В настоящее время проводятся сертификационные испытания нашего решения . Это сервер облачной ЭП, хранящий ключи и сертификаты пользователей и предоставляющий аутентифицированный доступ к ним для формирования электронной подписи. Оба упомянутых выше аспекта безопасности облачной ЭП в частности являются предметом исследований, проводимых в ходе испытаний КриптоПро DSS. В то же время, стоит отметить, что существенная часть этих вопросов уже рассмотрена в рамках тематических исследований , на котором основывается КриптоПро DSS.
В нашей стране пока слабо проработаны организационно-правовые аспекты применения облачной ЭП, поэтому в данной статье мы рассмотрим КриптоПро DSS с точки зрения требований к серверу подписи, разработанных Европейским Комитетом по Стандартизации (CEN).Европейский путь
В октябре 2013 года Европейский Комитет по Стандартизации (CEN) одобрил техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing». В этом документе приводятся требования и рекомендации к серверу электронной подписи, предназначенному для создания, в том числе, квалифицированных подписей.
Хочется отметить, что уже сейчас КриптоПро DSS в полном объёме соответствует требованиям данной спецификации в наиболее сильном варианте: требованиям Уровня 2, предъявляемым для формирования квалифицированной электронной подписи (в терминах европейского законодательства).
Одним из основных требований Уровня 2 является поддержка строгих вариантов аутентификации. В этих случаях аутентификация пользователя происходит напрямую на сервере подписи - в противоположность допустимой для Уровня 1 аутентификации в приложении, которое от своего имени обращается к серверу подписи. Все методы аутентификации, поддерживаемые КриптоПро DSS, удовлетворяют данному требованию Уровня 2.
В соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны храниться в памяти специализированного защищенного устройства (криптографический токен, HSM). В случае КриптоПро DSS таковым устройством является программно-аппаратный криптографический модуль КриптоПро HSM - сертифицированный ФСБ России по уровню KB2 как средство ЭП.
Аутентификация пользователя на сервере электронной подписи для выполнения требований Уровня 2 обязана быть как минимум двухфакторной. КриптоПро DSS поддерживает широкий, постоянно пополняемый спектр методов аутентификации, в том числе и двухфакторных. Помимо привычных криптографических токенов в качестве средства аутентификации может использоваться и специализированное приложение на смартфоне, такое как , и генераторы одноразовых паролей (OTP-токены). В документе CEN эти методы также упомянуты.
Ещё одним перспективным способом аутентификации по Уровню 2 может стать использование криптографического приложения на SIM-карте в телефоне. По нашему мнению, данный вариант использования SIM-карт с криптографией наиболее реален, поскольку построение функционально законченного СКЗИ (или средства ЭП) по новым требованиям ФСБ на базе только лишь SIM-карты вряд ли возможно.
Рассматриваемая техническая спецификация также допускает использование сервера электронной подписи для формирования подписей сразу для некоторого набора документов. Данная возможность может быть полезна при подписании большого массива однородных документов, отличающихся лишь данными в нескольких полях. При этом аутентификация пользователя производится один раз для всего пакета документов. Поддержка такого варианта использования также имеется в КриптоПро DSS.
В документе CEN содержится также ряд требований к формированию, обработке, использованию и удалению пользовательского ключевого материала, а также к свойствам внутренней ключевой системы сервера электронной подписи и к аудиту. Эти требования полностью и даже «с запасом» покрываются требованиями, предъявляемыми к средствам ЭП класса KB2, по которому сертифицирован отвечающий за данные вопросы ПАКМ « КриптоПро HSM» .
Наше будущее
Решение КриптоПро DSS поддерживает широкий набор методов аутентификации, среди которых для каждой задачи возможно подобрать подходящий. Надёжность наиболее безопасных из них соответствует самым строгим критериям европейских требований CEN/TS 419241 и, как мы рассчитываем, в недалёком будущем будет подтверждена сертификатом соответствия ФСБ России.
Алексей Голдбергс,
заместитель технического директора
ООО "КРИПТО-ПРО"
Станислав Смышляев, к.ф.-м.н.,
начальник отдела защиты информации
ООО "КРИПТО-ПРО"
Павел Смирнов, к.т.н.,
заместитель начальника отдела разработок
ООО "КРИПТО-ПРО"