Хабрахабр

FAQ про облачную [электронную] подпись

Наша площадка стала первым федеральным оператором электронных торгов, внедрившим новую технологию облачной электронной подписи. Если обычная ЭП вызывала кучу вопросов, то эта услуга, с одной стороны, пока ещё больше непонятна бизнесу, а с другой — всё стало сильно проще.

— Что это такое?

Она не очень удобна, не очень безопасна и требует физического наличия бумаги. Раньше была бумажная подпись на документе. Её сначала назвали ЭЦП — электронная цифровая подпись. Потом появилась флешка с сертификатом и обвесом вокруг (вплоть до антивируса). Теперь эту флешку положили в облако, и она стала ОЭП. Потом она стала просто ЭП.

— Как работает ОЭП?

Раньше, чтобы подписать документ, надо было поставить плагин для браузера, который умел связываться с софтом на локальном компьютере пользователя. Предположим, вы подаёте свое предложение на тендер. Теперь мы вынимаем из этой цепочки флешку: софт обращается в облачное хранилище по шифрованному туннелю. Этот софт обращался к софту на флешке, софт на флешке выдавал ключ, этим ключом подписывалась транзакция и передавалась в готовом виде в плагин в браузер.

— А можно без софта на локальной машине?

Но это требует переработки бэкенда площадки (в нашем случае мы сделали отдельный сервер для проведения торгов с мобильных телефонов). Да, если на площадке есть промежуточный сервер, который фактически проксирует запросы и представляется этим самым локальным компьютером, то всё можно сделать из любого браузера. Предполагается, что в будущем этот вариант будет наиболее распространённым. Если этот путь не работает — выбирается стандартный. Как пример одной из подобных реализаций — площадка МСП «Росэлторг» (Закупки среди субъектов малого и среднего предпринимательства).

— ОЭП и ЭП — это одно и то же, но лежит в разных местах, так?

Функционально это одно и то же, просто меняется метод внутреннего API для шифрования транзакции. У подписей общее ядро с сертификатом и защитой. Один метод берёт ключ из локального устройства, другой — с удалённого.

— Погодите, но ведь всё равно нужна авторизация?

Но теперь она двухфакторная и без привязки к устройству. Да. То есть, чтобы подписать документ за вас, нужно будет украсть пароль + логин и перехватить SMS или push-уведомление с кодом. Обычная схема: установить приложение на телефон или плагин браузера на десктоп, затем ввести логин и пароль для начала работы, потом при совершении транзакции — отправляемый с сервера авторизации ПИН-код.

— В чём тогда профит?

  1. Если вы потеряете флешку, то надо получать новый ключ. В случае с ОЭП — достаточно поменять пароль к подписи.
  2. Нет привязки к рабочему месту: раньше ЭП ставилась на один конкретный компьютер.
  3. Нет привязки к браузеру: раньше это был IE. Что вызывало ряд проблем ещё на уровне выбора ОС: Linux-админы обходили это, а вот на Mac-устройствах было сложнее.
  4. Нет привязки к географии: авторизация работает из любой страны (в силу особенностей защиты ЭП на флешках часто работали только в российских сетях).
  5. Предполагается, что всё стало безопаснее из-за двухфакторной идентификации по умолчанию без возможности «упростить себе жизнь».
  6. Уничтожение флешки с подписью не ставит под угрозу текущие сделки.
  7. В целом всё это более правильно, особенно из-за возможности быстро подписывать с мобильных телефонов.

— Где хранится сертификат на стороне удостоверяющего центра?

Технически, это хранилище, разбитое на закрытые ячейки без возможности массового доступа ко всем сразу. Есть специальная железка, называется HSM (hardware security module).

Закрытый ключ наружу не выдаётся. Несколько упрощая: вы авторизуетесь, создаёте транзакцию, она отправляется в HSM подписываться, оттуда на выходе — защищённый объект.

Точнее, что вы имеете право подписывать документ. То есть HSM выступает в роли третьей стороны, вроде нотариуса, подтверждающей в сделке, что вы — это вы.

В каждом удостоверяющем центре свой HSM.

Железка снабжена большим количеством уровней безопасности, в частности, датчиками антивзлома. Каждое решение лицензируется ФСБ. Нужно что-то настроить — свитер, машзал, большой железный ящик с маленьким LCD-экраном. Терминал физически встроен в сам сервер, никаких внешних подключений для управления не поддерживается, веб-интерфейса нет.

— Как с обратной совместимостью?

То есть не важно, что вы используете: токен на физическом носителе или доступ к HSM. Опять же, упрощая, новые версии ПО для работы с ЭП теперь умеют делать что-то вроде эмуляции этой самой флешки для всего старого софта. Обновлённый софт подпишет всё, как в старые добрые времена.

— Как выглядит первое подключение?

Это, собственно, вся настройка и есть. При настройке на устройстве конечного пользователя указываются два адреса DSS-сервера. Пользователь вводит уникальный логин и пароль, которые выдаются ему в удостоверяющем центре. После этого нужно будет авторизоваться на сервере. Обычно пользователь сканирует выданный ему QR-код и устанавливает приложение. После ввода логина и пароля нужно пройти двухфакторную авторизацию. Сканируется второй код со ссылкой на свою ячейку в HSM. Это одно общее приложение вендора подписей, которое кастомизируется под конкретный удостоверяющий центр. После этого нужно сменить пароль доступа. Отправляется ПИН-код на конкретную транзакцию на телефон абонента, он его использует и подтверждает себя.

Предполагается, что если телефон защищён FaceID или распознаванием отпечатка пальца, то этого второго фактора (в сочетании с вводом логина и пароля) достаточно. Следующие транзакции могут быть проще: ПИН отправляется push-уведомлением.

Если телефон утерян, нужно проходить процедуру с QR-кодами заново.

Заблокированный телефон без ПИНа бесполезен.

ПИН без пароля-логина бесполезен.

Если вы потеряли разблокированный телефон с фотографией логина и пароля, записанных на бумажке (реальный случай в нашем УЦ), то можно запросить блокировку доступа до выяснения.

— Как получить конверт с доступами к ОЭП?

Простой случай: заявитель (гендиректор юрлица) приходит лично с паспортом в удостоверяющий центр и получает конверт.

Сложный случай: приходит сотрудник с заверенной доверенностью, соответствующей требованиям 63-ФЗ (Об электронной подписи) и требованиям службы безопасности удостоверяющего центра.

— Это уже массовое явление?

За первый месяц работы УЦ «ЕЭТП» было выпущено около тысячи сертификатов по новой технологии ОЭП. Да. Более 60 % пользователей новой услуги — компании из Москвы. Около 70 % пользователей, оформивших электронные подписи, — это юридические лица, ещё 23 % — ИП. Есть сертификаты и в Санкт-Петербурге, Новосибирске, Хабаровске, Ростове-на-Дону.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть