امضای الکترونیکی ابری در روسیه و جهان

عصر بخیر، خواننده عزیز!
مدتی است که به روزرسانی ها و اخبار برنامه اقتصاد دیجیتال را به طور فعال دنبال می کنم. از دیدگاه یک کارمند داخلی سیستم EGAIS، البته، این روند برای چندین دهه ادامه خواهد داشت. هم از نظر توسعه و هم از نظر آزمایش، بازگشت و پیاده سازی بیشتر و به دنبال آن تنظیمات اجتناب ناپذیر و دردناک انواع باگ ها. با این حال، موضوع ضروری، مهم و فوری است. مشتری و محرک اصلی این همه تفریح ​​البته دولت است. در واقع، درست مثل همه جای دنیا.
همه فرآیندها مدتهاست که به سمت دیجیتال حرکت کرده اند یا در راه رسیدن به آن هستند. این هنوز هم فوق العاده است. با این حال، مضرات مدال برای برتری وجود دارد. من فردی هستم که مدام با امضای دیجیتال کار می کنم. من طرفدار روش‌های مطمئن «دیروز»، اما «قدیمی» برای محافظت از امضای الکترونیکی با استفاده از توکن‌ها هستم. اما دیجیتالی شدن به ما نشان می دهد که همه چیز برای مدت طولانی در "ابرها" بوده است و CEP نیز در آنجا مورد نیاز است و خیلی سریع مورد نیاز است.
من سعی کردم در سطح چارچوب قانونی و فنی، در صورت امکان، چگونگی وضعیت امضاهای الکترونیکی ابری در اینجا و در اروپا را بفهمم. در واقع تاکنون بیش از یک پایان نامه علمی در این زمینه منتشر شده است. بنابراین، ما متخصصان در این زمینه را تشویق می کنیم تا در توسعه موضوع شرکت کنند.
چرا CEP در فضای ابری جذاب است؟ در واقع، مزایایی وجود دارد. این مزایا به اندازه کافی وجود دارد. این سریع و راحت است. شما موافق خواهید بود که شبیه یک شعار تبلیغاتی به نظر می رسد، اما اینها ویژگی های عینی یک امضای دیجیتال ابری هستند.
سرعت در توانایی امضای اسناد بدون اتصال به توکن یا کارت هوشمند نهفته است. ما را مجبور نمی کند که فقط از دسکتاپ استفاده کنیم. داستان صد در صد کراس پلتفرم برای هر سیستم عامل و مرورگر. این امر به ویژه برای طرفداران محصولات اپل صادق است، زیرا برای آنها مشکلات خاصی در پشتیبانی از امضای الکترونیکی در سیستم MAC وجود دارد. خروج از هر نقطه از جهان، آزادی انتخاب CA (حتی موارد غیر روسی). برخلاف سخت‌افزار CEP، فناوری‌های ابری به شما این امکان را می‌دهند که از مشکلات مربوط به سازگاری نرم‌افزار و سخت‌افزار اجتناب کنید. که، بله، راحت است، و، بله، سریع.
و چگونه می توان فریفته چنین زیبایی نشد؟ شیطان در جزئیات است. بیایید در مورد ایمنی صحبت کنیم.
CEP "ابر" در روسیه
امنیت راه‌حل‌های ابری و به‌ویژه امضای دیجیتال، یکی از دردسرهای اصلی متخصصان امنیتی است. دقیقاً چه چیزی را دوست ندارم ، خواننده از من می پرسد ، زیرا همه مدت طولانی است که از خدمات ابری استفاده می کنند و با پیامک حتی انتقال بانکی قابل اعتمادتر است.
در واقع، دوباره، اجازه دهید به جزئیات برگردیم. امضای دیجیتال ابری آینده ای است که بحث کردن با آن سخت است. اما الان نه. برای انجام این کار، تغییرات نظارتی باید رخ دهد که از مالک امضاهای دیجیتال ابری محافظت کند.
امروز چی داریم؟ تعدادی اسناد وجود دارد که مفهوم امضای دیجیتال، مدیریت اسناد الکترونیکی (EDF) و همچنین قوانین مربوط به حفاظت از اطلاعات و گردش داده ها را تعریف می کند. به ویژه، شما باید قانون مدنی (قانون مدنی فدراسیون روسیه) را در نظر بگیرید، که استفاده از امضای الکترونیکی را در اسناد تنظیم می کند.
قانون فدرال شماره 63-FZ "در مورد امضای الکترونیکی" مورخ 06.04.2011/XNUMX/XNUMX. قانون اساسی و چارچوبی که معنای کلی استفاده از امضای دیجیتال را هنگام انجام تراکنش‌های مختلف و ارائه خدمات بیان می‌کند.
قانون فدرال شماره 149-FZ «در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات مورخ 27.07.2006 ژوئیه XNUMX. این سند مفهوم یک سند الکترونیکی و تمام بخش های مرتبط را مشخص می کند.
اقدامات قانونی دیگری نیز وجود دارد که در تنظیم EDI نقش دارند
قانون فدرال 402-FZ "در مورد حسابداری" مورخ 06.12.2011 دسامبر XNUMX. قانون قانونی نظام مندسازی الزامات اسناد حسابداری و حسابداری را به صورت الکترونیکی فراهم می کند.
شامل می توانید قانون رویه داوری فدراسیون روسیه را در نظر بگیرید که اسناد امضا شده با امضای الکترونیکی را به عنوان مدرک در دادگاه مجاز می کند.
و در اینجا بود که به ذهنم رسید که عمیق‌تر به موضوع امنیت بپردازم، زیرا استانداردهای ما برای ابزارهای محافظت از رمزنگاری توسط FSB ارائه می‌شود و صدور گواهی‌های انطباق را تضمین می‌کند. در 18 فوریه، استانداردهای جدید GOST معرفی شدند. بنابراین، کلیدهای ذخیره شده در ابر مستقیماً توسط گواهی FSTEC محافظت نمی شوند. محافظت از خود کلیدها و ورود ایمن به "ابر" سنگ بنای است که ما هنوز آنها را حل نکرده ایم. در مرحله بعد، من به مثال مقررات در اتحادیه اروپا نگاه خواهم کرد که به وضوح سیستم امنیتی پیشرفته تری را نشان می دهد.
تجربه اروپا در استفاده از امضای دیجیتال ابری
بیایید با چیز اصلی شروع کنیم - فن آوری های ابری، نه تنها امضای دیجیتال استاندارد واضحی دارند. اساس، گروه هماهنگی استاندارد ابری (CSC) موسسه استانداردهای مخابرات اروپا (ETSI) است. با این حال، هنوز تفاوت هایی در استانداردهای حفاظت از داده ها در کشورهای مختلف وجود دارد.
اساس حفاظت جامع از داده ها صدور گواهینامه اجباری برای ارائه دهندگان مطابق با ISO 27001:2013 برای سیستم های مدیریت امنیت اطلاعات است (مطابق با روسیه GOST R ISO/IEC 27001-2006 بر اساس نسخه 2006 این استاندارد است).
ISO 27017 عناصر امنیتی اضافی را برای ابر فراهم می کند که در ISO 27002 وجود ندارد. نام رسمی کامل این استاندارد "کد عمل برای کنترل های امنیت اطلاعات بر اساس ISO/IEC 27002 برای خدمات ابری" است. ISO/IEC 27002 برای خدمات ابری ").
در تابستان 2014، ISO استاندارد ISO 27018:2015 را در مورد حفاظت از داده های شخصی در فضای ابری و در اواخر سال 2015، ISO 27017:2015 را در مورد کنترل های امنیت اطلاعات برای راه حل های ابری منتشر کرد.
در پاییز 2014، قطعنامه جدید پارلمان اروپا به شماره 910/2014 به نام eIDAS به اجرا درآمد. قوانین جدید به کاربران اجازه می دهد تا کلید EPC را در سرور یک ارائه دهنده خدمات معتبر معتبر، به اصطلاح TSP (Trust Service Provider) ذخیره و استفاده کنند.
در اکتبر 2013، کمیته استانداردسازی اروپا (CEN) مشخصات فنی CEN/TS 419241 «الزامات امنیتی برای سیستم‌های قابل اعتماد پشتیبانی از امضای سرور» را به تصویب رساند که به تنظیم امضای دیجیتال ابری اختصاص دارد. این سند چندین سطح از انطباق امنیتی را توصیف می کند. به عنوان مثال، انطباق "سطح 2" مورد نیاز برای تولید یک امضای الکترونیکی واجد شرایط نیاز به پشتیبانی از گزینه های احراز هویت قوی کاربر دارد. با توجه به الزامات این سطح، احراز هویت کاربر مستقیماً بر روی سرور امضا انجام می‌شود، به عنوان مثال، در مقابل تأیید اعتبار مجاز برای "سطح 1" در برنامه‌ای که از طرف خود به سرور امضا دسترسی دارد. همچنین، مطابق با این مشخصات، کلیدهای امضای کاربر برای تولید امضای الکترونیکی واجد شرایط باید در حافظه یک دستگاه ایمن تخصصی (ماژول امنیتی سخت افزار، HSM) ذخیره شود.
احراز هویت کاربر در یک سرویس ابری باید حداقل دو عاملی باشد. به عنوان یک قاعده، در دسترس ترین و آسان ترین گزینه تأیید ورود از طریق یک کد دریافت شده در یک پیام کوتاه است. به عنوان مثال، بیشتر حساب های شخصی RBS بانک های روسیه اجرا شده است. علاوه بر توکن‌های رمزنگاری معمول، یک برنامه کاربردی در گوشی هوشمند و تولیدکننده‌های رمز عبور یک‌بار مصرف (توکن‌های OTP) نیز می‌تواند به عنوان ابزاری برای احراز هویت استفاده شود.
در حال حاضر، من می توانم یک نتیجه موقت در مورد این واقعیت بگیرم که CEP های ابری هنوز در حال شکل گیری هستند و برای دور شدن از سخت افزار خیلی زود است. در اصل، این یک روند طبیعی است که حتی در اروپا (اوه، عالی!) حدود 13-14 سال طول کشید تا اینکه استانداردهای کم و بیش دقیقی ایجاد شد.
تا زمانی که استانداردهای خوب GOST را برای تنظیم خدمات ابری خود ایجاد نکنیم، صحبت در مورد کنار گذاشتن کامل راه حل های سخت افزاری خیلی زود است. در عوض، آنها اکنون، برعکس، شروع به حرکت به سمت "هیبرید" خواهند کرد، یعنی با امضاهای ابری نیز کار می کنند. برخی از نمونه هایی که مطابق با استانداردهای اروپایی برای کار با Cloud هستند قبلاً پیاده سازی شده اند. اما ما در یک ماده جدید در مورد این با جزئیات بیشتر صحبت خواهیم کرد.

منبع: www.habr.com