صبح بخیر، پیارے قاری!
میں کچھ عرصے سے ڈیجیٹل اکانومی پروگرام کی اپ ڈیٹس اور خبروں کو فعال طور پر فالو کر رہا ہوں۔ EGAIS سسٹم کے اندرونی ملازم کے نقطہ نظر سے، یقیناً یہ عمل کئی دہائیوں تک جاری رہے گا۔ ترقی کے نقطہ نظر سے، اور جانچ کے نقطہ نظر سے، رول بیک اور تمام قسم کے کیڑے کے بعد میں ناگزیر اور تکلیف دہ ایڈجسٹمنٹ کے ساتھ مزید عمل درآمد۔ بہر حال یہ معاملہ ضروری، اہم اور فوری ہے۔ اس سارے مزے کا اصل گاہک اور ڈرائیور بلاشبہ ریاست ہے۔ دراصل، پوری دنیا کی طرح۔
تمام عمل طویل عرصے سے ڈیجیٹل میں منتقل ہو چکے ہیں یا اس کے راستے پر ہیں۔ یہ اب بھی شاندار ہے۔ تاہم، عمدگی کے لیے تمغوں کے نشیب و فراز ہیں۔ میں ایک ایسا شخص ہوں جو ڈیجیٹل دستخطوں کے ساتھ مسلسل کام کرتا ہوں۔ میں شاید "کل کے" کا حامی ہوں، لیکن ٹوکن کا استعمال کرتے ہوئے الیکٹرانک دستخطوں کی حفاظت کے "پرانے زمانے کے" قابل اعتماد اور جیتنے والے طریقوں کا۔ لیکن ڈیجیٹلائزیشن ہمیں دکھاتی ہے کہ ہر چیز طویل عرصے سے "بادلوں" میں ہے اور وہاں CEP کی بھی ضرورت ہے اور بہت جلد ضرورت ہے۔
میں نے قانون سازی اور تکنیکی فریم ورک کی سطح پر، جہاں ممکن ہو، یہ جاننے کی کوشش کی کہ یہاں اور یورپ میں کلاؤڈ الیکٹرانک دستخطوں کے ساتھ چیزیں کیسے کھڑی ہیں۔ درحقیقت اس موضوع پر ایک سے زیادہ سائنسی مقالے پہلے ہی شائع ہو چکے ہیں۔ لہذا، ہم اس معاملے میں پیشہ ور افراد کو موضوع کی ترقی میں شامل ہونے کی ترغیب دیتے ہیں۔
کلاؤڈ میں CEP پرکشش کیوں ہے؟ اصل میں، فوائد ہیں. یہ فوائد کافی ہیں۔ یہ تیز اور آسان ہے۔ یہ ایک اشتہاری نعرے کی طرح لگتا ہے، آپ اتفاق کریں گے، لیکن یہ کلاؤڈ ڈیجیٹل دستخط کی معروضی خصوصیات ہیں۔
رفتار ٹوکن یا سمارٹ کارڈز سے بندھے بغیر دستاویزات پر دستخط کرنے کی صلاحیت میں ہے۔ ہمیں صرف ڈیسک ٹاپ استعمال کرنے کا پابند نہیں کرتا ہے۔ کسی بھی OS اور براؤزرز کے لیے سو فیصد کراس پلیٹ فارم کہانی۔ یہ خاص طور پر ایپل کی مصنوعات کے پرستاروں کے لیے درست ہے، جن کے لیے میک سسٹم میں الیکٹرانک دستخطوں کی حمایت کرنے میں کچھ مشکلات ہیں۔ دنیا میں کہیں سے بھی باہر نکلیں، CAs کے انتخاب کی آزادی (یہاں تک کہ غیر روسی بھی)۔ CEP ہارڈویئر کے برعکس، کلاؤڈ ٹیکنالوجیز آپ کو سافٹ ویئر اور ہارڈ ویئر کی مطابقت میں مشکلات سے بچنے کی اجازت دیتی ہیں۔ جو، ہاں، آسان ہے، اور، ہاں، تیز۔
اور ایسی خوبصورتی سے کوئی کیسے بہکا نہ سکے؟ شیطان تفصیلات میں ہے۔ آئیے سیفٹی کے بارے میں بات کرتے ہیں۔
روس میں "کلاؤڈ" CEP
کلاؤڈ سلوشنز کی سیکیورٹی، اور خاص طور پر ڈیجیٹل دستخط، سیکیورٹی کے پیشہ ور افراد کے لیے اہم دردناک نکات میں سے ایک ہے۔ مجھے بالکل کیا پسند نہیں ہے، قاری مجھ سے پوچھے گا، کیونکہ ہر کوئی ایک طویل عرصے سے کلاؤڈ سروسز استعمال کر رہا ہے، اور ایس ایم ایس کے ساتھ بینک ٹرانسفر کرنا اور بھی زیادہ قابل اعتماد ہے۔
اصل میں، ایک بار پھر، تفصیلات پر واپس چلتے ہیں. کلاؤڈ ڈیجیٹل دستخط ایک ایسا مستقبل ہے جس کے ساتھ بحث کرنا مشکل ہے۔ لیکن ابھی نہیں. ایسا کرنے کے لیے، ریگولیٹری تبدیلیاں ہونی چاہئیں جو کلاؤڈ ڈیجیٹل دستخطوں کے مالک کی حفاظت کریں گی۔
آج ہمارے پاس کیا ہے؟ ڈیجیٹل دستخط، الیکٹرانک دستاویز کے انتظام (EDF) کے تصور کے ساتھ ساتھ معلومات کے تحفظ اور ڈیٹا کی گردش کے قوانین کی وضاحت کرنے والی متعدد دستاویزات موجود ہیں۔ خاص طور پر، آپ کو سول کوڈ (روسی فیڈریشن کا سول کوڈ) کو مدنظر رکھنا ہوگا، جو دستاویزات میں الیکٹرانک دستخطوں کے استعمال کو منظم کرتا ہے۔
وفاقی قانون نمبر 63-FZ "الیکٹرانک دستخطوں پر" مورخہ 06.04.2011/XNUMX/XNUMX۔ بنیادی اور فریم ورک قانون جو مختلف اقسام کے لین دین کرتے وقت اور خدمات فراہم کرتے وقت ڈیجیٹل دستخطوں کے استعمال کے عمومی معنی کو بیان کرتا ہے۔
وفاقی قانون نمبر 149-FZ “معلومات، انفارمیشن ٹیکنالوجیز اور معلومات کے تحفظ پر مورخہ 27.07.2006 جولائی XNUMX۔ یہ دستاویز الیکٹرانک دستاویز اور تمام متعلقہ حصوں کے تصور کی وضاحت کرتی ہے۔
EDI کے ضابطے میں اضافی قانون سازی کی کارروائیاں شامل ہیں۔
وفاقی قانون 402-FZ "اکاؤنٹنگ پر" مورخہ 06.12.2011 دسمبر XNUMX۔ قانون سازی ایکٹ الیکٹرانک شکل میں اکاؤنٹنگ اور اکاؤنٹنگ دستاویزات کی ضروریات کو منظم کرنے کے لیے فراہم کرتا ہے۔
بشمول آپ روسی فیڈریشن کے ثالثی کے طریقہ کار کو مدنظر رکھ سکتے ہیں، جو عدالت میں ثبوت کے طور پر الیکٹرانک دستخط کے ذریعے دستخط شدہ دستاویزات کی اجازت دیتا ہے۔
اور یہیں پر مجھے سیکیورٹی کے معاملے میں مزید گہرائی میں جانے کا خیال آیا، کیونکہ کرپٹو پروٹیکشن کے ذرائع کے لیے ہمارے معیارات FSB کے ذریعے فراہم کیے گئے ہیں اور مطابقت کے سرٹیفکیٹس کے اجرا کو یقینی بناتے ہیں۔ 18 فروری کو، نئے GOST معیارات متعارف کرائے گئے۔ اس طرح، کلاؤڈ میں ذخیرہ شدہ چابیاں براہ راست FSTEC سرٹیفیکیٹس کے ذریعے محفوظ نہیں ہیں۔ چابیاں کی خود حفاظت کرنا اور "بادل" میں محفوظ داخلہ وہ بنیادی ستون ہیں جنہیں ہم نے ابھی تک حل نہیں کیا ہے۔ اگلا، میں یورپی یونین میں ریگولیشن کی مثال دیکھوں گا، جو واضح طور پر ایک زیادہ جدید سیکیورٹی سسٹم کو ظاہر کرے گا۔
کلاؤڈ ڈیجیٹل دستخطوں کے استعمال میں یورپی تجربہ
آئیے اہم چیز سے شروع کریں - کلاؤڈ ٹیکنالوجیز، نہ صرف ڈیجیٹل دستخطوں کا ایک واضح معیار ہے۔ بنیاد یورپی ٹیلی کمیونیکیشن اسٹینڈرڈز انسٹی ٹیوٹ (ETSI) کا کلاؤڈ سٹینڈرڈ کوآرڈینیشن (CSC) گروپ ہے۔ تاہم، مختلف ممالک میں ڈیٹا کے تحفظ کے معیارات میں اب بھی فرق موجود ہے۔
جامع ڈیٹا کے تحفظ کی بنیاد فراہم کنندگان کے لیے ISO 27001:2013 کے مطابق انفارمیشن سیکیورٹی مینجمنٹ سسٹمز کے لیے لازمی سرٹیفیکیشن ہے (متعلقہ روسی GOST R ISO/IEC 27001-2006 اس معیار کے 2006 ورژن پر مبنی ہے)۔
ISO 27017 کلاؤڈ کے لیے اضافی سیکیورٹی عناصر فراہم کرتا ہے جو ISO 27002 سے غائب ہیں۔ اس معیار کا مکمل آفیشل نام ہے "کلاؤڈ سروسز کے لیے ISO/IEC 27002 پر مبنی معلوماتی سیکیورٹی کنٹرولز کے لیے ضابطہ اخلاق۔" ISO/IEC 27002 کلاؤڈ سروسز کے لیے ")۔
2014 کے موسم گرما میں، ISO نے کلاؤڈ میں ذاتی ڈیٹا کی حفاظت سے متعلق ISO 27018:2015 معیار شائع کیا، اور 2015 کے آخر میں، ISO 27017:2015 کلاؤڈ حل کے لیے انفارمیشن سیکیورٹی کنٹرولز پر۔
2014 کے موسم خزاں میں، یورپی پارلیمنٹ نمبر 910/2014 کی ایک نئی قرارداد، جسے eIDAS کہا جاتا ہے، نافذ العمل ہوا۔ نئے قوانین صارفین کو EPC کلید کو ایک تسلیم شدہ قابل اعتماد سروس فراہم کنندہ، نام نہاد TSP (ٹرسٹ سروس پرووائیڈر) کے سرور پر ذخیرہ کرنے اور استعمال کرنے کی اجازت دیتے ہیں۔
اکتوبر 2013 میں، یورپی کمیٹی برائے سٹینڈرڈائزیشن (CEN) نے کلاؤڈ ڈیجیٹل دستخطوں کے ضابطے کے لیے وقف کردہ تکنیکی تفصیلات CEN/TS 419241 "قابل اعتماد سسٹم سپورٹنگ سرور سائننگ کے لیے سیکیورٹی کے تقاضے" کو اپنایا۔ دستاویز سیکورٹی کی تعمیل کی کئی سطحوں کو بیان کرتی ہے۔ مثال کے طور پر، ایک اہل الیکٹرانک دستخط تیار کرنے کے لیے درکار "سطح 2" کی تعمیل کے لیے مضبوط صارف کی توثیق کے اختیارات کے لیے تعاون درکار ہے۔ اس سطح کی ضروریات کے مطابق، صارف کی توثیق براہ راست دستخطی سرور پر ہوتی ہے، اس کے برعکس، مثال کے طور پر، ایک درخواست میں "سطح 1" کے لیے اجازت دی گئی توثیق کے لیے جو اپنی طرف سے دستخطی سرور تک رسائی حاصل کرتی ہے۔ نیز، اس تصریح کے مطابق، اہل الیکٹرانک دستخط تیار کرنے کے لیے صارف کی دستخطی کلیدوں کو ایک خصوصی محفوظ ڈیوائس (ہارڈویئر سیکیورٹی ماڈیول، HSM) کی یادداشت میں محفوظ کیا جانا چاہیے۔
کلاؤڈ سروس میں صارف کی توثیق کم از کم دو فیکٹر ہونی چاہیے۔ ایک اصول کے طور پر، سب سے زیادہ قابل رسائی اور استعمال میں آسان آپشن ایک SMS پیغام میں موصول ہونے والے کوڈ کے ذریعے لاگ ان کی تصدیق کرنا ہے۔ مثال کے طور پر، روسی بینکوں کے ذاتی RBS اکاؤنٹس میں سے زیادہ تر لاگو کیا گیا ہے. عام کرپٹوگرافک ٹوکنز کے علاوہ، اسمارٹ فون پر ایک ایپلی کیشن اور ایک بار پاس ورڈ جنریٹر (OTP ٹوکن) کو بھی تصدیق کے ذریعہ استعمال کیا جا سکتا ہے۔
ابھی کے لیے، میں اس حقیقت کے حوالے سے ایک عبوری نتیجہ اخذ کر سکتا ہوں کہ کلاؤڈ CEPs ابھی ابھی بن رہے ہیں اور ہارڈ ویئر سے دور ہونا بہت جلد ہے۔ اصولی طور پر، یہ ایک فطری عمل ہے، جو یورپ میں بھی (اوہ، زبردست!) تقریباً 13-14 سال تک جاری رہا جب تک کہ کم و بیش درست معیارات تیار نہ ہو جائیں۔
جب تک ہم اپنی کلاؤڈ سروسز کو ریگولیٹ کرنے والے اچھے GOST معیارات تیار نہیں کر لیتے، ہارڈ ویئر کے حل کو مکمل طور پر ترک کرنے کے بارے میں بات کرنا قبل از وقت ہے۔ بلکہ اب وہ اس کے برعکس "ہائبرڈز" کی طرف بڑھنا شروع کر دیں گے، یعنی کلاؤڈ دستخطوں کے ساتھ بھی کام کرنا۔ کچھ مثالیں جو کلاؤڈ کے ساتھ کام کرنے کے لیے یورپی معیارات پر پورا اترتی ہیں، پہلے ہی نافذ کی جا چکی ہیں۔ لیکن ہم اس کے بارے میں ایک نئے مواد میں تھوڑی اور تفصیل سے بات کریں گے۔
ماخذ: www.habr.com