下午好,亲爱的读者!
一段时间以来,我一直在积极关注数字经济计划的更新和新闻。 从EGAIS系统内部员工的角度来看,当然这个过程会持续几十年。 无论是从开发的角度,还是从测试的角度,回滚和进一步实施,随之而来的是不可避免的、痛苦的各种bug调整。 尽管如此,此事还是必要的、重要的、紧迫的。 当然,所有这些乐趣的主要客户和驱动力是国家。 事实上,就像世界各地一样。
所有流程早已转向数字化或正在向数字化迈进。 这还是很棒的。 然而,卓越奖牌也有缺点。 我是一个经常与数字签名打交道的人。 我是使用代币保护电子签名的可能是“昨天的”但“老式的”可靠且双赢方法的支持者。 但数字化告诉我们,一切都已经在“云端”存在了很长一段时间,那里也需要 CEP,而且需要得很快。
我试图在可能的情况下,在立法和技术框架层面弄清楚这里和欧洲的云电子签名情况如何。 事实上,关于这一主题已经发表了不止一篇科学论文。 因此,我们鼓励这方面的专业人士参与该主题的开发。
为什么云中的 CEP 有吸引力? 事实上,还是有优点的。 这些优点已经足够了。 又快又方便。 您会同意,这听起来像是广告语,但这些是云数字签名的客观特征。
速度在于无需与令牌或智能卡绑定即可签署文档的能力。 并不强制我们只能使用桌面。 适用于任何操作系统和浏览器的百分百跨平台故事。 对于苹果产品的粉丝来说尤其如此,对于他们来说,在MAC系统中支持电子签名存在一定的困难。 从世界任何地方退出,自由选择 CA(甚至是非俄罗斯 CA)。 与CEP硬件不同,云技术可以让您避免软件和硬件兼容性方面的困难。 是的,这很方便,而且,是的,速度很快。
如此美丽,怎能不让人心动呢? 细节决定成败。 我们来谈谈安全。
俄罗斯“云”CEP
云解决方案的安全性,尤其是数字签名,是安全专业人员的主要痛点之一。 读者会问我,我到底不喜欢什么,因为大家已经使用云服务很长时间了,有了短信,银行转账就更靠谱了。
实际上,让我们再次回到细节。 云数字签名是一个无可争辩的未来。 但是不是现在。 为此,必须进行监管变革,以保护云数字签名的所有者。
今天我们有什么? 有许多文件定义了数字签名、电子文档管理(EDF)的概念,以及信息保护和数据流通的法律。 特别是,您需要考虑《民法典》(俄罗斯联邦民法典),它规范了文档中电子签名的使用。
联邦法律第 63-FZ 号“关于电子签名”,日期为 06.04.2011 年 XNUMX 月 XNUMX 日。 描述在进行各种类型的交易和提供服务时使用数字签名的一般含义的基本和框架法律。
第 149-FZ 号联邦法“关于信息、信息技术和信息保护”,27.07.2006 年 XNUMX 月 XNUMX 日。 本文档规定了电子文档和所有相关部分的概念。
还有其他立法法案涉及 EDI 监管
联邦法 402-FZ“会计”,日期为 06.12.2011 年 XNUMX 月 XNUMX 日。 该立法法案规定了电子形式的会计和会计文件要求的系统化。
包括。 您可以考虑俄罗斯联邦仲裁程序法典,该法典允许通过电子签名签署的文件作为法庭证据。
正是在这里,我想到要深入研究安全问题,因为我们的加密保护手段标准是由 FSB 提供的,并确保颁发合格证书。 18 月 XNUMX 日,新的 GOST 标准推出。 因此,存储在云中的密钥不受 FSTEC 证书直接保护。 保护密钥本身和安全进入“云”是我们尚未解决的基石。 接下来我会看一下欧盟监管的例子,这将清楚地展示出更先进的安全体系。
欧洲使用云数字签名的经验
让我们从主要的事情开始——云技术,不仅数字签名有明确的标准。 其基础是欧洲电信标准协会 (ETSI) 的云标准协调 (CSC) 小组。 然而,不同国家的数据保护标准仍然存在差异。
全面数据保护的基础是根据信息安全管理体系 ISO 27001:2013 对提供商进行强制认证(相应的俄罗斯 GOST R ISO/IEC 27001-2006 基于该标准的 2006 版)。
ISO 27017 为云提供了 ISO 27002 中缺少的额外安全元素。该标准的正式完整名称是“基于 ISO/IEC 27002 的云服务信息安全控制实践规范”。适用于云服务的 ISO/IEC 27002 ”)。
2014 年夏天,ISO 发布了关于保护云中个人数据的 ISO 27018:2015 标准,并于 2015 年底发布了关于云解决方案信息安全控制的 ISO 27017:2015 标准。
2014 年秋天,欧洲议会第 910/2014 号新决议(称为 eIDAS)生效。 新规则允许用户在经过认可的可信服务提供商(即所谓的 TSP(信任服务提供商))的服务器上存储和使用 EPC 密钥。
2013年419241月,欧洲标准化委员会(CEN)通过了技术规范CEN/TS 2“支持服务器签名的可信系统的安全要求”,致力于云数字签名的监管。 该文档描述了几个级别的安全合规性。 例如,生成合格电子签名所需的“1 级”合规性需要支持强大的用户身份验证选项。 根据此级别的要求,用户身份验证直接发生在签名服务器上,与例如代表其自身访问签名服务器的应用程序中允许“级别 XNUMX”的身份验证相反。 此外,根据本规范,用于生成合格电子签名的用户签名密钥必须存储在专用安全设备(硬件安全模块,HSM)的存储器中。
云服务中的用户身份验证必须至少采用两因素。 通常,最容易访问且易于使用的选项是通过短信中收到的代码确认登录。 例如,俄罗斯银行的个人RBS账户大部分已经实施。 除了常见的加密令牌之外,智能手机上的应用程序和一次性密码生成器(OTP 令牌)也可以用作身份验证手段。
目前,我可以得出一个临时结论,即云 CEP 仍刚刚形成,现在脱离硬件还为时过早。 原则上,这是一个自然的过程,即使在欧洲(哦,太棒了!),这个过程也持续了大约 13-14 年,直到制定出或多或少准确的标准。
在我们制定出良好的 GOST 标准来规范我们的云服务之前,现在谈论完全放弃硬件解决方案还为时过早。 相反,他们现在将开始走向“混合”,即也使用云签名。 一些符合欧洲云计算标准的示例已经实施。 但我们将在新材料中更详细地讨论这一点。
来源: habr.com