Ещё в прошлом веке многие предприятия начали массово переходить на электронный документооборот. У всех появились компьютеры с офисными программами. Документы часто набирали в Microsoft Word или других текстовых редакторах, экспортировали в PDF, отправляли по электронной почте.
Казалось, что если документооборот электронный , то мы скоро забудем о шкафах с бумажными архивами, на рабочих столах не останется ни единого бумажного листа. Если вдруг в организацию пришлют бумажный документ по обычной почте, то артефакт немедленно отсканируют и переведут в цифровой вид. В реальности вышло совсем наоборот. Оказалось, что чем больше организация использует компьютеры для цифрового документооборота - тем больше документов она печатает . Ведь каждый документ нужно завизировать. Документ без подписи - это просто черновик или информационная записка. Чтобы получить подпись, документы распечатывают, а потом зачастую сканируют обратно, храня оригиналы в архиве.
Сейчас понятно, что действительно электронный
(безбумажный) документооборот никак не внедрить без цифровых подписей.
Сегодня B2B, B2C компании и государственные организации переходят к внедрению цифровых подписей за их неоспоримые преимущества:
- Безбумажный документооборот. Экономия времени, денег и ресурсов.
- Эффективные бизнес-процессы. Подписание в электронном виде делает каждую транзакцию более гладким процессом.
- Мобильные возможности. Взаимодействие внутри организации и с клиентами становится проще.
Постепенно вырабатываются единые стандарты для электронного документооборота и инфраструктуры цифровых подписей. Например, в странах Евросоюза с 1 июля 2016 года действует стандарт eIDAS (electronic IDentification, Authentication and trust Services) для электронных сервисов идентификации, аутентификации и доверия. В США принят стандарт 21 CFR 11 .
Самые большие в мире доверенные службы для электронных документов - доверенный список Adobe (AATL) и программа Microsoft Root Trust. Удостоверяющие центры, включённые в этот список, выпускают основанные на сертификатах цифровые идентификаторы и службы отметок времени, которые соответствуют нормативным требованиям в мире, как стандарт eIDAS. Для самых популярных форматов офисных документов уже поддерживаются электронные цифровые подписи. В том числе поддерживается подпись документа несколькими лицами, с метками времени.
Что такое Digital Signing Service (Облачный сервис цифровых подписей)?
Digital Signing Service (DSS) - это масштабируемая платформа с поддержкой API для быстрого развёртывания цифровых подписей, которая обеспечивает:Для собственного сервиса DSS требуется наладить не только рабочий процесс подписи и управление пользователями. Требуются ещё сертификаты подписи для удостоверения личности автора каждого документа. Это включает в себя криптографические элементы, такие как управление ключами, система хранения ключей уровня безопасности FIPS level 2 или выше (например, аппаратные токены или HSM), служба OCSP или CRL, а также служба меток времени. Объединение этих компонентов, особенно интеграция с аппаратным модулем безопасности (HSM) напрямую, будь то облако или локально, требует значительных усилий со стороны отдела ИТ и отдела информационной безопасности наряду с хорошими знаниями криптографии и наличием необходимых ресурсов.
Важно учитывать эти скрытые затраты и инвестиции, а также ограничения и накладные расходы при оценке решений для цифровой подписи.
Отдельно стоит упомянуть, что если служба DSS критически важна для организации, то она должна работать с высоким уровнем аптайма и обеспечивать большую пропускную способность. То есть нужно проектировать своё решение с определённой долей избыточности - с запасом на будущее. И следует предполагать, что бизнесу свойственен рост. Инфраструктура должна быть масштабируемой.
| Digital Signing Service | Традиционная реализация | |
|---|---|---|
| Интеграция с приложениями для подписи документов | Через простой REST API | Требует внутренней криптографической экспертизы для конфигурации и поддержки |
| Компоненты криптографической подписи (сертификаты, OCSP, CRL, метки времени | Включены в API, не требуют продвинутых знаний криптографии или ресурсов разработки | Идут отдельно, требуют отдельных вызовов из приложений и внутренних ресурсов разработки для настройки |
| Масштабируемость | Высокая масштабируемость - не требуется дополнительная настройка или интеграция | Может понадобиться закупка дополнительного оборудования и конфигурация |
| Высокая доступность и аварийное восстановление | Поставляется через инфраструктуру GlobalSign, проверенную WebTrust, с глобальными центрами обработки данных, избыточностью и лучшим оборудованием для защиты сети | Требует дополнительных инвестиций в оборудование |
| Управление секретными ключами и их хранение | Через REST API, внутренние ресурсы или оборудование не используются | Клиент отвечает за управление ключами и их хранение (например, в облаке или локальном HSM) |
| Удостоверения подписи | Поддержка подписей двух уровней: отделов и сотрудников (например, Джон Доу, бухгалтерия) | Не все решения поддерживают оба типа удостоверений |
Облачный сервис сильно упрощает развёртывание системы документооборота с поддержкой цифровых подписей. Все операции просто проходят через API.
Облачные сервисы отличаются по ценам и функциональности. Но все они гарантируют гибкость, масштабируемость и высокий уровень доступности. Хотя сервисы платные, зато избавляют компании от необходимости инвестировать в разработку собственных решений, в том числе закупать дорогостоящее криптографическое оборудование.
Кому может понадобиться облачный сервис цифровых подписей? По идее, это любые организации любого размера, которые разрабатывают или вводят в эксплуатацию специально разработанные приложения и намерены либо интегрировать туда цифровые подписи, либо использовать уже интегрированное приложение.
- Поставщики решений документооборота или приложений, желающие интегрировать цифровые подписи или печати. Другой вариант: предложить их клиентам в качестве премиальной опции как гарантированную защиту документов от подделки. Здесь поддерживается гибкая модель: цифровые подписи можно добавить в качестве дополнительного слоя или опции.
- Предприятия, которые хотят интегрировать цифровые подписи или печати в свой документооборот.
- Системные интеграторы, которые внедряют цифровые подписи в существующие и новые системы документооборота.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://allbest.ru
Федеральное государственное бюджетное образовательное учреждение высшего образования
«Тамбовский государственный университет имени Г.Р. Державина»
Облачная электронная подпись: преимущества, недостатки и пути развития
Кириллова Владлена Олеговна
специалист учебно-методического отдела
Введение
Вместе с активной информатизацией всех сфер жизни современного общества реализуется переход к облачным вычислениям и сервисам.
Государственные услуги уже функционируют в облачных сервисах ввиду их высокой производительности для массового использования гражданами. облачный подпись безопасность логин банкинг
Перенос документооборота в облачные хранилища так же актуален и для малого динамически развивающегося бизнеса.
В процессе такого переноса и возникает вопрос безопасности и целесообразности использования облачной подписи.
Облачная подпись активно может использоваться в таких сферах деятельности, как:
· системы Интернет-банкинга или мобильного банкинга, в которых необходимо использование квалифицированной электронной подписи;
· порталы госуслуг, системы сдачи электронной отчетности;
· системы электронной коммерции;
· системы электронного документооборота.
Актуальность. Электронная подпись в облаке (облачная электронная подпись) - это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.
Облачная электронная подпись обладает всеми свойствами ЭП, только хранится не на токене или компьютере, а в Интернете - на специализированном защищенном сервере, в облаке.
Облачная ЭП подразумевает, что ваш закрытый ключ ЭП хранится на сервере удостоверяющего центра, и подписание документов происходит там же. С одной стороны факт того, что ключ и подписание документов происходят на стороне сервера удешевляет всю систему ЭП, с другой стороны ключ закрытый и должен храниться только у его владельца, что создает массу вопросов к безопасности данного сервиса.
Цели, задачи, материалы и методы. Целью данной работы является анализ научных публикаций и законодательства в сфере электронной подписи и ее подвида - облачной электронной подписи.
Реализация данной цели осуществляется с помощью решения следующих задач:
Провести анализ научной и учебной литературы по теме «Облачная электронная подпись»;
Изучить различные подходы к решению неотчуждаемости ключа электронной подписи пользователя;
Рассмотреть подробнее такие разработки как «Digital Signature Server» и «Hardware Security Module».
Методы исследования:
Анализ документов, федеральных законов;
Анализ данных периодической печати, учебной литературы, практических пособий.
Научная новизна. Новизна данной работы заключается в новом для ИТ индустрии РФ понятии Облачная подпись. Облачная подпись имеет свои достоинства и недостатки.
Облачная ЭП обычно дешевле обычной ЭП, это связано с отсутствием необходимости приобретения средства криптографической защиты информации и токена с сертификатом.
Для людей далеких от информационных технологий немаловажен факт простоты использования облачной подписи: не нужно устанавливать на АРМ сертификат ЭП и специальные средства работы с ней. Работать с облачной ЭП можно из любой точки мира, с любого устройства имеющего подключение к сети Интернет.
Однако существуют и недостатки, такие как передача и хранение ключа на сервере.
Серверы надежно защищены, но факт нарушения конфиденциальности ключа и отчуждения его от владельца делает облачную ЭП неквалифицированной, т.е. не подтвержденной сертификатом, выданным аккредитованным удостоверяющим центром.
Ориентированность облачной ЭП на одну конкретную систему, т.е. сервис облачной ЭП созданный для одной информационной системы, как правило, не применим для другой. Иначе говоря, пользователь обременен необходимостью обладания ключом подписи для каждой из систем.
Изложение основного материала
Облачная подпись в сегодняшнем понимании относится к категории усиленная неквалифицированная подпись. Большинство задач, выполняемых ею, соответствуют понятию, законодательно закрепленному как усиленная подпись. Но в то же время эта подпись не сертифицирована ФСБ как регулятором, отвечающим за безопасность подписей, основанных на криптографических методах. В настоящее время схема подписания документа в облаке выгладит так: подписание документов происходит на сервере DSS (Digital Signature Server) с использованием ключей, хранящихся в HSM (Hardware Security Module). При этом, доступ пользователей к HSM основан на использовании, как правило, некриптографических систем аутентификации, таких как:
* классическая однофакторная аутентификация по логину и паролю;
* двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS).
Основная проблема - идентификация личности пользователя - сохраняется и для облачной подписи. Выходя на облачный сервис, человек использует логин-пароль. Этого, конечно, мало. Нужно точно знать, кто вошел под этим логином-паролем. Можно использовать отпечаток пальца отправляя его по нешифруемому соединению серверу. Ключевым фактором останется «нешифруемое соединение», ведь мы не имеем средства криптографической защиты информации.
В таком случае нивелируется одно из основных назначений ЭП? надежный криптографический способ определения автора электронного документа. Такой подход может быть оправдан только для систем межкорпоративного электронного документооборота в которых решение на базе DSS/HSM реализуется на уровне участвующих в них корпораций. В этом случае исходящие документы в общей системе обрабатываются по обычным правилам, а хранение ключей в защищённом облаке, реализуется для удобства сотрудников.
Федеральным законом от 06-04-2011 № 63-ФЗ «Об электронной подписи» установлено, что для создания и проверки квалифицированной электронной подписи должны использоваться средства электронной подписи, получившие подтверждение соответствия требованиям этого закона, то есть прошедшие сертификацию на соответствие требованиям 63-ФЗ у регулятора . Более простой проверки, контроля встраивания СКЗИ в конкретную информационную систему, где используется облачная электронная подпись, может оказаться недостаточно .
В настоящее время компании разработки средств защиты информации озабочены повышением безопасности аутентификации пользователя при подтверждении подписания документа облачной ЭП и шифрованием данных при передачи посредством сети Интернет. Компании КРИПТО-ПРО и SafeTech представили совместную разработку КриптоПро myDSS на базе программно-аппаратного комплекса облачной электронной подписи (ЭП) КриптоПро DSS и системы подтверждения электронных транзакций PayControl .
Однако на данный момент решение находится на сертификации в ФСБ России, и подпись является квалифицированной только, по словам разработчиков. Контур.Диадок так же предлагает квалифицированную усиленную облачную ЭП с относительно низкой стоимостью и аутентификацией через логин+пароль и sms-сообщение с одноразовым паролем . Сертификата ФСБ России на сайте на обнаружено. Таким образом, безопасность использования напрямую связана с доступом к телефону пользователя. На сегодняшний день этот риск постепенно снижается, так как установка примитивной парольной защиты на телефон - все более распространенная практика у пользователей.
Заключение, результаты, выводы
Применение облачной подписи это один из шагов по развитию новейших информационных технологий, наше приближение к удобному цифровому будущему. Однако в этой области еще есть над чем работать.
Необходимы гарантии со стороны государства в виде сертификата соответствия требованиям по безопасности информации средств облачной электронной подписи. Целесообразна разработка и внедрение стандарта на применение облачной электронной подписи.
Библиографический список
1. Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ (последняя редакция) [Электронный ресурс]. - Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_112701/ (дата обращения: 07.06.2017)
2. Облачная подпись: сближение практики и законодательства [Электронный ресурс]. - Режим доступа: http://roseu.org/article/32 (дата обращения: 07.06.2017)
3. КриптоПро myDSS [Электронный ресурс]. - Режим доступа: https://www.cryptopro.ru/products/mydss (дата обращения: 07.06.2017)
4. Что такое облачная электронная подпись?[Электронный ресурс]. - Режим доступа: http://www.diadoc.ru/lp-instruction (дата обращения: 07.06.2017)
Аннотация
УДК 004.056.53
Облачная электронная подпись: преимущества, недостатки и пути развития. Кириллова Владлена Олеговна, специалист учебно-методического отдела. Федеральное государственное бюджетное образовательное учреждение высшего образования «Тамбовский государственный университет имени Г.Р. Державина»
В статье рассматривается проблема использования облачной электронной подписи с точки зрения законности и безопасности. Освещены различные подходы к изучению проблемы, приведены примеры российских разработок.
Ключевые слова: электронная подпись, облако, безопасность, информационные технологии, облачные технологии
Annotation
Cloud electronic signature: advantages, disadvantages and ways of development. Kirillova Vladlena Olegovna, a specialist in the teaching and methodical department. Federal State Budget Educational Institution of Higher Education "Tambov State University named G.R. Derzhavin »
The article discusses the problem of using cloud electronic signature from the point of view of legality and security. Various approaches to the study of the problem are highlighted, examples of Russian developments are given.
Keywords: electronic signature, cloud, security, Information Technology, cloud technologies
Размещено на Allbest.ru
Подобные документы
Закон "Об электронной подписи". Определение, технологии применения и принципы формирования электронной подписи. Стандартные криптографические алгоритмы. Понятие сертификата ключа подписи и проверка его подлинности. Системы электронного документооборота.
презентация , добавлен 19.01.2014
Назначение электронной цифровой подписи. Использование хеш-функций. Симметричная и асимметричная схема. Виды асимметричных алгоритмов электронной подписи. Создание закрытого ключа и получение сертификата. Особенности электронного документооборота.
реферат , добавлен 20.12.2011
Схема формирования электронной цифровой подписи, её виды, методы построения и функции. Атаки на электронную цифровую подпись и правовое регулирование в России. Средства работы с электронной цифровой подписью, наиболее известные пакеты и их преимущества.
реферат , добавлен 13.09.2011
Общая схема цифровой подписи. Особенности криптографической системы с открытым ключом, этапы шифровки. Основные функции электронной цифровой подписи, ее преимущества и недостатки. Управление ключами от ЭЦП. Использование ЭЦП в России и других странах.
курсовая работа , добавлен 27.02.2011
Правовое регулирование отношений в области использования электронной цифровой подписи. Понятие и сущность электронной цифровой подписи как электронного аналога собственноручной подписи, условия ее использования. Признаки и функции электронного документа.
контрольная работа , добавлен 30.09.2013
Назначение и применение электронной цифровой подписи, история ее возникновения и основные признаки. Виды электронных подписей в Российской Федерации. Перечень алгоритмов электронной подписи. Подделка подписей, управление открытыми и закрытыми ключами.
курсовая работа , добавлен 13.12.2012
Организационно-правовое обеспечение электронной цифровой подписи. Закон "Об электронной цифровой подписи". Функционирование ЭЦП: открытый и закрытый ключи, формирование подписи и отправка сообщения. Проверка (верификация) и сфера применения ЭЦП.
курсовая работа , добавлен 14.12.2011
Понятие, история создания электронной цифровой подписи. Ее разновидности и сфера применения. Использование ЭЦП в России и в других странах, ее алгоритмы и управление ключами. Способы ее подделки. Модели атак и их возможные результаты. Социальные атаки.
реферат , добавлен 15.12.2013
Общая характеристика электронной подписи, ее признаки и составляющие, основные принципы и преимущества применения. Использование электронной цифровой подписи в России и за рубежом. Правовое признание ее действительности. Сертификат ключа проверки ЭЦП.
курсовая работа , добавлен 11.12.2014
Электронная цифровая подпись: понятие, составляющие, назначение и преимущества ее использования. Использование ЭЦП в мире. Правовые основы и особенности использования ЭЦП в Украине. Функция вычисления подписи на основе документа и секретного ключа.
В облако могут быть перенесены только крипто ключи выпущенные с СКЗИ КриптоПро.
Перенос производится в 2 этапа, они описаны ниже.
Проверка ЭЦП на соответствие предъявляемым требованиям
- В окне «» (Рисунок 3) заполните поле «Имя ключевого контейнера». Оно может быть найдено в списках контейнеров (кнопка «Обзор ») или сертификатов (кнопка «По сертификату »).
Откройте панель управления средства криптографической защиты информации (СКЗИ) КриптоПро CSP («Пуск» – «Панель управления» – «КриптоПро CSP») от имени администратора (Вкладка «Общие» - «Запустить от имени администратора») и перейдите на вкладку «Оборудование» (Рисунок 1).
Рисунок 1 – Настройка считывателей
Нажмите кнопку «Настроить считыватели …». Считыватель USB флеш-накопителя и дискет устанавливается по умолчанию при установке КриптоПро CSP. Проверьте, что на закладке «Считыватели» присутствует пункт «Все съемные диски ». В случае, если пункт «Все съемные диски» отсутствует, его необходимо добавить через кнопку «Добавить …» (Рисунок 2).
Рисунок 2 – Управление считывателями
Убедитесь, что чистый USB флеш-накопитель подключен и доступен.
Перейдите на вкладку «Сервис» и нажмите кнопку «Скопировать
».
Рисунок 3 - Вкладка «Сервис» кнопка «Скопировать»
Откроется окно «Копирование контейнера закрытого ключа».
После того, как ключевой контейнер будет найден, нажмите кнопку «Далее ». Если на доступ к закрытому ключу установлен пароль, то он будет запрошен.
Введите пароль и нажмите кнопку «ОК
». Откроется окно ввода параметров нового контейнера закрытого ключа (Рисунок 4).
Рисунок 4 - Окно ввода параметров нового контейнера закрытого ключа
Откроется окно «Копирование контейнера закрытого ключа
» (Рисунок 5).
Рисунок 5 - Окно «Копирование контейнера закрытого ключа»
Введите имя нового ключевого контейнера и установите переключатель «Введенное имя задает ключевой контейнер
» в положение «Пользователь
».
Нажмите кнопку «Готово». Откроется окно, в котором необходимо выбрать USB флеш-накопитель для размещения скопированного контейнера (Рисунок 6).
Рисунок 6 - Окно выбора носителя
Нажмите кнопку «ОК
». Откроется окно создания пароля на доступ к контейнеру закрытого ключа (Рисунок 7).
Рисунок 7 - Окно ввода пароля
На данном шаге следует создать пароль для нового контейнера закрытого ключа и подтвердите его. Этим паролем будет защищена цифровая подпись
, его понадобится вводить при каждом обращении к ней. После ввода необходимых данных нажмите кнопку «ОК». Средство криптографической защиты информации (СКЗИ) «КриптоПро CSP» осуществит копирование контейнера закрытого ключа на USB флеш-накопитель.
Для копирования открытого ключа ЭЦП запустите панель настройки Internet Explorer («Пуск
» – «Панель управления
» – «Свойства браузера
» (Рисунок 8)) и перейдите на вкладку «Содержание
» (Рисунок 9).
Рисунок 8 - «Панель управления
» – «Свойства браузера
»
Рисунок 9 - «Свойства браузера » - «Содержание » - «Сертификаты »;
На вкладке «Содержание» нажмите на кнопку «Сертификаты». В окне «Сертификаты» выберете связанный с закрытым ключом сертификат ЭЦП и нажмите кнопку «Экспорт…» (Рисунок 10).
Рисунок 10 – Оснастка «Сертификаты»
Откроется окно «Мастер экспорта сертификатов
» (Рисунок 11).
Рисунок 11 – Мастер экспорта сертификатов
В открывшемся окне мастера экспорта сертификатов нажмите кнопку «Далее
». На следующем шаге откажитесь от экспорта закрытого ключа, установив флажок «Нет, не экспортировать закрытый ключ
» (Рисунок 12) и нажмите кнопку «Далее».
Рисунок 12 – Выбор типа ключей для экспорта
На следующем шаге выберете формат файла сертификата ЭЦП, установив переключатель в поле «Файлы X.509 (.CER) в кодировке DER», и нажмите кнопку «Далее
» (Рисунок 13).
Рисунок 13 – Выбор формата файла сертификата ЭЦП
На завершающем этапе укажите имя и расположение файла и нажмите кнопку «Далее
». На последнем шаге мастера проверьте выбранные параметры и нажмите кнопку «Готово
» (Рисунки 14 и 15).
Рисунок 14 – Указание пути сохранения и наименования сертификата
Рисунок 15 – Сохранение сертификата ЭЦП
Файлы полученные в результате вышеописанных манипуляций следует поместить в папку и скопировать в облако по пути «W:\ЭЦП ». Данная папка доступна только основному пользователю .
В результате должно получиться примерно следующее «W:\ЭЦП\ООО Тест» (рисунок 16).
Рисунок 16 - ЭЦП скопирован в облако.
Установка производится специалистами по информационной безопасности, они работают по будням с 9 до 18 по Мск. В заявке следует указать название папки, в которую вы сохранили ЭЦП.
Если Ваши ключи выпущены с помощью СКЗИ VipNet, то работать на терминальной ферме (через удаленный рабочий стол или RemoteApp) они не будут. В таком случае работа может производиться на локальном ПК с использованием тонкого клиента, подробнее об установке и работе в .
Если вариант работы в тонком клиенте Вам не подходит, то ЭЦП следует перевыпустить через КриптоПро, по вопросу одобрения заявки на переиздание сертификата следует обращаться в свою обслуживающую организацию.
Как известно, задача электронной подписи состоит в том, чтобы упростить документооборот. Согласно закону 2011 года «Об электронной подписи», цифровой документ, который подписан ЭП, приравнивается к бумажному с рукотворным автографом.
«“Облачная” электронная подпись обладает всеми свойствами, что и обычная, только хранится не на флешке или компьютере, а в интернете – на специальном защищенном сервере, “в облаке”», – рассказывает Игорь Чепкасов, основатель и президент Национального фонда развития криптовалют. Там же происходит подписание и шифрование документа, потому такая ЭП не требует установки на компьютер специального ПО. Эксперт отмечает, что одно из преимуществ «облачной» подписи – возможность подписания документов (включая отчетность) и их отправки из любой точки мира и с любого устройства.
Антон Еликов (проект Мерката) отмечает, что электронная подпись «в облаке» – это то, чем многие из нас пользуются ежедневно, даже не замечая. «Самый яркий пример – это механизм авторизации в мобильных и интернет-банках, когда после ввода пароля вам присылают по СМС одноразовый пин-код. Такая двухуровневая авторизация по сути своей уже может быть электронной подписью», – рассказывает эксперт.
Зачем нужна электронная. Сергей Казаков, эксперт в области информационной безопасности компании «СКБ Контур», напоминает, что с помощью ЭП компании представляют отчетность в налоговую и другие контролирующие органы, ведут электронный документооборот. Цифровая подпись также широко применяется в сфере государственных закупок. «По нашим оценкам, общее число пользователей электронной подписи в России превышает два миллиона», – отмечает эксперт. «Технология “облачной” электронной подписи, появившаяся несколько лет назад, делает этот инструмент доступнее для бизнеса. Подтверждение этому – несколько десятков тысяч клиентов “СКБ Контур”, сделавших выбор в ее пользу», – рассказывает г-н Казаков.
Обратите внимание
Пока эксперты рассуждают о распространении «облачной» ЭП, есть одна проблема – вопросы ее применения не прописаны в нормативных актах.
Как отмечает Алексей Дашков, руководитель направления ИБ компании «Системный софт», ЭП выполняет такую же функцию, как и подпись, закрепленная печатью. «Она обеспечивает подлинность документа и состоит из закрытого и открытого ключа. Подписание документа производится с помощью закрытого ключа, который обычно хранится на специальном носителе – токене. Приобрести сервис можно у целого ряда компаний-провайдеров подобных услуг, никаких специальных требований, кроме наличия стандартного комплекта учредительных документов, не требуется», – рассказывает он.
«“Облачная” электронная подпись – это обычная электронная подпись, но с одним отличием: закрытый ключ хранится на серверах удостоверяющего центра, и подписание документов осуществляется там же. Подтверждение личности подписанта происходит обычно с помощью отправки смс с кодом на мобильный телефон», – поясняет г-н Дашков.
Цена вопроса
Игорь Чепкасов рассказал, что стоимость ЭП зависит от ее функциональных возможностей и сферы применения и колеблется от 1000 до 15 000 рублей. «По крайней мере, такие цены я встречал лично, когда мне ЭП нужна была по работе. “Облачная” электронная подпись в некоторых известных мне компаниях стоит 3000 рублей», – делится эксперт.
Стоимость «облачной» подписи варьируется у разных компаний-операторов. Можно найти предложение и за 900 рублей в год. Однако не стоит безоговорочно верить рекламным обещаниям. Советуем подробно ознакомиться с прайсом на «облачную» подпись и узнать, что входит в стоимость, и только после этого принимать решение о ее приобретении.
«Стоимость “облачной” электронной подписи, как правило, включена в тариф того сервиса, который покупает клиент. Единственный сервис “СКБ Контур”, который продает ее отдельно, – это система электронного документооборота “Диадок”. В нем она составляет 900 рублей. При этом обычный сертификат на носителе с лицензией на средстве криптографической защиты информации (СКЗИ) обойдется в 3000 рублей», – рассказывает Сергей Казаков.
Как работает?
В основе работы технологии – специализированный сервер электронной подписи, находящийся «в облаке». «Если пользователю необходимо, например, отправить отчет в налоговую инспекцию, его учетная система взаимодействует с сервером электронной подписи и передает ему документ, который нужно подписать. Сервер электронной подписи обязан запросить разрешение у пользователя – это можно сделать, отправив на его мобильный телефон код подтверждения операции, как в интернет-банке», – отмечает Сергей Казаков. Вводя код подтверждения в учетной системе, пользователь санкционирует доступ к ключу ЭП, и для документа создается подпись. «Все ключи электронной подписи хранятся в зашифрованном виде на специализированном устройстве, отвечающем самым строгим требованиям безопасности. Оператор сервера электронной подписи должен предпринимать все меры для того, чтобы минимизировать риск несанкционированного доступа к ключам», – рассказывает г-н Казаков.
Для того, чтобы использовать «классическую» электронную подпись, нужно приобрести токен и специализированное программное обеспечение – криптопровайдер. «Это немалые расходы, особенно для начинающих предпринимателей. Затем это программное обеспечение нужно установить и настроить, а если вы собираетесь использовать подпись на нескольких рабочих местах – для каждого места отдельно. “Облачная” электронная подпись не требует приобретения ПО и предварительной настройки, ее нельзя потерять или забыть», – отмечает г-н Казаков. В отличие от традиционных технологий, «облачная» подпись доступна пользователям на любой операционной системе и платформе, в том числе на мобильных устройствах.
Алексей Дашков отмечает, что «облачные» ЭП популярны у небольших компаний или индивидуальных предпринимателей, активно использующих сервисы «типа онлайн-бухгалтерий и онлайн-документооборота». В крупных организациях, не использующих «облака», применение такой подписи, по его словам, может оказаться дороже и сложнее, чем применение обычной ЭП.
Каковы перспективы?
По словам Антона Еликова, распространение применения «облачных» электронных подписей очень ждет вся транспортная отрасль России. «Стоит только представить себе ситуацию, когда водитель-экспедитор едет в рейс не с пачкой бумаг, а с планшетом. И прямо на месте отгрузки подписывает с клиентом товарно-транспортную накладную! Но основную пользу “облачная” электронная подпись могла бы принести в случае, когда документ поставки расходится с фактически отгружаемым объемом продукции (пересорт, бой в процессе транспортировки)», – отмечает он. По словам г-на Еликова, таких случаев на практике порой бывает до 40 процентов. «И все эти документы сейчас отправляются в длинный путь взаимодействия бухгалтерий со стороны поставщика и покупателя. Хотя вопрос расхождений мог бы быть урегулирован прямо в месте отгрузки, и факт изменения был бы подтвержден “облачной” подписью», – делает вывод эксперт.
Игорь Чепкасов рассказывает, что в настоящее время уже имеются совершенно новые разработки, использующие технологию Blockchain, а именно – умные контракты. «Децентрализация – фундаментальный принцип работы технологии – обеспечивает абсолютную защиту от компрометации и несанкционированного доступа к любому документу и самой подписи, поскольку каждый такой элемент-блок (подпись, документ, архив и т. д.) находится в прочной цепочке пронумерованных блоков, защищенных сложнейшим криптографическим кодом», – рассказывает он. По словам г-на Чепкасова, внести изменения в уже введенный в обращение блок невозможно; умный контракт – это электронный алгоритм, описывающий набор условий, выполнение которых влечет за собой определенные события. «Его работа основывается на создании и применении так называемых протоколов с низким доверием, где алгоритм протокола использует только программные средства, а человеческий фактор из цепочки принятия решений максимально исключен – человек здесь выступает исключительно в ро-и одной из сторон, участвующей в реализации контракта. Например, при отправке платежей исполнение контракта невозможно без получения оговоренного в договоре числа электронных подписей», – отмечает он.
Тем временем, пока эксперты рассуждают о распространении практики применения «облачной» электронной подписи и говорят о возможностях развития технологий, есть одна проблема. Связана она с тем, что сегодня вопросы применения такой ЭП должным образом не прописаны в нормативных актах. Но в скором времени, а именно – в III квартале 2016 года, – россияне получат законодательную возможность использовать электронную подпись без материального носителя – USB-флешки или SIM-карты. Такая норма содержится в «дорожных картах» к программе развития интернета в России, которую Институт развития интернета подготовил для президента РФ. Так что можно ожидать, что компании в скором времени перестанут бояться «облачных» технологий и начнут более активно использовать такую электронную подпись в своей работе.