Если что-то может оказаться в облаке, оно там окажется.
Аллюзия на Закон Мёрфи
За облаками ИТ не видно
Даже не хочется в очередной раз говорить о том, как неизбежно, быстро и повсеместно облака затмевают небосклон ИТ. Полагаем, вдумчивый читатель уже многократно об этом слышал из уст множества вендоров и аналитиков. Не углубляясь в подробности, можно отметить, что основной движущей силой на этом пути, как это часто бывает, являются деньги. Действительно, расчёты показывают существенную выгоду от использования облачных технологий по сравнению с традиционными «локальными» решениями.
Поэтому вовсе не обязательно быть провидцем, чтобы утверждать, что все ИТ, которые могут быть перенесены «в облако», рано или поздно там окажутся. И технология электронной подписи (ЭП) здесь не исключение. Конечно, вопросы безопасности ключей, хранящихся «в облаке», и защищённого доступа к этим ключам, обретают новые краски. Но если есть спрос, будет и предложение.
Путь инноваций
Давайте вспомним, как различные технические новинки той или иной степени революционности завоёвывают себе место в нашей повседневной жизни. Сначала изобретение появляется на свет и начинает мало-помалу использоваться. Поскольку раньше ничего подобного не было, имеющиеся законодательные нормы либо вообще не регулируют использование новой технологии, либо они сформулированы слишком обобщённо. С ростом влияния технологии на жизнь общества приходит понимание, что законы в этой сфере необходимо уточнять или писать с нуля.
Поскольку законы должны быть технологически нейтральными, в них нельзя учесть все технические аспекты использования «новинки», и здесь на помощь приходит техническое регулирование. Появляется совокупность подзаконных актов и требований, выраженных в виде технических стандартов. Они призваны обеспечить безопасность применения новой технологии, совместимость различных реализаций, а также отрегулировать другие возможные нюансы.
Далеко за примерами ходить не надо. Такой путь прошёл автомобиль, компьютер, Интернет. Такой путь прошла электронная подпись. На этом же пути сейчас находится облачная электронная подпись. Сегодня в России мы наблюдаем только начальные шаги – появились первые продукты и запущены первые системы облачной подписи. Однако в Европе, например, развитие данной технологии уже на третьей ступени – принят технический стандарт по системам облачной подписи.
Облачная подпись в действии
Но давайте обо всём по порядку. Первые системы «серверной подписи» были запущены в Европе ещё до начала победного шествия облачных технологий по планете. Одна из таких систем работает в Испании, в Стране Басков. Управляет системой компания Izenpe, созданная в 2003-м году Правительством Страны Басков. Данная компания является аккредитованным удостоверяющим центром (УЦ) и может выдавать квалифицированные сертификаты ЭП. По данным на весну 2013-го года Izenpe выпустила около 350 000 квалифицированных сертификатов, из которых 30 000 «в облаке». Ключи ЭП хранятся в специализированном аппаратном криптографическом модуле HSM, система поддерживает формирование подписи в соответствии с усовершенствованными форматами (*AdES).
Второй пример – Норвегия. Национальная система аутентификации и облачной подписи, управляемая консорциумом норвежских банков, называется BankID. Создание системы началось в 2003-м году, а в 2005-м она была запущена на массовом рынке. В BankID выпущено более трёх миллионов сертификатов. В пересчёте на численность населения, это больше половины. Около 600 000 пользователей используют BankID через мобильное приложение на смартфоне. Есть даже некоторые данные об операциях в этой системе: в пиковые периоды через неё проходит более миллиона операций в день; из всех операций около четверти – это подписание, остальные – аутентификация. Поддерживается несколько форматов подписанных документов. Ключи, как и в испанской системе, хранятся в аппаратном криптографическом модуле HSM. BankID является распределённой системой со множеством точек входа. Издателями квалифицированных сертификатов являются банки, т.е. подключение производится через них. В 2010-м году по распоряжению Министерства связи Норвегии была проведена аттестация системы, которая подтвердила, в том числе, что выполняется требование исключительного контроля пользователя над своим ключом.
Ещё один пример облачной системы квалифицированной подписи – это австрийская система, запущенная в 2009-м году. Здесь сервер подписи управляется аккредитованным УЦ, принадлежащим правительству Австрии. Для доступа к ключу используется двухфакторная аутентификация: номер телефона и пароль как первый фактор, а также одноразовый пароль, отправляемый в SMS-сообщении, в качестве второго фактора. Ключи, как и в двух предыдущих примерах, хранятся в HSM. Система предназначена для физических лиц – граждан Австрии, которые используют данную систему облачной подписи бесплатно.
Система квалифицированной облачной подписи функционирует также в Италии. Создателем и оператором «сервера подписи» выступает частная компания Itagile, которая является аккредитованным УЦ. В системе выпущено более 200 000 сертификатов. Как и везде, ключи здесь также хранятся в HSM. Итальянский уполномоченный орган, ответственный за сертификацию средств квалифицированной ЭП, занимается оценкой соответствия в том числе систем «удалённой электронной подписи». Такие системы проверяются на выполнение требований стандарта CEN/TS 419241, о котором пойдёт речь дальше. Компания Itagile сертифицировала своё решение по этим требованиям. В начале 2015-го года Греция официально признала сертификат на сервер подписи компании Itagile, выданный итальянским уполномоченным органом, так что в скором времени следует ожидать появления подобной системы и в Греции.
Постановление Европарламента eIDAS
Вслед за практикой произошли изменения и в законодательстве. Долгое время применение ЭП в Европе регулировалось директивой 1999-го года №1999/93/EC. Её положения во многом повторены в действующем у нас сейчас 63-ФЗ «Об электронной подписи». Для квалифицированной подписи необходимо использовать квалифицированный сертификат и средство ЭП, прошедшее оценку соответствия. Никаких ограничений или специальных условий про хранение ключа в каком-то сервере директива не содержит, но это и понятно – в 1999-м году об этом никто не думал.
Однако в сентябре 2014-го года в силу вступило новое Постановление Европарламента №910/2014 (eIDAS), которое заменяет директиву 1999-го года. В этом постановлении вопрос подписи на стороне сервера не оставлен без внимания. А именно, разрешается хранение и использование ключа квалифицированной ЭП на сервере аккредитованного поставщика доверенных услуг, так называемого TSP (Trust Service Provider). Таким поставщиком может выступать аккредитованный УЦ.
Следует ожидать, что уже в ближайшее время появятся первые аккредитованные в соответствии с новым постановлением поставщики услуги облачной квалифицированной ЭП, поскольку, например, в Италии всё необходимое для этого уже есть.
Технические требования к серверам подписи
Специалистам понятно, что нельзя просто взять традиционное сертифицированное средство ЭП, подключить его к серверу, и назвать это сервером подписи. Новый режим использования средства ЭП накладывает новые требования по безопасности. Европейский комитет по стандартизации (CEN) в октябре 2013-го года принял техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing», которая как раз посвящена этому вопросу. Подробно об этом документе мы рассказывали в статье «Квалифицированная электронная подпись в облаке как она есть» («BIS Journal» №1(16)/2015), поэтому здесь остановимся только на наиболее важных моментах.
Для формирования квалифицированной подписи сервер должен удовлетворять ограничениям, накладываемым определенным в документе CEN Уровнем 2. С точки зрения криптографической защиты, одним из наиболее важных является требование хранения пользовательских ключей подписи в памяти специализированного защищённого устройства, такого как HSM. Накладывается также и ряд требований по аутентификации: должны поддерживаться строгие варианты аутентификации, аутентификация пользователя должна происходить напрямую на сервере подписи и быть как минимум двухфакторной. При этом в качестве средства аутентификации может использоваться и специализированное приложение на смартфоне, такое как КриптоПро AirKey, и генераторы одноразовых паролей (OTP-токены).
Все требования CEN/TS 419241 Уровня 2 в полном объеме выполняются для сервера подписи КриптоПро DSS. Выполнение требований по криптографической защите ключей и работе с ними подтверждается результатами тематических исследований программно-аппаратного криптографического модуля КриптоПро HSM, входящего в состав КриптоПро DSS, а стойкость процедур аутентификации будет подтверждена в рамках сертификации решения в целом.
Тем временем в России…
Облачная подпись в России уже начала завоёвывать своё место под солнцем. Продукты появились, первые системы запущены. Законодательство и техническое регулирование пока не затрагивает эту технологию, но это лишь вопрос времени. Электронная подпись обязательно будет существовать и в «облачном» варианте, поскольку это удобно и выгодно.