Преимущества «облачной» КЭП теперь доступны для пользователей — Единый портал ЭП

Миф 3. облачные подписи ненадёжны потому, что сервер может упасть в любой момент

Комплекс КриптоПро DSS и модуль КриптоПро HSM, используемые для удалённых операций с электронными подписями и для хранения ключей, отличаются высокой отказоустойчивостью. Если какой-либо компонент системы выходит из строя, его автоматически заменяет резервный, без перебоев в работе и без участия обслуживающего персонала.

Миф 4. облачная подпись — это неудобно, потому что нужно постоянное соединение с интернетом

Отчасти это правда. Но у облачной подписи есть масса преимуществ перед ЭП, хранящимися на токенах. Токены можно потерять, сломать, они привязаны к стационарному рабочему месту. Облачную подпись можно использовать в любой точке мира, а подписать документ можно даже с телефона: лишь бы был Интернет.

3 — производительность

Аппаратные ресурсы решения обеспечивают высокую скорость вычисления электронной подписи, позволяя путем их наращивания масштабировать производительность до любого требуемого уровня.

4 — надежность

С «облачной» ЭП больше не страшен риск отказа ключевого носителя, его поломки, потери или кражи. Любой сбой пройдет для пользователя незаметно и без последствий благодаря аппаратному резервированию серверных компонент. В качестве примера аппаратного резервирования можно привести дублирование.

Внедрение и стоимость «облачной» квалифицированной электронной подписи

Важно отметить, что ввиду технических и организационных особенностей реализации решения, оно преимущественно ориентировано на крупные организации с разветвленной сетью владельцев электронных подписей и высокой мобильностью сотрудников: например, удостоверяющие центры, банки, страховые, производственно-сбытовые компании.

Внедрение технологии «облачной» КЭП осуществляется при помощи компании-интегратора**. Интегратор обеспечивает взаимодействие разработчика ООО «КРИПТО-ПРО» и организации — конечного пользователя, которой ввиду высокой технологической сложности решения требуется помощь специалистов.

** АО «Аналитический Центр» — центр авторизации УЦ при Ассоциации Электронных Торговых Площадок, поставщик продуктов и услуг в сфере информационной безопасности, аутентификации и идентификации.

Цена внедрения нужной комплектации решения, а значит и итоговая стоимость каждой «облачной» квалифицированной электронной подписи рассчитывается для клиентов в индивидуальном порядке. Эти величины не имеют коммерческой «вольности», но строго определяются анализом текущего технического оснащения компании, временными и трудо- затратами интегратора на подбор подходящих вариантов, а затем необходимыми инвестициями в реализацию выбранного «пути».

Вопрос «квалифицированности» «облачной» эп

Технически и организационно сложное в своей реализации решение прошло долгий путь от идеи до получения сертификата от Федеральной Службы Безопасности. Процесс был осложнен тем, что помимо применения передовых технологий необходимо было обеспечить должный уровень безопасности пользователей.

10 августа 2022 года компания-разработчик ООО «КРИПТО-ПРО» получила сертификаты ФСБ России на все разработанные комплектации КриптоПро HSM 2.0 и DSS 2.0. Это позволяет формировать квалифицированные электронные подписи, используя любой из перечисленных выше способов аутентификации.

Второй шаг. установить криптопро cloud csp.

Криптопровайдер КриптоПро Cloud CSP доступен для скачивания по ссылке. Помимо дистрибутива в архиве будет также краткая инструкция по использованию. Установка дистрибутива не вызовет сложностей. Но есть одно условие, перед установкой КриптоПро Cloud CSP нужно предварительно удалить все другие криптопровайдеры.

Где и как получить облачную электронную подпись?

Как создать облачную электронную подпись? Пока что всего несколько удостоверяющих центров предоставляют такую возможность. Среди них самыми популярными являются Sign Me . Кстати, работают они как раз на базе КриптоПро myDSS, то есть, на программном уровне у них идентичный функционал.

За облаками ит не видно

Даже не хочется в очередной раз говорить о том, как неизбежно, быстро и повсеместно облака затмевают небосклон ИТ. Полагаем, вдумчивый читатель уже многократно об этом слышал из уст множества вендоров и аналитиков. Не углубляясь в подробности, можно отметить, что основной движущей силой на этом пути, как это часто бывает, являются деньги.

Поэтому вовсе не обязательно быть провидцем, чтобы утверждать, что все ИТ, которые могут быть перенесены «в облако», рано или поздно там окажутся. И технология электронной подписи (ЭП) здесь не исключение. Конечно, вопросы безопасности ключей, хранящихся «в облаке», и защищённого доступа к этим ключам, обретают новые краски. Но если есть спрос, будет и предложение.

Как работает оэп?

Рассмотрим пример, характерный для участников торгов. Допустим, поставщик направляет свое предложение на участие в тендере. До появления ОЭП подписать документ невозможно было без установленного на компьютер пользователя плагина. Этот плагин и софт локального средства сообщались друг с другом и работали в неразрывной связке.

Теперь вытащим из этой схемы флеш-накопитель: софт подключается к облачному хранилищу по защищенному каналу.

Одной из первых площадок, которая оценила возможности новых технологий и внедрила в свои процессы использование облачной ЭП, стала федеральная торговая площадка «Росэлторг».

Как установить оэп и начать работать?

Для работы на локальном компьютере потребуется:

Чтобы пользоваться ОЭП на мобильном устройстве, оно должно работать на базе операционных систем не ниже Android 7.0 или iOS 8/9/10/11. Кроме этого, нужно установить приложение MyDss

Установка и настройка на смартфоне приложения MyDss

1. Зайдите в приложение Play Market или Apple Store (зависит от устройства, которое Вы используете).
2. В поисковую строку вбейте «MyDss» и запустите установку приложения.
3. После завершения скачивания нажмите кнопку «Открыть».

4. Для начала работы система уведомит вас о необходимости сканирования QR-кода. Предоставьте камере доступ к этому действию.

5. Считайте QR-код с сертификата, который получили в УЦ.

6. Придумайте имя для сохраняемого ключа, например, «ОЭП для торгов».

7. Выберите способ авторизации (с паролем, без пароля, отпечаток пальца, Face ID).

8. Программа готова к использованию.

Установка СКЗИ КриптоПро CSP 5

Чтобы пользоваться облачной ЭП потребуется наличие операционной системы Windows 7, 8, 8.1 или 10. Проверьте, что Ваша ОС подходит для работы с ОЭП. Для этого откройте «Центр обновлений Windows» и запустите поиск и обновления компонентов Windows.

Копирование пользовательского контейнера

Прежде всего, у вас должен быть ключевой контейнер формата КриптоПро, а сертификат для него должен быть установлен в системное хранилище. Если сертификата нет, его можно выпустить на нашем тестовом сервисе (открывать через Internet Explorer). При генерации не забудьте пометить ключ как экспортируемый.

Для переноса ключа открываем системное хранилище сертификатов (Win-R – certmgr.msc – ОК), выбираем сертификат, нажимаем правой кнопкой – «Все задачи» – «Экспорт»:

В Мастере экспорта сертификатов указываем, что хотим экспортировать сертификат с закрытым ключом и выполняем экспорт в формат pfx, установив произвольный пароль. 

Возвращаемся на экран управления DSS и нажимаем кнопку «Установить сертификат»:

Здесь выбираем экспортированный pfx-контейнер и нажимаем кнопку «Загрузить сертификат». В результате в списке сертификатов должен появиться ваш скопированный сертификат, который можно просмотреть. 

Миф 1. облачная подпись недостаточно защищена: есть риск взлома «облака»

Высокую степень защиты гарантирует КриптоПро HSM, используемый как хранилище ключей и криптографический модуль. Хранилище ключей облачных подписей надежно защищено датчиками вскрытия, доверенной операционной системой, безопасными механизмами аудита и контроля подключений.

Пользовательские ключи хранятся зашифрованными с помощью мастер-ключей защиты, которые зашифрованы с использованием ключа активации хранилища, который защищен с использованием схемы шифрования «3 из 5» и хранятся на смарт-картах администраторов хранилища. Технологии хранения ключей сертифицированы ФСБ России. Поверьте, с Вашими подписью и ключами ничего не случится.

Миф 2. облачная подпись не имеет юридической силы

В новой редакции 63-ФЗ «Об электронной подписи» появилось понятие облачной подписи и были закреплены функции Удостоверяющих центров (УЦ), работающих с облачными подписями. Такие УЦ берут на себя обязанности хранения ключей подписей, создания электронных подписей (ЭП) и информирования о проведенных операциях.

Миф 5. наверняка это дорого: платить за использование облачного хранилища

Вовсе нет. Облачная подпись обойдётся дешевле обычной ЭП, поскольку нет необходимости приобретать токен и средство криптографической защиты информации. Кроме того, пользуясь облачным хранилищем, можно выпустить условно неограниченное количество ключей и сертификатов.

Как вам статья?

Облачная квалифицированная электронная подпись для торгов, как получить облачную эцп в москве

Облачная подпись в действии

Но давайте обо всём по порядку. Первые системы «серверной подписи» были запущены в Европе ещё до начала победного шествия облачных технологий по планете. Одна из таких систем работает в Испании, в Стране Басков. Управляет системой компания Izenpe, созданная в 2003-м году Правительством Страны Басков.

Данная компания является аккредитованным удостоверяющим центром (УЦ) и может выдавать квалифицированные сертификаты ЭП. По данным на весну 2022-го года Izenpe выпустила около 350 000 квалифицированных сертификатов, из которых 30 000 «в облаке». Ключи ЭП хранятся в специализированном аппаратном криптографическом модуле HSM, система поддерживает формирование подписи в соответствии с усовершенствованными форматами (*AdES).

Второй пример – Норвегия. Национальная система аутентификации и облачной подписи, управляемая консорциумом норвежских банков, называется BankID. Создание системы началось в 2003-м году, а в 2005-м она была запущена на массовом рынке. В BankID выпущено более трёх миллионов сертификатов.

В пересчёте на численность населения, это больше половины. Около 600 000 пользователей используют BankID через мобильное приложение на смартфоне. Есть даже некоторые данные об операциях в этой системе: в пиковые периоды через неё проходит более миллиона операций в день; из всех операций около четверти – это подписание, остальные – аутентификация.

Поддерживается несколько форматов подписанных документов. Ключи, как и в испанской системе, хранятся в аппаратном криптографическом модуле HSM. BankID является распределённой системой со множеством точек входа. Издателями квалифицированных сертификатов являются банки, т.е. подключение производится через них.

Ещё один пример облачной системы квалифицированной подписи – это австрийская система, запущенная в 2009-м году. Здесь сервер подписи управляется аккредитованным УЦ, принадлежащим правительству Австрии. Для доступа к ключу используется двухфакторная аутентификация: номер телефона и пароль как первый фактор, а также одноразовый пароль, отправляемый в SMS-сообщении, в качестве второго фактора.

Система квалифицированной облачной подписи функционирует также в Италии. Создателем и оператором «сервера подписи» выступает частная компания Itagile, которая является аккредитованным УЦ. В системе выпущено более 200 000 сертификатов. Как и везде, ключи здесь также хранятся в HSM.

Итальянский уполномоченный орган, ответственный за сертификацию средств квалифицированной ЭП, занимается оценкой соответствия в том числе систем «удалённой электронной подписи». Такие системы проверяются на выполнение требований стандарта CEN/TS 419241, о котором пойдёт речь дальше.

Компания Itagile сертифицировала своё решение по этим требованиям. В начале 2022-го года Греция официально признала сертификат на сервер подписи компании Itagile, выданный итальянским уполномоченным органом, так что в скором времени следует ожидать появления подобной системы и в Греции.

Общие понятия об облачных эцп

Первый программный комплекс по работе с облачными ЭЦП был представлен ещё в 2022 году компанией КриптоПро. Но вплоть до 2022 года использовать их не представлялось возможным, так как на законодательном уровне мелись юридические ограничения, не дававшие возможности реализовать подобный проект.

В 2022 – 2022 годах в ФЗ 63, которым и регулируется использование ЭЦП, были внесены изменения, благодаря которым удостоверяющие центры получили возможность регистрировать облачные электронные подписи. Однако контроль за их использованием, а также защита данных, сертификатов от компрометации – все это УЦ обязан был брать на себя, разрабатывая специальные программные комплексы для работы с ЭЦП.

На текущий момент полноценное готовое решение по работе с облачными сертификатами электронных подписей представлено компанией «КриптоПРО» — речь идет про программный комплекс КриптоПро myDSS. По сути – это специальное приложение, с помощью которого владелец ЭЦП и может работать со своей подписью через мобильный телефон (заявлена поддержка платформ Android и iOS).

Что такое облачная электронная подпись простым языком?

Это тот же цифровой сертификат, но который хранится не на физическом носителе у владельца подписи, а на удаленном сервере, то есть, в интернете. Взаимодействие с ЭЦП в облаке возможно без так называемого RU-токена, что делает невозможным случайную потерю или повреждение электронной подписи.

Ответы на самые распространенные вопросы

А можно без софта на локальном компьютере?

Да, это возможно, если на ЭТП есть  дополнительный сервер, который обрабатывает входящую информацию и выступает в роли этого самого локального средства. В этом случае пользователь может использовать любой браузер. 

В чем отличие стандартной ЭП от облачной?

Оба эти варианта имеют общее ядро с сертификатом и уровнем безопасности. По своей сути, они аналогичны, просто меняется схема внутреннего API-шифрования при кодировке информации. В первом случае ключ извлекается из локального средства, а во втором – с виртуального (удаленного).

Для использования облачной ЭП тоже нужна авторизация?

Да. Однако теперь авторизация имеет два уровня защиты, и нет привязки к компьютеру. При этом авторизация для пользователя не вызовет никаких сложностей:

Подключение к csp

Через эту же веб-форму можно напрямую подписывать и зашифровывать документы, проверять данные и т.д., но, если вам нужно использовать ключи во внешних приложениях, нужно зарегистрировать эти сертификаты в CSP. Самый простой способ — воспользоваться утилитой CryptoPro Tools (Инструменты КриптоПро), входящей в состав КриптоПро CSP 5.0.

Запускаем её из меню Пуск и выбираем пункт «Облачный провайдер»:

В появившемся окне вбиваем адреса используемых сервисов авторизации и доступа к DSS. Для тестового сервиса пользуемся адресами по умолчанию.

Нажимаем кнопку «Установить сертификаты». Если вы правильно указали адреса, должно появиться браузерное окно аутентификации на DSS. Вводим учетные данные, указанные при регистрации: 

В процессе установки сертификатов с сервера будут скачаны и установлены цепочки сертификатов, что может приводить к окнам с предупреждениями:

Если все настроено корректно, приложение сообщит об успешной установке сертификатов и их можно будет просмотреть на вкладке «Контейнеры» или в любом приложении, использующем CryptoAPI:

Постановление европарламента eidas

Вслед за практикой произошли изменения и в законодательстве. Долгое время применение ЭП в Европе регулировалось директивой 1999-го года №1999/93/EC. Её положения во многом повторены в действующем у нас сейчас 63-ФЗ «Об электронной подписи». Для квалифицированной подписи необходимо использовать квалифицированный сертификат и средство ЭП, прошедшее оценку соответствия.

Однако в сентябре 2022-го года в силу вступило новое Постановление Европарламента №910/2022 (eIDAS), которое заменяет директиву 1999-го года. В этом постановлении вопрос подписи на стороне сервера не оставлен без внимания. А именно, разрешается хранение и использование ключа квалифицированной ЭП на сервере аккредитованного поставщика доверенных услуг, так называемого TSP (Trust Service Provider). Таким поставщиком может выступать аккредитованный УЦ.

Следует ожидать, что уже в ближайшее время появятся первые аккредитованные в соответствии с новым постановлением поставщики услуги облачной квалифицированной ЭП, поскольку, например, в Италии всё необходимое для этого уже есть.

Преимущества

1. Владелец стандартной ЭП на USB-носителе при утере флешки должен будет получить новый ключ. Владелец облачной ЭП просто поменяет пароль.
2. Мобильность пользователя. Раньше нужно было находиться поблизости к компьютеру, на который установлены все программы и надстройки. Теперь при использовании ОЭП привязка к рабочему месту не нужна.
3. Нет привязки к браузеру: раньше это был IE, а это вызывало трудности еще на этапе выбора ОС: Linux-админы находили пути обхода, а вот на Mac-устройствах это невозможно.
4. Нет территориальной привязки. Пользователь не обязательно должен находиться в РФ. Раньше владельцы должны были находиться внутри страны, ввиду особенностей защиты подписей на носителях.
5. Двухуровневая защита обеспечивает более надежную сохранность информации о пользователе.
6. Возможность подписывать документы через приложение на смартфоне.

Чтобы получить решение Вашей задачи, связанной с получением ЭЦП : напишите нам или просто позвоните по номеру: 8 (800) 201-12-78

Преимущества и недостатки облачных электронных подписей

Главное преимущество облачных цифровых подписей – для их использования не нужен USB-носитель (рутокен). А если нет физического носителя, то и сломать его, потерять, украсть – не получится.

При этом доступ к своей электронной подписи у владельца все равно остается – для этого нужно лишь установить специальное мобильное или десктопное приложение (которое и предоставляет удостоверяющий центр). С помощью же него можно подписывать документы, проходить авторизацию на сайтах (где имеется возможность такой верификации пользователя), выполнять заверение файлов.

Стоит заметить, что подобные технологии уже активно используются во многих европейских странах. И многие граждане или предприниматели постепенно переходят на использование только облачных ЭЦП, отказываясь от традиционных.

Из преимуществ облачной ЭЦП можно выделить:

• нет необходимости покупать физический носитель для хранения закрытого ключа;
• нет нужды в обязательной установке открытого сертификата на ПК (можно не переживать, что доступ к подписи получит тот, кто имеет возможность воспользоваться компьютером владельца ЭЦП);
• получать ЭЦП можно будет быстрее – обращаться лично в удостоверяющий центр уже не потребуется, ждать изготовления рутокена – тоже;
• закрытый ключ нигде не публикуется, при подписи документов или при любом другом алгоритме использования ЭЦП будет применяться открытый ключ.

Что касательно недостатков облачных электронных подписей, то ключевых – всего три:

1. Риск взлома удаленного сервера и последующей кражи закрытых ключей ЭЦП – вполне возможен. Никто не сможет предоставить 100%-гарантии того, что программная платформа не имеет уязвимостей. Удостоверяющие же центры утверждают, что при выявлении подобного факта действие всех хранимых ЭЦП будет прекращено (их попросту удалят из реестра, после чего ими не удастся воспользоваться злоумышленникам).
2. Удаленный сервер, на котором будут храниться ЭЦП, может оказаться недоступным по техническим причинам. Владелец электронной подписи воспользоваться ею при этом никак не сможет. А это может привести, к примеру, к потере выгодного контракта или к штрафу за несвоевременную подачу финансовой отчетности (со стороны ФНС). Что делать в таких случаях – не ясно.
3. С юридической точки зрения владельцем закрытого ключа ЭЦП будет являться удостоверяющий центр, а не сам получатель сертификата.

Ещё одна особенность – не получится оформить неквалифицированную облачную подпись, так как в предложенной платформе КриптоПро myDSS обязательно используется криптошифрование (на стороне сервера). Но, в принципе, неквалифицированные ЭЦП постепенно уходят из обихода, в будущем от их использования планируется отказаться на законодательном уровне.

Путь инноваций

Давайте вспомним, как различные технические новинки той или иной степени революционности завоёвывают себе место в нашей повседневной жизни. Сначала изобретение появляется на свет и начинает мало-помалу использоваться. Поскольку раньше ничего подобного не было, имеющиеся законодательные нормы либо вообще не регулируют использование новой технологии, либо они сформулированы слишком обобщённо.

Поскольку законы должны быть технологически нейтральными, в них нельзя учесть все технические аспекты использования «новинки», и здесь на помощь приходит техническое регулирование. Появляется совокупность подзаконных актов и требований, выраженных в виде технических стандартов.

Далеко за примерами ходить не надо. Такой путь прошёл автомобиль, компьютер, Интернет. Такой путь прошла электронная подпись. На этом же пути сейчас находится облачная электронная подпись. Сегодня в России мы наблюдаем только начальные шаги ­– появились первые продукты и запущены первые системы облачной подписи.

Сертификаты фсб россии на различные комплектации решения

Для того чтобы наглядно продемонстрировать надежность данного решения, в качестве примера приведем один из вариантов прохождения аутентификации пользователя «облачной» квалифицированной электронной подписи.

Создание запроса через dss

Второй путь получения сертификата — это создание запроса на УЦ, который непосредственно подключен к DSS.

Нажимаем «Создать запрос на сертификат», вводим данные (обязательно только поле CN) и создаём запрос. Во всплывающем окне ПИН-код можно оставить пустым. 

Выпущенный сертификат сразу попадает в список и также доступен для просмотра.

Создание тестового пользователя

Первым делом, заведем пользователя на тестовом сервере. Для этого зайдем в его веб-интерфейс и нажмем кнопку «Регистрация»:

Заполним форму регистрации и подтвердим создание пользователя:

После регистрации мы попадаем на основной экран пользователя, где перечислены сертификаты, соответствующие хранящимся на сервере закрытым ключам. У нового пользователя, разумеется, сертификатов нет. Есть два пути, как их добавить: скопировать существующий контейнер и создать новый. Рассмотрим оба.

Тем временем в россии…

Облачная подпись в России уже начала завоёвывать своё место под солнцем. Продукты появились, первые системы запущены. Законодательство и техническое регулирование пока не затрагивает эту технологию, но это лишь вопрос времени. Электронная подпись обязательно будет существовать и в «облачном» варианте, поскольку это удобно и выгодно.

Технические требования к серверам подписи

Специалистам понятно, что нельзя просто взять традиционное сертифицированное средство ЭП, подключить его к серверу, и назвать это сервером подписи. Новый режим использования средства ЭП накладывает новые требования по безопасности. Европейский комитет по стандартизации (CEN)

в октябре 2022-го года принял техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing», которая как раз посвящена этому вопросу. Подробно об этом документе мы рассказывали в статье «Квалифицированная электронная подпись в облаке как она есть» («BIS Journal» №1(16)/2022), поэтому здесь остановимся только на наиболее важных моментах.

Для формирования квалифицированной подписи сервер должен удовлетворять ограничениям, накладываемым определенным в документе CEN Уровнем 2. С точки зрения криптографической защиты, одним из наиболее важных является требование хранения пользовательских ключей подписи в памяти специализированного защищённого устройства, такого как HSM.

Накладывается также и ряд требований по аутентификации: должны поддерживаться строгие варианты аутентификации, аутентификация пользователя должна происходить напрямую на сервере подписи и быть как минимум двухфакторной. При этом в качестве средства аутентификации может использоваться и специализированное приложение на смартфоне, такое как КриптоПро AirKey, и генераторы одноразовых паролей (OTP-токены).

Все требования CEN/TS 419241 Уровня 2 в полном объеме выполняются для сервера подписи КриптоПро DSS. Выполнение требований по криптографической защите ключей и работе с ними подтверждается результатами тематических исследований программно-аппаратного криптографического модуля КриптоПро HSM, входящего в состав КриптоПро DSS, а стойкость процедур аутентификации будет подтверждена в рамках сертификации решения в целом.

Топ-5 мифов об облачной подписи

Подпись в «облаке» — это молодая технология, которая совсем недавно появилась в России. Все операции с электронными подписями выполняются на удалённом сервере, и ключи сертификатов тоже хранятся удалённо. При этом облачные подписи никак не упоминалась в законах, в частности, в 63-ФЗ «Об электронной подписи».

Из-за того, что роль облачной подписи не была закреплена юридически, и немногие решаются доверить хранение ключей стороннему серверу, предпочитая хранить их на токенах — физических хранилищах, новой технологии не доверяют, и она обрастает мифами. В этой статье рассмотрим и опровергнем самые популярные из них.

Третий шаг. установить сертификат из dss в локальное хранилище.

Найти в папке Tools утилиту cptools и запустить ее. входящую в дистрибутив КриптоПро Cloud CSP.