Контакты
Подписка
МЕНЮ
Контакты
Подписка

Особенности применения квалифицированной электронной подписи на мобильных устройствах

Особенности применения квалифицированной электронной подписи на мобильных устройствах

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Особенности применения квалифицированной электронной подписи на мобильных устройствах

При эволюции документооборота и других информационных систем от бумажного к электронному виду роль электронной подписи как средства обеспечения юридической значимости сложно переоценить. Квалифицированная электронная подпись и строгая аутентификация – это обязательные "спутники" множества информационных систем, с которыми нам приходится работать практически ежедневно. В их числе системы дистанционного банковского обслуживания, системы сдачи отчётности, электронные торговые площадки, системы корпоративного документооборота и другие. Как правило, во всех этих системах к вопросу обеспечения безопасности конфиденциальной информации подходят очень серьёзно и решают проблему комплексно.

Многие "продвинутые" компании уже используют в работе предложенную компанией "Аладдин Р.Д." концепцию единой карты сотрудника, которая подразумевает наличие у сотрудника персональной смарт-карты, имеющей расширенную функциональность. Такая карта является персональным средством аутентификации и электронной подписи, а также, при нанесении на неё фотографии и ФИО, выступает в роли бейджа. В пластике карты может быть размещено до двух RFID-меток, что позволяет использовать эту карту как пропуск в помещения, за доступ в которые отвечает СКУД. За счёт поддержки зарубежных алгоритмов, такая карта легко интегрируется в инфраструктуру компании, построенную на решениях зарубежных вендоров, – Microsoft, Citrix, WmVare и других. Однако, самое главное – карта имеет аппаратную реализацию российских криптоалгоритмов и сертификат ФСБ России на СКЗИ по классу КС2. При этом обеспечивается работа с закрытыми ключами подписи в режиме неизвлекаемого ключа, что позволило увеличить срок действия закрытого ключа до трёх лет с возможностью самостоятельной перегенерации пользователем.

Нельзя не отметить набирающее в последнее время популярность и востребованность использования в работе мобильных устройств и тенденцию BYOD (BringYourOwnDevice, "принеси своё собственное устройство"). Важным аспектом является невозможность обеспечивать безопасность конфиденциальной  информации на мобильных устройствах теми же средствами, что и на PC. Это происходит из-за архитектурных ограничений мобильных устройств и отсутствия в мобильных операционных системах поддержки российской криптографии.

Однако если посмотреть на проблему под другим углом, то можно увидеть, что между работой в информационных системах с PC, и с мобильного устройства очень много общего. И сценарии работы примерно те же: при подключении к серверу, Web-порталу или облачному сервису в обоих случаях необходимо пройти процедуру строгой аутентификации, а для подтверждения своих операций или данных необходимо использовать квалифицированную электронную подпись. При этом, конечно, данные, передаваемые между клиентом и сервером, должны быть надежно защищены.

В последнее время стали появляться программные СКЗИ для мобильных платформ, реализующие работу с ГОСТ-криптографией. Такие решения позволяют выполнить поставленные задачи – аутентифицироваться и формировать электронную подпись. Но подобные решения имеют и ряд недостатков:

  1. Закрытые ключи подписи хранятся на мобильном устройстве. Следовательно, само устройство превращается в ключевой носитель, и к нему должны применяться соответствующие требования, вплоть до «поработал – убери в сейф».
  2. Наличие в сертификате ФСБ России на такое программное СКЗИ привязки к определённой версии мобильной ОС. При выходе более свежей версии ОС, в лучшем случае, сертификат ФСБ теряет свою силу, а в худшем – СКЗИ перестаёт работать, т.к. в новую версию мобильной ОС производителем были внесены существенные изменения.
  3. При использовании сервисов резервного копирования в облаке производителя мобильного устройства есть риск, что криптографические ключи пользователя «утекут» в облако в составе резервной копии и будут скомпрометированы.
  4. Аналогичная проблема возникает при утере мобильного устройства.
  5. Существующие в России экспортные ограничения на вывоз СКЗИ не позволяют публиковать мобильные приложения со встроенной программной реализацией российских криптоалгоритмов в магазины приложений за границей (AppStore, GooglePlay и другие).

Нам видится более правильным подход, при котором криптография реализована на смарт-карте, подключаемой к iOS-устройству (iPad или iPhone) с помощью совместимого с ней считывателя. "Аладдин Р.Д." предлагает такое устройство: оно подключается к iPad/iPhone через разъёмы Apple Dock или Lightening. Дополнительно считыватель имеет microUSB-разъём и может быть подключен к рабочему компьютеру (Win/Mac/Linux) как обычный CCID-совместимый считыватель, не требующий установки драйверов.

В случае с платформой Android – если Android-устройство имеет возможность подключения USB-устройства, то этот же считыватель может использоваться и там. В остальных случаях мы рекомендуем использовать карту Secure MicroSD, которая является персональным средством надёжной двухфакторной аутентификации пользователя, формирования усиленной квалифицированной электронной подписи и безопасного хранения ключей, профилей, цифровых сертификатов.

В корпус карты Flash-памяти формата MicroSD имплантирован чип смарт-карты с российской криптографией. Таким образом, Secure MicroSD может совмещать криптографические возможности и функции модуля Flash-памяти на любом устройстве, которое поддерживает формат карт памяти MicroSD. Карта Secure MicroSD полностью наследует все преимущества СКЗИ в классических форм-факторах – смарт-карт и USB-токенов, производимых компанией "Аладдин Р.Д". Secure MicroSD поддерживает полный набор как "западной", так и российской криптографии и обеспечивает формирование усиленной квалифицированной электронной подписи с неизвлекаемым закрытым ключом.

Подключив через такой считыватель к мобильному устройству eToken ГОСТ в форм-факторе SecureMicroSD или в виде смарт-карты, на базе которой создаются единые электронные удостоверения, обеспечивается высокий уровень защиты и удобства работы.

Такое решение лишено недостатков программных СКЗИ для мобильных платформ:

  1. Хранение ключей на смарт-карте снимает ограничения, налагаемые на мобильное устройство. Криптографические ключи хранятся отдельно от защищаемых данных.
  2. В сертификате ФСБ России на смарт-карту отсутствует привязка к операционным системам и их версиям. Обновление мобильной ОС не влияет на работоспособность смарт-карты.
  3. Криптографические ключи не покидают смарт-карту, поэтому при резервном копировании они не могут быть скомпрометированы.
  4. Смарт-карта защищена паролем (PIN). Это является дополнительной защитой закрытых ключей в случае утери смарт-карты.
  5. С использованием смарт-карты с аппаратной реализацией российских криптоалгоритмов исчезает необходимость встраивания в мобильное приложение программной реализации криптоалгоритмов. Благодаря этому мобильное приложение может быть опубликовано в AppStore, GooglePlay или другом магазине приложений.

Таким образом, использование с мобильным устройством той же смарт-карты и тех же сертификатов пользователя, что и на PC существенно снижает нагрузку на администраторов информационных систем и офицеров безопасности.

Опубликовано: Сайт ITSec.Ru-2013
Посещений: 10307

Приобрести этот номер или подписаться

Статьи по теме

  Автор

Алексей Александров

Алексей Александров

руководитель направления
по работе с технологическими
партнерами компании "Аладдин Р.Д."

Всего статей:  4

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций