Контакты
Подписка
МЕНЮ
Контакты
Подписка

Особенности применения квалифицированной электронной подписи на мобильных устройствах

Особенности применения квалифицированной электронной подписи на мобильных устройствах

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Особенности применения квалифицированной электронной подписи на мобильных устройствах*

Алексей Александров
Руководитель направления по работе
с технологическими партнерами компании
"Аладдин Р.Д."

При эволюции документооборота и других информационных систем от бумажного к электронному виду роль электронной подписи как средства обеспечения юридической значимости сложно переоценить. Квалифицированная электронная подпись и строгая аутентификация - это обязательные "спутники" множества информационных систем, с которыми нам приходится работать практически ежедневно. В их числе системы дистанционного банковского обслуживания, системы сдачи отчетности, электронные торговые площадки, системы корпоративного документооборота и другие. Как правило, во всех этих системах к вопросу обеспечения безопасности конфиденциальной информации подходят очень серьезно и решают проблему комплексно.

Многие "продвинутые" компании уже используют в работе предложенную компанией "Аладдин Р.Д." концепцию единой карты сотрудника, которая подразумевает наличие у сотрудника персональной смарт-карты, имеющей расширенную функциональность. Такая карта является персональным средством аутентификации и электронной подписи, а также, при нанесении на нее фотографии и ФИО, выступает в роли бейджа. В пластике карты может быть размещено до двух RFID-меток. что позволяет использовать эту карту как пропуск в помещения, за доступ в которые отвечает СКУД. За счет поддержки зарубежных алгоритмов, такая карта легко интегрируется в инфраструктуру компании, построенную на решениях зарубежных вендоров, - Microsoft, Citrix. WmVare и других. Однако, самое главное - карта имеет аппаратную реализацию российских криптоалгоритмов и сертификат ФСБ России на СКЗИ по классу КС2. При этом обеспечивается работа с закрытыми ключами подписи в режиме не извлекаемо го ключа, что позволило увеличить срок действия закрытого ключа до трех лет с возможностью самостоятельной перегенерации пользователем.

Нельзя не отметить набирающее в последнее время популярность и востребованность использования в работе мобильных устройств и тенденцию BYOD (Bring Your Own Device, "принеси свое собственное устройство"). Важным аспектом является невозможность обеспечивать безопасность конфиденциальной информации на мобильных устройствах теми же средствами, что и на PC. Это происходит из-за архитектурных ограничений мобильных устройств и отсутствия в мобильных операционных системах поддержки российской криптографии.

Однако если посмотреть на проблему под другим углом, то можно увидеть, что между работой в информационных системах с PC, и с мобильного устройства очень много общего. И сценарии работы примерно те же: при подключении к серверу, Web-порталу или облачному сервису в обоих случаях необходимо пройти процедуру строгой аутентификации, а для подтверждения своих операций или данных необходимо использовать квалифицированную электронную подпись. При этом, конечно, данные, передаваемые между клиентом и сервером, должны быть надежно защищены.

В последнее время стали появляться программные СКЗИ для мобильных платформ, реализующие работу с ГОСТ-криптографией. Такие решения позволяют выполнить поставленные задачи - аутентифицироваться и формировать электронную подпись. Но подобные решения имеют и ряд недостатков:

  1. Закрытые ключи подписи хранятся на мобильном устройстве. Следовательно, само устройство превращается в ключевой носитель, и к нему должны применяться соответствующие требования, вплоть до "поработал - убери в сейф".
  2. Наличие в сертификате ФСБ России на такое программное СКЗИ привязки к определенной версии мобильной ОС. При выходе более свежей версии ОС, в лучшем случае, сертификат ФСБ теряет свою силу, а в худшем - СКЗИ перестает работать, т.к. в новую версию мобильной ОС производителем были внесены существенные изменения.
  3. При использовании сервисов резервного копирования воблаке производителя мобильного устройства есть риск, что криптографические ключи пользователя "утекут" в облако в составе резервной копии и будут скомпрометированы.
  4. Аналогичная проблема возникает при утере мобильного устройства.
  5. Существующие в России экспортные ограничения на вывоз СКЗИ не позволяют публиковать мобильные приложения со встроенной программной реализацией российских криптоалгоритмов в магазины приложений за границей (AppStore, Google Play и другие).

Нам видится более правильным подход, при котором криптография реализована на смарт-карте, подключаемой к iOS-устройству (iPad или iPhone) с помощью совместимого с ней считывателя. "Аладдин Р.Д." предлагает такое устройство: оно подключается к iPad/iPhone через разъемы Apple Dock или Lightening. Дополнительно считыватель имеет microUSB-разъем и может быть подключен к рабочему компьютеру (Win/Mac/Linux) как обычный CCID-совместимый считыватель, не требующий установки драйверов.

В случае с платформой Android - если Android-устройство имеет возможность подключения USB-устройства, то этот же считыватель может использоваться и там. В остальных случаях мы рекомендуем использовать карту Secure MicroSD.

Такое решение лишено недостатков программных СКЗИ для мобильных платформ:

  1. Хранение ключей на смарт-карте снимает ограничения, налагаемые на мобильное устройство. Криптографические ключи хранятся отдельно от защищаемых данных.
  2. В сертификате ФСБ России на смарт-карту отсутствует привязка к операционным системам и их версиям. Обновление мобильной ОС не влияет на работоспособность смарт-карты.
  3. Криптографические ключи не покидают смарт-карту, поэтому при резервном копировании они не могут быть скомпрометированы.
  4. Смарт-карта защищена паролем (PIN). Это является дополнительной защитой закрытых ключей в случае утери смарт-карты.
  5. С использованием смарт-карты с аппаратной реализацией российских криптоалгоритмов исчезает необходимость встраивания в мобильное приложение программной реализации криптоалгоритмов. Благодаря этому мобильное приложение может быть опубликовано в AppStore, Google Play или другом магазине приложений.

Таким образом, использование с мобильным устройством той же смарт-карты и тех же сертификатов пользователя, что и на PC существенно снижает нагрузку на администраторов информационных систем и офицеров безопасности.

___________________________________________
* Статья публикуется в авторской редакции.
АЛАДДИН Р.Д.
129226 Москва,
ул. Докукина, 16, корп. 1, этаж 7
Тел.: (495) 223-0001
Факс: (495) 646-0882
E-mail: aladdin@aladdin-rd.ru
www.aladdin-rd.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013
Посещений: 7095

Приобрести этот номер или подписаться
  Автор

Алексей Александров

Алексей Александров

руководитель направления
по работе с технологическими
партнерами компании "Аладдин Р.Д."

Всего статей:  4

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций