НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

К какому типу электронной подписи относится Sim-карта?

Андрей Колесов
19.06.2014 21:20:12

Дискуссия на тему использования "настольной" (обычный вариант – на персональном носителе, типа USB) и "облачной" (использование на сервере провайдера) электронной подписи вывела участников разговора на Фейсбуке к несколько другой теме: а к какому типу наших узаконенных подписей относится Сим-карта, используемая в мобильных устройствах?

Как известно, у нас в законе 63-ФЗ "Об электронной подписи" говорится об использовании трех видов подписи – усиленная квалифицированная, неквалифицированная и простая. Кстати, тут нужно сказать, что с простой у нас дело обстоит самым непростым образом: даже среди профильных специалистов нет четкого понимания, что же это такое и как ее можно применять. А потому сегодня во избежание возможных проблем и не применять. Впрочем, как и неквалифицированную. Короче говоря, хотя в 63-ФЗ говорится о трех подписях, в реальной практике применяет самая строгая и дорогая – усиленная квалифицированная.
Если говорить бумажными категориями, то если для написания заявления на отпуск на бумаге достаточно поставить свой автограф, то для электронного случая нужно сначала сходить в ближайшую нотариальную контору, заверить там подпись (заплатив деньги!), а уже потом отдавать заявление начальству.

Но все же в целом понятно, что простая подпись – это когда вы входите в ту или иную ИТ-систему (например, в почтовую) с использованием логина+пароля. Все ваши дальнейшие действия (в том числе создаваемые документы) в системе фиксируются под вашим логином, который и является ИТ-реализацией простой подписи.

Но это – однофакторная авторизация, а для сколь-нибудь ответственных операций (например, финансовых) используется двухфакторная, а часто и трехфакторная. Обычный пример двухфакторной авторизации – операции в банке-онлайн, когда сначала вводится пароль+логин, а потом еще для каждой денежной операции – одноразовый пароль получаемый через мобильный телефон. Так вот при использовании второго фактора (телефон) в качестве электронной подписи используется Симка, с вашим уникальным ключом.

И вот как раз тут возникает вопрос: а к какой категории ЭП можно отнести Sim-карту? И какой категории ЭП относится вариант двухфакторного авторизации?

Участники Фейсбук-дискуссии пока ограничились лишь умозрительными соображениями относительно варианта с Симкой: кто-то считает, что это похоже на простую, мне самому – как минимум на неквалифицированную ЭП.
А вы что думаете, и как обоснуете свое соображение?

Вообще, мы в наших разговорах о ЭП, в том числе в контексте доступа к электронным госуслугам, как-то совсем по забыли, что каждые владелец мобильного телефона уже имеет свою ЭП (а если у вас несколько подобных гаджетов – то несколько ЭП) в виде регистрированной на вам SIM-карты. Не говоря уже о том, что СМС-сообщение – это типичный электронный документ, снабженный ЭП владельца, а обмен СМС – это столь же типичный пример обмена электронными документами, причем очень даже юридически значимого (думаю, все знают большое числу судебных примеров, где именно СМС фигурируют чуть ли в качестве основных доказательств по весьма серьезным делам).

И тут сразу возникает вопрос: почему же это доступных, распространенный и почти бесплатный (!!) вариант ЭП у нас никак не используется в госуслугах и в электронном документообороте?

Комментариев: 11

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

21.06.2014 03:18:27

Андрей, ваш вопрос имеет смысл только в контексте 63-ФЗ (именно он определяет эти 3 вида подписи). Так вот, насколько я понимаю, под усиленной подписью (квалифицированной и нет) там понимается подпись с использованием средств PKI. Если это так, то сим карта - однозначно простая подпись. Углубленно ковырять эту тему (только ли PKI или какие-то другие "ключи") пока времени нет, но думаю Сергей Муругов быстро бы развеял наши с вами сомнения по этому поводу.

21.06.2014 10:42:05

Спасибо! Возможно так, но, возможно, и нет.
Мне кажется, что СИМ - это некий вариант ЭП, который вообще не прописан в 63-ФЗ.
Хотя бы потому, что любой пароль достаточно легко подобрать, а код Симки вы не взломаете никак.

Но на самом деле, вопрос даже не в этом. Вопрос в том, что у нас происходят странные дела с использованием ЭП в тех же госуслугах.

Например, в разного рода Интернет сервиса широко используется двухфакторная авторизация. И по сути, в той же банковской сфере, она для гражданина приравнивает к усиленной ЭП.

Смотрите что получается.
Чтобы получить серьезную (связанную с деньгами) услугу в банке, мне не нужно идти в УЦ, платить деньги, потом через год - еще получать
Мне достаточно получить у них пароль и подключить мобильный телефон. И пользовать этим неопредленно долго.

Для аналогичной услуги на госпортале - нужно получать квалифицированную ЭП.

Вот о чем речь. Почему мы не используемые двухфакторную авторизацию в юридически значимых операциях СЭД?
Почему у нас не проработан механизм передачи доверенности на подписание документов сервис-провайдерам (ведь банки - это как раз сервис-правйдера), а должны отдавать провайдерам свои подписи?

Представьте себе, что вы для обслуживании в банке отдавали бы им на постоянное использование свой паспорт. А в СЭД у нас получается именно так.

22.06.2014 14:22:07

Если выдать банку доверенность, чтобы он от моего имени подписывал платежные документы, это все равно что доверить козлу капусту.
(Хотя по сути интернет-банкинг так и работает - платежные операции совершаются по какому-то паролю. Если возникают какие-то нарушения со стороны банка - ничего не докажешь).

Почему для юр лиц работа с банком происходит через нормальную ЭЦП на базе асимметричного алгоритма, а для физ лиц - уже почему-то можно по какому-то паролю?

(сим карта - это никакая не ЭЦП, т.к. три функции ЭЦП это:
аутентификация - т.е можно проверить, кто подписал сообщение
контроль целостности сообщения - можно увидеть факт подмены данных в сообщении
non repudiation - отправитель не может отказаться от факта подписания сообщения.
Минимум 2 функции ни сим карта, ни пароль не обеспечивают.)

22.06.2014 16:11:11

Цитата
Если выдать банку доверенность, чтобы он от моего имени подписывал платежные документы, это все равно что доверить козлу капусту.
(Хотя по сути интернет-банкинг так и работает - платежные операции совершаются по какому-то паролю. Если возникают какие-то нарушения со стороны банка - ничего не докажешь).


Какие вас у вас есть основания утвержать это?
Интернет-банкинг широко используется во всем мире, в том числе в России. Для самый ответственный операций. В России все эти процессы регламентируются весьма строгими и продуманными регламентами ЦБ.
Я не слышал о том, что были проблемы с доказательствами относительно действий банка.
Все операция протоколируются, в том числе независимым средствми (те же СМС , но не только).

Что же касается выдачи доверенности банку, то вы это делаете как только открывает счет там. И в каком виде вы производите операции - по письменному заявлению или через Интернет - это уже едтали. Через Интернет - надежнее, потому что идет двустороннее протоколирование.

22.06.2014 17:50:47

Ну вот списали у вас со счета деньги без вашего участия.
Банк вам показывает: вот была операция от вашего имени, у нас все запротоколировано.
Поскольку у вас нет никакого секретного ключа,который знаете только Вы, а есть только пароль (который банком вам и выдан), то Вы никак не сможете доказать, что Вы эту операцию не совершали.

Исключить такую ситуацию можно только, если у Вас есть свой секретный ключ, который никому кроме Вас, никогда не попадал в руки, с помощью которого подписана платежная инструкция.

(А СМС-ки с помощью которых банк дополнительно запрашивает подтверждение на операцию, это конечно некая дополнительная страховка. Но вот только как доказать, что Вы смс-ку не отправляли? Сотовый оператор в ваших отношения с банком никому ничего не должен.)

22.06.2014 19:11:25

Цитата
Ну вот списали у вас со счета деньги без вашего участия.
Банк вам показывает: вот была операция от вашего имени, у нас все запротоколировано.


Каждый подобный случай рассматривает отдельно. Как это банк может списать деньги без моего участия, а в протоколе записано, что с моего согласия?
Вы хотите сказать, что они подделили протокол? Но это сделать крайне сложно.

А доказать, что я такого расхода не делал, можно будет довольно просто. Да, сбор доказательств потребует некоторых усилий, но они оправдаются вашим иском к банку...

Мне кажется, что доказывать надежность интернет-банкинга не имеет смысла, поскольку его надежность уже давно доказана жизнью.

С таким же успехом мы можем обсуждать надежность самолетов. Она уже давно доказана жизнью.

23.06.2014 09:28:50

Интернет-банкинг может быть разного уровня надежности (как и самолеты):
- может быть надежный (например, если банк не проводит никаких операций, не имея платежной инструкции, подписанной настоящей электронной подписью на основе секретного ключа. Как это делается для юрлиц в клиент-банке - почему для юрлиц все сделано надежно, а для физлиц - уже по-другому?)
- а может быть и такой, что ничего не докажешь.

То, что там в протоколе написано на их стороне - это игра без правил.
С банками слава богу пока не было проблем,
а вот один оператор связи однажды приписал мне несуществующий междугородний разговор и заставил его оплатить (и тоже ссылался на свои логи)

23.06.2014 09:50:58

Вы приводите тезисы на основе очень общий рассуждений, не приводя никаких конкретных примеров или даже анализа, как проводятся операции.

Начнем с той простой истины, что ошибки и подлоги могут быть (и есть) везде. 100% надежности не бывает. Поэтому нужно рассматривать вопроса так: и-банкинг - это надежнее, чем хождение в отделение банка с написанием личного заявления или нет?
Как надежнее проводить оплаты, скажем, авиабилета - через окошко кассы или через Интернет?

Я могу сказать за себя - я это делаю через Интернет, поскольку это не только удобнее, но и надежнее.

Что касается вашего конфликта в телефонным провайдером, то здесь сама надежность протоколирования на порядок меньше, чем в банковских операциях. И понятно почему - финансовые риски НАМНОГО меньше.

Могу сказать точно: если бы вы захотели, то при желании могли бы оспорить этот разговор и доказать, что его не было (если его не было на самом деле). Но это потребовало бы от вас усилий. И вам было проще заплатить 500 руб, чем втягивать в разбирательства.
И это - нормальная позиция оценки рисков.

Хотя бы такой вопрос: вы написали письменную претензцию к вашем оператору по поводу данного звонка и получили ли от него официальный ответ?
Телефонный номер, по которому был этот звонок, вам знаком? Вы сказались с его владельцем? У него был такой разговор? Ведь лог этого разговора прописывает и со стороны его провайдера...

Наверное, вы этого не делали. А если бы сумма была не 500, а 10 тыс., то возможно сделали бы и доказали...

23.06.2014 10:47:32

Все правильно Вы говорите, претензию я писал. Не потому что сумма была большая, а потому что было непонятно, что вообще такое происходит и как с этим бороться. На основании претензии оператор мне выдал заключение, что он произвел проверку оборудования, нарушений не было выявлено.
Телефонный номер мне не был знаком, в том городе вообще никаких знакомых у меня не было.
Я думаю, что разговор реально такой был, но либо его по ошибке записали на меня (например, при выполнении каких-то ручных операций с базой данных), либо было несанкционированное подключение к линии.

Насчет более надежного протоколирования в банках - не верю! Все точно также.
А еще я вот про такое читал недавно про смс-ки:
http://www.e1.ru/news/print/news_id-403201.html

23.06.2014 11:18:22

Но все точно такие накладки были и с обычными телефонами!
Что касается банков, если это вопрос веры, то тут нет предмета спора.
Но, как бы то ни было, и никакие квалицифицированные ЭП тут не помогут.

Ну, а мошеничество... Это тоже было всегда...

21.06.2014 03:20:16

Кстати, подпись с использованием сим-карты уже используется при упрощенной регистрации на портале госуслуг. И там она отнесена к простой ЭП smile:)

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии