НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Облачная электронная подпись (Server Side Signature). О чем спор?

Вадим Малых
21.06.2014 02:56:12

Заметка по следам недавней дискуссии, вызвавшей достаточно бурный обмен мнениями. Позиции специалистов порой диаметрально противоположны, здесь выскажу лишь собственную точку зрения на проблему.

Во-первых, коротко, о чем собственно речь. Как подсказали коллеги в FB, эта технология достаточно давно известна и называется Server Side Signature (SSS). Суть очень простая - ваш ключ электронной подписи находится на сервере. Когда вам необходимо подписать документ, это делает сервер по вашей команде. Естественно, ваше взаимодействие с сервером каким-то образом защищается (логин/пароль, или более надежные разовые коды, направляемые вам посредством смс-сообщений).

В чем явные плюсы технологии. Конечно-же удобство - не надо возиться с ключами, криптографическим софтом для создания подписей и т.д. Плюс абсолютная независимость от платформы - можно подписывать документы даже при помощи смартфона.

Главный минус - это безопасность (с оговорками, о чем ниже). Безопасность такого решения очевидно ниже, чем вариант с персональным ключевым носителем (при условии правильного с ним обращения). Мы имеем потенциальные каналы перехвата кода (или логина/пароля), нашей команды на подписание документа, подмены документа перед подписанием и т.д. К тому же мы вынуждены передать наш закрытый ключ третьей стороне, чего по всем правилам нам делать строго не рекомендуется (на то он и закрытый), а в некоторых странах прямо запрещено законом. В общем-то именно такое разбиение на плюсы и минусы вполне естественно. Безопасность - это почти всегда некий компромисс с удобством использования (не обязательно компьютерная безопасность, вспомните например прохождение контроля в аэропортах).

Теперь про оговорки. Когда мы говорим про меньший уровень безопасности, мы имеем в виду относительное понятие (меньше чем что?). Например безопасность пары логин/пароль очевидно меньше входа по смс кодам. И здесь мы подходим к главному, на мой взгляд, проблемному вопросу данного технического решения (SSS). Дело в том, что эта технология позволяет подписывать документы не какой нибудь, а именно усиленной квалифицированной электронной подписью (УКЭП). Сторонники склонны рассматривать это как одно из главных достоинств - в результате вы не сможете отличить два документа, один из которых подписан облачной ЭП, а второй при помощи вашего персонального ключа. Именно это позволяет совмещать удобство работы и выполнение требований законодательства об электронной подписи (63-ФЗ). Однако это даже на первый взгляд звучит как некий обман, а про бесплатный сыр мы все знаем.

Бесспорно, что сама по себе технология удобна и имеет право на существование. Более того она уже существует на практике и все более активно используется. Но для дальнейшего ее использования необходимо решить проблему несоответствия уровня получаемой ЭП и уровня безопасности используемых средств. Я вижу два варианта, как это можно сделать.

1. Простая ЭП. По уровню безопасности решение соответствует простой электронной подписи (использование паролей или других кодов). Поэтому полученная подпись на документе должна считаться простой электронной подписью. Это также позволит использовать технологию в рамках 63-ФЗ, но понадобится либо соглашение сторон, обменивающихся такими документами, либо подзаконный нормативный акт, который разрешит обмен такого вида документами с использованием простой ЭП. Использование же ключей подписи/проверки в данном случае не должно делать подпись усиленной или усиленной квалифицированной, а является лишь дополнительным удобством при проверке подписи (а также защитой от подмены/изменения документа), так как можно использовать уже готовые стандартные средства PKI.

2. ЭП доверенной третей стороны. По факту подпись на документе ставит третья сторона (с использованием собственных технических и программных средств), на что справедливо указал Андрей Колесов в своей заметке по этому поводу. Правильно было бы, чтобы автором подписи на документе являлась данная третья сторона, а клиент лишь выдавал доверенность на подписание такого вида документов от своего имени. Вероятнее всего, именно так работает интернет банкинг, когда банк от вашего имени проводит довольно таки юридически значимые операции с вашим банковским счетом, используя ваши подтверждения, защищенные смс кодом или подобными технологиями.

Комментариев: 1

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

21.06.2014 11:03:04

Данная ситуация (передача ЭП третьему лицу) показывает откровенную "дыру" в нашем ЭП-законодательстве.

Эксперт Сергей Мугуров пояснил: за такие штуки в европейский странах предусмотрено уголовное наказание. Это примерно, как передача паспорта или автоправ другому человеку.

Это примерно то же самое, что вы при открытии счета с банке будете отдавать в банк свой паспорт, чтобы они выполняли операции от вашего имени.