Что такое облачная электронная цифровая подпись эцп. Преимущества «облачной» КЭП теперь доступны для пользователей

Электронная отчётность в России появилась около 10 лет назад. За прошедший период у бухгалтеров было много возможностей оценить её преимущества. С каждым годом количество компаний, сдающих отчётность в электронном виде, увеличивается в геометрической прогрессии. На сегодняшний день электронная отчётность - свидетельство эффективной работы компании и показатель уровня квалификации бухгалтера. Но если заверение отчётов электронной подписью стало уже привычным для российских компаний, то использование облачной электронной подписи - относительная редкость.

Давайте сравним возможности использования «традиционной» и облачной электронной подписи по нескольким параметрам: необходимость программного обеспечения, безопасность передачи данных и стоимость.

Традиционная электронная подпись требует обязательной установки специальной программы. При этом, заверить отчётность электронной подписью можно будет только на том компьютере, где установлено необходимое ПО. Кроме того, в российской действительности достаточно часто возникают ситуации, когда ключ электронной подписи вступает в конфликт с ключом от интернет-банка. В подобной ситуации компания вынуждена использовать специально выделенный компьютер для отправки электронной отчётности. Программное обеспечение для традиционной электронной подписи, как любое ПО, требует периодического обновления и затрат на обслуживание.

Необходимость устранения указанных недостатков и возможности высоких технологий позволили создать облачную электронную подпись. В отличие от традиционной ЭП, облачная - не требует установки на компьютер программного обеспечения и криптографии. Удостоверяющий центр выпускает электронную подпись и размещает её в своей сертифицированной защищенной ячейке (облаке). Доступ к этой ячейке есть только у владельца подписи с помощью sms, которое приходит на мобильный телефон. Поскольку вся информация о доступе к облачной электронной подписи хранится на облачном сервере в удостоверяющем центре, бухгалтер может ставить подпись иотправлять электронные отчёты с любого компьютера, планшета, смартфона или даже с мобильного телефона, имеющего доступ в интернет. Несомненным преимуществом облачной электронной подписи является отсутствие затрат на покупку программного обеспечения, его поддержку и обновление. Эта технология также применяется во многих интернет-банках.

Несмотря на то, что облачная электронная подпись ещё достаточно новое понятие для российской бухгалтерии, успешный опыт внедрения новых технологий уже накоплен. Первой на российском рынке внедрила облачную электронную подпись с использованием одноразовых паролей по sms интернет-бухгалтерия «Моё дело», совместно с удостоверяющим центром «Калуга Астрал». На сегодняшний день с помощью облачной ЭП уже сдано более 100 тысяч бухгалтерских отчётов.

«За два года работы, сервисом воспользовалась не одна тысяча организаций, которые оценили его удобство, доступность и дружественность для пользователя»,- говорит Игорь Чернин, директор компании «Калуга Астрал». «Сервис повысил привлекательность электронного способа сдачи отчётности для малых предприятий и ИП. Технические решения в области платформенной разработки и в области использования «облачной» ЭП, которые были реализованы в рамках сервиса, легли в основу многих аналогичных продуктов работающих сейчас на рынке».

Преимущества облаков оценили и другие участники рынка. К примеру, компания КРИПТО-ПРО, занимающая лидирующие позиции по распространению средств криптографической защиты информации и электронной цифровой подписи, создала новый программно-аппаратный криптографический модуль «КриптоПро HSM». Хотя пока этот сервис для отчётности не применяется, движение уже есть и есть надежда, что через пару лет о традиционной электронной подписи можно будет забыть в тех местах, где нет в ней стопроцентной необходимости.

Как известно, задача электронной подписи состоит в том, чтобы упростить документооборот. Согласно закону 2011 года «Об электронной подписи», цифровой документ, который подписан ЭП, приравнивается к бумажному с рукотворным автографом.

«“Облачная” электронная подпись обладает всеми свойствами, что и обычная, только хранится не на флешке или компьютере, а в интернете – на специальном защищенном сервере, “в облаке”», – рассказывает Игорь Чепкасов, основатель и президент Национального фонда развития криптовалют. Там же происходит подписание и шифрование документа, потому такая ЭП не требует установки на компьютер специального ПО. Эксперт отмечает, что одно из преимуществ «облачной» подписи – возможность подписания документов (включая отчетность) и их отправки из любой точки мира и с любого устройства.

Антон Еликов (проект Мерката) отмечает, что электронная подпись «в облаке» – это то, чем многие из нас пользуются ежедневно, даже не замечая. «Самый яркий пример – это механизм авторизации в мобильных и интернет-банках, когда после ввода пароля вам присылают по СМС одноразовый пин-код. Такая двухуровневая авторизация по сути своей уже может быть электронной подписью», – рассказывает эксперт.

Зачем нужна электронная. Сергей Казаков, эксперт в области информационной безопасности компании «СКБ Контур», напоминает, что с помощью ЭП компании представляют отчетность в налоговую и другие контролирующие органы, ведут электронный документооборот. Цифровая подпись также широко применяется в сфере государственных закупок. «По нашим оценкам, общее число пользователей электронной подписи в России превышает два миллиона», – отмечает эксперт. «Технология “облачной” электронной подписи, появившаяся несколько лет назад, делает этот инструмент доступнее для бизнеса. Подтверждение этому – несколько десятков тысяч клиентов “СКБ Контур”, сделавших выбор в ее пользу», – рассказывает г-н Казаков.

Обратите внимание

Пока эксперты рассуждают о распространении «облачной» ЭП, есть одна проблема – вопросы ее применения не прописаны в нормативных актах.

Как отмечает Алексей Дашков, руководитель направления ИБ компании «Системный софт», ЭП выполняет такую же функцию, как и подпись, закрепленная печатью. «Она обеспечивает подлинность документа и состоит из закрытого и открытого ключа. Подписание документа производится с помощью закрытого ключа, который обычно хранится на специальном носителе – токене. Приобрести сервис можно у целого ряда компаний-провайдеров подобных услуг, никаких специальных требований, кроме наличия стандартного комплекта учредительных документов, не требуется», – рассказывает он.

«“Облачная” электронная подпись – это обычная электронная подпись, но с одним отличием: закрытый ключ хранится на серверах удостоверяющего центра, и подписание документов осуществляется там же. Подтверждение личности подписанта происходит обычно с помощью отправки смс с кодом на мобильный телефон», – поясняет г-н Дашков.

Цена вопроса

Игорь Чепкасов рассказал, что стоимость ЭП зависит от ее функциональных возможностей и сферы применения и колеблется от 1000 до 15 000 рублей. «По крайней мере, такие цены я встречал лично, когда мне ЭП нужна была по работе. “Облачная” электронная подпись в некоторых известных мне компаниях стоит 3000 рублей», – делится эксперт.

Стоимость «облачной» подписи варьируется у разных компаний-операторов. Можно найти предложение и за 900 рублей в год. Однако не стоит безоговорочно верить рекламным обещаниям. Советуем подробно ознакомиться с прайсом на «облачную» подпись и узнать, что входит в стоимость, и только после этого принимать решение о ее приобретении.

«Стоимость “облачной” электронной подписи, как правило, включена в тариф того сервиса, который покупает клиент. Единственный сервис “СКБ Контур”, который продает ее отдельно, – это система электронного документооборота “Диадок”. В нем она составляет 900 рублей. При этом обычный сертификат на носителе с лицензией на средстве криптографической защиты информации (СКЗИ) обойдется в 3000 рублей», – рассказывает Сергей Казаков.

Как работает?

В основе работы технологии – специализированный сервер электронной подписи, находящийся «в облаке». «Если пользователю необходимо, например, отправить отчет в налоговую инспекцию, его учетная система взаимодействует с сервером электронной подписи и передает ему документ, который нужно подписать. Сервер электронной подписи обязан запросить разрешение у пользователя – это можно сделать, отправив на его мобильный телефон код подтверждения операции, как в интернет-банке», – отмечает Сергей Казаков. Вводя код подтверждения в учетной системе, пользователь санкционирует доступ к ключу ЭП, и для документа создается подпись. «Все ключи электронной подписи хранятся в зашифрованном виде на специализированном устройстве, отвечающем самым строгим требованиям безопасности. Оператор сервера электронной подписи должен предпринимать все меры для того, чтобы минимизировать риск несанкционированного доступа к ключам», – рассказывает г-н Казаков.

Для того, чтобы использовать «классическую» электронную подпись, нужно приобрести токен и специализированное программное обеспечение – криптопровайдер. «Это немалые расходы, особенно для начинающих предпринимателей. Затем это программное обеспечение нужно установить и настроить, а если вы собираетесь использовать подпись на нескольких рабочих местах – для каждого места отдельно. “Облачная” электронная подпись не требует приобретения ПО и предварительной настройки, ее нельзя потерять или забыть», – отмечает г-н Казаков. В отличие от традиционных технологий, «облачная» подпись доступна пользователям на любой операционной системе и платформе, в том числе на мобильных устройствах.

Алексей Дашков отмечает, что «облачные» ЭП популярны у небольших компаний или индивидуальных предпринимателей, активно использующих сервисы «типа онлайн-бухгалтерий и онлайн-документооборота». В крупных организациях, не использующих «облака», применение такой подписи, по его словам, может оказаться дороже и сложнее, чем применение обычной ЭП.

Каковы перспективы?

По словам Антона Еликова, распространение применения «облачных» электронных подписей очень ждет вся транспортная отрасль России. «Стоит только представить себе ситуацию, когда водитель-экспедитор едет в рейс не с пачкой бумаг, а с планшетом. И прямо на месте отгрузки подписывает с клиентом товарно-транспортную накладную! Но основную пользу “облачная” электронная подпись могла бы принести в случае, когда документ поставки расходится с фактически отгружаемым объемом продукции (пересорт, бой в процессе транспортировки)», – отмечает он. По словам г-на Еликова, таких случаев на практике порой бывает до 40 процентов. «И все эти документы сейчас отправляются в длинный путь взаимодействия бухгалтерий со стороны поставщика и покупателя. Хотя вопрос расхождений мог бы быть урегулирован прямо в месте отгрузки, и факт изменения был бы подтвержден “облачной” подписью», – делает вывод эксперт.

Игорь Чепкасов рассказывает, что в настоящее время уже имеются совершенно новые разработки, использующие технологию Blockchain, а именно – умные контракты. «Децентрализация – фундаментальный принцип работы технологии – обеспечивает абсолютную защиту от компрометации и несанкционированного доступа к любому документу и самой подписи, поскольку каждый такой элемент-блок (подпись, документ, архив и т. д.) находится в прочной цепочке пронумерованных блоков, защищенных сложнейшим криптографическим кодом», – рассказывает он. По словам г-на Чепкасова, внести изменения в уже введенный в обращение блок невозможно; умный контракт – это электронный алгоритм, описывающий набор условий, выполнение которых влечет за собой определенные события. «Его работа основывается на создании и применении так называемых протоколов с низким доверием, где алгоритм протокола использует только программные средства, а человеческий фактор из цепочки принятия решений максимально исключен – человек здесь выступает исключительно в ро-и одной из сторон, участвующей в реализации контракта. Например, при отправке платежей исполнение контракта невозможно без получения оговоренного в договоре числа электронных подписей», – отмечает он.

Тем временем, пока эксперты рассуждают о распространении практики применения «облачной» электронной подписи и говорят о возможностях развития технологий, есть одна проблема. Связана она с тем, что сегодня вопросы применения такой ЭП должным образом не прописаны в нормативных актах. Но в скором времени, а именно – в III квартале 2016 года, – россияне получат законодательную возможность использовать электронную подпись без материального носителя – USB-флешки или SIM-карты. Такая норма содержится в «дорожных картах» к программе развития интернета в России, которую Институт развития интернета подготовил для президента РФ. Так что можно ожидать, что компании в скором времени перестанут бояться «облачных» технологий и начнут более активно использовать такую электронную подпись в своей работе.

Данная статья является продолжением статьи и охватывает криптографические решения:

облачная подпись
отдельные браузеры с российской криптографией
отдельные почтовые клиенты с российской криптографией
российская криптография в фреймворках, платформах, интерпретаторах
настольные криптографические приложения
средства формирования доверенной среды

Облачная подпись

Концепция облачной подпись предполагает хранение закрытого ключа и выполнение процедуры подписи/шифрования данных непосредственно на сервере.
Для безопасного применения облачной подписи требуется решить задачу строгой аутентификации клиента при доступе к его закрытому ключу и задачу надежного хранения закрытого ключа на сервере. Примером подобного решения может служить КриптоПро DSS, который в качестве одного из вариантов аутентификации поддерживает Рутокен WEB (строгая двухфакторная аутентификация), а для хранения закрытого ключа использует HSM.

Платформы	Любая с браузером и выходом в Интернет. Метод аутентификации может накладывать ограничения
	ЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO
Интеграция с PKI
Механизмы ЭЦП	Отправка документа на сервера, подпись документа на сервере, возврат подписи WEB API для интеграции в сторонние сервисы SOAP-интерфейс для интеграции в сторонние сервисы
Механизмы аутентификации	по протоколу аутентификации Рутокен WEB по SMS логин-пароль
Форматы защищенных сообщений	PKCS#7, CMS, XMLSec, CADES
Интеграция с браузером	100%
Мобильные платформы	iOS, Android
Команднострочная утилита	Есть
Хранилища ключей	HSM, защищенная БД
	Существует возможность аутентификации в сервисе облачной подписи по токенам (КриптоПРО DSS и Рутокен WEB)
Примеры (ГОСТ)	КриптоПро DSS “Облачная” подпись СКБ Контур Сервис sign.me

Проблемы:

строгая аутентификация в сервисе
гарантии защиты закрытого ключа от НСД
снижение безопасности системы -> ограничение применения

Плюсы:

кроссплатформенность, кроссбраузерность
удобство для конечного пользователя - вообще ничего не надо устанавливать и настраивать
удобная интеграция в информационные системы (WEB API)

Отдельные браузеры с российской криптографией

Браузеры, созданные на базе open source проектов Mozilla FireFox и Chromium, используют в качестве криптоядра NSS или OpenSSL. OpenSSL поддерживает российские криптоалгоритмы. Для NSS также существуют разработки, которые обеспечивают поддержку российских криптоалгоритмов. Некоторое время назад на рынке появились полнофункциональные браузеры с поддержкой российской криптографии.

Подобное решение обладает большим, на данный момент невостребованным, потенциалом, так как позволяет создавать защищенные стандартные WEB-клиенты для систем с высокими требованиями к безопасности. Еще одним плюсом подобного браузера является его «портабельность». С учетом существования USB-токенов с защищенной FLASH-памятью созданы безопасные решения, в котором наиболее критические операции с закрытом ключом осуществляются на «борту» USB-токена, а сам браузер хранится в его защищенной от модификации FLASH-памяти. Подобное решение кроме высокого уровня безопасности является очень удобным в применении.

На базе NSS

На картинке представлена архитектура решения, реализованная в проекте по расширению NSS aToken.

Спецификация	NSS c использованием PKCS#11-токенов, программных и аппаратных
Платформы
Алгоритмы и криптографические протоколы
Интеграция с PKI	X.509, PKCS#10, CMS, CRL
Механизмы ЭЦП
TLS-ГОСТ
Форматы защищенных сообщений	PKCS#7, CMS
Интеграция с браузером	100%
Мобильные платформы	iOS, Android
Хранилища ключей
Взаимодействие с USB-токенами
Инсталляция
Примеры (ГОСТ)	Mozilla FireFox, Chromium от Лисси Проект atoken от R-Альфа (Mozilla FireFox) КриптоFox (PKCS11-токен на базе КриптоПро CSP)

Проблемы:

только одно приложение с российской криптографией - сам браузер
обновление браузера
переучивать пользователя на использование кастомного браузера
сертификация (нет прецедентов)

Плюсы:

кроссплатформенность
прозрачность использования для пользователя
нет ограничений для разработчиков серверной части
не требуется инсталляция, запуск с FLASH-памяти USB-токена

Отдельные почтовые клиенты с российской криптографией

Отдельные почтовые клиенты с российской криптографией позволяют реализовать защиту переписки, используя электронную подпись и шифрование письма для абонента/группы абонентов (S/MIME). Данное решение удобно использовать в системах, построенных по принцу «точка-точка», в которых обмен информацией происходит непосредственно между абонентами, а сервер при этом используется только для маршрутизации сообщений.

Платформы	Семейство Windows, GNU\Linux, OS X, iOS, Android
Алгоритмы и криптографические протоколы	ЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO, TLS
Интеграция с PKI	X.509, PKCS#10, CMS, CRL
Механизмы ЭЦП	Вызов из JavaScript встроенных в браузер функций
TLS-ГОСТ	Встроен в библиотеку и поддерживается браузером
Форматы защищенных сообщений	PKCS#7, CMS
Интеграция с браузером	100%
Мобильные платформы	iOS, Android
Хранилища ключей	Браузерное хранилище, USB-токены
Взаимодействие с USB-токенами	Хранилище ключей и сертификатов Использование аппаратной реализации алгоритмов
Инсталляция	Программа установки, в целом, не требуются права системного администратор Portable. Например, запуск браузера с FLASH-памяти USB-токена
Примеры (ГОСТ)	Mozilla ThunderBird от Лисси DiPost от Фактор ТС

Российская криптография в фреймворках, платформах, интерпретаторах

Microsoft.NET

Расширения классов

В платформе существует набор криптографических классов, в которых предусмотрены механизмы расширения сторонними алгоритмами. Наиболее известным на рынке решением по расширению платформы Microsoft.NET российскими криптоалгоритмами является продукт КриптоПро. NET, представляющий собой надстройку над КриптоПро CSP.
Установка КриптоПро.NET позволяет использовать российские криптоалгоритмы, например,
в WEB-сервисах на базе ASP.NET, SOAP-сервисах, в клиентских браузерных приложениях MS.Silverlight.

Платформы	Microsoft.NET 2.0 и старше
Алгоритмы и криптографические протоколы	ЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO, TLS, SOAP
Интеграция с PKI	X.509, PKCS#10, CMS, CRL
Механизмы ЭЦП	Набор классов. Есть полностью “управляемые” реализации. Есть реализации на базе Crypto API 2.0 и CNG
Механизмы аутентификации	клиентская аутентификация в рамках TLS аутентификация в SOAP-сервисах собственные механизмы аутентификации на базе ЭЦП случайных данных
TLS-ГОСТ	Встраивание
Форматы защищенных сообщений	PKCS#7, CMS, XMLSec, SOAP (OASIS Standard 200401), S/MIME
Интеграция с браузером	ЭЦП и шифрование через MS Silverlight
Хранилища ключей	Реестр, UBS-токены
Взаимодействие с USB-токенами	Хранилище ключей и сертификатов Использование аппаратной реализации алгоритмов Через Crypto API 2.0
Приложения	Microsoft Lync 2010, Microsoft Office Forms Server 2007 и Microsoft SharePoint 2010, Microsoft XPS Viewer
Инсталляция	Microsoft. NET включен в состав Windows, начиная с Windows Vista. Поддержка российских криптоалгоритмов требует установки дополнительного ПО
Примеры (ГОСТ)	КриптоПро. NET (на базе КриптоПро CSP)

Отдельные библиотеки

BouncyCastle - это open source библиотека, в которой реализована своя система криптографических классов для платформы Microsoft.NET. В библиотеке поддерживаются как базовые криптографические алгоритмы ГОСТ 28147-89, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, так и криптографические форматы PKCS#7/CMS, PKCS#10, X.509 с учетом специфики, описанной в RFC российских производителей СКЗИ. Кроме того, по утверждениям разработчиков библиотека поддерживает формат CADES с российскими криптоалгоритмами.

Java

Архитектура криптографической системы платформы Java (Java Cryptography Architecture) позволяет расширять набор поддерживаемых в платформе криптоалгоритмов. С учетом большой распространенности Java многие из российских разработчиков криптосредств предлагают сертифицированные JCP-провайдеры.

JCP

Спецификация	Java Cryptography Architecture, JavaTM Cryptography Extension, JavaTM Secure Socket Extension
Платформы	Sun Java 2 Virtual Machine
Алгоритмы и криптографические протоколы	ЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO, TLS
Интеграция с PKI	X.509, PKCS#10, CMS, CRL, OCSP, TSP
Механизмы ЭЦП	Набор классов
Механизмы аутентификации	клиентская аутентификация в рамках TLS
TLS-ГОСТ	Отдельный TLS-провайдер, реализованный на Java в соответствии со спецификацией JavaTM Secure Socket Extension
Форматы защищенных сообщений	PKCS#7, CMS, XMLSec (например, через Apache XML Security API), S/MIME;
Интеграция с браузером	ЭЦП/шифрование через Java-апплеты, загрузка апплетов через Java TLS
Интеграция со службой каталогов	с произвольным LDAP-каталогом
Мобильные платформы	Android
Хранилища ключей	Реестр, файлы, UBS-токены, MicroSD-токены
Взаимодействие с USB-токенами	Хранилище ключей и сертификатов Использование аппаратной реализации криптоалгоритмов через PKCS#11 (в продуктах Java LCPKCS11 компании Лисси и в Java-провайдере для Рутокен ЭЦП компании Актив)
Инсталляция	Программа установки, требуются права системного администратора
Примеры (ГОСТ)	КриптоПро JCP, КриптоПро JTLS Signal-COM JCP, Signal-COM Java TLS LCJCE, LCJSSE, LCPKCS11 Java-провайдер для Рутокен ЭЦП Trusted Java

Java-апплеты

Одним из вариантов использования СКЗИ в браузере является их интеграция в Java-апплеты.
В ряде случаев СКЗИ и криптографические библиотеки не требуют установки и представляют собой нативную библиотеку. В этом случае возможна ее интеграция непосредственно «внутрь» апплета и вызов функций СКЗИ через механизм JNI. При этой схеме библиотека будет инсталлирована в профайл пользователя при первой загрузке Java-апплета в браузере и ее отдельной инсталляции не потребуется.
Другим вариантом является написание Java-апплета, который вызывает предустановленное в системе СКЗИ (CSP, JCP и др.)
Более подробно пример подобной реализации, основанный на использовании Рутокен ЭЦП и OpenSSL, описан в статье .

Примеры:

Апплет ЭТП «Стройторги» (реализован в соответствии с приведенной на схеме архитектурой)
Система ДБО Бифит

PHP

PHP является одним из наиболее распространенных языков WEB-разработки. Криптографическая подсистема PHP построена на базе OpenSSL, в котором есть поддержка российских криптоалгоритмов. Но при этом в самом PHP поддержки российских криптоалгоритмов нет. Некоторые российские производители СКЗИ приступали к формированию патча к PHP, который позволял бы использовать российскую криптографию, но до конца эти работы доведены не были.
Бинарная совместимость таких СКЗИ, как МагПро КриптоПакет, с OpenSSL позволила бы придать данному решению легитимность.
В настоящее время многие разработчики инфосистем на базе PHP используют непосредственный вызов командно-строчной утилиты OpenSSL для проведения криптоопераций с использованием российских алгоритмов.

Экзотическое решение реализовано в рамках проекта Рутокен WEB. В серверной компоненте решения проверка подписи ГОСТ Р 34.10-2001 реализована непосредственно на PHP с использованием математических примитивов из нативной библиотеки.

Perl

Еще одним экзотическим примером является реализация шифрования по ГОСТ 28147-89 непосредственно на Perl http://search.cpan.org/~ams/Crypt-GOST-1.00/GOST.pm .
При этом в реальных проектах на Perl разработчики обычно используют вызовы командно-строчной утилиты из OpenSSL или какого-нибудь Linux-совместимого СКЗИ.

Ruby

Ruby использует в качестве криптоядра openssl, что позволило автору данной статьи пропатчить его для поддержки российской криптографии.

JavaScript

Некоторое время назад на Хабре появилась статья, автор которой реализовал многие криптографические форматы непосредственно на JavaScript
При этом криптоалгоритмы используются из унифицированного ядра WebCrypto, которое уже сейчас поддерживается большинством современных браузеров.

Проблемы:

Нет ГОСТов
Закрытый ключ находится в «хранилище браузеру», а не в отчуждаемом носителе
Как подключать PKCS#11-совместимые устройства?

Плюсы:

кроссплатформенное, кроссбраузерное решение
подпись на клиенте
Поддержка PKI
не требуется установка вообще ничего на клиент

Настольные криптографические приложения

Класс приложений, которые предоставляют законченный оконный пользовательский интерфейс для проведения клиентских криптоопераций. Как правило, используют некоторое СКЗИ в качестве криптоядра.

Операции:

подпись файла
проверка подписи под файлом, в том числе построение цепочки и проверка списка отзыва, OCSP, проверка таймштампа
зашифрование файла, в том числе для нескольких респондентов
расшифрование файла
поиск и выбор сертификата пользователя
просмотр сертификата
ведение базы сертификатов респондентов, интеграция со службой каталога (по протоколу LDAP) для поиска сертификата респондента
генерация ключевой пары, формирование запроса на сертификат
удаление ключевой пары
импорт/экспорт сертификатов (корневых, пользовательских, респондентов)
удаление сертификата

Примеры:

КриптоАРМ
КриптоНУЦ
File-PRO, Admin PKI
Блокхост ЭЦП
Sign Maker
ViPNet Crypto File

Средства формирования доверенной среды

Проблема формирования доверенной среды для выполнения криптоопераций, в частности ЭЦП, является отдельной большой темой. В данной статье не планируется ее подробно рассматривать, но хочется отметить, что концептуально разработчики идут следующими путями:

отдельное устройство, на котором визуализируются данные, предназначенные для подписи и сама подпись производится после подтверждения пользователя (trustscreen)
установка на компьютер и клиентскую ОС комплекса средств защиты информации (МДЗ, антивирусы и т.п.), с целью минимизации возможности заражения компьютера вредоносным ПО
загрузка отдельной доверенной ОС в режиме USB-live
параллельная работа клиентской ОС и доверенной среды на различных ядрах одного компьютера

На последнем способе формирования ДС хотелось бы остановиться подробнее.

Компанией «Код безопасности» предложен интересный продукт Jinn, который позволяет эмулировать доверенную среду как на многоядерном, так и на одноядерном компьютере. Основной идеей данного решения является то, что доверенная среда выполняется на логических ядрах, на которых не выполняется сама клиентская ОС. В случае одноядерного компьютера now-how решения позволяет реализовать эмуляцию отдельного физического вычислительного устройства, которое не видно ОС (или, вернее, доступ к нему из ОС сильно затруднен).

Для случая многоядерного компьютера доверенная среда функционирует на 2 ядрах, на остальных ядрах функционирует клиентская ОС. Доверенная среда загружается перед загрузкой клиентской ОС либо с флешки, либо с электронного замка Соболь. Решение гарантирует, что клиентская ОС (а следовательно и потенциальное вредоносное ПО) не управляет поведением доверенной среды.
По сути, в решении две ОС разнесены по различным ядрам одного компьютера и между ними настроен канал передачи данных. При этом одна из ОС (доверенная среда), спроектирована таким образом, что варианты ее заражения минимизированы и ее функционал служит исключительно цели безопасной визуализации данных и их пописи.

Для доступа к доверенной среде из клиентской ОС используется специальная библиотека (COM-объект). При подписи платежки через данную библиотеку Jinn перехватывает управление графическим адаптером и визуализирует на нем платежку. Если представленная информация верна, то после подтверждения пользователя Jinn подписывает платежку и возвращает управление клиентской ОС.

ЭЦП представляет собой программный инструмент для удостоверения электронных документов.

Она включает в себя распаковщик, сертификат и два ключа (хранятся на специальном носителе – токене).

Усиленная неквалифицированная подпись применяется при удостоверении документов, касающихся налогообложения физических и юридических лиц.

Выдачей подобных программ занимаются удостоверяющие центры. Для получения ЭП нужно подать заявку и представить документы (это делается в режиме онлайн).

Электронная цифровая содержит три основных вида:

Квалифицированная подпись - выдаётся исключительно государственными центрами и предназначена для удостоверения документов высокой важности.
Неквалифицированная ЭП. Её используют при осуществлении электронных торгов.
Простая ЭЦП. Ею удостоверяют документы с невысоким статусом.

Из общих преимуществ цифровой подписи стоит выделить:

Экономия денежных средств и ресурсов, таких как бумага.
Удобство оформления электронных документов.
Широкий круг использования (от физических лиц до крупных компаний).
Исключение доступа нежелательных граждан к документам владельца.
Повышение эффективности документооборота и так далее.

Облако и носитель

Для начала работы с программой потребуется её активировать. Для этого можно в свободном доступе скачать специальный драйвер с официального сайта удостоверяющего центра и установить его на ПК. Затем начинается процесс активации ЭЦП:

С носителя переправляется сертификат – это своего рода разрешение на использование ЭП конкретным человеком.
Начинается процесс экспорта ключей для входа (логин и пароль).
Пользователь подтверждает завершение активации.

В связи с частыми утерями носителей, а также случаями их кражи, разработчики сферы информационных технологий задумались об ином варианте хранения данных – использовании удалённого сервера. – это тот же инструмент, только его основные сведения содержатся в специальном хранилище, в «облаке » данных. Эксперты заявляют, что информация, хранящаяся на облачном сервере , лучше защищена и исключает доступ третьих лиц.

Они объясняют это тем, что носитель, где содержится сертификат с паролями, у владельца можно запросто украсть и подписать за него электронный документ . Следственно, пользователь должен надёжно хранить свой токен, и так бывает не всегда.

Итак, что такое облачная электронная цифровая подпись ЭЦП (электронная цифровая) мы рассмотрели, теперь разберём все её преимущества:

Носитель больше не нужно иметь под рукой.
Пользоваться ЭП можно на любом аппарате, даже если он не совместим с токеном.
Существенная экономия времени (искать, вставлять носитель больше не требуется).
Информация, хранящаяся в облачном сервере , доступна только её правообладателю.
Работа осуществляется стабильно даже при разрыве соединения с сетью Интернет.

Тенденции

Многие пользователи, применяющие ЭП , утверждают: «Хранящаяся электронная подпись в облаке может быть похищена хакерами». Таких инцидентов практически не случалось: люди теряли носитель намного чаще.

Облачная цифровая подпись даёт возможность вести документооборот в любом уголке мира, независимо от устройства. Страны европейского союза активно занимаются оформлением особо важных документов именно через «облако». Такую возможность получили граждане Российской Федерации, и они отмечают, что хранить данные на сервере намного удобнее и проще.

Российский институт развития сети Интернет разрабатывает приложения, позволяющие корректно использовать ЭП при помощи смартфонов и планшетных компьютеров.