Unsere Plattform war der erste elektronische Handelsbetreiber des Bundes, der eine neue Cloud-basierte Technologie für elektronische Signaturen einführte. Wenn die übliche ES viele Fragen verursacht hat, ist dieser Service einerseits für das Geschäft immer noch unverständlich, und andererseits ist alles viel einfacher geworden.
- Was ist das?Auf dem Dokument befand sich früher eine Papiersignatur. Es ist nicht sehr praktisch, nicht sehr sicher und erfordert physisches Papier. Dann kam ein Flash-Laufwerk mit einem Zertifikat und einem Kit (bis zum Antivirus). Sie wurde zuerst EDS genannt - eine elektronische digitale Signatur. Dann wurde sie nur eine EP. Jetzt wurde dieses Flash-Laufwerk in die Cloud gestellt und ist zu einem OEP geworden.
- Wie funktioniert die UVP?Angenommen, Sie reichen Ihren Vorschlag für eine Ausschreibung ein. Zuvor war es zum Signieren eines Dokuments erforderlich, ein Plug-In für einen Browser zu installieren, der mit der Software auf dem lokalen Computer des Benutzers kommunizieren konnte. Diese Software hat auf die Software auf dem USB-Flash-Laufwerk zugegriffen, die Software auf dem USB-Flash-Laufwerk hat den Schlüssel ausgegeben, die Transaktion wurde mit diesem Schlüssel signiert und fertig an das Browser-Plug-In übertragen. Jetzt entfernen wir das Flash-Laufwerk aus dieser Kette: Die Software greift über einen verschlüsselten Tunnel auf den Cloud-Speicher zu.
- Ist es ohne Software auf dem lokalen Computer möglich?Ja, wenn es auf der Site einen Zwischenserver gibt, der tatsächlich Proxys anfordert und anscheinend dieser sehr lokale Computer ist, kann alles von jedem Browser aus ausgeführt werden. Dies erfordert jedoch die Verarbeitung des Backends der Site (in unserem Fall haben wir einen separaten Server für den Handel mit Mobiltelefonen eingerichtet). Wenn dieser Pfad nicht funktioniert, wird der Standardpfad ausgewählt. Es wird davon ausgegangen, dass diese Option in Zukunft am häufigsten verwendet wird. Ein Beispiel für eine solche Implementierung ist die
Roseltorg SME- Plattform (Einkauf bei kleinen und mittleren Unternehmen).
- OEP und EP sind ein und dasselbe, liegen aber an verschiedenen Orten, oder?Signaturen haben einen gemeinsamen Kern mit Zertifikat und Sicherheit. Funktionell ist dies ein und dasselbe, nur die Methode der internen API zum Verschlüsseln der Transaktion wird geändert. Eine Methode übernimmt den Schlüssel vom lokalen Gerät, die andere von der Fernbedienung.
"Warte eine Minute, aber du brauchst noch eine Autorisierung?"Ja Aber jetzt ist es zwei Faktoren und ohne Bezug zum Gerät. Das übliche Schema: Installieren Sie die Anwendung auf dem Telefon oder das Browser-Plug-In auf dem Desktop, geben Sie den Login und das Passwort ein, um mit der Arbeit zu beginnen, und geben Sie dann bei der Transaktion den vom Autorisierungsserver gesendeten PIN-Code ein. Das heißt, um das Dokument für Sie zu signieren, müssen Sie das Passwort + Login stehlen und eine SMS oder Push-Benachrichtigung mit einem Code abfangen.
- Was ist dann der Gewinn?- Wenn Sie ein Flash-Laufwerk verlieren, benötigen Sie einen neuen Schlüssel. Im Falle der UVP - ändern Sie einfach das Passwort für die Signatur.
- Es gibt keinen Hinweis auf den Arbeitsplatz: Zuvor wurde ES auf einem bestimmten Computer installiert.
- Es gibt keine Browserbindung: Früher war es IE. Was selbst auf der Ebene der Betriebssystemauswahl eine Reihe von Problemen verursachte: Linux-Administratoren haben dies umgangen, aber auf Mac-Geräten war es schwieriger.
- Es gibt keinen Hinweis auf die Geografie: Die Autorisierung funktioniert aus jedem Land (aufgrund der Besonderheiten des Schutzes elektronischer Geräte auf Flash-Laufwerken funktionierten sie häufig nur in russischen Netzwerken).
- Es wird davon ausgegangen, dass aufgrund der Zwei-Faktor-Identifizierung standardmäßig alles sicherer geworden ist, ohne dass "Ihr Leben vereinfacht werden kann".
- Das Zerstören eines Flash-Laufwerks mit einer Signatur gefährdet die aktuellen Transaktionen nicht.
- Im Allgemeinen ist dies alles korrekter, insbesondere aufgrund der Möglichkeit, schnell von Mobiltelefonen aus zu signieren.
- Wo wird das Zertifikat auf der Seite der Zertifizierungsstelle gespeichert?Es gibt eine spezielle Hardware namens HSM (Hardware Security Module). Technisch gesehen ist dies ein Repository, das in geschlossene Zellen unterteilt ist, ohne die Möglichkeit eines Massenzugriffs auf alle gleichzeitig.
Etwas vereinfacht: Sie melden sich an, erstellen eine Transaktion, sie wird zum Abonnieren an HSM gesendet und von dort wird das geschützte Objekt ausgegeben. Der private Schlüssel wird nicht außerhalb ausgegeben.
Das heißt, HSM handelt wie ein Notar als Dritter und bestätigt in einer Transaktion, dass Sie Sie sind. Genauer gesagt haben Sie das Recht, ein Dokument zu unterschreiben.
Jede Zertifizierungsstelle hat ein eigenes HSM.
Jede Entscheidung wird vom FSB lizenziert. Das Stück Eisen ist mit einer Vielzahl von Sicherheitsstufen ausgestattet, insbesondere mit Anti-Gefängnis-Sensoren. Das Terminal ist physisch in den Server selbst integriert, es werden keine externen Verbindungen für die Verwaltung unterstützt, es gibt keine Webschnittstelle. Sie müssen etwas konfigurieren - einen Pullover, ein Fitnessstudio, eine große Eisenbox mit einem kleinen LCD-Bildschirm.
- Wie wäre es mit Abwärtskompatibilität?Durch die Vereinfachung neuer Softwareversionen für die Arbeit mit EPs können Sie jetzt wieder so etwas wie dieses Flash-Laufwerk für die gesamte alte Software emulieren. Das heißt, es spielt keine Rolle, was Sie verwenden: ein Token auf einem physischen Medium oder Zugriff auf HSM. Aktualisierte Software wird alles signieren, wie in den guten alten Zeiten.
- Wie sieht die erste Verbindung aus?Bei der Konfiguration auf dem Endbenutzergerät werden zwei DSS-Serveradressen angegeben. Dies ist in der Tat die ganze Einstellung. Danach müssen Sie sich beim Server anmelden. Der Benutzer gibt ein eindeutiges Login und Passwort ein, die ihm im Zertifizierungscenter ausgestellt werden. Nach Eingabe des Logins und des Passworts müssen Sie die Zwei-Faktor-Autorisierung durchlaufen. In der Regel scannt der Benutzer den ihm erteilten QR-Code und installiert die Anwendung. Dies ist eine gängige Anwendung für Signaturanbieter, die für eine bestimmte Zertifizierungsstelle angepasst wurde. Der zweite Code wird mit Bezug auf seine Zelle im HSM gescannt. Ein PIN-Code wird für eine bestimmte Transaktion an das Telefon des Teilnehmers gesendet, er verwendet ihn und bestätigt sich. Danach müssen Sie das Zugangskennwort ändern.
Die folgenden Transaktionen können einfacher sein: Die PIN wird per Push-Benachrichtigung gesendet. Es wird davon ausgegangen, dass dieser zweite Faktor (in Kombination mit der Eingabe des Logins und des Passworts) ausreicht, wenn das Telefon durch FaceID oder Fingerabdruckerkennung geschützt ist.
Wenn das Telefon verloren geht, müssen Sie den Vorgang mit QR-Codes erneut durchführen.
Ein gesperrtes Telefon ohne PIN ist nutzlos.
Eine PIN ohne Login-Passwort ist nutzlos.
Wenn Sie ein entsperrtes Telefon mit einem Foto Ihres Logins und Passworts verloren haben, das auf einem Blatt Papier aufgezeichnet ist (ein echter Fall in unserer Zertifizierungsstelle), können Sie bis zur Klärung eine Zugriffssperre anfordern.
- Wie bekomme ich einen Umschlag mit Zugang zur UVP?Ein einfacher Fall: Der Antragsteller (Generaldirektor einer juristischen Person) kommt persönlich mit einem Reisepass zum Zertifizierungszentrum und erhält einen Umschlag.
Schwieriger Fall: Ein Mitarbeiter kommt mit einer zertifizierten Vollmacht an, die die Anforderungen von 63-FZ (Über elektronische Signatur) und die Anforderungen des Sicherheitsdienstes des Zertifizierungszentrums erfüllt.
- Dies ist ein Massenphänomen?Ja Im ersten Arbeitsmonat hat die UTES EC rund tausend Zertifikate mit der neuen UVP-Technologie ausgestellt. Etwa 70% der Benutzer, die elektronische Signaturen ausgestellt haben, sind juristische Personen, weitere 23% sind Einzelunternehmer. Mehr als 60% der Nutzer des neuen Dienstes sind Unternehmen aus Moskau. Es gibt Zertifikate in St. Petersburg, Nowosibirsk, Chabarowsk, Rostow am Don.