Geekly articles weekly

FAQ tentang tanda tangan cloud [elektronik]

Platform kami menjadi operator perdagangan elektronik federal pertama yang memperkenalkan teknologi tanda tangan elektronik baru berbasis cloud. Jika ES biasa menimbulkan banyak pertanyaan, maka layanan ini, di satu sisi, masih lebih sulit dipahami untuk bisnis, dan di sisi lain, semuanya menjadi lebih sederhana.



- Apa itu?

Dulu ada tanda tangan kertas pada dokumen. Sangat tidak nyaman, tidak terlalu aman dan membutuhkan kertas fisik. Kemudian datang flash drive dengan sertifikat dan kit sekitar (hingga antivirus). Dia pertama kali disebut EDS - tanda tangan digital elektronik. Kemudian dia menjadi EP saja. Sekarang flash drive ini telah diletakkan di cloud, dan telah menjadi OEP.

- Bagaimana cara kerja AMDAL?

Misalkan Anda mengajukan proposal untuk tender. Sebelumnya, untuk menandatangani dokumen, perlu menginstal plug-in untuk browser yang dapat berkomunikasi dengan perangkat lunak di komputer lokal pengguna. Perangkat lunak ini mengakses perangkat lunak pada USB flash drive, perangkat lunak pada USB flash drive mengeluarkan kunci, transaksi ditandatangani dengan kunci ini dan dipindahkan ke plug-in browser yang sudah jadi. Sekarang kami menghapus flash drive dari rantai ini: perangkat lunak mengakses penyimpanan cloud melalui terowongan terenkripsi.

- Apakah mungkin tanpa perangkat lunak pada mesin lokal?

Ya, jika ada server perantara di situs yang benar-benar mewakili permintaan dan tampaknya merupakan komputer lokal ini, maka semuanya dapat dilakukan dari browser apa pun. Tetapi ini membutuhkan pemrosesan backend situs (dalam kasus kami, kami membuat server terpisah untuk perdagangan dari ponsel). Jika jalur ini tidak berfungsi, yang standar dipilih. Diasumsikan bahwa di masa depan opsi ini akan menjadi yang paling umum. Contoh dari salah satu implementasi tersebut adalah platform UKM Roseltorg (Pembelian di antara usaha kecil dan menengah).



- OEP dan EP adalah satu dan sama, tetapi berbaring di tempat yang berbeda, kan?

Tanda tangan memiliki inti yang sama dengan sertifikat dan keamanan. Secara fungsional, ini adalah satu dan sama, hanya mengubah metode API internal untuk mengenkripsi transaksi. Satu metode mengambil kunci dari perangkat lokal, yang lain dari jarak jauh.

"Tunggu sebentar, tapi kamu masih perlu otorisasi?"

Ya Tapi sekarang ini adalah dua faktor dan tanpa referensi ke perangkat. Skema yang biasa: instal aplikasi di ponsel atau plug-in browser di desktop, lalu masukkan login dan kata sandi untuk mulai bekerja, kemudian ketika melakukan transaksi - kode PIN dikirim dari server otorisasi. Artinya, untuk menandatangani dokumen untuk Anda, Anda perlu mencuri kata sandi + login dan mencegat SMS atau pemberitahuan push dengan kode.

- Lalu apa untungnya?

  1. Jika Anda kehilangan flash drive, Anda perlu mendapatkan kunci baru. Dalam hal AMDAL - cukup ganti kata sandi untuk tanda tangan.
  2. Tidak ada referensi ke tempat kerja: sebelumnya, ES diinstal pada satu komputer tertentu.
  3. Tidak ada penjilidan browser: dulu IE. Yang menyebabkan sejumlah masalah bahkan pada tingkat pilihan OS: Linux admin mengelak ini, tetapi pada perangkat Mac itu lebih sulit.
  4. Tidak ada referensi ke geografi: otorisasi bekerja dari negara mana pun (karena sifat perlindungannya, flash drive sering hanya bekerja pada jaringan Rusia).
  5. Diasumsikan bahwa semuanya telah menjadi lebih aman karena identifikasi dua faktor secara default tanpa kemampuan untuk "menyederhanakan hidup Anda."
  6. Menghancurkan flash drive dengan tanda tangan tidak membahayakan transaksi saat ini.
  7. Secara umum, semua ini lebih benar, terutama karena kemampuan untuk dengan cepat masuk dari ponsel.

- Di mana sertifikat disimpan di sisi otoritas sertifikasi?

Ada perangkat keras khusus yang disebut HSM (modul keamanan perangkat keras). Secara teknis, ini adalah repositori yang dibagi menjadi sel tertutup tanpa kemungkinan akses massal ke semuanya sekaligus.

Sederhananya: Anda login, buat transaksi, dikirim ke HSM untuk berlangganan, dan dari sana objek yang dilindungi adalah output. Kunci pribadi tidak dikeluarkan di luar.

Artinya, HSM bertindak sebagai pihak ketiga, seperti notaris, yang mengonfirmasikan dalam transaksi bahwa Anda adalah Anda. Lebih tepatnya, Anda memiliki hak untuk menandatangani dokumen.

Setiap otoritas sertifikasi memiliki HSM sendiri.

Setiap keputusan dilisensikan oleh FSB. Sepotong besi dilengkapi dengan sejumlah besar tingkat keamanan, khususnya, sensor anti-penjara. Terminal secara fisik dibangun ke dalam server itu sendiri, tidak ada koneksi eksternal untuk manajemen yang didukung, tidak ada antarmuka web. Anda perlu mengkonfigurasi sesuatu - sweater, gym, kotak besi besar dengan layar LCD kecil.



- Bagaimana dengan kompatibilitas ke belakang?

Sekali lagi, penyederhanaan, versi baru perangkat lunak untuk bekerja dengan EP sekarang dapat melakukan sesuatu seperti meniru flash drive ini untuk semua perangkat lunak lama. Artinya, tidak masalah apa yang Anda gunakan: token pada media fisik atau akses ke HSM. Perangkat lunak yang diperbarui akan menandatangani semuanya, seperti di masa lalu yang indah.

- Seperti apa koneksi pertama?

Ketika dikonfigurasi pada perangkat pengguna akhir, dua alamat server DSS ditentukan. Faktanya, ini adalah seluruh latar. Setelah itu, Anda harus masuk ke server. Pengguna memasukkan login dan kata sandi yang unik, yang dikeluarkan untuknya di pusat sertifikasi. Setelah memasukkan login dan kata sandi, Anda harus melalui otorisasi dua faktor. Biasanya, pengguna memindai kode QR yang diberikan kepadanya dan menginstal aplikasi. Ini adalah salah satu aplikasi vendor tanda tangan umum yang disesuaikan untuk otoritas sertifikasi tertentu. Kode kedua dipindai dengan referensi ke selnya di HSM. Kode PIN dikirimkan untuk transaksi tertentu ke telepon pelanggan, ia menggunakannya dan mengonfirmasi sendiri. Setelah itu, Anda perlu mengubah kata sandi akses.



Transaksi berikut mungkin lebih sederhana: PIN dikirim dengan pemberitahuan push. Diasumsikan bahwa jika ponsel dilindungi oleh FaceID atau pengenalan sidik jari, maka faktor kedua ini (dikombinasikan dengan memasukkan login dan kata sandi) sudah cukup.

Jika ponsel hilang, Anda harus menjalani prosedur dengan kode QR lagi.

Telepon yang terkunci tanpa PIN tidak ada gunanya.

PIN tanpa kata sandi masuk tidak berguna.

Jika Anda kehilangan ponsel yang tidak terkunci dengan foto login dan kata sandi Anda yang direkam di selembar kertas (case nyata di CA kami), maka Anda dapat meminta kunci akses hingga klarifikasi.

- Bagaimana cara mendapatkan amplop dengan akses ke AMDAL?

Kasus sederhana: pemohon (direktur umum badan hukum) datang secara pribadi dengan paspor ke pusat sertifikasi dan menerima amplop.

Kasus sulit: seorang karyawan datang dengan surat kuasa resmi yang memenuhi persyaratan 63-FZ (Tanda tangan elektronik) dan persyaratan layanan keamanan pusat sertifikasi.

- Ini adalah fenomena massa?

Ya Untuk bulan pertama bekerja, UTES EC mengeluarkan sekitar seribu sertifikat menggunakan teknologi AMDAL yang baru. Sekitar 70% pengguna yang telah menerbitkan tanda tangan elektronik adalah badan hukum, 23% lainnya adalah wirausahawan perorangan. Lebih dari 60% pengguna layanan baru adalah perusahaan dari Moskow. Ada sertifikat di St. Petersburg, Novosibirsk, Khabarovsk, Rostov-on-Don.

Source: https://habr.com/ru/post/id467891/

More articles:


All Articles