下午好,亲爱的读者!
一段时间以来,我一直在积极关注数字经济计划的更新和新闻。 从EGAIS系统内部员工的角度来看,该过程当然需要数十年。 从开发的角度,从测试的角度来看,回滚和进一步的实现以及随后不可避免的痛苦修正各种错误。 但是,这是必要,重要且成熟的业务。 所有这些乐趣的主要客户和驱动程序当然就是状态。 实际上,就像全世界一样。
长期以来,所有过程都已扩散到数字化或数字化的过程中。 太好了 不过,也有一些奖牌的另一面可以用来区分。 我是一个经常使用数字签名的人。 我是“昨天”的支持者,但是使用令牌保护电子签名的“过时”可靠且双赢的方法。 但是数字化向我们展示了一切早已存在于“阴云”中,CEP也是需要的,而且非常需要。
到目前为止,我一直试图在立法和技术基础上弄清楚,在可能的情况下,我们国家和欧洲的基于云的ES的情况如何。 实际上,在这个问题上已经发表了不止一个科学论文。 因此,他们敦促该问题的专家与主题的发展保持联系。
云中的CEP为什么具有吸引力? 实际上,还有优点。 这些优点就足够了。 快速方便。 听起来,它像是一个广告口号,但是,这些都是云数字签名的客观特征。
速度取决于在不与令牌或智能卡绑定的情况下签署文档的能力。 它不强制我们仅使用桌面。 任何操作系统和浏览器的100%跨平台历史记录。 对于苹果产品的粉丝来说尤其如此,因为在MAC系统中支持ES存在某些困难。 从世界任何地方退出,就可以自由选择CA(甚至不是俄罗斯的CA)。 与CEP硬件不同,云技术避免了软件和硬件兼容性的复杂性。 是的,这很方便,是的,很快。
怎能不被这种美丽吸引呢? 细节在于魔鬼。 谈论安全性。
俄罗斯多云CEP
云解决方案(尤其是EDS)的安全性是安全性的主要难题之一。 读者会问我,我到底不喜欢什么,因为每个人都已经使用云服务很长时间了,并且借助SMS,进行银行转账更加可靠。
实际上,再次回到细节。 云EDS是一个很难争论的未来。 但不是现在。 为此,必须进行法规更改,以保护云数字签名的所有者。
我们今天有什么? 有许多文档定义了电子签名,电子文档管理(EDI)的概念,以及有关保护信息和数据流通的法律。 其中必须考虑到民法典(俄罗斯联邦民法典),后者规范了文件中电子签名的使用。
关于2011年6月6日电子签名的第63-号联邦法律。 主要法律和框架法律,描述了在各种性质的交易和服务提供中使用电子签名的一般含义。
2006年7月27日第149-号联邦法,关于信息,信息技术和信息保护。 本文档指定了电子文档的概念以及与之关联的所有部分。
EDI监管中还涉及其他法律
2011年12月6日第402-号联邦法“会计”。 立法法规定了对会计和电子形式的会计凭证的要求的系统化。
包括 您可以考虑俄罗斯联邦的《仲裁程序规则》,该规则允许EP签署的文件作为法庭证据。
正是在这里,我想到了对安全性问题的更深入研究,因为我们拥有FSB提供的加密保护标准和合格证明书的发行。 2月18日,引入了新的GOST。 因此,FSTEC证书不会直接保护存储在云中的密钥。 保护密钥本身和安全访问“云”是我们尚未决定的基石。 接下来,我将考虑一个欧盟法规的例子,它将清楚地展示出更先进的安全系统。
欧洲使用基于云的ES的经验
让我们从最主要的东西开始-云技术,不仅ES具有明确的标准。 欧洲电信标准协会(ETSI)的云标准协调(CSC)的基础。 但是,在不同的国家,数据保护标准仍然存在差异。
全面的数据保护基础是信息安全管理系统根据ISO 27001:2013进行提供商认证所必需的(相应的俄罗斯GOST R ISO / IEC 27001-2006基于该标准的2006年版本)。
ISO 27017提供了ISO 27002中未提供的其他云安全功能。该标准的正式名称是基于ISO / IEC 27002的云服务的“基于信息安全控制的操作规范”。 ISO / IEC 27002 for cloud services“)。
在2014年夏季,ISO发布了有关云中个人数据保护的ISO 27018:2015标准,并在2015年底发布了有关云解决方案的信息安全控制的ISO 27017:2015标准。
2014年秋天,欧洲议会第910/2014号新法令即eIDAS生效。 新规则允许用户在认可的可信服务提供商(所谓的TSP(信任服务提供商))的服务器上存储和使用CEP密钥。
欧洲标准化委员会(CEN)于2013年10月采用了技术规范CEN / TS 419241“支持服务器签名的可信赖系统的安全要求”,专门用于云EDS的监管。 该文档描述了安全合规性的几个级别。 例如,要遵守为形成合格电子签名而提出的“ 2级”,就是要支持用户身份验证的强大选择。 根据该级别的要求,用户身份验证直接在签名服务器上进行,相比之下,例如,来自应用程序中“级别1”可接受的身份验证,该应用程序代表自己访问签名服务器。 同样,根据本规范,用于形成合格ES的用户签名密钥必须存储在专用安全设备(英文硬件安全模块,HSM)的存储器中。
云服务中的用户身份验证必须至少有两个因素。 通常,最易于访问和易于使用的选项是通过SMS消息中收到的代码确认输入。 因此,例如,俄罗斯银行RB的大多数个人帐户已被实施。 除了常用的密码令牌之外,智能手机上的应用程序和一次性密码生成器(OTP令牌)也可以用作身份验证工具。
到目前为止,我可以总结出一个中间结果,这是因为云CEC仍在形成,现在离开铁还为时过早。 原则上,这是一个自然的过程,即使在欧洲(噢,太好了!)也持续了大约13-14年,直到制定了或多或少的精确标准。
在我们开发出用于管理云服务的良好GOST之前,谈论完全拒绝硬件解决方案还为时过早。 相反,它们现在正相反会开始走向“混合”,即也可以使用云签名。 已经实现了一些符合欧洲使用Cloud的标准的示例。 但是更多有关新材料的内容。