Geekly articles weekly

关于云[电子]签名的常见问题

我们的平台成为第一个引入基于云的新电子签名技术的联邦电子交易运营商。 如果通常的ES引起了很多问题,那么一方面,这项服务对于企业来说仍然是难以理解的,另一方面,一切都变得更加简单。



-什么啊

文件上曾经有纸签。 这不是很方便,也不是很安全,需要用纸。 然后是带有证书和工具包的闪存驱动器(由防病毒软件决定)。 她最初被称为EDS-电子数字签名。 然后她成为EP。 现在,此闪存驱动器已放入云中,并且已成为OEP。

-环境影响评估如何运作?

假设您提交投标书。 以前,为了对文档签名,必须为浏览器安装一个插件,该插件可以与用户本地计算机上的软件进行通信。 该软件访问了USB闪存驱动器上的软件,USB闪存驱动器上的软件发布了密钥,使用此密钥对交易进行了签名并转移到现成的浏览器插件中。 现在,我们从该链中删除闪存驱动器:该软件通过加密隧道访问云存储。

-如果在本地计算机上没有软件,是否可以?

是的,如果站点上实际上有一个代理服务器可以代理请求,并且看起来像是这台本地计算机,那么一切都可以通过任何浏览器完成。 但这需要处理网站的后端(在我们的示例中,我们制作了一个用于从手机进行交易的单独服务器)。 如果此路径不起作用,则选择标准路径。 假定将来此选项将是最常见的。 Roseltorg SME平台(中小型企业的购买)就是这样一种实现方式的一个例子。



-OEP和EP相同,但是位于不同的位置,对吗?

签名具有证书和安全性的共同核心。 从功能上讲,这是相同的,只是更改内部API的方法来加密事务。 一种方法是从本地设备获取密钥,另一种方法是从远程获取密钥。

“等一下,但是您还需要授权吗?”

是的 但是现在这是两个因素,并且不涉及设备。 通常的方案是:将应用程序安装在电话上或将浏览器插件安装在桌面上,然后输入登录名和密码以开始工作,然后在进行交易时-从授权服务器发送PIN码。 也就是说,要为您签名文档,您需要窃取密码+登录名并截取带有代码的SMS或推送通知。

-那么利润是多少?

  1. 如果您丢失了闪存驱动器,则需要获取一个新密钥。 对于EIA,只需更改签名的密码即可。
  2. 这里没有工作场所的参考:以前,ES是在一台特定的计算机上安装的。
  3. 没有浏览器绑定:它曾经是IE。 即使在操作系统选择级别上,这也引起了许多问题:Linux管理员规避了这一问题,但是在Mac设备上却更加困难。
  4. 没有提及地理:授权来自任何国家/地区(由于保护的性质,闪存驱动器通常仅在俄罗斯网络上有效)。
  5. 假定由于默认情况下采用两因素识别,因此一切都变得更加安全,而没有“简化您的生活”的能力。
  6. 销毁带有签名的闪存驱动器不会危害当前交易。
  7. 总的来说,所有这一切都更正确,尤其是由于能够从手机中快速签名。

-证书存储在证书颁发机构的哪一侧?

有一种称为HSM(硬件安全模块)的特殊硬件。 从技术上讲,这是一个分为封闭单元的存储库,无法一次大规模访问所有存储库。

稍微简化一下:登录,创建事务,将其发送到HSM进行订阅,然后从那里输出受保护的对象。 私钥不在外部发布。

也就是说,HSM像公证人一样充当第三方,在交易中确认您是您自己。 更准确地说,您有权签署文件。

每个证书颁发机构都有自己的HSM。

每个决定均由FSB授权。 铁片配备了大量的安全级别,尤其是防监狱传感器。 终端实际上​​内置于服务器本身,不支持用于管理的外部连接,没有Web界面。 您需要配置一些东西-毛衣,健身房,带小LCD屏幕的大铁盒。



-向后兼容性如何?

再次,简化后,可以与EP一起使用的新软件版本现在可以执行某些操作,例如为所有旧软件模拟此闪存驱动器。 也就是说,使用什么都没有关系:物理介质上的令牌或对HSM的访问。 与过去一样,更新的软件将对所有内容进行签名。

-第一个连接是什么样的?

在最终用户设备上配置后,将指定两个DSS服务器地址。 实际上,这就是整个设置。 之后,您将需要登录到服务器。 用户输入唯一的登录名和密码,该登录名和密码在认证中心内发给他。 输入登录名和密码后,您需要进行两步授权。 通常,用户扫描发给他的QR码并安装应用程序。 这是一个为特定证书颁发机构定制的通用签名供应商应用程序。 参照第二个代码在HSM中的单元进行扫描。 将针对特定交易的PIN码发送到订户的电话,他使用它并进行确认。 之后,您需要更改访问密码。



以下事务可能更简单:通过推送通知发送PIN。 假定如果电话受FaceID或指纹识别保护,则第二个因素(与输入登录名和密码一起)就足够了。

如果手机丢失,则需要再次使用QR码进行操作。

没有PIN的锁定电话是没有用的。

没有登录密码的PIN无效。

如果您丢失了一部未锁定的手机,并且在一张纸上记录了您的登录名和密码的照片(在我们的CA中为真实情况),那么您可以请求访问锁定,直到明确为止。

-如何获得可以使用EIA的信封?

一个简单的例子:申请人(法人实体的总干事)亲自带着护照到认证中心,并收到一个信封。

困难的情况:一名到达的员工具有经过认证的授权书,该授权书可以满足63-FZ(电子签名)的要求以及认证中心安全服务的要求。

-这是群众现象吗?

是的 在工作的第一个月,UTES EC使用新的EIA技术颁发了大约一千份证书。 发行电子签名的用户中约有70%是法人实体,另外23%是个人企业家。 这项新服务的60%以上的用户来自莫斯科的公司。 在圣彼得堡,新西伯利亚,哈巴罗夫斯克,顿河畔罗斯托夫都有证书。

Source: https://habr.com/ru/post/zh-CN467891/

More articles:


All Articles