Компрометация ключа электронной подписи. Почему она происходит, и что нужно делать?::Журнал СА
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6201
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6910
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4194
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2991
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3798
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3807
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6300
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3153
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3448
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7265
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10632
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12354
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13987
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9114
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7067
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5377
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4605
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3417
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3146
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3394
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3014
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Компрометация ключа электронной подписи. Почему она происходит, и что нужно делать?

Архив номеров / 2022 / Выпуск №10 (239) / Компрометация ключа электронной подписи. Почему она происходит, и что нужно делать?

Рубрика: Безопасность /  ЭДО

 

 

Компрометация ключа электронной подписи
Почему она происходит, и что нужно делать?

Ключевые носители, USB-токены или смарт-карты, используются для подписания документов электронной подписью и многофакторной аутентификации при входе в учетные записи информационных систем. Фактически, это аналог собственноручной подписи, который используется сегодня повсеместно для обеспечения как корпоративной, так и личной информационной безопасности. Обеспечение сохранности ключевого носителя – задача чрезвычайно важная. Тем не менее, компрометация этого устройства происходит довольно часто. Давайте разберемся, каковы причины этого события, как им противостоять, и что стоит предпринять, если оно все-таки произошло.

 

Электронная подпись (ЭП) – неотъемлемая часть юридически значимого электронного документооборота. Сам факт использования ЭП дает уверенность в том, что документ не был изменен или заменен, и что подписал его именно владелец ключа. Вот почему защита ключа электронной подписи от компрометации является чрезвычайно важным моментом, о котором всегда нужно помнить.

Говоря, что ключ ЭП был скомпрометирован, мы имеем в виду, что данной электронной подписи мы больше не доверяем и предполагаем, что произошла кража ключа электронной подписи, и к нему получили доступ посторонние лица. При компрометации ключа ЭП с банковских счетов может быть осуществлено несанкционированное списание денежных средств, либо произойти утечка данных контрагентов и чувствительной для компании информации, что вероятно повлечет весьма серьезные финансовые и репутационные последствия.

Давайте разберем эту ситуацию подробнее.


Что такое компрометация ключей электронной подписи?

В Федеральном законе «Об электронной подписи» 2011 года № 63-ФЗ нет установленного определения компрометации ключа электронной подписи. Поэтому под термином компрометация ключа ЭП обычно понимают утерю доверия к ключам ЭП, обеспечивающим безопасность информации (см., например, раздел 2 Регламента регистрации и подключения юридических и физических лиц к системе электронного документооборота ПФР, утв. постановлением Правления ПФР от 26.01.2001 № 15).

Важно понимать, что за компрометацию ключа несет ответственность не только ее владелец, но и удостоверяющий центр. На основании п. 4 ч. 2 ст. 13 № 63-ФЗ он обязан обеспечивать конфиденциальность сгенерированных ключей ЭП.


Причины компрометации ключа электронной подписи

Причины компрометации ключа электронной подписи могут быть совершенно различными: от невнимательности владельца до хакерской атаки. Поэтому, обладая ключевым носителем, нужно знать его характеристики, чтобы лучше понимать, как и когда ваш ключ может быть скомпрометирован.

Ситуация

Пояснения

Рекомендации

Утеря ключевого носителя, включая последующую находку

Если вы подозреваете, что вашим ключом ЭП потенциально мог кто-то воспользоваться в период между потерей и находкой, то такой ключ можно считать скомпрометированным.

Не оставлять ключевой носитель без присмотра в доступных или общественных местах.

Не оставлять ключевой носитель без присмотра, сопряженный с компьютерным устройством, на котором осуществляется подписание электронных документов (USB-порты в системном блоке компьютера, ноутбука, смартфона, планшета или других электронных устройств).

Хищение PIN-кода

Несанкционированное использование ключевого носителя

Не записывайте пароль доступа к ключевому носителю (PIN-код) на бумаге или непосредственно на ключевом носителе, не запоминайте пароли в реестровой памяти систем электронных устройств и не храните парольную информацию в общедоступных местах.

Передача ключа третьему лицу

При необходимости участия в электронном документообороте иных сотрудников.

При необходимости участия в электронном документообороте сотрудников хозяйствующего субъекта, помимо руководящего состава, рекомендуется обеспечивать таких сотрудников персональными закрытыми ключами и сертификатами электронной подписи, выданными на их имя, и наделять их правом подписи распределительными документами хозяйствующего субъекта путем оформления доверенности.

 

Если у вас пассивный ключевой носитель

Пассивный ключевой носитель – это защищенный ключевой носитель, для разблокировки которого необходимо знание PIN-кода. Он обладает средним уровнем защищенности от атак злоумышленников. Его основное отличие от активного заключается в том, что после ввода верного PIN-кода ключ ЭП из защищённой памяти ключевого носителя передается в оперативную память компьютера или другого устройства для подписания электронного документа. При подписании электронного документа с использованием такого носителя и средства электронной подписи, вычисляется хэш документа, однозначно связанный с содержанием электронного документа. Далее, ключ ЭП копируется в память компьютера, где с его помощью средство электронной подписи выполняет криптографические операции создания электронной подписи – подписание электронного документа. По завершении процедуры подписания ключ ЭП удаляется из памяти компьютера. Процедура подписания электронного документа происходит незаметно для пользователя и занимает несколько секунд. Тем не менее, даже в этот промежуток времени может произойти кража ключа электронной подписи –  он может быть скопирован хакерскими вредоносными программами. Возникает вопрос – что предпринять для защиты?


Как повысить уровень защиты пассивного ключевого носителя?

Если у вас пассивный ключевой носитель, например, Рутокен Lite, первым делом замените предустановленный PIN-код. Мы рекомендуем использовать шестизначные коды со специальными символами, прописными и строчными латинскими буквами. Избегайте сочетаний дат рождений, очевидных последовательностей (123456 и т.д.) и повторяемости (777777). Не лишним будет напомнить, что хранить токен или смарт-карту необходимо в недоступном для посторонних лиц месте – лучше всего в сейфе.


Если у вас активный ключевой носитель

Активный ключевой носитель содержит в себе аппаратно реализованные функции средства криптографической защиты информации (СКЗИ). Ключ ЭП на таком носителе хранится в его памяти, в защищенном ключевом контейнере в специальном внутреннем формате. Он никогда не покидает такой ключевой носитель, в связи с чем его компрометация (кража ключа электронной подписи) возможна только в случае хищения ключевого носителя вместе с PIN-кодом. Подобные устройства могут быть выпущены в любом форм-факторе (USB-токен, смарт-карта, NFC-карта). Можно рекомендовать в этой категории активные токены и смарт-карты новой линейки Рутокен ЭЦП 3.0 с поддержкой NFC.

Описанные особенности активных ключевых носителей являются их неоспоримым преимуществом. Активный защищенный ключевой носитель (криптографический ключевой носитель) обладает высоким уровнем защищенности от атак злоумышленников. Тем не менее и здесь наши рекомендации по выбору PIN-кодов остаются схожими с приведенными выше для пассивных ключевых носителей.


Что делать, если ваш ключ электронной подписи скомпрометирован?

При потере или краже ключевого носителя необходимо незамедлительно обратиться в удостоверяющий центр, выпустивший сертификат ключа проверки электронной подписи, для подачи заявления о прекращении его действия. Обращаем внимание, что заявление должно быть собственноручно написано владельцем сертификата. При обращении в УЦ нужно будет сообщить оператору следующую информацию:

  1. Свои идентификационные данные;
  2. Серийный номер сертификата ключа подписи, соответствующего скомпрометированному ключу;
  3. Секретное ключевое слово, полученное при регистрации. 


По материалам канала «Электронная подпись для чайников» на Яндекс.Дзен https://dzen.ru/id/625ffc67e64edb095e4171b8

 

Ключевые слова: Рутокен, электронная подпись, сертификат ключа, удостоверяющий центр, сертификат ключа, активный ключевой носитель, пассивный ключевой носитель


Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru