www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Интеграция Open Source-решений  

Open Source в облачной среде

Облачные решения становятся всё более популярными в мире. Компании стремятся использовать их для

 Читать далее...

Автоматизация  

Нейросеть вам в руки! Как использовать ИИ для автоматизации задач

Использование ИИ для автоматизации задач помогает компании получить конкурентное преимущество, поскольку объединение

 Читать далее...

Рынок труда  

Специалист по этическому ИИ, инженер по квантовым вычислениям или аналитик по метавселенной?

Новые тенденции в развитии ИТ могут привести к возникновению новых специальностей в

 Читать далее...

Книжная полка  

Учитесь убеждать и побеждать

Издательство «БХВ», как всегда, порадовало своих читателей хорошими книжными новинками. Кроме популярных

 Читать далее...

Сетевая инфраструктура  

Как удаленная работа меняет подход к сетевой инфраструктуре?

С увеличением числа сотрудников, работающих из дома, организации сталкиваются с необходимостью создания

 Читать далее...

Мониторинг  

Какой мониторинг нужен сегодня?

По мнению экспертов ГК InfoWatch, действия сотрудников – самая распространенная причина инцидентов

 Читать далее...

Книжная полка  

Руководство для тех, кто увлечен ИИ, программированием. И дизайном

Накануне лета издательство «БХВ» выпустило книжные новинки, от которых любителям чтения будет

 Читать далее...

Мобильные приложения  

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

 Читать далее...

ИТ-образование  

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

 Читать далее...

Work-life balance  

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

 Читать далее...

Книжная полка  

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

 Читать далее...

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 9424
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 9656
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 7067
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 4411
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 5199
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 5196
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 7865
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 4564
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 4825
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 8819
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 12248
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 13830
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 15600
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 10464
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 8491
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 6726
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 5871
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 4722
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 4440
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 4655
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Компрометация ключа электронной подписи. Почему она происходит, и что нужно делать?

Архив номеров / 2022 / Выпуск №11 (240) / Компрометация ключа электронной подписи. Почему она происходит, и что нужно делать?

Рубрика: Безопасность /  ЭДО

 

 

Компрометация ключа электронной подписи
Почему она происходит, и что нужно делать?

Ключевые носители, USB-токены или смарт-карты, используются для подписания документов электронной подписью и многофакторной аутентификации при входе в учетные записи информационных систем. Фактически, это аналог собственноручной подписи, который используется сегодня повсеместно для обеспечения как корпоративной, так и личной информационной безопасности. Обеспечение сохранности ключевого носителя – задача чрезвычайно важная. Тем не менее, компрометация этого устройства происходит довольно часто. Давайте разберемся, каковы причины этого события, как им противостоять, и что стоит предпринять, если оно все-таки произошло.

 

Электронная подпись (ЭП) – неотъемлемая часть юридически значимого электронного документооборота. Сам факт использования ЭП дает уверенность в том, что документ не был изменен или заменен, и что подписал его именно владелец ключа. Вот почему защита ключа электронной подписи от компрометации является чрезвычайно важным моментом, о котором всегда нужно помнить.

Говоря, что ключ ЭП был скомпрометирован, мы имеем в виду, что данной электронной подписи мы больше не доверяем и предполагаем, что произошла кража ключа электронной подписи, и к нему получили доступ посторонние лица. При компрометации ключа ЭП с банковских счетов может быть осуществлено несанкционированное списание денежных средств, либо произойти утечка данных контрагентов и чувствительной для компании информации, что вероятно повлечет весьма серьезные финансовые и репутационные последствия.

Давайте разберем эту ситуацию подробнее.


Что такое компрометация ключей электронной подписи?

В Федеральном законе «Об электронной подписи» 2011 года № 63-ФЗ нет установленного определения компрометации ключа электронной подписи. Поэтому под термином компрометация ключа ЭП обычно понимают утерю доверия к ключам ЭП, обеспечивающим безопасность информации (см., например, раздел 2 Регламента регистрации и подключения юридических и физических лиц к системе электронного документооборота ПФР, утв. постановлением Правления ПФР от 26.01.2001 № 15).

Важно понимать, что за компрометацию ключа несет ответственность не только ее владелец, но и удостоверяющий центр. На основании п. 4 ч. 2 ст. 13 № 63-ФЗ он обязан обеспечивать конфиденциальность сгенерированных ключей ЭП.


Причины компрометации ключа электронной подписи

Причины компрометации ключа электронной подписи могут быть совершенно различными: от невнимательности владельца до хакерской атаки. Поэтому, обладая ключевым носителем, нужно знать его характеристики, чтобы лучше понимать, как и когда ваш ключ может быть скомпрометирован.

Ситуация

Пояснения

Рекомендации

Утеря ключевого носителя, включая последующую находку

Если вы подозреваете, что вашим ключом ЭП потенциально мог кто-то воспользоваться в период между потерей и находкой, то такой ключ можно считать скомпрометированным.

Не оставлять ключевой носитель без присмотра в доступных или общественных местах.

Не оставлять ключевой носитель без присмотра, сопряженный с компьютерным устройством, на котором осуществляется подписание электронных документов (USB-порты в системном блоке компьютера, ноутбука, смартфона, планшета или других электронных устройств).

Хищение PIN-кода

Несанкционированное использование ключевого носителя

Не записывайте пароль доступа к ключевому носителю (PIN-код) на бумаге или непосредственно на ключевом носителе, не запоминайте пароли в реестровой памяти систем электронных устройств и не храните парольную информацию в общедоступных местах.

Передача ключа третьему лицу

При необходимости участия в электронном документообороте иных сотрудников.

При необходимости участия в электронном документообороте сотрудников хозяйствующего субъекта, помимо руководящего состава, рекомендуется обеспечивать таких сотрудников персональными закрытыми ключами и сертификатами электронной подписи, выданными на их имя, и наделять их правом подписи распределительными документами хозяйствующего субъекта путем оформления доверенности.

 

Если у вас пассивный ключевой носитель

Пассивный ключевой носитель – это защищенный ключевой носитель, для разблокировки которого необходимо знание PIN-кода. Он обладает средним уровнем защищенности от атак злоумышленников. Его основное отличие от активного заключается в том, что после ввода верного PIN-кода ключ ЭП из защищённой памяти ключевого носителя передается в оперативную память компьютера или другого устройства для подписания электронного документа. При подписании электронного документа с использованием такого носителя и средства электронной подписи, вычисляется хэш документа, однозначно связанный с содержанием электронного документа. Далее, ключ ЭП копируется в память компьютера, где с его помощью средство электронной подписи выполняет криптографические операции создания электронной подписи – подписание электронного документа. По завершении процедуры подписания ключ ЭП удаляется из памяти компьютера. Процедура подписания электронного документа происходит незаметно для пользователя и занимает несколько секунд. Тем не менее, даже в этот промежуток времени может произойти кража ключа электронной подписи –  он может быть скопирован хакерскими вредоносными программами. Возникает вопрос – что предпринять для защиты?


Как повысить уровень защиты пассивного ключевого носителя?

Если у вас пассивный ключевой носитель, например, Рутокен Lite, первым делом замените предустановленный PIN-код. Мы рекомендуем использовать шестизначные коды со специальными символами, прописными и строчными латинскими буквами. Избегайте сочетаний дат рождений, очевидных последовательностей (123456 и т.д.) и повторяемости (777777). Не лишним будет напомнить, что хранить токен или смарт-карту необходимо в недоступном для посторонних лиц месте – лучше всего в сейфе.


Если у вас активный ключевой носитель

Активный ключевой носитель содержит в себе аппаратно реализованные функции средства криптографической защиты информации (СКЗИ). Ключ ЭП на таком носителе хранится в его памяти, в защищенном ключевом контейнере в специальном внутреннем формате. Он никогда не покидает такой ключевой носитель, в связи с чем его компрометация (кража ключа электронной подписи) возможна только в случае хищения ключевого носителя вместе с PIN-кодом. Подобные устройства могут быть выпущены в любом форм-факторе (USB-токен, смарт-карта, NFC-карта). Можно рекомендовать в этой категории активные токены и смарт-карты новой линейки Рутокен ЭЦП 3.0 с поддержкой NFC.

Описанные особенности активных ключевых носителей являются их неоспоримым преимуществом. Активный защищенный ключевой носитель (криптографический ключевой носитель) обладает высоким уровнем защищенности от атак злоумышленников. Тем не менее и здесь наши рекомендации по выбору PIN-кодов остаются схожими с приведенными выше для пассивных ключевых носителей.


Что делать, если ваш ключ электронной подписи скомпрометирован?

При потере или краже ключевого носителя необходимо незамедлительно обратиться в удостоверяющий центр, выпустивший сертификат ключа проверки электронной подписи, для подачи заявления о прекращении его действия. Обращаем внимание, что заявление должно быть собственноручно написано владельцем сертификата. При обращении в УЦ нужно будет сообщить оператору следующую информацию:

  1. Свои идентификационные данные;
  2. Серийный номер сертификата ключа подписи, соответствующего скомпрометированному ключу;
  3. Секретное ключевое слово, полученное при регистрации. 


По материалам канала «Электронная подпись для чайников» на Яндекс.Дзен https://dzen.ru/id/625ffc67e64edb095e4171b8

 

Ключевые слова: Рутокен, электронная подпись, сертификат ключа, удостоверяющий центр, сертификат ключа, активный ключевой носитель, пассивный ключевой носитель


Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru