Рубрика:
Безопасность /
ЭДО
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
Компрометация ключа электронной подписи Почему она происходит, и что нужно делать?
Ключевые носители, USB-токены или смарт-карты, используются для подписания документов электронной подписью и многофакторной аутентификации при входе в учетные записи информационных систем. Фактически, это аналог собственноручной подписи, который используется сегодня повсеместно для обеспечения как корпоративной, так и личной информационной безопасности. Обеспечение сохранности ключевого носителя – задача чрезвычайно важная. Тем не менее, компрометация этого устройства происходит довольно часто. Давайте разберемся, каковы причины этого события, как им противостоять, и что стоит предпринять, если оно все-таки произошло.
Электронная подпись (ЭП) – неотъемлемая часть юридически значимого электронного документооборота. Сам факт использования ЭП дает уверенность в том, что документ не был изменен или заменен, и что подписал его именно владелец ключа. Вот почему защита ключа электронной подписи от компрометации является чрезвычайно важным моментом, о котором всегда нужно помнить.
Говоря, что ключ ЭП был скомпрометирован, мы имеем в виду, что данной электронной подписи мы больше не доверяем и предполагаем, что произошла кража ключа электронной подписи, и к нему получили доступ посторонние лица. При компрометации ключа ЭП с банковских счетов может быть осуществлено несанкционированное списание денежных средств, либо произойти утечка данных контрагентов и чувствительной для компании информации, что вероятно повлечет весьма серьезные финансовые и репутационные последствия.
Давайте разберем эту ситуацию подробнее.
Что такое компрометация ключей электронной подписи?
В Федеральном законе «Об электронной подписи» 2011 года № 63-ФЗ нет установленного определения компрометации ключа электронной подписи. Поэтому под термином компрометация ключа ЭП обычно понимают утерю доверия к ключам ЭП, обеспечивающим безопасность информации (см., например, раздел 2 Регламента регистрации и подключения юридических и физических лиц к системе электронного документооборота ПФР, утв. постановлением Правления ПФР от 26.01.2001 № 15).
Важно понимать, что за компрометацию ключа несет ответственность не только ее владелец, но и удостоверяющий центр. На основании п. 4 ч. 2 ст. 13 № 63-ФЗ он обязан обеспечивать конфиденциальность сгенерированных ключей ЭП.
Причины компрометации ключа электронной подписи
Причины компрометации ключа электронной подписи могут быть совершенно различными: от невнимательности владельца до хакерской атаки. Поэтому, обладая ключевым носителем, нужно знать его характеристики, чтобы лучше понимать, как и когда ваш ключ может быть скомпрометирован.
Ситуация
|
Пояснения
|
Рекомендации
|
Утеря ключевого носителя, включая последующую находку
|
Если вы подозреваете, что вашим ключом ЭП потенциально мог кто-то воспользоваться в период между потерей и находкой, то такой ключ можно считать скомпрометированным.
|
Не оставлять ключевой носитель без присмотра в доступных или общественных местах.
Не оставлять ключевой носитель без присмотра, сопряженный с компьютерным устройством, на котором осуществляется подписание электронных документов (USB-порты в системном блоке компьютера, ноутбука, смартфона, планшета или других электронных устройств).
|
Хищение PIN-кода
|
Несанкционированное использование ключевого носителя
|
Не записывайте пароль доступа к ключевому носителю (PIN-код) на бумаге или непосредственно на ключевом носителе, не запоминайте пароли в реестровой памяти систем электронных устройств и не храните парольную информацию в общедоступных местах.
|
Передача ключа третьему лицу
|
При необходимости участия в электронном документообороте иных сотрудников.
|
При необходимости участия в электронном документообороте сотрудников хозяйствующего субъекта, помимо руководящего состава, рекомендуется обеспечивать таких сотрудников персональными закрытыми ключами и сертификатами электронной подписи, выданными на их имя, и наделять их правом подписи распределительными документами хозяйствующего субъекта путем оформления доверенности.
|
Если у вас пассивный ключевой носитель
Пассивный ключевой носитель – это защищенный ключевой носитель, для разблокировки которого необходимо знание PIN-кода. Он обладает средним уровнем защищенности от атак злоумышленников. Его основное отличие от активного заключается в том, что после ввода верного PIN-кода ключ ЭП из защищённой памяти ключевого носителя передается в оперативную память компьютера или другого устройства для подписания электронного документа. При подписании электронного документа с использованием такого носителя и средства электронной подписи, вычисляется хэш документа, однозначно связанный с содержанием электронного документа. Далее, ключ ЭП копируется в память компьютера, где с его помощью средство электронной подписи выполняет криптографические операции создания электронной подписи – подписание электронного документа. По завершении процедуры подписания ключ ЭП удаляется из памяти компьютера. Процедура подписания электронного документа происходит незаметно для пользователя и занимает несколько секунд. Тем не менее, даже в этот промежуток времени может произойти кража ключа электронной подписи – он может быть скопирован хакерскими вредоносными программами. Возникает вопрос – что предпринять для защиты?
Как повысить уровень защиты пассивного ключевого носителя?
Если у вас пассивный ключевой носитель, например, Рутокен Lite, первым делом замените предустановленный PIN-код. Мы рекомендуем использовать шестизначные коды со специальными символами, прописными и строчными латинскими буквами. Избегайте сочетаний дат рождений, очевидных последовательностей (123456 и т.д.) и повторяемости (777777). Не лишним будет напомнить, что хранить токен или смарт-карту необходимо в недоступном для посторонних лиц месте – лучше всего в сейфе.
Если у вас активный ключевой носитель
Активный ключевой носитель содержит в себе аппаратно реализованные функции средства криптографической защиты информации (СКЗИ). Ключ ЭП на таком носителе хранится в его памяти, в защищенном ключевом контейнере в специальном внутреннем формате. Он никогда не покидает такой ключевой носитель, в связи с чем его компрометация (кража ключа электронной подписи) возможна только в случае хищения ключевого носителя вместе с PIN-кодом. Подобные устройства могут быть выпущены в любом форм-факторе (USB-токен, смарт-карта, NFC-карта). Можно рекомендовать в этой категории активные токены и смарт-карты новой линейки Рутокен ЭЦП 3.0 с поддержкой NFC.
Описанные особенности активных ключевых носителей являются их неоспоримым преимуществом. Активный защищенный ключевой носитель (криптографический ключевой носитель) обладает высоким уровнем защищенности от атак злоумышленников. Тем не менее и здесь наши рекомендации по выбору PIN-кодов остаются схожими с приведенными выше для пассивных ключевых носителей.
Что делать, если ваш ключ электронной подписи скомпрометирован?
При потере или краже ключевого носителя необходимо незамедлительно обратиться в удостоверяющий центр, выпустивший сертификат ключа проверки электронной подписи, для подачи заявления о прекращении его действия. Обращаем внимание, что заявление должно быть собственноручно написано владельцем сертификата. При обращении в УЦ нужно будет сообщить оператору следующую информацию:
- Свои идентификационные данные;
- Серийный номер сертификата ключа подписи, соответствующего скомпрометированному ключу;
- Секретное ключевое слово, полученное при регистрации.
По материалам канала «Электронная подпись для чайников» на Яндекс.Дзен https://dzen.ru/id/625ffc67e64edb095e4171b8
Ключевые слова: Рутокен, электронная подпись, сертификат ключа, удостоверяющий центр, сертификат ключа, активный ключевой носитель, пассивный ключевой носитель
Подпишитесь на журнал Купите в Интернет-магазине
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|