5 способов повысить безопасность электронной подписи::Журнал СА
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Архив номеров
Контакты
   

  Опросы
  Статьи

Учебные центры  

Карьерные мечты нужно воплощать! А мы поможем

Школа Bell Integrator открывает свои двери для всех, кто хочет освоить перспективную

 Читать далее...

Гость номера  

Дмитрий Галов: «Нельзя сказать, что люди становятся доверчивее, скорее эволюционирует ландшафт киберугроз»

Использование мобильных устройств растет. А вместе с ними быстро растет количество мобильных

 Читать далее...

Прошу слова  

Твердая рука в бархатной перчатке: принципы soft skills

Лауреат Нобелевской премии, специалист по рынку труда, профессор Лондонской школы экономики Кристофер

 Читать далее...

Как хорошо вы это знаете  

Портал Инкоманд. Для чего он? Для кого? Какие проблемы решает?

Компания «ЕМДЕВ» – создатель интернет-портала, предлагает всем желающим протестировать себя на

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 10088
Комментарии: 0
Потоковая обработка данных

 Читать далее...

19.03.2018г.
Просмотров: 8296
Комментарии: 0
Релевантный поиск с использованием Elasticsearch и Solr

 Читать далее...

19.03.2018г.
Просмотров: 8389
Комментарии: 0
Конкурентное программирование на SCALA

 Читать далее...

19.03.2018г.
Просмотров: 5336
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6021
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

Друзья сайта  

 5 способов повысить безопасность электронной подписи

Архив номеров / 2024 / Выпуск №3 (256) / 5 способов повысить безопасность электронной подписи

Рубрика: Безопасность /  Электронный документооборот

 ВИЗИТКА 

Ксения Шаврова,
ведущий менеджер по сопровождению партнеров Компании «Актив»

 

5 способов
повысить безопасность электронной подписи

Область применения технологий электронной подписи с каждым годом расширяется. Все больше задач можно решить с помощью электронного документооборота. Естественно, вопрос защищенного хранения и использования ключей электронной подписи (ЭП) встает все более остро. Эксперт Компании «Актив» Ксения Шаврова рассмотрела пять способов, которые помогут обеспечить дополнительную безопасность ЭП, а также рассказала, почему токены и смарт-карты являются одними из самых надежных устройств для хранения ключей ЭП.

 

Термины, которые могут пригодиться для понимания статьи:


  • Ключи ЭП – ключи подписи и проверки подписи, которые составляют ключевую пару.
  • Ключ подписи – уникальная последовательность символов, предназначенная для создания ЭП. Его используют для формирования ЭП, поэтому его не следует разглашать. Если ключ подписи попал к злоумышленнику, то он сможет подписать любой документ от имени владельца ключа.
  • Ключ проверки подписи – уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП. Его значение помещается в сертификат ключа проверки ЭП, который потом используется при проверке подписи под документом.
  • Ключевой носитель – специальное устройство (токен, смарт-карта), которое в защищенной PIN-кодом памяти хранит ключи ЭП.
  • Активный ключевой носитель – вид ключевого носителя, в котором ключ ЭП хранится в памяти устройства в неизвлекаемом виде, т.е. без возможности копирования.
  • Квалифицированная электронная подпись (КЭП) – электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа ЭП и средства ЭП, сертифицированного ФСБ РФ. Информация в электронной форме, подписанная КЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью. КЭП регулируется законом № 63-ФЗ «Об электронной подписи» и рядом подзаконных актов.
  • Средство криптографической защиты информации (СКЗИ) – в данном случае программа для создания и проверки ЭП и шифрования данных.
  • PIN-код – набор символов, который разблокирует доступ к защищенной памяти ключевого носителя.
  • Рутокен SDK – комплект разработчика, в котором рассмотрено и описано большинство возможных сценариев встраивания устройств и программного обеспечения Рутокен.
  • Протокол SESPAKE – защищенный протокол, позволяющий провести аутентификацию без передачи в открытом виде PIN-кода пользователя, а также установить защищенный канал для обмена сообщениями между криптопровайдером и активным ключевым носителем.

Использование защищенных устройств для хранения ключей электронной подписи

Существуют различные варианты хранения ключей ЭП, например, флешка, жесткий диск компьютера или реестр. Но есть нюансы: флешку можно случайно отформатировать, операционную систему Windows переустановить и забыть, что в реестре хранились ключи ЭП.

Поэтому наиболее безопасным способом является хранение ключей ЭП на физических устройствах – токенах или смарт-картах, например, линейки Рутокен ЭЦП 3.0. Они имеют дополнительную защиту в виде PIN-кода и являются активными ключевыми носителями с возможностью генерации неизвлекаемых ключей на «борту». Так ключи ЭП будут максимально защищены.


Изменение PIN-кода пользователя и PIN-кода администратора

При получении токена или смарт-карты важно помнить, что на них установлены PIN-коды по умолчанию. Эти PIN-коды можно найти в открытом доступе в интернете. Напомним, что знание PIN-кода является одним из условий двухфакторной аутентификации (фактор знания), поэтому если он общеизвестен, смысла в таком факторе нет. Следовательно, при получении устройства необходимо поменять PIN-код на свой собственный.

В токенах и смарт-картах Рутокен предусмотрены дополнительные меры безопасности. К примеру, ограничение на количество попыток ввода PIN-кода. При превышении лимита токен блокируется до введения PIN-кода администратора. В случае, если количество попыток ввода PIN-кода администратора также будет превышено, токен будет заблокирован окончательно.


Надежное хранение ключевых носителей

Если токен или смарт-карта не используются, держите их в сейфе или другом недоступном месте. В случае, если вы храните устройство на рабочем столе, не пишите PIN-код на стикерах или на самом устройстве. Кроме того, важно соблюдать правила эксплуатации ключевых носителей, которые можно найти на сайте производителя. Давайте рассмотрим, какие ключи могут храниться на токене.


Извлекаемые и неизвлекаемые ключи ЭП

Ключи ЭП можно разделить на два типа: извлекаемые и неизвлекаемые.

Извлекаемые ключи генерируются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционной системе. Для работы с ними подойдет любая модель устройства Рутокен, которая выступает как защищенное PIN-кодом хранилище.

Почему такие ключи называются извлекаемыми? Потому что при работе с ними требуется извлечение закрытого ключа в оперативную память компьютера.

Извлекаемые ключи делятся на:

  • экспортируемые (разрешено копирование устройства на другие носители);
  • неэкспортируемые (запрещено копирование устройства на другие носители) – именно такие ключи выдаются в Удостоверяющем Центре ФНС России.

Криптографические (активные) ключевые носители генерируют ключи ЭП с помощью встроенных аппаратных криптографических механизмов. Все криптографические операции производятся внутри устройства, ключ ЭП никогда не извлекается из чипа и не копируется в операционную систему и на другие носители.

По формату неизвлекаемые ключи делятся на:

  • ключи по стандарту PKCS#11 (генерация ключей и работа с ними производится с помощью аппаратного СКЗИ внутри активного носителя Рутокен) – при использовании данного стандарта программы работают напрямую с аппаратными реализациями алгоритмов ЭП и шифрования внутри ключевых носителей;
  • ключи в формате ФКН (генерация ключей и работа с ними производится с помощью аппаратных возможностей устройства Рутокен и программных возможностей СКЗИ «КриптоПро CSP», и их взаимодействие дополнительно защищается использованием протокола SESPAKE).

Оба описанных типа неизвлекаемых ключей можно записать на ключевые носители в удостоверяющем центре ФНС России.


Выбор формата ключей

Выбор формата ключей ЭП зависит от задачи. К примеру, участникам рынка алкогольной продукции или разработчикам, которые хотят использовать Рутокен SDK, подойдут неизвлекаемые ключи по стандарту PKCS#11.

Помимо работы с ЕГАИС Алкогольтабакрегулирование, некоторые сервисы позволяют работать с неизвлекаемыми ключами по стандарту PKCS#11 без дополнительной установки криптопровайдера: личные кабинеты ИП и юридических лиц ФНС (Windows), Честный знак, OFD, Госуслуги и Диадок.

Неизвлекаемые ключи формата ФКН можно применять в ситуациях, когда необходимо использовать максимально защищенный вариант работы. Помимо использования неизвлекаемых ключей, канал между криптопровайдером и токеном зашифрован, и PIN-код не передается в открытом виде.

Для этого подойдут устройства из линейки Рутокен ЭЦП 3.0. Это активный токен, который генерирует неизвлекаемые ключи (как ФКН, так и по стандарту PKCS#11) и работает с ними, а формирование ЭП происходит с использованием встроенных аппаратных криптографических механизмов.

Извлекаемые ключи – это самый простой, но наименее защищенный формат ключей. Вне зависимости от того, экспортируемые ключи сгенерированы на токен или неэкспортируемые, при работе они ненадолго извлекаются в оперативную память компьютера, где могут быть перехвачены вредоносной программой.

Если же принято решение использовать извлекаемые ключи, важно убедиться, что они являются неэкспортируемыми. Так можно обезопасить себя от несанкционированного копирования ключей ЭП с токена третьими лицами.


Расширенные политики PIN-кодов

Раньше панель управления Рутокен (программа для работы с токенами и смарт-картами) устанавливала политики безопасности PIN-кодов непосредственно на рабочее место. И если токен в дальнейшем переносили на другой компьютер, все политики безопасности исчезали.

С появлением устройств линейки Рутокен ЭЦП 3.0 появилась возможность настроить внутри токена расширенные аппаратные политики безопасности PIN-кодов, которые не привязаны к рабочему месту. Такие политики безопасности контролируются микропрограммой токена при выполнении соответствующих операций. Вот примеры политик безопасности, которые можно установить:

  • запрет на использование PIN-кода по умолчанию;
  • включение в PIN-код хотя бы одной буквы, цифры или специального символа;
  • отказ от применения одного повторяющегося символа в PIN-коде;
  • запрет на последующие изменения политик PIN-кода.

Некоторое время назад расширенные политики PIN-кодов устанавливались только с помощью консольной утилиты rtAdmin. Но теперь прошить аппаратные политики PIN-кодов стало возможно с помощью нового продукта Компании «Актив» – Центра управления Рутокен.

Приложение поддерживает работу с устройствами из линеек Рутокен ЭЦП 3.0, ЭЦП 2.0 и Рутокен Lite.

На данный момент обеспечена совместимость первой версии продукта с операционными системами Linux, в том числе отечественными Astra Linux, РЕД ОС, ОС Альт и ОС РОСА.

С помощью Центра управления Рутокен можно просматривать и управлять содержимым устройства, выполнять функции администрирования и, что важно, устанавливать аппаратные политики качества PIN-кодов для линейки Рутокен ЭЦП 3.0. В ближайших планах Компании «Актив» выпустить версию Центра управления Рутокен, поддерживающую работу в операционных системах Windows и macOS.

Ключевые слова: Рутокен, СКЗИ, PIN-код, квалифицированная электронная подпись, активный ключевой носитель, ключи ЭП


Подпишитесь на журнал

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru