5 способов повысить безопасность электронной подписи::Журнал СА
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

Принципы проектирования  

Dependency Inversion Principle. Принцип инверсии зависимостей в разработке

Мы подошли к последнему принципу проектирования приложений из серии SOLID – Dependency

 Читать далее...

Рынок труда  

Вакансия: Администратор 1С

Администратор 1С – это специалист, который необходим любой организации, где установлены программы

 Читать далее...

Книжная полка  

Книги для профессионалов, студентов и пользователей

Книги издательства «БХВ» вышли книги для тех, кто хочет овладеть самыми востребованными

 Читать далее...

Принципы проектирования  

Interface Segregation Principle. Принцип разделения интерфейсов в проектировании приложений

Эта статья из серии «SOLID» посвящена четвертому принципу проектирования приложений – Interface

 Читать далее...

Книжная полка  

Секрет успешных людей

Книги издательства «БХВ» по ИТ рассчитаны на разные категории читателей: от новичков

 Читать далее...

Учебные центры  

Карьерные мечты нужно воплощать! А мы поможем

Школа Bell Integrator открывает свои двери для всех, кто хочет освоить перспективную

 Читать далее...

Гость номера  

Дмитрий Галов: «Нельзя сказать, что люди становятся доверчивее, скорее эволюционирует ландшафт киберугроз»

Использование мобильных устройств растет. А вместе с ними быстро растет количество мобильных

 Читать далее...

Прошу слова  

Твердая рука в бархатной перчатке: принципы soft skills

Лауреат Нобелевской премии, специалист по рынку труда, профессор Лондонской школы экономики Кристофер

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 11234
Комментарии: 0
Потоковая обработка данных

 Читать далее...

19.03.2018г.
Просмотров: 9482
Комментарии: 0
Релевантный поиск с использованием Elasticsearch и Solr

 Читать далее...

19.03.2018г.
Просмотров: 9536
Комментарии: 0
Конкурентное программирование на SCALA

 Читать далее...

19.03.2018г.
Просмотров: 5967
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6673
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 3969
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2897
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3701
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3706
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6195
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3049
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3352
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7166
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10542
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12260
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13895
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9029
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 6991
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5299
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4524
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3338
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

Друзья сайта  

 5 способов повысить безопасность электронной подписи

Архив номеров / 2024 / Выпуск №3 (256) / 5 способов повысить безопасность электронной подписи

Рубрика: Безопасность /  Электронный документооборот

 ВИЗИТКА 

Ксения Шаврова,
ведущий менеджер по сопровождению партнеров Компании «Актив»

 

5 способов
повысить безопасность электронной подписи

Область применения технологий электронной подписи с каждым годом расширяется. Все больше задач можно решить с помощью электронного документооборота. Естественно, вопрос защищенного хранения и использования ключей электронной подписи (ЭП) встает все более остро. Эксперт Компании «Актив» Ксения Шаврова рассмотрела пять способов, которые помогут обеспечить дополнительную безопасность ЭП, а также рассказала, почему токены и смарт-карты являются одними из самых надежных устройств для хранения ключей ЭП.

 

Термины, которые могут пригодиться для понимания статьи:


  • Ключи ЭП – ключи подписи и проверки подписи, которые составляют ключевую пару.
  • Ключ подписи – уникальная последовательность символов, предназначенная для создания ЭП. Его используют для формирования ЭП, поэтому его не следует разглашать. Если ключ подписи попал к злоумышленнику, то он сможет подписать любой документ от имени владельца ключа.
  • Ключ проверки подписи – уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП. Его значение помещается в сертификат ключа проверки ЭП, который потом используется при проверке подписи под документом.
  • Ключевой носитель – специальное устройство (токен, смарт-карта), которое в защищенной PIN-кодом памяти хранит ключи ЭП.
  • Активный ключевой носитель – вид ключевого носителя, в котором ключ ЭП хранится в памяти устройства в неизвлекаемом виде, т.е. без возможности копирования.
  • Квалифицированная электронная подпись (КЭП) – электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа ЭП и средства ЭП, сертифицированного ФСБ РФ. Информация в электронной форме, подписанная КЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью. КЭП регулируется законом № 63-ФЗ «Об электронной подписи» и рядом подзаконных актов.
  • Средство криптографической защиты информации (СКЗИ) – в данном случае программа для создания и проверки ЭП и шифрования данных.
  • PIN-код – набор символов, который разблокирует доступ к защищенной памяти ключевого носителя.
  • Рутокен SDK – комплект разработчика, в котором рассмотрено и описано большинство возможных сценариев встраивания устройств и программного обеспечения Рутокен.
  • Протокол SESPAKE – защищенный протокол, позволяющий провести аутентификацию без передачи в открытом виде PIN-кода пользователя, а также установить защищенный канал для обмена сообщениями между криптопровайдером и активным ключевым носителем.

Использование защищенных устройств для хранения ключей электронной подписи

Существуют различные варианты хранения ключей ЭП, например, флешка, жесткий диск компьютера или реестр. Но есть нюансы: флешку можно случайно отформатировать, операционную систему Windows переустановить и забыть, что в реестре хранились ключи ЭП.

Поэтому наиболее безопасным способом является хранение ключей ЭП на физических устройствах – токенах или смарт-картах, например, линейки Рутокен ЭЦП 3.0. Они имеют дополнительную защиту в виде PIN-кода и являются активными ключевыми носителями с возможностью генерации неизвлекаемых ключей на «борту». Так ключи ЭП будут максимально защищены.


Изменение PIN-кода пользователя и PIN-кода администратора

При получении токена или смарт-карты важно помнить, что на них установлены PIN-коды по умолчанию. Эти PIN-коды можно найти в открытом доступе в интернете. Напомним, что знание PIN-кода является одним из условий двухфакторной аутентификации (фактор знания), поэтому если он общеизвестен, смысла в таком факторе нет. Следовательно, при получении устройства необходимо поменять PIN-код на свой собственный.

В токенах и смарт-картах Рутокен предусмотрены дополнительные меры безопасности. К примеру, ограничение на количество попыток ввода PIN-кода. При превышении лимита токен блокируется до введения PIN-кода администратора. В случае, если количество попыток ввода PIN-кода администратора также будет превышено, токен будет заблокирован окончательно.


Надежное хранение ключевых носителей

Если токен или смарт-карта не используются, держите их в сейфе или другом недоступном месте. В случае, если вы храните устройство на рабочем столе, не пишите PIN-код на стикерах или на самом устройстве. Кроме того, важно соблюдать правила эксплуатации ключевых носителей, которые можно найти на сайте производителя. Давайте рассмотрим, какие ключи могут храниться на токене.


Извлекаемые и неизвлекаемые ключи ЭП

Ключи ЭП можно разделить на два типа: извлекаемые и неизвлекаемые.

Извлекаемые ключи генерируются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционной системе. Для работы с ними подойдет любая модель устройства Рутокен, которая выступает как защищенное PIN-кодом хранилище.

Почему такие ключи называются извлекаемыми? Потому что при работе с ними требуется извлечение закрытого ключа в оперативную память компьютера.

Извлекаемые ключи делятся на:

  • экспортируемые (разрешено копирование устройства на другие носители);
  • неэкспортируемые (запрещено копирование устройства на другие носители) – именно такие ключи выдаются в Удостоверяющем Центре ФНС России.

Криптографические (активные) ключевые носители генерируют ключи ЭП с помощью встроенных аппаратных криптографических механизмов. Все криптографические операции производятся внутри устройства, ключ ЭП никогда не извлекается из чипа и не копируется в операционную систему и на другие носители.

По формату неизвлекаемые ключи делятся на:

  • ключи по стандарту PKCS#11 (генерация ключей и работа с ними производится с помощью аппаратного СКЗИ внутри активного носителя Рутокен) – при использовании данного стандарта программы работают напрямую с аппаратными реализациями алгоритмов ЭП и шифрования внутри ключевых носителей;
  • ключи в формате ФКН (генерация ключей и работа с ними производится с помощью аппаратных возможностей устройства Рутокен и программных возможностей СКЗИ «КриптоПро CSP», и их взаимодействие дополнительно защищается использованием протокола SESPAKE).

Оба описанных типа неизвлекаемых ключей можно записать на ключевые носители в удостоверяющем центре ФНС России.


Выбор формата ключей

Выбор формата ключей ЭП зависит от задачи. К примеру, участникам рынка алкогольной продукции или разработчикам, которые хотят использовать Рутокен SDK, подойдут неизвлекаемые ключи по стандарту PKCS#11.

Помимо работы с ЕГАИС Алкогольтабакрегулирование, некоторые сервисы позволяют работать с неизвлекаемыми ключами по стандарту PKCS#11 без дополнительной установки криптопровайдера: личные кабинеты ИП и юридических лиц ФНС (Windows), Честный знак, OFD, Госуслуги и Диадок.

Неизвлекаемые ключи формата ФКН можно применять в ситуациях, когда необходимо использовать максимально защищенный вариант работы. Помимо использования неизвлекаемых ключей, канал между криптопровайдером и токеном зашифрован, и PIN-код не передается в открытом виде.

Для этого подойдут устройства из линейки Рутокен ЭЦП 3.0. Это активный токен, который генерирует неизвлекаемые ключи (как ФКН, так и по стандарту PKCS#11) и работает с ними, а формирование ЭП происходит с использованием встроенных аппаратных криптографических механизмов.

Извлекаемые ключи – это самый простой, но наименее защищенный формат ключей. Вне зависимости от того, экспортируемые ключи сгенерированы на токен или неэкспортируемые, при работе они ненадолго извлекаются в оперативную память компьютера, где могут быть перехвачены вредоносной программой.

Если же принято решение использовать извлекаемые ключи, важно убедиться, что они являются неэкспортируемыми. Так можно обезопасить себя от несанкционированного копирования ключей ЭП с токена третьими лицами.


Расширенные политики PIN-кодов

Раньше панель управления Рутокен (программа для работы с токенами и смарт-картами) устанавливала политики безопасности PIN-кодов непосредственно на рабочее место. И если токен в дальнейшем переносили на другой компьютер, все политики безопасности исчезали.

С появлением устройств линейки Рутокен ЭЦП 3.0 появилась возможность настроить внутри токена расширенные аппаратные политики безопасности PIN-кодов, которые не привязаны к рабочему месту. Такие политики безопасности контролируются микропрограммой токена при выполнении соответствующих операций. Вот примеры политик безопасности, которые можно установить:

  • запрет на использование PIN-кода по умолчанию;
  • включение в PIN-код хотя бы одной буквы, цифры или специального символа;
  • отказ от применения одного повторяющегося символа в PIN-коде;
  • запрет на последующие изменения политик PIN-кода.

Некоторое время назад расширенные политики PIN-кодов устанавливались только с помощью консольной утилиты rtAdmin. Но теперь прошить аппаратные политики PIN-кодов стало возможно с помощью нового продукта Компании «Актив» – Центра управления Рутокен.

Приложение поддерживает работу с устройствами из линеек Рутокен ЭЦП 3.0, ЭЦП 2.0 и Рутокен Lite.

На данный момент обеспечена совместимость первой версии продукта с операционными системами Linux, в том числе отечественными Astra Linux, РЕД ОС, ОС Альт и ОС РОСА.

С помощью Центра управления Рутокен можно просматривать и управлять содержимым устройства, выполнять функции администрирования и, что важно, устанавливать аппаратные политики качества PIN-кодов для линейки Рутокен ЭЦП 3.0. В ближайших планах Компании «Актив» выпустить версию Центра управления Рутокен, поддерживающую работу в операционных системах Windows и macOS.

Ключевые слова: Рутокен, СКЗИ, PIN-код, квалифицированная электронная подпись, активный ключевой носитель, ключи ЭП


Подпишитесь на журнал

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru