5 способов повысить безопасность электронной подписи::Журнал СА
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6482
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7176
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4453
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3101
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3896
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3914
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6403
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3250
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3548
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7386
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10741
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12463
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14135
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9213
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7153
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5461
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4694
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3511
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3219
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3459
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3105
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 5 способов повысить безопасность электронной подписи

Архив номеров / 2024 / Выпуск №3 (256) / 5 способов повысить безопасность электронной подписи

Рубрика: Безопасность /  Электронный документооборот

 ВИЗИТКА 

Ксения Шаврова,
ведущий менеджер по сопровождению партнеров Компании «Актив»

 

5 способов
повысить безопасность электронной подписи

Область применения технологий электронной подписи с каждым годом расширяется. Все больше задач можно решить с помощью электронного документооборота. Естественно, вопрос защищенного хранения и использования ключей электронной подписи (ЭП) встает все более остро. Эксперт Компании «Актив» Ксения Шаврова рассмотрела пять способов, которые помогут обеспечить дополнительную безопасность ЭП, а также рассказала, почему токены и смарт-карты являются одними из самых надежных устройств для хранения ключей ЭП.

 

Термины, которые могут пригодиться для понимания статьи:


  • Ключи ЭП – ключи подписи и проверки подписи, которые составляют ключевую пару.
  • Ключ подписи – уникальная последовательность символов, предназначенная для создания ЭП. Его используют для формирования ЭП, поэтому его не следует разглашать. Если ключ подписи попал к злоумышленнику, то он сможет подписать любой документ от имени владельца ключа.
  • Ключ проверки подписи – уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП. Его значение помещается в сертификат ключа проверки ЭП, который потом используется при проверке подписи под документом.
  • Ключевой носитель – специальное устройство (токен, смарт-карта), которое в защищенной PIN-кодом памяти хранит ключи ЭП.
  • Активный ключевой носитель – вид ключевого носителя, в котором ключ ЭП хранится в памяти устройства в неизвлекаемом виде, т.е. без возможности копирования.
  • Квалифицированная электронная подпись (КЭП) – электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа ЭП и средства ЭП, сертифицированного ФСБ РФ. Информация в электронной форме, подписанная КЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью. КЭП регулируется законом № 63-ФЗ «Об электронной подписи» и рядом подзаконных актов.
  • Средство криптографической защиты информации (СКЗИ) – в данном случае программа для создания и проверки ЭП и шифрования данных.
  • PIN-код – набор символов, который разблокирует доступ к защищенной памяти ключевого носителя.
  • Рутокен SDK – комплект разработчика, в котором рассмотрено и описано большинство возможных сценариев встраивания устройств и программного обеспечения Рутокен.
  • Протокол SESPAKE – защищенный протокол, позволяющий провести аутентификацию без передачи в открытом виде PIN-кода пользователя, а также установить защищенный канал для обмена сообщениями между криптопровайдером и активным ключевым носителем.

Использование защищенных устройств для хранения ключей электронной подписи

Существуют различные варианты хранения ключей ЭП, например, флешка, жесткий диск компьютера или реестр. Но есть нюансы: флешку можно случайно отформатировать, операционную систему Windows переустановить и забыть, что в реестре хранились ключи ЭП.

Поэтому наиболее безопасным способом является хранение ключей ЭП на физических устройствах – токенах или смарт-картах, например, линейки Рутокен ЭЦП 3.0. Они имеют дополнительную защиту в виде PIN-кода и являются активными ключевыми носителями с возможностью генерации неизвлекаемых ключей на «борту». Так ключи ЭП будут максимально защищены.


Изменение PIN-кода пользователя и PIN-кода администратора

При получении токена или смарт-карты важно помнить, что на них установлены PIN-коды по умолчанию. Эти PIN-коды можно найти в открытом доступе в интернете. Напомним, что знание PIN-кода является одним из условий двухфакторной аутентификации (фактор знания), поэтому если он общеизвестен, смысла в таком факторе нет. Следовательно, при получении устройства необходимо поменять PIN-код на свой собственный.

В токенах и смарт-картах Рутокен предусмотрены дополнительные меры безопасности. К примеру, ограничение на количество попыток ввода PIN-кода. При превышении лимита токен блокируется до введения PIN-кода администратора. В случае, если количество попыток ввода PIN-кода администратора также будет превышено, токен будет заблокирован окончательно.


Надежное хранение ключевых носителей

Если токен или смарт-карта не используются, держите их в сейфе или другом недоступном месте. В случае, если вы храните устройство на рабочем столе, не пишите PIN-код на стикерах или на самом устройстве. Кроме того, важно соблюдать правила эксплуатации ключевых носителей, которые можно найти на сайте производителя. Давайте рассмотрим, какие ключи могут храниться на токене.


Извлекаемые и неизвлекаемые ключи ЭП

Ключи ЭП можно разделить на два типа: извлекаемые и неизвлекаемые.

Извлекаемые ключи генерируются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционной системе. Для работы с ними подойдет любая модель устройства Рутокен, которая выступает как защищенное PIN-кодом хранилище.

Почему такие ключи называются извлекаемыми? Потому что при работе с ними требуется извлечение закрытого ключа в оперативную память компьютера.

Извлекаемые ключи делятся на:

  • экспортируемые (разрешено копирование устройства на другие носители);
  • неэкспортируемые (запрещено копирование устройства на другие носители) – именно такие ключи выдаются в Удостоверяющем Центре ФНС России.

Криптографические (активные) ключевые носители генерируют ключи ЭП с помощью встроенных аппаратных криптографических механизмов. Все криптографические операции производятся внутри устройства, ключ ЭП никогда не извлекается из чипа и не копируется в операционную систему и на другие носители.

По формату неизвлекаемые ключи делятся на:

  • ключи по стандарту PKCS#11 (генерация ключей и работа с ними производится с помощью аппаратного СКЗИ внутри активного носителя Рутокен) – при использовании данного стандарта программы работают напрямую с аппаратными реализациями алгоритмов ЭП и шифрования внутри ключевых носителей;
  • ключи в формате ФКН (генерация ключей и работа с ними производится с помощью аппаратных возможностей устройства Рутокен и программных возможностей СКЗИ «КриптоПро CSP», и их взаимодействие дополнительно защищается использованием протокола SESPAKE).

Оба описанных типа неизвлекаемых ключей можно записать на ключевые носители в удостоверяющем центре ФНС России.


Выбор формата ключей

Выбор формата ключей ЭП зависит от задачи. К примеру, участникам рынка алкогольной продукции или разработчикам, которые хотят использовать Рутокен SDK, подойдут неизвлекаемые ключи по стандарту PKCS#11.

Помимо работы с ЕГАИС Алкогольтабакрегулирование, некоторые сервисы позволяют работать с неизвлекаемыми ключами по стандарту PKCS#11 без дополнительной установки криптопровайдера: личные кабинеты ИП и юридических лиц ФНС (Windows), Честный знак, OFD, Госуслуги и Диадок.

Неизвлекаемые ключи формата ФКН можно применять в ситуациях, когда необходимо использовать максимально защищенный вариант работы. Помимо использования неизвлекаемых ключей, канал между криптопровайдером и токеном зашифрован, и PIN-код не передается в открытом виде.

Для этого подойдут устройства из линейки Рутокен ЭЦП 3.0. Это активный токен, который генерирует неизвлекаемые ключи (как ФКН, так и по стандарту PKCS#11) и работает с ними, а формирование ЭП происходит с использованием встроенных аппаратных криптографических механизмов.

Извлекаемые ключи – это самый простой, но наименее защищенный формат ключей. Вне зависимости от того, экспортируемые ключи сгенерированы на токен или неэкспортируемые, при работе они ненадолго извлекаются в оперативную память компьютера, где могут быть перехвачены вредоносной программой.

Если же принято решение использовать извлекаемые ключи, важно убедиться, что они являются неэкспортируемыми. Так можно обезопасить себя от несанкционированного копирования ключей ЭП с токена третьими лицами.


Расширенные политики PIN-кодов

Раньше панель управления Рутокен (программа для работы с токенами и смарт-картами) устанавливала политики безопасности PIN-кодов непосредственно на рабочее место. И если токен в дальнейшем переносили на другой компьютер, все политики безопасности исчезали.

С появлением устройств линейки Рутокен ЭЦП 3.0 появилась возможность настроить внутри токена расширенные аппаратные политики безопасности PIN-кодов, которые не привязаны к рабочему месту. Такие политики безопасности контролируются микропрограммой токена при выполнении соответствующих операций. Вот примеры политик безопасности, которые можно установить:

  • запрет на использование PIN-кода по умолчанию;
  • включение в PIN-код хотя бы одной буквы, цифры или специального символа;
  • отказ от применения одного повторяющегося символа в PIN-коде;
  • запрет на последующие изменения политик PIN-кода.

Некоторое время назад расширенные политики PIN-кодов устанавливались только с помощью консольной утилиты rtAdmin. Но теперь прошить аппаратные политики PIN-кодов стало возможно с помощью нового продукта Компании «Актив» – Центра управления Рутокен.

Приложение поддерживает работу с устройствами из линеек Рутокен ЭЦП 3.0, ЭЦП 2.0 и Рутокен Lite.

На данный момент обеспечена совместимость первой версии продукта с операционными системами Linux, в том числе отечественными Astra Linux, РЕД ОС, ОС Альт и ОС РОСА.

С помощью Центра управления Рутокен можно просматривать и управлять содержимым устройства, выполнять функции администрирования и, что важно, устанавливать аппаратные политики качества PIN-кодов для линейки Рутокен ЭЦП 3.0. В ближайших планах Компании «Актив» выпустить версию Центра управления Рутокен, поддерживающую работу в операционных системах Windows и macOS.

Ключевые слова: Рутокен, СКЗИ, PIN-код, квалифицированная электронная подпись, активный ключевой носитель, ключи ЭП


Подпишитесь на журнал

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru