Электронная подпись на мобильных устройствах и облачные решения: секреты должны оставаться секретами

На PKI-форуме 2020 Владимир Иванов, директор по развитию компании «Актив», представил решение для электронной подписи на мобильных устройствах — смарт-карту Рутокен ЭЦП 3.0 NFC. По его словам, мобильное приложение, мобильное устройство, токены и SIM-карты в качестве носителей имеют слишком много недостатков.

Электронная подпись на мобильных устройствах и облачные решения: секреты должны оставаться секретами

Владимир Иванов: Мы сегодня представляем наше новое устройство — это дуальная смарт-карта Рутокен ЭЦП 3.0 с интерфейсом NFC.

Владимир Иванов в своем выступлении на тему «Электронная подпись на мобильных устройствах и облачные решения: секреты должны оставаться секретами» отметил, что сейчас стоит задача отделить ключи подписи от устройства, но при этом не прибегать к контактным интерфейсам, сделать это по разумной цене и при этом с хорошей криптографией. И решением является их новое устройство — дуальная смарт-карта Рутокен ЭЦП 3.0 с интерфейсом NFC.

«Мы сегодня представляем наше новое устройство — это дуальная смарт-карта Рутокен ЭЦП 3.0 с интерфейсом NFC. Что такое дуальная карта? У нее два интерфейса: есть контактный интерфейс как у обычной смарт-карты, и есть интерфейс NFC — это бесконтактный интерфейс, который задействуется на современных смартфонах, и который можно подключить как считыватель к выделенному компьютеру. И у нас получается, что неизвлекаемые ключи подписи лежат на смарт-карте. Мы можем подписывать на этой карте данные и от приложений, и от браузера, и на мобильном приложении — фактически, где угодно. И плюс к тому, если мы работаем в облачной среде, мы эту смарт-карту можем использовать для аутентификации пользователя на облачном сервисе. Таким образом, ключи подписи продолжают лежать в облачном сервисе, а доступ к ним осуществляется по защищенным протоколам, с хорошей мощной аутентификацией на аппараты криптографии», — пояснил Владимир Иванов.

Чем это хорошо? По словам директора по развитию компании «Актив», NFC-карта не требует как такового отдельного источника питания, она питается от интерфейса (беспроводного или контактного). А также она может использоваться практически на любой мобильной платформе. К тому же в систему облачной подписи можно добавить возможность аутентификации пользователя по карте через мобильное устройство, либо через контактный или бесконтактный интерфейс на компьютере. «Мы в итоге можем одну карту использовать и для локальной подписи, и для мобильной подписи, и для дистанционной подписи», — рассказал Владимир Иванов.

Но все же, чем плохи другие носители электронной и облачной подписи? Давайте разбираться.

Мобильная подпись непосредственно в мобильном приложении

По словам Владимира Иванова, мобильная подпись в мобильном приложении — это фактически программное СКЗИ, которое работает на не доверенном устройстве. И тут возникает много вопросов к защите генератора случайных чисел, который используется в процессе подписи, и вообще к безопасности самих ключей, которые хранятся не в доверенном хранилище, а непосредственно на устройстве в файловой системе или где-то еще, поскольку мобильные устройства не поддерживают по умолчанию российскую криптографию и хранение криптографических ключей.

«При этом пользоваться такой подписью можно только в мобильном приложении, больше нигде. То есть прислав туда в приложение абстрактный документ, подписать его — получается не очень хорошая история, непонятно как это делать. Получается, у нас решение по ЭП несколько функционально ограниченное. Плюс к тому доступ к ключам подписи у нас производится фактически средствами мобильной платформы. Это означает, в большинстве случаев, что аутентификация у нас сидит на четырех символьном пин-коде. Потому что и Face ID, и пальчики при неудачных попытках в большинстве случаев предлагают ввести 4-х значный пин-код, который выясняется каким-то образом очевидно», — рассказал Владимир Иванов.

К тому же он задался вопросом: раз это СКЗИ, и при этом сертифицированное для распространение через, например, AppStore, то есть ли лицензия на распространение СКЗИ у Apple и Google? Скорее всего нет.

Еще один из минусов использования мобильного приложения в качестве носителя электронной подписи — при удалении такого приложения, пользователь лишается тех ключей, которые там были сгенерированы, которые используются. А это означает, что ему придется заново проходить процедуру аутентификации и процедуру получения сертификата. Опять же все это не бесплатно.

SIM-карты

Также плохи в качестве носителей ЭП и SIM-карты. Во-первых, потому что нужно тогда производить специальные SIM-карты, а это стоит денег. Во-вторых, потому что возникает проблема с идентификацией пользователей: мобильный оператор должен идентифицировать своего клиента, когда он выдает ему сим-карту, при этом при выпуске электронного сертификата клиент также должен пройти идентификацию в удостоверяющем центре. «По идее в данной ситуации мобильный оператор становится удостоверяющим центром. Но в следствии изменения в законодательстве, например, руководитель предприятия не может пользоваться такой подписью, потому что он должен получать квалифицированный сертификат в одном их трех государственных удостоверяющих центров. Ни один из которых не является мобильным оператором. Пока», — пояснил Владимир Иванов.

Также существует проблема с коммуникацией, потому что мобильная платформа устроена таким образом, что доступ к криптографии на сим-карте возможен исключительно из сим-приложения и эти функции криптографические недоступны из операционной системы.

«То есть фактически мы очень сильно ограничены функциональностью этого приложения. Мы не можем отобразить подписываемый документ. Соответственно мы не можем установить соответствие самого документы и того, что мы подписываем. Плюс к тому коммуникация с этим приложением возможна только через смс. А через смс много информации не пошлешь и pdf-файл по смс не передашь. Соответственно, мы получаем сильное сокращение функциональности такого решения», — поделился спикер.

«И мое личное мнение, что опираться на технологию позавчерашнего дня, которой является SIM-карта, не очень хорошая идея», — добавил он.

Токены

Еще один из вариантов носителей ЭП — токены, контактные или бесконтактные. «С контактными устройствами история такая, что у нас существует масса интерфейсов аппаратных — micro-USB, Type-C и другие — и, соответственно, сделать такое аппаратное решение за разумные деньги не представляется возможным. А решение, которое основано на бесконтактном интерфейсе Bluetooth, во-первых, требует процедуры сопряжения между устройствами, и, во-вторых, не очень хорошо ведет себя в условиях радиопомех. И тоже эксплуатация его возможна только с приложением на мобильном устройстве», — сказал Владимир Иванов.

Однако тут он отметил большой плюс токенов — устройство можно переносить куда угодно. «Переносимость ключа подписи на сегодняшний день — это будет достаточно интересная задача в плане технических решений, потому что по новому законодательству руководитель предприятия может иметь всего один сертификат квалифицированной подписи. Соответственно, нельзя сделать так, чтобы на телефоне был один сертификат, на компьютере другой и так далее. Плюс к тому, есть сложившиеся бизнес-практики, которые на самом деле порождают юридические казусы, когда руководитель передает ключ своей подписи своим сотрудникам. При этом руководители сейчас выпускают и пять, и десять ЭП, что будет невозможно, если мы замкнемся на ту подпись, которая будет на телефоне. То есть свой телефон он никому не отдаст», — пояснил спикер.

Облачная подпись

В облачной подписи для аутентификации используются мобильные устройства. Условия использования примерно такие же как при ЭП: либо приложение, либо SIM-карта с криптографией.

«Для аутентификации там конечно все гораздо проще получается и лучше. И при всех несомненных плюсах облачных решений мы все равно получаем ключ аутентификации, привязанный к мобильному устройству. То есть они хранятся либо на устройстве, либо на SIM-карте. При этом ключи подписи и ключи аутентификации лежат у облачного провайдера в HSM и работают с теми приложениями, которые предоставляет данный провайдер. И в случае мобильной облачной подписи очень много работы предстоит по интеграции», — рассказал Владимир Иванов.