w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Алексей Сабанов, Заместитель генерального директора ЗАО «Аладдин Р.Д.» 06 февраля 2013г. Роль идентификации и аутентификации при построении единого пространства доверия для юридически-значимого электронного документооборота

w w w. a l a d d i n – r d. r u Компоненты электронного правительства Информирование граждан и бизнеса Юридически-значимый электронный документооборот Электронные услуги организациям и населению G2B, G2C Электронная коммерция B2G, B2B, B2C –Госторги –Ведомственные электронные площадки –Интернет-торговля Межведомственное взаимодействие Трансграничные операции, в том числе B2B, B2G 2

w w w. a l a d d i n – r d. r u Условная схема оказания госуслуг 3 Запрос без правовых последствий ответ Запрос с правовыми последствиями Для подписи ответов с правовыми последствиями должны использоваться устройства класса SSCD (Secure Signature Creation Device)

w w w. a l a d d i n – r d. r u Юридическая значимость 4 Бланк и оформление документа Реквизиты ведомства г.Москва16-00 ДиректорИванов И.И. Правовой статус МестоВремя Полномочие ЭЦП Правомочие Нотариальное заверение Апостиль Квитанция об оплате 789 УПЛАЧЕНО пошлина 1 руб. Постановление Правительства от для бумажных документов в ФОИВ

w w w. a l a d d i n – r d. r u Взгляд юриста: минимальный набор реквизитов 5

w w w. a l a d d i n – r d. r u Инфраструктура и доверенные средства генерации, применения и проверки усиленной квалифицированной подписи (УКП); Развитая системы проставления меток доверенного времени, синхронизированного в каждом аккредитованном удостоверяющем центре с временем корневого УЦ; Поддерживаемая в актуальном состоянии с заданным интервалом времени (в часах) система реестров полномочий и правомочий владельцев УКП; Доверенные сервисы идентификации и аутентификации, строго регламентированные для каждого аккредитованного УЦ с регулярным внешним контролем порядка и правил выполнения основных процедур. Юридическая сила эл.документа 6

w w w. a l a d d i n – r d. r u Технические проблемы хранилища 7

w w w. a l a d d i n – r d. r u Устаревает сертификат Х.509 (обычно 1 год); Заканчивается срок действия электронной подписи (1год 3 месяца, сейчас – максимум 3 года) Меняются криптографические алгоритмы (обычно лет, ГОСТ – до дек.2012) Меняется формат представления электронных документов (Lexicon – Word, PDF,…) Проблемы архивного хранения электронных документов, обладающих юридической силой 8

w w w. a l a d d i n – r d. r u Проблема истечения срока действия ЭП Решение задачи «в лоб»: RFC3029. При попадании электронного документа (ЭД) в архив выпускается квитанция (несколько Кб: док.база, статус проверки, время) о проверке подписи При попадании ЭД в архив электронная подпись снимается. Этот факт фиксируется, хранятся хеши документов. Гарантии. Доверенное хранилище. Применение специального вида подписи advanced (подпись с квитанцией): при попадании ЭД в архив вырабатывается TimeStamp + подпись уполномоченного лица 9

w w w. a l a d d i n – r d. r u Что дают атрибутные сертификаты Разграничение ролевого доступа к документу. Пример (Юнизета): хранилище данных юр.лица. На предъявленный сертификат выпускается атрибутный сертификат доступа к документам архива на конкретный срок. Изготовление выписок из документа. Обеспечивается криптографическая связь с данными документа (обеспечение целостности), срок действия, возможность отзыва,…. 10

w w w. a l a d d i n – r d. r u Нормативная база РФ, касающаяся темы ЕПД ФЗ от г. 1-ФЗ «Об ЭЦП» ФЗ ФЗ от г. 63-ФЗ «Об электронной подписи» ФЗ от г. 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» ПП РФ от г. N977 о создании ЕСИА ПП РФ от г. N111 об ЭП для ФОИВ и МОИВ ПП РФ от г. N634 об ЭП для получ. гос. услуг ПП РФ от г. N852 об утв. правил исп. квалиф.ЭП Решение Правительства от г. О видах ЭП для ФОИВ Приказ ФСБ 795 и 796 от г. Приказы Минкомсвязи 250 от , 107 и 108 от Приказ ФНС от г. ММ-3-6/665 ГОСТ Р ИСО/МЭК 15408, Р , Р ,

w w w. a l a d d i n – r d. r u Приказ ФНС РФ от ММ-3-6/665: «Единое пространство доверия – структура, определяющая организационные границы, в пределах которых находятся только заслуживающие доверия удостоверяющие центры, а сертификаты ключей подписей, изготовленные ими, признаются всеми участниками информационного взаимодействия в границах структуры и на равных условиях». ГОСТ Р ИСО/МЭК 15408: «Доверие – основа для уверенности в том, что продукт или система ИТ отвечают целям безопасности». Что такое Единое пространство доверия 12

w w w. a l a d d i n – r d. r u Определение Единое пространство доверия - совокупность взаимосвязанных доверенных сервисов, развернутых на базе инфраструктуры открытых ключей 13

w w w. a l a d d i n – r d. r u Под доверенными сервисами будем понимать электронные сервисы, участвующие в создании, валидации, обработке, хранении электронных подписей, электронных печатей, меток доверенного времени, электронных документов, средств доставки и заверения электронных сообщений, разграничения и управления доступом, аутентификации, в том числе на на Web-сайтах, электронных сертификатов (в том числе атрибутных), актуальных реестров (ролей участников электронного взаимодействия, уполномоченных лиц и др.), сервисы регистрации, документирования и т.д. Доверенные сервисы 14

w w w. a l a d d i n – r d. r u Нормативная база по аутентификации Declaration on Authentication for Electronic Commerce 7-9 October 1998 CWA Guide of use of Electronic Signature. Jan.2003 OMB Memorandum M E-Authentication Guidance for Federal Agencies December 16, 2003 & OMB Circular A Homeland Security Presidential Directive 12 (HSPD-12) Policy for a Common Identification Standard for Federal Employees and Contractors. August 27, 2004 ISO/IEC , ITU-T Rec/x.811 Теоретические основы аутентификации NIST Special Publication April 2006 (РД по использованию е- аутентификации) OECD Recommendation on Electronic Authentication/2007 FIPS PUB Personal Identity Verification (PIV) of Federal Employees and Contractors. March 2006, FIPS PUB March 2011 ETSI draft SR v0.0.2 Rationalized Framework for Electronic Signature Standardization August 2011 & ETSI TS 1, ,… European Commission. Proposal for a Regulation of the European Parliament and of the Council on Electronic Identification and Trust Services for Electronic Transactions in the Internal Market. Brussels, XXX COM (2012) 238/2. 15

w w w. a l a d d i n – r d. r u Аутентификация – основа создания доверительных отношений при удаленном взаимодействии 16

w w w. a l a d d i n – r d. r u Отношения доверия 17

w w w. a l a d d i n – r d. r u Система доверия 18

w w w. a l a d d i n – r d. r u Домен доверия 19

w w w. a l a d d i n – r d. r u Пространство доверия ААА 20

w w w. a l a d d i n – r d. r u Мостовая схема 21

w w w. a l a d d i n – r d. r u Модели формирования ЕПД 22 распределенная (сетевая)мостоваяцентрализованная

w w w. a l a d d i n – r d. r u Уровни доверия ААА – часть ЕПД 23 Уровни Доверия ААА

w w w. a l a d d i n – r d. r u Надежность аутентификации Анализ рисков стандарты безопасность надежность качество Анализ надежности (системы, состоящей из серверной и клиентской частей) соответствие требованиям (в идеале – стандартам) качество Анализ процессов функциональная надежность качество 24

w w w. a l a d d i n – r d. r u Оценки надежности аутентификации 25 Надежность хранения аутентификатора: пароль- 0,43, закрытый ключ ЭП- 0,999 пароль ключ ЭП

w w w. a l a d d i n – r d. r u Аутентификаторы 26 Учетная запись пользователя Секрет (аутентификатор) ЛогинПароль Логин Одноразовый пароль (технология ОТР) Заданные поля сертификата Х.509, сформированного удостоверяющим центром для доступа пользователя Закрытый ключ (в терминах 1-ФЗ)

w w w. a l a d d i n – r d. r u Краткий анализ потенциальных возможностей построения ЕПД Требования к усиленной квалифицированной подписи –Плюсы: наведен порядок с квалифицированной подписью –Минусы: нет требований к доверенным сервисам Аккредитация УЦ –Плюсы: начат процесс формирования ЕПД –Минусы: имеются только финансовые и организационные требования к УЦ, нет требований к регистрации, нет требований к доверенным сервисам, однако появилось понятие доверенного времени. Построение ЕСИА –Плюсы: один проектировщик и эксплуатант (хороший шанс создания ЕПД «от аутентификации») –Минусы: нет регламентов и требований к доверенным сервисам Юридически-значимый ЭДО? Трансграничность? 27

w w w. a l a d d i n – r d. r u Европейские требования к УЦ ЕС: уже несколько лет существует понятие Trusted CA – доверенный УЦ. Достаточно одной доверенной функции. Например, корректность проверки сертификатов ключей подписи (СКП). Все аккредитованные УЦ – Trusted Qualified Trusted CA1 - квалифицированный доверенный УЦ = регламентированные процедуры не только с СКП, включая необходимый набор доверенных сервисов (см. первый слайд) European Commission. Proposal for a Regulation of the European Parliament and of the Council on Electronic Identification and Trust Services for Electronic Transactions in the Internal Market. Brussels, XXX COM (2012) 238/2

w w w. a l a d d i n – r d. r u Переход к «облачным вычислениям» К настоящему времени вопросы информационной безопасности полностью не изучены Работа в «облаках» является зоной риска Выработаны только 2 понятных рекомендации: –Необходимо хранить данные в «облаке» только в зашифрованном виде –Обращать повышенное внимание на организацию аутентификации пользователей при доступе к облачным сервисам, аутентификация должна быть взаимной (двухсторонней: клиент-сервер) и строгой. 29

w w w. a l a d d i n – r d. r u Задачи аутентификации для «облаков» Обеспечение удаленной регистрации; Безопасное ведение учетных записей пользователей; Обеспечение безопасного делегирования полномочий и доверия в облачные сервисы; Управление доверием при взаимодействии облачных сервисов; Контроль доступа в привязке к методу аутентификации пользователя, его роли и требований к уровню доверия в облаке; 30

w w w. a l a d d i n – r d. r u Регистрация к облачным сервисам 31

w w w. a l a d d i n – r d. r u Регистрация к облачным сервисам 32

w w w. a l a d d i n – r d. r u 33 Доступ к облачным сервисам

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Спасибо за внимание! 34 Сервис аутентификации в ЕПД должен быть доверенным!