Особенности применения квалифицированной электронной подписи на мобильных устройствах

При эволюции документооборота и других информационных систем от бумажного к электронному виду роль электронной подписи как средства обеспечения юридической значимости сложно переоценить. Квалифицированная электронная подпись и строгая аутентификация – это обязательные "спутники" множества информационных систем, с которыми нам приходится работать практически ежедневно. В их числе системы дистанционного банковского обслуживания, системы сдачи отчётности, электронные торговые площадки, системы корпоративного документооборота и другие. Как правило, во всех этих системах к вопросу обеспечения безопасности конфиденциальной информации подходят очень серьёзно и решают проблему комплексно.

Многие "продвинутые" компании уже используют в работе предложенную компанией "Аладдин Р.Д." концепцию единой карты сотрудника, которая подразумевает наличие у сотрудника персональной смарт-карты, имеющей расширенную функциональность. Такая карта является персональным средством аутентификации и электронной подписи, а также, при нанесении на неё фотографии и ФИО, выступает в роли бейджа. В пластике карты может быть размещено до двух RFID-меток, что позволяет использовать эту карту как пропуск в помещения, за доступ в которые отвечает СКУД. За счёт поддержки зарубежных алгоритмов, такая карта легко интегрируется в инфраструктуру компании, построенную на решениях зарубежных вендоров, – Microsoft, Citrix, WmVare и других. Однако, самое главное – карта имеет аппаратную реализацию российских криптоалгоритмов и сертификат ФСБ России на СКЗИ по классу КС2. При этом обеспечивается работа с закрытыми ключами подписи в режиме неизвлекаемого ключа, что позволило увеличить срок действия закрытого ключа до трёх лет с возможностью самостоятельной перегенерации пользователем.

Нельзя не отметить набирающее в последнее время популярность и востребованность использования в работе мобильных устройств и тенденцию BYOD (BringYourOwnDevice, "принеси своё собственное устройство"). Важным аспектом является невозможность обеспечивать безопасность конфиденциальной  информации на мобильных устройствах теми же средствами, что и на PC. Это происходит из-за архитектурных ограничений мобильных устройств и отсутствия в мобильных операционных системах поддержки российской криптографии.

Однако если посмотреть на проблему под другим углом, то можно увидеть, что между работой в информационных системах с PC, и с мобильного устройства очень много общего. И сценарии работы примерно те же: при подключении к серверу, Web-порталу или облачному сервису в обоих случаях необходимо пройти процедуру строгой аутентификации, а для подтверждения своих операций или данных необходимо использовать квалифицированную электронную подпись. При этом, конечно, данные, передаваемые между клиентом и сервером, должны быть надежно защищены.

В последнее время стали появляться программные СКЗИ для мобильных платформ, реализующие работу с ГОСТ-криптографией. Такие решения позволяют выполнить поставленные задачи – аутентифицироваться и формировать электронную подпись. Но подобные решения имеют и ряд недостатков:

Нам видится более правильным подход, при котором криптография реализована на смарт-карте, подключаемой к iOS-устройству (iPad или iPhone) с помощью совместимого с ней считывателя. "Аладдин Р.Д." предлагает такое устройство: оно подключается к iPad/iPhone через разъёмы Apple Dock или Lightening. Дополнительно считыватель имеет microUSB-разъём и может быть подключен к рабочему компьютеру (Win/Mac/Linux) как обычный CCID-совместимый считыватель, не требующий установки драйверов.

В случае с платформой Android – если Android-устройство имеет возможность подключения USB-устройства, то этот же считыватель может использоваться и там. В остальных случаях мы рекомендуем использовать карту Secure MicroSD, которая является персональным средством надёжной двухфакторной аутентификации пользователя, формирования усиленной квалифицированной электронной подписи и безопасного хранения ключей, профилей, цифровых сертификатов.

В корпус карты Flash-памяти формата MicroSD имплантирован чип смарт-карты с российской криптографией. Таким образом, Secure MicroSD может совмещать криптографические возможности и функции модуля Flash-памяти на любом устройстве, которое поддерживает формат карт памяти MicroSD. Карта Secure MicroSD полностью наследует все преимущества СКЗИ в классических форм-факторах – смарт-карт и USB-токенов, производимых компанией "Аладдин Р.Д". Secure MicroSD поддерживает полный набор как "западной", так и российской криптографии и обеспечивает формирование усиленной квалифицированной электронной подписи с неизвлекаемым закрытым ключом.

Подключив через такой считыватель к мобильному устройству eToken ГОСТ в форм-факторе SecureMicroSD или в виде смарт-карты, на базе которой создаются единые электронные удостоверения, обеспечивается высокий уровень защиты и удобства работы.

Такое решение лишено недостатков программных СКЗИ для мобильных платформ:

Таким образом, использование с мобильным устройством той же смарт-карты и тех же сертификатов пользователя, что и на PC существенно снижает нагрузку на администраторов информационных систем и офицеров безопасности.