Вопросы идентификации и аутентификации в e-commerce*

Максим Чирков
Руководитель направления развития
сервисов ЭП компании “Аладдин Р.Д."

При дистанционном взаимодействии особая роль уделяется идентификации участников, ведь весьма затруднительно использовать привычные идентификаторы "реального мира" такие, как, например, паспорт или водительское удостоверение. Беглый взгляд на многообразие деятельностей в рамках e-commerce наталкивает на мысль об использовании разных механизмов идентификации и аутентификации в разных видах электронной коммерции. Действительно, при покупке в интернет-магазине, скажем, планшета клиенту в большинстве случаев достаточно предоставить e-mail и контактный телефон, а процедура аутентификации (проверка подлинности соответствия "виртуального клиента" живому человеку, желающему совершить покупку) производится посредством голосового подтверждения заказа по телефону. Более критичные в финансовом плане сервисы (ДБО, ЭДО, торговые площадки и т.д.) резонно требуют более серьезного подхода. Рассмотрим этот вопрос для различных моделей электронной коммерции.

Начнем с наиболее урегулированных в России моделей: B2G и G2B. Резкий рост секторов этих моделей обусловлен максимальным переводом взаимодействия государства и бизнеса в электронный вид с достаточной нормативной поддержкой. Сюда относятся всевозможные виды декларирования, взаимодействие в рамках предоставления государственных услуг и т.д., ну и, конечно же, нельзя не упомянуть уникальную систему закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд. В качестве идентификатора субъектов взаимодействия в этих сервисах используется квалифицированный сертификат ключа проверки ЭП. Этот документ фактически связывает уполномоченное лицо организации с его ключом проверки подписи. В процессе аутентификации пользователь фактически доказывает владение вторым ключом в уникальной связанной ключевой паре (ключом формирования подписи), который должен храниться в секрете. Сертификат заверяется аккредитованным Удостоверяющим центром, и его получение возможно только при предоставлении достаточно широкого перечня документов и личного присутствия лица или законного представителя. На сегодняшний момент аутентификация с помощью методов открытой криптографии наиболее безопасна при, как ранее упоминалось, сохранении в тайне закрытого ключа (ключа формирования ЭП). Для целей безопасного хранения и использования данного ключа применяются специальные устройства (смарт-карты и USB-токены) с аппаратной реализацией криптографических алгоритмов. Эти устройства позволяют производить все операции с закрытым ключом внутри защищенной памяти, то есть в доверенной среде. К сожалению, именно в сервисах моделей B2G и G2B по-прежнему широко распространено использование криптографических средств с извлекаемыми ключами, что позволяет расценивать риск кражи и несанкционированного использования ключевых контейнеров как высокий.

Наибольший "зоопарк" с идентификацией и аутентификацией происходит в сервисах моделей B2B. С одной стороны, повсеместно используются логины и пароли. Например, даже в таком сегменте, как торговля ценными бумагами и валютой часто можно встретить в качестве идентификатора простое наименование адреса e-mail. С другой, – в сфере дистанционного банковского обслуживания юридических лиц давно прочно применяются ранее описанные методы с использованием PKI-инфраструктуры.

Если вернуться к общей модели B2B, то стоит отметить стремительный рост сервисов ЭДО. Мощным локомотивом развития послужила легализация обмена счет-фактурами и прочими документами в электронном виде. Так как эта сфера находится в зоне интересов фискальных органов, то и методы идентификации/аутентификации применяются такие же, что и для моделей B2G и G2B.

Осталось р ассмотреть последние две широко распространенные модели B2C и C2C. Сервисы модели C2C не требуют специальных методов идентификации/аутентификации. На порталах, представляющих из себя доски с электронными объявлениями, зачастую требуется только идентификация продавца по логину и паролю, а степень доверия формируется на основании отзывов предшествующих покупателей. Сервисы модели B2C пестрят разнообразием. Большинство интернет-магазинов позволяют сделать заказ, просто указав номер телефона (дальнейшее оформление сделки ведется фактически устно). В свою очередь, сервисы, имеющие отношение к финансам, практически повсеместно требуют подтверждения посредством ввода одноразового пароля, пришедшего пользователю в виде SMS-сообщения.

Законодательные инициативы последнего времени существенно расширяют круг продуктов, получаемых в электронном виде (например, страховые полисы, микрокредиты и т.д.). Таким образом, российский сегмент B2C будет пополняться сервисами с документами, имеющими юридическую силу, что требует более серьезного подхода к вопросам идентификации и аутентификации субъектов. Решением может стать популяризация технологии ЭП на SIM-карте. При таком подходе в каждом мобильном телефоне уже будет устройство безопасности (смарт-карта), то есть у каждого гражданина будет технологическая возможность иметь и использовать электронный паспорт (сертификат ключа ЭП) в электронном мире.