В рубрику "Спецпроект: mobile security" | К списку рубрик | К списку авторов | К списку публикаций
В МЭДО присутствуют требования к организационно-техническому взаимодействию государственных организаций посредством обмена документами в электронном виде. Согласно приказу Минкомсвязи России и ФСО России от 27.05.2015 №186/258 состав электронного документа имеет следующий вид:
На сегодняшний день не существует строго заданных форматов и условий для обмена электронными документами между организациями (негосударственными) на законодательном уровне, хотя для государственных организаций существует межведомственный электронный документооборот (МЭДО).
Не обходится и без проблем с отправкой электронных документов в другую организацию. Юридическое лицо обязано иметь почтовый адрес, но нет обязательного требования иметь адрес электронной почты. Иными словами, оборот электронных документов между организациями в затруднительном положении.
Вернемся к мобильным технологиям и обеспечению защищенности ЭДО l с основой в защите ЭП и закрытого ключа посредством функционала мобильных платформ. Рассмотрим варианты защиты подписи для ЭДО и возможные проблемы.
Один из вариантов защиты ЭП на мобильной платформе – криптография на самой платформе, но при таком подходе мобильная платформа переходит в статус недоверенной среды. Наряду с высокой вероятностью атаки с подменой документов здесь присутствует и юридический вопрос. Так исторически сложилось, что есть ограничение на загрузку приложений на ту или иную мобильную платформу. Лидеры мобильной индустрии предоставляют возможность пополнения базы приложений только со своих ресурсов в общем случае (к примеру, AppStore, Google Play). Эти ресурсы находятся в зоне юрисдикции страны, на территории которой могут быть не аккредитованы применяемые в приложениях стандарты криптографии другого государства, которое желает распространить свое ПО посредством указанных сервисов.
Конфликт интересов может привести к невозможности обеспечить распространение требуемых приложений.
Совершенно обратная картина с защитой информации появляется при использовании аппаратных средств с неизвле-каемым закрытым ключом.
В сравнении со стационарными системами есть большое неудобство, связанное с тем, что в мобильной индустрии отсутствует единый стандарт по интерфейсам (к примеру, мини-USB) – нет возможности использовать один и тот же аппаратный ключ на нескольких платформах одновременно. То же самое касается и ключей формата SD-карт – не на всех платформах есть возможность их использования. Хотя в ряде случаев вместо универсального интерфейса можно использовать, как вариант, Bluetooth, но имеются свои накладные расходы в виде неудобств использования и большей стоимости системы защиты ЭДО в целом.
Все бы ничего, но есть вариант интереснее. Аппаратная платформа в самом сердце мобильных технологий, абсолютно свободная от проблемы интерфейсов и зависимости от мобильной платформы, – использование возможностей SIM-карты в качестве ключа.
Пока мобильные операторы работают над становлением системы с возможностью подписания документов, используя SIM-карту в качестве ключа, есть возможность воспользоваться еще одним вариантом. Доступ на операцию подписания документа посредством логина и пароля.
При таком подходе защищенность ЭДО обеспечивается двухфакторной авторизацией для операции подписания на стороне web-сервиса:
Работа системы с использованием ключа на SIM-карте выглядит следующим образом:
Реализация данного метода защиты ЭП зависит от способности операторов проявить свои организаторские способности – договориться между собой и наладить безопасный сервис по подписанию электронных документов. Вариант рабочий, и существуют примеры в Европе и Азии. К сожалению, на территории нашей страны это еще только планы, но первые шаги со стороны операторов были сделаны уже несколько лет назад.
На сегодняшний день средства защиты ЭДО в мобильном мире довольно устойчивы. Есть и аппаратные ключи, и возможности использовать web-техно-логии для механизма подписания документов. Радует и то, что в целом развитие защищенности ЭДО в мобильных технологиях не стоит на месте. По опыту нашей компании на сегодняшний день лучше пренебречь удобством и использовать аппаратные средства с неизвлекаемым ключом.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2016