Мобильные технологии и обеспечение защищенного ЭДО

На сегодняшний день не существует строго заданных форматов и условий для обмена электронными документами между организациями (негосударственными) на законодательном уровне, хотя для государственных организаций существует межведомственный электронный документооборот (МЭДО).

Не обходится и без проблем с отправкой электронных документов в другую организацию. Юридическое лицо обязано иметь почтовый адрес, но нет обязательного требования иметь адрес электронной почты. Иными словами, оборот электронных документов между организациями в затруднительном положении.

Вернемся к мобильным технологиям и обеспечению защищенности ЭДО l с основой в защите ЭП и закрытого ключа посредством функционала мобильных платформ. Рассмотрим варианты защиты подписи для ЭДО и возможные проблемы.

Криптография на самой платформе

Один из вариантов защиты ЭП на мобильной платформе – криптография на самой платформе, но при таком подходе мобильная платформа переходит в статус недоверенной среды. Наряду с высокой вероятностью атаки с подменой документов здесь присутствует и юридический вопрос. Так исторически сложилось, что есть ограничение на загрузку приложений на ту или иную мобильную платформу. Лидеры мобильной индустрии предоставляют возможность пополнения базы приложений только со своих ресурсов в общем случае (к примеру, AppStore, Google Play). Эти ресурсы находятся в зоне юрисдикции страны, на территории которой могут быть не аккредитованы применяемые в приложениях стандарты криптографии другого государства, которое желает распространить свое ПО посредством указанных сервисов.

Конфликт интересов может привести к невозможности обеспечить распространение требуемых приложений.

Аппаратные средства с неизвлекаемым закрытым ключом

Совершенно обратная картина с защитой информации появляется при использовании аппаратных средств с неизвле-каемым закрытым ключом.

В сравнении со стационарными системами есть большое неудобство, связанное с тем, что в мобильной индустрии отсутствует единый стандарт по интерфейсам (к примеру, мини-USB) – нет возможности использовать один и тот же аппаратный ключ на нескольких платформах одновременно. То же самое касается и ключей формата SD-карт – не на всех платформах есть возможность их использования. Хотя в ряде случаев вместо универсального интерфейса можно использовать, как вариант, Bluetooth, но имеются свои накладные расходы в виде неудобств использования и большей стоимости системы защиты ЭДО в целом.

SIM-карта в качестве ключа

Все бы ничего, но есть вариант интереснее. Аппаратная платформа в самом сердце мобильных технологий, абсолютно свободная от проблемы интерфейсов и зависимости от мобильной платформы, – использование возможностей SIM-карты в качестве ключа.

Работа системы с использованием ключа на SIM-карте выглядит следующим образом:

1. С мобильного аппарата формируется запрос посредством сотовых сетей к сервису, к примеру сотового оператора на формирование подписи документа. В запросе указываются параметры самого документа (к примеру, ИНН, номер платежного поручения).
2. Сервис оператора формирует хеш из присланных данных (ресурсов только SIM-карты не хватит для качественной работы) и пересылает его в зашифрованном виде обратно. При ответе клиенту также отправляются код подтверждения и ключевые моменты из подписываемого документа – дабы заказчик подписи все смог идентифицировать корректно.
3. Клиент получает зашифрованное сообщение от оператора и расшифровывает его ключом на SIM-карте. Далее дается согласие на подпись нужного документа – отправлением оператору кода подтверждения.

Реализация данного метода защиты ЭП зависит от способности операторов проявить свои организаторские способности – договориться между собой и наладить безопасный сервис по подписанию электронных документов. Вариант рабочий, и существуют примеры в Европе и Азии. К сожалению, на территории нашей страны это еще только планы, но первые шаги со стороны операторов были сделаны уже несколько лет назад.

На сегодняшний день средства защиты ЭДО в мобильном мире довольно устойчивы. Есть и аппаратные ключи, и возможности использовать web-техно-логии для механизма подписания документов. Радует и то, что в целом развитие защищенности ЭДО в мобильных технологиях не стоит на месте. По опыту нашей компании на сегодняшний день лучше пренебречь удобством и использовать аппаратные средства с неизвлекаемым ключом.