Выпуск #2/2016
А.Сабанов
О доверии к сервисам безопасности, обеспечивающим юридическую силу электронным документам. Часть 2.
О доверии к сервисам безопасности, обеспечивающим юридическую силу электронным документам. Часть 2.
Просмотры: 2429
Для создания единого пространства доверия к электронным документам, заверенным квалифицированной электронной подписью и претендующим на право обладания юридической силой, еще многое предстоит сделать, начиная с совершенствования нормативной правовой и технической базы.
Идентификация и аутентификация
Согласно ст. 5 № 63-ФЗ [1], и простая, и усиленная квалифицированная электронная подпись (ЭП) должна позволять определить лицо, подписавшее электронный документ (ЭД). Другими словами, подпись предусматривает возможность идентификации подписанта. Технически это означает, что информация, содержащаяся в сертификате ключа проверки электронной подписи (СКПЭП), а именно "фамилия, имя и отчество – для физических лиц, наименование и место нахождения – для юридических лиц" ([1], ст. 14), позволяет идентифицировать владельца СКПЭП. Насколько эта информация "позволяет" его идентифицировать сегодня?
Идентификация пользователей информационных систем (ИС) разделяется на первичную (производимую во время регистрации нового пользователя) и вторичную (при последующих обращениях пользователя на авторизацию). Под достоверностью идентификации будем понимать общую точность и полноту идентификационной информации об объекте. Достоверность идентификации обратно пропорциональна вероятности возникновения ошибок в информационной системе при выполнении процессов идентификации. Обычно при сравнении методов идентификации рассматривают только точность самой технологии идентификации, опираясь на значения, заявленные производителем. Более правильно рассматривать процедуру идентификации в виде процесса принятия решения класса "да/нет" с учетом возможных погрешностей и ошибок как при первичной регистрации идентификаторов объектов, так и непосредственно в процессе идентификации.
Достоверность идентификации D будем оценивать по формуле:
,
где Pi(t) – вероятность отсутствия ошибки идентификации при предъявлении i-го идентификатора. Для удаленного электронного взаимодействия точность вторичной идентификации без учета сбойных ошибок и погрешностей ввода данных первичной идентификации определяется ее достоверностью. Результаты идентификации можно условно разделить на уровни достоверности. В зависимости от уровня рисков операций, производимых пользователем СКПЭП, выделим способы первичной идентификации: упрощенная, стандартная и усиленная. Их качественные различия показаны на рисунке.
Личная явка заявителя в центр регистрации в отличие от скана паспорта, высланного по электронной почте, может значительно повысить достоверность идентификации путем сличения фотографии в паспорте с лицом предъявителя; при этом в случае проверки паспорта на подлинность с помощью процедур, принятых в ряде крупных банков и федеральных структур, достоверность идентификации может подняться на более высокий уровень. Доверие к идентификации личности при первичном обращении заявителя зависит от следующих аспектов: основным критерием должно являться качество идентификации – отличие одного субъекта от другого путем сравнения предъявленных идентификаторов с занесенными в базу данных значениями при регистрации; в процессе идентификации имеются ошибки первого (злоумышленник идентифицирован как легальный пользователь) и второго рода (легальный пользователь не идентифицирован). При этом требуется введение уровней доверия к результатам сравнения в зависимости от числа идентификаторов и, главное, от надежности и безопасности механизмов сравнения, а также протоколирование результатов процессов подтверждения совпадения идентификаторов из государственных баз данных для разбора конфликтных ситуаций. Вывод: в целях повышения доверия к высокорисковым операциям необходимо повышать качество идентификации взаимодействующих сторон путем выбора методов идентификации с учетом оценки достоверности результатов идентификации, полученных с помощью выбранных методов.
Что касается качества первичной идентификации обратившихся за получением СКПЭП к сотрудникам удостоверяющего центра (УЦ), то в п. 1 ст. 18 № 63-ФЗ сказано: "При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр обязан установить личность заявителя – физического лица, обратившегося к нему за получением квалифицированного сертификата". На практике личность субъекта, обратившегося в УЦ, определяется по-разному. Имеются УЦ, где существует строгая проверка бумажных документов (паспорт и СНИЛС); существуют УЦ, выдающие СКПЭП по копии документов, высланных по электронной почте; имеются случаи выдачи СКПЭП и без проверки подлинности предоставленных сведений. Единого регламента и контроля его выполнения со стороны государственных органов для УЦ не существует. Чем это чревато?
Один из основных сервисов безопасности, который всегда применяется перед подписанием документа, это аутентификация – процесс, состоящий из двух подпроцессов: подтверждение подлинности предъявленных идентификационных данных и доказательство принадлежности идентификационных данных, аутентификационных данных конкретному субъекту. Процессы идентификации и аутентификации тесно связаны между собой. Математическая модель аутентификации заключается в последовательном выполнении шести основных процедур: первичная идентификация; выпуск сертификата доступа, называемого в западных стандартах Credentials, связывающего идентификаторы и аутентификатор с конкретным объектом; хранение ключа ЭП; обмен информацией, как правило, по клиент-серверной схеме, с применением криптографических протоколов; проверка валидности Credetials; принятие решения класса "свой-чужой" по допуску претендента.
Первой в этой цепочке процедур стоит первичная идентификация субъекта. Как известно, уровень надежности цепи последовательных операций определяется надежностью самого ненадежного звена. К сожалению, в настоящее время этим звеном зачастую является именно первичная идентификация. Если в закрытых корпоративных сетях первичную идентификацию выполняет кадровая служба и проверке подлежит несколько документов (паспорт, трудовая книжка, военный билет, дипломы об образовании и повышению квалификации, ИНН, СНИЛС и др.), то в УЦ, специализирующихся на электронном взаимодействии, часто не производится должная проверка достоверности предоставленных субъектом сведений, но, тем не менее, он может получить СКПЭП УКЭП. Вывод: для повышения уровня доверия к результатам аутентификации субъектов необходимо разработать регламент проверки достоверности сведений, предоставляемых субъектами при первичном обращении в УЦ.
Хранение ключа аутентификации – на сегодня второе по значению "слабое звено" в цепи последовательно выполняемых процедур. При этом особенно остро стоит вопрос о неизвлекаемости закрытого ключа из ключевого носителя. Почему бы нормативно не предусмотреть возможность использования закрытых ключей в устройствах, специально разработанных для безопасной генерации ключевого материала с гарантией неизвлекаемости закрытого ключа? На Западе такие устройства, рекомендованные для высокорисковых операций, предложены еще в конце 90-х годов. Страны ЕС пошли дальше. В принятом в июле 2014 года Положении об электронной аутентификации и доверенных сервисах 910/2014 появилось еще более усиленное понятие – "квалифицированное" устройство с неизвлекаемым ключом. Например, если бы право передачи средств ЭП сопровождалось требованием применения только устройств с неизвлекаемым ключом, риски злоупотреблений могли бы быть существенно ниже. Вывод: необходимо использовать западный опыт и вводить нормы на уровни доверия к аутентификации, основанные на анализе рисков и применении определенных технологий, в том числе для генерации и хранения закрытого ключа.
Итак, на вопрос "насколько можно доверять информации, содержащейся в СКПЭП и можно ли оценить достоверность содержащихся в нем сведений?" мы получаем ответ: максимальное значение надежности – не выше 0,999. Реально – намного ниже. Казалось бы, три девятки надежности – хороший показатель, однако в масштабах страны на сегодняшний день такой уровень надежности идентификации уже недостаточен. Действительно, активная часть россиян, уже участвующих или планирующих участие в информационном обмене, составляет приблизительно 50 млн. человек. Как показано автором в работе [2], точность идентификации по ФИО ничтожна (слишком много совпадений), а по СНИЛС не превышает 10–3. В итоге порядка 50 тыс. субъектов невозможно идентифицировать по СКПЭП. С точки зрения специалиста ИБ, это потенциальные нарушители и злоумышленники в том числе. Вывод: для систем с большим количеством пользователей, участвующих в информационном обмене, необходимо в обязательном порядке вводить новые идентификаторы.
Валидность СКПЭП
Существует несколько онлайн- и оффлайн-способов проверки валидности СКПЭП. Можно априори доверять данному сертификату – как, например, это обычно делается для сертификатов издателей SSL. Оффлайн-процедура может состоять в проверке списков отозванных сертификатов (CRL) или обновления списка отозванных сертификатов (Delta CRL). Рассмотрим, насколько можно доверять такому способу. Согласно п. 7 ст. 14 № 63-ФЗ, информация о прекращении действия сертификата ключа проверки электронной подписи должна быть внесена УЦ в реестр сертификатов в течение одного рабочего дня со дня наступления обстоятельств, повлекших за собой прекращение действия СКПЭП. Да, абсолютное большинство УЦ выполняют это требование закона. Однако при отсутствии детализированных технических требований удобно ли на практике пользоваться таким способом проверки? Так, один крупный УЦ чуть ли не каждые два часа публикует обновления списков сертификатов в виде огромного файла формата Excel, другой УЦ публикует раз в две недели два списка CRL в Excel почти по 300 Мб – и в обоих случаях срок действия каждого списка составляет один месяц. Формально можно целый месяц брать данные из одного списка.
Если удостоверяющий центр один, проверка валидности сертификата осуществляется легко, поскольку иерархическая архитектура не вносит проблем в эту процедуру. Но если УЦ у взаимодействующих сторон разные, то зачастую проверка валидности сопряжена с различными сложностями, начиная с проблемы доверенного времени.
Единое пространство доверия – достижимо?
Для отдельно взятой ИС единое пространство доверия строится достаточно просто. Для системы ИС – это своего рода архитектурное искусство, основанное на принципах обеспечения совместимости ИТ-решений и сервисов всех компонентов этого пространства, выстраивания сервисов безопасности по уровням доверия, определения уровня доверия цепочки взаимодействия уровнем доверия самого слабого звена.
Между тем бреши в технической политике уже приводят к недостаточно высокому уровню доверия. При продолжении этой тенденции сущность PKI может быть дискредитирована – и юридическая сила электронных документов может оказаться недостижимой.
ЛИТЕРАТУРА
1.Закон Российской Федерации от 06 апреля 2011 г. № 63-ФЗ "Об электронной подписи".
2.Сабанов А.Г. Некоторые проблемы идентификации при удаленном электронном взаимодействии // Первая миля. 2014. № 2. С. 94–97.
Согласно ст. 5 № 63-ФЗ [1], и простая, и усиленная квалифицированная электронная подпись (ЭП) должна позволять определить лицо, подписавшее электронный документ (ЭД). Другими словами, подпись предусматривает возможность идентификации подписанта. Технически это означает, что информация, содержащаяся в сертификате ключа проверки электронной подписи (СКПЭП), а именно "фамилия, имя и отчество – для физических лиц, наименование и место нахождения – для юридических лиц" ([1], ст. 14), позволяет идентифицировать владельца СКПЭП. Насколько эта информация "позволяет" его идентифицировать сегодня?
Идентификация пользователей информационных систем (ИС) разделяется на первичную (производимую во время регистрации нового пользователя) и вторичную (при последующих обращениях пользователя на авторизацию). Под достоверностью идентификации будем понимать общую точность и полноту идентификационной информации об объекте. Достоверность идентификации обратно пропорциональна вероятности возникновения ошибок в информационной системе при выполнении процессов идентификации. Обычно при сравнении методов идентификации рассматривают только точность самой технологии идентификации, опираясь на значения, заявленные производителем. Более правильно рассматривать процедуру идентификации в виде процесса принятия решения класса "да/нет" с учетом возможных погрешностей и ошибок как при первичной регистрации идентификаторов объектов, так и непосредственно в процессе идентификации.
Достоверность идентификации D будем оценивать по формуле:
,
где Pi(t) – вероятность отсутствия ошибки идентификации при предъявлении i-го идентификатора. Для удаленного электронного взаимодействия точность вторичной идентификации без учета сбойных ошибок и погрешностей ввода данных первичной идентификации определяется ее достоверностью. Результаты идентификации можно условно разделить на уровни достоверности. В зависимости от уровня рисков операций, производимых пользователем СКПЭП, выделим способы первичной идентификации: упрощенная, стандартная и усиленная. Их качественные различия показаны на рисунке.
Личная явка заявителя в центр регистрации в отличие от скана паспорта, высланного по электронной почте, может значительно повысить достоверность идентификации путем сличения фотографии в паспорте с лицом предъявителя; при этом в случае проверки паспорта на подлинность с помощью процедур, принятых в ряде крупных банков и федеральных структур, достоверность идентификации может подняться на более высокий уровень. Доверие к идентификации личности при первичном обращении заявителя зависит от следующих аспектов: основным критерием должно являться качество идентификации – отличие одного субъекта от другого путем сравнения предъявленных идентификаторов с занесенными в базу данных значениями при регистрации; в процессе идентификации имеются ошибки первого (злоумышленник идентифицирован как легальный пользователь) и второго рода (легальный пользователь не идентифицирован). При этом требуется введение уровней доверия к результатам сравнения в зависимости от числа идентификаторов и, главное, от надежности и безопасности механизмов сравнения, а также протоколирование результатов процессов подтверждения совпадения идентификаторов из государственных баз данных для разбора конфликтных ситуаций. Вывод: в целях повышения доверия к высокорисковым операциям необходимо повышать качество идентификации взаимодействующих сторон путем выбора методов идентификации с учетом оценки достоверности результатов идентификации, полученных с помощью выбранных методов.
Что касается качества первичной идентификации обратившихся за получением СКПЭП к сотрудникам удостоверяющего центра (УЦ), то в п. 1 ст. 18 № 63-ФЗ сказано: "При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр обязан установить личность заявителя – физического лица, обратившегося к нему за получением квалифицированного сертификата". На практике личность субъекта, обратившегося в УЦ, определяется по-разному. Имеются УЦ, где существует строгая проверка бумажных документов (паспорт и СНИЛС); существуют УЦ, выдающие СКПЭП по копии документов, высланных по электронной почте; имеются случаи выдачи СКПЭП и без проверки подлинности предоставленных сведений. Единого регламента и контроля его выполнения со стороны государственных органов для УЦ не существует. Чем это чревато?
Один из основных сервисов безопасности, который всегда применяется перед подписанием документа, это аутентификация – процесс, состоящий из двух подпроцессов: подтверждение подлинности предъявленных идентификационных данных и доказательство принадлежности идентификационных данных, аутентификационных данных конкретному субъекту. Процессы идентификации и аутентификации тесно связаны между собой. Математическая модель аутентификации заключается в последовательном выполнении шести основных процедур: первичная идентификация; выпуск сертификата доступа, называемого в западных стандартах Credentials, связывающего идентификаторы и аутентификатор с конкретным объектом; хранение ключа ЭП; обмен информацией, как правило, по клиент-серверной схеме, с применением криптографических протоколов; проверка валидности Credetials; принятие решения класса "свой-чужой" по допуску претендента.
Первой в этой цепочке процедур стоит первичная идентификация субъекта. Как известно, уровень надежности цепи последовательных операций определяется надежностью самого ненадежного звена. К сожалению, в настоящее время этим звеном зачастую является именно первичная идентификация. Если в закрытых корпоративных сетях первичную идентификацию выполняет кадровая служба и проверке подлежит несколько документов (паспорт, трудовая книжка, военный билет, дипломы об образовании и повышению квалификации, ИНН, СНИЛС и др.), то в УЦ, специализирующихся на электронном взаимодействии, часто не производится должная проверка достоверности предоставленных субъектом сведений, но, тем не менее, он может получить СКПЭП УКЭП. Вывод: для повышения уровня доверия к результатам аутентификации субъектов необходимо разработать регламент проверки достоверности сведений, предоставляемых субъектами при первичном обращении в УЦ.
Хранение ключа аутентификации – на сегодня второе по значению "слабое звено" в цепи последовательно выполняемых процедур. При этом особенно остро стоит вопрос о неизвлекаемости закрытого ключа из ключевого носителя. Почему бы нормативно не предусмотреть возможность использования закрытых ключей в устройствах, специально разработанных для безопасной генерации ключевого материала с гарантией неизвлекаемости закрытого ключа? На Западе такие устройства, рекомендованные для высокорисковых операций, предложены еще в конце 90-х годов. Страны ЕС пошли дальше. В принятом в июле 2014 года Положении об электронной аутентификации и доверенных сервисах 910/2014 появилось еще более усиленное понятие – "квалифицированное" устройство с неизвлекаемым ключом. Например, если бы право передачи средств ЭП сопровождалось требованием применения только устройств с неизвлекаемым ключом, риски злоупотреблений могли бы быть существенно ниже. Вывод: необходимо использовать западный опыт и вводить нормы на уровни доверия к аутентификации, основанные на анализе рисков и применении определенных технологий, в том числе для генерации и хранения закрытого ключа.
Итак, на вопрос "насколько можно доверять информации, содержащейся в СКПЭП и можно ли оценить достоверность содержащихся в нем сведений?" мы получаем ответ: максимальное значение надежности – не выше 0,999. Реально – намного ниже. Казалось бы, три девятки надежности – хороший показатель, однако в масштабах страны на сегодняшний день такой уровень надежности идентификации уже недостаточен. Действительно, активная часть россиян, уже участвующих или планирующих участие в информационном обмене, составляет приблизительно 50 млн. человек. Как показано автором в работе [2], точность идентификации по ФИО ничтожна (слишком много совпадений), а по СНИЛС не превышает 10–3. В итоге порядка 50 тыс. субъектов невозможно идентифицировать по СКПЭП. С точки зрения специалиста ИБ, это потенциальные нарушители и злоумышленники в том числе. Вывод: для систем с большим количеством пользователей, участвующих в информационном обмене, необходимо в обязательном порядке вводить новые идентификаторы.
Валидность СКПЭП
Существует несколько онлайн- и оффлайн-способов проверки валидности СКПЭП. Можно априори доверять данному сертификату – как, например, это обычно делается для сертификатов издателей SSL. Оффлайн-процедура может состоять в проверке списков отозванных сертификатов (CRL) или обновления списка отозванных сертификатов (Delta CRL). Рассмотрим, насколько можно доверять такому способу. Согласно п. 7 ст. 14 № 63-ФЗ, информация о прекращении действия сертификата ключа проверки электронной подписи должна быть внесена УЦ в реестр сертификатов в течение одного рабочего дня со дня наступления обстоятельств, повлекших за собой прекращение действия СКПЭП. Да, абсолютное большинство УЦ выполняют это требование закона. Однако при отсутствии детализированных технических требований удобно ли на практике пользоваться таким способом проверки? Так, один крупный УЦ чуть ли не каждые два часа публикует обновления списков сертификатов в виде огромного файла формата Excel, другой УЦ публикует раз в две недели два списка CRL в Excel почти по 300 Мб – и в обоих случаях срок действия каждого списка составляет один месяц. Формально можно целый месяц брать данные из одного списка.
Если удостоверяющий центр один, проверка валидности сертификата осуществляется легко, поскольку иерархическая архитектура не вносит проблем в эту процедуру. Но если УЦ у взаимодействующих сторон разные, то зачастую проверка валидности сопряжена с различными сложностями, начиная с проблемы доверенного времени.
Единое пространство доверия – достижимо?
Для отдельно взятой ИС единое пространство доверия строится достаточно просто. Для системы ИС – это своего рода архитектурное искусство, основанное на принципах обеспечения совместимости ИТ-решений и сервисов всех компонентов этого пространства, выстраивания сервисов безопасности по уровням доверия, определения уровня доверия цепочки взаимодействия уровнем доверия самого слабого звена.
Между тем бреши в технической политике уже приводят к недостаточно высокому уровню доверия. При продолжении этой тенденции сущность PKI может быть дискредитирована – и юридическая сила электронных документов может оказаться недостижимой.
ЛИТЕРАТУРА
1.Закон Российской Федерации от 06 апреля 2011 г. № 63-ФЗ "Об электронной подписи".
2.Сабанов А.Г. Некоторые проблемы идентификации при удаленном электронном взаимодействии // Первая миля. 2014. № 2. С. 94–97.
Отзывы читателей