Журнал о системах электронного документооборота (СЭД)
Электронная цифровая подпись (ЭП)

ФСБ РФ работает над переводом квалифицированной электронной подписи в облако

  5 комментариев Добавить в закладки

ЭЦП без физического носителя

В России в 2017 г. может появиться доверенная электронно-цифровая подпись (ЭЦП), не требующая использования токена - носителя на флешке. Об этом рассказал директор по электронному правительству в «Ростелекоме» Михаил Бондаренко. «У меня есть данные от коллег с Лубянки о том что до конца года должно выйти некое решение, которое позволит делать доверенные ЭЦП облачными, — сказал он, не приведя каких-либо подробностей, но противопоставляя это решение распространенным сегодня электронным подписям на токенах. — На наш взгляд это взорвет и перевернет рынок доверенной авторизации и идентификации», — добавил он.

Квалифицированная или, по выражению Михаила Бондаренко, «доверенная» электронная подпись по закону обладает всеми качествами рукописной подписи на бумажном документе. Она наделяет документы юридической силой и соответствует всем требованиям о защите конфиденциальной информацию. С аппаратной точки зрения квалифицированная подпись представляет собой USB-флешку (токен) с записанным на нее специализироанным ПО.

Свое заявление Михаил Бондаренко сделал в контексте описания анонсированной публично в конце мая 2017 г. единой биометрической национальной платформы, создаваемой «Ростелекомом» для будущей идентификации и аутентификации граждан при оказании им любых электронных услуг.

О биометрической платформе

«Предполагается, что “Ростелеком” станет оператором этой платформы и два года будет проводить пилотный эксперимент с банками, в точение этого времени услуги по биометрической идентификации будут предоставляться им бесплатно», — пояснил Бондаренко, отметив, что в уже стартовавшем пилоте участвует порядка десяти банков, включая Сбербанк, ВТБ и Газпромбанк.

При этом закончить создание платформы оператор намерен до конца 2017 г. К тому же только с 1 января 2018 г. предположительно вступят в силу поправки в 115 федеральный закон, разрешающие использовать биометрическую идентификацию в финансовом секторе — для открытия-закрытия счетов, размещения и снятия вкладов, переводов и т. д.

«Я думаю, когда мы эту платформу в качестве эксперимента запустим в начале следующего года, то мы с коллегами из Минкомсвязи будем отрабатывать расширение на другие отрасли, — прогнозирует Бондаренко. — Платформа должна стать главными воротами для идентификации и аутентификации каждого гражданина в нашей стране для получения любого цифрового сервиса». Таким образом, по словам топ-менеджера, уже рассматривается идея создания на базе национальной биометрической платформы «национального банка идентификации и авторизации» жителей России.

Комментарий эксперта

Ульяна Коровкина, аналитик:

http://www.synerdocs.ru/images/7012104.jpgВ последнее время вокруг электронной подписи все больше активностей со стороны государства. Мы уже сообщали о планах ввести сертификат полномочий для сотрудников организаций, чтобы избавить их от необходимости приобретать новый сертификат ключа проверки электронной подписи в связи с изменением полномочий лица. Помимо этого, с 2017 года была ужесточена ответственность удостоверяющих центров за нарушение процедуры первичной идентификации лица при выдаче квалифицированного сертификата, а также за другие нарушения в области работы удостоверяющих центров.

 

Источник: CNews

Похожие записи
Комментарии (5)
Вадим Майшев 31 июля 2017 г. 10:16  
С аппаратной точки зрения квалифицированная подпись представляет собой USB-флешку (токен) с записанным на нее специализироанным ПО.

Это все объясняет! :-)

Елена Юханова 07 августа 2017 г. 12:29  

Достаточно много удостоверяющих центров уже сейчас заявляют, что  ЭП в облаке является квалифицированной. При этом уд.центры аккредитованы и имеют лицензию ФСБ.

Подпись в облаке является КЭП или нет?

Ульяна Коровкина 07 августа 2017 г. 16:08  
Подпись в облаке является КЭП или нет?

Добрый день, Елена! Да, такие подписи являются квалифицированными, так как все требования Федерального закона "Об электронной подписи" для них соблюдены.

Елена Юханова 07 августа 2017 г. 16:24  

Спасибо за ответ.

А требования Приказа ФСБ РФ от 27.12.2011 № 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" могут быть применимы к подписи в облаке в частности такие как:

1.    При создании электронной подписи средства электронной подписи должны показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает (п. 1 ч. 2 ст. 12 Закона и п. 8 Требований).

2.    Средство ЭП должно проводить аутентификацию субъектов доступа (лиц, процессов) к этому средству (п. 25 Требований).

Эти требованяи могут быть соблюдены при удаленном (сетевом) взаимодействии лица, подписывающего электронный документ, со средством ЭП?

Непонятно, над чем работает ФСБ сейчас? какие изменения планируют?

Вадим Майшев 08 августа 2017 г. 11:16  
Подпись в облаке является КЭП или нет?

Надо разделить нечто под названием "Подпись в облаке" на сущности. Квалифицированная электронная подпись (КЭП) формируется "под документом" в системе электронного документооборота (СЭД) с использованием сертифицированного средства электронной подписи (СЭП), в которое автор помещает свой криптоключ, на который у него есть квалифицированный сертификат (выданный аккредитованным УЦ). 

Когда формируется КЭП стандартным образом, то у автора есть локальный доступ к документу в СЭД, СЭП и своему криптоключу.

Когда говорят про облачную подпись, то у автора нет ничего, т.к. документ в СЭД, СЭП, и даже криптоключ, хранятся "где-то в облаке" у оператора (а УЦ этого оператора выдал квалисерт), кроме реквизитов для авторизованного доступа к криптоключу. Вопросы для выбора решения: действительно ли СЭП в  облаке сертифицировано для таких условий применения, лежит ли криптоключ именно в этом СЭП (а не рядом с ним), только ли автор владеет "реквизитами доступа" к его криптоключу, с помощью каких средств автор может безопасно дистанционно предъявить эти "реквизиты доступа" оператору, могут ли СЭД других операторов использовать СЭП/криптоключ автора у этого оператора.

По КЭП определить ее локальность или облачность малореально.

Сейчас обсуждают
Больше комментариев