Журнал о системах электронного документооборота (СЭД)
Электронная цифровая подпись (ЭП)

Электронная подпись будет «зашита» в сим-карту

  6 комментариев Добавить в закладки

Пару дней назад на сайте Известий появилась новость о том, что москвичам повезло: они смогут устанавливать на электронные документы цифровую подпись с помощью мобильного телефона. Суть нововведения состоит в том, что теперь ПО, обеспечивающее установку ЭП, вшито непосредственно в сим-карту, и с помощью сервиса сим-карты (наподобие тех, которые операторы сотовой связи добавляют в свои сим-карты, чтобы обеспечивать, например, подписки на услуги или получение информации о балансе) можно будет установить электронную подпись от своего имени — от имени держателя сим-карты.

Что гарантирует такой подход? Известия приводят два позитивных аргумента. Во-первых, ЭП теперь можно установить с помощью обычного сотового телефона (не смартфона), а во-вторых, возможность обещает быть бесплатной для клиента оператора сотовой связи — ЭЦ не добавит стоимости сим-карте (в действительности добавит, но для оператора связи, а не конечного потребителя).

Честно скажу, у меня большие сомнения на счёт работоспособности этой идеи. Рост числа смартфонов в руках граждан по всей России (а не только в западной её части, как это было прежде) говорит о том, что пока операторы сотовой связи обновляют своё программное обеспечение, закупают и распространяют новые крипто-сим-карты, последние могут оказаться устаревшими. И это усугубляется необходимостью сертификации по российским стандартам ФСБ, а это дополнительное время ожидания.

Сейчас носитель подписи может быть записан на любой носитель данных; в новости упоминается MicroSD, соответственно нет препятствий перед тем, чтобы установить этот носитель непосредственно в память смартфона. С точки зрения безопасности эти два варианта практически равноценны.

Действительно безопасными считаются аппаратные ключи, доступ к памяти в которых любым путём, кроме как из ПО самого ключа, запрещён. Эти ключи считаются устойчивыми к взлому, поскольку имеют множество степеней защиты — как программно-криптографических, так и аппаратных. Кроме того, физически такой ключ доступен извне не всегда, а только в определённые (потенциально кратковременные) периоды, когда он подключен к устройству. Сим-карта же включена всегда, даже когда устройство не в сети.

Внимание привлекает заявление о том, что себестоимость новой сим-карты по сравнению с таковой старого образца вырастет на $10, но операторы не будут включать это в стоимость, а вместо этого будет происходить некий lock-in на оператора (усложнится процедура получения сим-карты за счёт присутствия на ней носителя ЭП), — на одного из трёх. Неясно, как к этому отнесутся конечные потребители этого продукта.

Слова «чтобы подписать документ, нужно ввести персональный PIN-код» немного пугают. Принято PIN-кодом называть комбинацию из четырёх цифр. Это не криптостойкая комбинация, и её перебор — вопрос времени. Кроме того, абсолютно непонятно, как будет реализован запрос этого пин-кода на устройствах под разными операционными системами, как часто будет обновляться софт. Кстати, на мой взгляд, очевидно, что потребуется промежуточный софт для доставки подписи, а это предоставляет большие возможности для мошенников (вспомним случай с фальшивым приложением Сбербанка в Google Play).

 

Заставляет задуматься и концептуальная проблема предлагаемого подхода. Например, в новости речь идёт о том, что решение зашить ЭП в сим-карту позволит подписывать документы с помощью устройств, к которым нельзя подключить MicroSD- или USB-носитель. Но фактически содержимое такого носителя можно с лёгкостью перенести в память самого устройства. Для чего в таком случае генерировать лишнюю работу для поставщиков и добавлять лишнюю стоимость и сложности для потребителей? Непонятно.

Также до конца неясно, можно ли использовать ЭП, «вшитую» в сим-карту, в личных целях (например, в имущественных сделках), или она предназначена и пригодна только для отношений с государственными органами. Впрочем, последнее — не так уж плохо.

Надеюсь, критика окажется безосновательной, и в действительности сим-карты с функцией установки электронной подписи окажутся по-настоящему полезными.

Ещё материалы автора
Похожие записи
Комментарии (6)
Елена Питомцева 24 января 2013 г. 16:08  
Кстати, в начальном посте очень обтекаемо написано. "С января этого года Москва занимается усовершенствованием электронного документооборота между своими ведомствами. До конца 2014 года на эти цели будет потрачено 740 млн рублей."

Так что будем надеяться, что в целом на совершенствование потратят, а не только на эти загадочные sim-карты.

 

Вадим Майшев 26 января 2013 г. 14:12  

 

ЭЦП – (утрированно) это шифр, который получается в криптосредстве из хэш-значения подписываемого электронного документа с помощью ключа автора (на носителе) и прицепляется к этому документу. Для защиты от подмены открытого ключа, который нужен для проверки подписи, и много чего еще (в конечном счете, для обеспечения юридической значимости электронного документа) используются сертификаты ключей, изготавливаемые удостоверяющим центром.

SIM-карта содержит криптосредство и является носителем криптоключей. Только эти «криптокомпоненты» предназначены для аутентификации и шифрования трафика по алгоритмам, используемым в  GSM. А для квалифицированной электронной подписи нужны сертифицированные по отечественным требованиям средства, реализующие ГОСТЫ. Сделать это можно, но, вероятно, дорого. И даже УЦ, вероятно, сможет изготовить сертификаты на такие ключи. Но, как и какой электронный документ вы сможете подписать в GSM-телефоне?

В смартфоне есть возможность минимально обработать (подписать) документ. Сертифицированное криптосредство тут можно сделать программным, да и криптоключи для «такого минимального уровня безопасности» можно хранить в программе (конечно, лучше было бы в отчуждаемом аппаратном устройстве), и такие решения готовятся. Для чего этими вопросами загружать SIM-карту и оператора мобильной связи?

Ришат Мухаметшин 28 января 2013 г. 16:42  

Вадим, вы верно подметили, что в «обычном телефоне» открыть документ с целью подписать его — задача нереализуемая в силу технических ограничений. Но представим ситуацию, что имеем такой телефон, возможностей которого достаточно, чтобы открыть документ. Но этого недостаточно: нужна техническая возможность поставить на телефон такое приложение, которое, получив на вход документ, используя приватный ключ, расположенный в сим-карте, вернёт на выходе токен, являющийся квалифицированной ЭП. То есть, нужна операционная система — но недостаточно зрелая, чтобы не иметь ограничений доступа к низкоуровневым функциям, к которым относится доступ к сервисам сим-карты. Поэтому идея и архаичная. Но это о технической стороне.

А более интересный вопрос, на мой взгляд, — нужно ли это реально кому-нибудь, или это, как УЭК, Почтовая карта и прочие непонятные инициативы, является попыткой не обеспечить людям удобство, а принудить их не испытывать другие удобства и забыть, что может быть иначе.

О том, что смартфон также по определению отменяет необходимость записи носителя ЭП на сим-карту, я тоже попытался написать. И я, как и вы, искренне не понимаю, для чего поставщику услуг связи нужно исполнять не свойственную для него функцию поставки и обеспечения функционирования и безопасности электронных подписей.

Про отчуждаемые аппаратные устройства. Посмотрите на стартап Lapka: https://mylapka.com/. Техническая реализация необыкновенная: для ввода цифровых данных используется мини-джек для наушников (который на самом деле тоже может быть цифровым приёмником и передатчиком). Устройства подключаются к телефону и диктуют данные, которые интерпретируются и отображаются на экране специальным приложением.

Добавим сюда шифрование, подменим экран файловой системой, на вход подадим документ, который также располагается в каком-то файловом контейнере, а к мини-джеку подключим то самое, о котором вы говорите, отчуждаемое устройство (необходимость обеспечить его нефункционирование 24/7 ясна, и реализация подходит), на которое добавляем носитель электронной подписи (приватный ключ). Готово. Стильно, удобно, красиво и соответствует современным реалиям.

И всё. Не нужно снабжать ненужной работой оператора сотовой связи, у которого и так дел много, благодаря ФЗ О сохранении номера.

Сергей Рудин 23 августа 2013 г. 09:39  

У меня сформировалось впечатление, что либо это очередные "потемкинские деревни", либо в статье не упомянут какой-то ключевой момент. По самой новости не ясно, что "ЭП теперь можно установить с помощью обычного сотового телефона (не смартфона)". по-моему, телефон подразумевается в только качестве носителя, а само взаимодествие модет быть осуществлено способами, доступными телефону (NFC например). Итого, получаем просто ещё один контейнер для ключа.

Ришат Мухаметшин 23 августа 2013 г. 09:54  
телефон подразумевается в только качестве носителя, а само взаимодествие модет быть осуществлено способами, доступными телефону (NFC например). Итого, получаем просто ещё один контейнер для ключа.

Не совсем так. Носителем всё-таки будет сим-карта, которая, впрочем, без телефона практически бесполезна. Общемировой рост числа пользователей смартфонов заставляет задуматься о том, что классические сотовые телефоны, способные к «умной деятельности» только в рамках ресурсов-приложений сим-карты, сильно сократят свою долю присутствия на рынке и вообще в руках конечных пользователей.

Но несмотря на то, что смартфоны способны к запуску приложений в куда более удобной форме, вопрос надёжности носителя ЭЦП стоит немного в другой плоскости. Поэтому суть не в том, что можно с помощью обычного телефона установить ЭЦП на документ, — это как раз-таки вызывает вопросы, потому что сначала нужно каким-то образом в этот обычный телефон расположить документ для подписания.

А суть в том, что — да — появляется новый контейнер ключа ЭЦП с весьма спорной ценностью. С одной стороны, сим-карта есть в любом смартфоне, даже если у него, кроме возможности включить в силовую розетку для зарядки, никаких проводных коммуникаций с внешним миром нет. С другой стороны, есть более удобные и ничуть не менее надёжные способы организовать ЭЦП (КриптоПро. Аладдин РД, ...).

 

Сейчас обсуждают
Роман Гудков 17 января 2017 г. 10:10  
Недостающие документы, необходимые для заключения договора, можно представить в электронной форме, прибегнув к помощи нотариуса.

Ульяна, а можно ли таким образом оформить карточку с образцами подписей? Или в карточке должна быть только собственноручная "живая" подпись? 

Вадим Майшев 16 января 2017 г. 11:27  

Не особо авторы/журналисты утруждают себя использовать правильные термины: тут и "стоимость ЭЦП" - ЭЦП уж 5 лет по закону нет, да и ЭЦП "не продается" (УЦ продают сертификаты).

Никто еще не видел в природе живьем простую электронную подпись, а будто бы только она "устраняет ограничения на использование документов, выдаваемых органами и организациями в электронной форме" :-)

А проблема в том, что граждане вынуждены оформлять дорогостоящую электронно-цифровую подпись, чтобы обжаловать постановления в электронном виде.

Кто решил, что она дорогостоящая? В сравнении с чем? В государстве нет ничего бесплатного! Давно были у нотариуса/врача/... или оплачивали пошлины за "услуги" государства, живущего на деньги налогоплательщиков? И никто (пока) не запрещает использовать неэлектронные варианты взаимодействия!

Александр Валеев 16 января 2017 г. 08:22  
«Большинство услуг и сервисов на портале требуют только простой электронной подписи, однако некоторые услуги, действительно, нужно подписывать квалифицированной электронной подписью. На сегодняшний день это необходимая технология, и она продолжит действовать», — заявил замглавы Минкомсвязи России Алексей Козырев. На сайте Минкомсвязи приведен весь список госуслуг, для которых нужна ЭЦП (XLSX,  187,5 КБ).

Многие опубликовали новость о госуслугах. Но о том, понадобится ли еще КЭП, только здесь. Спасибо

Больше комментариев