Электронная подпись (ЭП) – неотъемлемая часть юридически значимого электронного документооборота. Сам факт использования ЭП дает уверенность в том, что документ не был изменен или заменен, и что подписал его именно владелец ключа. Вот почему защита ключа электронной подписи от компрометации является чрезвычайно важным моментом, о котором всегда нужно помнить.
Говоря, что ключ ЭП был скомпрометирован, мы имеем в виду, что данной электронной подписи мы больше не доверяем и предполагаем, что произошла кража ключа электронной подписи, и к нему получили доступ посторонние лица. При компрометации ключа ЭП с банковских счетов может быть осуществлено несанкционированное списание денежных средств, либо произойти утечка данных контрагентов и чувствительной для компании информации, что вероятно повлечет весьма серьезные финансовые и репутационные последствия.
Давайте разберем эту ситуацию подробнее.
Что такое компрометация ключей электронной подписи?
В Федеральном законе «Об электронной подписи» 2011 года № 63-ФЗ нет установленного определения компрометации ключа электронной подписи. Поэтому под термином компрометация ключа ЭП обычно понимают утерю доверия к ключам ЭП, обеспечивающим безопасность информации (см., например, раздел 2 Регламента регистрации и подключения юридических и физических лиц к системе электронного документооборота ПФР, утв. постановлением Правления ПФР от 26.01.2001 № 15).
Важно понимать, что за компрометацию ключа несет ответственность не только ее владелец, но и удостоверяющий центр. На основании п. 4 ч. 2 ст. 13 № 63-ФЗ он обязан обеспечивать конфиденциальность сгенерированных ключей ЭП.
Причины компрометации ключа электронной подписи
Причины компрометации ключа электронной подписи могут быть совершенно различными: от невнимательности владельца до хакерской атаки. Поэтому, обладая ключевым носителем, нужно знать его характеристики, чтобы лучше понимать, как и когда ваш ключ может быть скомпрометирован.
Если у вас пассивный ключевой носитель
Пассивный ключевой носитель – это защищенный ключевой носитель, для разблокировки которого необходимо знание PIN-кода. Он обладает средним уровнем защищенности от атак злоумышленников. Его основное отличие от активного заключается в том, что после ввода верного PIN-кода ключ ЭП из защищённой памяти ключевого носителя передается в оперативную память компьютера или другого устройства для подписания электронного документа. При подписании электронного документа с использованием такого носителя и средства электронной подписи, вычисляется хэш документа, однозначно связанный с содержанием электронного документа. Далее, ключ ЭП копируется в память компьютера, где с его помощью средство электронной подписи выполняет криптографические операции создания электронной подписи – подписание электронного документа. По завершении процедуры подписания ключ ЭП удаляется из памяти компьютера. Процедура подписания электронного документа происходит незаметно для пользователя и занимает несколько секунд. Тем не менее, даже в этот промежуток времени может произойти кража ключа электронной подписи - он может быть скопирован хакерскими вредоносными программами. Возникает вопрос – что предпринять для защиты?
Как повысить уровень защиты пассивного ключевого носителя?
Если у вас пассивный ключевой носитель, например, Рутокен Lite, первым делом замените предустановленный PIN-код. Мы рекомендуем использовать шестизначные коды со специальными символами, прописными и строчными латинскими буквами. Избегайте сочетаний дат рождений, очевидных последовательностей (123456 и т.д.) и повторяемости (777777). Не лишним будет напомнить, что хранить токен или смарт-карту необходимо в недоступном для посторонних лиц месте - лучше всего в сейфе.
Если у вас активный ключевой носитель
Активный ключевой носитель содержит в себе аппаратно реализованные функции средства криптографической защиты информации (СКЗИ). Ключ ЭП на таком носителе хранится в его памяти, в защищенном ключевом контейнере в специальном внутреннем формате. Он никогда не покидает такой ключевой носитель, в связи с чем его компрометация (кража ключа электронной подписи) возможна только в случае хищения ключевого носителя вместе с PIN-кодом. Подобные устройства могут быть выпущены в любом форм-факторе (USB-токен, смарт-карта, NFC-карта). Наиболее распространенные продукты в этой категории – токены и смарт-карты линейки Рутокен ЭЦП 2.0.
Описанные особенности активных ключевых носителей являются их неоспоримым преимуществом. Активный защищенный ключевой носитель (криптографический ключевой носитель) обладает высоким уровнем защищенности от атак злоумышленников. Тем не менее и здесь наши рекомендации по выбору PIN-кодов остаются схожими с приведенными выше для пассивных ключевых носителей.
Что делать, если ваш ключ электронной подписи скомпрометирован?
При потере или краже ключевого носителя необходимо незамедлительно обратиться в удостоверяющий центр, выпустивший сертификат ключа проверки электронной подписи, для подачи заявления о прекращении его действия. Обращаем внимание, что заявление должно быть собственноручно написано владельцем сертификата. При обращении в УЦ нужно будет сообщить оператору следующую информацию:
- Свои идентификационные данные;
- Серийный номер сертификата ключа подписи, соответствующего скомпрометированному ключу;
- Секретное ключевое слово, полученное при регистрации.
