Электронная подпись стала важным атрибутом современной цифровой среды. Тем не менее технология по-прежнему считается новой, и для большинства пользователей остается непонятной и иногда внушающей опасение. В российском законодательстве установлены строгие требования к программному обеспечению, используемому для создания электронной подписи, аккредитованным удостоверяющим центрам, выдающим сертификаты ключей её проверки и так далее. Кроме того, для защиты электронной подписи российскими разработчиками были созданы USB-токены и смарт-карты с криптографическим ядром, позволяющие использовать неизвлекаемые ключи.
Ключ электронной подписи – это числовая последовательность, никак не привязанная к своему владельцу, поэтому ключ очень просто скопировать. А любой, у кого есть ключ, может подписывать с его помощью электронные документы от имени и без ведома законного владельца. Единственный способ защитить ключ от копирования – обеспечить защищенное хранение. Для этого есть несколько способов:
1. Ключи помещаем в реестр или в файл, а защищаем встроенными средствами операционной системы. У этого способа два недостатка. Во-первых, недостаточная мобильность - чтобы подписать документы на другом ПК, ключ нужно будет копировать. А во-вторых, нужно будет очень хорошо защитить саму операционную систему. Ведь если злоумышленник подсмотрит (или перехватит) пароль, то ничто не помешает ему завладеть ключом. Вывод: если на ПК используется двухфакторная аутентификация, то можно выбрать и такой способ, но лучше не надо.
2. Ключи копируем на флэш-накопитель. Теперь подписывать можно с любого ПК, к которому подключена флэшка. Только вот сам накопитель никак не защищен. Его нужно хранить в сейфе, а компьютер, на котором происходит подписание, стоит проверять на наличие вирусов. Ведь какой-нибудь троян способен запросто украсть ключ. Вывод: флэш-накопитель - самый плохой вариант, крайне не рекомендуется.
3. Ключи помещаем на специальный физический носитель – смарт-карту или USB-токен в защищенную область памяти. Для доступа к ключам необходимо ввести PIN-код. Для вычисления электронной подписи используется специальное программное обеспечение, установленное на ПК. Таким образом, каждый раз при подписании электронных документов ключ электронной подписи передается в память рабочего компьютера. Но существует программное обеспечение, позволяющее злоумышленнику извлечь и скопировать ключ. Для этого нужно подсмотреть PIN-код и на время получить доступ к токену.
4. Ключи электронной подписи создаются и хранятся в памяти криптографического токена, а значит необходимость передавать ключи на ПК отпадает. Следовательно, такие ключи можно объявить неизвлекаемыми. Способа достать неизвлекаемый ключ из памяти токена (и скопировать его) не существует.
Фактически, использование активных криптографических средств электронной подписи (токенов и смарт-карт) – единственный по-настоящему надежный способ защиты ключей электронной подписи от злоумышленников. Почему же он не используется в 100% случаев?
1. Токены с криптографическим процессором стоят немного дороже токенов без оного. И уж, конечно, дороже обычных флэшек.
2. При выдаче ключей Удостоверяющие центры иногда рассказывают об опасностях, подстерегающих владельцев ключей, и о способах защиты. В результате пользователи зачастую выбирают более понятную им флэшку, чем совершенно незнакомый токен.
О видах электронной подписи напишем в следующей статье.