Что такое интеграционные отношения


Опубликовано: 14.09.2017, 17:49/ Просмотров: 208

что такое интеграционные отношения Журнал о системах электронного документооборота (СЭД) Основы электронного документооборота 28 ноября 2011 г. 16:11   Добавить в закладки

такое

Хранение ключа личной электронной подписиКак известно, если у стороннего лица есть доступ к закрытому ключу вашей электронной подписи, последний может от вашего имени устанавливать ее, что по возможным последствиям аналогично подделке подписи на бумажном документе. Поэтому необходимо обеспечить высокий уровень защиты закрытого ключа, что наилучшим образом реализовано в специализированных хранилищах. К слову, электронная подпись это не сохраненная в виде файла картинка с вашими закорючками, а строка бит, полученная в результате криптографического преобразования информации с использованием закрытого ключа, позволяющая идентифицировать владельца и установить отсутствие искажения информации в электронном документе. У электронной подписи имеется и открытый ключ – код, который доступен всем, с помощью него можно определить, кто и когда подписал электронный документ.

Сейчас наиболее распространенный вариант хранения закрытого ключа – на жестком диске компьютера. Но у него существует ряд недостатков, в том числе:

●    Ключ необходимо устанавливать на все компьютеры, на которых работает пользователь. А это, во-первых, неудобно, во-вторых, потенциально небезопасно. Почему? Получив доступ к системе (например, пользователь забыл заблокировать систему пред уходом), можно беспрепятственно подписывать документы или скопировать ключ, используя средства экспорта.

●    Для экспорта/импорта закрытого ключа, например, если возникнет необходимость переехать с одного рабочего места на другое, необходима определенная квалификация и права доступа. Как вариант, можно оформить заявку администраторам, но это потеря времени и не всегда удобно.

Теперь вернемся к специализированным хранилищам. На текущий момент в некоторых системах электронного документооборота реализована возможность использования хранилищ, например e-Token и Rutoken. Что же такое e-Token или Rutoken (часто называют просто «токен»)? Это защищенное хранилище ключей в виде USB-брелоков и смарткарт, доступ к которому осуществляется только по пинкоду. При вводе неверного пинкода более трех раз хранилище блокируется, предотвращая попытки доступа к ключу путем подбора значения пинкода. Все операции с ключом производятся в памяти хранилища, т.е. ключ никогда его не покидает. Таким образом, исключается перехват ключа из оперативной памяти.

Помимо указанных выше преимуществ при использовании защищенных хранилищ можно выделить следующие:

●    гарантируется сохранность ключа, в том числе при потере носителя на время, необходимое для отзыва сертификата (ведь о потере ЭЦП необходимо срочно сообщать в удостоверяющий центр, как сообщается в банк при потере банковской карты);

●    нет необходимости устанавливать сертификат закрытого ключа на каждый компьютер, с которого работает пользователь;

●    «токен» можно одновременно использовать для авторизации при входе в операционную систему компьютера и в СЭД. То есть он становится персональным средством аутентификации.

Если СЭД имеет интеграционные решения со специализированными хранилищами для закрытых ключей, то все преимущества проявляются и при работе с системой.

Рассмотрим вариант, когда пользователь хранит ключ в специализированном хранилище, при этом активно работает с ноутбука. Тогда, даже при утере мобильного рабочего места (при условии сохранения «токена»), можно не беспокоиться о том, что кто-то получит доступ к СЭД с ноутбука или сможет скопировать закрытый ключ и подписать электронные документы от имени этого пользователя.

Использование специализированных хранилищ предполагает дополнительные расходы, но при этом значительно увеличивается уровень обеспечения безопасности вашего ключа и системы в целом. Поэтому специалисты рекомендуют использовать подобные устройства в работе, но выбор, конечно, всегда остается за вами.

Подготовлено на основе материала Хранение закрытого ключа электронной подписи.

Теги:

5-й ежегодный Russian Enterprise Content Summit (RECS) 2017

Похожие записи

Взорвать ECM

ECM мертв?

Проще говоря

Комментарии (23)

29 ноября 2011 г. 11:09  

Сейчас наиболее распространенный вариант хранения закрытого ключа – на жестком диске компьютера.

Откуда Вы это взяли? Все УЦ выдают ключи на отчуждаемых носителях!

Для экспорта/импорта закрытого ключа, например, если возникнет необходимость переехать с одного рабочего места на другое, необходима определенная квалификация и права доступа.

Это о чем? Копирование и удаление закрытых ключей - стандартная функция СКЗИ, изначально доступная пользователю.

При вводе неверного пинкода более трех раз хранилище блокируется, предотвращая попытки доступа к ключу путем подбора значения пинкода. Все операции с ключом производятся в памяти хранилища, т.е. ключ никогда его не покидает.

Зачем вводить читателей в заблуждение? Токен блокируется не после трех неудачных попыток. а через столько, сколько настроено. Ключ не покидает токен только если все операции с закрытым ключом производятся внутри него. Пока что это доступно только в специализированных программно-аппаратных решениях, таких как ФКН например с eToken или РУТОКЕН (кстати, РУТОКЕН в сущности не смарт-карта, да и в пластике не выпускается), которые на текущий момент не особо распространены.

сертификат закрытого ключа

Что это?

Рассмотрим вариант, когда пользователь хранит ключ в специализированном хранилище, при этом активно работает с ноутбука. Тогда, даже при утере мобильного рабочего места (при условии сохранения «токена»), можно не беспокоиться о том, что кто-то получит доступ к СЭД с ноутбука или сможет скопировать закрытый ключ и подписать электронные документы от имени этого пользователя.

Это про что? К ключам ЭЦП не имеет никакого отношения. Про надежность аутентификации в СЭД с помощью токена?

29 ноября 2011 г. 13:03  

Откуда Вы это взяли? Все УЦ выдают ключи на отчуждаемых носителях!

Отчуждаемый носитель = дискета. Ключ с дискеты обычно копируется на локальный диск, ибо пользователю лень каждый раз доставать дискету.

 

Это о чем? Копирование и удаление закрытых ключей - стандартная функция СКЗИ, изначально доступная пользователю.

Предлагаю немного посмотреть с другой стороны, не все используют СКЗИ в Вашем понимании, кто-то пользуется стандартными средствами операционной системы, с которой возникает множество вопросов.

 

Зачем вводить читателей в заблуждение? Токен блокируется не после трех неудачных попыток. а через столько, сколько настроено.

Насколько мне известно, по умолчанию установлено значение 3. исходя из моей практики, оно никогда и не изменяется, большая часть пользователей вообще не знает о том, что его можно изменить :)

29 ноября 2011 г. 13:12  

29 ноября 2011 г. 13:15  

Алена, я конечно понимаю, что статья носит несколько "общеознакомительный" характер, но все же стоит более широко осветить список "достоинств и недостатков" каждого решения. Я ничуть не опровергаю конечный вывод о большей надежности smartcards, но потенциально они создают куда больше сложностей чем банальное "предполагает дополнительные расходы".

Далее мои замечания, буду рад, если вы найдете время разобраться и ответить на них.

По ключам на локальном компьютере

Ключ необходимо устанавливать на все компьютеры, с которых работает пользователь

Это не так. Используемый по умолчанию в Windows RSA-криптопровайдер хранит использует для хранения закрытых ключей папку C:\Users\<user_name>\AppData\Roaming\Microsoft\Crypto\RSA.

Т.е. располагает их в перемещаемой части профиля, а значит, если пользователь работает за разными машинами в пределах корпоративной сети, ему достаточно будет настроить перемещаемый профиль и устанавливать сертификаты на каждую машину нет нужды.

 

По использованию токенов

 

Это защищенное хранилище ключей в виде USB-брелоков и смарткарт, доступ к которому осуществляется только по пинкоду

Тут нужно понимать, что у разных производителей данная функциональность реализуется по-разному. У одних клавиатура по вводу PIN-кода расположена прямо на самом устройстве, у дригих используется специализированное ПО на компьютере.

В первом случае устройство получается более громоздким, но более защищенным от перехвата PIN-кода, который может быть считан установкой программного или аппаратного кейлоггера на машине пользователя, в случае использования ПО ввода.

В частности Rutoken использует именно ПО для ввода PIN-кодов, а значит потенциально уязвим.

 

нет необходимости устанавливать сертификат закрытого ключа на каждый компьютер, с которого работает пользователь

Верно, сертификаты устанавливать не надо, зато нужно устанавливать драйверы устройств, криптопровайдеры и другие модули.

А это дополнительное низкоуровневое ПО со своими специфическими особенностями и проблемами.

 

Все операции с ключом производятся в памяти хранилища, т.е. ключ никогда его не покидает. Таким образом, исключается перехват ключа из оперативной памяти

Да, это верно, но только при условии, что вы используете криптофункции самого устройства (т.е. все шифрование и подписание выполняет сам токен).

Это самый безопасный вариант, но у него есть ряд ограничений:

  • релизуемые алгоритмы. Например, тот же Rutoken (если судить по их документации) аппаратно поддерживает только ГОСТ 28147-89. Все остальные алгоритмы, по всей видимости реализуются уже программно, т.е. с извлечением закрытого ключа из хранилища.
  • скорость интерфейсов. Простые smartcards реализуют, как правило не самые быстрые аппаратные интерфейсы (скорее всего в целях упрощения и удешевления устройства), например USB 1.1. А так как для подписания/шифрования вам нужно передать на устройство весь файл, это может стать причиной неожиданных "тормозов".

Однако (опять-таки, судя по документации Rutoken) токены могут выступать и просто как шифрованные хранилища. Например, так они работают в связке с КриптоПро CSP. Ну а дальше вывод очевиден - раз одно ПО может получить доступ к ключам, значит это может сделать и другое.

Дополнительные вопросы

К списку выше нужно добавить еще некоторые вопросы, которые также следует учитывать при принятии решения о переходе на токены:

  • каким образом реализуется обновление сертификатов? Например, ни на сайте Rutoken (в общих разделах и форуме), ни в документации я не нашел упоминания о поддержке Rutoken-ом службы распространения ключей Active Directory. Если это так (и сам Rutoken не предоставляет других механизмов массового обновления ключей), то все ключи нужно обновлять через администраторов, что порождает свои проблемы (т.к. операция не тривиальная).
  • какое ПО, используемое на предприятии и требующее криптофункций:
    • может работать через криптопровайдер (некоторое ПО использует собственную реализацию криптоалгоритмов и требует только доступа к ключам)
    • может использовать криптопровайдеры, отличные от стандартных
  • какое дополнительное ПО (помимо драйверов токена) потребуется установить на рабочих станциях и серверах. Например, стандартный центр сертификатов Microsoft не поддерживает создание ключей для алгоритмов GOST, (а с другими токен может и не работать).

29 ноября 2011 г. 13:24  

29 ноября 2011 г. 13:57  

29 ноября 2011 г. 14:15  

29 ноября 2011 г. 15:39  

Отчуждаемый носитель = дискета

Не всегда. Главное, что он отчуждаемый!

Ключ с дискеты обычно копируется на локальный диск, ибо пользователю лень каждый раз доставать дискету.

Лень и требования по использованию криптосредств находятся на разных полюсах.

Предлагаю немного посмотреть с другой стороны, не все используют СКЗИ в Вашем понимании, кто-то пользуется стандартными средствами операционной системы, с которой возникает множество вопросов.

Ну тогда это не СКЗИ. По этим вопросам надо обращаться к организатору/оператору такой информационной системы.

Насколько мне известно, по умолчанию установлено значение 3. исходя из моей практики, оно никогда и не изменяется, большая часть пользователей вообще не знает о том, что его можно изменить :)

15. То, что PIN не меняется - это организационная проблема.

Т.е. располагает их в перемещаемой части профиля, а значит, если пользователь работает за разными машинами в пределах корпоративной сети, ему достаточно будет настроить перемещаемый профиль и устанавливать сертификаты на каждую машину нет нужды.

О какой безопасности речь?

каким образом реализуется обновление сертификатов? Например, ни на сайте Rutoken (в общих разделах и форуме), ни в документации я не нашел упоминания о поддержке Rutoken-ом службы распространения ключей Active Directory.

Изданием сертификатов занимается УЦ. Слишком многого Вы ждете от ключевого носителя.

Корпоративные УЦ в организациях выдают ключи как попало.

У Вас путаница в терминологии. Есть корпоративные информационные системы, а корпоративных УЦ не существует. Если Вы считаете службы сертификации, предназначенные для обеспечения функционирования криптографических механизмов защиты информации, встроенные в системное ПО, корпоративными УЦ, то Вы ошибаетесь. УЦ - субъект правоотношений, и он несет ответственность за свои действия.

Это как?

Я имел в виду, что кража ноутбука/ПК не имеет отношения к ключам ЭЦП.

Это никоим образом не оправдывает внесение в текст заведомо искаженной информации. Даже более того, если материал предназначен для начинающих пользователей он просто обязан содержать только проверенные факты

+1

29 ноября 2011 г. 15:51  

29 ноября 2011 г. 16:24  

29 ноября 2011 г. 16:36  

29 ноября 2011 г. 16:57  

Я всего лишь указал, что в состав стандартного ПО, который предоставляет Rutoken нет интеграции со службами распространения ключей и чем это грозит.

По требованиям безопасности не должно быть распространения закрытых ключей, соответственно и не с чем интегрироваться.

ФАПСИ-152:

"25.... Передача по техническим средствам связи криптоключей не допускается, за исключением специально организованных систем с децентрализованным снабжением криптоключами."

"32. СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки...."

30 ноября 2011 г. 09:18  

30 ноября 2011 г. 12:01  

30 ноября 2011 г. 12:14  

30 ноября 2011 г. 13:16  

30 ноября 2011 г. 15:12  

Сохранить комментарий Предпросмотр

 

Сейчас обсуждают

Подписка на анонсы:

Ежедневная подписка. Другие виды подписок доступны при регистрации.

Вверх
Источник: http://ecm-journal.ru/post/Khranenie-kljucha-lichnojj-ehlektronnojj-podpisi.aspx


Закрыть ... [X]

Как правильно хранить ключ личной электронной подписи #основы Чем смазывать заеды в уголках губ

Что такое интеграционные отношения Что такое интеграционные отношения Что такое интеграционные отношения Что такое интеграционные отношения Что такое интеграционные отношения Что такое интеграционные отношения Что такое интеграционные отношения Что такое интеграционные отношения