Электронная подпись для Web-порталов и облачных сервисов

Максим Чирков
руководитель направления
развития сервисов ЭП,
ЗАО "Аладдин Р.Д."

Безопасность - важнейшее требование при работе с юридически значимыми документами. Если на стороне технологической площадки сервиса построить эффективную систему защиты не представляется сложным и задача сводится к обеспечению комплексных технических и организационных мер, то на стороне клиента всегда приходится искать равновесие между безопасностью и удобством работы. Таким образом, при построении или модернизации Web-сервиса, обрабатывающего юридически значимые документы, необходимо решить три задачи:

• обеспечение комплексной ИБ в недоверенной среде пользователя;
• соответствие требованиям российского законодательства в области использования средств криптографической защиты информации;
• обеспечение простоты и удобства работы пользователя.

Еще несколько лет тому назад для решения этих задач понадобилось бы несколько различных средств, однако на сегодняшний день существуют решения, объединяющие данные функциональные возможности.

Предложенное решение позволяет организовать доверенное, юридически значимое взаимодействие клиента с Web-сервисом в рамках сеанса браузера. Основным преимуществом этого решения является баланс между высоким уровнем безопасности и удобством работы для массового пользователя.

Решение предоставляет возможность работать с Web-приложениями в безопасном режиме, используя практически любой компьютер или мобильное устройство, имеющие интернет-подключение. При этом обеспечивается взаимная двухфакторная аутентификация клиента и сервиса, конфиденциальность передаваемых данных, формирование и проверка квалифицированной ЭП, Web-форм и файлов с использованием российских криптографических алгоритмов.

Безопасность решения в большей степени обеспечивается за счет использования электронных ключей. Это USB-токены, смарт-карты, банковские либо Secure MicroSD-карты с реализацией сертифицированной российской криптографии "на борту". Устройства базируются на высокозащищенной платформе, разработанной для смарт-карт. Встроенный генератор псевдослучайной последовательности и неизвлекаемые закрытые ключи позволяют выдавать сертификаты на срок до трех лет с возможностью самостоятельной перегенерации ключей клиентом без использования дополнительных СЗИ и СКЗИ.

Следующим "кирпичиком" решения является кросс-платформенный мультибраузерный плагин. В момент первого посещения портала плагин подгружается автоматически и, вне зависимости от клиентской операционной системы (MS Windows, Linux, Mac OS), устанавливается во всех распространенных Web-браузерах: MS IE, Firefox, Chrome, Opera, Safari. Именно этот компонент обеспечивает взаимодействие Web-приложения с электронным ключом в рамках сеанса браузера.

Для обеспечения коммуникации с плагином, работающим на клиентском компьютере, на стороне сервиса необходим специализированный модуль. Так как архитектура и логика всех Web-приложений уникальна, то предоставление этого модуля в скомпилированном виде нецелесообразно. Обеспечить взаимодействие модуля с Web-сервисом позволит комплект разработчика, содержащий необходимые примеры кода и методологии встраивания, в частности библиотеку SSL Server и примеры кода на ASP. Net и PHP. С помощью этого компонента без существенных затрат разработчик может сформировать защищенный канал передачи данных и реализовать набор действий с электронной подписью и цифровыми сертификатами, используя российскую криптографию на стороне сервера.

Уникальным преимуществом Web-портала, использующего это технологическое решение, является то, что работа с криптографией на данном портале доступна не только с рабочих станций, ноутбуков и терминалов, но и с мобильных платформ (iOS, Android). При этом исчезает необходимость разработки собственного мобильного приложения - пользователю достаточно открыть портал через специализированный браузер с интегрированными методами плагина. В качестве электронного ключа в случае с платформой iOS выступает смарт-карта, подключенная через специальный ридер, или Secure MicroSD в случае платформы Android. Так как криптографические операции выполняются внутри смарт-карты, то установка специализированного браузера не требует операций, подобных jailbreak.

Таким образом, представленное решение интересно в применении как во вновь создаваемых сервисах, так и в уже созданных, поддерживающих работу с криптографией. При этом существенно расширяется парк устройств, с которых осуществляется доступ, упрощаются требования квалификации пользователей, и обеспечивается достаточный уровень безопасности клиентов при работе с документами, имеющими юридическую силу.