Особенности применения квалифицированной электронной подписи на мобильных устройствах*

Алексей Александров
Руководитель направления по работе
с технологическими партнерами компании
"Аладдин Р.Д."

При эволюции документооборота и других информационных систем от бумажного к электронному виду роль электронной подписи как средства обеспечения юридической значимости сложно переоценить. Квалифицированная электронная подпись и строгая аутентификация - это обязательные "спутники" множества информационных систем, с которыми нам приходится работать практически ежедневно. В их числе системы дистанционного банковского обслуживания, системы сдачи отчетности, электронные торговые площадки, системы корпоративного документооборота и другие. Как правило, во всех этих системах к вопросу обеспечения безопасности конфиденциальной информации подходят очень серьезно и решают проблему комплексно.

Нельзя не отметить набирающее в последнее время популярность и востребованность использования в работе мобильных устройств и тенденцию BYOD (Bring Your Own Device, "принеси свое собственное устройство"). Важным аспектом является невозможность обеспечивать безопасность конфиденциальной информации на мобильных устройствах теми же средствами, что и на PC. Это происходит из-за архитектурных ограничений мобильных устройств и отсутствия в мобильных операционных системах поддержки российской криптографии.

Однако если посмотреть на проблему под другим углом, то можно увидеть, что между работой в информационных системах с PC, и с мобильного устройства очень много общего. И сценарии работы примерно те же: при подключении к серверу, Web-порталу или облачному сервису в обоих случаях необходимо пройти процедуру строгой аутентификации, а для подтверждения своих операций или данных необходимо использовать квалифицированную электронную подпись. При этом, конечно, данные, передаваемые между клиентом и сервером, должны быть надежно защищены.

В последнее время стали появляться программные СКЗИ для мобильных платформ, реализующие работу с ГОСТ-криптографией. Такие решения позволяют выполнить поставленные задачи - аутентифицироваться и формировать электронную подпись. Но подобные решения имеют и ряд недостатков:

1. Закрытые ключи подписи хранятся на мобильном устройстве. Следовательно, само устройство превращается в ключевой носитель, и к нему должны применяться соответствующие требования, вплоть до "поработал - убери в сейф".
2. Наличие в сертификате ФСБ России на такое программное СКЗИ привязки к определенной версии мобильной ОС. При выходе более свежей версии ОС, в лучшем случае, сертификат ФСБ теряет свою силу, а в худшем - СКЗИ перестает работать, т.к. в новую версию мобильной ОС производителем были внесены существенные изменения.
3. При использовании сервисов резервного копирования воблаке производителя мобильного устройства есть риск, что криптографические ключи пользователя "утекут" в облако в составе резервной копии и будут скомпрометированы.
4. Аналогичная проблема возникает при утере мобильного устройства.
5. Существующие в России экспортные ограничения на вывоз СКЗИ не позволяют публиковать мобильные приложения со встроенной программной реализацией российских криптоалгоритмов в магазины приложений за границей (AppStore, Google Play и другие).

Нам видится более правильным подход, при котором криптография реализована на смарт-карте, подключаемой к iOS-устройству (iPad или iPhone) с помощью совместимого с ней считывателя. "Аладдин Р.Д." предлагает такое устройство: оно подключается к iPad/iPhone через разъемы Apple Dock или Lightening. Дополнительно считыватель имеет microUSB-разъем и может быть подключен к рабочему компьютеру (Win/Mac/Linux) как обычный CCID-совместимый считыватель, не требующий установки драйверов.

В случае с платформой Android - если Android-устройство имеет возможность подключения USB-устройства, то этот же считыватель может использоваться и там. В остальных случаях мы рекомендуем использовать карту Secure MicroSD.

Такое решение лишено недостатков программных СКЗИ для мобильных платформ:

1. Хранение ключей на смарт-карте снимает ограничения, налагаемые на мобильное устройство. Криптографические ключи хранятся отдельно от защищаемых данных.
2. В сертификате ФСБ России на смарт-карту отсутствует привязка к операционным системам и их версиям. Обновление мобильной ОС не влияет на работоспособность смарт-карты.
3. Криптографические ключи не покидают смарт-карту, поэтому при резервном копировании они не могут быть скомпрометированы.
4. Смарт-карта защищена паролем (PIN). Это является дополнительной защитой закрытых ключей в случае утери смарт-карты.
5. С использованием смарт-карты с аппаратной реализацией российских криптоалгоритмов исчезает необходимость встраивания в мобильное приложение программной реализации криптоалгоритмов. Благодаря этому мобильное приложение может быть опубликовано в AppStore, Google Play или другом магазине приложений.

Таким образом, использование с мобильным устройством той же смарт-карты и тех же сертификатов пользователя, что и на PC существенно снижает нагрузку на администраторов информационных систем и офицеров безопасности.