Некоторые аспекты применения СКЗИ и сервисов PKI при оказании государственных электронных услуг

Алексей Уривский
эксперт-исследователь ОАО "ИнфоТеКС"

Предоставление государственных услуг и сервисов в электронной форме является одним из приоритетов государства в развитии информационного общества. Обмен данными между гражданином и информационными системами госорганов включает передачу некоторой конфиденциальной информации, в том числе и персональных данных. Такой обмен происходит по открытым сетям общего пользования и является удаленным, а система предоставления услуг – территориально распределенной. В таких условиях только криптографические средства защиты (СКЗИ) позволят принципиально исключить доступ нарушителя к информации и обеспечить защиту при разумных расходах.

Инфраструктура открытых ключей

Большинство госуслуг являются адресными, что требует средств идентификации и аутентификации участников процесса. Причем аутентификация необходима как для получателя услуги, так и для уполномоченного должностного лица. Кроме того, необходимы средства обеспечения юридической силы предоставляемых документов и совершаемых действий. Известным подходом к решению этих задач является применение механизмов аутентификации и ЭЦП с использованием сертификатов открытых ключей. Поэтому необходимым технологическим компонентом системы массовых электронных услуг является инфраструктура открытых ключей (PKI).

При создании СКЗИ в компьютерных системах криптографические функции обычно отделены от прикладных и реализуются в отдельном независимом модуле. В целях безопасности хранение криптографических ключей, а также часть криптографических функций осуществляются с помощью внешних аппаратных криптографических элементов (криптотокенов).

Средства, применяемые для получения и оказания госуслуг, должны быть в определенной степени универсальными. Это означает, что интерфейсы взаимодействия СКЗИ с прикладным ПО, криптографическими токенами и с PKI должны быть открыты и доступны всем заинтересованным сторонам. Лучше, если они будут соответствовать стандартам.

Стандартизация

Формально в России не существует стандартов взаимодействия СКЗИ с прикладным ПО. Многие российские разработчики в среде Windows пользуются интерфейсом MS CryptoAPI, реализуя СКЗИ в виде криптопровайдера. Для кроссплатформенных решений часто используется де-факто стандарт PKCS#11. Он же наиболее уместен и для взаимодействия СКЗИ с криптотокенами. Технический комитет по стандартизации TK26 подготовил расширение стандарта, вошедшее в версию 2.3, для использования российских криптоалгоритмов. Существует и много других интерфейсов криптотокенов, в том числе и проприетарных. Однако такое разнообразие для массовых госуслуг скорее вредит: пользователь может воспользоваться своим носителем только там, где установлено СКЗИ, реализующее выбранный производителем токена интерфейс.

При создании PKI все производители придерживаются алгоритмов по ГОСТ Р 34.10–2001 и Р 34.11–94, а также стандартных спецификаций X.509 для сертификата открытого ключа. Однако в части работы с закрытыми ключами сложившаяся практика такова, что каждый производитель СКЗИ использует свой собственный формат контейнеров для их хранения и передачи. Проблема здесь состоит в том, что СКЗИ для генерации и использования закрытого ключа должны быть одного и того же производителя. В противном случае использование ключа невозможно.

Решить указанные проблемы совместимости СКЗИ и сервисов PKI можно только стандартизацией соответствующих форматов, интерфейсов и протоколов.

Вопрос о стоимости средств защиты

Обеспечение процесса предоставления услуг – достаточно затратный процесс. При этом часть расходов ляжет на государство, другая, возможно, – на получателей услуг. Поэтому наличие свободных в использовании бесплатных решений для государства представляет особую актуальность.

ОАО "ИнфоТеКС" предлагает бесплатно предоставить неограниченные клиентские лицензии на свой криптопровайдер ViPNet CSP.

ViPNet CSP реализует российские криптографические стандарты и функционирует под управлением наиболее распространенных операционных систем. Криптопровайдер поддерживает широко используемые офисные и интернет-приложения; реализуются известные международные интерфейсы MS CryptoAPI, CSP, CAPICOM, PKCS #11, PKCS#7, PKCS#10.

В ближайшее время ожидается положительное заключение ФСБ России на ViPNet CSP как СКЗИ по классам КС1/КС2. Для ViPNet CSP согласован упрощенный порядок учета как СКЗИ, существенно облегчающий его массовое распространение: криптопровайдер будет доступен для загрузки с Web-сайта производителя, причем для легитимного использования криптопровайдера гражданами достаточно будет заполнения регистрационной Web-формы.

Демонстрационную версию провайдера можно получить на сайте www.infotecs.ru.