В статье рассматриваются возможные методы обеспечения юридической значимости сведений, которые передаются посетителям при пользовании электронными услугами. В качестве примера приводятся варианты реализации этих методов с помощью инструментов, которые разработала компания Swivel. Причём акцент делается не на технологии PKI, а на генерируемых приложениями кодах подтверждения. Такие технологии можно использовать при разборе споров между оператором веб-сервиса и его клиентами.
3. Архитектура и системные требования
4. Варианты электронных подписей
Введение
В нашу жизнь все глубже входят веб-сервисы, предоставляемые различными провайдерами через Интернет. Причём такие сервисы уже начали работать с такой важной информацией как сведения в государственных системах, финансовые традиции, сведения о здоровье, личной жизни и многое другие. При этом всё чаще возникают конфликты между операторами и клиентами, разбирать которые приходится в судах. Для разбора подобных конфликтов приходится каким-то образом представлять в судах сведения из электронных систем оператора, а для этого уже нужно соблюдать определённые процессуальные правила при фиксации всех действий пользователей.
Кроме того, государство, в связи с ужесточением информационной политики, например, постановление правительства N759 об обязательной аутентификации пользователей сети Интернет, начало требовать от операторов представлять сведения о пользователях. Для этого также необходимы юридически значимые механизмы аутентификации посетителей и клиентов. Конечно, в качестве первичной идентификации можно использовать телефонный номер с подтверждением по SMS, но такой способ достаточно дорог для оператора, особенно если он предоставляет бесплатные сервисы. Дешевле будет для аутентификации использовать коды, генерируемые специальным приложением. Например, у компания Swivel предлагает целый набор таких механизмов аутентификации.
Отдельно стоит напомнить, что федеральный закон ФЗ-161 "О национальной платежной системе" требует, чтобы банки сообщали пользователям о проводимых транзакциях. Однако при использовании для управления счётом мобильного приложения или веб-сервиса можно использовать его для сообщения пользователю о проводимой транзакции. Здесь также стоит предусмотреть механизм подтверждения факта прочтения информации о транзакции со стороны пользователя для случая последующего разбора конфликтной ситуации, когда пользователь будет оспаривать в суде проведенную таким образом транзакцию. В этом случае также можно использовать более дешёвые механизмы подготовки кодов транзакций с помощью приложений, таких как Swivel PIN Pad.
Общие сведения
Все указанные выше применения юридически значимой аутентификации опираются на нормы федерального закона ФЗ-63 "Об электронной подписи", который сменил нормы ФЗ-1 "Об электронно-цифровой подписи". В нём юридическая значимость требовала использования криптографических алгоритмов, сертифицированных средств генерации ЭЦП и создания аккредитованной PKI-системы. Электронная подпись, которая была легитимизирована в 2011 году 6 апреля 2011 г., сильно упростила ситуацию.
В чем была суть изменений? После вступления в силу ФЗ-63 электронной подписью можно называть не только то, что использует криптографию, а вообще любой цифровой код - в том числе и полностью случайную последовательность цифр. Даже обычная пара имя пользователя и пароль может быть признана простой электронной подписью, и она вполне может быть признана судом и участниками документооборота.
Закон ввел три вида электронных подписей: квалифицированная; неквалифицированная; простая. Квалифицированная – это полный аналог ЭЦП из ФЗ-1, то есть подпись, где используется криптография, и удостоверяющий центр входит в признанную государством PKI-структуры. Неквалифицированная электронная подпись – аналог квалифицированной, только PKI-структура может быть любой, в том числе и международной. Эта подпись хорошо подходит для международного обмена электронными документами. Простая подпись – это любой цифровой код, который подтверждает факт формирования электронной подписи определенным лицом (Ст.5 п.2), которое ознакомились с документом или желает подтвердить свою личность. При этом алгоритм формирования этого кода не регламентируется.
Теперь важно определить область применения простой ЭП, как наиболее удобной и широко распространенной. В соответствии со статьями 6, 9, 21, 22 и некоторых других статей ФЗ-63 простая электронная подпись может применяться:
- В рамках гражданского документооборота на основании договора при заключении его через веб-сервис. Например, два лица (физических или юридических) указывают в договоре, что фактом подписи документа на сайте будет введение кода, который пришел на телефон в виде смс-сообщения. Отказаться от факта такой подписи уже не получится, так как суд признает такую подпись.
- В рамках муниципальных и государственных услуг, но только в тех случаях, когда не требуется квалифицированная подпись. Очень актуально для сайта Госуслуг и оказания простых услуг, например записи на прием к врачу.
- В мобильных приложениях, таких как клиент-банк для подтверждения факта ознакомления пользователя с информацией о проведённых транзакциях. Для банков это способ меньше тратить средств на оповещение пользователей о транзакциях, используя для этого приложения и специальный веб-сервис.
Естественно, использовать простую ЭП для подписания электронных документов, содержащих составляющие государственную тайну сведения, , или в информационной системе, содержащей составляющие государственную тайну сведения, , не допускается. Также простая подпись не может быть использована в том случае, когда требуется установление личности пользователя или клиента, например, при подготовке документов на получение паспорта, лицензий или других аналогичных документов.
Закон дал возможность использовать простую ЭП в большинстве случаев, однако теперь вопрос «достаточности» безопасности переложен на хозяйствующие субъекты. Банк может заключить договор с клиентом – крупным промышленным предприятием, что фактом подписи платежного поручения будет простая пара имя и пароль, которая, как мы все понимаем, реальной безопасности обеспечить не может. Таких условий в договорах, конечно, никто не допускает, хотя по закону такая возможность имеется.
Для того чтобы ответить на вопрос, какими способами можно добиться усиления аутентификации граждан при использовании электронных услуг, нужно понять какими технологиями мы пользуемся и будем пользоваться в ближайшей перспективе. Сейчас наиболее перспективными технологиями являются веб-сервисы и мобильные приложения. И в том, и в другом случае вполне можно использовать технологии Swivel PIN Pad.
Архитектура и системные требования
Для интеграции технологии юридической значимости в веб-сервис нужно установить собственно сервер Swivel PIN Pad и организовать его взаимодействие с веб-сервером, на котором работает веб-приложение. Как устанавливать и настраивать сервер Swive PIN Pad мы уже писали в статье "Обзор возможностей платформы аутентификации Swivel". Интеграция же сильно зависит от используемой платформы веб-приложений. В частности, компания поддерживает интеграцию со следующими платформами:
- Microsoft IIS. Технология обеспечивает взаимодействие с IIS причём как со старой версией, так и с современными, которые используют технологию .NET. Для этого используются специальные фильтры ISAPI.
- Платформа .NET. Если приложение основано на технологии . NET, то можно пользоваться специально подготовленной для такой интеграцией DLL-библиотекой.
- XML-интеграция. Можно для интеграции воспользоваться специальным протоколом, который обеспечивает интеграцию с веб-приложениями с помощью обмена XML-документами.
- Java. Если веб-приложение построено на основе Java, то для интеграции можно воспользоваться специально подготовленным Java-приложением.
- PHP. При использовании платформы на основе PHP можно установить на неё специальную PHP-библиотеку.
Таким образом, разработчики Swivel предусмотрели практически все возможности интеграции. Только нужно помнить, что компонент Swivel PIN Pad по логике должен подтверждать ознакомление пользователя с определённой информацией, поэтому типовые конфигурации, ссылки на которые приведены выше, стоит дополнить информацией из веб-приложения.
Варианты электронных подписей
Рассмотрим различные варианты технологии Swivel PIN Pad, которые можно использовать для подтверждения личности клиента веб-сервиса.
Один из популярных сервисов аутентификации с помощью одноразовых кодов является пересылка одноразовых кодов на телефон с помощью коротких сообщений SMS. Однако каждое такое SMS стоит определённых, хотя и не очень больших, денег. Поэтому этот способ оказывается достаточно дорогим. Тем не менее этот метод аутентификации позволяет связать пользователя с номером телефона, а через него - с паспортными данными, которые требуются, в частности, для первоначальной идентификации пользователя. Аутентификация с помощью SMS реализована в продуктах Swivel, например, в продукте PINsafe, но для проведения рядовой аутентификации лучше использовать другие, более дешёвые варианты аутентификации.
В массовом порядке лучше использовать более дешевую технологию аутентификации PIN PAD, см рисунок 1.
Рисунок 1.Swivel PIN Pad позволяет вводить одноразовые коды - каждый раз последовательность цифр в шестигранниках меняется.
Пользователь вводит PIN, при этом в строку с одноразовые кодом OTC вводится не сам PIN, а одноразовый код, который получается за счет перестановки цифр в сотах (каждую сессию цифры в сотах меняют свое положение). Эта технология чисто серверная, то есть не требует установки дополнительного программного обеспечения ни на компьютер пользователя, ни на его мобильное устройство. Всё взаимодействие выполняется через браузер без использования механизма взаимодействия через мобильную сеть.
Впрочем, для генерации одноразовых паролей можно использовать и мобильное приложение, которые по своей сути являются эмулятором аппаратного генератора одноразовых паролей. Такое приложение (см. рисунок 2) позволяет с помощью мобильного устройства генерировать одноразовые пароли без прямого взаимодействия с сервисом. При этом мобильное устройство вообще может быть отключено от коммуникаций - в нём используется только криптографический алгоритм вычисления кода либо по количеству нажатий, либо по времени.
Рисунок 2. Процесс генерации одноразового пароля с помощью мобильного приложенияSwivel PINsafe
Процесс аутентификации по такому коду также достаточно прост - он приведен на рисунке 3.
Рисунок 3. Процесс аутентификации с помощью одноразового пароля, сгенерированного приложением Swivel PIN Pad
Такой способ аутентификации сейчас набирает всё большую популярность. В этом случае пользователю нужно установить на своё мобильное устройство специальный генератор одноразовых паролей - Swivel PINsafe, который также нужно однократно настроить на взаимодействие с сервером. В дальнейшем, в том числе и при аутентификации, взаимодействие с сервером не потребуется. Пароли генерируются приложением на основе специального алгоритма, который использует либо число раз запуска приложения, либо время - выбор конкретного механизма аутентификации должен сделать оператор веб-сервиса или конструктор веб-приложения.
Компания также предлагает компонент для мобильного приложения, который может напрямую взаимодействовать с сервером аутентификации Swivel, минуя браузер и даже веб-сервер приложения. В этом случае функция аутентификации будет уже неотъемлемой частью мобильного приложения оператора. Перехватить такой сеанс аутентификации наиболее сложно.
Выводы
Таким образом, можно отметить, что сейчас разработаны все необходимые элементы для создания веб-сервисов, которые могут подтверждать действия пользователя так, что эти подтверждения впоследствии могут быть рассмотрены в суде.
Для этого вполне можно использовать технологии аутентификации от компании Swivel, для которой разработано достаточно много средств интеграции с различными платформами веб-приложений. Кроме того, технология может быть эффективно использована в роуминге и при недоступной сотовой связи. В этом случае она позволяет использовать только один канал взаимодействия с пользователем, а не два, как в случае аутентификации по SMS. Кроме того, компонент аутентификации может быть встроен в мобильное приложение, что сильно упрощает процедуру аутентификации - для пользователя это будет компонент, например, банковского приложения, а не дополнительный способ подтверждения транзакций.
Конечно, у технологии есть некоторые ограничения, поскольку законодательно простую электронную подпись можно использовать не всегда. Кроме того, нужно обеспечить такую интеграцию, чтобы клиент понимал, какую именно информацию он подписывает, вводя одноразовый пароль - это потребует некоторой дополнительной работы от разработчиков веб-приложения или мобильного клиента, но зато такой механизм аутентификации станет неотъемлемой частью системы. К тому же для разработчиков компания подготовила весь необходимый набор компонент для получения электронной подписи от клиентов, которая к тому же может быть признана судом.