ev » şirketler » Bulut elektronik imzası: artıları ve eksileri. "Bulut" CEP'in faydaları artık kullanıcılara sunuluyor

Bulut elektronik imzası: artıları ve eksileri. "Bulut" CEP'in faydaları artık kullanıcılara sunuluyor

Bildiğiniz gibi elektronik imzanın görevi iş akışını kolaylaştırmaktır. 2011 tarihli "Elektronik İmza Üzerine" yasasına göre, bir ES tarafından imzalanan dijital bir belge, el yapımı imzalı bir kağıt belgeye eşittir.

"Bulutlu" Elektronik İmza National'ın kurucusu ve başkanı Igor Chepkasov, normal bir kişinin sahip olduğu tüm özelliklere sahip, yalnızca bir flash sürücüde veya bilgisayarda değil, İnternette - özel bir güvenli sunucuda, “bulutta” saklanıyor. Kripto Para Geliştirme Fonu. Belgenin imzalanması ve şifrelenmesi de burada gerçekleşir, bu nedenle böyle bir elektronik imza, bilgisayara özel yazılım yüklenmesini gerektirmez. Uzman, "bulut" imzasının avantajlarından birinin belgeleri imzalama (raporlama dahil) ve dünyanın herhangi bir yerinden ve herhangi bir cihazdan gönderme yeteneği olduğunu belirtiyor.

Anton Elikov (Merkat projesi), “bulutta” elektronik imzanın, çoğumuzun her gün farkında bile olmadan kullandığı bir şey olduğunu belirtiyor. “En çarpıcı örnek, mobil ve internet bankalarında, şifre girildikten sonra SMS ile tek seferlik PIN kodu gönderildiğinde, yetkilendirme mekanizmasıdır. Böyle iki seviyeli bir yetkilendirme özünde zaten bir elektronik imza olabilir ”diyor uzman.

Neden e-postaya ihtiyacınız var? SKB Kontur'da bilgi güvenliği alanında uzman olan Sergey Kazakov, ES'nin yardımıyla şirketlerin vergi ve diğer düzenleyici makamlara raporlar sunduğunu, elektronik belge devir. Dijital imza da bu alanda yaygın olarak kullanılmaktadır. kamu alımları. Uzman, "Tahminlerimize göre, Rusya'daki toplam elektronik imza kullanıcılarının sayısı iki milyonu aşıyor" diyor. “Birkaç yıl önce ortaya çıkan “bulut” elektronik imza teknolojisi, bu aracı iş için daha erişilebilir hale getiriyor. Bu, kendi lehine bir seçim yapan on binlerce SKB Kontur müşterisi tarafından onaylandı” diyor Bay Kazakov.

Not

Uzmanlar "bulut" ES'nin yayılmasından bahsederken, bir sorun var - uygulamasının sorunları ayrıntılı olarak açıklanmadı. düzenlemeler.

System Software'de bilgi güvenliği başkanı Aleksey Dashkov'un belirttiği gibi, bir ES damgalı imza ile aynı işlevi görür. “Belgenin gerçekliğini sağlar ve kapalı ve Genel anahtar. Belge, genellikle özel bir ortamda saklanan özel bir anahtar kullanılarak imzalanır - bir belirteç. Hizmeti, standart bir kitin mevcudiyeti dışında özel bir gereklilik olmaksızın, bu tür hizmetleri sağlayan birkaç şirketten satın alabilirsiniz. kurucu belgelerşart değil” diyor.

“Bulut” elektronik imza, normal bir elektronik imzadır, ancak bir farkla: özel anahtar, sertifika merkezinin sunucularında saklanır ve belgelerin imzalanması burada gerçekleştirilir. İmzalayanın kimliği genellikle cep telefonuna kod içeren bir SMS gönderilerek doğrulanır” diye açıklıyor Bay Dashkov.

Yayın fiyatı

Igor Chepkasov, bir EP'nin maliyetinin işlevsellik ve kapsam ve 1.000 ila 15.000 ruble arasında değişmektedir. “En azından iş için bir EP'ye ihtiyacım olduğunda şahsen böyle fiyatlar ile karşılaştım. Uzman, bildiğim bazı şirketlerde "bulut" elektronik imzanın maliyetinin 3.000 ruble olduğunu söylüyor.

Bir "bulut" imzasının maliyeti, farklı faaliyet gösteren şirketler için değişir. Yılda 900 ruble için bir teklif bulabilirsiniz. Ancak, koşulsuz olarak reklam vaatlerine inanmayın. "Bulut" imzası için fiyat listesini ayrıntılı olarak tanımanızı ve fiyata neyin dahil olduğunu öğrenmenizi ve ancak bundan sonra satın alma konusunda karar vermenizi öneririz.

“Bulut” elektronik imzanın maliyeti genellikle müşterinin satın aldığı hizmetin tarifesine dahildir. Ayrı olarak satan tek SKB Kontur hizmeti sistemdir. elektronik belge yönetimi"Diyadok". İçinde 900 ruble. Aynı zamanda, bir kriptografik bilgi koruma aracı (CIPF) lisansı olan bir taşıyıcıda normal bir sertifika 3.000 rubleye mal olacak ”diyor Sergey Kazakov.

O nasıl çalışır?

Teknoloji, "bulutta" bulunan özel bir elektronik imza sunucusuna dayanmaktadır. "Kullanıcının örneğin bir rapor göndermesi gerekiyorsa, vergi Dairesi, muhasebe sistemi elektronik imza sunucusu ile etkileşime girer ve ona imzalanması için bir belge gönderir. Elektronik imza sunucusu, kullanıcıdan izin istemekle yükümlüdür - bu, İnternet bankasında olduğu gibi işlem onay kodunu cep telefonuna göndererek yapılabilir ”diyor Sergey Kazakov. Onay kodunu muhasebe sistemine girerek, kullanıcı ES anahtarına erişim yetkisi verir ve belge için bir imza oluşturulur. “Tüm elektronik imza anahtarları, en katı güvenlik gereksinimlerini karşılayan özel bir cihazda şifrelenmiş biçimde saklanır. Elektronik imza sunucusunun operatörü, anahtarlara yetkisiz erişim riskini en aza indirmek için tüm önlemleri almalıdır” diyor Bay Kazakov.

"Klasik" bir elektronik imza kullanmak için, bir kriptografik sağlayıcı olan bir belirteç ve özel yazılım satın almanız gerekir. “Bu, özellikle yeni başlayan girişimciler için önemli bir masraf. Ardından, bu yazılımın yüklenmesi ve yapılandırılması gerekir ve imzayı birkaç iş istasyonunda kullanacaksanız - her yer için ayrı ayrı. “Bulut” elektronik imza, yazılım satın alınmasını ve ön yapılandırmayı gerektirmez, kaybolmaz veya unutulamaz” diyor Bay Kazakov. Geleneksel teknolojilerin aksine, "bulut" imzası, aşağıdakiler de dahil olmak üzere herhangi bir işletim sistemi ve platformda kullanıcılar tarafından kullanılabilir. mobil cihazlar.

Aleksey Dashkov, "bulut" ES'nin, "çevrimiçi muhasebe ve çevrimiçi belge yönetimi gibi" hizmetleri aktif olarak kullanan küçük şirketler veya bireysel girişimciler arasında popüler olduğunu belirtiyor. V büyük organizasyonlar"Bulutları" kullanmayanlara göre, böyle bir imzanın kullanılması, geleneksel bir ES'nin kullanılmasından daha pahalı ve daha zor olabilir.

Beklentiler nelerdir?

Anton Elikov'a göre, Rusya'daki tüm ulaşım endüstrisi "bulut" elektronik imza kullanımının yayılmasını bekliyor. “Bir nakliyecinin bir deste kağıtla değil, bir tabletle uçağa bindiği bir durumu hayal etmek yeterlidir. Ve sevkiyat yerinde, müşteriyle bir konşimento imzalar! Ancak “bulut” elektronik imzası, teslimat belgesinin gerçekte sevk edilen ürün hacminden farklı olması durumunda (tatil, nakliye sırasında kırılma) ana fayda sağlayabilir” diye belirtiyor. Bay Elikov'a göre, uygulamada bu tür vakalar bazen yüzde 40'a kadar çıkıyor. “Ve tüm bu belgeler artık tedarikçi ve alıcı tarafındaki muhasebe departmanları arasında uzun bir etkileşim yolculuğunda gönderiliyor. Uzman, tutarsızlıklar konusunun doğrudan sevkiyat yerinde çözülebilmesine ve değişiklik gerçeğinin bir "bulut" imzasıyla teyit edilmesine rağmen," sonucuna varıyor.

Igor Chepkasov, şu anda Blockchain teknolojisini, yani akıllı sözleşmeleri kullanan tamamen yeni gelişmeler olduğunu söylüyor. “Teknolojinin temel ilkesi olan ademi merkeziyetçilik, herhangi bir belgeye ve imzanın kendisine yetkisiz erişime ve tehlikeye karşı mutlak koruma sağlar, çünkü bu tür her bir blok öğesi (imza, belge, arşiv vb.) güçlü bir numaralı bloklar zincirinde yer alır. en karmaşık kriptografik kodla korunuyor” diyor. Bay Chepkasov'a göre, dolaşıma girmiş bir blokta değişiklik yapmak imkansız; akıllı sözleşme, yerine getirilmesi belirli olayları gerektiren bir dizi koşulu tanımlayan elektronik bir algoritmadır. “Çalışması, protokol algoritmasının yalnızca kullandığı düşük güvenilir protokollerin oluşturulmasına ve uygulanmasına dayanmaktadır. yazılım, ve insan faktörü mümkün olduğu kadar karar verme zincirinin dışında tutulur - burada kişi münhasıran ro-ve sözleşmenin uygulanmasına dahil olan taraflardan biridir. Örneğin, ödeme gönderirken, sözleşmede belirtilen sayıda elektronik imza alınmadan bir sözleşmenin ifası mümkün değildir” diye belirtiyor.

Bu arada uzmanlar "bulut" elektronik imza kullanma pratiğinin yaygınlaşmasından ve teknoloji geliştirme olanaklarından bahsederken bir sorun var. Bu, bugün böyle bir ES'yi uygulama konularının düzenlemelerde uygun şekilde belirtilmediği gerçeğiyle bağlantılıdır. Ancak yakında, yani 2016'nın III çeyreğinde, Ruslar, bir USB flash sürücü veya bir SIM kart gibi maddi bir taşıyıcı olmadan elektronik imza kullanma konusunda yasal fırsata sahip olacaklar. Böyle bir norm, İnternet Geliştirme Enstitüsü'nün Rusya Federasyonu Başkanı için hazırladığı Rusya'da İnternet geliştirme programı için "yol haritalarında" yer almaktadır. Dolayısıyla şirketlerin yakında "bulut" teknolojilerinden korkmayı bırakmalarını ve bu tür bir elektronik imzayı işlerinde daha aktif kullanmaya başlamalarını bekleyebiliriz.

Rusya'da elektronik raporlama yaklaşık 10 yıl önce ortaya çıktı. Geçtiğimiz dönemde, muhasebeciler faydalarını değerlendirmek için birçok fırsata sahip oldular. Her yıl rapor veren şirket sayısı elektronik formatta katlanarak artar. Bugüne kadar elektronik raporlama, şirketin etkin çalışmasının kanıtı ve bir muhasebecinin yeterlilik seviyesinin bir göstergesidir. Ancak, elektronik imzalı raporların güvence altına alınması, Rus şirketleri, o zaman bulut tabanlı bir elektronik imzanın kullanımı nispeten nadirdir.

"Geleneksel" ve bulut tabanlı elektronik imzayı çeşitli şekillerde kullanma olanaklarını karşılaştıralım: yazılım ihtiyacı, veri aktarımının güvenliği ve maliyet.

Geleneksel bir elektronik imza, özel bir programın yüklenmesini gerektirir. Aynı zamanda raporların sadece gerekli yazılımların kurulu olduğu bilgisayarda elektronik imza ile tasdik edilmesi mümkün olacaktır. Ek olarak, Rus gerçekliğinde, bir elektronik imza anahtarının bir İnternet bankacılığı anahtarıyla çakıştığı durumlar sıklıkla ortaya çıkar. Böyle bir durumda şirket, göndermek için özel bir bilgisayar kullanmak zorunda kalır. elektronik raporlama. Geleneksel elektronik imza yazılımı, herhangi bir yazılım gibi, periyodik güncellemeler ve bakım maliyetleri gerektirir.

ortadan kaldırma ihtiyacı bu eksiklikler ve yüksek teknolojilerin olanakları, bulut tabanlı bir elektronik imza oluşturmayı mümkün kıldı. Geleneksel ES'den farklı olarak, bulut tabanlı - bir bilgisayara yazılım ve kriptografi kurulumu gerektirmez. Sertifikasyon merkezi elektronik bir imza verir ve bunu sertifikalı güvenli hücresine (bulut) yerleştirir. Bu hücreye erişim, yalnızca cep telefonuna gelen sms'i kullanarak imza sahibi tarafından kullanılabilir. Bulut tabanlı bir elektronik imzaya erişimle ilgili tüm bilgiler bir sertifika merkezindeki bir bulut sunucusunda saklandığından, bir muhasebeci herhangi bir bilgisayardan, tabletten, akıllı telefondan ve hatta İnternet erişimi olan bir cep telefonundan elektronik raporları imzalayabilir ve gönderebilir. Bulut tabanlı elektronik imzanın şüphesiz avantajı, yazılım satın alma, destekleme ve güncelleme maliyetlerinin olmamasıdır. Bu teknoloji birçok internet bankasında da kullanılmaktadır.

Bulut tabanlı elektronik imzanın Rus muhasebesi için hala oldukça yeni bir kavram olmasına rağmen, yeni teknolojilerin uygulanmasında başarılı bir deneyim zaten birikmiştir. ilk Rus pazarı"Kaluga Astral" sertifika merkezi ile birlikte sms İnternet muhasebesi "İşim" aracılığıyla tek kullanımlık şifreler kullanarak bulut tabanlı bir elektronik imza uyguladı. Bugüne kadar, bulut tabanlı ES kullanılarak 100 binden fazla muhasebe raporu gönderildi.

Kaluga Astral Direktörü Igor Chernin, “İki yıllık çalışma boyunca, kolaylığını, erişilebilirliğini ve kullanıcı dostu olmasını takdir eden binden fazla kuruluş hizmeti kullandı” diyor. “Hizmet çekiciliği artırdı elektronik yöntem küçük işletmeler ve bireysel girişimciler için raporların sunulması. Hizmet kapsamında hayata geçirilen platform geliştirme ve "bulut" ES kullanımı alanındaki teknik çözümler, şu anda piyasada bulunan birçok benzer ürünün temelini oluşturdu."

Diğer piyasa katılımcıları da bulutların faydalarını takdir etti. Örneğin, kriptografik bilgi koruması ve elektronik dijital imza dağıtımında lider konumda bulunan CRYPTO-PRO şirketi, yeni bir donanım ve yazılım şifreleme modülü "CryptoPro HSM" yarattı. Bu hizmet henüz raporlama için kullanılmamasına rağmen, zaten bir hareket var ve birkaç yıl içinde mutlak bir ihtiyaç olmayan yerlerde geleneksel elektronik imzayı unutmanın mümkün olacağı umudu var.

Ivan Piskunov

Çoklu eğilim son yıllar birçok hizmetin geleneksel masaüstü kurulumlarından bulutlara geçtiğini gösteriyor. bir istisna değildi ve Elektronik İmza. Ancak, ES'nin bulutlara geçişi, kullanıcı topluluğu tarafından algılanıyor ve uzmanlar hala çok belirsiz. Yeni bulut çözümlerinin şüphesiz avantajları arasında bilgi güvenliği sorunları öne çıkıyor. Bununla birlikte, ne teknoloji ne de mevzuat hala durmuyor ve yakında bulut bilişimin katılımıyla yeni bir elektronik imza geliştirme turu bekleyebiliriz.

Yasal olarak önemli elektronik belge yönetiminin temeli olarak elektronik imza

04/06/2011 tarihli 63-FZ sayılı Federal Yasa uyarınca elektronik imza (bundan sonra ES olarak anılacaktır), elektronik bir belgenin zorunlu yasal olarak önemli bir gerekliliğidir. Buna ek olarak, yasa ayrıca elektronik imzanın bir kağıt belgeye konan gerçek manuel imzanın mutlak bir benzeri olduğunu da söylüyor. Bunu göz önünde bulundurarak, elektronik belge yönetiminin genel olarak geleneksel ofis çalışmalarına ve özellikle çeşitli işlemlerin, sözleşmelerin, sözleşmelerin, sözleşmelerin vb. sonuçlandırılması ve onaylanması için bireysel süreçlere gerçek bir alternatif olduğuna inanmak mantıklı ve oldukça makul.

Yukarıdaki federal yasaya göre, EDI'nin zorunlu bir unsuru olarak ES, üç temel görevi sağlamak üzere tasarlanmıştır:

1. İmza sahibinin benzersiz kimliğini sağlayın

belge;

2. Belgede yetkisiz değişikliklere karşı koruma sağlayın;

3. Elektronik belgenin yasal gücünü sağlamak.

Elektronik imza kullanımının yasal önemi, bir dizi yerel yasada yer almaktadır. normatif belgeler. İşte bazı önemli bağlantılar:

Sanat. Belge yönetiminde elektronik imzaların pratik kullanımını düzenleyen Rusya Federasyonu Medeni Kanunu'nun 160, 434, 847.
· 04/06/2011 tarihli 63-FZ sayılı "Elektronik İmzaya İlişkin Federal Yasa". Çeşitli nitelikteki işlemlerde ve hizmet sunumunda elektronik imza kullanımının genel anlamını açıklayan ana ve çerçeve yasa.
· 149-FZ sayılı Federal Kanun “27 Temmuz 2006 tarihli Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında. Bu belge, elektronik belge kavramını ve ilgili tüm bölümleri belirtir.
· 06.12.2011 tarihli Federal Yasa 402-FZ "Muhasebe Üzerine". Mevzuat kanunu, muhasebe ve muhasebe belgeleri için gereksinimlerin elektronik biçimde sistemleştirilmesini sağlar.
· Rusya Federasyonu Tahkim Usul Kanunu'nun 75. maddesinin 3. fıkrasına göre, İnternet bilgi ve telekomünikasyon ağı kullanılarak elde edilen ve elektronik imza ile imzalanan belgeler, tahkim uyuşmazlıklarında yazılı delil olarak kabul edilir.

Yukarıdaki tüm gerçekler ve argümanlar, ES'yi kullanarak, belgenin kimin tarafından ve ne zaman imzalandığını her zaman açıkça bilebileceğimiz anlamına gelir, imzalandıktan sonra belgede herhangi bir değişiklik yapılmadığından emin olun ve taraflar arasında anlaşmazlık olması durumunda ve müteakip işlem gerçeğinin reddedilmemesini sağlamak için dava işlemleri (bir sözleşmenin imzalanması vb.).

Şu anda mevzuat, bölgede ES kullanımı için üç seçenek oluşturmaktadır. Rusya Federasyonu, o:

· Basit EP;
· Güçlendirilmiş niteliksiz EP;
· Güçlendirilmiş nitelikli ES.

Nasıl farklıdırlar ve taahhüt etmek için ne tür bir EP kullanılabilir ve kullanılmalıdır? finansal işlemler? Aşağıda onları analiz edeceğiz. Ve böylece başlayalım (bkz. Şekil 1)

1. Basit elektronik imza

Basit bir imza veya genellikle “giriş-şifre” bağlantısı olarak adlandırılan, kodlar, şifreler veya başka yollarla elektronik imzanın belirli bir kişi tarafından oluşturulduğu gerçeğini doğrulayan elektronik imzadır.

Klasik bir örnek, kredi kartı şifrenizi girdiğinizde, şifreyi (ses etiketi) söyleyin. telefon konuşması bankanın çağrı merkezi ve benzerleriyle - bunların hepsi sizin olacak Basit Elektronik İmza. Başka bir deyişle, böyle bir imzanın tek işlevi, yazarlık onayı , Kişisel kimlik. Basit bir ES, temel düzeyde koruma ve kimlik doğrulama sağlar. Örneğin. Özelliklere erişmek için imzası kullanılıyor Kamu hizmetlerinin tek portalı. Basit bir elektronik imza, elektronik belgeleri imzalarken veya devlet sırlarını içeren devlet bilgi sisteminde (CBS) kategorik olarak kullanılamaz.

2. EP güçlendirilmiş KALİTESİZ aşağıdaki koşullar karşılanırsa:

elektronik imza anahtarı kullanılarak bilgilerin kriptografik olarak dönüştürülmesinin bir sonucu olarak elde edilen;

elektronik belgeyi imzalayan kişiyi belirlemenizi sağlar;

imzalandığı andan sonra elektronik bir belgede değişiklik yapıldığını tespit etmenizi sağlar;

· elektronik imza araçları kullanılarak oluşturulur.

Güçlendirilmiş KALİFİYESİZ ES imzalı belgenin yazarını belirlemenize ve içerdiği bilgilerin değişmezliğini kanıtlamanıza olanak tanır. V niteliksiz elektronik imzaŞifreleme için Rus GOST uyarınca belgelerin güvenilir bir şekilde korunmasını sağlayan şifreleme algoritmaları oluşturulmuştur. Böyle bir imza, bir şirkette dahili belge yönetimi ve bir şirketten diğerine elektronik belgeler göndermek için oldukça uygundur. Niteliksiz elektronik imza elektronik ticarete katılım için de uygundur.

3. Ve son olarak, EP olduğunda üçüncü seçenek gelişmiş nitelikli, niteliksiz bir ES'nin yukarıdaki tüm özelliklerini ve aşağıdaki iki ek özelliği karşılıyorsa:

· elektronik imza doğrulama anahtarı, nitelikli sertifikada belirtilir;

Elektronik imza oluşturmak ve doğrulamak için, bu Federal Yasa uyarınca belirlenen gerekliliklere uygunluk onayı almış elektronik imza araçları kullanılır.

Kayda değer. CEP ile çalışmak için gereken yazılımın Federal Güvenlik Servisi tarafından onaylanmış olması gerekir. Bu nedenle, nitelikli bir elektronik imza, belgelere tam yasal güç ve gizli bilgilerin korunması için tüm gerekliliklere uygundur. Federal Vergi Servisi, Rusya Federasyonu Emeklilik Fonu, FSS gibi düzenleyici makamlar, yalnızca nitelikli bir elektronik imza ile imzalanan belgelerin yasal gücünü tanır.

Şekil 1. Elektronik imza türleri

Bulut hizmetlerinde elektronik imza

Son birkaç yılda, kendi BT altyapınızı işletmekten bulut bilişimi kullanmaya geçişteki eğilimler, BT endüstrisinde sağlam bir şekilde yerleşmiştir. Bu, her şeyden önce, isteğe bağlı hizmetler ile alınan her otel şirketinin malzeme ve teknik tabanına başlangıçta dağıtılan geleneksel BT sistemlerinin değiştirilmesidir. SaaS, PaaS ve IaaS. Yakın tarihli bir araştırmaya göre, "Kurumsal sektörde bulut hizmetleri, Rusya 2017". SAP ve Forrester'dan Rusya'daki bulut teknolojileri, bir bütün olarak alındığında tüm BT pazarının tamamından daha hızlı büyüyecek: böylece, yıllık ortalama %21 oranında, bulut pazarı 2015'e kıyasla 3 kat büyüyecek. Rapor, büyük işletmelerin şu anda bulut hizmetlerini mümkün olduğunca kullanmaya hazır olduğunu belirtiyor: bu segmentte, katılımcıların %90'ından fazlası, küçük işletmelerde - %70'ten fazlası bulut hizmetlerini biliyor. V büyük iş Ankete katılanların %54.5'i, orta ölçekli işletmelerde - %50, küçük işletmelerde - %43 olmak üzere iki veya daha fazla kategoriden aynı anda bulut hizmetlerini kullanıyor.

Rusya'da bulut ES kullanımı ile mevcut durum

En son, Haziran 2017'de, FSB'nin Rostelecom ile birlikte “piyasayı havaya uçuracak ve alt üst edecek” bir elektronik imza oluşturduğu biliniyordu. Fikir aynı, bir belirteç (bir flash sürücüdeki taşıyıcı) kullanımını gerektirmeyen bir elektronik imza oluşturmak. Rostelecom'daki e-devlet direktörü Mikhail Bondarenko bu konuda konuştu. "Lubyanka'dan meslektaşlarımdan, yıl sonuna kadar güvenilir dijital imzaların bulut tabanlı yapılmasına izin verecek belirli bir çözümün piyasaya sürülmesi gerektiğine dair bilgilerim var" dedi, herhangi bir ayrıntı vermeden, ancak bu çözümü tokenler üzerindeki elektronik imzalarla karşılaştırdı. bugün yaygın olan şeyler. "Bize göre, bu patlayacak ve güvenilir yetkilendirme ve tanımlama pazarını döndürecek." ekledi. Ancak bir nüans var, "bulutların" kullanımına ek olarak, biyometri kullanılması da planlanıyor, yani. benzersiz kimlik doğrulaması için parametreler olarak her kişinin bireysel biyometrik özellikleri.

Bondarenko'ya göre aynı kaynağa göre - “ Rostelecom'un bu platformun işletmecisi olacağı ve bankalarla iki yıl boyunca bir pilot deney yapacağı ve bu süre zarfında kendilerine ücretsiz olarak biyometrik tanımlama hizmetlerinin sağlanacağı varsayılmaktadır., şimdiden başlayan pilot uygulamaya Sberbank, VTB ve Gazprombank dahil olmak üzere yaklaşık on bankanın katıldığını kaydetti.

Aynı zamanda, operatör platformun oluşturulmasını 2017 yılı sonuna kadar tamamlamayı planlıyor. Ayrıca, yalnızca 1 Ocak 2018'den itibaren, biyometrik kullanımına izin veren 115 sayılı Federal Kanunda yapılan değişikliklerin yürürlüğe girmesi bekleniyor. finans sektöründe kimlik tespiti - hesap açmak ve kapatmak, mevduat yatırmak ve çekmek için, transferler vb. ulusal biyometrik platformun temeli şimdiden değerlendiriliyor.

Uzman yorumları:

“Tahminlerimize göre, Rusya'daki toplam elektronik imza kullanıcılarının sayısı iki milyonu aşıyor. Birkaç yıl önce ortaya çıkan "bulut" elektronik imza teknolojisi, bu aracı iş için daha erişilebilir hale getiriyor. Bu, onun lehine bir seçim yapan on binlerce SKB Kontur müşterisi tarafından onaylandı,- diyor uzman Kazakov.

Bir "bulut" elektronik imzası, normal bir imzanın tüm özelliklerine sahiptir, yalnızca bir flash sürücüde veya bilgisayarda değil, İnternette - "bulutta" özel bir güvenli sunucuda saklanır,- diyor Ulusal Kripto Para Geliştirme Fonu'nun kurucusu ve başkanı Igor Chepkasov. - Belgenin imzalanması ve şifrelenmesi de burada gerçekleşir, bu nedenle böyle bir elektronik imza, bilgisayara özel yazılım yüklenmesini gerektirmez. Chepkasov, "bulut" imzasının en önemli avantajlarından birinin, belgeleri imzalama ve dünyanın herhangi bir yerinden ve herhangi bir cihazdan gönderme yeteneği olduğunu belirtiyor.

Anton Elikov (Merkat projesi), “bulutta” elektronik imzanın, çoğumuzun her gün farkında bile olmadan kullandığı bir şey olduğunu belirtiyor. “En çarpıcı örnek, mobil ve internet bankalarında, şifre girildikten sonra SMS ile tek seferlik PIN kodu gönderildiğinde, yetkilendirme mekanizmasıdır. Böyle iki seviyeli bir yetki, özünde zaten bir elektronik imza olabilir ”- uzman diyor.

Igor Chepkasov, ES'yi örneğin teknolojiye dayalı yeni hizmetlerde kullanma olanaklarından bahsediyor blok zinciri yani akıllı sözleşmeler. “Teknolojinin temel ilkesi olan ademi merkeziyetçilik, herhangi bir belgeye ve imzanın kendisine yetkisiz erişime ve tehlikeye karşı mutlak koruma sağlar, çünkü bu tür her bir blok öğesi (imza, belge, arşiv vb.) güçlü bir numaralı bloklar zincirinde yer alır. en karmaşık şifreleme koduyla korunuyor", diyor. Dolayısıyla, uzmana göre, dolaşıma girmiş olan blokta değişiklik yapmak mümkün değil; akıllı sözleşme, yerine getirilmesi belirli olayları gerektiren bir dizi koşulu tanımlayan elektronik bir algoritmadır. “Çalışması, protokol algoritmasının yalnızca yazılım araçlarını kullandığı ve insan faktörünün mümkün olduğunca karar verme zincirinden dışlandığı, düşük güvenilir protokoller olarak adlandırılan protokollerin oluşturulmasına ve uygulanmasına dayanmaktadır - burada bir kişi yalnızca hareket eder. sözleşmenin uygulanmasında yer alan taraflardan biri olarak. Örneğin, ödeme gönderirken, sözleşmede belirtilen sayıda elektronik imza alınmadan sözleşmenin yürütülmesi mümkün değildir., not eder.

Telekom ve Kitle İletişim Bakanlığı Başkan Yardımcısı Mikhail Evraev, şu anda elektronik imza doğrulama anahtarlarının (SKP) sertifikalarının özel ortamlarda yayınlandığını söyledi. Aynı zamanda, böyle bir SPC'nin ortalama maliyeti yaklaşık 5 bin ruble. "Bulut elektronik imza sistemi, kullanım maliyetini önemli ölçüde azaltacak ve kullanım güvenliğini artıracak, malzeme taşıyıcısı olmadan bir imza oluşturmanıza izin verecektir."- Bakan Yardımcısı açıkladı.

Durum, birkaç yıl önce bilgi depolama cihazlarında olduğu gibi, dijital imza teknolojilerinde gerçek bir devrimin gerçekleşeceğinden emin olan İnternet Ombudsmanı Dmitry Marinichev tarafından da yorumlandı. Örneğin, 90'larda filmler VHS kasetlerinde satıldı, 2000'lerde CD'de, ardından DVD'de göründüler ve on yıl sonra nihayet flash sürücülerde ve internette dağıtıldılar.

Bankacılık sektörü için bulut ES kullanımına ilişkin beklentiler

Elektronik imza, işlemlerin yasal geçerliliğini doğrulamak için evrensel bir araç olarak düşünülmüştür ve bunun ışığında, kamu hizmetleri portalını kullanmaktan kuruluşlar ve devlet düzenleyici makamları arasında elektronik belge yönetimi sağlamaya kadar çok çeşitli uygulamalara sahiptir. Bankacılık sektörü için, bireyler tarafından ES ve tüzel kişilerçoğunlukla RBS hizmetleri aracılığıyla finansal işlemler yapmak için kullanılır. Bu içerir ve çevrimiçi erişim v Kişisel Alan Web teknolojileri aracılığıyla ve mobil banka, yani akıllı telefonlardan ve tabletlerden sosyalleştirilmiş bir uygulama aracılığıyla hesap yönetimi.

Örneğin, EP için bireyler en büyük federal bankada - Sberbank, bir bankacılık kuruluşunun kağıt cirosunu azaltmasını ve müşteri hizmetlerinin hızını artırmasını mümkün kılar. Yani depozito açılışı sırasında, 4 farklı belgeye imza atmak yerine, ziyaretçinin PIN'ini (ES'ye şifre) 1 kez çevirmesi gerekecektir. Bu tip teknoloji, bir pasaport kullanarak ve yalnızca sahibinin bilebileceği bir PIN koduna sahip bir kart kullanarak ikili müşteri kimliği sağlayabilecek. Bu aynı zamanda olası dolandırıcılığı da önleyecektir. Bu nedenle, Sberbank'ın 2014 yılı ile ilgili iç verilerine göre, böyle bir hizmetin başlatılmasından sonraki on iki ay içinde, Moskova sakinleri tarafından elektronik imza kullanılarak üç milyondan fazla işlem gerçekleştirildi.

Rusya Merkez Bankası'nın elektronik imzasının ilgili anahtarını alma prosedürü oldukça basittir, "Sber Key" özel web sitesinde çevrimiçi kayıt yaptırmanız gerekir. Böylece banka, sahiplerinden herhangi birine açık artırmaya katılmaları ve gerekli yerlere koymaları için elektronik imza hakkı verir. elektronik kaynaklar kişisel ifadeler.

Bulut tabanlı ES'nin toplu kullanımı için başka bir açıklayıcı seçenek, Sberbank'ın herhangi bir tüzel kişi ile çok taraflı ve ikili anlaşmaların elektronik olarak imzalanması için resmi araç haline gelen Sberbank Business Online İnternet bankasında bulunabilir. bireysel girişimciler(IP) - sözde şirketler arası EDI. Açıkladığı gibi, bu sistem sayesinde bir belgeyi işlemek için gereken işçilik maliyetleri 2-3 dakikadan 10-15 saniyeye düşüyor. Ek olarak, şirket evrak işlerini ortadan kaldırarak maliyetini önemli ölçüde azaltabilir. Kırtasiye, depolama tesislerinin kiralanması, ofis ekipmanı için sarf malzemelerinin değiştirilmesi vb.

Bulut ES güvenlik sorunları

ES'yi bulutlarda kullanmanın tüm somut avantajlarına rağmen, bu kavram bilgi güvenliği uzmanları arasında geniş bir destek bulamadı. Bu nedenle, bazı uzmanlara göre, bir cep telefonunda ES araçlarının kullanılması önemli bir güvenlik tehdidi oluşturuyor. Kullanıcıların SMS mesajlarını yakalayan, resmi mobil bankacılık uygulamaları kılığına giren ve kullanıcının bilgisi dışında başka yetkisiz eylemler gerçekleştiren mobil kötü amaçlı yazılımların sayısındaki artışın iç karartıcı istatistiklerini görmek için uzman olmanıza gerek yok.

Buna göre garanti bilgi Güvenliği ES, yalnızca kullanıcının ve teknik araçlar etkileşim sırasında dış müdahalelerden korunur. Cep telefonu Böyle güvenilir bir ortam aramak zordur - kullanıcı kendi takdirine bağlı olarak herhangi bir uygulamayı yükleyebilir. Daha kötü durum, cihazın işletim sistemi rootlu değilse. Bununla birlikte, bir çıkış yolu var - daha önce açıklandığı gibi, bu EP ile entegre özel bir SIM kartın kullanılmasıdır.

Saldırganlar, uzak bankacılık hizmetlerini kullanırken, yasal bir ödemenin ayrıntılarını değiştirerek, "ortadaki adam" saldırısının özel bir uygulaması olan "tarayıcıdaki adam" türünde bir saldırı gerçekleştirir. kullanıcıya doğru verileri ve kendi, değiştirilenleri bankaya göndermesi. Yeni güvenlik özelliği ile, böyle bir saldırganın hilesi artık çalışmayacak - ayrıntıları aldıktan sonra, SIM karttaki özel bir uygulama bunları telefon ekranında gösterecek ve bir PIN kodu isteyecektir. Kullanıcı, ayrıntıların doğruluğunu görsel olarak kontrol ettikten sonra, onay için elektronik imzasının PIN kodunu girer, imzalar ve ardından bilgileri bankaya ileten ağ geçidine geri gönderir.

Sergey Gruzdev, Genel Müdür geliştirici şirket ev sistemleri kriptografik koruma "Aladdin R.D", bu teknolojiyi kullanmanın başka bir yolunu vurgular - “Geliştirilen sistem, doğrulama ve imzalama belgelerine ek olarak, özellikle dokuzuncu maddenin yürürlüğe girmesi ışığında önemli hale gelen bir banka müşterisine hesabıyla yapılan işlemler hakkında bildirimde bulunmak için kullanılabilir. 163-FZ "Ulusal ödeme sisteminde" . Şu anda en popüler yöntemin aksine - SMS bilgilendirme, bu durumda bankacılık gizliliği garanti edilir (hiç kimse bildirimleri okuyamaz, akıllı telefona virüs bulaştıramaz, hatta baz istasyonunu bile değiştiremez) ve mesajların değiştirilmesi davetsiz misafirler hariçtir.

Başka bir sorun, örneğin, telefonun ve telefonun notlarına veya diğer dahili hafızasına kaydedilen PIN kodunun kaybolması ve kasıtlı olarak çalınması durumunda kalır. Bu durumda, saldırgan en azından sahibinin mobil hesabındaki tüm parayı harcayabilecek ve örneğin aboneyi bağlayan belgeleri imzalayabilecek, örneğin popüler çevrimiçi mağazalardan birinde kredili satın alımlar için ödeme yapabilecek. Ancak bu riskler, tıpkı ödeme ve kredi kartlarında olduğu gibi oldukça güvenle önlenir. Hesap (kart) sahibi, bu SIM karttan izin verilen günlük işlem hacmini ve içeriğini sınırlayabilir ve ayrıca ES'sini kullanmadığı süre boyunca geçici bir süre devre dışı bırakma seçeneğini kullanabilir.

19 Haziran 2014 09:21

V Son zamanlarda buluttaki elektronik imzadan (ES) sıklıkla bahsederiz. Temel olarak, bu konu BT uzmanları tarafından tartışılmaktadır. Ancak, elektronik belge yönetim hizmetlerinin (EDF) gelişmesiyle birlikte, muhasebeciler, sekreterler, denetçiler ve diğerleri gibi konu uzmanları bulut ES konusuna dahil olmaya başladı.

Açıklayayım, bulut tabanlı bir elektronik imza, özel ES anahtarınızın sertifika merkezinin sunucusunda saklandığı ve belgelerin imzalanmasının orada gerçekleştiği anlamına gelir. Buna, ilgili anlaşmaların ve vekaletnamelerin akdedilmesi eşlik eder ve imza sahibinin kimliğinin fiili teyidi, kural olarak, SMS yetkisi kullanılarak gerçekleşir.

Bir muhasebeci tarafından bulut ES kullanma ihtiyacı, çalıştığı moda bağlıdır. Genellikle ofisten uzaktaysanız veya örneğin muhasebe hizmetleri (muhasebe dış kaynak kullanımı) sağlayan bir şirkette çalışıyorsanız, bulut tabanlı ES belgeleri her yerden imzalamanıza yardımcı olur. Herhangi bir ek yazılım yüklemeye gerek yoktur. Ancak, kullanım kolaylığına rağmen, tüm şirketler bu fırsatı kullanmaya hazır değil.

Bulut tabanlı bir elektronik imzaya ihtiyacınız olup olmadığını kendiniz seçebilmeniz için, onu kullanmanın tüm artılarını ve eksilerini ele alacağız. Ayrıca böyle bir imzaya gerçekten kimin ihtiyacı olabileceğini de düşünün. Bu arada, bu yazıda sadece gelişmiş nitelikli elektronik imzadan (bundan sonra ECES olarak anılacaktır) bahsedeceğiz.

Başına

Bulut elektronik imzası normalden daha ucuz. Bunun temel nedeni, bir kriptografik bilgi koruma aracı (CIPF) ve bir belirteç (sertifikalı flash sürücü) satın almanıza gerek olmamasıdır. Kural olarak, satın almaları dikkate alındığında, sertifikanın fiyatı 2-2,5 kat artar.

Rahatlık ve kullanım kolaylığı. Bulut tabanlı bir elektronik imza ile çalışmak için, elektronik imza sertifikasının kendisini veya onunla çalışmak için özel araçları yüklemeniz gerekmez. Bu, her şeyin nasıl çalıştığını bulmak için zaman kaybetmeyeceğiniz anlamına gelir.

Hareketlilik. Şu anda yaygın ve ücretsiz çözümler mobil cihazlarda bulut dışı elektronik imza kullanmak için henüz mevcut değil. Bu bağlamda, bulut tabanlı bir elektronik imzanın büyük bir avantajı, İnternet erişimi olan herhangi bir bilgisayardan, tabletten, akıllı telefondan onunla çalışabilmenizdir.

Karşısında

Belgeyi fiziksel olarak imzalamıyorsunuz. Bulut tabanlı elektronik imza durumunda, anahtarın gizli olan ve yalnızca size ait olması gereken özel kısmının sertifika merkezinin sunucusunda bulunacağını anlamalısınız. Elbette bu belgelenecek ve sunucuların kendileri güvenli bir şekilde korunacaktır. Ancak burada her şey şirketin güvenlik gereksinimlerine ve belgelerin imzalanmasıyla ilgili politikaya bağlıdır. Özel anahtarların sahiplerinin belgeleri imzalaması sizin için önemliyse, bulut tabanlı bir elektronik imza size uymaz. Bu durumda, CA'ya ve özel anahtarları saklayan sunuculara ne kadar güveneceğinize karar vermek size kalmıştır.

Bulut tabanlı ES'yi yalnızca sertifika merkezi yazılımının entegrasyonunun olduğu hizmetlerde kullanabilirsiniz. Bunun nedeni, bulut ES durumunda özel anahtarın CA sunucusunda depolanmasıdır. Hizmetin imza için böyle bir özel ES anahtarı kullanabilmeniz için, CA sunucusuna elektronik imza oluşturma isteği gönderebilmesi gerekir. Şu anda çok sayıda servis olduğu ve hepsinin CA yazılımı ile entegrasyonu sağlayamayacağı açıktır. Bulut ES'yi yalnızca belirli hizmetlerle kullanmanız gerekeceği ortaya çıktı. Diğer hizmetlerle çalışmak için başka bir ES sertifikası satın almanız gerekecektir ve bu hizmetlerin herhangi bir bulut tabanlı elektronik imzayı destekleyeceğinin garantisi yoktur.

Ve ne?

Bulut elektronik imzası kullanışlı, mobil ve basit bir araçtır, ancak en esnek olanı değildir. Ve güvenlik açısından, belki de özel anahtarı güvenli bir sunucuda saklamak, bir jetonu çekmecede tutmaktan daha iyi olabilir.

Kim gerçekten elektronik imzaya ihtiyaç duyar? Öncelikle ofis dışında sık sık ofiste çalışanlar. Örneğin, müşterileri sık sık ziyaret eden avukatlar ve denetçiler. Veya her yerde belgeleri imzalamanın önemli olduğu yöneticiler ve direktörler. Onlar için bulut tabanlı bir elektronik imza işlerinde vazgeçilmez bir yardımcı olacak.

Ayrıca, çok şey şirketin politikasına bağlıdır. Bir kuruluş, örneğin belgeleri depolamak, dahili ve harici belge yönetimi için hizmetleri kullanmak açısından bulut teknolojilerine doğru hareket ederse, elektronik imzalar da büyük olasılıkla bulut tabanlı olacaktır. Aksi takdirde, genellikle iş sırasında ofisinden çıkmayan muhasebeciler, katipler ve diğer çalışanlar bulut tabanlı elektronik imzaya ihtiyaç duymazlar. Karşı taraflarla ve devlet kurumlarıyla değişim için çoğu hizmette kullanılabilecek bir taşıyıcıda normal modda bir ES özel anahtarı ve bir ES sertifikası satın alabilirler.

(4.33 - 9 kişi tarafından derecelendirildi)

benzer gönderiler

Bu doğru değil. Örneğin, iOS için Crypto-Pro uzun süredir var. EDMS çözüm sağlayıcıları bunu kullanır. Aynı DIRECTUM için Android için Crypto-Pro tabanlı bir EDS de vardır.

Fiziksel olarak, herhangi bir elektronik belge sizin tarafınızdan imzalanmaz. Yazılım yapıyor.

Daha doğrusu, CA sunucusunda değil, bilgi sistemi ile etkileşime giren elektronik imza hizmetinin anahtarlarını depolamak için özel bir donanım sunucusunda (elektronik belge yönetimi).

Bu durumda, aslında, kullanıcının herhangi bir şey yüklemesine gerek yoktur, ancak anahtarı kullanmanın tüm güvenliği kullanıcıya bağlı değildir, elektronik imza hizmeti ve bilgi sistemi tarafından anahtar sahibinin kimlik doğrulamasının güvenilirliğine bağlıdır. .

Anahtar yalnızca, sahibinin anahtarını saklayan ve uygulayan elektronik imza hizmetine "bağlı" olan bilgi sistemlerinde kullanılabilir. Şunlar. anahtar "tamamen işlevsel değil" olacaktır (örneğin, sunuculara olan bağlantıyı kriptografi ile koruyamaz, işletim sistemi, e-posta ve dosyalar, DEVLET HİZMETLERİ ve diğer birçok yer için yetki sağlar), ancak yalnızca belirli bir sistemdeki belirli bir görev için. Otobüsle tramvayı karşılaştırmak gibi, her yerde +/- var.

Çözümler var, ancak göreceli güvensizlikleri nedeniyle yaygın değiller. Ücretsiz bilinmeyen. Ve ortaya çıkacaklar mı...

Biraz farklı bir bakış açım var: birincil olan bir bulut sertifikası değil, bir bulut hizmetiyse. Evet, tüm hizmetler için tek bir bulut sertifikası kullanılamaz. Ancak bence değer sertifikada değil, hizmetlerde. Ve her hizmetin kendi bulut anahtarını kullanmasında yanlış bir şey yok. "Şirket içi" sertifikaların (belirteçlerde, akıllı kartlarda veya kişisel cihazınızın kayıt defterinde) aksine, simge boncukları taşımanız veya tüm cihazlarda kayıtlara sertifika kopyalamanız gerekmez. Sadece sms farklı numaralardan gelecektir. Ayrıca, bir bulut sertifikası genellikle şirket içinde daha ucuzdur ve herhangi bir yazılım (kripto sağlayıcı) satın alınması gerekmez. Güvenlik açısından bakıldığında, böyle bir şema a priori daha güvenilir görünüyor, çünkü bir anahtar tehlikeye girdiğinde diğerleri çalışmaya devam edebilir (tavizsiz).

Utanılacak bir şey yoktur, ancak maliyet, birçok sistemde tek bir tam işlevli anahtar (boncuk değil) kullanmaktan daha fazladır. "Bulut ES anahtarının" kullanıldığı tehdit modelinde, kimlik doğrulama kanalındaki güvenlik ihlalleri riski eklenir. Ayrıca, OTPviaSMS'in her yerde kullanılması güvenli değildir. Evet ve psikolojik olarak çoğu insan anahtarlarını kasalarında saklarken daha güvende hissediyor. sanal anahtar kullanımını yönetmek için koşullu olarak güvenli bir kanalla sanal depolamada.

Elbette bu, imzalama bir cihaz tarafından başlatıldığı ve imzalama onay kodunun bulunduğu SMS başka bir cihaza ulaştığı sürece geçerlidir. Ve mobil istemci yalnız bırakılır bırakılmaz, böyle bir plan artık daha güvenilir değildir. Yalnızca kullanıcı rahatlığı kalır, ancak güvenilirlik değil.

Kullanıcı, OneTimePassword donanım desteği ile mürekkepli kağıt veya fiziksel jeton kullanarak daha hızlı yanıt vermesi nedeniyle kazanabilir, rakiplerine göre bir miktar avantaj elde edebilir, daha fazla hareketlilik. Ama aynı zamanda büyük riskler de alıyor. Hizmet kullanılamama riski. Mobil cihazın tehlikeye girme riski. Küçük miktarlarda para söz konusu olduğunda riskler haklı çıkar. Sessizce, meraklı gözlerle, aracılar olmadan ve acele etmeden imzalanmış eski güzel kağıt için bir milyonluk bir anlaşmaya güvenirdim.

30 belgelik bir paket imzalamanız gerekiyorsa. Ve hizmet toplu imzalamayı desteklemiyor. Ardından 30 SMS (veya 30 onay kodlu bir SMS) almanız ve 30 kez onay kodlarını girmeniz gerekecektir. Bu zaman ve tepki artık daha hızlı değil.

Ancak her servisin bir ES kurmak için kendi servisi varsa, servislerin entegrasyonu çok yakın olmalıdır. Ve toplu imzalama oraya dahil edilecek. Örneğin, bir mantıksal SMS gelecek: "22_1806 numaralı işlem için 0xs3cr3t kodu. Sevgili Konstantin Vasilyevich. 06/01/2014-06/18/2014 dönemi için gelen belgelerin alındığını onaylamak için (20 fatura, yapılan 7 iş eylemi) ve 3 irsaliye ), yani alındıyı teyit eden 30 resmi belgenin imzalanması, belirtilen kodu girin".

Çözümler var. Ancak bildiğim kadarıyla iOS ve Android için CryptoPro ücretsiz olarak dağıtılmıyor.

Kabul etmek. Genel olarak kastedilen budur. Bu bağlamda, bir bulut sertifikası kullanmak çok uygun değildir.

Genel olarak, birkaç hizmetle çalışmanız gerekiyorsa, birden fazla bulut ES satın almak, tek bir nitelikli sertifika, CIPF ve belirteç satın almaktan çok daha pahalı olabilir.

Güvenilirliğe gelince, bu, anahtarların saklanacağı yerin, imzanın gerçekleştirileceği teknolojilerdeki güvenliğine olan güven meselesidir. Teknoloji çok iyi test edilmemiş olsa da pek güven olmayacağını düşünüyorum. Ancak, gördüğünüz gibi, bazı durumlarda bir bulut imzası kullanmak hala oldukça uygundur. Belirli bir durumda hangi imzanın uygun olduğunu anlamak için süreçlere bakmanız, ihtiyaçları incelemeniz, her iki seçeneğin artılarını ve eksilerini değerlendirmeniz ve ardından bir karar vermeniz gerekir. Bu nedenle, aynı bulut ES madalyonun her iki tarafını da göstermeye çalışıyoruz.

Ve CryptoPro hangi platformlar için ücretsizdir?

Teknolojinin çok az çözdüğünü düşünüyorum - tek soru, sertifikanızı emanet ettiğiniz çözüm sağlayıcıya güvenmek.

Dolayısıyla şirket içi kullanım bağlamında bu tür teknolojilerden bahsettiklerinde, bunun “kalkışabileceğini” de anlıyorum. Üçüncü bir tarafa bir sertifikaya güvenmekten bahsettiğimiz anda, hiç şans görmüyorum.

Hatırladığım kadarıyla iOS ve Android için Crypto-Pro son kullanıcılara satılmıyor. Bu nedenle, her şey uygulama yazılımı satıcısının takdirine bağlıdır. Bedava vermek isterse verir. İstemezse yapmaz. Veya çözümü satın aldığınız işlevselliğe ek olarak verebilir.

Bu bir tahmin mi (orijinal makaledeki gibi) yoksa gerçek sayılarla destekleyebilir misiniz?

Microsoft, Facebook, Twitter ve diğer yüzlerce birleşik kimlik doğrulama sağlayıcısının yanı sıra ve her kaynak hangi sağlayıcıyla entegre edileceğini seçer. Aynı şeyi sertifikaların depolanmasıyla da yapmayı önerir misiniz?

Ve bir kimlik doğrulama belirteci ile iletilen çok sınırlı bir küme dışında hiçbir kullanıcı verisinin hizmet çevresinden ve imzalanmış tüm verilerinizin geçmesi gereken EDS hizmetinden çıkmadığı birleşik kimlik doğrulamayı eşitlediğinizi doğru anlıyor muyum?

Olmayabilir. Bir bulut anahtarı, bir belirteç veya yazılım gerektirmez. Hizmet, örneğin, abonelik ücretine bir bulut belirteci çıkarmanın maliyetini içerebilir ve bulut sertifikalarını "ücretsiz" sağlayabilir. Her durumda, bu bir pazarlama meselesidir, teknoloji değil.

Ayrıca 30 belgelik bir paketi de imzalayabilirsiniz. Toplu imzalamayı destekleyip desteklemediğine bakılmaksızın hizmetin kendisi bu şekilde yapılandırılır. Ve anahtar nereden geliyor (buluttan veya kayıt defterinden / belirteçten) - bu zaten ortogonal bir soru. Teşekkürler, bu fikri bir yorumda daha da geliştirdiniz. Bu genellikle kağıt üzerinde de olur. Büyük patron sadece kendi eliyle ödeme defterini imzalayabilir ve ödemeler yetkili kişiler tarafından imzalanır.

Noktaya şan! :) Bulut imzası bulut muhasebesi ve raporlamasında kullanılırken.

Misha, zaten çalışıyor :)

Eugene, yorumunu ayakta alkışlıyorum :)

Misha, Evgeny'nin cevabını bekleyelim, ama ben bunu örnek olarak anladım. Kolaylığı nedeniyle yeni, daha kullanışlı ve belki de daha az güvenli bir çözüm, ortaya çıkan konfor olası risklerden daha ağır bastığı için tüketiciler tarafından zamanla kabul gördü. Belki de ilk felaketten önce. Olumsuz olaydan sonra tüketicilerin bu çözümü kullanmaya devam etmesi olasıdır.

Bulut imzası artık daha kullanışlı, ancak daha az güvenli görünüyor. Ancak bazı kullanıcılar kolaylık tarafından baştan çıkarılacak ve güvenlik risklerini kabul edilebilir olarak değerlendirecektir. Ve bulut imzasını kullanacak.

Bulut imzası zaten "düşük maliyetli" segmentte çalışıyor. "Kurumsal" segmentte denemek ilginç olurdu. Belki de "CryptoPro HSM" kelimeleri veya başka bir şey işi sakinleştirecektir. Düşünmeli, teklif etmeli ve denemeliyiz.

Peki, makale makalesindeki "için" bölümündeki "hareketlilik" argümanını kaldırın.

O neden orada?

Bulut muhasebesinin, üzerinde kayıtların tutulduğu ve daha sonra hangi raporların gönderildiği bir hizmet olduğunu doğru anlıyor muyum? Bu durumda sadece kullanıcıyı hizmet üzerinde yetkilendirmek neden yeterli değil? Neden başka EDS - regülatörün gereksinimlerini karşılamak için?

Nerede tam olarak? Tek bir hizmet veya bir tedarikçinin hizmetleri içinde mi? Tamam, kabul edildi.

Sadece şimdi her tedarikçiden bir sertifika almam mı gerekiyor? Böyle?

Tam olarak ne için rahat?

Yalnızca bir şeyde bir artı görüyorum - bir web hizmeti kullanıyorsanız, yerel bir istemciden imza düzenlemek sorunlu olabilir.

Benim düşünceme göre, CryptoPro'dan (ve bizim garip "Rus nitelikli imzamız" ile ilgili her şey) bahsedildiğinde, normal işler zaten aptalca olmaya başlıyor.

Evet, doğru, ancak farklı hizmetler olabilir. Herkesin muhasebe ve raporlamaya ihtiyacı yoktur. Birçok kişi muhasebeyi şirket içinde tutmayı ve ardından hizmet aracılığıyla raporlar göndermeyi tercih eder. Yasal gerekliliklere uymak için YSÖP gereklidir.

Evet, bir sağlayıcının hizmetleri içinde çalışır. Teorik olarak, diğer sağlayıcılara bir bulut sertifikası sağlamayı öğrenebilirsiniz. Ekonomik anlamda. Ancak bence değer, tam olarak ES'nin kullanılabileceği hizmetler ve ortamlar tarafından sağlanıyor, yalnızca bir buluta veya düzenli sertifikaya sahip olmak ekonomik bir anlam ifade etmiyor.

Bulut sertifikası durumunda, kullanıcının cihazına yazılım yüklemesi ve sertifikaları her cihaza kopyalamayı düşünmesi veya her zaman yanında bir anahtar taşıyıcı taşıması gerekmez. Bir bulut sertifikasına sahip olmak daha az zahmetlidir, bu yüzden farklı sağlayıcılardan bir sürü sertifika almaktan bu kadar korkmazdım. Ve gerekli yazılımın ve anahtar taşıyıcının maliyeti (yerinde sertifikalar olması durumunda) belirgin şekilde daha az olacaktır. abonelik ödemeleri, bu nedenle tek bir evrensel sertifikanın kullanılması ekonomik faydadan ziyade bir kolaylık meselesidir.

HSM hakkında bilgi edinin - ilginç bir şey. Yabancı rakiplerin benzer çözümleri var ve uzun süredir. Yani burada CryptoPro evrensel dünya deneyimini kullanır.

Bu konunun ilgi görmesine sevindim. Yorumları dikkate alarak yukarıdaki bir bulut hizmeti kavramını geliştirmeye çalışacağım. 1. Bilgi sistemlerinin geliştirilmesi olarak bulut hizmeti, yazılım üreticilerini bu standarda çekmek anlamına gelen bir oldubitti halidir. Maliyet düşürme açısından - daha önce 2-3 satın almanız gerekiyordu yazılım ürünü ihtiyaçlarınızı karşılayan, şimdi 1 ve toplam maliyette %30-40 daha düşük.

2. Nedir elektronik imza Ve öncelikle kimin için gereklidir? CPU, BT sistemlerindeki tanımlayıcınızdır ve bilgisayar korsanlığı veya kötüye kullanıma karşı garantili bir koruma düzeyiyle, herhangi bir mali sorumluluk düzeyinde kararlar almanız için "Ben Ben'im" demenizi sağlar. Her durumda, CPU'nun görünümü, şirketin iş süreçlerinin uygulanmasını hızlandırmak için "canlı" bir imzanın evrimidir. Şunlar. Daha önce bir kağıt belge yavaş işlendiyse, şimdi karar vermek için tek bir tıklama yeterlidir.

3. Hiç kimse ideal çözümler ve araçlar olduğunu söylemez. Gerçekten de, CryptoPro, onu kullanırken dişleri kenarda tutmuştur. Geçenlerde muhasebeciler için 1C, VLSI ve 2 banka hesabı kullanarak web arayüzü üzerinden (CryptoPro kullanarak) sistemi yeniden kurdum - gerekli tüm sertifikaları ve anahtar desteğini ekleyene kadar her şeye lanet ettim.

Michael, tam olarak eşittir işareti değil. Bunun yerine, kimlik işareti, çünkü FA, farklı etki alanlarındaki kullanıcılar için tek bir pencere mekanizması uygulamanıza olanak tanır, ör. yetkilendirme katılımcısı için kimlik garantörü olarak hareket eder. EDS hizmetinin kendisi yetkilendirme araçlarına sahiptir ve belirli görevlerini çözer. Bu durumda, açık bir örnek, kamu hizmetleri ve uydu hizmetleri (örneğin, ROI) web sitesidir. Kamu hizmetleri web sitesi, diğer hizmetler için kullanıcı kimliğini garanti eden bir FA'dır.

Sergey, sana kesinlikle katılıyorum. Bir bulut imzası, iş süreçlerinde diğer katılımcılar tarafından kabul edilen tek bir tanımlama hizmeti olarak hareket edebilir ve etmelidir. Şimdi, her şey çok parçalı ve belge hareketi yolunda birçok aracı var.

Bu sonuç nereden geliyor?

Belki kullanmayı bilmiyorsundur? Sertifikaları yüklemek çok basit bir iştir ve kimse soru sormaz. Üstelik teknolojik olarak diğer kripto sağlayıcılara sertifika yüklemekten farklı değil.

CIPF ile çalışan UYGUN uygulamaları kullanın ve mutlu olacaksınız.

Artık "bulut imzası" adı altında satılan şey, hiçbir şekilde bir tanımlama hizmetinin işlevlerini yerine getiremez, çünkü kendisi tamamen kimlik doğrulamaya bağlıdır. Bulut imzasının bir tanımlama görevi yoktur, imza oluşturma sürecinin işyerinden buluta aktarılması gerekir, ancak yalnızca şu nedenledir: iş yeri kullanıcının CIPF ile çalışması o kadar güvenli değildir.

parçalanmış nedir? Aracılar nelerdir? CA ile ilgiliyse, nitelikli sertifikaların üretimi için gereklidir. Operatör hakkındaysa, onsuz nasıl hayal edersiniz? Elektrik operatörüne, ağ erişim operatörüne, bulut imza servis operatörüne, operatöre ihtiyacınız var bilgi sistemi vb. Bu özel bir faaliyettir. Geçimlik tarım yapamıyoruz.

Nasıl söylersem söyleyeyim:) Kullanımını tamamen kabul ediyorum bulut imzaları bireysel hizmetler için, tamam, hizmetleri bir operatörden alalım. Ancak şimdilik, onu tek bir tanımlama hizmeti olarak kullanmakta tereddüt ediyorum.

Evet, son zamanlarda EDF operatörlerinin hava satıcılarına kıyasla nasıl olduğu sık sık duyuluyor. Muhtemelen operatörün ne yaptığı hakkında büyük bir makale yazacağım, yasal önemi sağlamanın yanı sıra, şimdilik kendimi tezlerle sınırlayacağım:

1. ED'nin oluşturulması. Hizmet arayüzünde, kural olarak, en yaygın ED'leri (ESF, TORG-12, eylemler vb.) oluşturabilirsiniz.

2. ED'nin saklanması. Tüm hizmetler için konuşamam ama Diadoc, siz onları silene kadar belgelerinizi saklar. Artık bir abonelik ücreti ödemeseniz bile.

3. Tek yasal alan. Diyelim ki bir telekom operatörü veya bir enerji satış şirketi iseniz, tüm karşı taraflarınızla anlaşmalar yapmaya çalışın!

4. Taşıma. Tamam, elektronik belgelerin iletişim kanalları aracılığıyla taşınmasını organize edebilecek ve tüm 10.000 karşı tarafınız için imzaları kontrol edebilecek misiniz? Oh iyi...

5. Entegrasyon. Sana küçük bir hikaye anlatacağım. Bir Uluslararası şirket Operatör ESF ve TORG-12 aracılığıyla göndermeye karar verdim. Evet, sorun şu ki, ERP yalnızca PDF'yi ve ardından özel bir saptırılmış biçimde yükleyebiliyordu. IT Corporation bir yerdeydi Latin Amerika geliştirilmesi için siparişler aldı. gelecek yıl. Bu, m TOR formülasyonu ve birkaç kıtadaki koordinasyon ile bürokrasiyi saymıyor. Kimler hızlı bir şekilde entegrasyonu sağlayabildi? Bu doğru, operatör.

Sergey, yani Mevcut ERP içinde gerekli ED kalitesini sağlamak için BT altyapısının başarısızlığını özetleyebilir misiniz? Söylediklerinize göre ED henüz emekleme aşamasında ve son kullanıcıların ihtiyaçlarını tam olarak karşılayamıyor.

Sonra kağıt üreticilerinin işlenmiş kağıt hamuru sattıkları ortaya çıkıyor.. :) EDF operatörleri piyasanın talep ettiği hizmetleri sağlıyor (bazıları Alplerin konserve havasını satmayı başarsa da)

Neden öyle? Elektronik belge yönetimi başlı başına bir amaç değil, bir araçtır. Gelişir ve gereksinimler aynı şekilde büyür. Gereksinimlerin daha yüksek olduğu bir yerde, ED'nin kendisi ihtiyaçları oluşturur. Genel olarak, Rusya'daki EDI durumunun pazarın gereksinimlerine az çok yeterli olduğuna inanıyorum.

Sergey, böyle bir sonuç çıkarırken, yukarıda yazdıklarınıza dayanıyorum. Sonuçta, ED'nin uygulanması için BT araçlarının etkinliği sorusunu gündeme getiriyorsunuz. Ayrıca bir hizmet sektörü olarak bulut hizmeti oldukça dinamik bir şekilde gelişiyor ve elektronik imzanın ortaya çıkma şansı an meselesi.

Günlük abonelik. Diğer abonelik türleri kayıt sırasında kullanılabilir.

Son zamanlarda, buluttaki elektronik imzadan (ES) sık sık bahsediyoruz. Temel olarak, bu konu BT uzmanları tarafından tartışılmaktadır. Bununla birlikte, elektronik belge yönetimi hizmetlerinin (EDF) geliştirilmesiyle, konu uzmanları - muhasebeciler, sekreterler, denetçiler ve diğerleri - bulut ES konusuna dahil olmaya başladı.

Bulut elektronik imzası, özel ES anahtarınızın sertifika merkezinin sunucusunda saklandığı ve belgelerin imzalanmasının burada gerçekleştiği anlamına gelir. Buna, ilgili sözleşmelerin ve vekaletnamelerin imzalanması eşlik eder. Ve imzalayanın kimliğinin gerçek onayı, kural olarak, SMS yetkilendirmesi kullanılarak gerçekleşir.

Bir muhasebeci tarafından bulut ES kullanma ihtiyacı, çalıştığı moda bağlıdır.

Genellikle ofisten uzaktaysanız veya örneğin muhasebe hizmetleri (muhasebe dış kaynak kullanımı) sağlayan bir şirkette çalışıyorsanız, bulut tabanlı ES belgeleri her yerden imzalamanıza yardımcı olur.

Herhangi bir ek yazılım yüklemeye gerek yoktur. Ancak, kullanım kolaylığına rağmen, tüm şirketler bu fırsatı kullanmaya hazır değil.

Bulut tabanlı bir elektronik imzaya ihtiyacınız olup olmadığını kendiniz seçebilmeniz için, onu kullanmanın tüm artılarını ve eksilerini ele alacağız. Ayrıca böyle bir araca kimin gerçekten ihtiyacı olabileceğini de düşünün. Bu arada, bu yazıda sadece gelişmiş nitelikli elektronik imzadan (bundan sonra - UKES olarak anılacaktır) bahsedeceğiz.

Bulut tabanlı bir elektronik imza, geleneksel olandan daha ucuzdur. Bunun temel nedeni, bir kriptografik bilgi koruma aracı (CIPF) ve bir belirteç (sertifikalı flash sürücü) satın almanıza gerek olmamasıdır. Kural olarak, satın almaları dikkate alındığında, sertifikanın fiyatı 2-2,5 kat artar.

Rahatlık ve kullanım kolaylığı. Bulut tabanlı bir elektronik imza ile çalışmak için, elektronik imza sertifikasının kendisini veya onunla çalışmak için özel araçları yüklemeniz gerekmez. Bu, her şeyin nasıl çalıştığını bulmak için zaman kaybetmeyeceğiniz anlamına gelir.

Hareketlilik. Şu anda, mobil cihazlarda bulut dışı elektronik imza kullanmak için yaygın ve ücretsiz bir çözüm bulunmamaktadır. Bu bağlamda, bulut tabanlı bir elektronik imzanın büyük bir avantajı, İnternet erişimi olan herhangi bir bilgisayardan, tabletten, akıllı telefondan onunla çalışabilmenizdir.

Karşısında

Belgeyi fiziksel olarak imzalamazsınız. Bulut tabanlı elektronik imza durumunda, anahtarın gizli olan ve yalnızca size ait olması gereken özel kısmının sertifika merkezinin sunucusunda bulunacağını anlamalısınız. Elbette bu belgelenecek ve sunucuların kendileri güvenli bir şekilde korunacaktır. Ancak burada her şey şirketin güvenlik gereksinimlerine ve belgelerin imzalanmasıyla ilgili politikaya bağlıdır. Özel anahtarların sahiplerinin belgeleri imzalaması sizin için önemliyse, bulut tabanlı bir elektronik imza size uymaz. Bu durumda, CA'ya ve özel anahtarları saklayan sunuculara ne kadar güveneceğinize karar vermek size kalmıştır.

Bulut tabanlı ES'yi yalnızca sertifika merkezi yazılımının entegrasyonunun olduğu hizmetlerde kullanabilirsiniz. Bunun nedeni, bulut ES durumunda özel anahtarın CA sunucusunda depolanmasıdır. Hizmetin imza için böyle bir özel ES anahtarı kullanabilmeniz için, CA sunucusuna elektronik imza oluşturma isteği gönderebilmesi gerekir. Şu anda çok sayıda hizmetin olduğu ve hepsinin entegrasyonu sağlayamayacağı açıktır. yazılım UC. Bulut ES'yi yalnızca belirli hizmetlerle kullanmanız gerekeceği ortaya çıktı. Diğer hizmetlerle çalışmak için başka bir ES sertifikası satın almanız gerekecektir ve bu hizmetlerin herhangi bir bulut tabanlı elektronik imzayı destekleyeceğinin garantisi yoktur.

Ve ne?

Kim gerçekten elektronik imzaya ihtiyaç duyar?

Öncelikle ofis dışında sık sık ofiste çalışanlar. Örneğin, müşterileri sık sık ziyaret eden avukatlar ve denetçiler. Veya her yerde belgeleri imzalamanın önemli olduğu yöneticiler ve direktörler. Onlar için bulut tabanlı bir elektronik imza işlerinde vazgeçilmez bir yardımcı olacak.