Доклад президента РОСЭУ Ю.В. Малинина "Дорожная карта внедрения МЧД. Предложения бизнес- сообщества и взаимодействие с ОГВ"
Forwarded from Сергей Кирюшкин
А.А.Тютрюмов (Минцифры России): "Минцифры планирует, что формат МЧД, утвержденный Минцифры (разработанный ФНС с некоторыми доработками) будет единым универсальным форматом МЧД для ключевых органов государственной власти и b2b-отношений" #pkiforum
Зарубежный опыт построения PKI (материал от нашего подписчика)
Часть 1
Эстония имеет довольно развитую PKI. В данной стране существуют тысячи государственных и коммерческих электронных сервисов. Например, с 2005 года, впервые в мире, в Эстонии проходит электронное голосование через Интернет. Для работы этих сервисов развернута инфраструктура электронной идентификации личности и электронной подписи.
Проведем краткий обзор как это все работает. Сразу уточним, что обзор не претендует на полноту и рассматривает положение на настоящий момент с точки зрения простого гражданина Эстонии.
Вместо внутреннего паспорта в Эстонии используются удостоверение личности или ID-карта (Isikutunnistus или ID-kaart), которое обязаны иметь все граждане ЭР или ЕС, проживающие в Эстонии.
Помимо стандартных для таких документов свойств, таких как личные данные и фотография на самой карте, в ней также установлен чип, содержащий личные данные и две пары криптографических ключей, которые используются для идентификации и создания электронной подписи. ID-карта соответствует стандарту ISO 7816, также как, например, банковские карты Visa, Master Card, МИР. Начиная с 2021 года в ID-карте также предусмотрен интерфейс NFC.
Часть 1
Эстония имеет довольно развитую PKI. В данной стране существуют тысячи государственных и коммерческих электронных сервисов. Например, с 2005 года, впервые в мире, в Эстонии проходит электронное голосование через Интернет. Для работы этих сервисов развернута инфраструктура электронной идентификации личности и электронной подписи.
Проведем краткий обзор как это все работает. Сразу уточним, что обзор не претендует на полноту и рассматривает положение на настоящий момент с точки зрения простого гражданина Эстонии.
Вместо внутреннего паспорта в Эстонии используются удостоверение личности или ID-карта (Isikutunnistus или ID-kaart), которое обязаны иметь все граждане ЭР или ЕС, проживающие в Эстонии.
Помимо стандартных для таких документов свойств, таких как личные данные и фотография на самой карте, в ней также установлен чип, содержащий личные данные и две пары криптографических ключей, которые используются для идентификации и создания электронной подписи. ID-карта соответствует стандарту ISO 7816, также как, например, банковские карты Visa, Master Card, МИР. Начиная с 2021 года в ID-карте также предусмотрен интерфейс NFC.
Часть 2.
Сертификаты идентификации личности и электронной подписи выдаются государственным удостоверяющим центром сроком на 5 лет и уже записаны на ID-карту при выдаче.
Для работы с ID-картой на компьютере, необходимо иметь считыватель смарт-карт и установленное ПО RIA DigiDoc4 Client. Поддерживаются ОС Microsoft Windows, OS X и GNU/Linux, браузеры Microsoft Edge, Google Chrome и Mozilla Firefox.
RIA DigiDoc4 Client является свободным ПО, принадлежащим Департаменту государственной инфосистемы Эстонии (Riigi Infosüstemi Amet, RIA) и распространяемым по лицензии GNU LGPL 2.1.
С помощью RIA DigiDoc4 Client можно просматривать данные на ID-карте, менять PIN-коды, подписывать электронные документы, проверять ЭП и шифровать файлы.
Для работы в браузере в комплекте с RIA DigiDoc Client также поставляются плагины для поддерживаемых браузеров.
Есть также мобильная версия RIA DigiDoc4 Client для операционных систем Android и iOS, однако, для использования ID-карты к устройству необходимо подключить считыватель смарт-карт по USB OTG, использовать NFC не получится.
Подписанные при помощи RIA DigiDoc4 Client файлы помещаются в контейнер ASiC-E (Associated Signature Container - Extended), представляющий из себя zip-архив с собственно подписанным документом, его метаданными и xml-файлом, включающим в себя сертификат подписанта, значение подписи и метку доверенного времени. Проверка действительности сертификата происходит при помощи OCSP.
ASiC-E стандартизирован Европейским институтом по стандартизации в области телекоммуникаций (ETSI) и его использование предусмотрено регламентом Европейского союза eIDAS (electronic IDentification, Authentication and trust Services). Таким образом, эстонские электронные подписи признаются на всей территории ЕС.
Сертификаты на ID-карте являются квалифицированными (QES), а сама ID-карта является квалифицированным устройством для создания подписи (QSCD). Созданная с её помощью электронная подпись имеет юридическую значимость и приравнивается к подписи от руки, т.е. является аналогом российской УКЭП физического лица.
Примечательно, что количество запросов к сервисам меток доверенного времени и OCSP ограничено для "личного использования". Допустимое количество запросов не называется, но указано, что оно привязано к IP-адресу. Для увеличения количества запросов, например для коммерческого использования, необходимо заключить договор с оператором этих сервисов SK ID Solutions. Для доступа в государственные информационные системы ограничение не применяется.
Помимо ID-карты имеется возможность также использовать сервисы Smart-ID и Mobiil-ID.
Сертификаты идентификации личности и электронной подписи выдаются государственным удостоверяющим центром сроком на 5 лет и уже записаны на ID-карту при выдаче.
Для работы с ID-картой на компьютере, необходимо иметь считыватель смарт-карт и установленное ПО RIA DigiDoc4 Client. Поддерживаются ОС Microsoft Windows, OS X и GNU/Linux, браузеры Microsoft Edge, Google Chrome и Mozilla Firefox.
RIA DigiDoc4 Client является свободным ПО, принадлежащим Департаменту государственной инфосистемы Эстонии (Riigi Infosüstemi Amet, RIA) и распространяемым по лицензии GNU LGPL 2.1.
С помощью RIA DigiDoc4 Client можно просматривать данные на ID-карте, менять PIN-коды, подписывать электронные документы, проверять ЭП и шифровать файлы.
Для работы в браузере в комплекте с RIA DigiDoc Client также поставляются плагины для поддерживаемых браузеров.
Есть также мобильная версия RIA DigiDoc4 Client для операционных систем Android и iOS, однако, для использования ID-карты к устройству необходимо подключить считыватель смарт-карт по USB OTG, использовать NFC не получится.
Подписанные при помощи RIA DigiDoc4 Client файлы помещаются в контейнер ASiC-E (Associated Signature Container - Extended), представляющий из себя zip-архив с собственно подписанным документом, его метаданными и xml-файлом, включающим в себя сертификат подписанта, значение подписи и метку доверенного времени. Проверка действительности сертификата происходит при помощи OCSP.
ASiC-E стандартизирован Европейским институтом по стандартизации в области телекоммуникаций (ETSI) и его использование предусмотрено регламентом Европейского союза eIDAS (electronic IDentification, Authentication and trust Services). Таким образом, эстонские электронные подписи признаются на всей территории ЕС.
Сертификаты на ID-карте являются квалифицированными (QES), а сама ID-карта является квалифицированным устройством для создания подписи (QSCD). Созданная с её помощью электронная подпись имеет юридическую значимость и приравнивается к подписи от руки, т.е. является аналогом российской УКЭП физического лица.
Примечательно, что количество запросов к сервисам меток доверенного времени и OCSP ограничено для "личного использования". Допустимое количество запросов не называется, но указано, что оно привязано к IP-адресу. Для увеличения количества запросов, например для коммерческого использования, необходимо заключить договор с оператором этих сервисов SK ID Solutions. Для доступа в государственные информационные системы ограничение не применяется.
Помимо ID-карты имеется возможность также использовать сервисы Smart-ID и Mobiil-ID.
Часть 3.
Smart-ID - это сервис облачной электронной подписи, аккаунт которого привязывается к мобильному устройству при помощи приложения.
Сертификат Smart-ID выдается онлайн на основании ID-карты. Срок действия сертификата - 3 года. При проведении операции, в приложение приходит push-уведомление с кодом подтверждения. Список доступных по Smart-ID электронных услуг довольно обширен, например, возможен доступ в онлайн-банкинг. Также имеется возможность использовать Smart-ID в приложении RIA DigiDoc4 Client, как в десктопной, так и в мобильной версии. Smart-ID так же как ID-карта является квалифицированным устройством для создания подписи (QSCD), а сертификаты квалифицированными (QES). Smart-ID работает также в Латвии и Литве. Аналогом Smart-ID в России является приложение Госключ.
Mobiil-ID - это услуга операторов мобильной связи Эстонии, при которой криптографические ключи записываются на SIM-карту. Для получения Mobiil-ID необходимо обратиться к оператору связи и физически получить SIM-карту. Также как с ID-картой, используется пара сертификатов для идентификации личности и электронной подписи. Срок действия сертификатов - 5 лет. Допустимо использовании только одной SIM-карты с Mobiil-ID на человека. При выпуске новой SIM-карты, при смене оператора, старые сертификаты отзываются. Доступ к ключам осуществляет мобильная версия RIA DigiDoc4 Client, ключи защищены PIN-кодами, а криптографические операции происходят прямо на устройстве. При проведении операции на другом устройстве, в приложение RIA DigiDoc4 Client приходит push-уведомление с наименованием услуги и кодом подтверждения.
По состоянию на 13.09.2022 в Эстонии действуют 1560499 ID-карты, 246297 mobiil-ID и 664577 Smart-ID.
Существенным отличием эстонской системы PKI от российской является то, что "входной точкой" является ID-карта, она же удостоверение личности и внутренний паспорт, а также наличие единого государственного удостоверяющего центра и применение единой политики по использованию криптографии. Пользователю психологически проще ассоциировать свою электронную подпись и выполняемые с ней действия с собой лично, из-за чего значительно повышается чувство ответственности за сохранность своих криптографических ключей. Государству и бизнесу при этом намного проще развивать и предоставлять электронные услуги.
Smart-ID - это сервис облачной электронной подписи, аккаунт которого привязывается к мобильному устройству при помощи приложения.
Сертификат Smart-ID выдается онлайн на основании ID-карты. Срок действия сертификата - 3 года. При проведении операции, в приложение приходит push-уведомление с кодом подтверждения. Список доступных по Smart-ID электронных услуг довольно обширен, например, возможен доступ в онлайн-банкинг. Также имеется возможность использовать Smart-ID в приложении RIA DigiDoc4 Client, как в десктопной, так и в мобильной версии. Smart-ID так же как ID-карта является квалифицированным устройством для создания подписи (QSCD), а сертификаты квалифицированными (QES). Smart-ID работает также в Латвии и Литве. Аналогом Smart-ID в России является приложение Госключ.
Mobiil-ID - это услуга операторов мобильной связи Эстонии, при которой криптографические ключи записываются на SIM-карту. Для получения Mobiil-ID необходимо обратиться к оператору связи и физически получить SIM-карту. Также как с ID-картой, используется пара сертификатов для идентификации личности и электронной подписи. Срок действия сертификатов - 5 лет. Допустимо использовании только одной SIM-карты с Mobiil-ID на человека. При выпуске новой SIM-карты, при смене оператора, старые сертификаты отзываются. Доступ к ключам осуществляет мобильная версия RIA DigiDoc4 Client, ключи защищены PIN-кодами, а криптографические операции происходят прямо на устройстве. При проведении операции на другом устройстве, в приложение RIA DigiDoc4 Client приходит push-уведомление с наименованием услуги и кодом подтверждения.
По состоянию на 13.09.2022 в Эстонии действуют 1560499 ID-карты, 246297 mobiil-ID и 664577 Smart-ID.
Существенным отличием эстонской системы PKI от российской является то, что "входной точкой" является ID-карта, она же удостоверение личности и внутренний паспорт, а также наличие единого государственного удостоверяющего центра и применение единой политики по использованию криптографии. Пользователю психологически проще ассоциировать свою электронную подпись и выполняемые с ней действия с собой лично, из-за чего значительно повышается чувство ответственности за сохранность своих криптографических ключей. Государству и бизнесу при этом намного проще развивать и предоставлять электронные услуги.
Работа PKI-Форума в заключительный день начнётся в 9.30 с сессии "Острые аспекты обеспечения PKI в 2022 году, проблемы, поиск путей решения"
Forwarded from Телеком-ревью
Сбер переходит на российские TLS-сертификаты
В ближайшее время на них будет переведен главный сайт. Также на российские сертификаты перейдут и остальные сайты, ресурсы и системы Сбера.
- "Это гарантирует бесперебойный и безопасный доступ наших клиентов к сервисам банка, обеспечивая их независимость от иностранных решений".
https://digital.gov.ru/ru/events/41983/
В ближайшее время на них будет переведен главный сайт. Также на российские сертификаты перейдут и остальные сайты, ресурсы и системы Сбера.
- "Это гарантирует бесперебойный и безопасный доступ наших клиентов к сервисам банка, обеспечивая их независимость от иностранных решений".
https://digital.gov.ru/ru/events/41983/
Forwarded from Минцифры России
📣 Максут Шадаев о переходе на российские TLS-сертификаты:
«Мы приветствуем решение Сбера перевести свои онлайн-сервисы на отечественные сертификаты удостоверяющих центров. Перевод ресурсов крупнейшего банка и одной из ведущих технологических компаний страны на наши сертификаты будет хорошим примером для всего российского рынка и станет стимулом к снижению зависимости от зарубежных компаний. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Сертификаты выдаются бесплатно».
@mintsifry
«Мы приветствуем решение Сбера перевести свои онлайн-сервисы на отечественные сертификаты удостоверяющих центров. Перевод ресурсов крупнейшего банка и одной из ведущих технологических компаний страны на наши сертификаты будет хорошим примером для всего российского рынка и станет стимулом к снижению зависимости от зарубежных компаний. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Сертификаты выдаются бесплатно».
@mintsifry