15.09.2022

Нужно искать тех, кто готов поддержать стандартизацию и заинтересован в использовании таких стандартов

Отраслевой портал – Информационная безопасность банков IB-BANK.RU, сентябрь, 2022
Репортаж с PKI-Форума 2022. Алексей Сабанов, доктор технических наук, профессор кафедры защиты информации МГТУ им. Н.Э. Баумана, заместитель генерального директора АО "Аладдин Р.Д.", вёл одну из секций форума, а также выступил с докладом о проблематике стандартизации в области PKI и ЭП.

На PKI-Форуме 2022 обсудили вопросы стандартизации в области ЭП, PKI, криптографии и ЭДО. Отраслевые эксперты оценили уровень стандартизованности данных технологий и их готовность к применению по соответствующим стандартам.

Ведущий сессии, профессор МГТУ им. Н.Э. Баумана, академик МАС, заместитель генерального директора компании "Аладдин Р.Д." Алексей Сабанов отметил, что стандартизация сферы PKI происходит достаточно активно в рамках технических комитетов. При этом разработку каждого стандарта предваряет создание научно-технического отчёта – этот внушительный по объёму документ включает анализ состояния международных стандартов, российской нормативно-правовой базы и научных достижений по данной тематике.

"PKI – это инфраструктура доверия к открытым ключам. Электронная подпись – всего лишь один из сервисов безопасности, которые позволяют обеспечить эквивалентность и по доверию, и по юридической значимости документов. Чтобы электронный документ полностью соответствовал по своей юридической силе бумажному документу, должны использоваться шесть сервисов безопасности – электронных реквизитов: электронная подпись, идентификация и аутентификация подписанта, метка доверенного времени, валидация сертификата ключа проверки подписи, проверка полномочий, гарантированная доставка документов и сообщений. Вот вопросы, которые мы попробуем сегодня обсудить", – пояснил спикер.

Позже, в рамках собственного доклада, Алексей Сабанов обозначил проблемы стандартизации в области PKI и ЭП. Одна из них – отсутствие стратегического планирования с чётко обозначенными целями и задачами.

Выступление руководителя обособленного подразделения "ИнфоТеКС" Михаила Грунтовича было посвящено стандартизация OpenID Connect на базе отечественных криптографических алгоритмов. По его словам, две реализации протокола OpenID Connect были сделаны в системах ЕСИА и ЕБС. После этого в 2019 году появилась необходимость в разработке документа, который бы позволил получить доступ к финансовым сервисам через авторизацию и аутентификацию с помощью OpenID Connect.

"Документ был выпущен в 2020 году, но в 2021 году появилась вторая версия сервиса – более продвинутый протокол, который использует ту же криптографическую базу. В процессе нового согласования в этом документе появилась фраза о том, что описание технической, криптографической части должно быть в документе ТК-26. С этого началась работа над технической спецификацией стандарта", – рассказал спикер.

Представители компании "КриптоПро" познакомили слушателей со схемой подписи вслепую и стандартизацией в этой области. Подпись вслепую – это криптографический механизм, который по свойствам похож на привычную электронную подпись, но обладает дополнительными качествами и позволяет решать дополнительные задачи. Разработка методических рекомендаций, которые будут специфицировать механизмы работы подписи вслепую, началась в ноябре 2020 года в рамках ТК-26, а в июле 2022 года документ был сформирован. Первым применением подписи вслепую являются различные системы электронных платежей. В России пока единственным широко известным сценарием её применения являются системы дистанционного электронного голосования.

"Как и обычная ЭП, этот криптографический механизм состоит из трёх процессов: создания ключей, формирования подписи и проверки подписи. При этом благодаря своей специфике данный механизм позволяет решать ещё одну задачу. Формирование подписи перестаёт быть просто алгоритмом, который выполняется отдельно, а становится интерактивным протоколом. Протокол выполняется между подписывающим, у которого имеется закрытый ключ формирования подписи вслепую, и пользователем, у которого имеется ключ проверки. Взаимодействуя с подписывающим, пользователь вырабатывает подпись для своего сообщения. К стандартному свойству ЭП – неподделываемости добавляется новое свойство – неотслеживаемость", – пояснил Евгений Алексеев, начальник отдела криптографических исследований "КриптоПро", член Академии криптографии РФ.

Наталья Храмцовская, к. и. н., ведущий эксперт по управлению документацией компании ЭОС, посвятила доклад незакрытым проблемам развития ЭДО и перспективам их стандартизации. По её словам, проблем правового характера, связанных с обеспечением и сохранением, в том числе в длительной перспективе, юридической доказательной силы электронных документов, достаточно много. Такие механизмы, как отметки времени и машиночитаемые доверенности, пока в правовом плане недостаточно хорошо проработаны. Второе направление проблем связано с интероперабельностью – миграцией документов из одной системы в другую: например, при передаче документов на архивное хранение или при выводе из эксплуатации системы, в которой имеются юридически значимые документы с длительным сроком хранения.

"В нашем направлении, с моей точки зрения, нужно искать тех, кто готов поддержать стандартизацию и заинтересован в использовании таких стандартов. При создании и адаптации стандарта прежде всего нужно убедительное деловое обоснование, фактически бизнес-кейс. Разработка стандартов должна быть заточена под решение конкретных, реально существующих сейчас проблем, с учётом мнения потенциально заинтересованных сторон", – сделала вывод Наталья Храмцовская.

Выступление членов Академии криптографии РФ было посвящено созданию и стандартизации постквантовых криптографических механизмов. "В настоящее время активно ведутся исследования по созданию квантовых вычислителей. Если такой вычислитель появится, алгоритмы для него уже существуют, и наша ассиметричная криптография станет ненужной, потому что есть уже известные, эффективные методы анализа. Предстоит проведение перспективных исследований по разработке неких методов обеспечения безопасности. Их целью является создание такого криптографического механизма, который будет безопасен по отношению как к квантовым методам анализа, так и к классическим методам", – отметил один из спикеров, Антон Гуселев.

Оригинал статьи