Що таке хмарний КЕП?

Хмарний підпис – це кваліфікований електронний підпис (КЕП), особистий ключ якого зберігається безпосередньо в захищеному хмарному сховищі провайдера. Доступ до такого типу підпису користувач отримує завдяки використанню свого смартфону на який встановлено мобільний додаток провайдера. На сьогодні, така реалізація є найрозповсюдженішим варіантом двофакторної автентифікації, що забезпечує контрольоване використання вашого КЕП та зводить до мінімуму ймовірність його втрати або пошкодження.

Для розуміння причин появи такого різновиду підпису пропонуємо розібратись, що передувало появі такої технології (сервісу).

Історія розвитку кваліфікованого електронного підпису почалась ще у 2003 році, коли в Україні офіційно на рівні законів з’явились відповідні сфери електронного документообігу та електронного цифрового підпису (який, до речі, вже тоді законодавчо прирівнювався до власноручного підпису).

Перші надавачі послуг електронного цифрового підпису (або ЕЦП) називались Акредитовані центри сертифікації ключів (або АЦСК). В переважній більшості клієнти таких АЦСК в результаті надання послуг отримували на флешку або диск файл особистого ключа. В подальшому такий файл використовувався для накладання ЕЦП на електронні документи.

Зазвичай на з’ємний носій  записувались файли key-6.dat та key-11.dat. Останній містив лише службову інформацію та не міг використовуватись у якості ключа ЕЦП.

Разом з цим, окремі АЦСК могли мати інші розширення для ключів ЕЦП, наприклад, *.pfx, *.jks, *.zs2, *.pck тощо. Це призводило до великої плутанини серед користувачів таких послуг та ускладнювало налаштування програмного забезпечення, де такі ключі мали використовуватись. У той же час, використання таких файлів ЕЦП несло значні ризики для їх власників, адже будь-яка особа, яка скопіювала собі чужий ключ ЕЦП, могла створити такій особі чималі проблеми. Особливо в зоні ризику знаходилась сфера подання електронної податкової звітності та адміністрування ПДВ. Ні для кого не секрет, що на практиці ключі ЕЦП директорів підприємств знаходились у бухгалтерів. І цьому є виправдання. На той час основною сферою використання ЕЦП була лише електронна податкова звітність.

Розвиток електронних сервісів не в останню чергу відіграв роль у масовому використанні скомпрометованих ключів ЕЦП. Варто зазначити, що компрометація особистого ключа – це будь-яка подія, що призвела або може призвести до несанкціонованого доступу до особистого ключа (Закон України «Про електронну ідентифікацію та електронні довірчі послуги»). Простіше кажучи, кожний ключ директора, який був добровільно ним переданий бухгалтеру у законодавчому розумінні вже був скомпрометованим. Тому юридична сила електронного підпису, створеного з використанням такого ключа ЕЦП, могла бути поставлена під сумнів. Звісно, в переважній більшості система «передачі ключа довіреній особі» працювала без збоїв. Проте подальша цифровізація окремих сфер суспільного життя спричинив ріст шахрайства.

Протистояти недобросовістним користувачам вирішили через запровадження особистого отримання послуг.

Окремо треба зазначити, що старе законодавство (Закон України «Про електронний цифровий підпис», втратив чинність в 2018 році) не ділило ЕЦП за способом зберігання особистого або як його ще називають закритого ключа електронного підпису. Таким чином, якщо власник ЕЦП створив 5 копій свого ключа ЕЦП, то фактично усі ці ключі могли працювати незалежно один від одного. А зміна пароля особистого ключа ЕЦП застосовувалась лише для конкретного дубліката, а не всіх його копій. Зупинити використання скопрометованих ключів можна лише через скасування сертифіката електронного підпису.

І тут ми підходимо до наступної особливості – спосіб зберігання особистих ключів електронного підпису.

Основною метою існування електронного підпису є створення умов для ідентифікації особи, яка створила такий підпис.

Всі ми розуміємо, що живий підпис на папері є дійсно унікальним і його відтворити може лише одна особа. Для цього є навіть спеціальна графологічна експертиза.

Але як забезпечити існування особистого ключа в одному примірнику, який можна було б вважати унікальним та використовувати дійсно як аналог власноручного підпису з презумпцією його відповідності? Тут на допомогу прийшли спеціальні захищені носії ключової інформації. В переважній більшості, такі носії інформації використовувались для роботи в спеціальних закритих системах (наприклад, при взаємодії державних реєстраторів з єдиними та державними реєстрами, в судочинстві, нотаріаті тощо).

Що ж гарантує використання таких захищених носів ключової інформації (ЗНКІ або ще їх називають захищені носії особистих ключів (ЗНОК), або токени)? Відповідь доволі проста. З такого носія неможливо зробити дублікат вашого особистого ключа КЕП, а якщо шахрай введе 15 разів поспіль неправильний пароль, то носій і зовсім заблокується. Аналогічно як і з банківськими картками та їх 3 спробами вводу пароля.

Проте є чимало особливостей у використання таких носіїв. Так, зокрема, потрібно володіти певними знаннями для налаштовування свого робочого місця для роботи із засобами криптографічного захисту інформації (КЗІ). Не дивлячись на те, що візуально усі токени схожі на звичайні USB-флеш накопичувачі, працювати з ними пересічному користувачу буде не легко.

Як показала практика останніх років до основних проблем, з якими зіштовхнулись користувачі токенів можна віднести:

• неактуальна версія криптобібліотек, яка встановлюється локально на ПК;
• налаштування програмного забезпечення для зчитування інформації з такого носія;
• обмеженість у виборі операційних систем (користувачі MacOS та Linux розуміють про що йде мова);
• в окремих випадках, користувачам потрібно було використовувати додаткове обладнання (перехідники, адаптери).

І от ми підійшли до нашого сьогодення, законодавства у сфері електронної ідентифікації та електронних довірчих послуг, хмарного підпису та його використання.

Отже, «хмарний підпис» він же «хмарний КЕП» він же «серверний підпис» він же «носій у складі сервісу».

В основі такого різновиду кваліфікованого електронного підпису (КЕП) знаходиться технологія використання високопродуктивних мережних криптомодулів. До 2019 року такі криптомодулі використовувались в основному лише провайдерами електронних довірчих послуг (в минулому Акредитовані центри сертифікації ключів) для зберігання власних особистих ключів. Також варто відзначити, що швидкодія таких криптомодулів в сотні разів вище аніж у звичайних токенів. Так наприклад, сервіс хмарного КЕП від КНЕДП ТОВ «ДЕПОЗИТ САЙН» має показник у 3 000 КЕП/сек у форматі CAdES-X-Long.

Якщо простими словами, мережний криптомодуль – це великий токен (або захищений носій ключової інформації) на який можна генерувати близько 4 млн особистих ключів. На сьогодні такі носії інформації називаються «засіб кваліфікованого електронного підпису чи печатки» або «засіб КЕП». Вони мають експертний висновок у сферах криптографічного та технічного захисту інформації та є невід’ємною частиною програмно-технічного комплексу Кваліфікованих надавачів електронних довірчих послуг (КНЕДП).

Для взаємодії користувача с власним КЕП, як правило, використовується мобільний пристрій (телефон або планшет). За допомогою смартфону користувач може генерувати особисті ключі безпосередньо на мережний криптомодуль КНЕДП, ініціювати створення КЕП, продовжувати або скасовувати свої сертифікати КЕП тощо.

Перший хмарний КЕП був створений нашим клієнтом влітку 2019 року. Вже тоді стало зрозуміло, що такий різновид електронного підпису дає своїм власникам ту довгоочікувану мобільність користування, яку жодний інший електронний підпис не зможе забезпечити з одночасним дотриманням вимог щодо конфіденційності та захисту інформації.

Безумовно, людський фактор був, є і залишатиметься найбільш вразливою частиною будь-якої системи. Проте хмарний КЕП дає можливості адміністраторам інформаційно-комунікаційних систем налаштувати порядок використання хмарного КЕП саме в такому форматі, як того вимагає власник системи. Наприклад, обов’язковість використання двофакторної автентифікації під час створення хмарного КЕП або ж заборона на використання службового хмарного КЕП в інших системах, або використання заздалегідь визначеного знеособленого хмарного КЕП для автоматизованої обробки інформації тощо.