25.05.2021 17:26
PayControl и NFC-карты. Безопасность, уровня требований к ГИС для государства и не только.
Кирилл Мещеряков, руководитель направления развития продуктов
Первые рассуждения и технические наработки решения PayControl начались еще в 2013 году: какими технологиями можно реализовать удобную и безопасную электронную подпись, неотъемлемой частью которой является простота использования, соответствие законодательству и мобильность. И вот в 2017 рынок увидел абсолютно уникальное решение – мобильная электронная подпись на смартфоне. PayControl разрабатывался как удобное и безопасное средство подписи, а с нашей точки зрения удобство — это мобильность. PayControl «превращает» мобильное устройство в удобный и очень мобильный аналог криптографического USB-токена, в котором формируется электронная подпись. Теперь высокий уровень безопасности операций, который раньше был доступен только в ДБО юридических лиц на рабочих компьютерах, стал доступен всем.
В поисках нового решения.
Платформа PayControl реализует электронную подпись на основе «асимметричной криптографии», или «криптографии с открытым ключом». Закрытый ключ служит для выработки электронной подписи, открытый – для ее проверки. При использовании PayControl ключ формирования электронной подписи хранится на мобильном устройстве пользователя и с помощью этого ключа на основе реквизитов операции, уникальных признаков смартфона и ряда других аргументов собственно и формируется мобильная электронная подпись.
В процессорах наших смартфонов есть защищённая область, в которую складываются все пользовательские секреты, логины, пароли, ПИН-коды, и ключи шифрования электронной подписи: все то, что мы хотим спрятать от посторонних и уберечь от глаз мошенников. Производители этих процессоров уверяют, что данные из этих защищённых областей вытащить ну если невозможно, то по крайней мере очень-очень проблематично. Внутрь процессора, конечно, никто заглянуть не может, но именно на доверии к словам производителей строится безопасность практически всех мобильных приложений, в том числе и приложений PayControl.
Но, мы прекрасно понимали, что не все наши заказчики готовы безусловно доверять словам производителей смартфонов. Иногда нужны и более весомые доказательства, например проверки специальных сертифицирующих органов и лабораторий. Например, iPhone или массовый телефон на Android ФСБ и ФСТЭК никогда не сертифицируют, просто из-за отсутствия доступа к схемам процессора и исходным кодам операционной системы. А вот специальную смарт-карту, на которой может храниться закрытый ключ электронной подписи вполне можно сертифицировать, что успешно делает ряд отечественных компаний.
Мы долго рассуждали, как и куда можно перенести закрытый ключ со смартфонов в другое защищенное место. Важнейшей задачей было сохранить мобильность и удобство использования средства подтверждения.
В поисках решения мы увидели, что компания Актив разрабатывает новое поколение NFC-карт – Рутокен ЭЦП 3.0. Мы убедились, что функциональность и скорость работы этой карты позволит нам перенести закрытый ключ из защищенной области в процессоре смартфона на сертифицированную и проверенную нашими регуляторами смарт-карту (на момент написания статьи NFC-карты компании Актив проходят сертификацию в ФСБ и ФСТЕК). Таким образом у нас появилась возможность объединить высокий уровень безопасности, мобильность и удобство.
Как это работает?
PayControl с NFC будет работать не сложнее уже привычного приложения PayControl: вам приходит документ на подписание, вы его просматриваете и подписываете. В случае с NFC-картой клиент будет проходить тот же самый путь, только при подписи, он будет прикладывать NFC-карту к телефону. Этот процесс очень похож на прикладывание бесконтактной банковской карты к платежному терминалу или турникету в метро. Таким образом пользователь будет производить уже довольно привычное ему движение: достал карту – приложил– дождался сигнала о завершении операции. При всем удобстве и привычности этого процесса мы получаем очень высокий уровень безопасности без потери удобства и мобильности. А также дополнительную уверенность, что закрытый ключ никогда никуда не утечет.
Зачем и кому это нужно?
Государственные организации, службы и компании с государственным участием всегда имели гораздо более высокие требования к информационной безопасности и ее средствам, чем коммерческие организации. Таким образом хранение закрытого ключа внутри смартфона не всегда воспринимается достаточным (если это, конечно, не сертифицированные устройства на ОС Аврора или Астра Линуксе). Зачастую, высокий уровень требований к безопасности приводит к использованию средств защиты, которые усложняют и замедляют работу сотрудников и клиентов. Именно поэтому мы хотели найти решение, которое не только будет отвечать высоким требованиям безопасности, но и также будет иметь простой и привычный пользовательский путь. А так как пластиковые карточки вполне привычны для людей и все привыкли хранить их в кардхоледрах, то новое решение PayControl и NFC-карта как нельзя лучше подходит для решения поставленной задачи.