Облачные сервисы цифровых подписей
Ещё в прошлом веке многие предприятия начали массово переходить на электронный документооборот. У всех появились компьютеры с офисными программами. Документы часто набирали в Microsoft Word или других текстовых редакторах, экспортировали в PDF, отправляли по электронной почте.
Казалось, что если документооборот электронный, то мы скоро забудем о шкафах с бумажными архивами, на рабочих столах не останется ни единого бумажного листа. Если вдруг в организацию пришлют бумажный документ по обычной почте, то артефакт немедленно отсканируют и переведут в цифровой вид. В реальности вышло совсем наоборот. Оказалось, что чем больше организация использует компьютеры для цифрового документооборота — тем больше документов она печатает. Ведь каждый документ нужно завизировать. Документ без подписи — это просто черновик или информационная записка. Чтобы получить подпись, документы распечатывают, а потом зачастую сканируют обратно, храня оригиналы в архиве.
Сейчас понятно, что действительно электронный (безбумажный) документооборот никак не внедрить без цифровых подписей.
Сегодня B2B, B2C компании и государственные организации переходят к внедрению цифровых подписей за их неоспоримые преимущества:
- Безбумажный документооборот. Экономия времени, денег и ресурсов.
- Эффективные бизнес-процессы. Подписание в электронном виде делает каждую транзакцию более гладким процессом.
- Мобильные возможности. Взаимодействие внутри организации и с клиентами становится проще.
Инфраструктура открытых ключей (PKI) обеспечивает целостность и подтверждает авторство каждого документа. Метки времени удостоверяют время подписи документа, что необходимо для транзакций, привязанных к определённому времени, обеспечения невозможности отказа от авторства и сохранения данных для аудита. Разумеется, вся система документооборота с цифровыми подписями должна соответствовать необходимым требованиям, действующим в стране юрисдикции, а также в странах, где работают партнёры и клиенты.
Постепенно вырабатываются единые стандарты для электронного документооборота и инфраструктуры цифровых подписей. Например, в странах Евросоюза с 1 июля 2016 года действует стандарт eIDAS (electronic IDentification, Authentication and trust Services) для электронных сервисов идентификации, аутентификации и доверия. В США принят стандарт 21 CFR 11.
Самые большие в мире доверенные службы для электронных документов — доверенный список Adobe (AATL) и программа Microsoft Root Trust. Удостоверяющие центры, включённые в этот список, выпускают основанные на сертификатах цифровые идентификаторы и службы отметок времени, которые соответствуют нормативным требованиям в мире, как стандарт eIDAS. Для самых популярных форматов офисных документов уже поддерживаются электронные цифровые подписи. В том числе поддерживается подпись документа несколькими лицами, с метками времени.
Что такое Digital Signing Service (Облачный сервис цифровых подписей)?
Digital Signing Service (DSS) — это масштабируемая платформа с поддержкой API для быстрого развёртывания цифровых подписей, которая обеспечивает:
- Цифровую подпись хэша любого документа или цифровую транзакцию в настройке PKI
- Выдачу сертификата подписи
- Поддержку AATL и Microsoft Root
- Хранение приватных ключей на базе HSM
- Проверку отзыва, требуемого для аудита
- Продвинутые электронные печати и после аккредитации квалифицированные подписи, соответствующие стандарту eIDAS
Теоретически, можно организовать «облачный» сервис внутри собственной компании на своих серверах, открыв для пользователей доступ к API. Например, в рамках европейского проекта CEF Digital разработано open-source решение Digital Signature Service (код на GitHub, демо).
Для собственного сервиса DSS требуется наладить не только рабочий процесс подписи и управление пользователями. Требуются ещё сертификаты подписи для удостоверения личности автора каждого документа. Это включает в себя криптографические элементы, такие как управление ключами, система хранения ключей уровня безопасности FIPS level 2 или выше (например, аппаратные токены или HSM), служба OCSP или CRL, а также служба меток времени. Объединение этих компонентов, особенно интеграция с аппаратным модулем безопасности (HSM) напрямую, будь то облако или локально, требует значительных усилий со стороны отдела ИТ и отдела информационной безопасности наряду с хорошими знаниями криптографии и наличием необходимых ресурсов.
Важно учитывать эти скрытые затраты и инвестиции, а также ограничения и накладные расходы при оценке решений для цифровой подписи.
Отдельно стоит упомянуть, что если служба DSS критически важна для организации, то она должна работать с высоким уровнем аптайма и обеспечивать большую пропускную способность. То есть нужно проектировать своё решение с определённой долей избыточности — с запасом на будущее. И следует предполагать, что бизнесу свойственен рост. Инфраструктура должна быть масштабируемой.
Digital Signing Service | Традиционная реализация | |
---|---|---|
Интеграция с приложениями для подписи документов | Через простой REST API | Требует внутренней криптографической экспертизы для конфигурации и поддержки |
Компоненты криптографической подписи (сертификаты, OCSP, CRL, метки времени | Включены в API, не требуют продвинутых знаний криптографии или ресурсов разработки | Идут отдельно, требуют отдельных вызовов из приложений и внутренних ресурсов разработки для настройки |
Масштабируемость | Высокая масштабируемость — не требуется дополнительная настройка или интеграция | Может понадобиться закупка дополнительного оборудования и конфигурация |
Высокая доступность и аварийное восстановление | Поставляется через инфраструктуру GlobalSign, проверенную WebTrust, с глобальными центрами обработки данных, избыточностью и лучшим оборудованием для защиты сети | Требует дополнительных инвестиций в оборудование |
Управление секретными ключами и их хранение | Через REST API, внутренние ресурсы или оборудование не используются | Клиент отвечает за управление ключами и их хранение (например, в облаке или локальном HSM) |
Удостоверения подписи | Поддержка подписей двух уровней: отделов и сотрудников (например, Джон Доу, бухгалтерия) | Не все решения поддерживают оба типа удостоверений |
Облачный сервис сильно упрощает развёртывание системы документооборота с поддержкой цифровых подписей. Все операции просто проходят через API.
Облачные сервисы отличаются по ценам и функциональности. Но все они гарантируют гибкость, масштабируемость и высокий уровень доступности. Хотя сервисы платные, зато избавляют компании от необходимости инвестировать в разработку собственных решений, в том числе закупать дорогостоящее криптографическое оборудование.
Кому может понадобиться облачный сервис цифровых подписей? По идее, это любые организации любого размера, которые разрабатывают или вводят в эксплуатацию специально разработанные приложения и намерены либо интегрировать туда цифровые подписи, либо использовать уже интегрированное приложение.
- Поставщики решений документооборота или приложений, желающие интегрировать цифровые подписи или печати. Другой вариант: предложить их клиентам в качестве премиальной опции как гарантированную защиту документов от подделки. Здесь поддерживается гибкая модель: цифровые подписи можно добавить в качестве дополнительного слоя или опции.
- Предприятия, которые хотят интегрировать цифровые подписи или печати в свой документооборот.
- Системные интеграторы, которые внедряют цифровые подписи в существующие и новые системы документооборота.
В конечном счёте каждая организация сама определяет, какой вариант DSS подходит лучше всего, исходя из имеющихся требований к проекту. Здесь учитываются и требования регулирующих органов, и размер организации, и другие факторы, часто уникальные в каждом конкретном случае.