Устройство для создания защищенной подписи - это особый тип компьютерного оборудования или программного обеспечения, которое используется для создания электронной подписи . Для использования в качестве устройства для создания защищенной подписи (SSCD) устройство должно соответствовать строгим требованиям, изложенным в Приложении II Регламента (ЕС) № 910/2014 (eIDAS) , где оно называется квалифицированным (электронным ) устройство создания подписи (QSCD). Использование устройств для создания защищенных подписей помогает облегчить онлайн- бизнес-процессы, которые экономят время и деньги при совершении транзакций в государственном и частном секторах . [1] [2] [3]
Описание
Минимальные требования, которые должны быть выполнены, чтобы поднять устройство для создания электронной подписи до уровня безопасного устройства для создания подписи, приведены в Приложении II к eIDAS. С помощью соответствующих процедурных и технических средств устройство должно разумно обеспечивать конфиденциальность данных, используемых для создания электронной подписи. Кроме того, он должен гарантировать, что данные, используемые для создания электронной подписи, уникальны и используются только один раз. Наконец, он должен позволять только квалифицированному поставщику услуг доверия или центру сертификации создавать или управлять данными электронной подписи подписавшего . [2]
Для обеспечения безопасности данные для создания подписи, используемые SSCD для создания электронной подписи, должны обеспечивать разумную защиту с помощью современных технологий для предотвращения подделки или дублирования подписи. Созданные данные должны оставаться под исключительным контролем подписавшего их лица, чтобы предотвратить несанкционированное использование. Самому SSCD запрещено изменять сопроводительные данные подписи. [1]
Когда поставщик услуг доверия или центр сертификации вводит SSCD в эксплуатацию, они должны надежно подготовить устройство в соответствии с Приложением II eIDAS в полном соответствии со следующими тремя условиями: [4] [1]
- Во время использования или хранения SSCD должен оставаться в безопасности.
- Кроме того, повторная активация и деактивация SSCD должны происходить в безопасных условиях.
- Любые данные активации пользователя, включая PIN-коды , доставляются отдельно от SSCD после безопасной подготовки.
Международные требования к обеспечению безопасности для SSCD
Устройство для создания защищенной подписи также должно соответствовать международному стандарту сертификации компьютерной безопасности, известному как Общие критерии оценки безопасности информационных технологий (ISO / IEC 15408). [5] Этот стандарт дает пользователям компьютерных систем возможность определять требования безопасности через профили защиты (PP) для функциональных требований безопасности (SFR) и требований обеспечения безопасности (SAR). [1] [3] Поставщик услуг доверия или центр сертификации должен реализовать указанные требования и подтвердить атрибуты безопасности своего продукта. Затем сторонняя испытательная лаборатория оценивает устройство, чтобы убедиться, что уровень безопасности соответствует заявленным поставщиком. [6]
Центральная служба аутентификации
Когда устройство для создания защищенной подписи используется как часть центральной службы аутентификации (CAS), оно может действовать как сервер CAS в сценариях многоуровневой аутентификации. Программный протокол CAS позволяет пользователям проходить аутентификацию при входе в веб-приложение.
Общая схема протокола CAS включает в себя веб-браузер клиента, приложение, запрашивающее аутентификацию, и сервер CAS. Когда требуется аутентификация, приложение отправит запрос на сервер CAS. Затем сервер сравнит учетные данные пользователя со своей базой данных. Если информация совпадает, CAS ответит, что пользователь аутентифицирован. [1] [3]
Правовые последствия в отношении устройств для создания защищенных подписей
eIDAS предлагает многоуровневый подход к определению юридических последствий электронных подписей. Подпись, созданная с помощью устройства для создания защищенной подписи, считается самой убедительной доказательной ценностью . Документ или сообщение, подписанные с помощью такого устройства, не заслуживают доверия , то есть подписавший не может отрицать свою ответственность за создание подписи. [2]
Регламент (ЕС) № 910/2014 (eIDAS) развился на основе Директивы 1999/93 / EC, Директивы об электронных подписях . Цель директивы заключалась в том, чтобы возложить на государства-члены ЕС ответственность за создание законодательства, которое позволило бы создать систему электронной подписи Европейского Союза. Регламент eIDAS требует от всех государств-членов следовать его спецификациям для электронных подписей до даты его вступления в силу 1 июля 2016 года. [7] [8]
Рекомендации
- ^ a b c d e Тернер, Дон М. "Что такое безопасное устройство для создания подписи" . Криптоматический . Проверено 18 ноября +2016 .
- ^ а б в Тернер, Рассвет. «Понимание eIDAS» . Криптоматический . Проверено 12 апреля +2016 .
- ^ а б в «Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 года об электронной идентификации и доверительных услугах для электронных транзакций на внутреннем рынке и отменяющий Директиву 1999/93 / EC» . EUR-Lex . Европейский парламент и Совет Европейского Союза . Проверено 18 марта 2016 .
- ^ «Электронные подписи и инфраструктуры: требования политики для центров сертификации, выдающих квалифицированные сертификаты» (PDF) . Европейский институт телекоммуникационных стандартов . Проверено 18 ноября +2016 .
- ^ «ISO / IEC 15408-1: 2009 Информационные технологии. Методы безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель» . Международная организация по стандартизации (ISO) . Проверено 18 ноября +2016 .
- ^ Тернер, Дон М. «Поставщики услуг доверия согласно eIDAS» . Криптоматический . Проверено 18 ноября +2016 .
- ^ Тернер, Дон М. «eIDAS от директивы к регулированию - правовые аспекты» . Криптоматический . Проверено 18 марта 2016 .
- ^ «Положения, директивы и другие акты» . Europa.eu . Европейский Союз. Архивировано из оригинального 12 декабря 2013 года . Проверено 18 марта 2016 .
Внешние ссылки
- www.iso.org/iso 22715: 2006
- www.eur-lex.europe.eu/eIDAS