Финансовая сфера

Банковское обозрение


  • Всё, что надо знать о криптографии
21.08.2018 Аналитика

Всё, что надо знать о криптографии

Прикладная реализация инфраструктуры открытых ключей в банковских процессах


В современном мире использование криптографических решений не гарантирует того, что с вашего счета в банке средства не будут похищены. Тем не менее и банкам, и клиентам понятно, что без использования криптографии все было бы еще хуже.

Прикладная криптография стала неотъемлемой частью банковских услуг. Любое, даже самое примитивное банковское приложение, через которое клиенты общаются с банками, не обходится без использования криптографических решений. Это неудивительно — ведь именно благодаря криптографии клиенты и банкиры могут не беспокоиться о сохранности и конфиденциальности транзакций, передаваемых через повсеместно используемые интернет-каналы, будь то персональный компьютер, мобильный телефон, терминал оплаты в магазине или банкомат.

Криптографические алгоритмы решают задачи обеспечения конфиденциальности, целостности и подтверждения авторства информации в процессе передачи, обработки и хранения в банковских системах. Однако для правильного решения этих задач даже при небольшом количестве предоставляемых электронных услуг от банков требуется наличие соответствующей инфраструктуры и компетенций по ее применению. Настоящая статья предлагает ознакомиться с базовыми понятиями и концептуальными основами, лежащими в основе используемой в Сбербанке инфраструктуры открытых ключей, а также базовыми технологическими идеями системы управления и работы с ключевой информацией в этой инфраструктуре. Кроме того, в статье приведены примеры интеграции прикладных банковских систем с инфраструктурой и основные показатели производительности таких систем.

Статья будет интересна разработчикам, аналитикам и другим техническим специалис­там — сотрудникам коммерческих банков, а также людям, интересующимся прикладной реализацией инфраструктуры открытых ключей в коммерческих организациях.

Задачи кибербезопасности при предоставлении банковских услуг

Попытаемся определить задачи кибербезопасности, которые может решить инфраструктура открытых ключей на всех этапах жизненного цикла предоставления банковской услуги. К этим задачам относятся:

1) обеспечение конфиденциальности электронных документов или транзакций при передаче по открытым каналам связи для исключения доступа к данным третьих лиц;

2) защита от искажения или внесения изменений в процессе передачи и хранения электронных документов или транзакций;

3) идентификация автора (клиента или банка) электронных документов или транзакций;

4) подтверждение факта создания электронных документов или транзакций создателем — клиентом или банком;

5) подтверждение достоверности банковской части системы при использовании клиентами систем дистанционного банковского обслуживания;

6) подтверждение подлинности клиента системой дистанционного банковского обслуживания.

Как видно, задач немного, однако каждая из них важна. Первая задача решается с помощью технологии шифрования, тогда как для решения всех остальных подойдет технология ЭП. Рассмотрим ее подробнее.

Свойства ЭП и ее применение в банковских процессах

ЭП представляет собой последовательность ограниченной длины, полученную с использованием математических алгоритмов и связанную с электронным документом. Она обладает следующими свойствами:

• свойством авторства, которое позволяет идентифицировать автора электронного документа;

• свойством неотрекаемости, которое не позволяет автору отказаться от факта подписания электронного документа;

• свойством целостности, которое дает возможность определить факт внесения изменений в электронный документ.

Часто при оказании банковских услуг или осуществлении внутрибанковского документооборота возникает необходимость максимально сократить, а по возможности исключить любую форму бумажного документооборота. При этом у банка должна быть возможность неопровержимого доказательства наличия волеизъявления клиента на предоставление ему банковской услуги — например, исполнения платежного поручения — или подтверждения авторства электронного документа, созданного сотрудником банка. В этом случае ЭП может с успехом заменить рукописную подпись, но только с условием заключения соглашения между банком и клиентом или сотрудником банка для соблюдения Федерального закона от 06.04.2011 № 63 «Об электронной подписи».

При реализации ЭП в системах может использоваться либо формат представления ЭП, принятый в организации, либо международный формат. Индустриальным стандартом, определяющим формат представления ЭП в мире, на текущий момент де-факто является PKSC#7, спецификация которого определена документами RFC2315, RFC5652.

О процедуре разбора спорных ситуаций

При предоставлении электронных услуг банку следует учитывать, что любая проведенная операция может быть оспорена клиентом. Например, он может сообщить, что банк исполнил платежное поручение или принял в обработку электронный документ без его согласия. Поэтому крайне важно предусмотреть простой и понятный всем сторонам конфликта процесс проверки ЭП для спорного электронного документа. Процедура разбора подобных ситуаций должна быть подробно описана в соглашении банка с клиентом о предоставляемой услуге.

Процедурой разбора споров предусматривается получение копии электронного документа и ЭП из архива системы электронного документооборота, а также получение от удостоверяющего центра сертификата клиента и документа, доказывающего его принадлежность клиенту (фактор гарантии неотрекаемости от ЭП). В Сбербанке таким фактором является заявление на сертификацию открытого ключа ЭП, содержащее сам открытый ключ, реквизиты и подпись владельца данного ключа, что также указывается в договорах об электронном взаимодействии.

Доказательство волеизъявления клиента строится на следующем утверждении: если результат проверки ЭП электронного документа клиента, выражающего волеизъявление на его исполнение, полученный с применением признанного клиентом открытого ключа, — положительный, то секретный ключ, с помощью которого сформирована ЭП, может принадлежать только клиенту — владельцу открытого ключа, и банк обязан исполнить данный документ.

В Сбербанке для разбора спорных ситуаций принято к использованию программное обеспечение, которое предоставляет возможность проверки ЭП как во внутреннем формате банка, так и в международном формате PKSC#7.

Схемы применения инфраструктуры открытых ключей

Можно выделить несколько схем применения инфраструктуры открытых ключей:

• с использованием групп открытых ключей;

• с использованием сертификатов открытых ключей и списка отзыва сертификатов;

• с использованием двух вышеперечисленных схем.

Большинство удостоверяющих центров используют наиболее распространенную схему с применением сертификатов открытых ключей и списка отзыва сертификатов.

В Сбербанке система удостоверяющего центра позволяет использовать две схемы применения инфраструктуры открытых ключей:

• с использованием баз открытых ключей — схема «белых списков»;

• с применением сертификатов открытых ключей и списка отозванных сертификатов — схема «черного списка».

В схеме с использованием баз открытых ключей ЭП сообщения содержит вычисленное математическое значение ЭП и уникального идентификатора ключа ЭП. База открытых ключей представляет собой список открытых ключей и идентификаторов только тех сотрудников или клиентов банка, которые уполномочены подписывать документы в рамках конкретного информационного взаимодействия («белый список»). Использование баз открытых ключей эффективно для обеспечения высокой производительности операций проверки ЭП по причине быстрого поиска открытого ключа по идентификатору в базе и выполнения операции проверки ЭП без подтверждения его подлинности. Однако данная технология непригодна в ситуациях, когда невозможно обеспечить оперативное тиражирование базы при изменении места проверки ЭП, а также при работе с архивными документами, так как в случае компрометации секретного ключа или окончания срока действия соответствующий открытый ключ будет исключен из списка, тем самым сделав невозможным проверку ЭП архивного документа.

В схеме с применением сертификатов открытых ключей и использованием списка отозванных сертификатов ЭП формируется в международном формате PKSC#7. Такой формат помимо непосредственно математического значения ЭП содержит сертификат владельца открытого ключа, а также дополнительную служебную информацию.

Сертификат владельца ключей ЭП представляет собой структуру, которая содержит открытый ключ, информацию о владельце ключей ЭП, информацию о выпустившем сертификат удостоверяющем центре, ЭП удостоверяющего центра и срок ее действия. Именно с помощью своей ЭП удостоверяющий центр подтверждает подлинность сертификата владельца ключей ЭП.

При компрометации секретного ключа, истечении срока действия сертификата или по иным причинам серийный номер сертификата включается в список отозванных сертификатов. Результат проверки ЭП будет считаться положительным при следующих условиях:

• успешная математическая проверка ЭП по открытому ключу, содержащемуся в сертификате открытого ключа подписанта;

• подтверждение того, что сертификат и список отзыва сертификатов выданы удостоверяющим центром банка. Для этого используются доверенные сертификаты удостоверяющего центра;

• подтверждение актуальности сертификата и списка отзыва сертификатов по срокам действия;

• отсутствие записи об отзыве сертификата в списке отозванных сертификатов.

Использование технологии со списком отозванных сертификатов позволяет выполнять проверку ЭП спустя несколько лет после подписания электронного документа. Информация о возможном досрочном отзыве сертификата подписанта хранится в архивах удостоверяющего центра и может быть предоставлена либо в виде файлов, либо с применением специального сервиса.

Использование описанных схем в рамках инфраструктуры открытых ключей приводит к проблемам распространения ключевой информации (базы открытых ключей, сертификатов открытых ключей пользователей, цепочек доверенных сертификатов и списков отозванных сертификатов удостоверяющего центра), которые не решаются применением стандартизированных технологий. Решение этих проблем, как правило, обеспечивается самостоятельно разработанным и внедренным комплексом технических средств и организационных мероприятий внутри организации.

Опыт применения средств криптографической защиты в Сбербанке

Криптографические сервисы банка развивались вместе с технологическим и информационным ландшафтом.

Инфраструктура открытых ключей начала активно внедряться в Сбербанке с середины 90-х годов прошлого века, когда встал вопрос обеспечения целостности и авторства транзакций, передаваемых по электронным каналам во внутренней сети банка. Именно тогда вместе с взрывным ростом телекоммуникационных систем на территории России — кабельные каналы, сотовая, спутниковая связь, Интернет — информационная сеть банка начала стремительно расти, а расчетная система по объемам передаваемых транзакций стала приближаться к расчетной системе Банка России.

На сегодняшний день криптосервисы банка работают в схеме, которая сочетает в себе унаследованные из прошлого подходы к использованию инфраструктуры открытых ключей (базы открытых ключей) и современные подходы: использование сертификатов и списка отозванных сертификатов или онлайн-сервисы проверки статуса сертификата.

Ядро данной схемы составляет набор криптографических программных модулей, который находится в центре схемы. Они обеспечивают единые универсальные интерфейсы криптографических функций для всех приложений банка.

Для интеграции банковских систем с инфраструктурой открытых ключей используется программное обеспечение, состоящее из двух компонентов. Один из них представляет собой универсальный интерфейс по работе с ЭП в международном формате для систем, обеспечивающих внешний электронный документооборот. Другой — универсальный интерфейс для работы с ЭП во внутрибанковском формате для обеспечения документооборота внутри банка. Оба компонента работают на базе сертифицированных средств криптографической защиты информации, которые позволяют обеспечить формирование и проверку ЭП в «ручном» режиме с применением секретных ключей на идентификаторах Touch Memory, аппаратных токенах, а также с использованием программно-аппаратного комплекса «Сервер электронной подписи». Поддерживаются алгоритмы формирования и проверки ЭП, соответствующие российским стандартам ГОСТ.

Универсальный модуль прикладных криптографических интерфейсов нужен для предоставления банковским системам унифицированного и упрощенного программного интерфейса, независимого от используемых средств криптографической защиты. Ведь замена или переход на новую версию средств криптографической защиты информации (СКЗИ) приводит к существенным финансовым и организационным затратам на доработку систем. Наличие универсального интерфейса позволяет существенно снизить такие затраты.

В качестве системы удостоверяющего центра (справа на рис. 1) используется разработанное в соответствии с требованиями Сбербанка решение по управлению ключами, предназначенное для централизованного управления, хранения и учета всех открытых ключей в банке. Система может предоставлять доступ к ключевой информации как в виде файлов на сетевом ресурсе, так и посредством сервиса OCSP (Online Certificate Status Protocol). С его помощью можно получить актуальный статус действия сертификата открытого ключа подписанта, проверить его подлинность по цепочке доверия и наличие в списке отозванных сертификатов. В системе удостоверяющего центра предусмотрена функциональность личного кабинета сотрудника банка для управления собственной ключевой информацией: создание запросов на выпуск сертификата открытого ключа, а также регистрация полномочий владельцев ключей ЭП, в зависимости от которых формируются базы открытых ключей для внутрибанковских процессов.

 

Схема инфраструктуры криптосервисов Сбербанка

 

Удостоверяющий центр Сбербанка издает более 4 тыс. сертификатов ЭП каждый рабочий день. Это сертификаты клиентов и сотрудников банка, представителей его дочерних обществ, а также сертификаты роботов — банковских систем, в которых человек не может повлиять на содержимое автоматически формируемых электронных документов.

Всего в статусе «действующих» в реестре удостоверяющего центра Сбербанка находится около 2,5 млн сертификатов. При этом для всех сертификатов решается задача контроля уникальности открытых ключей, актуальности данных, включаемых в сертификаты, и актуальности статусов самих сертификатов, а также автоматического заблаговременного уведомления владельцев сертификатов при необходимости их плановой или внеплановой замены, уведомлений владельцев ключей ЭП о смене статуса сертификатов. И это еще не все.

Удостоверяющий центр управляет жизненным циклом своих сертификатов с учетом следующих факторов:

• контроль срока действия ключей, определяемый правилами использования СКЗИ;

• синхронизация срока истечения сертификата владельца ключей ЭП со сроком действия сертификата удостоверяющего центра;

• периодическая замена используемых СКЗИ в целях обеспечения уровня защищенности, отвечающего современным условиям, а также совместимости с различными системами электронного взаимодействия.

• Главная задача любого удостоверяющего центра заключается в обеспечении доверия пользователей к издаваемым им сертификатам. Таким образом, в обязанности удостоверяющего центра входит:

• не допускать выпуск сертификатов мошенниками (лицами, выдающими себя за других лиц или приписывающими себе их полномочия на основе поддельных документов);

• не допускать использование сертификатов владельцев ключей ЭП при компрометации секретных ключей;

• немедленно отзывать сертификаты по заявлениям их владельцев или на основе официальной информации от государственных органов.

Немаловажным обстоятельством в обеспечении доверия клиентов к удостоверяющему центру является его возможность и готовность компенсировать финансовые потери, ставшие следствием доверия к изданным им сертификатам.

Удостоверяющий центр Сбербанка ежедневно блокирует работу около 50 сертификатов по причине компрометации секретных ключей. Списки отзыва сертификатов обновляются не реже одного раза каждые 6 часов. В среднем 50 заявлений в день, направленных в удостоверяющий центр Сбербанка, получают отказ в издании сертификата по различным причинам.

Отдельно стоит остановиться на компонентах, которые изображены на схеме слева и предназначены для формирования ЭП в автоматическом режиме без участия пользователей. Именно они получают основную нагрузку от расчетной системы банка по заверению ЭП транзакций, передаваемых в расчетной системе. Для решения задачи автоматического подписания документов необходимо использовать высокопроизводительные устройства, которые выполняют функции как хранения секретных ключей ЭП, так и формирования ЭП. Данные устройства находятся под управлением подразделения безопасности. В Сбербанке для решения этой задачи применяется специальный программно-аппаратный комплекс. Создание ключей ЭП производится внутри устройства, которое возвращает только открытый ключ. Секретный ключ неизвлекаем, и вероятность его компрометации сведена к минимуму. Для формирования ЭП на устройство должно быть передано хэш-значение электронного документа от сервера приложений, управляющего процедурой формирования ЭП (рис. 2).

 

Схема подписания с использованием ПАК «Север ЭП»

 

Описанные схемы взаимодействия с инфраструктурой открытых ключей банка в полной мере реализованы в описанных выше компонентах СКЗИ.

Применение инфраструктуры открытых ключей во внутреннем электронном документообороте

Ниже приведено несколько примеров применения инфраструктуры открытых ключей в системах Сбербанка, которые используются во внутреннем документообороте.

Система управления персоналом предназначена для централизованного управления и хранения информации о сотрудниках, а также предоставления сервисов по оформлению отпуска, перевода в другое подразделение, увольнения, выдачи справок и других документов для сотрудников банка.

При оформлении документов в системе HR формирование ЭП выполняется сотрудниками в ручном режиме с использованием секретных ключей на персональных идентификаторах Touch Memory. Система работает с ЭП в международном формате PKCS#7 (для возможности проверки ЭП документов в архиве). Проверка ЭП осуществляется в автоматическом режиме с использованием сервиса OCSP. Ежедневно в системе выполняется 16 тыс. подписаний и 80 тыс. проверок подписей.

Система электронного документооборота (СЭДО) предназначена для исключения бумажного документооборота внутри банка при взаимодействии между подразделениями, а также ускорения согласования исходящих служебных писем во внешние организации. Для подтверждения подлинности и авторства электронных документов используется ЭП. При согласовании электронных документов и их утверждении система предусматривает возможность формирования ЭП в международном формате PKCS#7. Формирование подписи в СЭДО выполняется при предъявлении персонального идентификатора Touch Memory с секретным ключом. Проверка ЭП осуществляется с использованием централизованного файлового хранилища с базой сертификатов для реализации контроля совпадения реквизитов подписанта на документе с данными его сертификата. Ежемесячно в системе выполняется приблизительно 10 тыс. подписаний и 300 тыс. проверок подписи.

Межсистемное взаимодействие. В рамках взаимодействия между системами внутри Сбербанка для обеспечения авторства и целостности передаваемых электронных документов используется технология формирования и проверки технологической ЭП во внутреннем банковском формате. Формирование ЭП осуществляется внутри системы-отправителя, а проверка ЭП — внутри системы-получателя по технологии баз открытых ключей. Подпись формируется с использованием программно-аппаратных комплексов «Сервер электронной подписи». Так как система не предъявляет дополнительных требований к архивированию данных, используется схема инфраструктуры с применением баз открытых ключей для быстрой проверки подписи.

Ежедневно в рамках межсистемного взаимодействия банка выполняется приблизительно 500 млн подписаний и столько же проверок подписи.

Применение PKI во внешнем документообороте

Рассмотрим несколько примеров применения инфраструктуры открытых ключей Сбербанка в системах для ЭДО с клиентами.

Дистанционное банковское обслуживание. Клиентам предоставляется возможность использования устройств защиты информации (токенов) с функциональностью построения защищенного VPN-канала с банковской частью системы, а также подписания электронных документов для отправки в банк.

Создание секретного и открытого ключей шифрования и ЭП для обеспечения указанных процессов производится в самом устройстве в неизвлекаемом виде. При этом на устройстве также создается запрос на сертификат открытого ключа, который передается с использованием системы дистанционного обслуживания в систему удостоверяющего центра для выпуска сертификата. Выпущенный сертификат направляется через банковскую систему клиенту и устанавливается на его устройство. Доверенные цепочки сертификатов загружаются на токены в удостоверяющем центре банка до передачи клиентам. Они обеспечивают возможность контроля устанавливаемых сертификатов без необходимости взаимодействия с сервисами банка, предоставляющими актуальную информацию о сертификатах. Обновление доверенных цепочек удостоверяющего центра также производится с использованием банковских систем. Проверка подлинности сертификатов шифрования и ЭП по списку отозванных сертификатов производится на стороне банка.

Ежедневно в основной системе Сбербанка «Сбербанк Бизнес Онлайн» выполняется около 560 тыс. подписаний и 4 млн проверок ЭП.

Внешние контрагенты и государственные органы. При взаимодействии с ними можно прибегать к помощи обеих схем применения инфраструктуры открытых ключей. Доставка баз открытых ключей или объектов для проверки ЭП в формате PKCS#7 осуществляется с использованием транспортной системы Сбербанка.

В рамках этого сервиса услуги удостоверяющего центра предоставляет Сбербанк. Если же контрагент предпочитает пользоваться услугами стороннего удостоверяющего центра, применяется квалифицированная ЭП, чтобы исключить необходимость отдельной организации обмена цепочками доверенных сертификатов и списками отозванных сертификатов между удостоверяющими центрами.

Заключение

В Сбербанке достаточно пестрый ландшафт различных бизнес-процессов, при автоматизации которых требуется простая, ясная и четкая система обеспечения кибербезопасности электронного документооборота. На протяжении почти трех десятилетий эта система и поддерживающая ее инфраструктура развивались вместе c переходом услуг в электронные каналы, на основе концептуальных идей, сформулированных еще полвека назад. Развитие системы дало плоды в виде смешанной технологии использования инфраструктуры открытых ключей. В каждом из рассмотренных вариантов технологии решаются не только технические вопросы формирования и проверки ЭП, но и вопросы контроля полномочий подписантов, скорости обработки электронных документов и их защиты от кибермошенников. Это, в свою очередь, приводит к решению задач распространения ключевой информации: поддержки актуальности баз открытых ключей, сертификатов открытых ключей пользователей, цепочек доверенных сертификатов и списков отозванных сертификатов удостоверяющего центра.

Решение указанных задач в рамках системы электронного документооборота одной организации может обеспечиваться самостоятельно разработанным и внедренным комплексом технических средств и комплексом организационных мероприятий. Для решения данных задач вне рамок системы электронного документооборота одной организации вариантность использования инфраструктуры открытых ключей будет ограничена стандартизированными правилами обмена и использования ключевой информации.

Технология инфраструктуры открытых ключей

Инфраструктуру открытых ключей (public key infrastructure, PKI) можно определить как совокупность аппаратных и программных средств, принципов, правил и процедур создания, хранения и передачи ключевой информации, необходимых для предоставления сервисов шифрования, подтверждения целостности и авторства информации в процессе ее передачи, обработки и хранения.
В основе PKI лежит несимметричная криптографическая система с открытым ключом, математические основы которой сформулированы Уитфилдом Диффи, Мартином Хеллманом и Ральфом Меркле в 1976 году. Изначально основной задачей криптографической системы с открытым ключом было применение шифрования, которое не требовало передачи секретного ключа шифрования между участниками взаимодействия. В дальнейшем идеи несимметричной криптографии нашли широкое применение в системах подтверждения целостности и авторства информации с использованием электронной подписи (ЭП). Кратко напомним основы. Шифрование сообщения в несимметричных криптоалгоритмах осуществляется отправителем с использованием открытого ключа получателя. Расшифрование сообщения проводится с использованием секретного ключа получателя. Формирование ЭП, наоборот, осуществляется с использованием секретного ключа отправителя, а ее проверка — с использованием открытого ключа отправителя. Открытые ключи, используемые в несимметричных криптоалгоритмах, могут свободно передаваться по незащищенным каналам связи. Знание открытых ключей не дает возможности прочитать или изменить передаваемое сообщение.
Центром инфраструктуры открытых ключей является удостоверяющий центр, который выполняет функции управления, хранения и учета открытых ключей. Он играет роль третьей стороны, обеспечивающей доверие между участниками информационного взаимодействия, которые никогда друг с другом не встречались. Кроме того, удостоверяющий центр связывает открытый ключ с пользователем, подтверждает подлинность, а иногда и полномочия стороны, владеющей соответствующим секретным ключом. Современные удостоверяющие центры распространяют открытые ключи в виде цифровых сертификатов открытых ключей, в том числе в международном формате X.509. Именно цифровой сертификат открытого ключа выступает связующим звеном между пользователем и его секретным и открытым ключами.






Новости Новости Релизы