Если у вас каким-либо образом (прямая кража, копирование) украли закрытый ключ цифровой подписи, об этом необходимо как можно быстрее (чтобы обогнать злоумышленника) известить УЦ, который выдал сертификат ключа ЭЦП. Это и называется компрометацией закрытого ключа ЭЦП.
Известно, что наиболее надежным способом аутентификации на сегодня являются программно-аппаратные решения, или так называемые двухфакторные модели (пользователь должен иметь "нечто" и знать "нечто"). Другими словами, для проведения так называемой строгой аутентификации должны применяться технологии смарт-карт-логона, основанные на использовании цифровых сертификатов Х.509. Это позволяет полностью отказаться от применения парольной защиты. Такой подход обеспечивает проверку прав пользователя и истинность сервера (сервер не подменен злоумышленником) с помощью криптографических методов. Вероятность взлома защиты сертификата ЭЦП очень мала, для этого потребовался бы слишком большой объем вычислений. Остается «человеческий фактор».
Перечислим некоторые наиболее вероятные угрозы компрометации[xvii]:
-хранение ключа в открытом (незашифрованном) виде;
-хранение ключей непосредственно на дисках ПК владельца;
-хранение ключей на ненадежных (в техническом плане) носителях (дискетах);
-передача ключевого носителя сторонним пользователям;
-отсутствие контроля за использованием ключевых носителей (например, ключевая дискета, забытая в дисководе и т.д.).
Конечно, все зависит от состояния информационной системы вашего предприятия и/или вашего компьютера, если вы работаете дома. Все вероятные угрозы перечислить невозможно. Однако, одним из основных принципов гарантированного сохранениязакрытого ключа в тайне, как указывалось выше, является минимизация риска (а лучше исключение возможности) потери ключа, доступа к нему посторонних лиц и его надежная защита от копирования. Ответ на вопрос, являетесь ли вы посторонним лицом или истинным владельцем хранилища ключевой информации (называемым персональным идентификатором), и насколько вам можно доверять, дает процесс под названием аутентификация. Под аутентификацией следует понимать процесс проверки подлинности предъявленных объектом идентификационных параметров, как правило, с применением криптографических методов. Если оба процесса проходят успешно, пользователь получает доступ в систему. Различают простую (однофакторную) и строгую (двухфакторную) аутентификацию. К факторам аутентификации относят: знание пользователем пароля или PIN-кода, предъявление пользователем персонального идентификатора (смарт-карты, USB-ключа класса eToken, таблетки iButton, дискеты, и т.д).
Правила хранения ключа должны зависеть от востребованности ЭЦП. Если ее приходится применять несколько раз в день, то все рабочие процессы должны быть технологичны и удобны. Идеально, если функции носителя ключевой информации и персонального идентификатора для доступа в помещения офиса, к компьютеру, корпоративной сети и защищенным ресурсам совмещены в едином устройстве. Такие устройства существуют и успешно используются.
Но даже если ваш ключ всесторонне защищен сейчас, нет гарантии, что он будет так же защищен позже. Из-за того, что закон[xviii] определяет, что владельцами сертификата ключа подписи могут являться только физические лица, существует большая проблема единого универсального способа чтения ЭЦП. Наиболее часто ЭЦП применяется юридическими лицами, в которых владельцем ключа пишется либо руководитель, либо главный бухгалтер, а при смене ими места работы возникают проблемы, связанные с владельцем сертификата. Он же фактически подписывает документы от своего имени, а не от фирмы как юридического лица. Дополнительная возможность для компрометации ЭЦП налицо. В Европе давно применяется большое количество ЭЦП в зависимости от владельца сертификата, которым может быть как юридическое, так и физическое лицо.
Существует и проблема универсализации ЭЦП. На настоящий момент в РФ действует огромное количество УЦ, и, хотя создание новых представляет определенную трудность (необходимо получить большое количество лицензий, в частности лицензию ФСБ России на осуществление предоставления услуг в области шифрования информации, и пр., их число продолжает множиться, В Пензенской области услуги по выдаче сертификатов ключа ЭЦП предоставляет большое количество организаций. Например, Пензенский филиал Удостоверяющего Центра РПЦ ПАРТНЕР, ЗАО "Удостоверяющий центр"[xix], ЗАО «Калуга Астрал» и др., работающие на территории Пензенской области. При заключении договора эти организации осуществляют предоставление и обслуживание ЭЦП юридическим и физическим лицам. Во многих из них есть свои внутренние правила к заполнению документов по регистрации новых владельцев сертификатов ключей, и они зачастую не совпадают с такими же, у другого УЦ. Часто проблема лежит как раз из-за понимания физического лица как владельца сертификата ключа. А отсутствие единого, корневого УЦ, порождает некоторый беспорядок. Часто правительства разных областей вкладывают деньги в электронный документооборот, повторно проходя те же препятствия и проблемы, что проходили соседи, хотя при существовании единого УЦ этой проблемы вообще бы не существовало.
К сожалению, компрометации ЭЦП совсем не редкость. Интернет пестрит подобными сообщениями. При их изучении может показаться, что подобные проблемы – удел маленьких фирм, где защита не так надежна, как должна была бы быть. На самом деле страдают все, просто цена репутации у больших фирм больше, и им выгоднее скрыть компрометацию, чем вынести в средства массовой информации. Немалая часть хакерских атак на различные учреждения имеют цель получение конфиденциальной информации о клиентах, в том числе и данных по ЭЦП. Считается, что службы безопасности таких организаций должны работать над этими проблемами, но в реальности они из-за низкой квалификации персонала не справляются. «Человеческий фактор» остается. Его можно минимизировать, но полностью исключить не удастся.
Заключение
Вирусы – были и остаются серьёзной проблемой в компьютерном мире, но все проблемы, которые были ими, созданы были решены и антивирусы помогают избежать повтора таких “критических ситуаций”. Борьбой с вирусами занимается множество специалистов в сотнях компаний, и они успешно решают проблему вирусов. Так что если вы используете у себя на компьютере антивирус и своевременно обновляете его базы, то 95% что проблемы вирусов у вас не возникнет вообще.
Литература
[i] http://www.anti-malware.ru/malware_treatment_test_2010#part4
[ii] http://www.comss.ru/page.php?id=148
[iii] http://ru.wikipedia.org/wiki/Компьютерный_вирус
[iv] http://www.alser.kz/itnews_arc.asp?dat=23.11.2004
[v] http://misdirected-youth.blogspot.com/
[vi] http://habrahabr.ru/blogs/icona/74132/
[vii] http://hackerabc.ru/2010-01-14-15-28-13.html
[viii] www.fsb.ru
[ix] http://www.anti-malware.ru/malware_treatment_test_2010#part4
[x] http://www.comss.ru/page.php?id=148
[xi] Федеральный закон №1-ФЗ от 10.01.2002. «Об электронной цифровой подписи», г.1 ст.3
[xii] Статья в Википедии. http://ru.wikipedia.org/wiki/Электронная_цифровая_подпись
[xiii] Федеральный закон №1-ФЗ от 10.01.2002. «Об электронной цифровой подписи», г.1 ст.12
[xiv] ГОСТ Р 34.10-94
[xv] ГОСТ Р 34.11-94.
[xvi] ГОСТ Р 34.10-2001
[xvii] Как защитить закрытый ключ ЭЦП от компрометации, http://www.aladdin.ru/press-center/publications/publication2257.php
[xviii] Федеральный закон №1-ФЗ от 10.01.2002. «Об электронной цифровой подписи», г.1 ст.3
[xix] Сайт организации http://www.b2b-energo.ru/