Назад
Анастасия
2 апреля 2021

Безопасность ключей в КриптоАРМ ГОСТ

В мобильном приложении «КриптоАРМ ГОСТ» ключи электронной подписи могут размещаться и храниться по-разному: в самом приложении, на сервере удостоверяющего центра, на внешнем отчуждаемом носителе. В этой статье расскажем о всех трех вариантах, их преимуществах и уровне безопасности.

Ключи в приложении

Как добавить ключ электронной подписи в мобильное приложение? Самый простой и очевидный способ — это перенести существующий ключ с компьютера на смартфон. В КриптоАРМ ГОСТ можно импортировать ключи в формате pfx - это контейнер, где одновременно записаны сертификат и его ключи. Контейнер защищен паролем от нежелательной установки.

Существует альтернативный способ. Это перенос личного сертификат с ПК на мобильное устройство с помощью QR-кода. Он проще и безопаснее, чем импорт ключей в виде файлов. На компьютере создается QR-код, куда записывается файл с сертификатом и ключом. После чего остается поднести камеру устройства, и сертификат с ключом будут установлены в приложение. Подробнее о переносе сертификата через QR-код.

Сертификат электронной подписи также можно создать в приложении самостоятельно. Для этого создается запрос на сертификат, и владелец ключа направляет сохраненный файл  запроса в удостоверяющий центр для выпуска сертификата электронной подписи. Как только сертификат будет выпущен, он устанавливается в приложении и становится доступным для подписания документов.

За безопасность и целостность ключей в мобильном приложении КриптоАРМ ГОСТ отвечают как собственная служба контроля целостности, так и аналогичная служба на уровне криптопровайдера КриптоПро CSP. Эта служба исключает вариант скрытой подмены ключей в приложении.

Критичные моменты хранения и использования ключей электронной подписи внутри мобильного приложения — невозможность их использования в каком-либо другом приложении и их полное исчезновение при удалении самого приложения.

Ключи дистанционной электронной подписи

Дистанционная электронная подпись или, по-другому, облачная электронная подпись подразумевает, что закрытые ключи электронной подписи хранятся на сервере Удостоверяющего Центра в защищенном виде. Хранение происходит по поручению владельцев ключей, и их использование возможно только владельцами при явном подтверждении этого разрешения.

В КриптоАРМ есть возможность подключить любой сервис дистанционной (облачной) электронной подписи, указав его адреса и авторизационные данные. После установки подключения к DSS серверу в КриптоАРМ устанавливается сертификат облачной электронной подписи, и он становится доступным для подписания.

Данный способ применения электронной подписи в КриптоАРМ является одним из самых безопасных с точки зрения использования и хранения ключей. Так как ключи хранятся в облаке в защищенных HSM ячейках, их невозможно потерять или как-то случайным образом скомпрометировать. Все криптографические операции требуют их подтверждения владельцем посредством СМС либо в специальном приложении. В КриптоАРМ ГОСТ реализована такая возможность, для этого в нем была добавлена поддержка DSS Client SDK.

Ключи на отчуждаемых носителях

В мобильном КриптоАРМ доступна поддержка различных носителей в виде токенов и смарт-карт, хранящих в себе ключи электронной подписи. Это прежде всего носители под известным брендом Рутокен. Ключи на таких устройствах хранятся в защищенной памяти устройства, для доступа к ним требуется ПИН-код пользователя, а для управления еще и ПИН-код администратора. Кроме того, ключи могут быть не извлекаемыми, в таком случаем подпись и шифрование данных выполняются аппаратно в токене или смарт-карте.

Этот способ хранения ключей обладает высоким уровнем безопасности, потому что ключи хранятся отдельно от приложения. Они не доступны для операционной системы, которая,  как правило, является недоверенной средой, за исключением сертифицированной ОС «Аврора».

В КриптоАРМ ГОСТ поддерживаются следующие отчуждаемые носители:

для Android

  • Рутокен ЭЦП 2.0 (micro/Type-C/Flash/Touch)
  • Рутокен ЭЦП 2.0 2100 (micro/Type-C)
  • Рутокен ЭЦП 2.0 3000 (micro/Type-C)
  • Рутокен ЭЦП Bluetooth
  • Рутокен ЭЦП PKI (micro/Type-C)
  • Смарт-карта Рутокен ЭЦП 2.0 2100
  • Смарт-карта Рутокен 2151
  • Смарт-карта Рутокен ЭЦП 3.0 NFC

Для iOS

  • Рутокен ЭЦП Bluetooth
  • Смарт-карта Рутокен ЭЦП 3.0 NFC

Резюме

В настоящее время компанией «КРИПТО-ПРО» получено положительное заключение на СКЗИ «КриптоПро CSP» версии 5.0 R2 в исполнениях 1-КриптоАРМ и 2-КриптоАРМ. Подробнее о содержании выписки в информационном письме.

Исполнения 1-КриптоАРМ и 2-КриптоАРМ распространяются в том числе на мобильные приложения «КриптоАРМ ГОСТ» версии 2.2.4 под управлением операционных систем Android и iOS.

Генерация ключей в приложении, перенос их с ПК через QR-код, поддержка внешних отчуждаемых носителей Рутокен ЭЦП 2.0 — все это присутствует в сертифицированной версии.


Ссылка скопирована