Устройство создания безопасной подписи

Устройство создания безопасной подписи ( SSCD ) — это особый тип компьютерного оборудования или программного обеспечения, которое используется для создания электронной подписи . Чтобы быть введенным в эксплуатацию в качестве устройства для безопасного создания подписи, устройство должно соответствовать строгим требованиям, изложенным в Приложении II Регламента (ЕС) № 910/2014 (eIDAS) , где оно называется квалифицированной (электронной) подписи. созданием устройство (QSCD). Использование безопасных устройств создания подписей помогает упростить онлайн- бизнес-процессы , которые экономят время и деньги при транзакциях, совершаемых в государственном и частном секторах . ^[1]^[2] ^[3]

Описание

Минимальные требования, которые должны быть выполнены для повышения уровня устройства создания электронной подписи до уровня безопасного устройства создания подписи, приведены в Приложении II eIDAS. С помощью соответствующих процедурных и технических средств устройство должно разумно обеспечивать конфиденциальность данных, используемых для создания электронной подписи. Кроме того, оно должно гарантировать, что данные, используемые для создания электронной подписи, уникальны и используются только один раз. Наконец, он должен позволять только квалифицированному поставщику доверенных услуг или центру сертификации подписавшего или управлять ими создавать данные электронной подписи . ^[2]

Для обеспечения безопасности данные создания подписи, используемые SSCD для создания электронной подписи, должны обеспечивать разумную защиту с помощью современных технологий для предотвращения подделки или дублирования подписи. Данные о создании должны оставаться под исключительным контролем подписавшего лица во избежание несанкционированного использования. Самому SSCD запрещено изменять сопроводительные данные подписи. ^[1]

Когда поставщик доверенных услуг или центр сертификации вводят в эксплуатацию SSCD, они должны безопасно подготовить устройство в соответствии с Приложением II eIDAS в полном соответствии со следующими тремя условиями: ^[4]^[1]

Во время использования или хранения SSCD должен оставаться в безопасности.
Кроме того, повторная активация и деактивация SSCD должны происходить в безопасных условиях.
Любые данные активации пользователя, включая PIN-коды, доставляются отдельно от SSCD после безопасной подготовки.

Международные требования к обеспечению безопасности для SSCD

Устройство создания безопасной подписи также должно соответствовать международному стандарту сертификации компьютерной безопасности, называемому « Общие критерии оценки безопасности информационных технологий» (ISO/IEC 15408). ^[5] Этот стандарт дает пользователям компьютерных систем возможность определять требования безопасности через профили защиты (PP) для функциональных требований безопасности (SFR) и требований обеспечения безопасности (SAR). ^[1]^[3] Поставщик доверенных услуг или центр сертификации необходим для реализации указанных требований и подтверждения атрибутов безопасности своего продукта. Затем сторонняя испытательная лаборатория оценивает устройство, чтобы убедиться, что уровень безопасности соответствует заявленному поставщиком. ^[6]

Централизованная служба аутентификации

Когда устройство создания безопасной подписи используется как часть центральной службы аутентификации (CAS), оно может действовать как сервер CAS в сценариях многоуровневой аутентификации. Программный протокол CAS позволяет пользователям проходить аутентификацию при входе в веб-приложение.

Общая схема протокола CAS включает веб-браузер клиента, приложение, запрашивающее аутентификацию, и сервер CAS. При необходимости аутентификации приложение отправит запрос на CAS-сервер. Затем сервер сравнит учетные данные пользователя со своей базой данных. Если информация совпадает, CAS ответит, что пользователь прошел аутентификацию. ^[1]^[3]

Юридические последствия в отношении устройств создания безопасных подписей

eIDAS предоставил многоуровневый подход к определению юридических последствий электронных подписей. Подпись, созданная с помощью защищенного устройства создания подписи, считается имеющей наибольшую доказательную силу . Документ или сообщение, подписанное с помощью такого устройства, не заслуживает доверия , то есть подписавший не может отрицать свою ответственность за создание подписи. ^[2]

Регламент (ЕС) № 910/2014 (eIDAS) возник на основе Директивы 1999/93/EC, Директивы об электронных подписях . Целью директивы было возложить на государства-члены ЕС ответственность за разработку законодательства, которое позволило бы создать систему электронной подписи Европейского Союза. eIDAS Регламент требует от всех государств-членов следовать его спецификациям в отношении электронных подписей к дате вступления в силу 1 июля 2016 года. ^[7]^[8]

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и Тернер, Дон М. «Что такое устройство для создания безопасной подписи» . Криптоматика . Проверено 18 ноября 2016 г.
^ Jump up to: ^а ^б ^с Тернер, Дон. «Понимание eIDAS» . Криптоматика . Проверено 12 апреля 2016 г.
^ Jump up to: ^а ^б ^с «Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC» . ЭУР-Лекс . Европейский Парламент и Совет Европейского Союза . Проверено 18 марта 2016 г.
^ «Электронные подписи и инфраструктуры: требования политики к органам сертификации, выдающим квалифицированные сертификаты» (PDF) . Европейский институт телекоммуникационных стандартов . Проверено 18 ноября 2016 г.
^ «ISO/IEC 15408-1:2009 Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель» . Международная организация по стандартизации (ISO) . Проверено 18 ноября 2016 г.
^ Тернер, Дон М. «Поставщики услуг доверия согласно eIDAS» . Криптоматика . Проверено 18 ноября 2016 г.
^ Тернер, Дон М. «eIDAS от директивы к регулированию – правовые аспекты» . Криптоматика . Проверено 18 марта 2016 г.
^ «Положения, директивы и другие акты» . Европа.eu . Европейский Союз. Архивировано из оригинала 12 декабря 2013 года . Проверено 18 марта 2016 г.

Внешние ссылки

[Turner-SSCD-1] Jump up to: ^а ^б ^с ^д ^и Тернер, Дон М. «Что такое устройство для создания безопасной подписи» . Криптоматика . Проверено 18 ноября 2016 г.

[Tuner_Understanding_eIDAS-2] Jump up to: ^а ^б ^с Тернер, Дон. «Понимание eIDAS» . Криптоматика . Проверено 12 апреля 2016 г.

[eIDAS-EUR-Lex-3] Jump up to: ^а ^б ^с «Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC» . ЭУР-Лекс . Европейский Парламент и Совет Европейского Союза . Проверено 18 марта 2016 г.

[ETSI-SSCD-4] «Электронные подписи и инфраструктуры: требования политики к органам сертификации, выдающим квалифицированные сертификаты» (PDF) . Европейский институт телекоммуникационных стандартов . Проверено 18 ноября 2016 г.

[ISO15408-5] «ISO/IEC 15408-1:2009 Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель» . Международная организация по стандартизации (ISO) . Проверено 18 ноября 2016 г.

[Turner-TrustServiceProviders-6] Тернер, Дон М. «Поставщики услуг доверия согласно eIDAS» . Криптоматика . Проверено 18 ноября 2016 г.

[Turner-eIDAS-from-directive-to-reg-7] Тернер, Дон М. «eIDAS от директивы к регулированию – правовые аспекты» . Криптоматика . Проверено 18 марта 2016 г.

[EU-difference-regulation-directive-8] «Положения, директивы и другие акты» . Европа.eu . Европейский Союз. Архивировано из оригинала 12 декабря 2013 года . Проверено 18 марта 2016 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]