Поддержка информационных систем с квалифицированной электронной подписью в ОС Альт (Дмитрий Державин, OSSDEVCONF-2017)
Материал из 0x1.tv
- Докладчик
- Дмитрий Державин
Традиционно свободные операционные системы отличаются высоким уровнем поддержки современных криптографических алгоритмов и средств их применения.
К сожалению, это не в полной мере относится к российским криптографическим алгоритмам, продвижение которых в качестве международных стандартов по ряду причин замедляется по сравнению с зарубежными разработками.
В результате складывается парадоксальная ситуация — поддержа российской криптографии в отечественных операционных системах иногда отстаёт от поддержки зарубежных аналогов.
Но тем интереснее наблюдать за прогрессом: с выходом каждой новой версии ОС, включённой в Реестр отечественных программ, картина существенно меняется в лучшую сторону.
Содержание
Видео
Посмотрели доклад? Понравился? Напишите комментарий! Не согласны? Тем более напишите.
Презентация
Thesis
Основная задача, стоящая сейчас перед разработчиками ОС Альт — предоставить «обычному пользователю» — не важно, физическому или юридическому лицу, действующему на общих основаниях, возможность, работая в ОС из Реестра отечественного ПО, полноценно использовать информационные системы, в которых задействована квалифицированная электронная подпись.
Например, для электронных торговых площадок и порталов государственных услуг под полноценным использованием подразумевается в первую очередь возможность аутентификации на соответствующем сайте по сертификату, размещённому на отдельном физическом носителе, и возможность электронной подписи документов, сформированных в интерфейсе сайта.
На эту тему уже проведён ряд исследовательских работ, результатом которых стало заключение о том, что, в принципе, всё работает. Но здесь важно понимать, что большинство исследований совместимости с порталами государственных услуг РФ современных криптосредств, работающих под ОС Linux, проводилось в лабораторных условиях. Например, при наличии специальных договорённостей между исследователем и удостоверяющим центром, выдающим сертификат. К сожалению, по результатам таких работ о реальных возможностях лиц, действующих на общих основаниях, судить сложно.
Что же выяснилось в результате исследования, на что можно рассчитывать сейчас и какие возможности появятся в ближайшей перспективе?
В первую очередь интересен не сам факт поддержки криптографических алгоритмов семейства ГОСТ, а возможность применения их для выполнения юридически значимых действий. Таких, например, как подпись официальных документов.
Так как аккредитованные государством удостоверяющие центры сейчас выдают квалифицированные сертификаты электронной подписи в основном на физических носителях, важно обеспечивать поддержку таких устройств на уровне операционной системы. Для всех современных носителей ключей с аппаратной реализацией поддержки алгоритмов ГОСТ, пригодных для квалифицированной электронной подписи, такая поддержка в ОС Альт реализована.
Следующий важный момент — поддержка взаимодействия с веб-порталами федерального и регионального уровня, оказывающими государственные услуги физическим и юридическим лицам. Здесь ситуация сложнее, так как сказывается многолетняя ориентация отечественных разработчиков сертифицированных криптосредств в первую очередь на ОС Windows. Например, из пяти федеральных электронных торговых площадок сейчас только три поддерживают работу с операционными системами из Реестра отечественных программ.
Другой пример — из-за недостаточно чётко проработанных регламентов обеспечения совместимости один и тот же аппаратный носитель ключей не получится использовать одновременно на сайте Госуслуг и на электронных торговых площадках. Придётся применить два аппаратных носителя с двумя парами ключей и двумя сертификатами соответственно.
Но при всём этом ситуация с поддержкой веб-порталов постепенно меняется в лучшую сторону. Так например, за время подготовки этого обзора операторы одной из пяти федеральных торговых площадок успели обеспечить поддержку ОС из Реестра.
Ещё одно важное применение электронной подписи — подпись файлов, офисных документов и сообщений. Основная проблема здесь — графический интерфейс пользователя, который пока реализован не для всех типичных сценариев работы. Именно на этом направлении в том числе сейчас сосредоточены усилия разработчиков ОС Альт.
И последняя по списку, но от этого не менее важная область применения электронной подписи — аутентификация пользователей. Здесь ОС Альт на данный момент среди операционных систем из Реестра лидирует с большим отрывом. Кроме собственно возможности аутентификации пользователя по сертификатам электронной подписи на аппаратных носителях ключей, реализована поддержка алгоритмов ГОСТ, блокировки и разблокировки экрана по событиям подключения и отключения носителя, автоматизированы механизмы настройки типовых конфигураций. А в качестве демонстрации возможности встраивания в существующую инфраструктуру открытых ключей реализована поддержка аутентификации пользователей по квалифицированным сертификатам.
Уже при установке ОС можно включить режим, при котором для аутентификации в системе достаточно иметь любой действующий квалифицированный сертификат, выданный аккредитованным удостоверяющим центром. Таким образом удалось задействовать самую крупную в стране публичную инфраструктуру поддержки электронной подписи.
Подводя итоги можно сказать, что поддержка информационных систем с квалифицированной электронной подписью в ОС Альт существует уже далеко не в начальной стадии. Реализована основная функциональность, дорабатываются пользовательские инструменты и главное — ведётся непрерывное взаимодействие с технологическими партнёрами по обеспечению взаимной совместимости.
Примечания и ссылки
Plays:24 Comments:0