Криптографические технологии и PKI – эффективные инструменты обеспечения

защищенности автоматизированных банковских систем, в том числе при трансграничном взаимодействии

Кирюшкин Сергей Анатольевич, к.т.н.Советник генерального директора

ООО «Газинформсервис», Россия, Санкт-Петербург

Kiryushkin-S@gaz-is.ru,www.gaz-is.ru

Тел. +7(812)305-20-50 #1859Факс +7(812)3052051

Международный форум по банковским информационным технологиям «БанкИТ»21-22 ноября 2012 года, г. Минск, Беларусь

Источники

• Презентация основана на аналитических и проектных материалах компаний “Газинформсервис” и “Белтим СБ”, а так же материалах ряда профильных конференций, в том числе “PKI-Форум Россия” и “Информационная безопасность банков”

Технологии ДБО1. Банк-клиент(Клиентское ПО)

2. Интернет-банкингБраузер

3. Мобильный банкингКлиентское ПО/Браузер/СМС

4. АТМБанкомат/Терминал

1. Атака на АРМ пользователя с целью кражи идентификаторов (закрытого ключа, пароля, пин-кода…)

2. Атака на АРМ пользователя с целью захвата удаленного управления ресурсами АРМ пользователя

3. Атака на АРМ пользователя с целью подмены документа при процедурах электронной подписи

4. Аналогичные атаки на каналы передачи данных…

Известные решения на базе криптографии и PKI

1. Защищенное хранение ключей, в том числе использование ключевых с неизвлекаемым хранением ключей.

2. Контроль доступа и контроль операций на основе идентификации и аутентификации криптографическими методами

3. Создание доверенной среды выполнения криптографических операций

4. Строгая аутентификация и шифрование в каналах

1. Атака на АРМ пользователя с целью кражи идентификаторов (закрытого ключа, пароля, пин-кода…)

2. Атака на АРМ пользователя с целью захвата удаленного управления ресурсами АРМ пользователя

3. Атака на АРМ пользователя с целью подмены документа при процедурах электронной подписи

4. Аналогичные атаки на каналы передачи данных…

Примечания

1. Криптографические методы защиты актуальны, популярны и эффективны в ДБО и в банковских ИС в целом;

2. Применение криптографии (как и все остальные стадии жизненного цикла) регулируется особо на уровне законодательства и уполномоченными государственными регуляторами

Универсальное применение

. . .

Контроллер

домена

АРМ администратора

АБС

Администратор

Серверы

удаленного

доступа

. . .

АБС филиала

VPN/IPSec каналы на базе

магистральных сетей

Файл-

серверСервер

БД

Клиенты ДБО

WEB-

сервер

Proxy-

сервер

Сети общего пользования

Mail-

сервер

Система УЦ

Однако…

По ряду причин СКЗИ и PKI в КФУ используются зачастую не эффективно

“Банковская” ЭЦП

8

Разработаны и достаточно широко используются банковские системы, в которых декларируется применение ЭЦП, но не в соответствии с 1-ФЗ «Об ЭЦП»

Цитата из договора:Клиент при подписании электронного документа (ЭД) ЭЦП применяет свои секретные ключи подписи, а Банк при проверке ЭЦП ЭД — открытые ключи подписи Клиента, являющиеся действующими на момент подписания и передачи документа на обработку соответственно.Ключи электронной цифровой подписи (секретный и соответствующий ему открытый ключ) подписывающей Стороны становятся действующими только после завершения процедур регистрации открытых ключей и ввода в действие секретных ключей.

Риски банков применения “псевдо ЭЦП“не оценены. Ущерб от реализации данных рисков не минимизирован.

Некорректные процедуры работы с ЭЦП

9

Появляются риски банков и пользователей, связанных с исполнением документов, удостоверенных ЭЦП с отозванными (аннулированными) или не доверенными сертификатами

Во многих АБС, использующих ЭЦП:• По умолчанию отключена проверка на отозванность сертификата ключа подписи при проверке ЭЦП;• Отсутствуют проверки на отозванность сертификата ключа подписи при подписании электронных документов;•Не описана и не обоснована процедура установления отношений доверия к центрам сертификации (удостоверяющим центрам);•И пр.

10

• Применение сертифицированных библиотек с нарушением технических условий эксплуатации;• Передача средств ЭЦП по незащищенным каналам связи или по протоколам SSL с алгоритмами RSA, DES и т.д.• и пр.

Появляются риски банков и пользователей, связанных с отказом от ЭЦП ввиду подтверждения экспертной организации о несертифицированном условии использования средства ЭЦП

11

Применяются незащищённые ключевые носители (дискеты, флэшки), т.к. они значительно дешевле защищенных;

Цитата из договора, описывающая ВСЕ меры защиты криптографических ключей:

КЛИЕНТ обязан самостоятельно обеспечить сохранность своих секретных ключей и несет за это полную ответственность. КЛИЕНТ по возможности обязан содержать свои секретные ключи на съемном электронном носителе информации, а данный носитель хранить в сейфовом шкафу или другом надежном месте с ограниченным доступом.

Подробный анализ судебных решений см. в блоге Н.А.Храмцовской: http://rusrim.blogspot.com/

13

Неправомерное списание денежных средств со счетов

• Подавляющее большинство дел выигрывают кредитные организации

• Кредитная организация проигрывает в случае нарушения правил работы и оформления документов

14

Банк виновен:

• При подключении системы «Клиент-банк» банк не составил ни одного предусмотренного Генеральным соглашением - виновен, ущерб 500 тысяч руб. РФ (дело №А50-18570/2010)

15

Клиент виновен (нарушение безопасности ключей):

• Добровольно передав ключ ЭЦП, руководитель тем самым санкционировал последующие действия исполнителя (дело № А76-4331/2011)

• Клиент не стал получать собственные средство ЭЦП, ключи и сертификат, и использовал средства, принадлежащие другой организации (дело №А38-1398/2011)

• Приказом право доступа к криптографическим ключам, помимо генерального директора организации было предоставлено главному бухгалтеру и заместителю главного бухгалтера – ущерб 450 тысяч (делу №А72-5310/2010)

16

Клиент виновен (организационные причины):

• Несмотря на затянувшийся корпоративный конфликт, никто из поочередно сменявшихся директоров общества, работавших с одними ключами, не известил банк о сложившейся ситуации – ущерб 29 млн. рублей (дело № А33-15817/2011)

• Договор с банком был подписан неустановленным лицом, а организация его одобрила, начав использование системы «клиент-банк» (дело № А38-311/2011)

17

Клиент виновен (несоблюдение ТУ эксплуатации):

• На компьютере клиента присутствовали вредоносные программы, не были выполнены иные меры по обеспечению безопасности при работе в системе ДБО (дело № А60-15360/2011)

Вывод 1

1. Несмотря на популярность, эффективность и определенность нормативного регулирования применения СКЗИ и PKI, как правило они используются в АБС далеко не оптимально.

2. Для повышения эффективности и снижения рисков для создания таких систем необходимо привлекать лицензиатов и проводить независимый аудит создаваемых и эксплуатируемых систем.

Защита информации на основе СКЗИ и PKI при

трансграничном взаимодействии

19

Определение

21

Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. (ФЗ-152, ст.3, п.11)

Область применения

22

Основные вопросы

23

1. Как обеспечить совместимость технологий защиты?

2. Как учесть разницу в правовом регулировании?

Одноплечевая схема

24

А B

ДТС

Двуплечевая схема

25

А B

ДТС “А” ДТС “B”

Как учесть разницу в правовом регулировании?

26

1. Международные соглашения (примеры – директивы и конвенции Европарламента, Конвенция (Соглашение) о порядке признания юридического значения иностранных электронных документов (сообщений) и/или их электронных подписей в международном информационном обмене)

2. Привести в соответствие национальное законодательство

3. Договоры B2B (примеров не требуется)4. Внутренние регламенты (для филиалов)5. И пр.

Национальное законодательство

Закон Республики Беларусь от 28 декабря 2009 г. N 113-ЗОб электронном документе и электронной цифровой подписи

Статья 30. Признание иностранного сертификата открытого ключа Иностранный сертификат открытого ключа, соответствующий требованиям законодательства иностранного государства, в котором этот сертификат издан, признается на территории Республики Беларусь в случаях и порядке, определенных международным договором Республики Беларусь, предусматривающим взаимное признание сертификатов открытых ключей или другой способ придания юридической силы иностранным электронным документам. Сертификат открытого ключа, изданный поставщиком услуг иностранного государства, аккредитованным в Государственной системе управления открытыми ключами, признается на территории Республики Беларусь.

Национальное законодательство

Федеральный закон Российской Федерацииот 6 апреля 2011 г.N 63-ФЗ "Об электронной подписи"

Статья 7. Признание электронных подписей, созданных в соответствии с нормами иностранного права и международными стандартами1. Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона.2. Электронная подпись и подписанный ею электронный документ не могут считаться не имеющими юридической силы только на том основании, что сертификат ключа проверки электронной подписи выдан в соответствии с нормами иностранного права

Национальное законодательство

19.11.2012 в Москве прошел экспертный совет по подготовке к парламентским слушаниям в Совете Федерации «Об использовании электронной подписи: состояние нормативно-правовой базы и практика её применения». Модератором совещания экспертов выступал заместитель председателя Комитета Совета Федерации по экономической политике Юрий Витальевич Росляк. Среди огромного количества обсуждаемых вопросов, был и вопрос, связанный с определением объема существующей нормативной базы для применения Статьи 7 63-ФЗ «Об электронной подписи» по использованию иностранных электронных подписей. В ходе обсуждения экспертами, было принято решение, что на настоящий момент существующей нормативной базы вполне достаточно для применения данной статьи закона (Ст. 7 63-ФЗ) как для уровня бизнеса, так и для уровня государства.

Модель системы нормативного регулирования доверенного трансграничного электронного

взаимодействия

30

Страна “A” Страна “B”

Международноесоглашение

Типовой договор

Договор

Регламент TTP

РегламентTTP

TTP “A” TTP “B”

Институт государства и права РАН, 2007 г.

Доверенное электронное взаимодействие

ДоговорДоговор

Модель системы нормативного регулирования доверенного трансграничного электронного

взаимодействия

31

Страна “A” Страна “B”

TTP “A”

Торговый обычай

ДоговорДоговор

Доверенное электронное взаимодействие

Договор

TTP “B”

Договор Договор

32

Доверенная третья сторона

X.842, раздел 7 содержит описание основных категорий сервисов ДТС:1.Сервис меток времени2.Сервис неотрекаемости3.Сервис управления ключами4.Сервис управления сертификатами5.Электронный нотариат6.Сервис электронного цифрового архива7.Сервис идентификации и аутентификации в режимах «on-line», «off-line», «in-line»8.Сервис трансляции в режиме «in-line»9.Сервис восстановления данных и ключевой информации10.Сервис персонализации11.И др.

Традиционные сервисы удостоверяющих центров

2

Запрос подтверждения

5

DVC квитанция (ЭЦП ГОСТ)

3

Запрос о действительности ЭЦП в документе транслируется в

защищенный домен автора ЭЦП

Квитанция ТТР зарубежного контрагента

подтверждает действительность ЭЦП

электронного документа, квитанция

имеет ЭЦП УЛ ТТР СТБ

Российская служба ТТР

Белорусская служба ТТР

ИС Банка

4

1

Принятие иностранного документа к рассмотрению6

Электронный документ (ЭЦП СТБ) Электронный документ

(ЭЦП ГОСТ)

RFC 3029: Internet X.509 Public Key Infrastructure, Data Validation and Certification Server Protocols

Сервис валидации ЭД

сервис валидациии онлайн

34

http://dvcs.gaz-is.ru

Трансграничная конфиденциальность

Спасибо за внимание!

Кирюшкин Сергей Анатольевич, к.т.н.Советник генерального директора

ООО «Газинформсервис», Россия, Санкт-Петербург

Kiryushkin-S@gaz-is.ru,www.gaz-is.ru

Тел. +7(812)305-20-50 #1859Факс +7(812)3052051