Embed Size (px)
Citation preview
w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u
Алексей Сабанов,Зам. ген. директора ЗАО «Аладдин Р.Д.»
Алексей Сабанов,Зам. ген. директора ЗАО «Аладдин Р.Д.»
г. Москва, 07 февраля 2011 г.г. Москва, 07 февраля 2011 г.
Социальные и транспортные карты:вопросы аутентификации и
идентификации (технологии)
Инфофоруму 10 лет!
w w w. a l a d d i n – r d. r u
Актуальность. Федеральные проекты
• электронное правительство– 27 субъектов подписали соглашения о стратегическом
сотрудничестве с Ростелекомом
– Инвестиции оператора уже составили 1 млрд. руб., в ближайшие годы планируется еще 5 млрд.руб.*
• проект межведомственного электронного документооборота (МЭДО). Из этого проекта вырастет система межведомственного документооборота не только федеральных органов власти, но и региональных.
• проект строительства единой системы межведомственного электронного взаимодействия (СМЭВ).
2
* Журнал Computerworld № 36-37 от 16.11.2010г., стр.25
Везде нужны надежные способы идентификации и аутентификации
w w w. a l a d d i n – r d. r u
Цели создания электронного правительства
• повышение качества и доступности предоставляемых организациям и гражданам государственных услуг, упрощение процедуры и сокращение сроков их оказания, снижение административных издержек со стороны граждан и организаций, связанных с получением государственных услуг, а также внедрение единых стандартов обслуживания граждан;
• повышение открытости информации о деятельности органов государственной власти и расширение возможности доступа к ней и непосредственного участия организаций, граждан и институтов гражданского общества в процедурах формирования и экспертизы решений, принимаемых на всех уровнях государственного управления;
• повышение качества административно-управленческих процессов;
• совершенствование системы информационно-аналитического обеспечения принимаемых решений на всех уровнях государственного управления, обеспечение оперативности деятельности органов государственной власти и требуемого уровня информационной
безопасности электронного правительства при его функционировании.
3
w w w. a l a d d i n – r d. r u
Некоторые задачи создания электронного государства
• Развитие электронных сервисов для предприятий и граждан, повышение качества и доступности предоставляемых организациям и гражданам государственных услуг, упрощение процедуры и сокращение сроков их оказания
• Создание электронных баз данных (реестры, регистры, кадастры)
• Устранение дублирования данных в БД
• Оптимизация подчинения БД определенным ведомствам – «административная реформа»
• Обеспечение прозрачности и доступности e-Government
• …
4
w w w. a l a d d i n – r d. r u
Компоненты электронного правительства
• Информирование граждан и бизнеса
• Электронный документооборот
• Электронные услуги организациям и населению G2B, G2C
• Электронная коммерция B2G, B2B, B2C– Госторги– Ведомственные электронные площадки– Интернет-торговля
• Межведомственное взаимодействие
• Трансграничные операции, в том числе бизнес B2B, B2G
5
w w w. a l a d d i n – r d. r u
Участники электронного взаимодействия
• граждане Российской Федерации;• организации;• федеральные органы государственной власти;• федеральные органы исполнительной власти;• органы государственной власти субъектов
Российской Федерации;• государственные корпорации;• иностранные граждане.
6
w w w. a l a d d i n – r d. r u
Идентификация и аутентификация
• Идентификация – процедура распознавания субъекта по его идентификатору. В процессе регистрации субъект предъявляет свой идентификатор информационной системе, которая проверяет его наличие в своей базе данных (LDAP-каталоге). Простейшим примером идентификатора является учетная запись, содержащая логин пользователя.
Лучшая технология идентификации – аутентификация.
• Аутентификация – процедура проверки подлинности субъекта, проводимая, как правило, с помощью криптографических преобразований, позволяющая достоверно убедиться в том, что субъект, предъявивший свой идентификатор, на самом деле является именно тем субъектом, идентификатор которого он использует.
Лучшая технология аутентификации – ЭЦП.
7
w w w. a l a d d i n – r d. r u
Решения по аутентификации: Пример ведомства
8
w w w. a l a d d i n – r d. r u 9
0,2 10 - 15 25 - 40 50 - 100$
Идентификация и аутентификация
с точки зрения применяемых технологий
w w w. a l a d d i n – r d. r u
Участники электронного взаимодействия
• граждане Российской Федерации;• организации;• федеральные органы государственной власти;• федеральные органы исполнительной власти;• органы государственной власти субъектов
Российской Федерации;• государственные корпорации;• иностранные граждане.
10
w w w. a l a d d i n – r d. r u
Идентификация и аутентификация
11
w w w. a l a d d i n – r d. r u 12
Универсальная электронная карта
На многофункциональной микропроцессорной карте могут быть размещены:
• Банковские и корпоративные приложения,
• Персональные данные держателя карты,
• Различные социальные приложения,
• Транспортные приложения,
• Идентификационные приложения,
• Механизмы ЭЦП
w w w. a l a d d i n – r d. r u 13
Технологическая инфраструктура предоставления государственных услуг в электронном виде
Граждане и организации
Порталы государственных услуг
Идентификационные элементы
Интернет и средства связиИнтернет и средства связи
Взаимодействие с домашнего ПК
Взаимодействие через инфоматы
Взаимодействие через Call-центр
Портал органов государственной
власти
Портал государственных
закупок
Единое пространство
ЭЦПДоверенная
третья сторона
w w w. a l a d d i n – r d. r u 14
ЕПСС УЭК. Универсальная электронная карта
Универсальная электронная карта
Приложения:
1) идентификационное
2) Платежное (банковское)
3) ведомственные
приложения
Электронные приложения Карты УЭК:
Идентификационное – используется для предоставления услуг в информационных терминалах (инфоматах)
Платежное (банковское) – используется для совершения платежных операций в банковских терминалах
Ведомственные приложения – используются для предоставления услуг в инфраструктуре ведомств
w w w. a l a d d i n – r d. r u 15
Федеральный закон Российской Федерации от 27 июля 2010 г. № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"
№ 210-ФЗ
w w w. a l a d d i n – r d. r u 16
Постановление Правительства РФ от 8 сентября 2010 г. №697
О ЕДИНОЙ СИСТЕМЕ МЕЖВЕДОМСТВЕННОГО ЭЛЕКТРОННОГО ВЗАИМОДЕЙСТВИЯ
Правительство Российской Федерации постановляет: 1. Утвердить прилагаемое Положение о единой системе межведомственного электронного взаимодействия. 2. Установить, что Министерство связи и массовых коммуникаций Российской Федерации:является государственным заказчиком и оператором единой системы межведомственного электронного взаимодействия;осуществляет координацию деятельности по подключению к единой системе межведомственного электронного взаимодействия. 3. Министерству связи и массовых коммуникаций Российской Федерации в 3-месячный срок:обеспечить введение единой системы межведомственного электронного взаимодействия в эксплуатацию;утвердить технические требования к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия и обеспечить их публикацию в федеральной государственной информационной системе «Единый портал государственных и муниципальных услуг (функций)». 4. Федеральным органам исполнительной власти в соответствии со сроками реализации этапов перехода на предоставление государственных услуг и исполнение государственных функций в электронном виде, установленных Правительством Российской Федерации, обеспечить подключение информационных систем, используемых при предоставлении государственных услуг и исполнении государственных функций, к единой системе межведомственного электронного взаимодействия в соответствии с Положением, утвержденным настоящим постановлением. 5. Рекомендовать органам государственной власти субъектов Российской Федерации и органам местного самоуправления:обеспечить создание и функционирование региональных систем межведомственного электронного взаимодействия в соответствии с Положением, утвержденным настоящим постановлением;определить операторов региональных информационных систем межведомственного электронного взаимодействия и принять меры по заключению указанными операторами соглашений в соответствии с пунктом 14 Положения, утвержденного настоящим постановлением.
Председатель ПравительстваРоссийской Федерации В.Путин
w w w. a l a d d i n – r d. r u 17
УТВЕРЖДЕНОпостановлением Правительства Российской Федерации
от 8 сентября 2010 г. № 697
П О Л О Ж Е Н И Ео единой системе межведомственного электронного взаимодействия
1. Настоящее Положение определяет назначение и правила формирования и функционирования единой системы межведомственного электронного взаимодействия (далее - система взаимодействия), а также основы информационного обмена, осуществляемого с ее применением между информационными системами федеральных органов исполнительной власти, государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления, государственных и муниципальных учреждений, многофункциональных центров, иных органов и организаций (далее - органы и организации) в целях предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме.
4. Система взаимодействия предназначена для решения следующих задач: обеспечение исполнения государственных и муниципальных функций в электронной форме; обеспечение предоставления государственных и муниципальных услуг в электронной форме, в том числе с
использованием универсальной электронной карты и федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)" (далее - единый портал);
обеспечение информационного взаимодействия в электронной форме при предоставлении государственных и муниципальных услуг и исполнении государственных и муниципальных функций.
7. В целях исполнения своих функций система взаимодействия обеспечивает:а) доступ к электронным сервисам информационных систем, подключенных к системе взаимодействия;б) получение, обработку и доставку электронных сообщений в рамках информационного взаимодействия органов
и организаций с обеспечением фиксации времени передачи, целостности и подлинности электронных сообщений, указания их авторства и возможности предоставления сведений, позволяющих проследить историю движения электронных сообщений при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в электронной форме;
в) возможность использования централизованных баз данных и классификаторов информационными системами, подключенными к системе взаимодействия;
г) защиту передаваемой информации от несанкционированного доступа, ее искажения или блокирования с момента поступления указанной информации в систему взаимодействия до момента передачи ее в подключенную к системе взаимодействия информационную систему;
д) хранение информации, содержащейся в реестре электронных сервисов информационных систем органов и организаций, подключенных к системе взаимодействия (далее - реестр электронных сервисов), и мониторинг работоспособности электронных сервисов, включенных в данный реестр.
w w w. a l a d d i n – r d. r u
Юридическая значимость
18
Бланкдокумента
Реквизитыведомства г.Москва 16-00
Директор Иванов И.И.
Правовой статус
4 5 6
13 2
Место Время
Полномочие ЭЦППравомочие
Нотариальное заверение
Апостиль Квитанция об оплате
7 8 9
УПЛАЧЕНО пошлина 1 руб.
w w w. a l a d d i n – r d. r u 19
Технология ЭЦП
позволяет обеспечить
Аутентификация граждан,
подключающихся к ресурсам
Проверка подлинности
ресурсов, к которым
подключаются граждане
Аутентификация отправителя и
обеспечение гарантии
авторства и подлинности сообщения
Обеспечение конфиденциаль-ности данных,
передаваемых по общедоступным
сетям
w w w. a l a d d i n – r d. r u
Документооборот- основа электронного правительства
20
Док.
НСИ
Документы
НСИ
Архивы
Запрос без юридических последствий
ответ
Запрос с юридическими последствиями
w w w. a l a d d i n – r d. r u 21
Регион обслуживанияРегион обслуживания
Схема взаимодействия участников ЕПСС УЭК
Федеральная уполномоченная организация (ФУО)
Оператор CС УЭК
Оператор единого портала госуслуг
Оператор федеральной СМЭВ
Федеральное ведомство
Правительство РФ
Оператор сводного реестра услуг
Уполномоченная организация
Субъекта РФ (УОС)
Оператор регион. портала госуслуг
Региональное ведомство
Правительство субъекта РФ
Оператор регион. реестра услуг
Оператор региональной СМЭВ
Инфомат
Банк
Регион эмитентаРегион эмитента
Уполномоченная организация
Субъекта РФ (УОС)
Оператор регион. портала госуслуг
Региональное ведомство
Правительство субъекта РФ
Оператор регион. реестра услуг
Оператор региональной СМЭВ
Инфомат
Банк
Регион ведомстваРегион ведомства
Уполномоченная организация
Субъекта РФ (УОС)
Оператор регион. портала госуслуг
Региональное ведомство
Правительство субъекта РФ
Оператор регион. реестра услуг
Оператор региональной СМЭВ
Инфомат
Банк
Оператор ПС УЭК Расчетный банк ПС УЭК
w w w. a l a d d i n – r d. r u 22
Общая схема взаимодействия
Федеральная уполномоченная
организация (ФУО)
Оператор единого портала госуслуг
Оператор федеральной
СМЭВ
Федеральное ведомство
Правительство Российской Федерации
Оператор сводного
реестра услуг
Регион 2 (регион обслуживания)
Уполномоченная организация
Субъекта РФ(УОС)
Региональное ведомство
Оператор региональной
СМЭВ
Оператор регионального
портала госуслуг
Банк
Правительство субъекта РФ
Оператор регионального реестра услуг
Федеральный уровень
БТ
И
ПК
В
Регион 3 (регион-эмитент)
Уполномоченная организация
Субъекта РФ(УОС)
Региональное ведомство
Оператор региональной
СМЭВ
Оператор регионального
портала госуслуг
Банк
Правительство субъекта РФ
Оператор регионального реестра услуг
БТ
И
ПК
В
ПК
Регион 1(регионведомства)
Уполномоченная организация
Субъекта РФ(УОС)
Региональное ведомство
Оператор региональной
СМЭВ
Оператор регионального
портала госуслуг
Банк
Правительство субъекта РФ
Оператор регионального реестра услуг
БТ
И
ПК
В
Оператор ПС УЭК
Оператор CС УЭК
w w w. a l a d d i n – r d. r u
Нерешенные вопросы
• Выбор идентификатора гражданина (СНИЛС, ИНН,…)
• Выбор единого идентификатора чиновника, подтверждающего его полномочия (OID,…);
• Вопрос о том, где действительно нужна строгая аутентификация;
• Обязательный набор аутентификационных факторов (иметь смарт-карту или eToken, знать PIN-код или пароль, дополнительно – биометрия?);
• Какова должна быть единая универсальная карта? Какие приложения должны работать с картой? Какие технологии лучше применять?
23
w w w. a l a d d i n – r d. r u
• Ключевые факторы успеха:– Востребованность, полнота и доступность услуги
– Финансирование (или кто за это платит и как долго)
– Доверие к эл. услуге (что она стабильно работает и безопасна)
– Удобство (использования и наличие инфраструктуры)
– Перспективы развития
• В технологическом плане– Web-технологии, тонкий клиент, мобильность пользователя
• Различные платформы (Windows, Mac, Linux)• Сложность / невозможность что-то устанавливать на компьютер
– Смарт-карта (USB-токен) как средство строгой аутентификации и генерации ЭЦП (технология ОТР приживается сложно и медленно)
– Серьезные проблемы с безопасностью, экспоненциальный рост атак
24
Что показывает опыт
w w w. a l a d d i n – r d. r u
Эволюция чиповых карт (смарт-карт)
25
• Выбор технологической платформы смарт-карт влияет на успех и перспективы развития проекта
Проблемы с безопасностью
Проблемы с развитием(добавление функциональности,цена ошибки)
Высшие требованияпо безопасности,Возможность добавления приложений после выпуска карт в обращение- Криптография?- EMV-сертификация?
w w w. a l a d d i n – r d. r u
Требования к карте
Что недопустимо
•Ориентироваться на проприетарные технологии
•Использовать закрытые (запатентованные) решения и спецификации
•Выбирать решения, в которые нельзя добавлять новые приложения
Что должна обеспечивать карта
•Открытая платформа (открытые стандарты и спецификации, возможность независимым разработчикам писать и отлаживать свои приложения, а потом исполнять их на любой карте). Пример: Java → эволюционное развитие проекта
•Несколько приложений на одной карте– Изоляция данных и приложений друг от друга (на уровне архитектуры!)– Возможность загружать новые приложения в уже выпущенные карты
•Аппаратная реализация западных и национальных криптоалгоритмов– RSA, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-2001, ГОСТ Р 34-310-2004, ГОСТ
28147-89.
26
w w w. a l a d d i n – r d. r u
Требования к карте
Программная поддержка
•Web-ориентированные сервисыОпыт банков (ДБО) бесценен
• Анализ атак на клиента, на серверные приложения
• На сегодня мы беззащитны!
– Реализуются атаки с подменой подписываемого документа
– Этот «опыт» будет использован и для гос. услуг.
Это может привести к потере доверия к эл. сервисам
Надо искать и внедрять новые технологии, которые помогут при работе с «недоверенного» компьютера.
Инсталлируемое ПО на клиенте (CSP) часто неприемлемо
• Выбирают подгружаемые библиотеки или JCP
• CNG проблемы не снимает
• Нужно уметь работать на Mac и Linux
27
w w w. a l a d d i n – r d. r u
Видение логики развития проектов
28
Оценка срока готовности min 2 года
Простой перенос готовых приложений на EMV-чип (для платежных карт)
Эмитенты - банки
Унификация решенийИспользование лучших практикСнижение цены
Частное
w w w. a l a d d i n – r d. r u
Влияние выбора технологической платформы на перспективы развития
29
Выбирая карту для e-Сервисов с ЭЦП необходимо ориентироваться на открытые глобальные стандарты (Java Global Platform, PKCS#11)Иначе тупик. Никто не будет переписывать свои «вылизанные» приложения.
PKI ЭЦП / ГОСТСоциальные,Медицинские приложения
Биометрия
w w w. a l a d d i n – r d. r u
Выводы по социальной карте
1. Предоставление государственных услуг в электронном виде, имеющих правовые последствия, требует создания системы юридически значимого электронного документооборота между заявителем и органами государственной власти.
2. Технологическим ядром системы предоставления государственных услуг в электронном виде должна являться инфраструктура микропроцессорных пластиковых карт.
3. Сделать единую социальную карту для доступа к гос. услугам – сразу и ко всем, наверное, не получится
4. Проект будет развиваться поэтапно, местами «кусочно», потом встанут задачи объединения, унификации и удешевления
5. Основой для единой карты должна стать Java-карта с поддержкой ГОСТ Р 34.10-2001, ГОСТ Р 34.11-2001, ГОСТ Р 34-310-2004, ГОСТ 28147-89.
6. Необходимо использовать богатый опыт банков (ДБО):– Технологический и организационный– Противодействие атакам
30
