1. Социальные и транспортные карты:
вопросы аутентификации и
идентификации (технологии)
Инфофоруму 10 лет!
г. Москва, 07 февраля 2011 г.
w w w. a l a d d i n.– r d. r u
n ru
Алексей Сабанов,
Зам. ген. директора
ЗАО «Аладдин Р.Д.»
2. Актуальность. Федеральные проекты
•
электронное правительство
– 27 субъектов подписали соглашения о стратегическом
сотрудничестве с Ростелекомом
– Инвестиции оператора уже составили 1 млрд. руб., в ближайшие
годы планируется еще 5 млрд.руб.*
•
•
проект межведомственного электронного
документооборота (МЭДО). Из этого проекта вырастет
система межведомственного документооборота не только
федеральных органов власти, но и региональных.
проект строительства единой системы межведомственного
электронного взаимодействия (СМЭВ).
Везде нужны надежные способы идентификации и аутентификации
* Журнал Computerworld № 36-37 от 16.11.2010г., стр.25
w w w. a l a d d i n – r d. r u
2
3. Цели создания электронного правительства
•
•
•
•
повышение качества и доступности предоставляемых организациям и
гражданам государственных услуг, упрощение процедуры и сокращение
сроков их оказания, снижение административных издержек со стороны
граждан и организаций, связанных с получением государственных
услуг, а также внедрение единых стандартов обслуживания граждан;
повышение открытости информации о деятельности органов
государственной власти и расширение возможности доступа к ней и
непосредственного участия организаций, граждан и институтов
гражданского общества в процедурах формирования и экспертизы
решений, принимаемых на всех уровнях государственного управления;
повышение качества административно-управленческих процессов;
совершенствование системы информационно-аналитического
обеспечения принимаемых решений на всех уровнях государственного
управления, обеспечение оперативности деятельности органов
государственной власти и требуемого уровня информационной
безопасности электронного правительства при его функционировании.
w w w. a l a d d i n – r d. r u
3
4. Некоторые задачи создания электронного государства
•
•
•
•
•
•
Развитие электронных сервисов для предприятий и
граждан, повышение качества и доступности
предоставляемых организациям и гражданам
государственных услуг, упрощение процедуры и
сокращение сроков их оказания
Создание электронных баз данных (реестры, регистры,
кадастры)
Устранение дублирования данных в БД
Оптимизация подчинения БД определенным
ведомствам – «административная реформа»
Обеспечение прозрачности и доступности eGovernment
…
w w w. a l a d d i n – r d. r u
4
5. Компоненты электронного правительства
•
•
•
•
Информирование граждан и бизнеса
Электронный документооборот
Электронные услуги организациям и населению G2B,
G2C
Электронная коммерция B2G, B2B, B2C
– Госторги
– Ведомственные электронные площадки
– Интернет-торговля
•
•
Межведомственное взаимодействие
Трансграничные операции, в том числе бизнес B2B, B2G
w w w. a l a d d i n – r d. r u
5
6. Участники электронного взаимодействия
•
•
•
•
•
граждане Российской Федерации;
организации;
федеральные органы государственной власти;
федеральные органы исполнительной власти;
органы государственной власти субъектов
Российской Федерации;
• государственные корпорации;
• иностранные граждане.
w w w. a l a d d i n – r d. r u
6
7. Идентификация и аутентификация
•
•
Идентификация – процедура распознавания субъекта по его
идентификатору. В процессе регистрации субъект
предъявляет свой идентификатор информационной системе,
которая проверяет его наличие в своей базе данных (LDAPкаталоге). Простейшим примером идентификатора является
учетная запись, содержащая логин пользователя.
Лучшая технология идентификации – аутентификация.
Аутентификация – процедура проверки подлинности
субъекта, проводимая, как правило, с помощью
криптографических преобразований, позволяющая
достоверно убедиться в том, что субъект, предъявивший
свой идентификатор, на самом деле является именно тем
субъектом, идентификатор которого он использует.
Лучшая технология аутентификации – ЭЦП.
w w w. a l a d d i n – r d. r u
7
9. Идентификация и аутентификация
с точки зрения применяемых технологий
0,2
w w w. a l a d d i n – r d. r u
10 - 15
25 - 40
50 - 100
$
9
10. Участники электронного взаимодействия
•
•
•
•
•
граждане Российской Федерации;
организации;
федеральные органы государственной власти;
федеральные органы исполнительной власти;
органы государственной власти субъектов
Российской Федерации;
• государственные корпорации;
• иностранные граждане.
w w w. a l a d d i n – r d. r u
10
12. Универсальная электронная карта
На многофункциональной микропроцессорной карте могут
быть размещены:
•
•
•
•
•
•
w w w. a l a d d i n – r d. r u
Банковские и
корпоративные
приложения,
Персональные данные
держателя карты,
Различные социальные
приложения,
Транспортные
приложения,
Идентификационные
приложения,
Механизмы ЭЦП
12
13. Технологическая инфраструктура предоставления
государственных услуг в электронном виде
Портал органов
государственной
власти
Порталы государственных услуг
Единое
пространство
ЭЦП
Доверенная
третья
сторона
Портал
государственных
закупок
Интернет и средства связи
Интернет и средства связи
Взаимодействие
через инфоматы
Взаимодействие с
домашнего ПК
Взаимодействие
через Call-центр
Идентификационные элементы
Граждане и организации
w w w. a l a d d i n – r d. r u
13
14. ЕПСС УЭК. Универсальная электронная карта
Электронные приложения Карты УЭК:
Универсальная электронная
карта
Приложения:
1) идентификационное
2) Платежное (банковское)
3) ведомственные
приложения
Идентификационное – используется для
предоставления услуг в информационных
терминалах (инфоматах)
Платежное (банковское) – используется для
совершения платежных операций в банковских
терминалах
Ведомственные приложения –
используются для предоставления услуг в
инфраструктуре ведомств
w w w. a l a d d i n – r d. r u
14
15. № 210-ФЗ
Федеральный закон
Российской Федерации
от 27 июля 2010 г. № 210ФЗ "Об организации
предоставления
государственных и
муниципальных
услуг"
w w w. a l a d d i n – r d. r u
15
16. Постановление Правительства РФ от 8 сентября 2010 г. №697
О ЕДИНОЙ СИСТЕМЕ
МЕЖВЕДОМСТВЕННОГО ЭЛЕКТРОННОГО ВЗАИМОДЕЙСТВИЯ
Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение о единой системе межведомственного электронного взаимодействия.
2. Установить, что Министерство связи и массовых коммуникаций Российской Федерации:
является государственным заказчиком и оператором единой системы межведомственного электронного
взаимодействия;
осуществляет координацию деятельности по подключению к единой системе межведомственного электронного
взаимодействия.
3.
Министерству
связи
и
массовых
коммуникаций
Российской
Федерации
в
3-месячный
срок:
обеспечить введение единой системы межведомственного электронного взаимодействия в эксплуатацию;
утвердить технические требования к взаимодействию информационных систем в единой системе межведомственного
электронного взаимодействия и обеспечить их публикацию в федеральной государственной информационной системе
«Единый портал государственных и муниципальных услуг (функций)».
4. Федеральным органам исполнительной власти в соответствии со сроками реализации этапов перехода на
предоставление государственных услуг и исполнение государственных функций в электронном виде, установленных
Правительством Российской Федерации, обеспечить подключение информационных систем, используемых при
предоставлении государственных услуг и исполнении государственных функций, к единой системе межведомственного
электронного взаимодействия в соответствии с Положением, утвержденным настоящим постановлением.
5. Рекомендовать органам государственной власти субъектов Российской Федерации и органам местного
самоуправления:
обеспечить создание и функционирование региональных систем межведомственного электронного взаимодействия в
соответствии с Положением, утвержденным настоящим постановлением;
определить операторов региональных информационных систем межведомственного электронного взаимодействия и
принять меры по заключению указанными операторами соглашений в соответствии с пунктом 14 Положения,
утвержденного настоящим постановлением.
Председатель Правительства
Российской Федерации
w w w. a l a d d i n – r d. r u
В.Путин
16
17. УТВЕРЖДЕНО
постановлением Правительства Российской Федерации
от 8 сентября 2010 г. № 697
ПОЛОЖЕНИЕ
о единой системе межведомственного электронного взаимодействия
1. Настоящее
Положение определяет назначение и правила формирования и функционирования единой системы
межведомственного электронного взаимодействия (далее - система взаимодействия), а также основы
информационного обмена, осуществляемого с ее применением между информационными системами федеральных
органов исполнительной власти, государственных внебюджетных фондов, исполнительных органов государственной
власти субъектов Российской Федерации, органов местного самоуправления, государственных и муниципальных
учреждений, многофункциональных центров, иных органов и организаций (далее - органы и организации) в целях
предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в
электронной форме.
4. Система взаимодействия предназначена для решения следующих задач:
обеспечение исполнения государственных и муниципальных функций в электронной форме;
обеспечение предоставления государственных и муниципальных услуг в электронной форме, в том числе с
использованием универсальной электронной карты и федеральной государственной информационной системы
"Единый портал государственных и муниципальных услуг (функций)" (далее - единый портал);
обеспечение информационного взаимодействия в электронной форме при предоставлении государственных и
муниципальных услуг и исполнении государственных и муниципальных функций.
7. В целях исполнения своих функций система взаимодействия обеспечивает:
а) доступ к электронным сервисам информационных систем, подключенных к системе взаимодействия;
б) получение, обработку и доставку электронных сообщений в рамках информационного взаимодействия органов
и организаций с обеспечением фиксации времени передачи, целостности и подлинности электронных
сообщений, указания их авторства и возможности предоставления сведений, позволяющих проследить
историю движения электронных сообщений при предоставлении государственных и муниципальных услуг,
исполнении государственных и муниципальных функций в электронной форме ;
в) возможность использования централизованных баз данных и классификаторов информационными системами,
подключенными к системе взаимодействия;
г) защиту передаваемой информации от несанкционированного доступа, ее искажения или блокирования с момента
поступления указанной информации в систему взаимодействия до момента передачи ее в подключенную к системе
взаимодействия информационную систему;
д) хранение информации, содержащейся в реестре электронных сервисов информационных систем органов и
организаций, подключенных к системе взаимодействия (далее - реестр электронных сервисов), и мониторинг
работоспособности электронных сервисов, включенных в данный реестр.
w w w. a l a d d i n – r d. r u
17
20. Документооборот- основа электронного правительства
Запрос без юридических последствий
Запрос с юридическими последствиями
ответ
Док.
НСИ
Документы
НСИ
Архивы
w w w. a l a d d i n – r d. r u
20
21. Схема взаимодействия участников ЕПСС УЭК
Правительство
РФ
Оператор сводного
реестра услуг
Федеральное
ведомство
Оператор единого
портала госуслуг
Оператор федеральной СМЭВ
Федеральная уполномоченная организация (ФУО)
Оператор CС УЭК
Расчетный банк ПС УЭК
Оператор ПС УЭК
Банк
Банк
Уполномоченная
организация
Субъекта РФ (УОС)
Инфомат
Уполномоченная
организация
Субъекта РФ (УОС)
Банк
Уполномоченная
организация
Субъекта РФ (УОС)
Инфомат
Оператор региональной СМЭВ
Региональное
ведомство
Оператор регион.
портала госуслуг
Правительство
субъекта РФ
Оператор регион.
реестра услуг
Регион обслуживания
Регион обслуживания
w w w. a l a d d i n – r d. r u
Инфомат
Оператор региональной СМЭВ
Региональное
ведомство
Оператор регион.
портала госуслуг
Правительство
субъекта РФ
Оператор регион.
реестра услуг
Регион эмитента
Регион эмитента
Оператор региональной СМЭВ
Региональное
ведомство
Оператор регион.
портала госуслуг
Правительство
субъекта РФ
Оператор регион.
реестра услуг
Регион ведомства
Регион ведомства
21
22. Общая схема взаимодействия
ПК
Оператор единого
портала госуслуг
Федеральное
ведомство
Правительство
Российской
Федерации
Оператор
сводного
реестра услуг
Оператор
федеральной
СМЭВ
Федеральная
уполномоченная
организация (ФУО)
Оператор CС УЭК
Федеральный
уровень
БТ
Региональное
ведомство
В
Оператор
региональной
СМЭВ
Оператор
регионального
портала госуслуг
ПК
Регион 1
(регион
ведомства)
И
ПК
Оператор
регионального
портала госуслуг
Региональное
ведомство
Оператор ПС УЭК
И
Банк
Правительство
субъекта РФ
Оператор
региональной
СМЭВ
Оператор
регионального
реестра услуг
Правительство
субъекта РФ
Оператор
региональной
СМЭВ
Оператор
регионального
реестра услуг
БТ
Банк
Регион 2 (регион обслуживания)
w w w. a l a d d i n – r d. r u
Правительство
субъекта РФ
Уполномоченная
организация
Субъекта РФ
(УОС)
Банк
Уполномоченная
организация
Субъекта РФ
(УОС)
В
Оператор
регионального
реестра услуг
БТ
Уполномоченная
организация
Субъекта РФ
(УОС)
И
Оператор
регионального
портала госуслуг
ПК
Региональное
ведомство
В
Регион 3 (регион-эмитент)
22
23. Нерешенные вопросы
•
•
•
•
•
Выбор идентификатора гражданина (СНИЛС, ИНН,…)
Выбор единого идентификатора чиновника,
подтверждающего его полномочия (OID,…);
Вопрос о том, где действительно нужна строгая
аутентификация;
Обязательный набор аутентификационных факторов
(иметь смарт-карту или eToken, знать PIN-код или
пароль, дополнительно – биометрия?);
Какова должна быть единая универсальная карта?
Какие приложения должны работать с картой? Какие
технологии лучше применять?
w w w. a l a d d i n – r d. r u
23
24. Что показывает опыт
• Ключевые факторы успеха:
–
–
–
–
–
Востребованность, полнота и доступность услуги
Финансирование (или кто за это платит и как долго)
Доверие к эл. услуге (что она стабильно работает и безопасна)
Удобство (использования и наличие инфраструктуры)
Перспективы развития
• В технологическом плане
– Web-технологии, тонкий клиент, мобильность пользователя
• Различные платформы (Windows, Mac, Linux)
• Сложность / невозможность что-то устанавливать на компьютер
– Смарт-карта (USB-токен) как средство строгой аутентификации и
генерации ЭЦП (технология ОТР приживается сложно и медленно)
– Серьезные проблемы с безопасностью, экспоненциальный рост атак
w w w. a l a d d i n – r d. r u
24
25. Эволюция чиповых карт (смарт-карт)
• Выбор технологической платформы смарт-карт
влияет на успех и перспективы развития проекта
Высшие требования
по безопасности,
Возможность добавления
приложений после выпуска
карт в обращение
- Криптография?
- EMV-сертификация?
Проблемы с развитием
(добавление функциональности,
цена ошибки)
Проблемы с безопасностью
w w w. a l a d d i n – r d. r u
25
26. Требования к карте
Что недопустимо
•Ориентироваться на проприетарные технологии
•Использовать закрытые (запатентованные) решения и спецификации
•Выбирать решения, в которые нельзя добавлять новые приложения
Что должна обеспечивать карта
•Открытая платформа (открытые стандарты и спецификации,
возможность независимым разработчикам писать и отлаживать свои
приложения, а потом исполнять их на любой карте). Пример: Java →
эволюционное развитие проекта
•Несколько приложений на одной карте
– Изоляция данных и приложений друг от друга (на уровне архитектуры!)
– Возможность загружать новые приложения в уже выпущенные карты
•Аппаратная реализация западных и национальных криптоалгоритмов
– RSA, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-2001, ГОСТ Р 34-310-2004, ГОСТ
28147-89.
w w w. a l a d d i n – r d. r u
26
27. Требования к карте
Программная поддержка
•Web-ориентированные сервисы
Опыт банков (ДБО) бесценен
• Анализ атак на клиента, на серверные приложения
• На сегодня мы беззащитны!
– Реализуются атаки с подменой подписываемого документа
– Этот «опыт» будет использован и для гос. услуг.
Это может привести к потере доверия к эл. сервисам
Надо искать и внедрять новые технологии, которые помогут
при работе с «недоверенного» компьютера.
Инсталлируемое ПО на клиенте (CSP) часто неприемлемо
• Выбирают подгружаемые библиотеки или JCP
• CNG проблемы не снимает
• Нужно уметь работать на Mac и Linux
w w w. a l a d d i n – r d. r u
27
28. ое
тн
с
Ча
Видение логики развития проектов
Унификация решений
Использование лучших практик
Снижение цены
Простой перенос готовых
приложений на EMV-чип (для
платежных карт)
Оценка срока готовности
min 2 года
Эмитенты - банки
w w w. a l a d d i n – r d. r u
28
29. Влияние выбора технологической
платформы на перспективы развития
Выбирая карту для e-Сервисов с ЭЦП необходимо ориентироваться на открытые
глобальные стандарты (Java Global Platform, PKCS#11)
Иначе тупик. Никто не будет переписывать свои «вылизанные» приложения.
PKI
w w w. a l a d d i n – r d. r u
ЭЦП / ГОСТ
Социальные,
Медицинские приложения
Биометрия
29
30. Выводы по социальной карте
1.
Предоставление государственных услуг в электронном виде,
имеющих правовые последствия, требует создания системы
юридически значимого электронного документооборота между
заявителем и органами государственной власти.
2. Технологическим ядром системы предоставления государственных
услуг в электронном виде должна являться инфраструктура
микропроцессорных пластиковых карт.
3. Сделать единую социальную карту для доступа к гос. услугам – сразу
и ко всем, наверное, не получится
4. Проект будет развиваться поэтапно, местами «кусочно», потом
встанут задачи объединения, унификации и удешевления
5. Основой для единой карты должна стать Java-карта с поддержкой
ГОСТ Р 34.10-2001, ГОСТ Р 34.11-2001, ГОСТ Р 34-310-2004, ГОСТ
28147-89.
6. Необходимо использовать богатый опыт банков (ДБО):
– Технологический и организационный
– Противодействие атакам
w w w. a l a d d i n – r d. r u
30
ЕПСС УЭК предоставляет единую технологию , позволяющую оказывать услуги на всей территории РФ с использованием карт, эмитированных в любом регионе по единой технологической схеме, в основу которой положено использование идентификационное приложение карты УЭК (ИД-приложение).
ИД-приложение - универсальное приложение, используемое при оформлении запросов на получение большинства услуг.
ИД-приложение решает следующие задачи в процессе обращения гражданина за услугой:
аутентификация карты;
верификация держателя;
выполнение функций, позволяющих проверить подлинность документов, оформляемых в процессе запроса услуги.
поддержка возможности безопасного изменения данных приложения
ИД-приложение разработано по заказу ФУО. Спецификация ИД-приложения будет предоставляться различным поставщикам приложений для создания решений и поставки их на конкурентной основе.
Платежное приложение – стандартное EMV-приложение, которое может использоваться в существующей у банков инфраструктуре обслуживания карт международных платежных систем. Платежное приложение карты УЭК основано на спецификации M/Chip4.
Ведомственные приложения – специальные приложения карты УЭК, используемые исключительно в инфраструктуре ведомств.
На схеме показаны все возможные направления взаимодействия, которое может иметь место между участниками ЕПСС УЭК при решении ими задач, связанных с предоставлением услуг с использованием карт УЭК.
Желтым фоном – выделены участники, принадлежащие инфраструктуре электронного правительства, голубым – инфраструктуре УЭК.
