PKI в каждый Office

Презентация: скачать

Принято считать, что защищенность и удобство, дружественность - находятся в обратно пропорциональной зависимости. Под этим, безусловно, есть и вполне весомые технические причины, и чисто психологическая логика - как-то больше верится в пользу лекарства, если оно горькое, а поверить в надежность тяжелого бронежилета проще, чем в надежность легкого. Однако хорошо понятно, что до тех пор, пока применять ЭЦП не будет легко и приятно, применять ее будут только в случаях крайней необходимости, а необходимых случаев явно меньше, чем возможных.

Разработчики средств ЭЦП отдают себе в этом отчет и работают над тем, чтобы сделать ее применение как можно проще, а сложности компенсировать теми или иными выгодами. Однако пока до сих пор не удалось решить задачу, имеющую не вполне технические корни: уж слишком электронная цифровая подпись не похожа на подпись.

Значительные усилия уже приложены к тому, чтобы сделать ЭЦП ближе к народу просветительскими методами, и нельзя сказать, что совсем не преуспели. Но для основного контингента людей, работающих с документооборотом (в классическом понимании этого слова - обеспечивающих циркуляцию входящих и исходящих, внутренних и внешних документов) понятие «электронный документ» обозначает совсем не то, что для специалистов по информационным технологиям, а «документ» в терминологии Microsoft Office - текстовый файл Microsoft Word, таблицу Excel, или в отдельных случаях - Open Office. Более того, документ для них - это документ читаемый. В этом смысле текстовый файл, подписанный ЭЦП, если подпись сохраняется в один файл с подписываемыми данными, для восприятия, скажем так, нормального человека, скорее перестает быть документом, чем становится им. Если же подпись сохраняется в отдельный файл - для сознания, привычного к аналоговым документам с подписью и печатью - это тоже выглядит достаточно абсурдно, хоть и объяснимо.

В результате просматривается два пути, которые могут позволить ввести ЭЦП в ежедневный быт: принуждение (или воспитание) и адаптация, сближение ЭлД в терминологическом смысле с электронным документом в обыденном смысле - документом Office.

Прекрасным примером второго типа решения является применение отечественного ПСКЗИ (ШИПКА), сертифицированного по классу КС3, для подписания ЭЦП документов Microsoft Word и Excel с применением сертификатов российского УЦ («Автограф»), проходящего в настоящее время сертификацию на класс КС3 с правом работы через Internet, и специально созданных разработчиками этого УЦ плагинов.

Работа пользователя при этом выглядит следующим образом: создав Документ Microsoft Word, например, и напечатав в нем все то содержание, которое ему необходимо, сотрудник подключает к компьютеру свое ПСКЗИ, содержащее пару ключей подписи и сертификат, выданный УЦ. Далее в контекстном меню по щелчку правой кнопки мыши он вызывает функцию «подписать».

 Появляется окно, в котором можно  выбирать сертификат, если их в хранилище ПСКЗИ несколько, факсимиле или текстовую строку.

В появившемся окне запроса PIN-кода пользователь вводит PIN-код ПСКЗИ и в подписываемом документе появляется поле, содержащее внятные сведения о подписывающем пользователе.

Как видно на рисунке, проверка подписи под таким документом протекает еще более органично. Пользователь открывает файл и видит в нем поле с данными подписавшего этот файл и результатами проверки подписи.

Предельно важно, что визуализация подписи содержит не набор значков, ни о чем не говорящий обыкновенному человеку, привыкшему считать, что подпись - это подпись, а не строка ничего не обозначающих символов.

Файл остается читаемым, даже если нет возможности проверить подпись (нет сертификата подписавшего пользователя), или если нет плагина. Плагин, впрочем, разработчики планируют предоставлять всем желающим бесплатно, его можно будет просто скачать и установить, для этого нет необходимости устанавливать именно ПО того ПСКЗИ, с помощью которого подпись вычислялась, - для проверки подписи достаточно любого криптопровайдера, работающего с ГОСТ.

Очень важно, что сертификат УЦ «Автограф», при просмотре, дает существенно больше сведений о том, как была выработана проверяемая подпись, чем большая часть других сертификатов, так как в нем содержится прямое указание на то, с помощью какого именно СКЗИ она вырабатывалась. Сведения о том, что закрытый ключ сгенерирован абсолютно надежно, защищенно хранится, неизвлекаем, а выработка ЭЦП производилась аппаратно, можно получить не из фонового знания, что УЦ «Автограф» выдает сертфиикаты только на ключи, сгенерированные в ПСКЗИ ШИПКА, но и непосредственно из самого сертификата: в нем указан серийный номер именно той ШИПКИ, которая использовалась при подписании.

Заметим тот факт, что при попытке редактирования подписанного файла, будет выдано сообщение о том, что это невозможно - внести изменения в файл получится только после того, как он будет сохранен уже без подписи.

Таким образом ввести в практику применения ЭЦП в документообороте организации можно без внедрения сложных систем и изменения мировосприятия сотрудников, которые умеют работать с документами и делают это хорошо.

Думается, что PKI «с человеческим лицом» может существенно ускорить и сделать менее травматичным переход с бумажного документооборота на электронный.

Автор: Конявская С. В.

Дата публикации: 01.01.2010

Библиографическая ссылка: Конявская С. В. PKI в каждый Office // PKI-форум-2010, 28 сентября – 1 октября 2010 года, Санкт-Петербург.