WikiDer > Устройство для создания безопасной подписи
А устройство для создания защищенной подписи это особый тип компьютерного оборудования или программного обеспечения, которое используется при создании электронная подпись. Для использования в качестве безопасного устройства создания подписи (SSCD) устройство должно отвечать строгим требованиям, изложенным в Приложении II к Регламент (ЕС) № 910/2014 (eIDAS), где он называется квалифицированная (электронная) подпись устройство создания (QSCD). Использование безопасных устройств для создания подписи помогает облегчить онлайн деловые процессы которые экономят время и деньги благодаря транзакциям, совершаемым в общественный и частный сектор.[1][2][3]
Описание
Минимальные требования, которые должны быть выполнены для повышения уровня устройства для создания электронной подписи до уровня безопасного устройства для создания подписи, приведены в Приложении II к eIDAS. Посредством соответствующих процедурных и технических средств устройство должно разумно обеспечивать конфиденциальность данных, используемых для создания электронной подписи. Кроме того, он должен гарантировать, что данные, используемые для создания электронной подписи, уникальны и используются только один раз. Наконец, это позволит только квалифицированный поставщик трастовых услуг или центр сертификации создавать или управлять подписавшими электронная подпись данные.[2]
Для обеспечения безопасности данные для создания подписи, используемые SSCD для создания электронной подписи, должны обеспечивать разумную защиту с помощью современных технологий для предотвращения подделки или дублирования подписи. Созданные данные должны оставаться под исключительным контролем его подписавший для предотвращения несанкционированного использования. Самому SSCD запрещено изменять сопроводительные данные подписи.[1]
Когда поставщик услуг доверия или центр сертификации вводит SSCD в эксплуатацию, они должны надежно подготовить устройство в соответствии с Приложением II eIDAS в полном соответствии со следующими тремя условиями:[4][1]
- Во время использования или хранения SSCD должен оставаться в безопасности.
- Кроме того, повторная активация и деактивация SSCD должна происходить в безопасных условиях.
- Любые данные активации пользователя, включая PIN коды доставляться отдельно от SSCD после надежной подготовки.
Международные требования к обеспечению безопасности для SSCD
Устройство для создания безопасной подписи также должно соответствовать международному стандарту сертификации компьютерной безопасности, называемому Общие критерии оценки безопасности информационных технологий (ИСО / МЭК 15408).[5] Этот стандарт дает пользователям компьютерных систем возможность определять требования безопасности через профили защиты (PP) для функциональных требований безопасности (SFR) и требований обеспечения безопасности (SAR).[1][3] Поставщик услуг доверия или центр сертификации необходим для реализации указанных требований и подтверждения атрибутов безопасности своего продукта. Затем сторонняя испытательная лаборатория оценивает устройство, чтобы убедиться, что уровень безопасности соответствует заявленным поставщиком.[6]
Центральная служба аутентификации
Когда устройство для создания безопасной подписи используется как часть централизованной службы аутентификации (CAS), оно может действовать как сервер CAS в сценариях многоуровневой аутентификации. Программный протокол CAS позволяет пользователям проходить аутентификацию при входе в веб-приложение.
Общая схема протокола CAS включает веб-браузер клиента, приложение, запрашивающее аутентификацию, и сервер CAS. Когда требуется аутентификация, приложение отправит запрос на сервер CAS. Затем сервер сравнит учетные данные пользователя со своей базой данных. Если информация совпадает, CAS ответит, что пользователь аутентифицирован.[1][3]
Правовые последствия в отношении устройств для создания защищенных подписей
В eIDAS предусмотрен многоуровневый подход к определению юридических последствий электронных подписей. Подпись, созданная с помощью безопасного устройства для создания подписи, считается самой надежной. доказательная ценность. Документ или сообщение, подписанное с помощью такого устройства, считается не заслуживающий уважения, то есть подписавший не может отрицать свою ответственность за создание подписи.[2]
Регламент (ЕС) № 910/2014 (eIDAS) возник на основе Директивы 1999/93 / EC, Директива об электронных подписях. Целью директивы было сделать Государства-члены ЕС отвечает за разработку законодательства, которое позволит создать систему электронной подписи Европейского Союза. EIDAS Регулирование требует, чтобы все государства-члены соблюдали его спецификации для электронных подписей до даты его вступления в силу 1 июля 2016 г.[7][8]
использованная литература
- ^ а б c d е Тернер, Дон М. «Что такое безопасное устройство для создания подписи». Криптоматический. Получено 18 ноября 2016.
- ^ а б c Тернер, Рассвет. «Понимание eIDAS». Криптоматический. Получено 12 апреля 2016.
- ^ а б c «Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 года об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и отменяющий Директиву 1999/93 / EC». EUR-Lex. Европейский Парламент и Совет Европейского Союза. Получено 18 марта 2016.
- ^ «Электронные подписи и инфраструктуры: требования политики для центров сертификации, выдающих квалифицированные сертификаты» (PDF). Европейский институт телекоммуникационных стандартов. Получено 18 ноября 2016.
- ^ «ISO / IEC 15408-1: 2009 Информационные технологии. Методы безопасности. Критерии оценки ИТ-безопасности. Часть 1. Введение и общая модель».. Международная организация по стандартизации (ISO). Получено 18 ноября 2016.
- ^ Тернер, Дон М. «Поставщики доверенных услуг согласно eIDAS». Криптоматический. Получено 18 ноября 2016.
- ^ Тернер, Дон М. «eIDAS от директивы к регулированию - правовые аспекты». Криптоматический. Получено 18 марта 2016.
- ^ «Положения, директивы и другие акты». Europa.eu. Европейский Союз. Архивировано из оригинал 12 декабря 2013 г.. Получено 18 марта 2016.