Сергей Кирюшкин, ЗАО "АНК": "Некоторые вопросы идентификации и аутентификации в мобильных платежных системах"

Очевидно, что в системах, где оказываются адресные услуги (то есть для выделенных категорий субъектов и объектов доступа), задачи идентификации и аутентификации (ИА) субъектов-участников процессов решаться ДОЛЖНЫ, так как посредством решения именно этих задач (ИА) определяется легитимный получатель услуги (субъект доступа) и легитимный сервис (объект доступа). Сети сотовой связи (ССС) к этой категории систем ОТНОСЯТСЯ В ПОЛНОЙ МЕРЕ. ИТАК: Задачи идентификации и аутентификации в ССС решаться ДОЛЖНЫ. Мобильные платежные системы (МПС) базируются на ССС и поэтому в части касающейся сервисов безопасности могут опираться на реализованные сервисы в ССС. Далее в данном докладе будет обосновано использование механизмов ИА в ССС, в том числе и в интересах МПС.

Очевидно, что ИА может проводиться различными способами, более или менее эффективными, и требуемая эффективность определяется характеристиками системы. Например, если информационно-справочному сервису абонента може потребоваться знание двух несложных алфавитно-цифровых последовательностей (имени пользователя и пароля это простая процедура ИА), то для снятия наличных денег со счета в банке требуется предъявление паспорта (более сложная процедура ИА). Следовательно, при решении задачи организации ИА в той или иной системе, возникает вопрос об оценивании необходимого уровня эффективности процессов ИА.

Причем, учитывая сложность ССС как организационно-технических систем и множество протекающих в них процессов, сразу возможно предположить, что в них возможны различные требования к ИА для различных процессов.

Простые процедуры ИА в ССС используются достаточно широко. Анализ этих, простых методов ИА не представляет интереса в рамках обсуждаемой темы. По этому поводу можно только констатировать, что простые процедуры ИА в ряде процессов, таких, например, как запрос баланса абонентского счета по степени эффективности соответствуют уровню риска. Анализ клиентских договоров и существующей практики показывает, что «упрощенная» ИА на сегодня активно используется. Например:

Обобщая результаты экспресс-анализа методов идентификации и аутентификации, определенных сегодня в договорных документах ОпССС можно сделать вывод, что операторы предлагают Абоненту упрощенные методы идентификации и аутентификации и при этом стараются минимизировать или полностью исключить свою ответственность в случаях компрометации идентификаторов.

Однако, можно выделить процессы, в которых следует использовать жесткие требования к ИА (такие ИА будем называть «строгими»), например, к таковым могут быть отнесены:

- заключения договора между ОпССС и клиентом;

- управления со стороны клиента своим тарифным планом;

- оплаты товаров и услуг (в том числе собственно услуг сотовой связи) посредством команд, передаваемых с мобильного телефона, с персонального компьютера по различным каналам связи;

- и др.

В качестве критерия оценивания требуемого уровня «строгости» ИА целесообразно использовать уровень рисков участников процессов (рисков имеющих непосредственную или опосредованную финансовую составляющую).

В каждом конкретном случае, для той или иной системы в выделенных процессах могут присутствовать различные риски, причем, опираясь на декларации о том, что ОпССС заинтересованы в развитии технологий мобильного банкинга и мобильных платежей можно говорить о тенденции «расширения» данных процессов как по «ширине охвата» клиентской базы ОпССС, так и по объемам финансовых средств. Наряду с новыми возможностями возможно допустить и сохранение традиционных, активно используемых в настоящее время. Следовательно, целесообразно иметь «на вооружении» как методы упрощенной ИА, так и методы «строгой» ИА.

«Строгие» ИА в рамках Российского законодательства в традиционных (неэлектронных) взаимоотношениях предполагает предъявление паспорта, как основного документа, идентифицирующего личность и проверку данного паспорта (в том числе с запросом в ЦБД ПВС). Содержание паспорта всем известно, обобщая это можно сказать, что это - документ на бумажном носителе содержащий информацию об идентифицируемом субъекте. Легитимность записей в сертификате подтверждается подписью и печатью уполномоченного лица. Имеется формализованная процедура проверки подлинности паспорта.

Современное законодательство в области информационных технологий, как правило, переносит сложившуюся практику традиционных правоотношений в цифровую среду. Поэтому, процессы, требующие строгих ИА в электронной среде должны предъявлять аналогичные требования к «идентификатору». В электронной среде документом, содержащим персональную информацию об идентифицируемом субъекте, заверенный подписью уполномоченного лица – это сертификат ключа подписи (СКП), а уполномоченным лицом является удостоверяющий центр. В соответствии со ст.6 Федерального Закона №1-ФЗ от «10» января 2002 г. «Об электронной цифровой подписи», СКП должен содержать следующую информацию:

• уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;
• фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима удостоверяющим центром вносится запись об этом в сертификат ключа подписи;
• открытый ключ электронной цифровой подписи;
• наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи;
• наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи;
• сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.

Кроме того, в сертификатах могут содержаться и дополнительные сведения, необходимые для функционирования системы (серия и номер паспорта, например). Для учета требований ФЗ «О персональных данных» данная информация может быть защищена посредством использования механизма атрибутных сертификатов.

Таким образом, в результате цепочки рассуждений мы приходим к следующим выводам:

• Для некоторых информационных процессов в ССС, к которым операторами ССС могут быть применены требования «строгих» ИА, по аналогии с традиционными «неэлектронными» процессами, целесообразно использовать сертификат ключа подписи в совокупностью со связанным атрибутным(ми) сертификатом(ами) в качестве идентификатора субъекта, а в ряде случаев – как субъекта, так и объекта взаимодействия.
• Механизмы применения СКП в качестве «идентификатора» опираются на криптографические методы. Для реализации данных механизмов используется криптография с открытыми ключами. Создание инфраструктуры открытых ключей в рамках информационных систем ОпССС делает возможным развертывание и других решений в области информационной безопасности и юридической значимости электронных документов, которые основываются на инфраструктуре открытых ключей.

Применение СКП:

Определение СКП, введенное ФЗ «Об электронной цифровой подписи» предполагает применение СКП для:

• подтверждения подлинности электронной цифровой подписи (ЭЦП);
• и идентификации владельца сертификата ключа подписи.

Здесь следует отметить, что в определении СКП непосредственно указано его целевое предназначение – решать задачу идентификации. Задача Аутентификации решается «автоматически» при правильном функционировании инфраструктуры открытых ключей. А именно, принадлежность «строгого» идентификатора - открытого ключа, конкретному субъекту или объекту доступа подтверждается удостоверяющим центром, который осуществил издание сертификата ключа подписи (сертификата открытого ключа) как в режиме «on-line» при проведении автоматической проверки СКП, так и при необходимости, в рамках процедур разбора конфликтных ситуаций.

Итак, решая задачу эффективной ИА посредством СКП, как аналогов «строгой» ИА в традиционных, неэлектронных процессах, в информационную среду вводится универсальный механизм инфраструктуры открытых ключей, который позволяет решить ряд других сложных задач.

Одна из таких задач, представлена уже в определении СКП – подтверждение подлинности ЭЦП.

ЭЦП, как понятие, неразрывно связано с электронным документооборотом, и представляет собой аналог собственноручной подписи в электронной среде. Появление в информационных процессах ОпССС такого механизма может позволить решить традиционную задачу электронного документооборота – обеспечение юридической значимости электронных документов (ЭД), что означает, что электронные документы с ЭЦП в случае необходимости, в соответствии с законодательством РФ, могут использоваться в качестве доказательств в суде. Примеров того, где в информационных процессах может потребоваться данный функционал множество. В частности, одним из наиболее очевидных применений является использование ЭЦП для обеспечения юридической значимости процедур, связанных с изменениями тарифного плана, проводимыми абонентами удаленно. В ряде случаев, такие процедуры носят характер заключения дополнительных соглашений к договору обслуживания, что само по себе предполагает наличие под соглашением подписей сторон. При проведении данной процедуры в электронной среде - электронных цифровых подписей сторон.

Продолжая список задач, которые могут решаться вследствие развертывания инфраструктуры открытых ключей следует особенно отметить задачу обеспечения юридической значимости электронных документов (различных журналов регистрации, электронных допсогашений) при их длительном хранении в электронных архивах. Данная задача не является тривиальной, так как использование тех или иных криптографических алгоритмов для обеспечения защищенности «электронных паспортов» - СКП определяет «конечный» период эксплуатации СКП, а следовательно и ЭЦП, поставленные посредством соответствующих СКП криптографических ключей имеют юридическую значимость только в период действия СКП. Задача «пролонгирования» юридической значимости ЭД с ЭЦП решается посредством специальных систем, которые сравнивают с «электронными нотариусами» и в соответствии с международными рекомендациями X.842, X.843 являются одной из подсистем «Службы доверенной третьей стороны» (Trusted Third Party). В 2006 году в рамках ФЦП «Электронная Россия» создан действующий образец данной системы, который уже обслуживает реальные бизнес-процессы. Его работа в качестве «поддержки» электронных архивов заключается в том, что периодически, в зависимости от сроков актуальности сертификатов, использованных для ЭЦП хранящихся в архиве документов, «электронный нотариус» выдает свои «квитанции», подтверждающие то, что электронный документ с ЭЦП был юридически значим в период с… по….

Другим актуальным применением сервисов ТТР, основанных на инфраструктуре открытых ключей является обеспечение юридической значимости трансграничных процессов в электронной среде. Актуальность данной задачи для ОпССС связывается с наличием в ССС возможности международного роуминга. В качестве примера можно привести ситуацию, когда абонент Российского ОпССС, находящийся за рубежом, хочет оплатить тот или иной товар или услугу посредством платежа с мобильного устройства. Ряд стран уже в полной мере используют, для подтверждения платежных транзакций с мобильных устройств ЭЦП. Зеркальную ситуацию можно так же легко представить – иностранец желает оплатить товар или услугу с мобильного устройства в России. Для того, чтобы иностранная ЭЦП была признана легитимной отечественным провайдером услуги или продавцом товара необходимо подтверждение ее легитимности в рамках законодательства государства, в котором производится операция, а также подтверждена легитимность идентификации будущего покупателя по регламентам государства выработавшего конкретный идентификационный признак. Подтверждение так же обеспечивается сервисами службы доверенной третьей стороны.

Важным положительным аспектом, который обязательно следует отметить, является то, что использование цифровых сертификатов в качестве универсальных идентификаторов позволяет бизнес-процессу делегировать несвойственную деятельность - выполнение процедур идентификации в компетентный специализированный орган – удостоверяющий центр, элемент «службы доверенной третьей стороны», деятельность которого жестко регламентирована отечественны законодательством.

Вывод: применение механизмов ИА на основе инфраструктуры открытых ключей в ССС и МПП эффективно, так как позволяет обеспечить необходимый в ряде случаев высокий уровень «строгости» ИА и потенциально позволяет построить на ИОК ряд новых эффективных современных сервисов.

© С.А.Кирюшкин, к.т.н., генеральный директор ЗАО "АНК", С.Петербург, ksa@ank-pki.ru, CForum.ru

Также по теме: презентация Сергея Кирюшкина на 2-й международной конференции "Мобильная коммерция" "Некоторые вопросы идентификации и аутентификации в мобильных платежных системах" в формате .pdf