успеха такой атаки? Дело в том, что закон допускает множественность ЭП для одного лица. Именно поэтому злоумышленник получает реальную возможность не подбирать сообщение, что невероятно трудно, а подобрать и зарегистрировать (легально) ключ. Более того, не исключен вариант сговора двух лиц: ЭП оказывается уязвимой, если ключ подписи известен хоть кому-нибудь! А если сговорятся два центра по сертификации подписей?

Рассмотрим еще раз схему атаки на ЭП, обнаруженную М. Грунтовичем. Предварительно злоумышленник регистрирует два активных ключа проверки подписи у1 и у2, соответствующие ключам подписи х1и х2. С помощью первого ключа х1 он подписывает один документ, а с помощью х2 – второй. Причем ключи х1 и х2 выбраны таким образом, что подписи на документах совпадают. После этого первый подписанный документ вместе с подписью отсылается адресату, который с успехом проверяет подпись ключом проверки y1 и верит ему. А автор отказывается от документа и при попытке предъявить ему претензию показывает в качестве «истинного» подписанного им документа второй документ с точно такой же подписью.

В [85, с. 211–217] конкретные условия реализации указанной атаки рассмотрены на примере подписи по схеме Эль-Гамаля. Вера в стойкость схемы Эль-Гамаля основана на (гипотетической) сложности задачи дискретного логарифмирования, но здесь атаке подвергается вовсе не задача дискретной математики. Для расчета х2 по известному х1 требуемые вычисления минимальны по сравнению с субэкспоненциальной задачей дискретного логарифмирования.

Тем не менее, не все так страшно. Дело в том, что полученные результаты никак не дискредитируют собственно криптостойкость ЭП. Они показывают возможную уязвимость при неправильном применении механизмов ЭП.

Решения могут быть разными. Так, можно с помощью сертификатов надежно связывать уникальный идентификатор ключа с открытым ключом. Но, во-первых, это требует введения дисциплины контроля идентификаторов ключа на уникальность, а во-вторых, закон не запрещает удостоверяющему центру (его должностному лицу) иметь несколько ключей подписи!

Существует и радикальный способ борьбы с атаками такого рода – для этого всего лишь необходимо иметь устройство, в котором:

1) генерируется секретный ключ;

2) вычисляется открытый ключ;

3) открытый ключ экспортируется, в том числе для сертификации в удостоверяющем центре;

4) секретный ключ применяется для выработки ЭП только внутри устройства, его экспорт невозможен.

ЭП использует ключ подписи (КП), который принципиально не должен быть никому известен, поскольку именно он обеспечивает свойства электронного документа (ЭлД), связанные с тем, что снабдить документ ЭП может только его автор или владелец[208].

Наверное, самое главное, что нужно понимать об электронной подписи, – это то, что процедура ЭП всегда используется в некоторой системе, обеспечивающей некоторую целевую функцию, включающую выработку и проверку ЭП. То есть это всегда подсистема системы более высокого уровня.

Со стороны подсистемы реализации ЭП вся остальная система является внешним окружением и потенциально враждебна с точки зрения сохранности КП. Попадание КП во враждебную среду эквивалентно его компрометации, и чем меньший интервал времени КП находится во враждебной среде, тем ниже вероятность неблагоприятного исхода.

Если ЭП реализована в отдельном устройстве, не имеющем общей памяти с окружением, – тогда КП не попадает во враждебную среду и в полной мере защищен от компрометации. При этом КП обрабатывается локально, не допускается перемещение информации о КП в другие части системы. Принцип локальной реализации предопределяет реализацию алгоритма ЭП в отдельном устройстве как предпочтительную. Такое решение актуально также в смысле противодействия целевой компрометации КП. Суть противодействия состоит в необходимости обеспечить условия, при которых воздействие методами социальной инженерии (давление, подкуп, шантаж) не приводило бы к выведению КП из системы, его отчуждению и передаче третьим лицам. Задача противодействия целевой компрометации решается изолированностью КП, его неизвлекаемостью из контейнера, в котором КП хранится. Тем самым снимается и нагрузка с владельца ЭП, который избавляется от опасности компрометации ЭП с помощью внесистемных методов воздействия.

Принципиально важным является обеспечение целостности и однозначности связи «человек-ключ подписи».

Эта связь может быть обеспечена либо тем, что человек хранит свое персональное средство ЭП у себя, полностью за него отвечает и (или) КП неизвлекаем, либо тем, что СЭП хранится в банке («облачная подпись»), а средства идентификации клиента надежны настолько, что позволяют однозначно идентифицировать клиента.

Рассмотрим эти варианты.

Персональное СЭП. Надежное и традиционное решение. Должно быть сертифицировано, отчуждаемо от компьютера, соответствовать принципу локальной реализации, иметь собственные средства отображения либо использоваться совместно с доверенным компьютером, иметь «вирусный иммунитет» [82] или мощную и постоянно обновляемую систему антивирусной защиты.

СЭП для ДБО у клиента должно иметь определенные особенности. Главная особенность СЭП – оно должно быть ненастраиваемым: работать «в одно касание», one touch. Настройки безопасности – дело достаточно сложное и тонкое, и лучше его доверить профессионалам[209].

При этом, конечно, со стороны банка доверенность информационной системы должна быть обеспечена в полном объеме.

Облачное СЭП. Такие решения только разрабатываются, но разрабатываются активно. И камень преткновения здесь – обеспечение надежной идентификации клиента. Действительно, если осуществлять надежную криптографическую идентификацию/аутентификацию, то требования доверенности среды, локальной реализации СЭП, работы с КП все равно нужно выполнить. В этом случае цена решения никак не снизится, и никаких препятствий для установки еще и СЭП на те же технические средства (уже доверенные) не будет. То есть выигрыш здесь недостижим.

Совсем по-другому решение будет смотреться, если нужный уровень доверия к идентификации можно обеспечить при использовании недоверенного компьютера, например смартфона. Вот над этим стоит хорошо поработать, преодолевая как свое собственное профессиональное недоверие, так и профессиональное недоверие регулятора.

Некоторые черты такого решения уже вырисовываются: это, видимо, будет биометрия с обратной когнитивной связью – рефлекторная идентификация. Если получится – то для идентификации достаточно будет смартфона[210]. Конечно, и в этом случае со стороны банка доверенность информационной системы должна быть обеспечена в полном объеме.

Таким образом, мы видим две основные задачи, без решения которых не имеют смысла все остальные частные усилия и меры по защите информации: это создание и поддержание доверенной среды вычислений (в частности, ЭП) и создание системы надежной идентификации пользователя. На них и остановимся, не смешивая в одном котле технику, ментальность, ошибки программного обеспечения и криптографию.

Ведь для всех без исключения банков обеспечение доверенности среды – это единое требование, как и требование о доверенности и ненастраиваемости СЭП для клиента. Всем банкам придется так или иначе эту задачу решать. И если задача решена правильно – потери будут сведены к минимуму. Если неправильно и с помощью негодных средств – банк может нести ощутимые потери.

10.1. Доверенные системы

Ei incumbitprobatio, qui dicit, non qui negat

(Тяжесть доказательства лежит на том, кто утверждает, а не на том, кто отрицает).

Одно из положений римского права

Доверие к системе в общечеловеческом понимании формируется либо доказательством корректности ее работы в заданных условиях, либо продолжительным положительным опытом ее эксплуатации. Наличие сертификата способствует формированию доверия,