Электронная подпись (ЭП) кажется сегодня многим венцом технического прогресса. А факт ее наличия — верхом надежности подтверждения того, что электронный документ подписан именно владельцем сертификата ключа электронной подписи. Так ли это на самом деле и что такое мультимедиа ЭП?

Общеизвестных информационных технологий и широко распространенных устройств, позволяющих собирать (фиксировать), удостоверять и передавать  самые разные сведения о происходящем, сегодня огромное множество. К примеру, электронная подпись (ЭП) “помещается” на токене, недорогом и доступном практически каждому. ЭП – это один из способов зафиксировать то, что человек вполне согласен с тем, что видит на экране планшета, монитора, смартфона. Вроде бы, все кристально ясно? Однако, пожалуй, что и нет.

 Трастскрин позволит увидеть документ, заверяемый ЭП

Источник: safe-tech.ru

“SafeTouch — средство доверенного отображения подписываемых данных, которое позволяет защитить денежные средства клиентов от любых удаленных атак на систему интернет-банкинга. Сфера применения: cистемы ДБО, электронная коммерция, системы ЭДО,” – читаем мы на сайте компании СэйфТек.

Зачем же нужны такие вот дополнительные устройства типа трастскрин? Сегодня мало кто задумывается о том, что изображение документа на экране ПК и подписываемая ЭП информация могут быть абсолютно разными. Ведь заверяем электронной подписью мы не фотографию экрана, а нечто другое – файл со структурированными данными. Просмотреть “глазами” XML и надежно убедиться в том, что он подписал ЭП то, что действительно хотел, простому пользователю достаточно сложно. А то, чего в итоге уходит с ПК по проводам в интернет, знают только интернет и эти самые провода. Особенно это справедливо для тех случаев, когда работающий ПК с торчащим из системного блока токеном легкомысленно оставляют на время перекура без присмотра.

Трастскрин “пропускает” через себя отправляемые в сеть XML-файлы. И отображает их в человеко-читаемом виде. Но не на обычном мониторе, а на отдельном экране. Чему уже вполне можно верить. Разумеется, до тех пор, пока не найдется умелец, который догадается, как взломать не только ваш ПК, но и ваш трастскрин тоже. Кроме того, дополнительные устройства стоят денег. И вполне надежное использование технологии ЭП окажется, в итоге, не таким уж и дешевым, как это казалось поначалу.

Чего же взломать практически невозможно? Что обеспечит более высокую степень защиты информации от искажения, нежели чем вереница технических устройств, каждое из которых проверяет предыдущее? И ожидает своей очереди у хакеров на взлом?

Представляется, что в данной задаче важны два момента: формирование набора разнородных данных и быстрая, практически мгновенная доступность к собранной информации всех заинтересованных сторон. Каналов связи (обмена данными) сегодня множество. Как проводных, так и беспроводных. Территория покрытия – достаточно велика и постоянно расширяется. Каналы связи удешевляются, имеют высокую скорость и надежность.

К примеру, мы хотим защитить от искажения сведения о передаче товара покупателю. Широко распространены и поддерживаются многочисленными независимыми вендорами стандарты (форматы) для записи фото, видео, аудио, для обмена структурированными данными и т.д. В наши дни достигнута достаточная степень интероперабельности ПО и высокая совместимость всех устройств. Устройства невелики и мобильны, имеют низкое энергопотребление. Они могут исполняться во влаго- и ударо-защитном вариантах. И сочетать в одном компактом корпусе функционал множества самых различных устройств.

В товарообменном процессе участвуют водитель-экспедитор и приемщик товара. Представим себе, что у водителя есть мобильный 4G-терминал с дисплеем. В терминал загружена электронная накладная, встроен GPS- приемник, фотокамера, диктофон с шумоподавлением и т.д. (по сути смартфон, только без игрушек и прочих подобных вещей, скрашивающих досуг дальнобойщика).

По завершении передачи товара, водитель включает такой терминал, делает снимок места передачи товара, подходит к приемщику и просит его расписаться стилусом под электронной накладной. После получения подписи — нажимает кнопку «ок». В то же самое время автоматически формируется и начинает передаваться по сети мультимедийный пакет, в котором находится EDI-накладная, фотография места передачи товара, фото приемщика в момент, когда он ставит свою подпись о приемке и другие «картинки», а также данные с GPS, короткая аудиозапись разговора водителя с приемщиком.

Далее этот пакет мгновенно отправляется в офисы поставщика и покупателя. Пока водитель дойдет до кабины и заведет двигатель, он успеет получить все необходимые подтверждения. После чего оспорить факт передачи груза будет почти невозможно.

Ведь исказить всю информацию, сосредоточенную в мультимедийных файлах, очень сложно. Уже хотя бы потому, что ее «очень много» (EDI- и GPS-данные, фото, аудио и т.д.). Все это взаимосвязано, а часть информации сформирована и передана практически мгновенно, в режиме IRT. Времени у злоумышленника на ее анализ, обработку, подмену практически не будет. А провайдер, сохранивший данные в своем облаке, даст дополнительную гарантию подлинности пакета файлов.

“Лишняя”, ненужная при нормальном ходе событий мультимедийная  информация может быть весьма полезной и окажется гораздо более содержательней, чем ЭП. Что станет важно  при возникновении всякого рода нестандартных, спорных ситуаций. Помимо всего прочего, индивидуально выданный токен с ЭП, на практике, запросто может гулять из рук в руки. С мультимедийной информацией, одновременно собранной в разных форматах и тут же переданной по нескольким каналам, все обстоит предельно однозначно.

Комбинируя каналы передачи и способы сбора информации, можно создать пакет надежно подтвержденных, согласованных данных, доверять которым можно больше, чем факту наличия ЭП. Такой пакет данных можно назвать мульимедийным документом.

Мультимедийная информация легко воспринимается и проверяется любым человеком на любом устройстве помимо компьютера. Фото можно просмотреть по телевизору, аудио-запись — прослушать на магнитофоне. Как-то взломать, заразить вирусами все магнитофоны и телевизоры намного сложнее, чем компьютер с установленным на него ПО для ЭП.

Остается только легализовать и начать применять “мультимедийные документы” на практике для товарообменных операций, в цепочках поставок. Думается, что по мере удешевления стоимости хранения данных и «утолщения» каналов связи так и произойдет.

Алексей Тихонов