Цифровые подписи: актуальные проблемы

Концепция подписи существует уже несколько столетий; подпись всегда служила средством установления подлинности документов. Но поскольку бумажные документы со временем все больше заменяются электронными документами и поскольку другое цифровое имущество, такое как сообщения, транзакции, цифровые таблицы и программное обеспечение распространяются по организациям любого типа, то нужны новые типы контроля. Электронные версии традиционных подписей и водяных знаков предоставляют некоторые преимущества, но им недостает характеристик, важных для безопасности, которые могли бы играть роль при составлении отчетности по соблюдению стандартов безопасности и для юридической защиты в случае судебных преследований. По мере того, как организации принимают более сервис-ориентированный подход к бизнес-процессам и пользуются облачными ресурсами, им нужны надежные способы проверки аутентичности целостности этих электронных массивов информации; если говорить более конкретно, им нужно засвидетельствовать факт, что эти информационные объекты не были изменены с преступными целями с тех пор, как они были созданы. Более того, когда дело доходит до цифровых транзакций, организациям нужно установить средства однозначного подтверждения подлинности – им нужна способность предоставить сторонам контроль того, что транзакции, которые они выполняют, проходят без злонамеренного вмешательства. В конце концов, например, законный контракт, выполняемый в Интернете, должен быть таким же бронированным, как тот контракт, который лица заключают между собой лично и в присутствии свидетелей. Для достижения этих целей организации используют цифровые подписи. 

Читать далее

Цифровые подписи выходят за рамки электронных версий традиционных подписей, так как требуют применения криптографических методов; и это решительным образом повышает безопасность и прозрачность – а оба эти условия являются критически важными факторами для установления доверия и придания юридической силы. Будучи применением криптографии открытого ключа, цифровые подписи могут применяться во многих областях - это и заполнение физическим лицом в Интернете своей налоговой декларации, это и контракт, который заключает сотрудник отдела снабжения с торговой организацией, это и электронный инвойс, это и документ о проведении аудита , который подписывает офицер органа власти, отвечающего за соблюдение стандартов, и это также публикация обновленного кода, которую выполнят разработчик программного обеспечения.

Существует много технологий для создания и проверки цифровых подписей. В то время как организации могут выбрать специфические подходы, которые отвечают их нуждам, они будут сталкиваться с рядом обычных проблем:

  • Без эффективных решений по добавлению цифровой подписи организации могут оказаться неспособными воспользоваться всеми преимуществами по повышению эффективности и снижению расходов, которые они бы получили в случае автоматизации процессов, ранее выполняемых вручную, а это приведет их к потере конкурентного преимущества.
  • Стандарты о законном доступе к данным, в которых речь идет о цифровых подписях, постоянно развиваются и могут варьировать в разных регионах и в отношении различных приложений; поэтому организации должны ознакомиться со специфическими для их отрасли законами о цифровой подписи, которые применимы к их бизнес-процессам.
  • Часто бывает нужно, чтобы подписи были удостоверены не теми сторонами, которые первоначально подписали информационный объект; бывает необходимо, чтобы можно было передоверить свои полномочия, и сделать это с пересечением нескольких доменов, включая использование доверенных лиц, представляющих третьи стороны
  • Многие процессы добавления цифровой подписи включают в себя временную метку; это предъявляет дополнительные требования к надежности часов – источнику точного времени

Скрыть раздел

Риски

  • Если процесс добавления цифровой подписи не является защищенным, то взломщики могут создавать фальсифицированные подписи или злоупотреблять настоящими подписями, что приведет систему (а потенциально и контролирующую ее организацию) к потере репутации.
  • Неспособность поддерживать адекватную документацию и выпуск сертификатов для стратегий и практик, связанных с цифровой подписью и управлением ключами защиты, может привести к тому, что подписи не будут приниматься в данной юрисдикции, и это негативно скажется на их ценности для организации
  • Некоторые процессы добавления цифровой подписи могут быть ресурсоемкими, замедлять бизнес-процессы и лимитировать их способность адаптации к различным объемам информации, нуждающейся в обработке.

Цифровые подписи: решения компании Thales e-Security

Продукты и услуги, предоставляемые компанией Thales e-Security могут помочь вам создавать высоконадежные процессы добавления цифровой подписи, которые обеспечат вашу организацию ценной гибкостью при осуществлении важных процессов автоматизации, интеграции, и принятия объемов информации на свои хост-серверы. В случае принятия наиболее эффективных в отрасли способов действий и проверенной технологии вы можете быть уверены в вашей способности оставаться впереди на кривой безопасности и соблюдать законно принятые стандарты и правительственные постановления по мере их появления и доработки.

Некоторые юрисдикции сейчас требуют использования защитных аппаратных модулей (HSM) для защиты процессов добавления цифровой подписи. Компания Thales предлагает проверенные, независимо сертифицированные модули HSM, которые отвечают высочайшим стандартам безопасности, предоставляют мощность и скорость выполнения, в которых вы нуждаетесь, и являются готовыми к применению и управлению. Кроме того, наши продукты по проставлению временных меток предоставляют организациям источник точного времени для приложений, осуществляющих проставление цифровой подписи, в которых время является критически важным фактором. И, наконец, компания Thales также обещает готовое решение для организаций, которым требуется проставление кодовых подписей. 

Преимущества:

  • Выполняет безопасное добавление цифровой подписи на основе легкодоступных решений, способных обеспечить безопасность высокого уровня для ваших наиболее важных бизнес-процессов
  • Воспользуйтесь преимуществами возможностей обеспечения высокой производительности, которые могут поддержать наиболее востребованные в Интернете приложения и любые объемы транзакций
  • Примените высоко-рандомизированные средства контроля безопасности для усиления политики, требующей разделения обязанностей, строгой аутентификации для администраторов и операций подписи, разрешение на которые принято кворумом
  • Это решение ускоряет применение приложений; - продукты компании Thales готовы к применению и легко интегрируются с коммерческими решениями от ведущих торговых организаций, которые применяют возможности снабжения информационных объектов цифровыми подписями
  • Это решение использует всемирно признанный стандарт сертификации безопасности на уровне продуктов - FIPS 140-2 ; это позволяет упорядочить аудит и составление отчетности для доказательства соблюдения стандартов