Банкеръ Weekly

интервю

Електронният подпис влиза в телефона

Димитър Николов, мениджър "Бизнес развитие", и Красимир Георчев, директор "Продажби" в БОРИКА, специално за в. "БАНКЕРЪ"

Уважаеми господа, колкото и да е познат квалифицираният електронен подпис (КЕП), нека да дадем едно определение за него. Какви възможности дава той?

Красимир Георчев:

- След приемане на еврорегламент 910/2014 терминологията леко беше изменена - вече говорим за "квалифицирано удостоверение за квалифициран електронен подпис". В България КЕП има две главни приложения. Едното от тях е за подписване на документи и електронни изявления, което от правна гледна точка е аналогично на саморъчен подпис върху хартиен документ. Второто приложение е за идентификация на този, който полага подписа, ако в удостоверението за КЕП присъства идентификатор като ЕГН например. Това приложение ще е валидно до една година, след като се появи Националната схема за електронна идентичност според Закона за електронна идентификация."

Димитър Николов:

- Според българското законодателство  КЕП трябва да отговаря на определени изисквания. Това са: да е свързан по уникален начин с титуляра, да може да идентифицира титуляра на подписа, да е свързан с данните, които се подписват с него по начин, по който позволява да бъде открита всяка последваща промяна. Последното изискване е да се съхранява на квалифицирано устройство за създаване на подпис - на смарт карта или устройство, отговарящи на определени стандарти. Изпълнявайки тези изисквания, законодателството приравнява КЕП към саморъчния подпис - в смисъл, че електронният подпис позволява на притежателя му да се идентифицира като автор на електронния документ, да се съгласи със съдържанието на документа, както и да защитава документа от последващи  промени."

Какво би станало, ако някой се опита да промени съдържанието на документа след полагането на подписа?

Д.Н.:

- При подобни опити  последващата проверка на електронния подпис върху документа е неуспешна и съответно документът е с невалиден подпис.

Каква е юридическата рамка на облачния КЕП?

Д.Н.:

- През 2014 г. се появи Регламент 910 на Европейския съюз и въпреки че електронен подпис от разстояние се предлагаше от години, това беше първата му регламентация на ниво ЕС. Този регламент трябваше да бъде приведен в действие в националните законодателства до 2016 г. и това се случи и у нас в Закона за електронните документи и електронните удостоверителни услуги.

Коя е съществената разлика  между Облачния КЕП и този на смарт карта?

Д.Н.:

- Съществената разлика между тях е в това, че Облачният КЕП измества подписа от смарт картата на отдалечена сървърна платформа. Вече - за да ползвате КЕП, трябва да се автентицирате през мобилен смарт телефон. Телефонът се явява средство за автентикация - втора стъпка в достъпа. Както при обикновения КЕП имаме смарт карта и ПИН, така и тук - трябва да имаме телефон и ПИН, за да използваме Облачния КЕП. Отдалеченото хардуерно криптографско устройство генерира подпис само след успешната автентикация на притежателя на електронен подпис чрез двата фактора. Мобилността като характеристика на Облачния КЕП не означава, че той се генерира в съответното мобилно устройство (смарт телефон) - то само служи да инициира полагането на КЕП в отдалечен сървър. Целта на продукта "Облачен КЕП" е да се улесни използването на КЕП и услугите с добавена стойност, като с това допринесе за разширяване на обема ползватели на електронни услуги, като същевременно стане катализатор на въвеждането на по-голям брой електронни услуги в Интернет пространството.

Какви са ползите от използването на Облачния квалифициран електронен подпис?

Д.Н.:

- Основните предимства на Облачен КЕП пред картов  КЕП - при завишено ниво на сигурност, са няколко. За крайните клиенти основен плюс е удобната и лесна употреба - изисква само двуфакторен механизъм за автентификация и Интернет свързаност. Отпада грижата да съхраняват и носят със себе си смарт картата. Не е за подценяване ценова ефективност, защото вече не се изисква смарт карта, четец на смарт карта и съответните драйвери в комплекта за КЕП,  липсва инсталация на софтуер при клиента и софтуерна поддръжка. Отпадат и неудобствата, наложени напоследък от браузърите за използване на активни компоненти при работата със смарт картите.

Облачният КЕП има няколко ползи и за доверяващите се страни. Той предлага лесна интеграция към добавени услуги, подобряващи качеството и функционалността на правно-валидния електронен подпис, чрез използване на квалифицирани електронни времеви печати (Timestamp); чрез използване на услуга за онлайн проверка на статус на удостоверения за електронен подпис (OCSP) и чрез използване на услуги за изграждане на формати на електронно подписани документи според стандарти (XAdES, PAdES, CAdES, ASiC) към Регламент 910/2014 на ЕК и Европейския парламент.

Обяснете на ниво "указание за употреба" как работи КЕП през мобилния телефон?

Д.Н.:

- Съществуват два основни сценария за продукта "Облачен КЕП" - издаване и използване в система. По отношение на първия  засега е реализирана възможността за издаване на Облачен КЕП на физическо лице  на база на притежаван КЕП на смарт карта (в скоро време ще бъде реализиран и сценарий за издаване на Облачен КЕП в B-Trust офис). Предпоставките за първия сценарий са потребителят да има смарт устройство с инсталирано приложение B-Trust Mobile, да притежава квалифициран електронен подпис от B-Trust или друг квалифициран доставчик на удостоверителни услуги. След това процедурата по издаване преминава през следните стъпки: потребителят отваря онлайн магазина на БОРИКА, където се автентицира и подписва с хардуерния си КЕП заявка за издаване на Облачен КЕП и Договор за удостоверителни услуги. Потребителят изтегля, инсталира, инициализира мобилното приложение B-Trust Mobile и с въвеждане на авторизационен код (OTP), получен от приложението в страницата магазина, доказва притежанието на телефона. Следва въвеждане на ПИН (измислен от потребителя) за издавания Облачен КЕП в B-Trust Mobile и процес по генерация на двойка ключове на отдалеченото криптографско устройство и създаване на удостоверение за КЕП. Изпраща се push нотификация към мобилното приложение за успешно издаден Облачен КЕП. Ако push нотификациите на телефона са изключени, потребителят сам може да провери статуса на заявката му.

По отношение на сценариите за използване на Облачен КЕП в дадена система  трябва да се каже, че той може да се използва както за подписване на документи, генерирани или качени в системата, така и за вход в самата система. Самите сценарии за използване са многобройни - в зависимост от нуждите на Доверяващата се страна.

 

Каква е степента на сигурност на новата система?

Д.Н.:

- "Облачен КЕП" е продукт, при чиято архитектура и принципи в разработката са спазени най-високите изисквания за сигурност, характерни и за другите високорискови системи, оперирани от БОРИКА АД. Хардуерните устройства (HSM и сървъри) отговарят на изискванията за предоставяне на услуга за отдалечено подписване с КЕП. Използваните алгоритми за двуфакторна автентикация, защита на мобилно приложение и създаване на подпис от разстояние са сигурни, публични и използвани в редица страни от ЕС.

Кой и как може да издава облачния подпис?

К.Г.:

- Сега издаването на облачен електронен подпис става на базата на съществуващ КЕП на смарт карта, с който клиентът подписва искането за издаване. На следващ етап Облачен КЕП ще може да се издава на място във всички офиси на B-Trust, в това число и местни регистриращи служби (МРС) на партньори на БОРИКА АД.

Ще можем вече да получаваме кредити по телефона?

К.Г.:

- Краткият отговор е "да" и зависи от предложенията и начина на работа на конкретната банка или финансова институция. Има много възможни сценарии, при които "Облачен КЕП" е приложим за идентификация на потребителя и подаването на документи за кредит, като цялата кореспонденция в този процес може да бъде подписана с Облачен КЕП. Други потенциални системи, използващи Облачен КЕП, могат да бъдат тези на банки и финансови институции, телекоми, пенсионниосигурителни дружества, държавната администрация и т.н.

На какъв етап е разработката? Какви са плановете на БОРИКА за пазарна реализация?

Д.Н.:

- В момента се извършват тестове на проекта в продукционна среда. Работим с няколко доверяващи се страни за интеграция с техните системи. Надяваме се интересът към услугата да е голям  поради многобройните предимства, които предоставя. В тази връзка очаква се разрастване на пазара с привличане на нови клиенти, използващи КЕП. Повишаването на сигурността и доверието на доверяващите се страни ще доведе до създаване на нови електронни услуги, изискващи използването на КЕП, с което ще допринесе за разширяването на пазара на КЕП. Поради естеството на различните услуги, използващи КЕП, може клиентите едновременно да притежават картов и Облачен КЕП.  Очакванията са в близката година общият пазар на КЕП да се увеличи с поне 50%, а в бъдеще и с по-големи темпове. От друга страна, обемът на пазара ще се разшири само при поява на услуги, използващи облачен КЕП, в системите на Доверяващите се страни - интернет и мобилни банкирания, системи на телекоми, застрахователни и лизингови дружества.

 

Facebook logo
Бъдете с нас и във