Trong buổi phát sóng mới nhất của dự án AM Live TV, các chuyên gia đã thảo luận về việc sử dụng chữ ký điện tử trên điện thoại thông minh và máy tính bảng. Bây giờ có thể sử dụng nó ở đâu và nó an toàn đến mức nào?
- Giới thiệu
- Công nghệ chữ ký điện tử di động
- Rủi ro và lợi ích của chữ ký điện tử di động
- Dự báo phát triển điện tử di động
- Kết quả phát sóng
- kết luận
Giới thiệu
Chữ ký điện tử di động an toàn đến mức nào? Những rủi ro nào phát sinh từ việc sử dụng nó và chúng được giảm thiểu như thế nào? Các chuyên gia đã thảo luận về tương lai của thị trường và các lĩnh vực áp dụng chữ ký đó.
Hình 1. Các chuyên gia trong ngành về dự án truyền hình AM Live
Diễn giả trực tiếp:
- Dmitry Gorelovgiám đốc thương mại, công ty Aktiv;
- Stanislav Smyshlyaev, Tiến sĩ Vật lý và Toán học Sc., Phó Tổng Giám đốc, CryptoPro;
- Anton MeluzovPhó Tổng Giám đốc RTLabs;
- Denis KalembergĐồng sáng lập và Giám đốc điều hành, SafeTech;
- Dmitry GusevPhó Tổng Giám đốc InfoTeKS.
Người lãnh đạo và người điều hành cuộc thảo luận – Ilya ShabanovTổng Giám đốc AM Media.
Công nghệ chữ ký điện tử di động
Chữ ký điện tử di động là gì và tại sao cần thiết?
Ngày nay, công nghệ chữ ký điện tử di động ngày càng trở nên phổ biến. Tính đến cuối tháng 10 năm 2023, 19 triệu chứng chỉ chữ ký điện tử (ES) đủ điều kiện đã được cấp ở Nga. Vậy chữ ký số di động là gì?
Điều rất quan trọng là phải hiểu rằng khóa là thông tin được bảo vệ, chứng chỉ là tài liệu do trung tâm chứng nhận cấp xác nhận quyền sở hữu khóa của một người cụ thể và bản thân chữ ký điện tử được liên kết với một tài liệu cụ thể.
Dmitry Gusev:
—Thuật ngữ “chữ ký điện tử di động”KHÔNG. Có một chữ ký từ xa. Đây là một cơ chế mà người dùng phải có bên mình và cho phép anh ta ký các văn bản theo quy định của pháp luật. Chữ ký như vậy được công nhận trên cơ sở giống như chữ ký viết tay. Ngày càng có nhiều dịch vụ yêu cầu chữ ký điện tử.
Dmitry Gusev, Phó Tổng Giám đốc, InfoTeKS
Theo Stanislav Smyshlyaev, chữ ký từ xa là một trong những công nghệ cho phép bạn thực hiện chữ ký điện tử bằng thiết bị di động. Chữ ký như vậy được lưu trữ ở phía máy chủ và việc truy cập vào nó được thực hiện bằng các công cụ bảo vệ thông tin mật mã thông qua thiết bị di động. Việc người dùng lưu trữ khóa của mình ở đâu không quan trọng. Smyshlyaev lưu ý rằng anh ấy cần truy cập nhanh vào nó và dễ sử dụng.
Điều quan trọng là doanh nghiệp phải có ứng dụng riêng có chữ ký di động. Denis Kalemberg cho biết thêm, điều quan trọng đối với các công ty là chữ ký như vậy phải tuân thủ các yêu cầu pháp lý. Theo ông, khi nói đến chữ ký điện tử di động, chữ ký này bao gồm cả chữ ký đủ tiêu chuẩn và chữ ký không đủ tiêu chuẩn.
Denis Kalemberg, đồng sáng lập và CEO, SafeTech
Đối với người dùng bình thường, một ứng dụng phổ thông sẽ phù hợp hơn, vì anh ta không cần phải nhớ các phím được đặt trên phương tiện nào và trong ứng dụng nào. Điều này đóng một vai trò quan trọng nếu thiết bị bị mất hoặc quyền truy cập vào thiết bị bị xâm phạm. Anton Meluzov lưu ý rằng không cần phải thu hồi các chứng chỉ khác nhau.
Phương pháp lưu trữ khóa
Dmitry Gorelov:
— Cơ chế lưu trữ khóa có thể được chia thành phân tán (lưu trữ trên thiết bị di động) hoặc sử dụng phương tiện nước ngoài (ví dụ: thẻ NFC). Bây giờ chúng ta có thể sử dụng một thiết bị để áp dụng chữ ký điện tử trên cả máy tính và thiết bị di động. Điều này mở rộng lĩnh vực ứng dụng chữ ký như vậy.
Stanislav Smyshlyaev:
— Có một công nghệ liên quan đến việc phân phối niềm tin vào khóa giữa thiết bị và máy chủ. Việc lưu trữ khóa trên máy chủ gắn liền với sự tin cậy vào máy chủ đó. Lựa chọn thay thế — Đây là cách lưu trữ hoàn toàn chìa khóa trên điện thoại. Tuy nhiên, virus trên thiết bị có thể chuyển key này cho bên thứ ba. Giải pháp mà các nhà cung cấp Nga đang phát triển chính là phân phối niềm tin, tức là thông tin cho phép bạn tạo chữ ký được lưu trữ trên điện thoại, nhưng vẫn chưa đủ và cần phải sử dụng thông tin được lưu trữ trên điện thoại. máy chủ. Việc truy cập vào nó được thực hiện thông qua xác thực bổ sung, ví dụ như dưới dạng mật khẩu. Bạn cũng có thể mã hóa khóa ở phía máy chủ. Trong những trường hợp như vậy, tính bảo mật của khóa tăng lên đáng kể và rủi ro — đang giảm dần.
Stanislav Smyshlyaev, Tiến sĩ Vật lý và Toán học Sc., Phó Tổng Giám đốc, CryptoPro
Theo khảo sát người xem truyền hình, 33% muốn ký tài liệu điện tử trên điện thoại thông minh của họ. 32% số người được hỏi đã sử dụng tùy chọn này. 20% muốn sử dụng nhưng nghi ngờ về độ an toàn của nó. 10% người xem không thấy cần thiết phải có chữ ký như vậy, 3% không trả lời được câu hỏi này. 2% còn lại cho rằng chữ ký điện tử sử dụng smartphone quá nguy hiểm.
Hình 2. Bạn có muốn ký các tài liệu điện tử trên điện thoại thông minh của mình không?
Rủi ro và lợi ích của chữ ký điện tử di động
Lưu trữ khóa
Dmitry Gusev lưu ý có những quy tắc bảo mật mà các nhà cung cấp phải tuân thủ. Ông giải thích rằng, như thường lệ, khóa được đặt trong một thùng chứa (một định dạng lưu trữ dữ liệu tiêu chuẩn được sử dụng để trao đổi khóa giữa các công ty khác nhau). Các vấn đề bảo mật quan trọng trở nên nghiêm trọng hơn khi các nhà phát triển sử dụng thư viện tiền điện tử. Những ứng dụng như vậy hiếm khi được chứng nhận và thường thì các khóa được lưu trữ trong phạm vi công cộng.
Các nhà phát triển nên áp dụng cách tiếp cận trong đó các khóa không thể tháo rời và không thể tháo rời. Sau đó, bạn có thể đảm bảo an toàn cho người dùng.
Các chuyên gia lưu ý rằng các nhà sản xuất chi một số tiền khổng lồ để người dùng không nhận thấy mọi thứ hoạt động như thế nào (nghĩa là sao cho thuận tiện, nhanh chóng và an toàn cho họ).
30% số người được hỏi đều coi lựa chọn chấp nhận được nhất là lưu trữ khóa trong một ứng dụng di động đặc biệt (theo kết luận của FSB của Nga) và trên mã thông báo hoặc thẻ thông minh có NFC. 18% trả lời “bằng token” và 10% trả lời “trên máy chủ trên đám mây”. 8% không tìm được câu trả lời phù hợp cho mình, 4% người xem còn lại trả lời “trên SIM (về lâu dài)”.
Hình 3. Lựa chọn lưu trữ chìa khóa điện tử nào được chấp nhận nhất xét từ quan điểm cân bằng giữa sự tiện lợi và bảo mật?
Bảo mật điện tử di động
Anton Meluzov lưu ý rằng điều quan trọng cần lưu ý là việc nhận dạng người dùng diễn ra trong một số giai đoạn: kiểm tra mật khẩu để truy cập khóa, nhận dạng khi nhận chứng chỉ và phê duyệt hoạt động từ máy chủ. Đồng thời, công nghệ Face ID trên thiết bị di động giúp giảm nguy cơ bị hack gần như bằng không.
Denis Kalemberg đã chỉ ra rằng liên kết yếu nhất trong chữ ký điện tử là người dùng. Mọi người chuyển token cho bên thứ ba. Đồng thời, không có vấn đề an ninh toàn cầu nào, có những vấn đề riêng tư thường xuyên được giải quyết bởi các nhà cung cấp và cơ quan quản lý, các chuyên gia kết luận.
Như Ilya Shabanov đã lưu ý, khi sử dụng mã thông báo có NFC, có khả năng thiết bị bị mất hoặc bị đánh cắp. Những rủi ro này có thể được giảm thiểu bằng mã PIN duy nhất, cũng như bằng cách loại trừ việc chuyển mã thông báo của bạn cho bên thứ ba.
Ilya Shabanov, Tổng Giám đốc AM Media
Các chuyên gia lưu ý rằng nguy cơ xâm phạm các giao dịch tài chính khi giành quyền truy cập bằng mã SMS lớn hơn nhiều so với khi sử dụng chữ ký điện tử. Ít nhất, thị trường chưa từng nghe đến những trường hợp như vậy.
Denis Kalemberg lưu ý ngày nay, người dùng sử dụng chữ ký điện tử để thực hiện hầu hết các giao dịch về tài chính và bất động sản.
Dmitry Gusev:
— Nếu khách hàng sử dụng chữ ký được chứng nhận thì anh ta có thể không nghĩ đến vấn đề bảo mật. Các nhà cung cấp đã giải quyết những vấn đề này. Những sản phẩm như vậy được sản xuất bởi InfoTecs và các công ty khác của Nga.
Theo khảo sát của người xem AM Live, 29% chưa sẵn sàng tin tưởng vào chữ ký điện tử di động cho các giao dịch bất động sản. 10% số người được hỏi sẽ không tin tưởng cô ấy có quyền tiếp cận các dịch vụ của chính phủ và các giao dịch tài chính, 9% lo sợ về dữ liệu y tế. 27% chưa sẵn sàng tin tưởng bất kỳ điều nào ở trên. 15% không tìm được câu trả lời phù hợp cho mình.
Hình 4. Bạn chưa sẵn sàng giao phó những thao tác nào cho chữ ký điện tử di động?
Rủi ro mất thiết bị di động
Nếu thiết bị di động bị mất hoặc bị đánh cắp, trước tiên người dùng cần thu hồi chứng chỉ chữ ký điện tử của họ. Để thực hiện thao tác trên thiết bị, kẻ tấn công phải biết mật khẩu của vùng chứa khóa, bắt đầu quy trình ký hợp pháp (biết mật khẩu của Dịch vụ Nhà nước để xác thực hai yếu tố) đồng thời tự mở khóa thiết bị.
Các chuyên gia cũng nhấn mạnh sự cần thiết phải có mật khẩu khác nhau cho các thiết bị và dịch vụ.
Theo khảo sát người xem AM Live, phần lớn người được hỏi (41%) sợ bị truy cập trái phép vào điện thoại thông minh và thiết bị điện tử của họ. 21% sợ mất điện thoại thông minh, 14% số người được hỏi sợ mất nhà mạng có khóa chữ ký số và con số tương tự sợ sao chép điện thoại thông minh hoặc nhà cung cấp chữ ký số. 6% sợ điện thoại thông minh của họ bị hack. 4% còn lại chọn “khác”.
Hình 5: Tình huống nào bạn sợ nhất khi sử dụng chữ ký di động?
Ưu điểm của việc sử dụng chữ ký điện tử di động
Theo Ilya Shabanov, ưu điểm chính của chữ ký điện tử là sự tiện lợi. Thao tác có thể được thực hiện bằng điện thoại thông minh, cho phép bạn ký tài liệu từ mọi nơi: từ taxi, từ nhà, trên đường phố, v.v. Máy tính xách tay không mang lại sự tự do như vậy.
Thông thường mọi người cũng lo ngại về vấn đề đăng nhập khi không có mạng hoặc kết nối Internet kém. Vấn đề ở đây không nằm ở chữ ký mà nằm ở khả năng hiển thị của tài liệu hoàn chỉnh, có thể bao gồm nhiều trang. Có nhiều giải pháp để thực hiện việc này nhưng không phải tất cả các định dạng đều có thể hiển thị được. Stanislav Smyshlyaev lưu ý hiện nay các nhà cung cấp đang làm việc theo hướng này.
Đối với một nửa số người xem, khi sử dụng ứng dụng di động được chứng nhận để làm việc với chữ ký số, tính bảo mật của việc lưu trữ khóa là rất quan trọng. 20% ghi nhận tính dễ sử dụng và 17% ghi nhận khả năng khóa ngay lập tức nếu thiết bị bị mất. 7% số người được hỏi trả lời “khác” và 3% mỗi người lưu ý sự hiện diện của tất cả các chứng chỉ cần thiết của chính phủ và khả năng sử dụng khi kết nối mạng yếu.
Hình 6: Khi sử dụng ứng dụng chữ ký di động được chứng nhận, điều gì là quan trọng nhất đối với bạn?
Dự báo phát triển điện tử di động
Anton Meluzov:
— Công nghệ chữ ký di động đã phát triển vượt bậc trong vài năm qua. Trước đây, chúng chỉ được sử dụng bởi một nhóm người hạn chế, nhưng giờ đây nó đã trở thành một thông lệ rộng rãi. Vì vậy, triển vọng chữ ký điện tử sẽ ngày càng bao trùm nhiều lĩnh vực hơn. Nhiệm vụ trọng tâm những năm tới — đó là sự tích hợp của nhiều hệ thống khác nhau và giải pháp cho vấn đề chứng nhận một quy trình chứ không phải một sản phẩm.
Anton Meluzov, Phó Tổng Giám đốc, RTLabs
Denis Kalemberg:
— Đối với chúng tôi, lĩnh vực hứa hẹn nhất của việc sử dụng chữ ký điện tử di động hiện nay là — nó là sự thay thế cho những cách thực hiện giao dịch ngân hàng lỗi thời, không an toàn. Điều này áp dụng cho các tổ chức ngân hàng, môi giới và tín dụng vi mô. Lĩnh vực gian lận được tạo ra bởi các công nghệ lạc hậu là rất lớn và cơ quan quản lý hiện đang rất chú ý đến nó. Vì vậy, chúng tôi nhận thấy triển vọng lớn ở phân khúc này. Việc sử dụng chữ ký trong quản lý tài liệu điện tử cổ điển cũng sẽ phát triển.
Dmitry Gorelov:
— Tôi thấy sự phát triển của việc sử dụng chữ ký điện tử di động trong lĩnh vực năng lượng, cũng như việc tạo ra chữ ký phổ quát. Nhiệm vụ của chúng tôi là mở rộng lĩnh vực ứng dụng chữ ký như vậy và làm cho hoạt động của các cơ chế này trở nên dễ dàng và nhanh chóng.
Dmitry Gorelov, giám đốc thương mại, công ty Aktiv
Dmitry Gusev:
— Chúng tôi, với tư cách là nhà cung cấp, trước hết tự mình nhận thấy một nhiệm vụ quan trọng như hạ thấp ngưỡng cho các nhà phát triển ứng dụng tham gia vào lĩnh vực chữ ký điện tử. Chúng tôi muốn các nhà phát triển cảm thấy thoải mái khi sử dụng mật mã và làm việc với nó một cách dễ dàng.
Stanislav Smyshlyaev:
— Chúng tôi sẽ tiếp tục cải thiện tính bảo mật của khóa chữ ký điện tử trên thiết bị di động. Chúng tôi cũng đang nỗ lực hướng tới sự chuyển đổi liền mạch từ công nghệ cũ sang chữ ký điện tử.
Kết quả phát sóng
Theo kết quả khảo sát người xem cuối cùng, 41% quyết định thử nghiệm và sử dụng chữ ký điện tử di động. 33% bị thuyết phục về tính hữu dụng và an toàn của chúng. Đồng thời, 13% số người được hỏi vẫn không tin vào hiệu quả của một công cụ như vậy và 8% cho rằng nó dư thừa đối với bản thân họ. 5% số người được hỏi không hiểu chủ đề thảo luận.
Hình 7. Bạn nghĩ gì về chữ ký email trên thiết bị di động sau khi phát sóng?
kết luận
Công nghệ chữ ký điện tử di động đã trở nên phổ biến. Nhiều người dùng lo ngại về tính bảo mật của công cụ này. Các nhà cung cấp, cùng với các cơ quan quản lý, đang nỗ lực làm việc theo hướng này, giải quyết toàn bộ các vấn đề. Liên kết yếu nhất trong chữ ký điện tử di động vẫn là con người do có nguy cơ chuyển chìa khóa hoặc thiết bị cho bên thứ ba. Phần còn lại được san bằng bởi các nhà cung cấp. Do đó, các chuyên gia khuyên trong mọi trường hợp không nên chuyển thiết bị hoặc chìa khóa của bạn cũng như đặt các mật khẩu khác nhau cho các dịch vụ khác nhau.
Chữ ký số di động sẽ phát triển, bao phủ ngày càng nhiều lĩnh vực, đồng nghĩa với việc nó sẽ càng trở nên tiện lợi và an toàn hơn.
Dự án truyền hình AM Live sẽ sớm một lần nữa tập hợp các chuyên gia trong ngành tại trường quay để thảo luận về các chủ đề hiện tại trên thị trường bảo mật thông tin Nga. Luôn cập nhật các xu hướng và sự kiện quan trọng. Để thực hiện việc này, hãy đăng ký kênh của chúng tôiKênh Youtube. Hẹn gặp lại!
