Безопасность Аsan İmza

Идентификационная информация и цифровая подпись защищены технологией безопасности высокого уровня и соответствующими пин-кодами. Мобильный телефон одновременно служит и смарт-картой для электронной подписи (картой e-İmza) и устройством для чтения карт.

Система Asan İmza (Mobile ID) соответствует требованиям закона о цифровой подписи и информации, а технические и организационные требования соблюдаются так же строго, как при выпуске смарт-карты для электронной подписи e-İmza.

В системе Asan İmza (Mobile ID) нет базы данных с паролями, которую можно взломать. Идентифицирующая информация постоянно находится в кармане пользователя, а не хранится в удаленной базе данных. Больше того, Asan İmza является единственным в Азербайджане защищенным средством мобильного подтверждения цифровой подписи.

В настоящее время существуют три основных вида технических решений для мобильного подтверждения цифровой подписи: для сервера, для смартфона и для сим-карты.

Самые простые решения – для сервера. Все ключи подписи хранятся на большом сервере, обслуживанием которого занимается третья сторона. Чтобы подписать документ, пользователь отправляет на сервер смс с паролем. Если пароль подходит, сервер подписывает документ. Это очень дешевая в установке система, и она работает на всех телефонах. С другой стороны, она очень ненадежная. Пароль отправляется простым текстовым сообщением! У пользователя очень мало возможностей по управлению частными ключами, и во многих странах запрещается использовать такие системы цифровой подписи при взаимодействии с государственными органами.

В системах для смартфона используется специальное приложение, которое устанавливают непосредственно в телефон для хранения в нем ключей и подтверждения подписи. Фактически безопасность такой системы лишь немногим выше, чем у предыдущей, но и она снижается с появлением все большего количества вредоносного ПО для смартфонов, особенно, работающих на Android. Поскольку личные ключи не имеют аппаратной защиты, на такую систему невозможно получить сертификат соответствия стандарту ISO 15408 («Общие критерии»), и ей невозможно обеспечить уровень безопасности EAL4+, необходимый системам, которые используются в государственных организациях. Поэтому запрещено использовать такую технологию в работе государственных служащих и для взаимодействия с государственными органами. Наконец, для такой системы необходимо, чтобы у пользователя был смартфон. Хотя смартфоны и приобретают популярность, это условие остается ненужным препятствием на пути развития такого важного сервиса как цифровая подпись.

Asan İmza относится к решениям на основе сим-карты. Это самые лучшие решения, так как их легко использовать на большинстве телефонов и обеспечить высокую степень безопасности на уровне EAL4+, а иногда даже до EAL5+. В таких системах ключи подписи хранятся на защищенной сим-карте, установленной в телефоне. Эти ключи защищены отдельными пин-кодами, так что пользователь держит их под полным контролем. То есть, выполняются все требования закона, и это решение можно использовать при взаимодействии с государственными органами. Вся информация, связанная с цифровой подписью, хранится на сим-карте и может быть использована на любом телефоне, и обычном, и смартфоне. Такую систему труднее развернуть, так как требуется участие и операторов мобильных систем связи, однако преимущества значительно перевешивают этот недостаток.