Продолжаем тему QR в качестве электронной подписи: что с этим хорошо и что не так? Ранее мы описали общую ситуацию с ЭП в Республике Казахстан, где ЭП впервые решили полностью заменить QR кодом. На примере Казахстана и рассмотрим вопрос с привлечением мнения местного эксперта.
В конце прошлого года министр цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП) Багдат Мусин сообщил о том, что ЭП устарела и необходимо вводить новые «более удобные» форматы подписания электронных документов. Говоря это, министр утверждал, что буквально вместо ЭП теперь будут использоваться QR-коды.
Что не так с технологией QR-кода?
Владимир Туреханов, эксперт в области информационной безопасности и президент ОЮЛ "Казахстанская ассоциация автоматизации и робототехники", считает, что необходимо оставить как ЭП, работающую через портал NCALayer, так и новый метод подписания документов с помощью QR-кода (кстати, именно пго такому пути пошла Россия).
Фактически, электронная подпись никуда не исчезает. Ее также используют для подписания электронных документов, однако теперь она активируется уникальным QR-кодом. Поэтому утверждение Мусина само по себе неверно.
Туреханов наглядно разобрал за и против работы ЭП через NCALayer и QR-код. Ниже приводим таблицу и пояснения эксперта к ней.
Согласно Туреханову, есть несколько пунктов по которым использование платформы NCALayer обходит QR:
1. Может использоваться на персональном компьютере (не всегда на рабочем месте возможно пользоваться мобильным устройством);
2. Позволяет использовать защищенные носители закрытых ключей ЭЦП (это когда ключи сгенерированы в носителе и никогда не покидают его, а подписание происходит внутри чипа носителя);
3. Может использоваться для подписания электронных документов вне информационной системы;
4. Имеет возможность подписания без подключения к сетям телекоммуникаций.
Вывод прост, несмотря на быстроту и удобство QR-технология не полностью дублирует функции платформы NCALayer. В реальности в обоих случая подписание документа осуществляется ключами электронной подписи. Только в случае NCALayer они генерируются в носителе электронной подписи (например в токене) и никогда не покидают его. При использовании опции QR-кода подписание документа осуществляется через мобильное приложение eGov Mobile. В данном случае может быть задействована биометрия и это менее защищенная и надежная технология.
Согласно ведомственным источникам, в Казахстане уже стала доступна новая опция на портале электронного правительства (egov.kz), в судебном кабинете (office.sud.kz) и на сайте "Отбасы банка" (otbasybank.kz). В ближайшее время возможность подписи ч помощью QR-кода может стать доступной на сайте Минтруда Казахстана (enbek.kz).
Подводя итог, скажем, что QR-код это всего лишь относительно новая (как технология) дополнительная опция, позволяющая оптимизировать ЭДО. Используя QR-код необходимо иметь в виду, что вы подвергаете опасности документы и информацию в них, так как код может быть скомпрометирован, а биометрические данные ненадежный аргумент в информационной безопасности.
Оценили 5 человек
7 кармы