Защита личных ключей ЭЦП

Организациям, использующим ЭЦП, следует четко понимать – эпоха хранения личных ключей ЭЦП в копируемых файлах закончилась.

Сегодня необходимо использовать устройства с неизвлекаемыми персональными ключами. Такие устройства генерируют личные ключи внутри себя и хранят их в защищенной долговременной памяти. Личные ключи никогда не покидают устройства и не могут быть считаны из данного устройства никем, включая разработчика и производителя.

Принцип работы устройства: на вход подается электронный документ, а на выходе считывается ЭЦП под этим документом. ЭЦП формируется согласно ДСТУ 4145

Исключение возможности хищения личных ключей ЭЦП существенно ограничивает возможности злоумышленника. Попытка хищения возможна только в онлайне, когда устройство с персональными ключами подключено к работающему компьютеру клиента.

При использовании устройств с неизвлекаемым хранением личных ключей отсекается значительная часть угроз, существенно снижаются риски хищений средств клиентов.

Система «iBank 2 UA» стала первой украинской системой электронного банкинга со встроенной поддержкой устройств неизвлекаемого хранения личных ключей ЭЦП – USB-токенов и смарт-карт «iBank 2 Key».

О USB-токенах и смарт-картах «iBank 2 Key»

USB-токен и смарт-карта «iBank 2 Key» генерируют личные ключи ЭЦП внутри себя, обеспечивают их защищенное неизвлекаемое хранение и формируют ЭЦП под электронными документами внутри устройства согласно ДСТУ 4145.

Поддержка USB-токенов и смарт-карт «iBank 2 Key» обеспечена для всего спектра настольных платформ – Windows, Linux и Mac OS X. Работа USB-токенов и смарт-карт «iBank 2 Key» поддерживается в основных каналах обслуживания корпоративных и частных клиентов системы «iBank 2 UA» – Internet-Банкинг, PC-Банкинг, Корпоративный автоклиент. Также поддерживается работа в АРМах «Центр финансового контроля».

В одном USB-токене или смарт-карте «iBank 2 Key» может храниться до 64-х личных ключей. Возможно хранение личных ключей ЭЦП ответственных сотрудников разных корпоративных клиентов, обслуживаемых в разных банках с разными экземплярами системы «iBank 2 UA».

Обеспечивается одновременная работа сразу с несколькими подключенными к компьютеру USB-токенами и смарт-картами (актуально при работе в ЦФК).

О вариантах исполнения «iBank 2 Key»

Устройство «iBank 2 Key» поставляется в двух вариантах исполнения – USB-токен и смарт-карта. Они функционально идентичны и различаются только электрическим интерфейсом (USB или ISO 7816).

Основным достоинством USB-токена является долговечность, законченность устройства и простота использования.

Главными достоинствами смарт-карты являются компактность, удобство в использовании и хранении, а также наличие большой «рекламной площади».

Дизайн смарт-карты «iBank 2 Key» может быть реализован в соответствии с требованиями банка с целью повышения лояльности и удержания клиентов.

На смарт-карте может быть размещена информация, полезная для клиентов и важная для банка:

  • Логотип и наименование банка
  • Информация о смарт-карте «iBank 2 Key»
  • Ссылка для подключения к системе «iBank 2 UA»
  • Телефон технической поддержки банка

Для работы со смарт-картами «iBank 2 Key» необходим CCID-совместимый картридер.

БИФИТ поставляет банкам CCID-совместимый настольный USB-картридер EZ100PU. Картридер совместим со всеми настольными операционными системами – Windows, Linux, Mac OS X – и не требует установки драйверов.

При использовании клиентом ноутбука бизнес класса внешний картридер может и не потребоваться – во многих современных моделях ноутбуков картридеры для смарт-карт уже встроены.

О переходе на iBank 2 Key

Есть только один действенный способ перевести всех клиентов на iBank 2 Key и полностью исключить риски хищения личных ключей ЭЦП – плановый переход.

Рекламировать iBank 2 Key и предлагать клиентам за дополнительную плату перейти на более защищенное решение на практике оказывается неэффективно.

Большинство клиентов не воспринимает призывы банка повысить свою безопасность и продолжает работать «по старинке», храня свои личные ключи в файлах.

На практике все банки по способу перехода разделились на две группы – «реклама» и «плановый переход».

В первой группе на iBank 2 Key обычно переходит 10..20% от общего количества клиентов, работающих по системе «iBank 2 UA». При этом сохраняется крайне низкий темп перехода клиентов.

В итоге такой «рекламы» у большинства клиентов, работающих «по старинке» с хранением ключей в файлах, сохраняются высокие риски хищений, а у банков – риски имиджевых и финансовых потерь.

Плановый переход радикально меняет ситуацию. Банки не тратят время и деньги на рекламу и призывы к клиентам. Банки принимают принципиальное решение о плановом переходе и в течение 2..4 месяцев полностью переводят всех клиентов, работающих по системе «iBank 2 UA», на USB-токены и смарт-карты «iBank 2 Key».

Банки совершают плановый переход всегда принудительно – всех клиентов другим способом не перевести.

По системе «iBank 2 UA» клиенты информируются о начале планового перехода и о необходимости до указанного срока обязательно посетить банк для получения требуемого количества USB-токенов или смарт-карт.

Первый USB-токен или смарт-карту «iBank 2 Key» банки передают клиентам бесплатно, но при этом увеличивают ежемесячную плату за услуги электронного банкинга на 10..15 грн. Таким образом, банки компенсируют стоимость устройства в течение первого года.

Если клиенту необходимо несколько устройств, он приобретает дополнительные экземпляры у банка.

Переход всех клиентов на USB-токены и смарт-карты «iBank 2 Key» без предоставления выбора «переходить – не переходить» не вносит путаницы и воспринимается пользователями как забота банка о финансовой безопасности его клиентов.

По завершению перехода все без исключения клиенты для работы с системой «iBank 2 UA» используют только USB-токены и смарт-карты «iBank 2 Key».

Риски хищения личных ключей ЭЦП клиентов с этого момента полностью исключены.

В настоящий момент каждый третий банк, использующий USB-токены и смарт-карты «iBank 2 Key», осуществил или принял решение о плановом переводе на них всех корпоративных клиентов.

Под Internet Explorer версии до 6ой включительно, отображение сайта невозможно!
Выбранный браузер не поддерживает современные веб-стандарты и представляет угрозу вашей безопасности.