ЭЦП vs QR-подписание. Что лучше?

Владимир Туреханов поделился анализом и критикой по вопросу QR-подписания.

В сети активно обсуждается вопрос нового способа подписания документов. Своим мнением по этому вопросу и аналитикой поделился Владимир Туреханов — один из первых сертифицированных инженеров по сетевым технологиям в Казахстане:

  • "Важно понимать, что в так называемом "QR-подписании" ЭЦП никуда не делась. Электронные документы при "QR-подписании" подписываются ключами ЭЦП, только это делает не NCALayer, а мобильное приложение eGov Mobile".

Делимся текстом его сравнения о преимуществах и недостатках NCALayer и QR ниже в материале.

"Впервые публичное заявление о так называемом "QR-подписании" сделал Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан Багдат Мусин на одной из панельных сессий международного форума о цифровых технологиях и бизнесе Digital Bridge 2022. Далее были более радикальные заявления, вплоть до полного отказа от действующего подхода в подписании электронных документов ключами электронной цифровой подписи (приложение NCALayer).

Важно понимать, что в так называемом "QR-подписании" ЭЦП никуда не делась. Электронные документы при "QR-подписании" подписываются ключами ЭЦП, только это делает не NCALayer, а мобильное приложение eGov Mobile. Разумеется, это если верить предоставленным Министерством цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (МЦРИАП) документам на согласование в Общественный совет МЦРИАП (ОС МЦРИАП) и Национальную палату предпринимателей Республики Казахстан "Атамекен" (НПП).

МЦРИАП и лично Багдат Мусин, по моему мнению, по неизвестной мне причине производят подмену понятий в ряде публикаций:

Опять же, по моему мнению, это введение в заблуждение неограниченного круга лиц с использованием служебного положения.

"QR-подписание" — это подписание электронных документов ключами электронной цифровой подписи, а не какой-то новый метод подтверждения подлинности электронных документов. Т.е. термин "QR-подписание" некорректен, поэтому я везде беру его в кавычки.

Само по себе использование QR-кодов для обеспечения возможности формирования электронной цифровой подписи — полезная вещь, ведущая к упрощению подписания электронных документов в ряде случаев. И, если говорить о "QR-подписании" как о дополнительной возможности, здесь всё хорошо. Если мне не изменяет память, изначально так и было в документах, отправленных на согласование в ОС МЦРИАП и НПП. Откуда по пути взялось "гениальное" решение "похоронить" NCALayer, я сейчас уже не скажу.

Я задаюсь ещё одним вопросом: нет ли превышения полномочий со стороны должностных лиц МЦРИАП в данном решении? По моему мнению, отдельные представители отраслевого регулятора не должны диктовать, какими конкретными техническими подходами могут или не могут формироваться электронные цифровые подписи. Это должно быть отражено в законодательстве нашей страны, а не в единоличном решении чиновника, пусть даже и высокопоставленного.

В конце концов, на реализацию работы информационных систем с NCALayer были потрачены как бюджетные (для государственных), так и частные (для негосударственных) деньги. Как тут с вопросом защиты инвестиций? Как в цитате из эпиграфа?

Но вернёмся к рисунку 1.

Как я уже говорил ранее, в обоих случаях подписание электронного документа осуществляется ключами электронной цифровой подписи. В обоих случаях необходимо устанавливать приложение: да, eGov Mobile не предустановлен на всех смартфонах, если кто не знал. В обоих случаях можно подписывать электронные документы с мобильного устройства. Причём, для варианта NCALayer нет необходимости вносить изменения в действующую логику работы информационных систем, оно и сейчас уже работает, но требуется практическое подтверждение работоспособности решения на устройствах с iOS (в теории, должно работать, просто ещё не проверялось). В обоих случаях для подписания можно ввести код или пароль.

Теперь о различиях. При использовании NCALayer нет возможности использовать биометрию для доступа к защищённой памяти устройства, где хранятся пароли от закрытых ключей ЭЦП. Для многих это будет открытием, но когда считывается лицо или отпечаток пальца пользователя средствами операционной системы устройства, происходит именно это. Вы не подписываете электронные документы своими биометрическими параметрами. Они лишь дают возможность удобным способом получить доступ к паролю от закрытого ключа ЭЦП и автоматически ввести его.

Ну и далее четыре пункта, по которым NCALayer обходит QR:

  • может использоваться на персональном компьютере (не всегда на рабочем месте возможно пользоваться мобильным устройством);
  • позволяет использовать защищённые носители закрытых ключей ЭЦП (это когда ключи сгенерированы в носителе и никогда не покидают его, а подписание происходит внутри чипа носителя);
  • может использоваться для подписания электронных документов вне информационной системы;
  • имеет возможность подписания без подключения к сетям телекоммуникаций.

Как мы видим, "QR-подписание", хоть и добавляет удобства использования, не закрывает все задачи и решение об отказе от NCALayer в его пользу выглядит, по меньшей мере, далёким от профессионального. Логичным было бы использовать его не вместо, а вместе с NCALayer.

Обратите внимание: подписание, проверка, обмен электронными документами — это далеко не только государственные услуги. Это и взаимодействие физических и юридических лиц друг с другом без участия в этом процессе государственных органов.

Например:

  • в производстве — наряд-задания, допуски к выполнению работ, акты выполненных работ (к наряд-заданиям), дефектные акты;
  • в управлении персоналом — трудовые договоры, должностные инструкции (утверждение и ознакомление), инструкции по безопасности труда (утверждение и ознакомление), протоколы по обучению безопасности труда, заявления;
  • в медицине — сигнальные листы, записи в медицинской карте больного, результаты обследований, назначения;
  • для оформления разрешений на внос/вынос материальных ценностей или опасных веществ;
  • подписание протоколов различных заседаний".