13 сентября 2017

Безопасная аутентификация на госсайтах


Провайдер ID.me начал предоставлять доступ к сайту электронного правительства США с использованием ключей FIDO U2F.

Во всех развитых странах Европы и Северной Америки есть сайты электронного правительства, где каждый гражданин может получать госуслуги, не выходя из дома. Например, в Великобритании вы можете зарегистрировать свою фирму на сайте электронного правительства без необходимости даже один раз прийти куда-либо с бумажными документами. В некоторых странах ЕС вы можете подать документы для поступления в ВУЗ, также без посещения этого учебного заведения. По этой причине многие граждане малых стран ЕС, подают документы сразу во все приличные ВУЗы Германии и Британии.

Вместе с этим, уже более 10 лет назад была отмечена проблема с защитой персональных аккаунтов граждан на сайтах электронных правительств.


Первой полностью работающей реализацией системы аутентификации граждан на госсайтах защищённой аппаратными ключами, стала всеевропейская система Stork. А её новая редакция Stork 2.0 вообще вывела европейский проект на недосягаемую для других стран высоту технического совершенства.


Тем не менее, проект Stork, несмотря на всё своё техническое превосходство над аналогами, имеет один, но очень существенный недостаток, а именно, все участвующие в нём страны должны на законодательном уровне договориться об общих правилах поведения.

Ввиду вышеизложенного, страны за пределами ЕС в нём не рассматриваются с самого начала, а ведущие страны внутри ЕС стали активно или пассивно бойкотировать проект Stork (Великобритания начала свой проект безопасности госсайтов на основе технологий Google, совместно с США ещё до Brexit, Германия решила не отказываться от своих экономических привилегий и к тому же подгонять свои новые электронные паспорта под стандарт Stork, а Франция ничего не сказала, но просто дружит с Германией и потому пассивно саботирует за одно с ней).

В результате, большинство стран Евросоюза всё же внедрили у себя аутентификацию госсайтов на базе Stork. Особенно сильно в этом продвинулась Эстония, являющаяся одним из самых активных сторонников и разработчиков проекта Stork, однако ввиду того, что современное экономическое положение подразумевает в большинстве случаев взаимную аутентификацию между гражданами малых стран ЕС и госсайтами ведущих стран ЕС (для открытия там бизнеса, поиска работы, поступления в ВУЗы, оформления медстраховки и т.д.), то пользоваться Stork можно лишь в редких случаях, например если вы налаживаете бизнес между Эстонией и Австрией (ещё один большой сторонник проекта Stork).


Тем временем, Google (основной драйвер стандарта FIDO U2F) не стал придумывать велосипед, а предложил госорганам стандарт FIDO U2F в качестве уже хорошо опробированного решения, которое по числу активных пользователей уже превосходит систему аутентификации Stork в разы, хоть и уступает по функциональности.

В итоге, правительство Великобритании в прошлом году внедрило аутентификацию на сайте электронного правительства с помощью FIDO U2F, а теперь к нему присоединился сайт электронного правительства США. Более того, они вместе (Британия и США) уже второй год приглашают Германию присоединиться к этому стандарту, а Google, в свою очередь продвигает для немцев G Suite for Government.

В общем, если Германия согласиться на внедрение у себя решений Google для электронного правительства, то полагаю они станут стандартом де-факто и для остальных стран ЕС. 

P.S. С технической точки зрения, я крайне положительно оцениваю работу проделанную Австрией, Испанией и Эстонией по проекту Stork. Вы сделали действительно хорошую вещь. Однако в таких вещах, главное сначала со всеми договориться, а уже потом программы писать, иначе, всё придётся переделывать заново.
Отправить комментарий