Понятие электронной цифровой подписи (ЭЦП) как криптографического средства подтверждения целостности контента стало известно в России с конца 1990-х годов. Первоначально, несмотря на удобство использования данной технологии, она оказалась практически невостребованной из-за отсутствия законодательной базы. Только в 2002 году цифровая подпись законодательно была признана единственным аналогом собственноручной подписи, который разрешалось использовать в электронном документе. На тот момент на российском рынке было уже достаточно много как зарубежных, так и отечественных сертифицированных средств ЭЦП. Однако все они работали через криптопровайдеров (криптопровайдер в данном контексте – это набор библиотек, реализующий интерфейс Microsoft CryptoAPI, для ряда низкоуровневых алгоритмов), которые сильно отличались в разных регионах. Любое встраивание ЭЦП требовало работы команды квалифицированных программистов. Иногда встраивание приходилось проводить на территории заказчика, так как законодательством некоторых стран, например, Белоруссии, запрещался вывоз криптопровайдеров за пределы государства.
Поскольку бизнес компании ЭОС охватывает практически все регионы России, а также некоторые страны ближнего зарубежья, перед компанией встала задача разработки такого продукта, который обеспечил бы поддержку любого криптопровайдера.
Как рассказал руководитель направления информационной безопасности компании ЭОС Андрей Шаров, в результате был выполнен модуль, который работает не на уровне криптографии, а на уровне действия – подписания документов. Со стороны криптопровайдера модуль обеспечивал простые интерфейсы, что облегчало разборку, обеспечивало правильность вызова и последовательности операций. Решение позволяло заказчику или настройщикам, с одной стороны, работать с функциональным API, а с другой – обеспечивало самостоятельное встраивание произвольных средств криптозащиты для всех криптопровайдеров, соответствующих требованиям Microsoft.
Таким образом, прообраз «КАРМА» как инструментальное средство для системы «Дело», так называемая опция «ЭЦП и шифрование», вошла в СЭД «Дело» версии 8.8.0 в 2006 году. Изначально модуль предназначался только для системы «Дело», в том числе интернет-модуля системы «Дело» – «Дело WEB», в силу чего на какое-то время ЭОС оказалась единственной фирмой, реализовавшей поддержку ЭЦП и шифрования для веб-систем.
В дальнейшем в ЭОС решили, что этот механизм можно использовать и в других областях: например, опция была успешно интегрирована с «1С: Бухгалтерия». В 2008 году модуль был выделен в отдельный продукт. Отличие продукта от опции заключалось в основном в том, что при оформлении модуля как самостоятельного продукта решение получило документацию с примерами использования и имя «КАРМА» – «Криптографическое Автоматическое Рабочее Место Адаптируемое». Кроме того, была несколько улучшена графическая оболочка, доработана поддержка некоторых дополнительных реквизитов цифровой подписи. Таким образом, система «КАРМА» представляет собой продукт, предназначенный для реализации в прикладном программном обеспечении функций криптографической защиты информации и применения электронной цифровой подписи, а также для непосредственной защиты файлов и документов от несанкционированного доступа и изменения с применением средств криптографической защиты информации.
«КАРМА» стала частью не только системы «Дело», но и других продуктов ЭОС – eDocLib, EOS for SharePoint, распределенной кадровой системы. Начались и отдельные ее поставки. Разработку ЭОС смогли использовать те организации, которые прежде клиентами ЭОС не являлись и для автоматизации документооборота и кадровых задач используют решения других разработчиков. «Интерес к решению растет, и похоже, что экономический кризис на этом процессе никак не отражается», – отмечает Андрей Шаров.
Еще в 2007 году специалисты ЭОС начали серьезно изучать вопрос, почему ЭЦП не используется так широко, как того заслуживает. Многочисленные обсуждения уходили в сторону неэффективного законодательства, хотя, казалось бы, в нем нет серьезных противоречий относительно ЭЦП, хотя нет и жестких регулирующих моментов. В ЭОС пришли к выводу, что главная причина непопулярности ЭЦП кроется в том, что заказчики не обладают достаточным пониманием, зачем, куда и как ЭЦП встраивать и не доверяют ей. Недоверие рождается отчасти потому, что в ЭЦП нет механизма человеческой интерпретации – она представляет собой лишь набор символов, с которыми может работать и автоматизированная система. Оказалось, что западный рынок тоже не пестрит решениями, доносящими до пользователя ЭЦП в понятной форме. Cпециалисты ЭОС решили довести ЭЦП до удобного человеку восприятия. Цифровая подпись внутри себя позволяет хранить любую информацию, поэтому было решено поместить в нее изображение привычного человеку росчерка на бумаге. Это изображение защищено средствами ЭЦП, оно не модифицируется, при этом не теряется возможность обработки ЭЦП в автоматизированной системе.
С выпуском второй версии «КАРМА» в апреле 2009 года наличие такого факсимиле стало основной яркой чертой решения. Изображение может быть сформировано непосредственно в момент подписания при помощи планшета или тач-скрин либо загружено из файла. При проверке подписи изображение может быть выведено на экран или экспортировано из ЭЦП в виде графического файла (например, для вставки в распечатываемый документ). Кроме того, в новой версии системы была существенно упрощена работа с графической оболочкой, расширены возможности и добавлены новые механизмы работы с ЭЦП. «В новой версии упрощена работа с файлами, интерфейс позволяет достичь исполнения действия через меньшее число процедур – например, нажатием одной кнопки можно зашифровать, подписать и отправить файл. Продукт научился формировать зашифрованные и подписанные сообщения», – поясняет Андрей Шаров. Во вторую версию системы также включен механизм получения данных об области применения сертификата открытого ключа подписи при проверке ЭЦП при работе не только с локальными хранилищами сертификатов пользователей, но и с удаленными (это реализовано в рамках задач системы «Дело»).
«Рынок обнаружил к «КАРМА» версии 2.0 большой интерес. Мы проводили предварительный семинар с показом возможностей системы. Думаю, что к осени организации, которые сейчас используют ЭЦП, введут в свою работу «КАРМА» для того, чтобы наглядно предоставлять информацию для людей, далеких от технологий. Кроме того, как выяснилось в процессе тестирования продукта, он существенно облегчает работу экспедиторов. Если прежде графика подписи находилась в самом документе и уже на него накладывалась ЭЦП, которая в дальнейшем могла быть отделена от документа и обрабатывалась отдельно, то теперь подпись «целиковая» – визирующее лицо подписывает электронный документ на планшете, и в тот же момент автоматически создается ЭЦП, имеющая юридическую силу», – рассказывает Андрей Шаров.
«КАРМА» относится к числу недорогих продуктов, она дешевле решений по ЭЦП, предлагаемых конкурентами ЭОС. На сайте ЭОС «КАРМА» находится в открытом виде, тестовая версия пригодна для использования, но имеет некоторые ограничения по функционалу. Например, она работает с единственным провайдером, встроенным в Windows, и только с личным хранилищем сертификатов на компьютере пользователя. Если этого недостаточно, пользователь может приобрести за 700 рублей лицензию на использование полнофункциональной версии «КАРМА» на одном рабочем месте. Пользователи первой версии «КАРМА» могут обновить версию бесплатно.
В планах по развитию «КАРМА» – поддержка расширенных форматов цифровой подписи, технически позволяющих продлить срок жизни подписи независимо от срока жизни сертификата. Что касается развития юзабилити, то оно будет происходить в зависимости от реакции и пожеланий пользователей. В разработке – реализация работы с ЭЦП стандарта CaDES для всех поддерживаемых криптопровайдеров.