WO2020167166A1 - Способ защиты электронного документа от подмены при его подписании - Google Patents
Способ защиты электронного документа от подмены при его подписании Download PDFInfo
- Publication number
- WO2020167166A1 WO2020167166A1 PCT/RU2020/000065 RU2020000065W WO2020167166A1 WO 2020167166 A1 WO2020167166 A1 WO 2020167166A1 RU 2020000065 W RU2020000065 W RU 2020000065W WO 2020167166 A1 WO2020167166 A1 WO 2020167166A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- trusted device
- code
- user
- image
- electronic document
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Definitions
- the invention relates to the electronic industry, in particular to paperless document management technologies and in the financial sector, in particular in remote banking systems.
- EDS electronic digital signature
- the disadvantage of an electronic digital signature is the difficulty of creating a trusted environment when signing electronic documents, especially when it comes to information containing legal facts or payment details.
- the trusted environment must ensure that the creation of an electronic digital signature for an electronic document takes place in a trusted system that includes hardware and software. For this, it is necessary to use a certified computer and software, with the help of which it is supposed to carry out the procedures for creating and verifying an electronic digital signature. At the same time, it is impossible to allow the computer to connect to non-certified resources on the public network, run non-certified software on the computer, or transfer the computer into the wrong hands. Violation of these conditions creates potential threats:
- USB-over-IP USB-over-IP
- This threat is also typical for the so-called "cloud" signature, when the secret key is located on a remote certified trusted server and the procedure for signing an electronic document is also carried out on the side of this server.
- an attacker can take control of a user's computer in order to display one document on the screen, and send another, forged document to a trusted server for signing.
- An analogue is the invention "a method of signing documents with an electronic analog-digital signature and a device for its implementation" - RF patent .N 3398334, which allows signing documents with an electronic analog-digital signature, without prior generation of personal electronic digital signatures of users.
- the identification of the user who signed such an electronic document is carried out according to the user's biometric data, which become an integral part of this electronic document only and which cannot be inserted into another electronic document of a similar format.
- the closest analogue is a device of the TrustScreen class: an AGSES identification card produced by AGSES International General Agency GmbH: http://www.agses.net.
- This card is an external trusted device with a user identification module and a module for optical input from the screen of an untrusted device of the check mark of an electronic document to be signed in the form of a "running" barcode.
- the AGSES biometric identification card is designed to provide strong authentication and confirmation of transactions in various information systems.
- the key features of the device are the possibility of biometric identification of the cardholder and the optical interface, which is a one-way communication channel between the computing system and the AGSES card.
- this one-way optical channel does not guarantee that it is impossible to transfer fake data from an untrusted device to a trusted device in the form of an AGSES card. it can be under the control of an attacker, and he is able to replace the check mark of an electronic document with a fake one, while the user will be shown the correct electronic document on the screen and the user will not be able to determine the substitution.
- the objective of the present invention is to create a method for protecting an electronic document from substitution when it is signed using an external trusted device, which will eliminate this vulnerability and allow you to safely sign and view electronic documents directly from any computer, including an untrusted computer.
- the external trusted device 1 (Fig. 1) consists of a microcontroller 2 and associated memory 3 and a communication module 4 with an untrusted user device 5. Also, the external trusted device 1 has an interactive module 6 for interacting with a user. In particular, this can be button 7 and the simplest LED indicator 8.
- Microcontroller 2 contains the program code for data processing, in particular:
- microcontroller 2 must be able to calculate the hash of an electronic document and store it in memory 3.
- the method of protecting an electronic document from substitution when it is signed using an external trusted device works as follows.
- the user sees an electronic document on the monitor screen of an untrusted device 5. It makes sure that an external trusted device 1 is connected to the untrusted device 5 via a wireless communication channel through the information input module 4.
- the user through the client program interface on the untrusted device 5 sends an electronic document for signing.
- the electronic document in the client program is converted into an image, for example, in png format.
- the electronic document and its image are transferred to the external trusted device 1 through the information input module 4.
- an image layer is generated in the form of a protective mesh 9 with a random pattern on a transparent background.
- a grid resembles a guilloche or tangier grid.
- Each line can be generated based on a certain mathematical function with random parameters. The number and density of lines can also be randomly set within predefined ranges.
- an authenticity code 11 is generated and another layer is created images also on a transparent background containing the given authenticity code 11.
- the authenticity code 11 is stored in memory 3.
- microcontroller 2 After that, in microcontroller 2, all three layers of images: with the text of the electronic document, with a protective mesh and an authenticity code are superimposed on each other to obtain a file with a single image. Thanks to the transparent background, all three images will be visible in the resulting single image.
- the hash of the electronic document is calculated and stored in memory 3.
- This stage can be implemented in several ways without changing the essence of the invention.
- the conversion of an electronic document into an image can be carried out directly in an external trusted device 1, and the hash of an electronic document can be calculated both from the original electronic document and from the received image of the electronic document, as well as from both files.
- the received single image is transmitted to the untrusted device 5.
- the resulting image is displayed in the form of interlaced text of an electronic document with a protective mesh and with an authenticity code.
- the user verifies that the text of the electronic document in the image matches the original text. It is important to note that the resulting image is transmitted to the untrusted device 5 upon a signal from the user from an external trusted device 1.
- the user signal is received through the interactive user interaction module 6 located in the external trusted device 1.
- Button 7 can be used to send a signal.
- the user reads the authentication code 11 from the image and enters it through the information input module 4 into the external trusted device 1.
- the authentication code 11 is received and verified by checking with the authentication code stored in the memory 3.
- authenticity code 11 use the previously received hash of the electronic document to create an electronic signature of this document.
- an attacker has complete control over a user's computer. The user guesses about this and wants to sign the original electronic document using an external trusted device 1, which stores the secret key from his electronic signature. In this case, the attacker not only controls and manages the software of the user's computer, but also knows the algorithm of operation of the external trusted device 1.
- the threat model under consideration assumes that the attacker can install his own software on the user's computer, which should help the attacker to replace the electronic document ... It can emulate the operation of an external trusted device 1 using its software and controls all input and output ports, including the one through which the user's computer interacts with the information input module 4 of the external trusted device 1.
- the only thing that an attacker cannot control is external trusted device 1. Since the electronic signature key is located in an external trusted device 1, the main task of an attacker is to load a fake electronic document into this external trusted device 1 and get back the created electronic signature under this fake document. But for this purpose the attacker must display the non-trusted device the original electronic document to the user, not knowing substitution, confirmed the signing, giving the command through an external trusted device 1, the creation of electronic signatures create fake document.
- the user is confirmed by entering the authentication code 11, which must be accepted by the external trusted device 1.
- the attacker using his software, unnoticed by the user, has uploaded a fake document to the external trusted device 1.
- the attacker will need to intercept the file with the image of the text of the electronic document 10, with the applied protective mesh 9 and the authenticity code 11. And then replace the image with another one containing the text of this electronic document, the protective one. net and authenticity code.
- the safety net the intruder can generated randomly in a program that emulates the action of an external trusted device 1, then the authenticity code will need to be inserted into a single image.
- the attacker's task is to emulate the user's actions to enter the authentication code 11.
- the very emulation of entering information is a simple task, but the task of entering the authentication code AND is complicated by the fact that the attacker needs to read the authentication code 11 from the image , on which it is mixed with the image of the security grid 9 and the text of the electronic document 10. For this, the attacker needs to read the authenticity code 11 from the intercepted image and generate a new image within 1-2 seconds (from the moment the button 7 is pressed until the image is displayed on the screen) ...
- This problem can theoretically be solved using a neural network capable of recognizing an image, but in a time significantly exceeding a few seconds.
- a protective grid 9 and an authenticity code 11 are formed on a single image of the same color and one level of brightness and contrast.
- this task of recognizing an authenticity code on a single image within the allotted time limit of 1-2 seconds is not feasible for today's level of computing technology.
- additional files are saved in the external trusted device. On one of the files there is only an image with the text of an electronic document 10, on the other file only an image with an authenticity code 11 and on the third file only an image with a protective mesh 9.
- the image data is stored on a transparent background, for example, in png format.
- These files are sent to the untrusted device 5 later, either by a user signal received through the interactive user interaction module 6 or after a predetermined period of time.
- a single image is imperceptibly replaced by the same image, but consisting of three layers: separate images of text 10, a security grid 9 and an authenticity code 11. Thanks to this, the client program has the ability to adjust the color, brightness and contrast of any selected layer. This allows the user to smoothly desaturate the mesh layer and the authenticity code layer to read the text 10 of the electronic document and ensure that it matches the original text.
- the text of the electronic document 10 is previously randomly distorted by shifting and / or warping.
- the authenticity code 11 can also be distorted and applied to the image in the form of a captcha.
- the procedure for distorting an electronic document, as well as generating a captcha must be carried out directly in an external trusted device 1.
- symbols 12 (Fig. 3) of the authenticity code in the captcha can be generated as a continuation of certain lines 13 of the safety net, forming a graphical link. Such a captcha is not only more difficult to recognize, but also more difficult to recreate in a short period of time.
- the task for the attacker is complicated by the fact that the generation of the security grid, the distortion of the text and the authentication code are based on random parameters inside the trusted device 1 and cannot be known to the attacker, since even knowledge of the algorithm does not allow obtaining this information in advance.
- Another option to enhance the protection is to generate a random pattern of the security mesh 9 in such a way that the random pattern is repeated at certain intervals.
- the user can easily see the repeating pattern after the text and the authenticity code have been discolored.
- discoloration to recognize where the pattern is repeated and reproduce this fragment of the pattern, doing it with pixel precision in 1-2 seconds is an impossible task not only for the user, but also for the computer.
- additional files are generated in the external trusted device 1: one containing the original text of the electronic document before distortion, and the second containing an uncorrupted image of the authenticity code.
- these additional files are transferred to an untrusted device later, for example, upon an additional signal from the user 'when he presses button 7 on an external trusted device 1.
- the client program will replace the distorted text of the electronic document with the original text, and the captcha - with not distorted code authenticity. In this case, the user will be able to see that both the text and the authenticity code remained unchanged in content.
- the attacker has the opportunity to successfully carry out an attack with the substitution of an electronic document.
- the attacker will need to first generate a random authentication code, a random security grid and apply them to the original electronic document, presenting the resulting image as allegedly generated by an external trusted device 1.
- the attacker will unnoticeably send 1 fake document to the external trusted device and then unnoticed will intercept the received image from a fake document by sending a pre-generated image to the monitor with a false authenticity code, but with the original electronic document.
- the attacker will intercept the false code entered by the user and prevent it from being entered into the external trusted device 1.
- he will recognize the real authentication code 11 in the image intercepted from the external trusted device 1 and send it for confirmation.
- This threat model gives the attacker additional time to recognize the real authentication code 11.
- the external trusted device 1 there is an interactive module 6 for interacting with the user. If this module contains an information input device such as a keyboard, then the user can enter the authentication code 11 directly into the external trusted device 1.
- the external trusted device 1 may contain an information output device, such as an LCD display or an audio speaker. Through this output device, the real authentication code 11 can be displayed or voiced, and the user will only need to make sure that it matches the authenticity code 11 on the image on the monitor of an untrusted device 5. And then, upon a signal from the user from an external trusted device 1, confirmation of the code's validity will be received authenticity 11.
- the authentication code can be entered by voice through a microphone on a non-trusted device 5 with simultaneous recognition of both the user's voice and the authentication code 11. But recognition in this case must be carried out in an external trusted device 1, for example, on a trusted server. Of course, this option cannot be considered reliable, since hardware and software tools for imitating voice and video already exist and are developing, but this method is quite acceptable for confirming the signature of insignificant documents.
- a protective grid is generated in such a way that part of the protective lines the grid continuously moved from one page of the document to another page. In this case, several separate images are formed - one for each page. Image data is transmitted to the untrusted device 5 one by one, by a signal from the user from the external trusted device 1 or at predetermined intervals.
- the authenticity code in the external trusted device 1 is converted and stored in the image with text and a security grid in the form of a QR code.
- the information input module on the external trusted device is made in the form of a camera, and the external trusted device 1 itself is designed to scan and recognize the QR code.
- the external trusted device 1 in order for the external trusted device 1 to be able to recognize the QR code, the image of which is mixed with the images of the text and the security grid, a fragment of the text and the security grid is stored in the memory 3 of the external trusted device 1, on which the QR code image is superimposed.
- the QR code in the image received by the camera, the QR code is cleared from unnecessary pixels that are part of the text and the security grid by subtracting these pixels from the total scanned image.
- the QR code is recognized using well-known methods and an authenticity code is obtained from it, which is compared with the authenticity code 11 stored in memory 3. It is possible to implement an option in which the hash of the electronic document being verified is encoded together with the authenticity code in the QR code.
- This option is convenient when the external trusted device is a complex of two interconnected devices - the user trusted device 14 (Fig. 4) and the trusted server 15.
- the non-trusted device 5 is designed to interact with both trusted devices.
- the first stage is performed on a trusted server 15 by sending an electronic document to it.
- the first stage includes:
- the second step is performed in the user trusted device 14, which can interact with the untrusted device 5 over a wireless communication channel.
- the trusted server 15 and the user trusted device 14 are configured to interact using a secure communication channel.
- the second stage includes:
- the information input module 4 in particular in the form of a camera, scan the QR code, recognize and read from it the authenticity code 11 and the hash of the electronic document,
- a magnetometer 18 is placed in an external trusted device 1 (Fig. 5).
- the external trusted device 1 itself can be in the form of a small object, for example a keychain, which the user can put next to an untrusted device 5, such as a tablet or smartphone, in an arbitrary, random position. Based on the readings of the built-in magnetometer 18, the current position of the external trusted device 1 relative to the earth's magnetic poles is calculated.
- the user's tablet or smartphone also contains a built-in magnetometer, which allows you to determine the position of the screen of this untrusted device 5 relative to the magnetic poles of the earth, and therefore it is possible to determine the position of the screen and the external trusted device 1 relative to each other.
- an authenticity code is generated in the form of a figure that allows you to visually determine its direction, for example, in the form of an arrow 19. This figure is added as an authenticity code to the text image 10 and the security grid image 9. After after the generated image is displayed on the screen, the user will be able to see this figure, for example arrows.
- the user can send a signal through the interactive user interaction module 6 and desaturate the protective mesh to full transparency. And then the user can compare the direction of the drawing, for example, arrow 19, with the direction of the adjacent external trusted device 1. If these directions match, this means that the authenticity code is correct and the user can sign this document by pressing button 7 on the external trusted device 1. For this At the signal of the user on the external trusted device 1, they will receive confirmation of the validity of the authentication code and will be able to sign the document.
- the second stage upon a signal from the user, through the interactive module of interaction 6, from an external trusted device, to an untrusted device 5, session encryption key. And then the session encryption key will be received in the untrusted device and with its help they will decrypt the received file.
- This procedure takes a split second on modern processors.
- the trusted server 15 and the user trusted device 14 are used as the external trusted device, then the use of pre-encryption will allow the encrypted file to be transferred in advance from the trusted server 15 to the untrusted device of the user 5 via a high-speed communication channel.
- the encryption key can first be transmitted over a secure communication channel from the trusted server 15 to the user trusted device 14 through the non-trusted user device 5, using, among other things, low-speed communication channels such as BLE. After that, upon a signal from the user, the encryption key will be transferred from the user trusted device 14 to the untrusted device of the user 5. For this, you can also use a low-speed communication channel such as BLE, since the key size allows you to transfer it in a matter of fractions of a second.
- stage 1 is also performed, but without calculating the hash of the electronic document:
- a certain conditional signal is sent through the user interaction module 6.
- another conditional signal is given.
- the type of signal can be an audio or visual signal, or some other (for example, vibration), depending on how the external trusted device is equipped with information output means 1.
- an information block containing the attributes of an electronic signature in particular the public signature key, data of the owner and publisher of the digital certificate, etc., is additionally placed on the protective grid 9.
- an image is formed containing the text of the electronic document 10, the security grid 9, the authenticity code 11 and the attributes of the electronic signature.
- This invention can be implemented in conjunction with banking anti-fraud systems, which, based on various algorithms, determine suspicious actions on the user's side, for example, in the case of payments intended for new recipients.
- the anti-fraud system signals the authorized bank employee about the need for additional verification of the payment, and the bank employee calls the client at his number, making sure that the payment is indeed correct.
- the use of the described invention will make it possible to get rid of the need to call the client - instead, he will be prompted to download from the trusted server an image of the verified payment document with a protective mesh and an authenticity code and enter the authentication code in one of the above described methods. And if the trusted server receives the correct authentication code, the system will miss the payment.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
Задачей настоящего изобретения является создание способа защиты электронного документа от подмены при его подписании на недоверенном устройстве с использованием миниатюрного внешнего доверенного устройства, который устранит данную уязвимость. Указанная задача достигается тем, что внешнее доверенное устройство, состоит из микроконтроллера и связанных с ним памяти и модулем связи с недоверенным устройством пользователя для загрузки электронного документа. В микроконтроллере находится программный код для обработки данных, позволяющий сгенерировать три слоя изображения на прозрачном фоне: в виде защитной сетки со случайным узором, в виде текста электронного документа и слоя, содержащего код подлинности, например, в форме капчи. Далее, все три слоя объединяются в единое изображение и по сигналу пользователя оно передается в недоверенное устройство, где изображение в течение 1-2 секунд должно отобразиться на экране. Пользователь сверяет код подлинности с изображения на экране с тем, что сохранен в памяти внешнего доверенного устройства, если код подлинности верный, то во внешнем доверенном устройстве производится создание цифровой подписи для данного документа.
Description
СПОСОБ ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТА ОТ
ПОДМЕНЫ ПРИ ЕГО ПОДПИСАНИИ
Изобретение относитс’я к электронной промышленности, а именно к безбумажным технологиям ведения документооборота и в финансовом секторе, в частности в системах дистанционного банковского обслуживания.
Известны алгоритмы электронной цифровой подписи (ЭЦП), позволяющие подписывать различные электронные документы, банковские документы электронной цифровой подписью с помощью секретных ключей пользователей и проверять подлинность электронных цифровых подписей по открытым ключам. Принадлежность открытого ключа конкретному пользователю удостоверяется с помощью цифровой подписи доверительного центра в виде цифрового сертификата. Для каждого пользователя генерируется пара уникальных ключей - секретный и открытый ключи электронной цифровой подписи. Свой секретный ключ пользователь должен хранить в тайне и использовать его при подписании электронного документа.
Недостатком электронной цифровой подписи является сложность создания доверенной среды при подписании электронных документов, особенно, если речь идет об информации, содержащей юридические факты или платежные реквизиты. Доверенная среда должна гарантировать, что создание электронной цифровой подписи под электронным документом осуществляется в доверенной системе, включающей аппаратное и программное обеспечение. Для этого необходимо использовать сертифицированные компьютер и программное обеспечение, с помощью которых предполагается осуществлять процедуры создания и проверки электронной цифровой подписи. При этом нельзя допускать подключение компьютера к не сертифицированным ресурсам в сети общего пользования, запускать на компьютере не сертифицированное программное обеспечение, передавать компьютер в чужие руки. Нарушение данных условий создает потенциальные угрозы:
- несанкционированный доступ к криптографическим возможностям токена/смарт- карты с неизвлекаемыми ключами с использованием шпионского ПО позволяет
провести атаку при помощи средств удаленного управления компьютером клиента, атаку с использованием удаленного подключения к USB-порту (USB-over-IP);
- подмена документа при передаче его на подпись в токен с неизвлекаемыми ключами. Атака возможна с использованием шпионского ПО и/или за счет ошибок реализации программного обеспечения. Пользователь видит на экране монитора одну информацию, а на подпись отправляется другая.
Фактически использовать сертифицированный компьютер можно только для подписания и просмотра электронных документов. Все это создает серьезные неудобства и проблемы для широкого внедрения электронной цифровой подписи.
Данная угроза характерна и для так называемой «облачной» подписи, когда секретный ключ находится на удаленном сертифицированном доверенном сервере и процедура подписаний электронного документа осуществляется также на стороне данного сервера. При этом злоумышленник может взять под контроль компьютер пользователя, чтобы демонстрировать на экране один документ, а на доверенный сервер на подписание отправить иной, подложный документ.
Аналогом является изобретение «способ подписания документов электронной аналого-цифровой подписью и устройство для его реализации» - патент РФ .N 3398334, позволяющий подписывать документы электронной аналого-цифровой подписью, без предварительного генерирования личных электронных цифровых подписей пользователей. Идентификация пользователя, подписавшего такой электронный документ, осуществляется по биометрическим данным пользователя, которые становятся неотъемлемой частью только данного электронного документа и которые невозможно вставить в другой электронный документ аналогичного формата.
Недостатком данного способа и устройства является отсутствие достаточной надежности, которое проявляется в том, что если электронный документ вводиться в устройство с ЭВМ, на которой может быть предустановленно программное обеспечение, в обиходе называемое хакерским, и способное подменить электронный документ, выводимый на экран монитора, на другой электронный документ, вводимый в устройство для его подписания. Что создает потенциальную уязвимость, которое может проявиться в том, что пользователь вопреки своей воле подпишет иной электронный документ, чем тот, что он видит на экране монитора. Поэтому в данном аналоге документы для подписи вводятся не с ЭВМ, а с распечатанного документа и
дополнительных устройств, таких как штрих-кодер, сканер или цифровая фотокамера, что создает неудобство в использовании и необходимость предварительной распечатки электронного документ а.
Наиболее близким аналогом является устройство класса TrustScreen: идентификационная AGSES-карта выпускаемая компанией AGSES International General Agency GmbH: http://www.agses.net. Данная карта представляет собой внешнее доверенное устройство с модулем идентификации пользователя и модулем для оптического ввода с экрана не доверенного устройства контрольной метки электронного документа, который требуется подписать, в виде «бегущего» штрих- кода. Согласно информации, предоставляемой производителем, биометрическая идентификационная AGSES-карта предназначена для обеспечения строгой аутентификации и подтверждения операций в различных информационных системах. Ключевыми особенностями устройства являются возможность биометрической идентификации владельца карты и оптический интерфейс, который представляет собой канал односторонней связи между вычислительной системой и AGSES-картой. Однако, данный односторонний оптический канал не гарантирует что в доверенное устройство в виде AGSES-карты, невозможно передать подложные данные из не доверенного устройства, т.к. оно может находиться под контролем злоумышленника, и он способен заменить контрольную метку электронного документа на подложную, при этом пользователю на экране будет демонстрироваться правильный электронный документ и пользователь не сможет определить подмену.
Задачей настоящего изобретения является создание способа защиты электронного документа от подмены при его подписании с использованием внешнего доверенного устройства, который устранит данную уязвимость и позволит безопасно подписывать и просматривать электронные документы непосредственно с любого, в том числе не доверенного ЭВМ.
Указанная задача достигается тем, что внешнее доверенное устройство 1 (Фиг.1) состоит из микроконтроллера 2 и связанных с ним памяти 3 и модулем связи 4 с не доверенным устройством пользователя 5. Также внешнее доверенное устройство 1 имеет интерактивный модуль 6 взаимодействия с пользователем, в частности этот может быть кнопка 7 и простейший светодиодный индикатор 8.
В микроконтроллере 2 находится программный код для обработки данных, в частности:
- для генерирования слоя изображения в виде защитной сетки 9 (фиг. 2) со случайным узором,
- для создания слоя изображения из текста электронного документа 10,
- для генерирования кода подлинности 11 и формирования слоя изображения с данным кодом подлинности,
- для объединения полученных слоев изображений в единое изображение и сохранения его в файл.
Кроме того, программное обеспечение микроконтроллера 2 должно уметь вычислять хеш электронного документа и сохранять его в памяти 3.
Способ защиты электронного документа от подмены при его подписании с использованием внешнего доверенного устройства по первому варианту работает следующим образом. Пользователь видит на экране монитора не доверенного устройства 5 электронный документ. Удостоверяется что к не доверенному устройству 5 по беспроводному каналу связи через модуль ввода информации 4 подключено внешнее доверенное устройство 1. Далее пользователь через интерфейс клиентской программы на не доверенном устройстве 5 отправляет электронный документ на подписание. Предварительно электронный документ в клиентской программе преобразуется в изображение, например в формате png. Затем происходит передача электронного документа и его изображения во внешнее доверенное устройство 1 через модуль ввода информации 4.
Во внешнем доверенном устройстве 1 в микроконтроллере 2 с помощью программного кода генерируется слой изображения в виде защитной сетки 9 со случайным узором на прозрачном фоне. Такая сетка напоминает гильоширную или тангирную сетку. Каждая линия может генерироваться на основе определенной математической функции со случайными параметрами. Количество и плотность линий также может задаваться случайным образом в пределах заранее установленных диапазонов.
Далее во внешнем доверенном устройстве 1 в микроконтроллере 2 с помощью программного кода генерируется код подлинности 11 и создается еще один слой
изображения также на прозрачном фоне, содержащий данный код подлинности 11. При этом код подлинности 11 сохраняется в памяти 3.
После чего в микроконтроллере 2 все три слоя изображений: с текстом электронного документа, с защитной сеткой и кодом подлинности накладываются друг на друга для получения файла с единым изображением. Благодаря прозрачному фону в полученном едином изображении будут видны все три изображения.
Также в микроконтроллере 2 вычисляют хеш электронного документа и сохраняют его в памяти 3.
Данный этап может быть реализован несколькими способами, не меняющими суть изобретения. В частности, преобразование электронного документа в изображение может быть осуществлено непосредственно во внешнем доверенном устройстве 1, а хеш электронного документа может быть вычислен как от исходного электронного документа, так и от полученного изображения электронного документа, а так же и от обоих файлов.
На втором этапе— передают полученное единое изображение в не доверенное устройство 5. На экране не доверенного устройства 5 выводят полученное изображение в виде переплетенных между собой текста электронного документа с защитной сеткой и с кодом подлинности. Пользователь проверяет, что текст электронного документа на изображении соответствует исходному тексту. Важно отметить, что полученное изображение передают в не доверенное устройство 5 по сигналу пользователя с внешнего доверенного устройства 1. Сигнал пользователя принимают через интерактивный модуль 6 взаимодействия с пользователем, находящийся во внешнем доверенном устройстве 1. Для подачи сигнала может быть использована кнопка 7.
Затем пользователь считывает с изображения код подлинности 11 и вводит его через модуль ввода информации 4 во внешнее доверенное устройство 1. Во внешнем доверенном устройстве принимают код подлинности 11 и осуществляют его проверку, путем сверки с кодом подлинности, сохраненным в памяти 3. В случае успешной проверки кода подлинности 11 используют ранее полученный хеш электронного документа для создания электронной подписи данного документа.
Покажем, как работает данный механизм защиты от подмены документа и почему он является надежным. Для этого представим следующую модель угрозы: злоумышленник полностью контролирует компьютер пользователя. Пользователь об этом догадывается и желает подписать исходный электронный документ с помощью внешнего доверенного устройства 1, в котором хранится секретный ключ от его электронной подписи. При этом злоумышленник не только контролирует и управляет программным обеспечением компьютера пользователя, но и знает алгоритм работы внешнего доверенного устройства 1. Кроме того, в рассматриваемой модели угроз предполагается, что злоумышленник может установить на компьютер пользователя свое программное обеспечение, которое должно помочь злоумышленнику подменить электронный документ. Он может эмулировать работу внешнего доверенного устройства 1 с помощью своего программного обеспечения и контролирует все порты ввода и вывода информации, в том числе тот, через который компьютер пользователя взаимодействует с модулем ввода информации 4 внешнего доверенного устройства 1. Единственное что злоумышленник не может контролировать - это внешнее доверенное устройство 1. Поскольку ключ электронной подписи находится во внешнем доверенном устройстве 1 , то основная задача злоумышленника сводится к тому, чтобы загрузить фейковый электронный документ в данное внешнее доверенное устройство 1 и получить обратно созданную электронную подпись под данным фейковым документом. Но для этого злоумышленник должен вывести на экран не доверенного устройства исходный электронный документ, чтобы пользователь, не подозревая подмены, подтвердил подписание, дав команду через внешнее доверенное устройство 1 на , создание электронной подписи фейкового документа. Подтверждением пользователя является ввод кода подлинности 11 , который должно принять внешнее доверенное устройство 1. Предположим, что злоумышленник с помощью своего программного обеспечения незаметно для пользователя загрузил во внешнее доверенное устройство 1 фейковый документ. Тогда, после нажатия пользователем кнопки 7 на внешнем доверенном устройстве 1, злоумышленнику потребуется перехватить файл с изображением текста электронного документа 10, с нанесённой на него защитной сеткой 9 и кодом подлинности 11. И далее заменить изображение на другое, содержащее текст настоящего электронного документа, защитную сетку и код подлинности. Но если защитную сетку злоумышленник может
сгенерировать случайным образом в программе, эмулирующей действие внешнего доверенного устройства 1, то код подлинности потребуется вставить в единое изображение настоящий. Если код подлинности 11 нужно ввести пользователю через клиентскую программу, то задача злоумышленника - эмулировать действия пользователя по вводу кода подлинности 11. Самая эмуляция ввода информации является простой задачей, но задача ввода кода подлинности И усложняется тем, что злоумышленнику требуется считать код подлинности 11 из изображения, на котором он смешан с изображением защитной сетки 9 и текста электронного документа 10. Для этого злоумышленнику необходимо в течение 1-2 секунд (от момента нажатия кнопки 7 до выведения изображения на экран) произвести считывание кода подлинности 11 из перехваченного изображения и сгенерировать новое изображение. Данная задача теоретически может быть решена с использованием нейронной сети, способной распознать изображение, но за время, значительно превышающее несколько секунд.
Для усиления защиты от распознавания кода подлинности 11 злоумышленником - изображения текста 10, защитной сетки 9 и кода подлинности 11 формируются на едином изображении одного цвета и одного уровня яркости и контрастности. Фактически данная задача распознавания кода подлинности на едином изображении за отведенный лимит времени в 1-2 секунды является невыполнимой для сегодняшнего уровня вычислительной техники. Но для того, чтобы сам пользователь смог прочитать на полученном изображении текст документа и код подлинности - во внешнем доверенном устройстве сохраняют в памяти дополнительные файлы. На одном из файлов присутствует только изображение с текстом электронного документа 10, на другом файле только изображение с кодом подлинности 11 и на третьем файле только изображение с защитной сеткой 9. Причем, данные изображения сохраняют на прозрачном фоне, например в формате png. Эти файлы отправляются в не доверенное устройство 5 позже, либо по сигналу пользователя, принимаемому через интерактивный модуль 6 взаимодействия с пользователем либо через заранее определенный период времени. Затем, в клиентской программе единое изображение незаметно заменяется на то же изображение, но состоящее из трех слоев: отдельных изображений текста 10, защитной сетки 9 и кода подлинности 11. Благодаря этому в клиентской программе появляется возможность регулировать цветность, яркость и контрастность любого
выбранного слоя. За счет этого пользователь сможет плавно обесцветить слой с защитной сеткой и слой с кодом подлинности, чтобы прочитать текст 10 электронного документа и убедиться, что он соответствует исходному тексту. А затем может обесцветить текст и вернуть исходные параметры изображения кода подлинности 11 , чтобы прочитать его и ввести во внешнее доверенное устройство 1. Для усиления защиты от распознавания кода подлинности злоумышленником - текст электронного документа 10 предварительно случайным образом искажается путем смещения и/или деформирования. Код подлинности 11 также может быть искажен и нанесен на изображение в виде капчи, Причем процедура искажения электронного документа, как и формирование капчи должны осуществляться непосредственно во внешнем доверенном устройстве 1. Для дополнительной защиты символы 12 (фиг. 3) кода подлинности в капче могут быть сгенерированы как продолжение определенных линий 13 защитной сетки, образуя графическую связь. Такую капчу не только сложнее распознать, но и сложнее воссоздать за короткий промежуток времени.
Таким образом, задача для злоумышленника усложняется тем, что генерирование защитной сетки, искажение текста и кода подлинности производятся на основе случайных параметров внутри доверенного устройства 1 и не могут быть известны злоумышленнику, так как даже знание алгоритма не позволяет заранее получить эту информацию.
Если распознать код подлинности на общем изображении с текстом и защитной сеткой за 1-2 секунды невозможно, то может ли злоумышленник попытаться вырезать из перехваченного изображения ту часть, в которой присутствует код подлинности 11 и вставить её в изображение с настоящим документом. Эта задача . также является трудновыполнимой для сегодняшнего уровня техники, так как потребуется за те же 1-2 секунды:
- распознать и определить в какой части изображения находится код подлинности 1 1 , поскольку его месторасположения также определяется случайным образом,
- распознать какая часть исходного текста попала в полученный фрагмент изображения и далее злоумышленнику необходимо будет откорректировать свой фейковый документ таким образом, чтобы при соединении с оставшейся частью исходного текста пользователь не увидел подмены,
- распознать край защитной сетки на вырезанном фрагменте изображения и сгенерировать вторую часть защитной сетки таким образом, чтобы края обеих частей защитной сетки соединились не вызвав подозрений у пользователя.
Задача значительно усложняется, если код подлинности 11 продублировать в нескольких местах изображения.
Другой вариант усилить защиту - генерировать случайный рисунок узора защитной сетки 9 таким образом, чтобы случайный рисунок повторялся через определенные интервалы. В этом варианте пользователь легко сможет увидеть повторяющийся рисунок после обесцвечивания текста и кода подлинности. При этом до обесцвечивания распознать, где узор повторяется и воспроизвести данный фрагмент узора, сделав это с точностью до пикселя за 1-2 секунды - невыполнимая задача не только для пользователя, но и для компьютера.
Но чтобы сам пользователь смог без труда прочитать искаженный текст электронного документа и код подлинности из капчи - во внешнем доверенном устройстве 1 формируется дополнительные файлы: один, содержащий исходный текст электронного документа до искажения, и второй, содержащий не искаженное изображение кода подлинности. При этом данные дополнительные файлы передаются в не доверенное устройство позже, например, по дополнительному сигналу пользователя‘при нажатии им кнопки 7 на внешнем доверенном устройстве 1. После чего клиентская программа заменит искаженный текст электронного документа на исходный текст, а капчу - на не искаженный код подлинности. При этом, пользователь сможет увидеть, что и текст и код подлинности остались неизменными по содержанию.
Однако, если код подлинности 11 пользователю требуется ввести в модуль ввода информации 4 через клиентское приложение в не доверенном устройстве 5, то у злоумышленника появляется возможность успешно провести атаку с подменой электронного документа. Для этого злоумышленнику потребуется предварительно сгенерировать случайный код подлинности, случайную защитную сетку и нанести их на исходный электронный документ, выдав полученное изображение за якобы сгенерированное внешним доверенным устройством 1. При этом злоумышленник незаметно для пользователя отправит во внешнее доверенное устройство 1 фейковый документ 'и затем незаметно перехватит полученное изображение с
фейковым документом, отправив на монитор заранее сгенерированное изображение с ложным кодом подлинности, но с исходным электронным документом. Затем злоумышленник перехватит вводимый пользователем ложный код и предотвратит его ввод во внешнее доверенное устройство 1. При этом распознает настоящий код подлинности 11 в перехваченном из внешнего доверенного устройства 1 изображении и отправит его для подтверждения. В данной модели угрозы у злоумышленника появляется дополнительное время, чтобы распознать настоящий код подлинности 11.
Избежать данной угрозы предлагается за счет отказа от ввода кода подлинности 11 через не доверенное устройство 5. Достигается это несколькими способами: в частности, на внешнем доверенном устройстве 1 имеется интерактивный модуль 6 взаимодействия с пользователем. Если этот модуль содержит устройство ввода информации типа клавиатуры, то пользователь сможет вводить код подлинности 11 сразу во внешнее доверенное устройство 1. В другом варианте внешнее доверенное устройство 1 может содержать устройство вывода информации, например ЖК- дисплей или аудио - динамик. Через данное устройство вывода информации может отображаться или озвучиваться настоящий код подлинности 11 и пользователю достаточно будет убедиться, что он совпадает с кодом подлинности 11 на изображении на мониторе не доверенного устройства 5. И далее по сигналу пользователя с внешнего доверенного устройства 1 будет принято подтверждение валидности кода подлинности 11. Но если по каким то причинам ввод кода подлинности возможен только через не доверенное устройство 5, то можно реализовать вариант ввода кода подлинности 11 с использованием биометрии. Для этого ввод кода подлинности можно осуществить голосовым способом через микрофон на не доверенном устройстве 5 с одновременным распознаванием как голоса пользователя, так и кода подлинности 11. Но распознавание в этом случае должно осуществляться во внешнем доверенном устройстве 1, например, на доверенном сервере. Конечно данный вариант нельзя считать надежным, поскольку уже существуют и развиваются аппаратно-программные средства для имитации голоса и видео, но для подтверждения подписи малозначимых документов данный способ вполне приемлем.
В случае если необходимо защитить от подмены многостраничный документ, то для этого генерируют защитную сетку таким образом, чтобы часть линий защитной
сетки непрерывно переходила с одной страницы документа на другую страницу. При этом формируют несколько отдельных изображений - по одному на каждую страницу. В не доверенное устройство 5 передают данные изображения поочередно, по сигналу от пользователя с внешнего доверенного устройства 1 либо через заранее определенные интервалы времени.
В другом варианте реализации изобретения код подлинности во внешнем доверенном устройстве 1 преобразуют и сохраняют на изображении с текстом и защитной сеткой в виде QR кода. При этом модуль ввода информации на внешнем доверенном устройстве выполняют в виде камеры, а само внешнее доверенное устройство 1 выполняют с возможностью сканирования и распознавания QR кода. Но для того, чтобы внешнее доверенное устройство 1 смогло распознать QR код, изображение которого смешано с изображениями текста и защитной сетки - в памяти 3 внешнего доверенного устройства 1 сохраняют фрагмент текста и защитной сетки, на которые накладывается изображение QR кода. И далее, в процессе распознавания QR кода, в полученном камерой изображении очищают QR код от лишних пикселей, являющихся частью текста и защитной сетки, путем вычитания данных пикселей из общего отсканированного изображения. После чего QR-код распознают с помощью известных методов и получают из него код подлинности, который сравнивают с кодом подлинности 11, хранящимся в памяти 3. Возможна реализация варианта, при котором вместе с кодом подлинности в QR коде кодируют хеш проверяемого электронного документа. Этот вариант удобен в случае, когда внешнее доверенное устройство представляет собой комплекс из двух взаимосвязанных устройств - пользовательского доверенного устройства 14 (фиг. 4) и доверенного сервера 15. В этом случае не доверенное устройство 5 выполняют с возможностью взаимодействия с обоими доверенными устройствами. При этом первый этап выполняют на доверенном сервере 15, пересылая в него электронный документ. Первый этап включает в себя:
- вычисление хеша электронного документа и сохранение его в памяти доверенного сервера 15,
- генерирование кода подлинности 11 и сохранение его в памяти доверенного сервера 15,
- формирование QR кода из кода подлинности 11 и хеша электронного документа,
- генерирование защитной сетки со случайным узором,
- объединение текста электронного документа, защитной сетки и QR кода в единое изображение,
- передачу полученного изображения из доверенного сервера 15 в не доверенное устройство 5 и его отображение экране не доверенного устройства 5.
А второй этап выполняют в пользовательском доверенном устройстве 14, который может взаимодействовать с не доверенным устройством 5 по беспроводному каналу связи. Доверенный сервер 15 и пользовательское доверенное устройство 14 выполнены с возможностью взаимодействия с использованием защищенного канала связи.
При этом второй этап включает в себя:
- по защищенному каналу связи из памяти 16 доверенного сервера 15 в память 17 пользовательского доверенного устройства 14 передается код подлинности 11 и хеш электронного документа,
- в пользовательском доверенном устройстве 14 через модуль ввода информации 4, в частности в виде камеры, сканируют QR код, распознают и считывают из него код подлинности 11 и хеш электронного документа,
- осуществляют сверку кода подлинности 1 1 и хеша, полученных из QR кода с кодом подлинности 11 и хешем, хранящимися в памяти 17 пользовательского доверенного устройства 14,
- в случае успешной сверки создают электронную подпись электронного документа в пользовательском доверенном устройстве 14.
Предлагается еще один вариант формирования и отображения кода подлинности: во внешнем доверенном устройстве 1 размещается магнитометр 18 (фиг. 5). Само внешнее доверенное устройство 1 может быть в виде небольшого предмета, например брелка, который пользователь может положить рядом с не доверенным устройством 5, таким как планшет или смартфон, в произвольном, случайном положении. На основании показаний встроенного магнитометра 18 вычисляется текущее положение внешнего доверенного устройства 1 относительно магнитных полюсов земли. Кроме того, предполагается, что и планшет или смартфон пользователя также содержит встроенный магнитометр, который
позволяет определить положение экрана данного не доверенного устройства 5 относительно магнитных полюсов земли, а следовательно есть возможность определить положение экрана и внешнего доверенного устройства 1 относительно друг друга. И далее, на основе информации о положении экрана и внешнего доверенного устройства формируется код подлинности в виде рисунка, позволяющего визуально определить его направление, например в виде стрелки 19. Данный рисунок в качестве кода подлинности добавляется к изображению текста 10 и изображению защитной сетки 9. После того, как сформированное изображение отобразиться на экране пользователь сможет увидеть данный рисунок, например стрелки. Если защитная сетка мешает разглядеть рисунок, то пользователь может подать сигнал через интерактивный модуль взаимодействия с пользователем 6 и обесцветить защитную сетку вплоть до полной прозрачности. И далее пользователь может сравнить направление рисунка, например стрелки 19 с направлением лежащего рядом внешнего доверенного устройства 1. Если эти направления совпадают это означает, что код подлинности верный и пользователь может подписать данный документ, нажав на кнопку 7 на внешнем доверенном устройстве 1. По данному сигналу пользователя на внешнем доверенном устройстве 1 примут подтверждение валидности кода подлинности и смогут произвести подписание документа.
Поскольку подготовленное во внешнем доверенном устройстве 1 изображение с \ текстом, защитной сеткой и кодом подлинности может занимать несколько сотен кбайт, то период времени между подачей сигнала пользователем через интерактивный модуль взаимодействия 6 и передачей данного файла по беспроводному каналу связи типа Bluetooth может занять значительно больше времени, чем 1-2 секунды. Данная задержка является критичной, т.к. может быть неотличима от задержки, вызванной действиями злоумышленника, описанными выше. Для того, чтобы избавиться от указанной задержки предлагается на первом этапе шифровать во внешнем доверенном устройстве 1 полученный файл изображения на основе случайно сгенерированного сеансового ключа шифрования. Ключ шифрования сохраняется в памяти 3 внешнего доверенного устройства 1. Затем в не доверенное устройство 5 будет передан зашифрованный файл. Далее на втором этапе по сигналу пользователя через интерактивный модуль взаимодействия 6 с внешнего доверенного устройства в не доверенное устройство 5 будет передан
сеансовый ключ шифрования. И далее в не доверенном устройстве примут сеансовый ключ шифрования и с его помощью произведут дешифрование принятого файла. Данная процедура на современных процессорах занимает доли секунды. Кроме того, если в качестве внешнего доверенного устройства используется доверенный сервер 15 и пользовательское доверенное устройство 14, то использование предварительного шифрования позволит заранее передать зашифрованный файл от доверенного сервера 15 в не доверенное устройство пользователя 5 по скоростному каналу связи. При этом ключ шифрования можно будет вначале передать по защищенному каналу связи от доверенного сервера 15 в пользовательское доверенное устройство 14 через не доверенное устройство пользователя 5, используя, в том числе низкоскоростные каналы связи типа BLE. После чего по сигналу пользователя ключ шифрования будет передан из пользовательского доверенного устройства 14 в не доверенное устройство пользователя 5. Для этого также можно использовать низкоскоростной канал связи типа BLE, так как размер ключа позволяет передать его за считанные доли секунды.
Вышеописанные методы применимы к безопасному подписанию электронного документа с защитой от подмены. Но злоумышленник может подменить электронный документ не только при его подписании, но и при его чтении на не доверенном устройстве 5. Для защиты от подмены электронного документа в режиме просмотра 1 -й этап выполняют также, но без вычисления хеша электронного документа:
- отправляют электронный документ из не доверенного устройства 5 во внешнее доверенное устройство 1, в котором:
- генерируют защитную сетку 9 со случайным узором,
- генерируют код подлинности 11 и сохраняют его в памяти 3 доверенного устройства 1,
- далее объединяют текст 10 электронного документа, защитную сетку 9 и код подлинности 11 в единое изображение.
А на 2-ом этапе:
- передают полученное изображение в не доверенное устройство 5,
- на экране не доверенного устройства 5 отображают полученное изображение в виде текста электронного документа 10 с защитной сеткой 9 и с кодом подлинности 11 ,
- во внешнем доверенном устройстве 1 через модуль ввода информации 4 принимают код подлинности 11 и осуществляют его проверку.
В случае успешной проверки кода подлинности 11 на внешнем доверенном устройстве 1 через модуль взаимодействия с пользователем 6 подают определенный условный сигнал. В случае не успешной проверки - подают другой условный сигнал. Тип сигнала может быть звуковой, либо визуальный сигнал, либо какой то иной (например вибрационный), в зависимости от того как средствами вывода информации оснащено внешнее доверенное устройстве 1.
В случае просмотра электронного документа, содержащего электронную подпись - во внешнем доверенном устройстве 1 на защитную сетку 9 дополнительно помещают информационный блок, содержащий атрибуты электронной подписи, в частности открытый ключ подписи, данные владельца и издателя цифрового сертификата и т.д. И далее, во внешнем доверенном устройстве 1 формируют изображение, содержащее текст электронного документа 10, защитную сетку 9, код подлинности 11 и атрибуты электронной подписи.
Данное изобретение может быть реализовано совместно с банковскими анти-фрод системами, определяющими на основе различных алгоритмов подозрительные действия на стороне пользователя, например в случае платежей, предназначенных новым получателям. Как правило, в таких случаях анти-фрод система сигнализирует уполномоченному банковскому работнику о необходимости дополнительной проверки платежа, и банковский работник звонит клиенту по его номеру, удостоверяясь, что платеж действительно правильный. Использование описанного изобретения позволит избавиться от необходимости звонить клиенту - вместо этого ему будет предложено скачать с доверенного сервера изображение проверяемого платежного документа с защитной сеткой и кодом подлинности и ввести одним из выше описанных способов код подлинности. И если доверенный сервер получит правильный код подлинности, то система пропустит платеж.
Claims
1. Способ защиты электронного документа от подмены при его подписании с использованием внешнего доверенного устройства, при котором на первом этапе:
отправляют электронный документ из не доверенного устройства во внешнее доверенное устройство, в котором:
- вычисляют хеш электронного документа,
- генерируют защитную сетку со случайным узором,
- генерируют код подлинности и сохраняют его в памяти доверенного устройства,
- далее объединяют· текст электронного документа, защитную сетку и код подлинности в единое изображение,
далее на втором этапе:
- передают полученное изображение в не доверенное устройство,
- на экране не доверенного устройства отображают полученное изображение в виде текста электронного документа с защитной сеткой и с кодом подлинности,
- во внешнем доверенном устройстве через модуль ввода информации принимают код подлинности и осуществляют его проверку,
- в случае успешной проверки кода подлинности используют ранее полученный хеш электронного документа для создания электронной подписи данного документа.
2. Способ по п. 1, отличающийся тем, что передают полученное изображение в не доверенное устройство по сигналу пользователя с внешнего доверенного устройства, при этом сигнал пользователя принимают через модуль взаимодействия с пользователем, находящийся во внешнем доверенном устройстве.
3. Способ по п. 1, отличающийся тем, что во внешнем доверенном устройстве сохраняют в памяти по меньшей мере одно изображение только с текстом электронного документа, по меньшей мере одно изображение только с кодом подлинности и по меньшей мере одно изображение только с защитной сеткой, при этом данные изображения передаются в не доверенное устройство позже, чем единое изображение.
4. Способ по п. 1, отличающийся тем, что во внешнем доверенном устройстве исходный текст электронного документа изменяется путем смещения и/или деформирования, после чего создаются два изображения:
первое содержащее измененный текст с защитной сеткой и кодом подлинности и первым отправляется в не доверенное устройство,
и второе, содержащее исходный текст, отправляется в не доверенное устройство позже, чем единое изображение.
5. Способ по п. 1, отличающийся тем, что генерируют случайный узор защитной сетки таким образом, чтобы полученный рисунок узора повторялся в пределах страницы с текстом.
6. Способ по п. 1, отличающийся тем, что код подлинности выполнен в виде капчи, а ввод кода подлинности во внешнее доверенное устройство осуществляется непосредственно из не доверенного устройства.
7. Способ по п. 6, отличающийся тем, что каждый символ в капче графически связан, по меньшей мере, с одной линией защитной сетки.
8. Способ по п. 6, отличающийся тем, что во внешнем доверенном устройство
формируется дополнительный файл содержащий не искаженное изображение кода подлинности, при этом данный дополнительный файл передаётся в не доверенное устройство позже, чем файл с единым изображением текста электронного документа с защитной сеткой и кодом подлинности в виде капчи.
9. Способ по п. 6, отличающийся тем, что код подлинности также выводят на внешнем пользовательском доверенном устройстве через модуль взаимодействия с пользователем, и по сигналу пользователя с внешнего доверенного устройства принимают подтверждение валидности кода подлинности.
10. Способ по п. 1, отличающийся тем, что в случае защиты многостраничного документа генерируют защитную сетку таким образом, чтобы часть линий защитной сетки непрерывно переходила с одной страницы документа на другую страницу, при этом формируют несколько изображений - по одному на каждую страницу, а в не доверенное устройство передают данные изображения поочередно, по сигналу пользователя с внешнего доверенного устройства.
11. Способ по п. 1, отличающийся тем, что код подлинности преобразуют и сохраняют на изображении в виде QR кода, при этом модуль ввода информации на внешнем доверенном устройстве выполнен в виде камеры, а само внешнее доверенное устройство выполнено с возможностью сканирования и распознавания QR кода.
12. Способ по п. 11 отличающийся тем, что в памяти внешнего доверенного устройства сохраняется фрагмент текста и защитной сетки, на которые накладывается QR код и в процессе распознавания QR кода, в полученном камерой изображении очищают QR код от лишних пикселей, являющихся частью текста и защитной сетки.
13. Способ по п. 11, отличающийся тем, что вместе с кодом подлинности в QR коде кодируют хеш проверяемого электронного документа.
14. Способ по п. 1, отличающийся тем, что внешнее доверенное устройство представляет собой комплекс из двух взаимосвязанных устройств— пользовательского доверенного устройства и доверенного сервера, при этом не доверенное устройство выполнено с возможностью взаимодействия с обоими доверенными устройствами.
15. Способ по п. 14, отличающийся тем, что первый этап выполняют на доверенном сервере, а второй этап выполняют в пользовательском доверенном устройстве, при этом доверенный сервер и пользовательское доверенное устройство выполнены с возможностью взаимодействия с использованием защищенного канала связи, по которому из памяти доверенного сервера в память пользовательского доверенного устройства передается код подлинности для возможности осуществления проверки подлинности электронного документа в пользовательском доверенном устройстве.
16. Способ по п. 14, отличающийся тем, что с доверенного сервера в пользовательское доверенное устройство передают хеш для возможности создания электронной подписи электронного документа в пользовательском доверенном устройстве.
17. Способ по п. 1, отличающийся тем, что внешнее доверенное устройство содержит встроенный магнитометр, на основании показаний которого вычисляется текущее положение внешнего доверенного устройства относительно линий магнитного поля земли и формируется код подлинности в виде изображения, позволяющего визуально определить направление, заданное в данном изображении для визуального сравнения с направлением положения доверенного устройства, и по сигналу пользователя с внешнего доверенного устройства принимают подтверждение валидности кода подлинности.
18. Способ по п. 1, отличающийся тем, что на первом этапе в доверенном устройстве генерируют сеансовый ключ шифрования и шифруют им полученное изображение, формируя зашифрованный файл,
- после чего передают в не доверенное устройство зашифрованный файл,
далее на втором этапе:
- по сигналу пользорателя с внешнего доверенного устройства передают в не доверенное устройство сеансовый ключ шифрования, при этом сигнал пользователя принимают через модуль взаимодействия с пользователем, находящийся во внешнем доверенном устройстве,
- в не доверенном устройстве принимают сеансовый ключ шифрования и с его помощью производят дешифрование принятого файла.
19. Способ по п. 1, отличающийся тем, что в режиме просмотра электронного документа с защитой от подмены 1 -й этап выполняют без вычисления хеша электронного документа, а на 2-ом этапе:
- в случае успешной проверки кода подлинности на внешнем доверенном устройстве через модуль взаимодействия с пользователем подают условный сигнал,
- а в случае не успешной проверки - подают другой условный сигнал.
20. Способ по п. 19, отличающийся тем, что в случае просмотра электронного документа, содержащего электронную подпись - во внешнем доверенном устройстве на защитную сетку дополнительно помещают информацию, содержащую атрибуты электронной подписи и формируют изображение, содержащее текст электронного документа, защитную сетку, код подлинности и атрибуты электронной подписи.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019103915 | 2019-02-12 | ||
RU2019103915 | 2019-02-12 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2020167166A1 true WO2020167166A1 (ru) | 2020-08-20 |
Family
ID=72044536
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/RU2020/000065 WO2020167166A1 (ru) | 2019-02-12 | 2020-02-11 | Способ защиты электронного документа от подмены при его подписании |
Country Status (1)
Country | Link |
---|---|
WO (1) | WO2020167166A1 (ru) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2418683C2 (ru) * | 2006-08-18 | 2011-05-20 | Гемальто Ой | Способ наложения одного изображения на другое, способ персонализации носителя данных с использованием способа наложения изображений и персонализированный носитель данных |
RU2527731C2 (ru) * | 2012-08-14 | 2014-09-10 | Александр Иванович Иванов | Способ формирования электронного документа |
US20150220717A1 (en) * | 2012-10-16 | 2015-08-06 | Secucen Co., Ltd. | Method for electronically signing electronic document using biometric information and method for verifying the electronic document |
RU2634179C1 (ru) * | 2016-12-12 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Способ и система для доверенного доведения информации до пользователя |
RU2647642C1 (ru) * | 2017-04-25 | 2018-03-16 | Борис Юрьевич Гайворонский | Способ заверения документа необратимой шифрованной цифровой подписью |
-
2020
- 2020-02-11 WO PCT/RU2020/000065 patent/WO2020167166A1/ru active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2418683C2 (ru) * | 2006-08-18 | 2011-05-20 | Гемальто Ой | Способ наложения одного изображения на другое, способ персонализации носителя данных с использованием способа наложения изображений и персонализированный носитель данных |
RU2527731C2 (ru) * | 2012-08-14 | 2014-09-10 | Александр Иванович Иванов | Способ формирования электронного документа |
US20150220717A1 (en) * | 2012-10-16 | 2015-08-06 | Secucen Co., Ltd. | Method for electronically signing electronic document using biometric information and method for verifying the electronic document |
RU2634179C1 (ru) * | 2016-12-12 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Способ и система для доверенного доведения информации до пользователя |
RU2647642C1 (ru) * | 2017-04-25 | 2018-03-16 | Борис Юрьевич Гайворонский | Способ заверения документа необратимой шифрованной цифровой подписью |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100407900B1 (ko) | 네트워크를 거쳐 생체 측정 데이터를 안전하게 전송하고인증하는 방법 및 장치 | |
JP6296060B2 (ja) | e文書に署名するための追加的な確認を備えたアナログデジタル(AD)署名を使用する方法 | |
US20030012374A1 (en) | Electronic signing of documents | |
US20150067786A1 (en) | Visual image authentication and transaction authorization using non-determinism | |
JPH06176036A (ja) | 認証可能な複製作成方法 | |
JP7299256B2 (ja) | マルチユーザ厳密認証トークン | |
CN106575334A (zh) | 访问受保护软件应用 | |
KR20040053253A (ko) | 네트워크를 거쳐 생체 인식 데이터를 안전하게 전송하고인증하는 방법 및 장치 | |
KR20070024569A (ko) | 생체 측정 템플릿의 프라이버시 보호를 위한 아키텍처 | |
CN103678960A (zh) | 在数据文件中添加数字版权信息的方法及装置 | |
CA2453853C (en) | Method and system for verifying data integrity | |
Fischer et al. | Visual CAPTCHAs for document authentication | |
CN101222334B (zh) | 一种采用图片干扰的密码令牌安全认证方法 | |
EP1280098A1 (en) | Electronic signing of documents | |
US8898733B2 (en) | System security process method and properties of human authorization mechanism | |
EP1704667B1 (en) | Electronic signing apparatus and methods | |
US11960579B2 (en) | Smart glass and blockchain digital signature implementation | |
Jueneman et al. | Biometrics and digital signatures in electronic commerce | |
WO2003009217A1 (en) | Electronic signing of documents | |
WO2020167166A1 (ru) | Способ защиты электронного документа от подмены при его подписании | |
Haenni et al. | Voting over the Internet on an Insecure Platform | |
Pernpruner et al. | A Framework for Security and Risk Analysis of Enrollment Procedures: Application to Fully-remote Solutions based on eDocuments. | |
EP2573702A2 (en) | Internet transaction security | |
Habibu | Development of secured algorithm to enhance the privacy and security template of biometric technology | |
Fischer et al. | Watermarks and Text Transformations in Visual Document Authentication. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 20754908 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 20754908 Country of ref document: EP Kind code of ref document: A1 |