Добри новини от света на онлайн сигурността: Oracle – разработчикът на Java приставката, която правеше браузърите незащитени от 1995 г., най-накрая обяви, че се разделя с него, предаде gizmodo.com.

Java плъгинът няма да изчезне веднага: той ще бъде непрепоръчителен при следващото подновяване на Java Developer Kit, с което по дипломатичен начин Oracle казва, че ще го спре и насърчава хората да не го използват. Функционалността ще бъде „напълно премахната” при следваща версия, когато всеки се сбогува с приставката.

Този ход е съвсем логичен и твърде закъснял. Браузърите Chrome, Firefox и Microsoft Edge (наследникът на Internet Explorer) спряха поддръжката на приставки или обявиха, че ще го направят в близко бъдеще, с което не оставиха шанс за поддръжка и на Java плъгина.

По-важното е, че Java е ужасен бич за компютърната ни сигурност, който трябва да бъде спрян на всяка цена. Редица независими разработчици и Министерството на вътрешната сигурност на САЩ критикуваха Java за откриване на достъп до милиард компютри, благодарение на несвоевременно открити бъгове.

Спирането на Java за интернет браузърите ще постави в деликатна ситуация електронните услуги, които предоставят държавата и различни нейни агенции. Електронните услуги на Търговския регистър и на НАП са изградени чрез Java и без нея те не биха били в състояние да функционират.

Тоест при спиране на поддръжката, за да могат граждани и фирми да използват тези услуги, трябва да държат специален компютър с по-стара операционна система и браузър, които да ползват само за тази цел. Трябва да инсталират и остарелите версии на Java, които имат редица проблеми със сигурността. Не е ясно доколко държавната администрация е готова за това предизвикателство и дали в определен момент няма да се окаже невъзможно използването на тези услуги.

Обърнахме се към Божидар Божанов, който е съветник по електронно управление към кабинета на вицепремиера Румяна Бъчварова, с четири въпроса относно бъдещето на електронните услуги на държавната администрация и технологиите, които ще използват.

Oracle обяви, че спира да поддържа Java в браузър. Кои електронни услуги на държавната администрация зависят от технологията?

Много услуги, които изискват подписване с квалифициран електронен подпис (приравнен на саморъчен) използват или Java аплети, или ActiveX контроли. И двете опции са неудобни за крайните потребители, изискват допълнителни стъпки, имат проблеми със сигурността, а и от известно време е ясно, че дните им са преброени. Пълен списък с услуги, използващи Java аплети, нямам, но предположението ми е, че са повечето услуги от ниво 3 (т.е. такива, позволяващи изпълнение онлайн).

Какво ще стане с тези услуги, след като спре поддръжката?

Те няма да спрат автоматично, защото много хора, съзнателно или не, няма да upgrade-нат браузърите си. Internet Explorer ще продължи да „живее” още дълго време, както продължава да живее и Windows XP. Това, разбира се, увеличава проблемите на ползваемостта, защото ще се налага услугите да се ползват от компютър със стари версии. Това в дългосрочен, а дори в средносрочен план, не е допустимо.

Има ли план Б за услуги като Търговския регистър и какъв е той?

При въвеждането на електронната идентификация (законът мина първо четене в парламента), немалко от услугите ще могат да се заявяват само с електронна идентификация. При правилна реализация на системата това няма да изисква плъгини, аплети и т.н. – ще се използва стандартен, поддържан от всички браузъри TLS client auth, каквото например ползват някои банки в момента. Електронната идентификация е еквивалентна на „показване на личната карта на служител”, а на електронния подпис – полагане на саморъчен подпис. Дали е нужен подпис за всяко заявление е правен въпрос. Според мен не би следвало. Но за някои услуги, при които доказването на авторство е задължително и при които се носи наказателна отговорност, използването на електронна идентификация няма да е опция. За такива услуги план Б е да се свалят електронните документи на компютъра, да се подписват с приложение, предоставено от доставчика на електронния подпис (всеки има вече работещо такова и съобразено със стандарти на ЕС), и след това подписаните документи да се качват през браузъра. Това е сравнително неудобно решение, но работещо. В Естония имат друг подход – еднократна инсталация на плъгини за всеки браузър, чрез които с JavaScript да може да се комуникира със смарткартата. Тези плъгини също могат да бъдат засегнати от политиките на браузърите, например когато Firefox остави единствено JavaScript плъгините. Който и вариант да се предпочете, всички системи ще трябва да се надградят, за да го приемат. Този проблем ще бъде взет предвид при предстоящото тази година надграждане на ключови системи и регистри, финансирано по Оперативна програма „Добро управление”, т.е. най-важните услуги ще продължат да работят, но заради тромавостта на процедурите по надграждане и многото „изоставени” системи има риск по-малки системи (напр. за общински електронни услуги) да спрат да работят.

Какво е решението за подписване на онлайн услуги в дългосрочен план?

Проблемът с електронно подписване при използване на онлайн услуги е голям и той важи не само за България, но и за цяла Европа. Регламент 910/2014 хармонизира електронното подписване и електронната идентификация, но техническите проблеми остават нерешени и се задълбочават. Например австрийският модел за електронна идентификация е базиран именно на Java аплет – и той също ще спре да работи. Описаните по-горе варианти за план Б са само временно решение. Нужно е да се стандартизира електронно подписване в браузър с JavaScript. За съжаление стандартното web crypto API изрично изключва работата със смарткарти, така че решението предстои.

Нашият принос ще бъде да убедим Европейската комисия в спешен порядък да стандартизира комуникацията между браузър и смарткарта, така че браузърите да го поддържат по унифициран начин (както гореспоменатия TLS client auth). Алтернативите са „облачни услуги” (които се поддържат напр. в австрийския модел), но при тях криптомодулът, т.е. инструментът, гарантиращ, че никой друг не може да се представи за вас или да се подпише вместо вас, се намира в отдалечен дейта център. Т.е. вие не разполагате с подписа си или „идентичността” си, а само знаете как да го „отключите”, което поставя въпроси за сигурността. Интеграцията на електронни услуги с такива „облачни” решения също не е тривиална, а предвид общия европейски пазар и за тази интеграция ще трябва да има процес на стандартизиране.