Единое пространство доверия сертификатов ЭЦП
Для подтверждения юридической значимости документа ( в соответствии ГОСТ Р 51141- 98, свойство официального документа, сообщаемое ему действующим законодательством, компетенцией издавшего его органа и установленным порядком оформления) в инфраструктуре электронного правительства недостаточно создания одного удостоверяющего центра (УЦ)
В рамках ФЦП "Электронная Россия (2002-2010 годы)" было предусмотрено создание федерального УЦ (ФУЦ) в инфраструктуре Общероссийского государственного информационного центра (ОГИЦ) . Положение о ФУЦ было закреплено в приказе Минкомсвязи от 23 марта 2009 № 41 www.consultant.ru/online/base/
Согласно этому приказу, подсистема УЦ ОГИЦ "предназначена для оказания государственных услуг гражданам и организациям в электронном виде с использованием электронной цифровой подписи, позволяющей однозначно определить (идентифицировать) правомочность уполномоченных должностных лиц органов государственной власти и местного самоуправления, осуществляющих информационное взаимодействие, дату и время осуществления информационного взаимодействия, а также гарантировать целостность, неизменность и идентичность информации, отправленной одним участником информационного взаимодействия и полученной другим участником информационного взаимодействия.
Регламент подсистемы УЦ ОГИЦ (далее - Регламент) разрабатывается и утверждается Федеральным агентством по информационным технологиям."..
Само же ФАИТ, земля ему пухом, разродилось приказом от 18.09.09 N 144 "ВРЕМЕННЫЙ ПОРЯДОК ПРИСОЕДИНЕНИЯ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ К ПОДСИСТЕМЕ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ ОБЩЕРОССИЙСКОГО ГОСУДАРСТВЕННОГО
ИНФОРМАЦИОННОГО ЦЕНТРА" mvf.klerk.ru/ecp/pr144.htm
Денег, согласно ФЦП было потрачено достаточно - свыше 300 млн. руб. Однако в настоящее время портал госуслуг этот удостоверяющий центр не использует, и возникла необходимость создания новой инфраструктуры.
Почему ? - ну одна причина как в анекдоте "- Что, поручик, опять деньги кончились ?" Вторая причина - что вообще говоря большинство же существующих в России УЦ сертифицированы по классу КС2 (коммерческая тайна), что подходит для защиты коммерческой информации, но недостаточно для корневого центра. А "сверху" в инфраструктуре PKI в Российской Федерации стоит УЦ производства НТЦ "Атлас" с классом KB2 - что тоже не фонтан (ошибки не исправлены до сих пор).
Но создание корневого УЦ и исправление в нем ошибок не поможет полностью решать задачи, возникающие при использовании ЭЦП. Процедура проверки ЭЦП предусматривает помимо подтверждения ее "математической корректности" еще и построение, и проверку цепочки сертификатов до доверенного УЦ, а также проверку статусов сертификатов в цепочке обработки.
Таким образом, проверка статусов сертификатов важна для каждого приложения инфраструктуры, т.к. принятие к обработке подписанного ЭЦП документа, сертификат ключа подписи которого аннулирован, может быть впоследствии оспорено и привести к репутационным или финансовым потерям.
А для этого нужно как минимум:
- создание службы "Электронный нотариус" на основе рекомендаций RFC 3029 (DVCS). С ее помощью можно осуществлять "заверение" каждого электронного документа и высылку "DVC-квитанции" на каждое принятое получателем сообщение;
- многофункциональная служба разбора конфликтных ситуаций.
- задачи подтверждения подлинности сертификатов, их проверки, удостоверения сторонними организациями
- задачи о материальной ответственности удостоверяющих и регистрационных центров за возможные финансовые потери, связанные с использованием ЭЦП
- внедрение протокола RFC 2560 - Online Certificate Status Protocol (OCSP). Он позволяет проверять в онлайне подлинность сертификатов открытых ключей и электронных документов с цифровой подписью и практически мгновенного установления аннулированных или скомпрометированных сертификатов
Если вы следили за темой - то ряд ведомств (например ФНС) уже подготавливала похожие нормативно-правовые документы в этой тематике. Ряд стран (например Польша, Белоруссия) решали эти задачи , выплясывая "от печки" Национального банка. В России живут отдельно по правилам ФНС, отдельно по правилам ПФР, отдельно по правилам Торговых площадок...
Но проблема состоит еще и в том, что можно сделать "сферического коня в вакууме" для госструктур, однако электронное правительство включает в себя субъекты различных форм - это не только G2C + G2B , но и B2C + B2B + C2C - которые работать по "приказу Минкомсвязи" не смогут. Цепочка акредитации по 1-ФЗ выглядит излишне громоздко:
- Сертифицированная СКЗИ
- Лицензия Регулятора - ФСБ.
- Выполнение требований ФСБ к самой ИС содержащей СКЗИ и к персоналу.
Еще одна особенность (смотрим определение юридической значимости) - что подписывать то надо электронный документ с "установленным порядком оформления" - а как его проверить, если не анализировать его ключевые атрибуты (реквизиты), которые в зависимости от типа и назначения электронного документа могут быть совсем разными.
В «ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов», описано 30 возможных реквизитов документа.
Применительно к сфере государственного управления установлен перечень из 24 реквизитов, которые зафиксированы в пункте 10 Правил делопроизводства в федеральных органах исполнительной власти, утвержденных постановлением Правительства Российской Федерации от 15 июня 2009 г. № 477.
Представляете - целых 24 реквизита ! только на G2-x
Объединить эти стороны сможет только Федеральный Закон прямого действия. И необходимость такого закона под условным названием "О едином пространстве доверия ЭЦП" уже что называется перезрела.
Во многих российских всех подзаконных актах относительно ЭЦП присутствует я бы так назвал "страх перед будущим" - А как бы чего не вышло, а вдруг ошибемся - прямо как атомную бомбу взрывать задумали. А пока вообще будем сидеть на заднице и ничего не делать, авось "сегодня" не понадобится (напомню что это "пока сегодня" тянется аж с 2001 года) Поэтому законодательство (я промолчу пор лоббирование - специалисты давно ассоциируют каждую строчку в НПА с конкретной фамилией арендатора "одного метра государственной границы" ) носит излишне строгий, практически запретительный характер (тот же пресловутый 152-ФЗ о персональных данных) Что серьезно сдерживает в России развитие современных и инновационных ИТ технологий и связанных с ними изменений в технологиях, деловой практике и общественных отношениях.
Ряд юристов-"законников" под юридической значимостью понимает исключительно только "материальную бумажку" и активно это мнение отстаивает www.libertarium.ru/15455
Хотя, например в Эстонии как раз оттиск мастичной печати за редким исключением не имеет никакого юридического значения, потому что по своей сути( особенно в эпоху развития полиграфических технологий) он оказался надуманным и слабо защищенным атрибутом.
По форме это может быть дополнение к 1-ФЗ или другая конструкция, например отработать ее сперва на федеральных элементах электронного правительства и "рекомендовать" использовать в субъектах РФ посредством Постановления Правительства РФ (как и было с требованиями к СМЭВ) , а затем уже и распространить на все общество в целом.
Может (но это уже фантастика) пора прекратить играть в нейтральность к технологии, ведь специалисты понимают что кроме ЭЦП в терминах PKI ничего "чувствительного" нет - об этом и говорит опыт Евросоюза, а в связи с этим утвердить в связке с ФСБ требуемый перечень технических документов и номера RFC где это все давным давно описано, если сами не можем. (по типу переносов стандартов ISO в ГОСТ или даже "обложечным способом" - вообще без перевода на русский во избежание расхождений с международной практикой)
Напомню что поправки в закон "О техническом регулировании", принятый в декабре 2009 года разрешают использование в России техрегламентов других стран, входящих в Евросоюз или Таможенный союз (Белоруссия и Казахстан).
Возможно и стоит критически пересмотреть срок службы открытого ключа, который по формулярам СКЗИ ФСБ должен составлять 30 лет. Вы только представьте - за это срок произойдет минимум 5-6 принципиальных изменений (поколений) вычислительной техники. И все нужно сопровождать ? В том же США Министерство обороны решило, что дешевле будет менять технологии, чем поддерживать зоопарк динозавров техники и ПО для этих целей.
По последней информации от коллег, был выбран вариант оформления "О едином пространстве доверия ЭЦП" через постановление правительства РФ, которое исполнитель должен в сентябре начать обсуждать с экспертами российского ИКТ сообщества. Значит, похоже время отечественного "велосипедостроения" продолжается...
p.s. Прислано уважаемыми читателями
1) Регламент использования ЭЦП в системе электронного документооборота и делопроизводства органов исполнительной власти Кировской области
2) Общий ландшафт Европейского законодательства в сфере ЭЦП