Универсальная электронная карта - декабрьский "пит-стоп"
*Пит-сто́п (англ. pit stop) - дословно «остановка в месте ремонта»; остановка гонщика в боксах своей команды во время гонки для выполнения дозаправки, смены резины, изменения настроек или быстрого ремонта машины.
14 декабря 2010 г в Минэкономразвития состоялся разговор с регионами по вопросам внедрения "Универсальной электронной карты" www.economy.gov.ru/wps/wcm/connect/economylib4/mer/activity/sections/corpmanagment/electric_card/doc20101209_010. На совещании присутствовали специалисты одноименного акционерного общества www.uecard.ru и сотрудники некоторых профильных ведомств и министерств.
Разговор был содержательный - анализировались итоги внедрения УЭК в пилотных регионах, рассматривались предложения для новых пилотов. Поскольку совещание проходило свыше 4 часов - иногда были просто фонтаны эмоций, передергиваний, мольб и шуток и серьезных мыслей. В общем было нескучно - полный набор ценностей из серии "женщины, лошади, власть и война".
Довольно подробный пересказ сделал В.Соловьев vkontakte.ru/id10372398 из Архангельска docs.google.com/leaf
Вкратце его выводы со сторону Субъекта РФ:
Разумеется, Владимир не сильный специалист-карточник и по законам неконструктивного спора его можно было бы заставить заткнуться - мол, давайте обсуждать ананасы с теми кто их ел. С другой стороны - мне как раз и нравятся такие откровенные разговоры, поскольку ставятся прямые, "неправильные" вопросы - ответ на которые может быть непрост и специалисту и он часто вскрывает истинные причины происходящего ("Претензия - как благо") . Думаю конечно я занимаюсь не своим делом - ведь разъяснительная работа, "евангелизм" - это первое что нужно делать в проектной команде его лидеру. Пока никаких документов на это тему я ни от Ростелекома, ни от УЕКАРД не видел - а природа она пустоты не терпит.. Мы с Владимиром попытались разложить его вопросы на категории и получилось вот такое некое интервью.
Q. ОАО УЭК решило, что 30 человек (сами сказали о численности!) их организации будет заниматься ЭМИТЕНТОМ ФЕДЕРАЛЬНЫХ ПРИЛОЖЕНИЙ часть из которых будет коммерческой (вот так новости!)
Владимир - не все участники имеют единые государственные интересы - если бы прочитали во что превратился закон об НПС (особенно хороша норма - дающая 2-х летний мораторий для западных ПС и дискриминирующая отечественных) то логика бы была бы виднее. Особенно после утечки wikileaks с репликой "одного зам.министра финансов" для компаний США - мол - понимаем, что вы жалеете о комиссии в 4 млрд $, но не дрейфите - еще закон не подписан - делаю все возможное чтобы вам помочь.. wikileaks.ch/articles/2010/Test,32.html
Что касается 210-ФЗ (в главе про УЭК) - то как специалист (я внедрил более 130 банков с пластиковыми картами - в т.ч. ГПБ, ВТБ, АкБАрс, Юниаструм, НРБ и пр) , максимально корректно почти год объяснял госорганам - где там подвохи и как это обычно делается. Самые одиозные куски, к счастью были сняты. Но мусора, увы тоже много. Теперь ваши вопросы
1) Карта должна быть самоокупаемой - увы это лоббизм банков. Окупаемы не сама карта - а ее электронные приложения. Причем есть как "планово-доходные" - транспортная, банковская - так и "планово-убыточные" - идентификационное, социальное. Развивать что-то одно - это значит плохо и по остаточному принципу "топить" все остальное. Такие перекосы функциональности получились и в Москве (Карта Москвича) и Краснодаре (Золотая Корона) - да и у Уралсибе (см. отчет аудиторов - что при выключении из схемы комиссии за перевод средств в Уралсиб - финансово их эмитент превратится в банкрота). Выход - делать мульти-приложенческую карту с разумной аллокацией доходов и расходов и желательно с минимальной завязкой на _конкретные_ банки.
2) Деление карты на "федеральные" и "региональные" - вообще бред. А как будут карты взаимно приниматься в регионах то ? Сразу нужно продумывать вопросы не только транспортной, но и семантической совместимости всех подключаемых ИС (см СМЭВ)
3) Эмитентом карт может быть только Госзнак. Честно говоря непринципиально - карта электронная - и на нее загружаются приложения "удаленно" - какое из них первое, какое второе - вопрос случайности и удобства.. Если рассматривать УЭК как современную карту - то она должна обладать свойствами хранить несколько независимых приложений.
Установка/обновления приложения может быть сделана дистанционно - без непосредственной явки держателя - достаточно предъявления карты в один из "защищенных" пунктов обслуживания - каковым может являться и банкомат.
В этом случае - кто первый привел клиента и дал ему карту-болванку, на которую можно записывать приложения - важно только с маркетинговых целей, ну или с архивных целей - чтобы знать - у кого находится оригинал анкеты-заявки клиента с образцом подписи. Все остальные эмитенты приложений могут либо воспользоваться данными от первого эмитента (если он может выдать вызывающие доверие данные) - либо собрать и записать данные клиента в свое приложение абсолютно автономно - не ставя первого эмитента в известность.
Таким образом - эмитентов может быть теоретически столько же - сколько эмитентов приложений, и выделять особым вниманием Госзнак по меньшей мере странно.
Ну будет идентификационное приложение первым - значит Госзнак, будет финансовое - выступит банк. Т.е. важен эмитент электронного приложения а не карты. Насколько я знаю выбран чип Global Platform который вообще в России не производится , и даже на пластик не сажается. Поэтому Госзнак (я так понимаю Пермь) здесь такой же посредник , что и Розан, Ситроникс и куча других сертифицированных контор. - вопрос в размере их посреднических комиссий.
Если рассматривать УЭК только как сервисную карту доступа - да, но ее планировали к выпуску как уникальный документ гражданина , фактически, под электронный паспорт. Тогда Гознак при чем. Тогда она должна иметь модель угроз выше, чем любое из приложений + сам бланк д.б. бланком строгой отчетности. Правда - а зачем нам второй паспорт ? (вернее уже 3-й с учетом загран). Не много ли желающих вновь "опаспортизовать" население ? В историческом плане паспорт кстати - достаточно новый документ. В том виде, какм есть - он появился в Великобритании в 1915 году. А до этого "паспортом" звали разрешение посетить порт (по-итальянски). Кстати - развитие железных дорог привело к тому - что правительства заваливали прошениями - что "паспорт" это не удобно - и удивительно, многие отменили такую паспортизацию..
Так вот вернусь - вводя какие-то процессуальные нормы - нужно не усугублять уже существующие. Хотите электронный паспорт ? - Отменяйте обычный бумажный. Если хочется что-то типа ПВДНП для внутренних паспортов - можно, вопрос лишь в деньгах и переходном периоде, когда будут ходить одновременно и новые, и старые документы. Насколько я помню Паспорта РФ вводили больше 15 лет - а это означает что 15-ть лет Госзнак будет "электронизироваться" - по сути ни за что не отвечая - мол что вы хотите, - еще недостаточно паспортов выдали.. И кушать, кушать деньги. "Цена вопроса" как я понял - не менее 80 млрд.руб - серъезная сумма, чтобы задуматься - а надо ли идти таким путем в принципе. За УЭК хоть частично коммерсанты могут заплатить (транспортное, платежное приложение вполне могут быть сделаны за счет ЧГП) - и гораздо быстрее, чем 15 лет..
4) Первичные, вторичные ключ и пр. Тоже бред - приложения должны быть максимально развязаны друг от друга ! Только тогда появляется _единственность_ ответственности и персданных. Не должно приложение ГИБДД лазить в приложение ПФР - даже за фамилией. В лучшем случае - через голову можно сделать кросс-запрос - но это опять СМЭВ. А может не нужно так все усложнять ? "Бланки строгой отчетности" - не более чем метафора. С такими бланками работают большинство организаций - скажем трудовая книжка - тоже бланк строгой отчетности, и классный журнал в школе нужно хранить 75 лет, само собой в банках пластиковые заготовки (особенно чиповые) хранятся за толстыми бронированными дверями - ведь никто не умер ? Зато я видел на своем "банковском веку" чуть не ежедневно кучу желающих подкормиться на этой "секретности" - от производителей ПО и навязчивых услуг - до местных отделов метрологий, желающих что-то мне там застандартизировать.. И в то же время НИ ОДИН не готов дать гарантии на успешную судебную перспективу - т.е. реально прав мне как организации/гражданин - доказуемых в общегражданских судах - не дал. Скажем ни один производитель ЭЦП (не знаю может кто-то сегодня и есть) не дал финансовые гарантии по защищаемомому контенту, и ни одна страховая не согласилась учесть их рекомендации..
Я думаю - что абсолют должен быть только в одном - защита человеческой жизни и здоровья - потому что оно бесценно, для всего остального должны быть разумные послабления и оптимизация по финансово-целевому критерию.
5) "Но пока системы МПС (международные платежные системы) не предполагают размещение платежного приложения на втором уровне безопасности (что вроде логично - нет ничего ценнее для человека чем деньги)" - ой, ну да что вы.. На одноэмитентных и локальных картах это сплошь и рядом (Сберкарт BGS например - разработчики и не думали о взаимоприеме карт какого-нибудь Металинвестбанка в сети Сбера и наоборот..) И то что проблемно с точки зрения техники - можно обойти организационо. Например перечислять деньги только после звонка одного банка другому (так Золотая Корона частенько делает)
Q. Чем больше карточек тем сильнее размажется стоимость... там 80 000 карт (у них там дорогой проект с биометрией)
Не надо про стандарты - они настолько устаревшие и настолько тупые (зато надежные) - что лучше о них как об удорожающей экзотике не говорить.
Как человек, который сделал проект УЭК на 5 тыс. карт еще в 1996 году :-) расскажу. Думаю, если мы хотим учесть интересы всех сторон (не формально, пообещать и забыть - а реально и вдумчиво) - в архитектуре должны быть заложены реальные механизмы учета этих интересов, и естественно "контринтересов". Допустим, постулизируем - что центр эмиссии один - Госзнак. Плюсы - единство технологий, единый центр принятия решений. Минусы - монополист со всеми вытекающими последствиями - нерыночное ценообразование на карты и услуги, лоббирование устаревших решений, возможность "семейственности" (типа истории с московскими карточками метро) .
Я не говорю про технические проблемы - моноэмитентная система (Сберкарт, ЗК, Аккорд) уязвима от кражи генерального ключа системы и дискредитации всей схемы безопасности. Пока его не крали - но это вопрос времени и денег.. Про качество ПО для бэкофиса карточек я молчу - поскольку монополисты - у пользователей есть только 2 выхода - либо пользоваться, либо идти вдаль..
Мультиэмитентная система - много поставщиков карт, много поставщиков терминалов, много поставщиков ПО ведомственных/региональных/финансовых приложений - избавлена от таких недостатков. Хотя стандарты и там нужны - но другого рода. И кстати - их понадобится меньше.
Нужны стандарты скорее не технические - а организационные, финансовые - все то , что будет двигать "кровь" в этом организме и давать ему энергию. Остальное - пусть решает разработчик системы самостоятельно. Не скрою - мой идеал - решение Global Platform - где четко очерчивается ответственность (и безответственность) участников. И по-бытовому - мне понятнее чем какой-нибудь Урюпинсксофт скажет - парень, стойкость нашего ключа таковая - что он будет взломан через 3 месяца, но мы специально поставили на карту срок службы - 2 месяца, который будет автоматически обновляться при любом предъявлении ее в сети. Чем Госзнак (ну или еще кто) - заявит - у нас абсолютно защищенная система, у нее мега память - при этом "бросив" меня наедине с пиратами, с арбитражем и со страхованием убытков.
Опять же как _практик_ - скажу - а вы жили несколько лет с офф-лайновой картой сами ? А вам приходилось терпеливо обивать пороги ведомств, которые за тонны бумажек записывали на карту какие-то идентификаторы ? А потом банально вы кладете карту в задний карман брюк - и она с хрустом ломается на мягком сиденье - вместе со всей вашей историей жизни !? Скажете - сам дурак, да дурак - но я хочу жить комфортно и легко - как и полагается дураку :-) Так что мое предложение открыто - если кто-то говорит - что его решение безопасно - я предлагаю сделку, зарегистрировать все финансовые риски на себя. Если не готов, или готов зарегистрировать риск на 100 руб за 99 - то пусть лучше такие слова не говорит, это лишь лозунги...
Q. Можно наверно предлагать приложения СКУД на мифэйре
НЕТ !!! Компания NXP не рекомендует использование классического MIFARE в новых проектах. Это связано с тем, что криптоалгоритм MIFARE взломан, ключи не диверсифицированы, а MIFARE Ultralight вообще не имеет защиты от копирования смарт билетов. ( Не случайно, бывшие сотрудники московского метрополитена смогли выпустить около 5 млн (!!!) фальшивых билетов ) В Лондоне уже начата миграция с MIFARE Classic на DESFIRE. В УЭК, судя по выбранным картам Optelio D8 V14/M40 R2/R3 с дуальным интерфейсом и эмуляцией MIFARE 1K, это будет сделать НЕЛЬЗЯ.
Q. Приложения в Global Platform и так развязаны, но есть иерархия ключей
Это ключ платежной системы. Да - компроментация ключа ПС "вырубает" всю сеть. Но что то я не слышал даже о межрегиональном приеме и вообще мультиэмитентной среде. Во-вторых - вся PKI инфраструктура IMHO еще не то что переварена, она даже не придумана ФСБ/ФСО (см docs.google.com/leaf )
в том числе - УЦ первого уровня не проходит полноценно тесты, то что в "грефовской карте" не ГОСТ, а RSA похоже для "компетентных лиц" было откровением , самостоятельно придумать карту GP - это вам не метрошные чипы делать - это ого-го какая интеллектуальная работа (Французы практически на 100% держать монополию на этом рынке - и быстрее они нам Мистраль продадут, чем исходные тексты чиповой операционки - это же их часть стратегии по установлению мирового господства :-) ) плюс - "контора" крайне нервно относится к динамическим Java приложениям - а это суть GP - в итоге мы скатываемся к уже вдоль и поперек наезженной 10-ти летней давности технологии EMV на до байтика отлаженных кодах "Золотая Корона", "Union Card", "U.E.P.S" - но не по цене распродажи, само собой разумеющейся при таком сроке аммортизации - а с наценкой на повторное ее "переоткрытие" и "ребрендинг" :-)
Q. И если владелец первого домена УЭК захочет, то завтра в системе обслуживания окажется задание на удаление/блокировку всех приложений на карте и владельцы вторых и третих ключей ничего с этим поделать не смогут
напоминаю - карта то чаще будет работать в off-line - а закон о "пространстве цифрового доверия" в части RFC 2560 - Online Certificate Status Protocol (OCSP) затух ( см tri-botinka.livejournal.com/18477.html )
Q. А если разместить ЭЦП как приложение, одним-двумя-тремя файлами
Вполне возможно - это зовется "карта памяти" и использовалось в картах GPM896 (BGS) и Motorolla Solaic (Золотая корона до 1994 года) - но это очень древнее решение - стоят $ 1 за килограмм :-) . Проблема в том что там лежит секретный ключ - который выковырять через последовательные порты (ISO 7816) сможет даже ребенок. Алгоритм подписи в компьютере - тоже легко подменяется. Поэтому развитием стали защищенные (R/O, W/O), потом микропроцессорные карты - которые применяли авторизацию по PIN , а затем и криптопроцессоры - которые вообще не показывали секретный ключ - а шифровали внутри карты и выдавали наружу уже результат. Но проблема "внешнего несекретного контура" осталась - и появились шифрующие PIN-pad, SAM модули - в итоге общение происходит не в компе, а специальной железке - и обмен происходит в шифрованном виде между двумя картами - клиентской и SAM. В случае вскрытия железка необратимо уничтожает секретную часть. Так было сделано в Эстонии и есть во всех микропроцессорных ПС.
Разумеется - если повырубать "все фичи" из карты GP можно сделать простую карту памяти. И микроскопом можно гвозди забивать (особенно если микроскоп стоит как гвоздь)
Q. Ведь разрешаем мы размещать ЭЦП на токенах, на флешках..
Флешка - флешке рознь . Сертификат ФСБ имеет лишь одна www.bifit.com/ru/company/press/usb-token.html
Q. Или я заблуждаюсь в реализации?
Я тоже "заблудился" таком управлении. Достаточно было взять справочник "Кто есть кто на пластиковом рынке России" (желательно сразу начать с буквы "Д" :-) - и спроектировать современную НПС. Чиновникам и Минэка, и МКС неоднократно говорили - ребята, заключаем договор - и "обконсультируем" вас до одурения.. Работаем абсолютно по-честному - конкурс, аукцион, хотите через разовые акты.. Но нет - пошли через освоение сметы. Вначале Минздравсоцразвития тратит 40 млн на какой то "Системный проект УЭК", затем что то тратил Минэк - и опять все крайне поверхностно. Понимание что в ИТ нужно делать или профессионально, или никак не пришло (машина-дура - она лозунгами не питается)
Ясно, что как сказал позавчера Дж,Уэлс в "Сколково" - "Боже вас упаси отдавать нормотворчество в частные руки. Бизнес думает только о прибыли и первым делом мечтает удавить конкурентов" .. но так есть принципы структуры управления - единоначалие, разделение контрольных функций и исполнительских, трассировка целеполагания на мероприятия и пр. - вот "разделяете и властвуйте". За государством - нормативка, за консорциум бизнеса - инвестиции, за экспертами - техстандарты и архитектура, за "свободными программерами" - наполнение ПО всего скелета применения.
Ведь главные цели УЭК какие в 210-ФЗ
1) "Подвинуть" международные системы Visa, Mastercard - создав им достойного локального конкурента - мультиэмитентную межбанковскую ПС - для того чтобы перенаправить $4 млрд ежегодных комиссий в российский ВВП и перестать за нами шпионить и "наказывать" за плохое поведение.
2) Перейти с магнитной карты на интеллектуальную , работающую в off-line , Internet, электроных деньгах, операторов связи - за счет этого открыть новые региональные рынки "кефирных платежей" и пр. - значительно повысив долю безналичных расчетов - а вследствие этого противодействовать коррупции и увеличению сбора налогов.
3) Унифицировать государственые, ведомственные, региональные, муниципальные ИС - так чтобы скажем соцкарта Рязани по соцприложениям однозначно считывалась в Белгороде, а бензиновая карта Татарстана в СПБ
4) Обеспечить сквозную юридическую значимость всех электронных действий и их однозначное принятие в нашем документообороте и судебных органах.
5) Создать надежные и конкурентные элементы инфраструктуры - изготовления карт, оборудования, финансовых брокеров, расчетных банков, производителей ПО
6) Включить механизмы ЧГП - минимизировав или "выключив" использование бюджетных средств - за счет самодостаточности и самоорганизации объектов УЭК+НПС
Q. Вот и я так думал, думаю что президент тоже так думал...А выходит нас ведут не в туда....
Вы знаете Владимир, а никто и не обещал легкого фана. На моем опыте было раз 10 попыток создания НПС. Об этом задумывались и Сибторгбанк, и ТУБ, и ИнкомБанк, и СБС-Агро, Российский Кредит, Онексим, STB-Card, и Union Card, и Золотая Корона, и Сбербанк, и .. ну в общем похожая мысль приходила в голову всем ~ 70 банкам, имеющим свой процессинговый центр "международного класса". Плюс это всегда была "голубая мечта" ЦБ РФ. Вам не приходило в голову что если бы для этого были условия - то это произошло бы гораздо раньше ? Ведь явно предыдущие инициаторы тоже были вполне себе успешны, богаты и власть к ним была вполне благосклонна. (Что касается граждан - увы промолчу, когда их кто особо спрашивал)
И каждый раз находилась какая нибудь пакость, недооцененная исполнителями - которая запарывала все дело. В классике - у того же И.Голдратта написано - что поиск "блока ограничений" - это почти что таинство - он НИКОГДА не на поверхности, на него вам не покажут пальцем - вы будете бесконечно отвлекаться на ложные цели - а в это время у вас под носом будут размножаться настоящие ужасы - политика, банкротство, интриги, обманы, воровство, лень, глупость, самонадеянность и куча других _реальных_ пороков в проекте. Как "вычислить" и вырвать этот корень зла - долго рассказывать - лучше прочитайте его "Теорию ограничений".
И в этой пробуксовке я коллег из АП, МКС, Минэка особо и не виню. Бюджетных денег на это в рамках ФЦП "ЭР" не ушло. А то что Сбер или Уралсиб "влипли" на ~ 300 млн. - ну так это их бизнес-риски. С другой стороны Сбер получил в 2010 г. рекордную прибыль (думаю в том числе на 100% отработав и лояльность государства) - так что в плюсе все равно остались.
Вывод - который можно сделать из этой темы - то что предложенные технологии, организованное взаимодействие и роли участников были выбраны неверно. Они не привели к успеху проекта. И было бы глупо начать заставлять играть в этот "покер" других участников (субъекты РФ, банки, производителей).
Не дай Бог мы бы начали играть в эти игры в каком-нибудь регионе со сложившейся инфраструктурой - не в Астрахани где приходилось начинать с чистого листа - а в Москве, Поволжье, Западной Сибири - там где уровень банковских технологий практически на мировом уровне, или скажем в СПб - где и Уралсиб и Сбер на заслуженных "вторых" ролях (поактивнее надо) - да там масштабы убытков и социальное недовольство что от внедрения стало только хуже - катапультировали бы проектную команду далеко на Альфу Центавра :-) Так что не разобравшись досконально в причинах неуспеха и не перегруппировав команду (со стороны банков, ФОИВ, ОГВ Субъектов, экспертов) и ключевые параметры целей и мероприятий - двигаться нельзя. Потеряем гораздо больше денег (по моей оценке не менее $2-3 млрд) - и тоже с очень скромным, на грани фола результатом.
Q. Будут ли сдвигаться сроки по 210-фз в части УЭК ? Как например это происходит со 152-фз
Не по зарплате вопрос :-) С точки зрения выполнения проекта - он неуспешен и есть за что 22-го числа "отхимерить". Я бы отметил "выдающуюся" роль безопасников - чтобы ни за год, а то и за 8 лет со времени 1-ФЗ не "родить" ни одного мало мальски нормативного (правового. технического) документа (из требуемых ~ 50) - это нужно шоколада переесть. Значит нужно брать EC-овские стандарты и их утверждать ГОСТом (ФЗ "О техническом регулировании" это позволяет) - снимая в педагогических целях по одной звездочке с погон проектной команды за каждый _вынужденно_ переведенный техстандарт и НПА. (В Ирландии 14-ти летняя девочка (!) придумала мощнейший алгоритм шифрования, в США - 17-ти летний - генное шифрование, да и Галуа был 21 год - вот как Родину любить надо..).
В общем, как жить дальше - а это уже другой проект, с другими задачами, бюджетами, целями и персоналиями.. История на этом не заканчивается...
P.S. Ввиду того что многие исполнители процесса по УЭК "тихушничают", часть личных выводов носила непрямой, косвенный и вероятностный характер. Готов предоставить площадку для ответной речи - нет ничего приятнее для ума чем созидательный и конструктивный спор, людей болеющих за одно дело.
14 декабря 2010 г в Минэкономразвития состоялся разговор с регионами по вопросам внедрения "Универсальной электронной карты" www.economy.gov.ru/wps/wcm/connect/economylib4/mer/activity/sections/corpmanagment/electric_card/doc20101209_010. На совещании присутствовали специалисты одноименного акционерного общества www.uecard.ru и сотрудники некоторых профильных ведомств и министерств.
Разговор был содержательный - анализировались итоги внедрения УЭК в пилотных регионах, рассматривались предложения для новых пилотов. Поскольку совещание проходило свыше 4 часов - иногда были просто фонтаны эмоций, передергиваний, мольб и шуток и серьезных мыслей. В общем было нескучно - полный набор ценностей из серии "женщины, лошади, власть и война".
Довольно подробный пересказ сделал В.Соловьев vkontakte.ru/id10372398 из Архангельска docs.google.com/leaf
Вкратце его выводы со сторону Субъекта РФ:
- Наблюдается серьезное отставание в готовности и противоречивости НПА, НТА по УЭК
- Внедрение происходит далеко не так гладко ("Наезд" ФАС на Астрахань) и совсем не за те деньги (>80 млн на старт) как планировалось. Появляются непонятные (>1000 р в год на одну карту) новые расходы.
- Как субъектам РФ ввязываться в соисполнители - если исполнители сами не до конца уверены в своей работе и результате
Разумеется, Владимир не сильный специалист-карточник и по законам неконструктивного спора его можно было бы заставить заткнуться - мол, давайте обсуждать ананасы с теми кто их ел. С другой стороны - мне как раз и нравятся такие откровенные разговоры, поскольку ставятся прямые, "неправильные" вопросы - ответ на которые может быть непрост и специалисту и он часто вскрывает истинные причины происходящего ("Претензия - как благо") . Думаю конечно я занимаюсь не своим делом - ведь разъяснительная работа, "евангелизм" - это первое что нужно делать в проектной команде его лидеру. Пока никаких документов на это тему я ни от Ростелекома, ни от УЕКАРД не видел - а природа она пустоты не терпит.. Мы с Владимиром попытались разложить его вопросы на категории и получилось вот такое некое интервью.
Q. ОАО УЭК решило, что 30 человек (сами сказали о численности!) их организации будет заниматься ЭМИТЕНТОМ ФЕДЕРАЛЬНЫХ ПРИЛОЖЕНИЙ часть из которых будет коммерческой (вот так новости!)
Владимир - не все участники имеют единые государственные интересы - если бы прочитали во что превратился закон об НПС (особенно хороша норма - дающая 2-х летний мораторий для западных ПС и дискриминирующая отечественных) то логика бы была бы виднее. Особенно после утечки wikileaks с репликой "одного зам.министра финансов" для компаний США - мол - понимаем, что вы жалеете о комиссии в 4 млрд $, но не дрейфите - еще закон не подписан - делаю все возможное чтобы вам помочь.. wikileaks.ch/articles/2010/Test,32.html
Что касается 210-ФЗ (в главе про УЭК) - то как специалист (я внедрил более 130 банков с пластиковыми картами - в т.ч. ГПБ, ВТБ, АкБАрс, Юниаструм, НРБ и пр) , максимально корректно почти год объяснял госорганам - где там подвохи и как это обычно делается. Самые одиозные куски, к счастью были сняты. Но мусора, увы тоже много. Теперь ваши вопросы
1) Карта должна быть самоокупаемой - увы это лоббизм банков. Окупаемы не сама карта - а ее электронные приложения. Причем есть как "планово-доходные" - транспортная, банковская - так и "планово-убыточные" - идентификационное, социальное. Развивать что-то одно - это значит плохо и по остаточному принципу "топить" все остальное. Такие перекосы функциональности получились и в Москве (Карта Москвича) и Краснодаре (Золотая Корона) - да и у Уралсибе (см. отчет аудиторов - что при выключении из схемы комиссии за перевод средств в Уралсиб - финансово их эмитент превратится в банкрота). Выход - делать мульти-приложенческую карту с разумной аллокацией доходов и расходов и желательно с минимальной завязкой на _конкретные_ банки.
2) Деление карты на "федеральные" и "региональные" - вообще бред. А как будут карты взаимно приниматься в регионах то ? Сразу нужно продумывать вопросы не только транспортной, но и семантической совместимости всех подключаемых ИС (см СМЭВ)
3) Эмитентом карт может быть только Госзнак. Честно говоря непринципиально - карта электронная - и на нее загружаются приложения "удаленно" - какое из них первое, какое второе - вопрос случайности и удобства.. Если рассматривать УЭК как современную карту - то она должна обладать свойствами хранить несколько независимых приложений.
Установка/обновления приложения может быть сделана дистанционно - без непосредственной явки держателя - достаточно предъявления карты в один из "защищенных" пунктов обслуживания - каковым может являться и банкомат.
В этом случае - кто первый привел клиента и дал ему карту-болванку, на которую можно записывать приложения - важно только с маркетинговых целей, ну или с архивных целей - чтобы знать - у кого находится оригинал анкеты-заявки клиента с образцом подписи. Все остальные эмитенты приложений могут либо воспользоваться данными от первого эмитента (если он может выдать вызывающие доверие данные) - либо собрать и записать данные клиента в свое приложение абсолютно автономно - не ставя первого эмитента в известность.
Таким образом - эмитентов может быть теоретически столько же - сколько эмитентов приложений, и выделять особым вниманием Госзнак по меньшей мере странно.
Ну будет идентификационное приложение первым - значит Госзнак, будет финансовое - выступит банк. Т.е. важен эмитент электронного приложения а не карты. Насколько я знаю выбран чип Global Platform который вообще в России не производится , и даже на пластик не сажается. Поэтому Госзнак (я так понимаю Пермь) здесь такой же посредник , что и Розан, Ситроникс и куча других сертифицированных контор. - вопрос в размере их посреднических комиссий.
Если рассматривать УЭК только как сервисную карту доступа - да, но ее планировали к выпуску как уникальный документ гражданина , фактически, под электронный паспорт. Тогда Гознак при чем. Тогда она должна иметь модель угроз выше, чем любое из приложений + сам бланк д.б. бланком строгой отчетности. Правда - а зачем нам второй паспорт ? (вернее уже 3-й с учетом загран). Не много ли желающих вновь "опаспортизовать" население ? В историческом плане паспорт кстати - достаточно новый документ. В том виде, какм есть - он появился в Великобритании в 1915 году. А до этого "паспортом" звали разрешение посетить порт (по-итальянски). Кстати - развитие железных дорог привело к тому - что правительства заваливали прошениями - что "паспорт" это не удобно - и удивительно, многие отменили такую паспортизацию..
Так вот вернусь - вводя какие-то процессуальные нормы - нужно не усугублять уже существующие. Хотите электронный паспорт ? - Отменяйте обычный бумажный. Если хочется что-то типа ПВДНП для внутренних паспортов - можно, вопрос лишь в деньгах и переходном периоде, когда будут ходить одновременно и новые, и старые документы. Насколько я помню Паспорта РФ вводили больше 15 лет - а это означает что 15-ть лет Госзнак будет "электронизироваться" - по сути ни за что не отвечая - мол что вы хотите, - еще недостаточно паспортов выдали.. И кушать, кушать деньги. "Цена вопроса" как я понял - не менее 80 млрд.руб - серъезная сумма, чтобы задуматься - а надо ли идти таким путем в принципе. За УЭК хоть частично коммерсанты могут заплатить (транспортное, платежное приложение вполне могут быть сделаны за счет ЧГП) - и гораздо быстрее, чем 15 лет..
4) Первичные, вторичные ключ и пр. Тоже бред - приложения должны быть максимально развязаны друг от друга ! Только тогда появляется _единственность_ ответственности и персданных. Не должно приложение ГИБДД лазить в приложение ПФР - даже за фамилией. В лучшем случае - через голову можно сделать кросс-запрос - но это опять СМЭВ. А может не нужно так все усложнять ? "Бланки строгой отчетности" - не более чем метафора. С такими бланками работают большинство организаций - скажем трудовая книжка - тоже бланк строгой отчетности, и классный журнал в школе нужно хранить 75 лет, само собой в банках пластиковые заготовки (особенно чиповые) хранятся за толстыми бронированными дверями - ведь никто не умер ? Зато я видел на своем "банковском веку" чуть не ежедневно кучу желающих подкормиться на этой "секретности" - от производителей ПО и навязчивых услуг - до местных отделов метрологий, желающих что-то мне там застандартизировать.. И в то же время НИ ОДИН не готов дать гарантии на успешную судебную перспективу - т.е. реально прав мне как организации/гражданин - доказуемых в общегражданских судах - не дал. Скажем ни один производитель ЭЦП (не знаю может кто-то сегодня и есть) не дал финансовые гарантии по защищаемомому контенту, и ни одна страховая не согласилась учесть их рекомендации..
Я думаю - что абсолют должен быть только в одном - защита человеческой жизни и здоровья - потому что оно бесценно, для всего остального должны быть разумные послабления и оптимизация по финансово-целевому критерию.
5) "Но пока системы МПС (международные платежные системы) не предполагают размещение платежного приложения на втором уровне безопасности (что вроде логично - нет ничего ценнее для человека чем деньги)" - ой, ну да что вы.. На одноэмитентных и локальных картах это сплошь и рядом (Сберкарт BGS например - разработчики и не думали о взаимоприеме карт какого-нибудь Металинвестбанка в сети Сбера и наоборот..) И то что проблемно с точки зрения техники - можно обойти организационо. Например перечислять деньги только после звонка одного банка другому (так Золотая Корона частенько делает)
Q. Чем больше карточек тем сильнее размажется стоимость... там 80 000 карт (у них там дорогой проект с биометрией)
Не надо про стандарты - они настолько устаревшие и настолько тупые (зато надежные) - что лучше о них как об удорожающей экзотике не говорить.
Как человек, который сделал проект УЭК на 5 тыс. карт еще в 1996 году :-) расскажу. Думаю, если мы хотим учесть интересы всех сторон (не формально, пообещать и забыть - а реально и вдумчиво) - в архитектуре должны быть заложены реальные механизмы учета этих интересов, и естественно "контринтересов". Допустим, постулизируем - что центр эмиссии один - Госзнак. Плюсы - единство технологий, единый центр принятия решений. Минусы - монополист со всеми вытекающими последствиями - нерыночное ценообразование на карты и услуги, лоббирование устаревших решений, возможность "семейственности" (типа истории с московскими карточками метро) .
Я не говорю про технические проблемы - моноэмитентная система (Сберкарт, ЗК, Аккорд) уязвима от кражи генерального ключа системы и дискредитации всей схемы безопасности. Пока его не крали - но это вопрос времени и денег.. Про качество ПО для бэкофиса карточек я молчу - поскольку монополисты - у пользователей есть только 2 выхода - либо пользоваться, либо идти вдаль..
Мультиэмитентная система - много поставщиков карт, много поставщиков терминалов, много поставщиков ПО ведомственных/региональных/финансовых приложений - избавлена от таких недостатков. Хотя стандарты и там нужны - но другого рода. И кстати - их понадобится меньше.
Нужны стандарты скорее не технические - а организационные, финансовые - все то , что будет двигать "кровь" в этом организме и давать ему энергию. Остальное - пусть решает разработчик системы самостоятельно. Не скрою - мой идеал - решение Global Platform - где четко очерчивается ответственность (и безответственность) участников. И по-бытовому - мне понятнее чем какой-нибудь Урюпинсксофт скажет - парень, стойкость нашего ключа таковая - что он будет взломан через 3 месяца, но мы специально поставили на карту срок службы - 2 месяца, который будет автоматически обновляться при любом предъявлении ее в сети. Чем Госзнак (ну или еще кто) - заявит - у нас абсолютно защищенная система, у нее мега память - при этом "бросив" меня наедине с пиратами, с арбитражем и со страхованием убытков.
Опять же как _практик_ - скажу - а вы жили несколько лет с офф-лайновой картой сами ? А вам приходилось терпеливо обивать пороги ведомств, которые за тонны бумажек записывали на карту какие-то идентификаторы ? А потом банально вы кладете карту в задний карман брюк - и она с хрустом ломается на мягком сиденье - вместе со всей вашей историей жизни !? Скажете - сам дурак, да дурак - но я хочу жить комфортно и легко - как и полагается дураку :-) Так что мое предложение открыто - если кто-то говорит - что его решение безопасно - я предлагаю сделку, зарегистрировать все финансовые риски на себя. Если не готов, или готов зарегистрировать риск на 100 руб за 99 - то пусть лучше такие слова не говорит, это лишь лозунги...
Q. Можно наверно предлагать приложения СКУД на мифэйре
НЕТ !!! Компания NXP не рекомендует использование классического MIFARE в новых проектах. Это связано с тем, что криптоалгоритм MIFARE взломан, ключи не диверсифицированы, а MIFARE Ultralight вообще не имеет защиты от копирования смарт билетов. ( Не случайно, бывшие сотрудники московского метрополитена смогли выпустить около 5 млн (!!!) фальшивых билетов ) В Лондоне уже начата миграция с MIFARE Classic на DESFIRE. В УЭК, судя по выбранным картам Optelio D8 V14/M40 R2/R3 с дуальным интерфейсом и эмуляцией MIFARE 1K, это будет сделать НЕЛЬЗЯ.
Q. Приложения в Global Platform и так развязаны, но есть иерархия ключей
Это ключ платежной системы. Да - компроментация ключа ПС "вырубает" всю сеть. Но что то я не слышал даже о межрегиональном приеме и вообще мультиэмитентной среде. Во-вторых - вся PKI инфраструктура IMHO еще не то что переварена, она даже не придумана ФСБ/ФСО (см docs.google.com/leaf )
в том числе - УЦ первого уровня не проходит полноценно тесты, то что в "грефовской карте" не ГОСТ, а RSA похоже для "компетентных лиц" было откровением , самостоятельно придумать карту GP - это вам не метрошные чипы делать - это ого-го какая интеллектуальная работа (Французы практически на 100% держать монополию на этом рынке - и быстрее они нам Мистраль продадут, чем исходные тексты чиповой операционки - это же их часть стратегии по установлению мирового господства :-) ) плюс - "контора" крайне нервно относится к динамическим Java приложениям - а это суть GP - в итоге мы скатываемся к уже вдоль и поперек наезженной 10-ти летней давности технологии EMV на до байтика отлаженных кодах "Золотая Корона", "Union Card", "U.E.P.S" - но не по цене распродажи, само собой разумеющейся при таком сроке аммортизации - а с наценкой на повторное ее "переоткрытие" и "ребрендинг" :-)
Q. И если владелец первого домена УЭК захочет, то завтра в системе обслуживания окажется задание на удаление/блокировку всех приложений на карте и владельцы вторых и третих ключей ничего с этим поделать не смогут
напоминаю - карта то чаще будет работать в off-line - а закон о "пространстве цифрового доверия" в части RFC 2560 - Online Certificate Status Protocol (OCSP) затух ( см tri-botinka.livejournal.com/18477.html )
Q. А если разместить ЭЦП как приложение, одним-двумя-тремя файлами
Вполне возможно - это зовется "карта памяти" и использовалось в картах GPM896 (BGS) и Motorolla Solaic (Золотая корона до 1994 года) - но это очень древнее решение - стоят $ 1 за килограмм :-) . Проблема в том что там лежит секретный ключ - который выковырять через последовательные порты (ISO 7816) сможет даже ребенок. Алгоритм подписи в компьютере - тоже легко подменяется. Поэтому развитием стали защищенные (R/O, W/O), потом микропроцессорные карты - которые применяли авторизацию по PIN , а затем и криптопроцессоры - которые вообще не показывали секретный ключ - а шифровали внутри карты и выдавали наружу уже результат. Но проблема "внешнего несекретного контура" осталась - и появились шифрующие PIN-pad, SAM модули - в итоге общение происходит не в компе, а специальной железке - и обмен происходит в шифрованном виде между двумя картами - клиентской и SAM. В случае вскрытия железка необратимо уничтожает секретную часть. Так было сделано в Эстонии и есть во всех микропроцессорных ПС.
Разумеется - если повырубать "все фичи" из карты GP можно сделать простую карту памяти. И микроскопом можно гвозди забивать (особенно если микроскоп стоит как гвоздь)
Q. Ведь разрешаем мы размещать ЭЦП на токенах, на флешках..
Флешка - флешке рознь . Сертификат ФСБ имеет лишь одна www.bifit.com/ru/company/press/usb-token.html
Q. Или я заблуждаюсь в реализации?
Я тоже "заблудился" таком управлении. Достаточно было взять справочник "Кто есть кто на пластиковом рынке России" (желательно сразу начать с буквы "Д" :-) - и спроектировать современную НПС. Чиновникам и Минэка, и МКС неоднократно говорили - ребята, заключаем договор - и "обконсультируем" вас до одурения.. Работаем абсолютно по-честному - конкурс, аукцион, хотите через разовые акты.. Но нет - пошли через освоение сметы. Вначале Минздравсоцразвития тратит 40 млн на какой то "Системный проект УЭК", затем что то тратил Минэк - и опять все крайне поверхностно. Понимание что в ИТ нужно делать или профессионально, или никак не пришло (машина-дура - она лозунгами не питается)
Ясно, что как сказал позавчера Дж,Уэлс в "Сколково" - "Боже вас упаси отдавать нормотворчество в частные руки. Бизнес думает только о прибыли и первым делом мечтает удавить конкурентов" .. но так есть принципы структуры управления - единоначалие, разделение контрольных функций и исполнительских, трассировка целеполагания на мероприятия и пр. - вот "разделяете и властвуйте". За государством - нормативка, за консорциум бизнеса - инвестиции, за экспертами - техстандарты и архитектура, за "свободными программерами" - наполнение ПО всего скелета применения.
Ведь главные цели УЭК какие в 210-ФЗ
1) "Подвинуть" международные системы Visa, Mastercard - создав им достойного локального конкурента - мультиэмитентную межбанковскую ПС - для того чтобы перенаправить $4 млрд ежегодных комиссий в российский ВВП и перестать за нами шпионить и "наказывать" за плохое поведение.
2) Перейти с магнитной карты на интеллектуальную , работающую в off-line , Internet, электроных деньгах, операторов связи - за счет этого открыть новые региональные рынки "кефирных платежей" и пр. - значительно повысив долю безналичных расчетов - а вследствие этого противодействовать коррупции и увеличению сбора налогов.
3) Унифицировать государственые, ведомственные, региональные, муниципальные ИС - так чтобы скажем соцкарта Рязани по соцприложениям однозначно считывалась в Белгороде, а бензиновая карта Татарстана в СПБ
4) Обеспечить сквозную юридическую значимость всех электронных действий и их однозначное принятие в нашем документообороте и судебных органах.
5) Создать надежные и конкурентные элементы инфраструктуры - изготовления карт, оборудования, финансовых брокеров, расчетных банков, производителей ПО
6) Включить механизмы ЧГП - минимизировав или "выключив" использование бюджетных средств - за счет самодостаточности и самоорганизации объектов УЭК+НПС
Q. Вот и я так думал, думаю что президент тоже так думал...А выходит нас ведут не в туда....
Вы знаете Владимир, а никто и не обещал легкого фана. На моем опыте было раз 10 попыток создания НПС. Об этом задумывались и Сибторгбанк, и ТУБ, и ИнкомБанк, и СБС-Агро, Российский Кредит, Онексим, STB-Card, и Union Card, и Золотая Корона, и Сбербанк, и .. ну в общем похожая мысль приходила в голову всем ~ 70 банкам, имеющим свой процессинговый центр "международного класса". Плюс это всегда была "голубая мечта" ЦБ РФ. Вам не приходило в голову что если бы для этого были условия - то это произошло бы гораздо раньше ? Ведь явно предыдущие инициаторы тоже были вполне себе успешны, богаты и власть к ним была вполне благосклонна. (Что касается граждан - увы промолчу, когда их кто особо спрашивал)
И каждый раз находилась какая нибудь пакость, недооцененная исполнителями - которая запарывала все дело. В классике - у того же И.Голдратта написано - что поиск "блока ограничений" - это почти что таинство - он НИКОГДА не на поверхности, на него вам не покажут пальцем - вы будете бесконечно отвлекаться на ложные цели - а в это время у вас под носом будут размножаться настоящие ужасы - политика, банкротство, интриги, обманы, воровство, лень, глупость, самонадеянность и куча других _реальных_ пороков в проекте. Как "вычислить" и вырвать этот корень зла - долго рассказывать - лучше прочитайте его "Теорию ограничений".
И в этой пробуксовке я коллег из АП, МКС, Минэка особо и не виню. Бюджетных денег на это в рамках ФЦП "ЭР" не ушло. А то что Сбер или Уралсиб "влипли" на ~ 300 млн. - ну так это их бизнес-риски. С другой стороны Сбер получил в 2010 г. рекордную прибыль (думаю в том числе на 100% отработав и лояльность государства) - так что в плюсе все равно остались.
Вывод - который можно сделать из этой темы - то что предложенные технологии, организованное взаимодействие и роли участников были выбраны неверно. Они не привели к успеху проекта. И было бы глупо начать заставлять играть в этот "покер" других участников (субъекты РФ, банки, производителей).
Не дай Бог мы бы начали играть в эти игры в каком-нибудь регионе со сложившейся инфраструктурой - не в Астрахани где приходилось начинать с чистого листа - а в Москве, Поволжье, Западной Сибири - там где уровень банковских технологий практически на мировом уровне, или скажем в СПб - где и Уралсиб и Сбер на заслуженных "вторых" ролях (поактивнее надо) - да там масштабы убытков и социальное недовольство что от внедрения стало только хуже - катапультировали бы проектную команду далеко на Альфу Центавра :-) Так что не разобравшись досконально в причинах неуспеха и не перегруппировав команду (со стороны банков, ФОИВ, ОГВ Субъектов, экспертов) и ключевые параметры целей и мероприятий - двигаться нельзя. Потеряем гораздо больше денег (по моей оценке не менее $2-3 млрд) - и тоже с очень скромным, на грани фола результатом.
Q. Будут ли сдвигаться сроки по 210-фз в части УЭК ? Как например это происходит со 152-фз
Не по зарплате вопрос :-) С точки зрения выполнения проекта - он неуспешен и есть за что 22-го числа "отхимерить". Я бы отметил "выдающуюся" роль безопасников - чтобы ни за год, а то и за 8 лет со времени 1-ФЗ не "родить" ни одного мало мальски нормативного (правового. технического) документа (из требуемых ~ 50) - это нужно шоколада переесть. Значит нужно брать EC-овские стандарты и их утверждать ГОСТом (ФЗ "О техническом регулировании" это позволяет) - снимая в педагогических целях по одной звездочке с погон проектной команды за каждый _вынужденно_ переведенный техстандарт и НПА. (В Ирландии 14-ти летняя девочка (!) придумала мощнейший алгоритм шифрования, в США - 17-ти летний - генное шифрование, да и Галуа был 21 год - вот как Родину любить надо..).
В общем, как жить дальше - а это уже другой проект, с другими задачами, бюджетами, целями и персоналиями.. История на этом не заканчивается...
P.S. Ввиду того что многие исполнители процесса по УЭК "тихушничают", часть личных выводов носила непрямой, косвенный и вероятностный характер. Готов предоставить площадку для ответной речи - нет ничего приятнее для ума чем созидательный и конструктивный спор, людей болеющих за одно дело.