поиск по сайту
PKI для гражданского общества: проект нового ФЗ «Об ЭЦП»

Конявская С. В., к.ф.н.

Россия, Москва

PKI для гражданского общества: проект нового ФЗ «Об ЭЦП»

Презентация: смотреть, скачать

Совершенно замечательной тенденцией нашего времени стало то, что средства защиты информации начинают выбирать не только исходя из перечня их свойств и абстрактных преимуществ одного перед другим, а исходя из потребностей той системы, в которой их планируется применять. Это закономерный шаг вперед, поскольку в плюсах и минусах технических реализаций представленных на рынке средств специалисты уже прекрасно разбираются, и взять их на пушку «защищать информацию можно только так» уже нельзя.

Более того, если говорить о криптографических средствах, то многие технические сомнения снимаются данными о том, какие именно алгоритмы реализованы в устройстве (или программе), программно или аппаратно выполняются вычисления, откуда берутся, где хранятся и как обрабатываются ключи, и, наконец, есть ли у средства защиты сертификаты, и какие именно.

Значит ли это, что выбор криптографического средства становится формальным? Думается, что нет. Это значит, что на первый план выходит соответствие средств защиты задачам конкретной системы.

И невозможно переоценить тот факт, что эти аспекты начинают уже сейчас, а не когда-то в далеком будущем, отражаться и в документах, регулирующих отношения в этой сфере. В этом смысле проект нового ФЗ «Об электронной подписи» вводит целый ряд очень важных нюансов, известных специалистам и раньше, но не закрепленных до сих пор нормативно.

Концептуально зависимость выбираемого средства от цели, для которой оно выбирается, зафиксирована в Статье 3:

«Статья 3. Правовое регулирование отношений в области использования электронных подписей.

1. Отношения в области использования электронных подписей регулируются настоящим Федеральным законом, иными федеральными законами и законами субъектов Российской Федерации, принимаемыми в соответствии с ними нормативными правовыми актами, а также соглашениями участников отношений в области использования электронных подписей (далее - участники отношений).

2. Порядок использования электронных подписей в информационной системе, пользователями которой является определенный круг лиц, может устанавливаться владельцем системы или соглашением участников отношений, если иное не установлено законодательными или иными нормативными актами Российской Федерации.

3. Принципами регулирования отношений в области использования электронных подписей являются:

1) возможность участников отношений по своему усмотрению использовать любой вид электронной подписи, если иное не предусмотрено законодательными или иными нормативными правовыми актами или соглашением участников отношений;

2) возможность использования участниками отношений по их усмотрению любой технологии и (или) технических средств, позволяющих выполнить требования настоящего Федерального закона.

3) соответствие требований к виду электронной подписи, устанавливаемых законодательными и иными нормативными правовыми актами, целям, в которых используется электронная подпись;

4) недопустимость признания электронной подписи недействительной только на том основании, что она не является собственноручной подписью либо создана с использованием технологий, не требующий сертификата ключа подписи».

Хотя в этом проекте закона есть еще целый ряд совершенно принципиальных моментов, я в своем сообщении остановлюсь на том аспекте применения ЭЦП, который наиболее тесно связан именно с этой статьей. На применении ЭЦП для организации защищенной коммуникации с использованием информационных систем и сетей связи.

Коммуникация - это не однородное понятие.

Мы можем вступать в коммуникацию в одной из трех ипостасей -

  • как личность с другой личностью,
  • как гражданин с различными государственными институтами,
  • как член гражданского общества с другими его членами или обществом в целом.

Эти виды взаимодействия значительно различаются, и вступаем мы в них с разными целями. Как личность я встречаюсь в кафе с друзьями, как гражданин государства я взаимодействую с его представителями - чиновниками различного уровня, как член гражданского общества - посещаю массовые мероприятия, вступаю в клубы по интересам и пишу на профессиональных форумах в Интернете.

В сфере электронного информационного взаимодействия актуальны те же принципы - человек вступает в коммуникацию либо с личностью, либо с государством, либо с обществом. Учет особенностей коммуникации поможет свести к минимуму существенную часть трудностей, возникающих при внедрении криптографии в информационную систему, ведь большинство этих трудностей связано именно с тем, что на систему накладываются не совсем подходящие для нее защитные механизмы. Применяя инфраструктурные решения, соответствующие виду взаимодействия, трудности внедрения можно, по крайней мере, значительно ослабить. И новый проект ФЗ «Об ЭЦП» предоставляет такую возможность.

Основным инфраструктурным элементом построения защищенного электронного документооборота является система распределения открытых ключей - инфраструктура PKI. 

К вопросу обмена открытыми ключами (а соответственно, к построению PKI) может быть три подхода:

1. обмен ключами непосредственно между пользователями (личностями) - прямой обмен ключами «из рук в руки»,

2. система «паспортов», когда удостоверение связи открытого ключа и пользователя вменяется в обязанность уполномоченной организации, которой пользователи должны доверять - система Удостоверяющих Центров

3. система общественных поручителей (когда пользователи подписывают открытые ключи других пользователей, «ручаясь» за его подлинность) - «сеть доверия».

Российская инфраструктура открытых ключей до сих пор строилась преимущественно по иерархическому принципу - системы удостоверяющих центров, выдающих цифровые сертификаты. Это логично, поскольку PKI в нашей стране получает распространение через государственные институты к общественным, а не наоборот.

Однако вне парадигмы «гражданин - государственный институт» такой способ построения документооборота не всегда удобен.

С одной стороны, если организация небольшая и не распределенная, не имеет большого количества удаленных один от другого филиалов, а документы, циркулирующие в системе, используются только внутри организации и не предназначены для предъявления другим секторам действенности, то включение в систему документооборота удостоверяющего центра и принятие всех связанных с этим оргмер, просто не целесообразно.

С другой стороны, иерархическая система имеет особенность, критичную для крупных и территориально распределенных организаций, для которых принципиальное значение имеет бесперебойность работы с электронными документами, обрабатываемыми в их системе. Речь идет о том, что система удостоверяющих центров предполагает наличие «цепочки сертификатов», восходящей к корневому УЦ, и подтверждающей доверенность всех входящих в цепочку УЦ. Логика иерархической системы такова, что отзыв сертификата одного из УЦ разрушает всю цепочку ниже его. Это может вызвать коллапс системы электронного документооборота на предприятии.

В случае если речь идет об обращении гражданина в государственные органы или о взаимодействии государственных органов между собой, то применение цифровых сертификатов просто обязательно. Согласно проекту нового ФЗ «Об ЭЦП» обязательно иметь сертификат ключа подписи (причем не любой, а квалифицированный) должна только «квалифицированная ЭЦП», применяющаяся именно в таких случаях.

Однако для других целей (например, построения защищенной системы ЭДО в крупной организации, распределенной территориально) может быть целесообразной создание собственной «сети доверия».

В основе «сети доверия» лежит очень простая логика: когда человек вступает в коммуникацию как член гражданского общества, а не как представитель государства, он не обязан включать в свою коммуникацию никакую организацию, даже уполномоченную государством. Поэтому удостоверять принадлежность открытого ключа человеку может другой человек, убежденный в этой принадлежности, путем подписания этого ключа собственной ЭЦП.

Эта система лежит в основе стандарта OpenPGP, на котором базируется программа PGP (Pretty Good Privacy). PGP сложна в настройке и не работает с российскими криптоалгоритмами, однако сегодня на российском рынке уже есть средства криптографической защиты информации, работающие в этой логике с российскими алгоритмами и несложно настраиваемые.

В небольшой же компании может быть наиболее удобным прямой обмен ключами, если используемое техническое средство позволяет производить его удобно и защищенно.

Согласно проекту нового закона все три подхода к PKI позволяют (при условии соответствия используемого технического средства изложенным в законе требованиям) организовывать систему электронного документооборота или электронную коммуникацию, защищенную не только простой, но и усиленной ЭЦП.

Остается только один фактор, ограничивающий владельца системы или участников отношений в выборе: они могут использовать только те механизмы, которые предоставляют им технические средства ЭЦП.

ПСКЗИ ШИПКА предоставляет возможность использования усиленной ЭЦП с применением любого из трех подходов к организации PKI, а с учетом того, что в ШИПКЕ реализована и возможность работы с УЦ, ее можно применять и для создания квалифицированной ЭЦП. Говорить об этом наверняка пока невозможно просто из-за того, что пока не принят ФЗ, нет аккредитованных УЦ, выдающих квалифицированные сертификаты. Однако, работая с рядом УЦ, мы можем предполагать с достаточной степенью уверенности, что в случае принятия нового ФЗ «Об ЭЦП», эти УЦ станут аккредитованными.

Подводя итог, хочется отметить, что нет, в принципе, никаких препятствий к тому, чтобы во всех случаях для организации доверенного обмена информацией использовать систему цифровых сертификатов, равно как вполне можно пускать знакомых в квартиру только по предъявлении паспорта, например. Однако не случайно где-то спрашивают паспорт, где-то пропуск, а где-то - медицинскую справку. Для разных систем актуальны разные документы, формирующиеся, обрабатывающиеся и предъявляющиеся по-разному. Разными должны быть и средства защиты.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них