Архивы: по дате | по разделам | по авторам

Алексей Кузовкин: «Сертификат необходим любой компании»

Архив
автор : Максим Отставнов   01.03.2001

С конца прошлого года информационно-аналитическое агентство «РосБизнесКонсалтинг» импортирует в Россию услуги по сертификации ключей, предоставляемые компанией Thawte. На вопросы отвечает вице-президент по информационным технологиям РБК Алексей Кузовкин.

С конца прошлого года информационно-аналитическое агентство «РосБизнесКонсалтинг» импортирует в Россию услуги по сертификации ключей, предоставляемые компанией Thawte. На вопросы отвечает вице-президент по информационным технологиям РБК Алексей Кузовкин.

Я помню, что РБК стал первым из российских поставщиков массового контента, начавшим аутентифицировать его передачу. Понятно, что распространение от имени информационного агентства подложной информации способно нанести большой ущерб как репутации агентства, так и, разумеется, тем, кто попытается воспользоваться информацией. А какие еще категории бизнесов проявляют интерес к продаваемым вами сегодня услугам 1 по сертификации ключей?

- «РосБизнесКонсалтинг» приобрел SSL-сертификат у фирмы Thawte еще в ноябре 1996 года, когда мы впервые в России начали онлайн-трансляцию торгов РТС.

Надо сказать, что сбор документов, необходимых для приобретения сертификата, переписка и согласование деталей с Thawte - в общем, вся процедура оформления - потребовали много времени и сил, и мы уже тогда подумали, что было бы здорово, если бы у Thawte был свой представитель в России. Но, как вы понимаете, в 1996 году это было не столь актуально.

Сейчас ситуация в корне изменилась, и такой сертификат необходим любой компании, ведущей бизнес (или его часть) в Сети (то есть компании, имеющей не просто представительский сайт).

Примеров можно привести очень много. Одними из первых покупателей стали «МТС» и «Билайн». На сайте «МТС» есть Интернет-служба обслуживания абонентов (ИССА), с которой работают многие клиенты компании, а «Билайн» продает мобильные телефоны через Интернет. Банки, купившие через нас SSL-сертификат («Экспобанк», «БИН-банк» и другие), также предоставляют своим клиентам услуги в Сети (просмотр счетов, оплата через Интернет и т. д.), а страховые компании (например, «Прогресс-Гарант») осуществляют страхование онлайн. И любая процедура, начиная от просмотра закрытой информации и заканчивая Интернет-платежами, требует верификации сервера и соответственно SSL-сертификата.

Насколько оформлен спрос? Приходят ли к вам клиенты, готовые купить «услугу в конверте» (то есть точно знающие, что и зачем им нужно), или требуется параллельная консультационная работа?

- Приходят к нам в основном руководители ИТ-департаментов, менеджеры Интернет-проектов, то есть люди, представляющие себе, зачем все это нужно. Вопросы задают, как правило, по процедуре оформления: какие документы нужны, сколько времени это займет и тому подобное.

Thawte вошла в число крупнейших сертификаторов (CA) во многом благодаря тому, что Verisign была фактически отрезана от зарубежных рынков существовавшими в США до начала прошлого года ограничениями на экспорт соответствующих услуг. Сейчас все поменялось: и экспортное регулирование в Америке существенно либерализовано, и сама Thawte входит в Verisign. Как бы вы охарактеризовали специфику положения на рынке вашего партнера сегодня?

- До недавнего времени на этом рынке существовало всего два крупных игрока: Thawte и Verisign. После объединения этих двух компаний у них фактически нет конкурентов. Сертификаты Thawte, естественно, отвечают всем стандартам безопасности и надежности, просто Thawte работает в другом ценовом сегменте, нежели, скажем, Verisign (теперь, конечно, можно говорить о них только как о разных марках одной и той же фирмы). Но никаких коренных отличий между этими сертификатами не существует.

Скоро ли появятся российские CA?

- Российские СА уже существуют, но пока на этом рынке они неконкурентоспособны. Дело в том, что западная криптография развивалась дольше, и уровень сертификатов той же Thawte абсолютно несравним с отечественными разработками. А потом огромную роль играет доверие к имени сертификатора, и здесь все преимущества, конечно, на стороне Thawte-Verisign. И главное, чтобы выйти на серьезный уровень, российским производителям необходимо получить поддержку ведущих мировых производителей браузеров, а сделать это будет непросто, если не сказать невозможно.

Сегодня существует значительный зазор между декларируемыми функциями аутентификации контента и их техническим воплощением. В частности, все (если я не ошибаюсь) широко используемые браузеры, поддерживая защищенное соединение, не позволяют сохранить сессию, в ходе которой была произведена аутентификация. Иными словами, у меня есть субъективная уверенность в том, что сертификат предъявлен, но нет технической возможности продемонстрировать это кому-то постфактум, тем менее - доказать. Прогнозируете ли вы изменение ситуации? Кто и что должен для этого сделать?

- На самом деле, ситуация, как мне кажется, немного искусственная, хотя и вероятная. Если действительно необходимо продемонстрировать кому-либо, что производилась защищенная сессия с сертифицированным сервером постфактум, нет, видимо, другого выхода, кроме как обратиться с письмом в компанию с просьбой предоставить логи сервера, доказывающие, что была проведена защищенная сессия. Способ, конечно, не очень удобный, но и ситуация, как мне видится, не слишком распространенная.

Во всяком случае, компании-сертификаторы и производители браузеров этой проблемой пока не озадачились, что говорит о ее малой актуальности.

Последние годы во многих странах активно готовятся и принимаются законы об электронной торговле, о цифровых подписях и т. п., затрагивающие не только обмен цифровыми документами, но и вопросы аутентификации контента, предоставляемого ко всеобщему сведению (в частности, посредством заворачивания http-, ftp- и т. п. трафика с сайтов в SSL). Многие (в том числе я) считают, что большинство такого рода актов изрядно профанируют достаточно сложные вопросы, в частности, аналогия, проводимая в них между собственноручной подписью и формированием цифровой подписи, чересчур прямолинейна. Какие-то комментарии?

- Во-первых, хотелось бы подчеркнуть, что между цифровой подписью и SSL-сертификацией нет ничего общего, кроме собственно назначения - обеспечения защиты «пирингового» обмена. SSL - это в большей степени «Интернет-технология», SSL-сертификат подтверждает, что некие данные не искажаются во время сессии, а цифровая подпись заверяет документ. Они безусловно дополняют друг друга, но их нельзя противопоставлять.

Кстати, как недавно сообщило Интернет-издание Cnews.ru, закон «Об электронной цифровой подписи» 2, скорее всего, не будет принят Думой, по крайней мере, раньше мая сего года.

Что касается аналогии между подписью собственноручной и цифровой… С юридической точки зрения между ними не должно быть никакой разницы, так что я не вижу никакой профанации, и откладывание принятия закона о цифровой подписи, с нашей точки зрения, тормозит развитие российской электронной коммерции.

С другой стороны, сами услуги, предоставляемые сертификаторами (и Verisign, и Thawte, услуги которой вы предлагаете), сопровождаются fine prints, которые, вообще говоря, настолько ограничивают ответственность сертификатора, что в ряде случаев возникают сомнения: а в чем смысл услуги? Вообще, нужна ли централизованная сертификация ключей сайтов, цифровой подписи и т. п. без развитого института страхования информационных рисков?

- Собственно, именно поэтому в последнем варианте Закона «Об ЭЦП» предусматривалась обязательная сертификация ФАПСИ средств безопасности в сфере электронных платежей. Но вот что интересно: ФАПСИ не готова нести материальной, экономической ответственности в том случае, если сертифицированные средства окажутся недостаточно безопасными.

В нашем случае речь может идти, пожалуй, только о доверии марке. Но на Западе деятельность Verisign-Thawte не нуждается в дополнительном сертифицировании, вполне достаточно выданной один раз лицензии.

Не опасаетесь ли вы, что регуляторы могут попытаться ограничить импорт таких услуг?

- Такие опасения уже высказываются. 8 февраля, выступая на конференции «Информационные технологии на фондовом рынке XXI века», президент ассоциации «РусКрипто» Алексей Волчков обвинил ФАПСИ в попытке монополизировать рынок криптографических средств 3. В России общий объем рынка средств защиты информации в 2000 году эксперт оценил в 1 млн. долларов, при общемировом объеме 135 млн. долларов.

Алексей Волчков, будучи членом Экспертного совета по электронной коммерции при Президенте РФ, выступил с критикой в адрес руководителей агентства, заявив, что правительственный вариант законопроекта «Об ЭЦП» до сих пор не поступил в Государственную Думу из-за того, что все согласовывающие органы не могут договориться с ФАПСИ: «Все, кто первоначально завизировал этот проект, отозвали свои подписи после того, как в документ были внесены правки специалистами ФАПСИ, принуждающие участников рынка использовать исключительно сертифицированные агентством средства криптозащиты». То есть речь идет даже не о лоббировании российских разработчиков, а о монополии одного ведомства.

Но мы надеемся на здравый смысл российских госорганов, тем более что западные разработки в этой области не имеют себе равных.

Можете ли вы раскрыть цифры? Сколько сертификатов ключей сайтов уже продано в России? Проявили ли интерес разработчики софта к соответствующим услугам? Какова динамика спроса?

- На сегодняшний день через РБК реализовано более семидесяти сертификатов, и динамика спроса достаточно равномерна. В месяц продается около тридцати сертификатов.

С февраля мы предлагаем новые сертификаты: сертификат разработчика (защита ПО, распространяемого через Интернет), именно он может быть особенно интересен разработчикам софта, и диспетчер PKI (приобретя его, пользователь сможет самостоятельно выпускать и отзывать сертификаты для своих доменов). Так что, думаем, спрос еще вырастет.

[i38554]


1 (обратно к тексту) - Описание см. на www.rbc.ru/info/info_ssl.shtml. - Здесь и далее прим. ред.
2 (обратно к тексту) - Этот билль, внесенный депутатом Тараченковым, открыт для комментирования на www.libertarium.ru/libertarium/80592.
3 (обратно к тексту) - Позиция Ассоциации выражена в документе «О состоянии развития открытой криптографии в России», подготовленном к международной конференции «РусКрипто-2001», состоявшейся в начале февраля. Материал, посвященный этому мероприятию, готовится к публикации в «Компьютерре».
© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.