Коррупция. Сертифицировано
АрхивЯ уже не скажу, который по счету, да и вряд ли кто-то это помнит, - круг согласования в думских комитетах прошла пачка альтернативных законопроектов, касающихся цифровой подписи. Точнее, не прошла: Комитет по безопасности рекомендовал разработчикам двух из них доработать документы до вынесения на первое чтение.
Я уже не скажу, который по счету, да и вряд ли кто-то это помнит, - круг согласования в думских комитетах прошла пачка альтернативных законопроектов, касающихся цифровой подписи. Точнее, не прошла: Комитет по безопасности 1 рекомендовал разработчикам двух из них доработать документы до вынесения на первое чтение.
Длинный список представленных экспертами замечаний носит в основном юридико-технический характер. Я хочу привлечь внимание к другому аспекту, который я бы назвал мистическим.
Так, правительственный законопроект предполагает, что «[п]ри создании ключей электронной цифровой подписи для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков и вреда, возникших в связи с […] несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей таких ключей» (Ст. 5, §2), «забывая» - и это очень характерно - указать на то, кто будет возмещать «убыток и вред» при использовании «сертифицированных средств».
Билль Тарачева-Шохина определяет порядок, согласно которому «[д]опускается использование не сертифицированных средств выработки ЭЦП» (Ст. 4, §2), но устанавливает, что «[в]ладелец закрытого ключа ЭЦП, использующий не сертифицированное средство ЭЦП, обязан обеспечить уведомление пользователей […]. В противном случае владелец закрытого ключа ЭЦП, использующий не сертифицированное средство ЭЦП, несет ответственность за убытки, понесенные пользователями соответствующего открытого ключа вследствие использования не сертифицированного средства ЭЦП» (§3), опять-таки «забывая» - вопреки всякой логике - распределить ответственность в случае использования «сертифицированных средств».
Эти клаузы - в которых «сертификация» вводится как некий магический акт - совершенно мистическим образом возникают практически в каждой версии биллей, сколько ни объясняй, к чему может привести мистика в имеющих силу закона документах, и сколько ее ни вычеркивай. И каждый раз сквозь «сертификацию» просвечивает та или иная схема нерыночного получения доходов связанными с «сертификаторами» частными компаниями.
Я покажу это на примере системы, которая может коснуться каждого. Публикуемый сегодня документ - это «Регламент регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации».
Взгляните на текст, и вы увидите ряд интересных особенностей.
-
Условием вхождения в систему документооборота ПФРФ - вполне государственной организации - ставится заключение с «ТехИнформКонсалтингом» - вполне частным обществом с ограниченной ответственностью - договора об использовании поставляемого этой компанией «сертифицированного средства» АРМ ФКМ «Верба» (см. также бланк заявления, приводимый во врезке). Читатель сообщает о сумме в 120 долларов, затребованной за лицензию на одно рабочее место.
-
Далее, обратившись к информации, представленной на сервере «ТехИнформКонсалтинга», можно обнаружить, что поставляемые этой компанией ФКМ («файловые криптоменеджеры») FcolseW «Верба» и FcolseOW «Верба-О» реализованы исключительно под Microsoft Windows 95/98/NT, которые, как известно, отнюдь не являются свободными продуктами, а лицензируются также только на коммерческих условиях по ценам, начинающимся где-то в районе 100 долларов.
Утверждая такой «регламент», государственная организация фактически открывает канал нерыночного получения доходов двум частным компаниям - одной российской, другой американской, принуждая своих контрагентов к приобретению прав на использование их программных средств.
-
Исследовав обстоятельства чуть глубже, можно увидеть еще одну интересную вещь. Из функциональности «сертифицированного средства» изъята процедура генерации пары ключей, являющаяся неотъемлемой функцией любого развитого криптопакета и присутствующая в линейке продуктов «Верба» (см. информацию на том же сайте). Читатель сообщает о сумме в 20 долларов, затребованной за генерацию каждой пары ключей.
И, наконец, обратите внимание, как органично общая коррупционная направленность документа сочетается с откровенным невежеством его составителей.
-
Из п. 3.4 следует, что криптография с открытыми ключами использована чисто номинально: фактически система является централизованной, и от каждого участника требуется полное доверие к «центру». Не нужно иллюзий: включение в так регламентированную систему документооборота равносильно согласию на то, что любой крестик, поставленный на бумаге, будет рассматриваться как эквивалент вашей собственноручной подписи.
-
В определениях читаем: «Закрытый ключ […] используется для […] шифрования. […] Открытый ключ […] предназначен для […] расшифрования».
Правда? - Понятно, что как только в глазах начали мелькать суммы, полученные умножением вымогаемой трехзначной (в долларовом выражении) суммы на количество потенциальных жертв вымогательства, ни желания, ни моральных сил прочитать даже популярную брошюрку о том, что такое криптография с открытыми ключами и для чего используются ключи открытые и ключи закрытые, уже не остается.
Обратите внимание, что эта коррупционная схема внедряется в условиях действующего, вполне либерального законодательства, оставляющего выбор технологии и средств ЭЦП на усмотрение сторон.
Лично у меня по мере погружения в тематику (с 1995 года и по сей день) энтузиазм по поводу юридической регламентации процедур цифровой подписи и государственной поддержки создания их инфраструктуры сменился умеренным скепсисом. Я не считаю соответствующее специальное законодательство абсолютно необходимым, хотя готов допустить, что при соблюдении ряда условий - к сожалению, длинного ряда - оно действительно способно подстегнуть процесс введения ЦП в деловой и гражданский оборот.
Тем не менее, если закон «Об ЭЦП» и принимать одной из основных задач, которые он должен решать, является закрытие лазеек для внедрения схем нерыночного получения доходов от «сертифицированных средств».
[i39545]
1 (обратно к тексту) - Протокол заседания от 27.04.01 на момент написания статьи еще не доступен.
УТВЕРЖДЕНО
постановлением Правления ПФР
от ______________№__________ 1
РЕГЛАМЕНТ
регистрации и подключения юридических и физических лиц к системе электронного документооборота
Пенсионного фонда Российской Федерации
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Регламент регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации (далее - Регламент) разработан в соответствии с требованиями законодательства Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) и нормативных актов Пенсионного фонда Российской Федерации (ПФР).
1.2. Регламент предназначен для органов ПФР, юридических и физических лиц для организации обмена электронными документами между юридическими, физическими лицами и органами ПФР в системе электронного документооборота ПФР с использованием средств криптографической защиты информации.
1.3. Юридические и физические лица, участвующие в электронном документообороте ПФР с использованием средств криптографической защиты информации «Верба-О\ОW», являются конечными абонентами системы электронного документооборота ПФР и не имеют права на предоставление средств криптографической защиты информации и услуг в области шифрования третьим лицам.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Абонент системы (АС) - юридическое или физическое лицо, включенное в систему электронного документооборота ПФР.
Закрытый ключ - криптографический ключ, который хранится абонентом системы в тайне. Он используется для формирования электронной цифровой подписи и шифрования.
Информационная безопасность (безопасность информации) - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.
Информационный обмен - обмен сведениями о лицах, предметах, фактах, событиях и процессах, независимо от формы их представления.
Информация конфиденциального характера (конфиденциальная информация) - любая информация ограниченного доступа, не содержащая сведений, относящихся к государственной тайне.
Ключ (криптографический ключ) - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.
Ключевая информация - конкретное состояние некоторых параметров алгоритма криптографического преобразования данных и формирования электронной цифровой подписи. В данном случае термин «ключ» означает уникальный битовый шаблон.
Компрометация ключа - утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.
Криптографическая защита информации (зашифрование, расшифрование) - процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром. Для зашифрования информации сторонами используется алгоритм криптографического преобразования ГОСТ 28147-89, программно реализованный в сертифицированном ФАПСИ средстве криптографической защиты информации. Расшифрование является обратным процессом зашифрования.
Орган ПФР - Исполнительная дирекция ПФР, Ревизионная комиссия ПФР, Информационный центр персонифицированного учета ПФР, региональные отделения ПФР, межрайонные и районные пункты ПФР, оснащенные средствами автоматизации для выполнения основных задач, стоящих перед ПФР.
Открытый ключ - криптографический ключ, который связан с закрытым с помощью особого математического соотношения. Открытый ключ известен всем другим абонентам системы, он предназначен для проверки электронной цифровой подписи и расшифрования, позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить закрытый ключ. Открытый ключ считается принадлежащим абоненту, если он был зарегистрирован (сертифицирован) установленным порядком.
Проверка электронной цифровой подписи - процесс определения целостности, подлинности и авторства электронного документа, подписанного электронной цифровой подписью, заключающийся в проверке соотношения, связывающего хэш-функцию документа, подпись под этим документом и открытый ключ подписавшего документ абонента. Если проверяемое соотношение, полученное сертифицированными средствами криптографической защиты информации, оказывается выполненным, то подпись признается правильным, а сам документ - подлинным, в противном случае документ считается недействительной. Процедуры выработки и проверки электронной цифровой подписи, а также хэш-функции соответствуют алгоритмам, определенных ГОСТ Р34.10-94 и ГОСТ Р34.11-94.
Сертификационный центр - юридическое лицо, имеющее лицензии ФАПСИ на изготовление и (или) поставку средств криптографической защиты информации, ключей шифрования и электронной цифровой подписи.
Сертификация открытого ключа - подтверждение соответствия сертификационного центра на регистрационных карточках открытых ключей и внесение данных открытых ключей в справочники открытых ключей.
Сертификат на средства криптографической защиты информации - документ, оформленный по правилам, действующим в Российской Федерации, удостоверяющий соответствие этих средств специальным требованиям и гарантирующий в течение определенного срока возможность использования данного средства в соответствии с заданными требованиями.
Система электронного документооборота ПФР (СЭД ПФР) - обмен сведениями о лицах, предметах, фактах, событиях и процессах, представляемых в электронном виде с использованием вычислительной техники, телекоммуникационных систем и сертифицированных ФАПСИ средств криптографической защиты информации.
Средства криптографической защиты информации (СКЗИ) - совокупность программных и технических средств, реализующих криптографические преобразования с исходной информацией и функцию выработки и проверки электронной цифровой подписи.
Электронный документ - информация, представленная в форме набора состояний элементов электронной вычислительной техники, иных электронных средств обработки, хранения и передачи информации, могущая быть преобразованной в форму, пригодную для однозначного восприятия человеком, и имеющая атрибуты для идентификации документа.
Электронная цифровая подпись (ЭЦП) - последовательность символов, полученная в результате криптографического преобразования исходной информации, которая позволяет подтверждать целостность и неизменность этой информации, а также ее авторство.
Электронный документ оформлен надлежащим образом - электронный документ заполнен в соответствии с требованиями нормативных актов ПФР.
Электронный документ принят - орган ПФР получил надлежащим образом оформленный электронный документ, его расшифровал, успешно проверил все необходимые для данного типа документа электронные цифровые подписи и принял его к исполнению.
3. ПОРЯДОК РЕГИСТРАЦИИ И ПОДКЛЮЧЕНИЯ
К СИСТЕМЕ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ПФР
3.1. Юридические, физические лица направляют на имя руководителя органа ПФР письменное заявление о подключении его к системе электронного документооборота ПФР.
3.2. Получив письменное заявление от юридического, физического лица на его подключение к системе электронного документооборота ПФР, орган ПФР направляет в его адрес следующий пакет документов:
Соглашение об обмене электронными документами в системе электронного документооборота ПФР (приложение 1);
номер ключевой серии, выделенный данному органу ПФР;
номера ключей шифрования и электронной цифровой подписи из данной ключевой серии, выделенные органу ПФР;
Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации (приложение 2).
3.3. Порядок действий юридического и физического лица:
заключение договора с сертификационным центром на изготовление и поставку средств криптографической защиты информации, ключей шифрования и электронной цифровой подписи (далее - продукция) и направление его в сертификационный центр;
проведение мероприятий по подготовке к эксплуатации средств криптографической защиты информации в соответствии с Требованиями к юридическим и физическим лицам, на которые распространяется действие лицензий ФАПСИ, выданных Пенсионному фонду Российской Федерации (приложение 3);
назначение из числа своих сотрудников администратора информационной безопасности организации и его заместителя и направление их на обучение в сертификационный центр.
Физическое лицо, как самостоятельный участник электронного документооборота ПФР является администратором информационной безопасности в одном лице.
3.4. Сертификационный центр в соответствии с договором производит изготовление продукции. Уполномоченные должностные лица сертификационного центра оформляют Акт об изготовлении криптографических ключей (приложение 4) в трех экземплярах. Два экземпляра направляются другой стороне, один остается в сертификационном центре.
3.5. Юридическое и физическое лицо получает продукцию в соответствии с договором.
3.6. Юридическое или физическое лицо оформляет Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации и направляет своего администратора информационной безопасности либо прибывает самостоятельно в подразделение по защите информации органа ПФР для предварительной регистрации и инструктажа с комплектом документов, в состав которого входит:
Соглашение об обмене электронными документами в системе электронного документооборота ПФР (приложение 1), подписанное юридическим или физическим лицом;
Контрольный лист с образцами печати юридического лица и личной подписью руководителя (контрольный лист физического лица также представляется с образцом его личной подписи);
Выписку из приказа о назначении администратора информационной безопасности и его заместителя у юридического лица, заверенную печатью и подписью руководителя;
Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации (1 экз.);
Акт об изготовлении криптографических ключей (1 экз.);
Акт о готовности к эксплуатации программно-аппаратного комплекса, защищенного СКЗИ (1 экз.) (приложение 5);
Открытые ключи шифрования и электронной цифровой подписи;
Сертификаты открытых ключей (регистрационные карточки, 1 экз. остается в органе ПФР);
Справочник открытых ключей.
В подразделении по защите информации органа ПФР с администратором информационной безопасности проводится обмен открытыми ключами шифрования и электронной цифровой подписи, паролями для организации системы оповещения о компрометации ключей по телефонной сети общего пользования, а также вносятся дополнения и изменения в справочники.
3.7. При соблюдении юридическим или физическим лицом всех вышеуказанных условий руководитель органа ПФР подписывает Соглашение об обмене электронными документами в системе электронного документооборота ПФР. После чего юридическое или физическое лицо становится абонентом системы электронного документооборота ПФР.
1 (обратно к тексту) - Дата подписания в редакции отсутствует. Орфография и грамматика оставлены в неприкосновенности.
Управляющему отделением ПФР
по Тамбовской области Т.И.Козловской
(наименование организации)
просит подключить нас к системе электронного документооборота ПФР для представления сведений индивидуального (персонифицированного) учета в электронной форме с использованием АРМ (ФКМ - файловый криптоменеджер) СКЗИ «Верба».
Руководитель предприятия - владелец ЭЦП (ФИО полностью)
Приложение - копия платежного поручения об оплате (приобретении) ФКМ в ООО «ТехИнформКонсалтинг».
ФИО руководителя подпись
дата