Архивы: по дате | по разделам | по авторам

ЭЦП — год в законе

Архив
автор : Андрей Акопянц   04.03.2003

 Недавно мы отметили юбилей Федерального закона 1-ФЗ «Об электронной цифровой подписи» от 10.01.2002.

  Недавно мы отметили юбилей Федерального закона 1-ФЗ «Об электронной цифровой подписи» от 10.01.2002. То есть уже год, как у нас электронная подпись де-юре приравнена к собственноручной. Что же произошло за этот год и как сегодня выглядит правовая и рыночная ситуация в этой области?

Закон и жизнь
Идиотизм российских законов компенсируется
необязательностью их исполнения.
Народная интерпретация
классической цитаты

По поводу закона можно сказать очень просто — он не работает. Кроме массы подводных камней, заложенных в текст закона, из-за которых в своем нынешнем виде он не может работать в принципе, есть причина более очевидная: Минсвязи и ФАПСИ никак не договорятся, кто из них будет лицензирующим органом для удостоверяющих центров.
Кто сильнее — слон или кит, выяснится, думаю, довольно скоро, а вот что будет лучше для рынка — сказать трудно. Оба ведомства имеют плохую репутацию как регуляторы, но в ФАПСИ, по крайней мере, есть специалисты по криптографии.
А жизнь идет своим чередом. Она как обходилась без закона, так и сейчас обходится. Дело в том, что для использования ЭЦП ограниченным и заранее известным кругом участников (в так называемых корпоративных системах) никакой закон не нужен — работа возможна на основании Гражданского кодекса, признающего «аналоги собственноручной подписи», и договоров между участниками. Большинство работающих систем электронного документооборота относится именно к этому классу — системы «банк-клиент», биржевые площадки и др.
Правда, в прошлом году после принятия Закона банки охватила легкая паника, поскольку деятельностью удостоверяющего центра они вроде как занимаются, а требованиям закона не удовлетворяют (и не могут в принципе — см. выше). А деятельность без лицензии, как известно, чревата… Но банковские юристы быстро объяснили, что электронная подпись, которой системы «банк-клиент» подписывают документы, вовсе не «подпись в законе» а просто такой аналог собственноручной подписи. И от греха подальше перестали употреблять термин ЭЦП в договорах. И все сразу успокоилось.
Недавно случилось еще одно приятное событие для пользователей корпоративных систем ЭЦП. Принят новый Арбитражный кодекс, обязывающий арбитражные суды принимать электронные аналоги собственноручной подписи наравне с другими доказательствами. И для практики использования ЭЦП это значит, пожалуй, больше, чем Закон.

…Sed Lex
Реально закон нужен для так называемых открытых систем, в которых участники не связаны договорными отношениями, — розничных сделок в электронных магазинах, взаимодействии граждан с государством в рамках систем «электронного правительства», публикации официальных документов и оферт в электронном виде и др. Все это вещи, конечно, нужные, но не подкрепленные существенными финансовыми интересами — корпоративные системы сейчас гораздо более актуальны. И вообще реальные перспективы Закона достаточно смутны: после определения лицензирующего органа тому придется организовать внесение поправок, поскольку в своем нынешнем виде закон работать не может, и процесс этот может затянуться еще на год-два.
Правда, в Питере уже существует организация с простым и емким названием «Удостоверяющий центр», утверждающая, что она работает в соответствии с Законом на основании некоего пилотного (чуть ли не устного) разрешения ФАПСИ. В Центре говорят, что выдали уже несколько тысяч ключей. Интересно, что они будут делать и как нести обязательства перед клиентами, если победит Минсвязи?
Существуют и другие организации, «бегущие впереди паровоза», — например, Удостоверяющий центр МосЖилРегистрации, уже вроде бы оказывающий коммерческие услуги.
На «низком старте» находятся и серьезные игроки: опытную эксплуатацию ПО удостоверяющего центра начал РОСНииРОС, создает аналогичную инфраструктуру «Демос». Они, впрочем, вряд ли рискнут работать без лицензии.

PKI
Кроме наработки опыта игнорирования закона, за этот год произошла еще одна важная вещь: появился начальный спрос, и начал формироваться рынок PKI (Public Key Infrastructure) — систем поддержки инфраструктуры открытых ключей.
PKI нужны для поддержки масштабных систем электронного документооборота и организации защиты доступа компьютеров и систем. Первое применение очевидно, а вот второе мы рассмотрим подробнее.
Представим себе компанию, в которой тысячи сотрудников работают с некой системой, содержащей критически важную информацию. В этом случае доверять механизмам авторизации через пароли страшно — люди склонны использовать простые пароли, записывать их на бумажках, прикрепленных к мониторам, и т.д. Кроме того, возможен перехват пароля в момент ввода его с клавиатуры или путем сканирования сети и др. К тому же сама система хранения паролей становится слабым звеном в цепи мер безопасности — у системного администратора появляются слишком широкие возможности.
Наиболее безопасным выходом является использование системы открытых/закрытых ключей, где секретный ключ (аналог пароля) существует в единственном экземпляре у пользователя, централизованно хранятся только открытые ключи (сертификаты), а при входе в систему в качестве проверки выполняется некое действие, возможное только при наличии закрытого ключа — скажем, расшифровка строки, зашифрованной открытым ключом.
Это имеет смысл в основном при использовании специальных устройств — смарт-карт, токенов, брелков touch memory, хранящих в себе закрытые ключи и умеющих выполнять соответствующее действие (например, расшифровку поданной на вход строки). Для управления всей это системой ключей и используются PKI. А поскольку у пользователя уже есть секретный ключ и устройство, его хранящее, то этим ключом можно и документы подписывать…
Причем, поскольку авторизация входа в систему и подписывание отсылаемых системой документов требует определенной интеграции между системой и PKI, одной из характеристик PKI является перечень корпоративных систем, с которыми она интегрирована.

Что на рынке?
Сейчас на рынке фигурируют три фирменные PKI-системы:
- Entrust (www.entrust.com, дорогая);
- Baltimore (www.baltimore.com, еще дороже);
- Keyon (www.rsasecurity.com, подешевле).
У всех трех цена зависит от количества поддерживаемых рабочих мест (выданных сертификатов) и исчисляется десятками долларов на место. У каждой имеются свои плюсы и минусы: скажем, Baltimore хорошо интегрируется с Lotus Notes, но не интегрируется с SAP R/3 и не поддерживает сертифицированные ФАПСИ криптосредства, то есть не может использоваться для работы с госучреждениями. Что, впрочем, не помешало компании «КомпьюЛинк» рапортовать1 о внедрении Baltimore на тысячу рабочих мест в некой неназванной крупной финансовой структуре. Entrust хорошо работает с SAP R/3, а Keyon умеет работать с сертифицированными криптомодулями от «КриптоПро» (упоминавшийся выше питерский Удостоверяющий центр работает именно на Keyon).
Есть на рынке и пара систем от отечественных разработчиков — «Удостоверяющий центр» от «КриптоПро» (www. cryptopro.ru/CryptoPro/product5. html), весьма недешевый, и «КриптоТраст» (www.lancrypto.com/index. php?div=products&id=12) от «ЛанКрипто» (подешевле). О качестве и перспективах этих продуктов судить трудно, но «КриптоТраст», скорее всего, укрепится в банковской сфере, где позиции фирмы «ЛанКрипто» традиционно сильны, а «КритоПро», похоже, будет добровольно-принудительным решением для государственных органов, если в борьбе кита со слоном победит ФАПСИ.
В общем, предложение на рынке явно превышает спрос, и выбор, как обычно, нужно делать исходя из детального анализа задачи. Забавный факт: на конференцию «РусКрипто-2003» заявленные представители «КриптоПро» приехать не смогли, так как, по слухам, все были мобилизованы на реанимацию своего центра сертификации, упавшего в каком-то важном учреждении.

 

Как известно, технология ЭЦП основана на том, что у каждого пользователя существует пара ключей — секретный (закрытый) и открытый, который знают все. При этом с помощью закрытого ключа можно подписывать документ, а с помощью открытого — проверять подлинность подписи. На самом деле есть еще одна интересная возможность — зашифрованный открытым ключом документ можно расшифровать, только зная закрытый ключ. Именно это позволяет относить средства ЭЦП к криптографическим и распространять на них соответствующее регулирование.
Если нас двое и мы обмениваемся документами, то все просто: мы сгенерировали ключи, обменялись открытыми ключами и без всяких посредников подписываем и проверяем подписи под нашей перепиской. Если у меня что-то случилось с ключом, я просто сгенерирую еще один и вышлю партнеру новый открытый ключ.
Но если участников обмена сотни и тысячи, то такие подходы не работают и используется несколько более сложная технология — так называемые сертификаты ЭЦП. Сертификат ЭЦП — это открытый ключ с некоторой дополнительной информацией о его владельце, подписанный еще одним ключом, принадлежащим некоему центру сертификации (Certificate Authority — CA), которому мы все доверяем.
То есть, получая подписанное письмо и сертификат подписи, я могу проверить известный мне ключ Центра и быть уверенным, что подписал письмо именно тот, кто указан в сертификате. Если, конечно, ключом не завладел кто-то другой. В последнем случае владелец сертификата должен быстро сообщить об этом Центру, и сертификат будет отозван.
Для отзыва сертификатов и выдачи новых могут быть и более прозаические основания — например, изменение данных о владельце, записанных в сертификате, или окончание срока действия сертификата (они всегда выдаются на определенный срок). Поэтому я должен иметь возможность быстро проверить, действует ли еще некий сертификат, так что поддержка списков отозванных сертификатов (Certificate Revocation List) — важнейшая функция CA.

1 Согласно сообщению представителя «КомпьюЛинк» на «РусКрипто».

А будет ли мальчик?
«Не спеши, сын мой. Сейчас мы медленно спустимся с горы…»
Известный анекдот

Крупные российские компании, уже наигравшиеся с ERP и задумывающиеся об электронном документообороте, начинают присматриваться к рынку PKI, а системные интеграторы создают подразделения по системам безопасности, заключают дистрибьюторские соглашения с ведущими поставщиками PKI и готовят маркетинговые материалы для «впаривания» своим клиентам.
PKI входят в моду, и наверняка на этой волне какое-то количество продаж вышеупомянутой «большой тройки» в России будет иметь место. Но что касается сколько-нибудь массового рынка — тут есть большие сомнения. Потому что на этом рынке есть еще один игрок — Microsoft.
История показывает, что когда MS выходит на некий рынок, она делает это не спеша, но в конечном счете, как бык из анекдота, процитированного в эпиграфе, «имеет все стадо». Мы наблюдали это с операционными системами, офисными приложениями, браузерами, email-клиентами и SQL-серверами (сейчас MS SQL успешно теснит даже Oracle в его исконной нише — больших системах, а других реальных игроков на рынке и не осталось2).
Microsoft Certificate Authority не поставляется как отдельный продукт, а входит в состав Windows Server 2002. Конечно, как все первые версии продуктов от Microsoft, MS CA сейчас отнюдь не лучший продукт на рынке. Но он бесплатен.
Поставщики «больших» PKI указывают, что в нем нет кросс-сертификации, он плохо масштабируем (до тысячи сертификатов), не поддерживает автоматическую плановую замену сертификатов и др. Но продукт развивается: CA в составе Windows Server 2003 уже будет поддерживать кросс-сертификацию и до десяти тысяч ключей, а дальше — больше… И с большой долей вероятности к моменту формирования сколько-нибудь массового спроса MS CA удовлетворит его процентов на девяносто. Свою долю также отхватят свободные решения, имеющиеся в современных дистрибутивах Linux.
Конечно, всегда останутся маргинальные 5–10% — системы с экстремальными требованиями или просто приобретаемые «от крутизны» и др. Но вряд ли этот рынок будет сколько-нибудь заметен по объемам.

 

PKI — это класс систем, предназначенных для автоматизации деятельности центров поддержки сертификатов (в терминах Закона — Удостоверяющих центров). При всей внешней простоте задачи у нее есть множество нюансов. Часто инфраструктуры открытых ключей строят как многоуровневые — то есть CA верхнего уровня выдает подписи нижестоящим центрам, а те, в свою очередь, оформляют сертификаты конкретным владельцам ключей. Встречается также задача кросс-сертификации, когда два участника обмена пользуются разными CA, но эти CA друг другу «доверяют».
Поэтому кроме базовых функций, таких как выдача сертификатов, проверка сертификатов и поддержка списка отозванных сертификатов, у PKI есть масса дополнительных: поддержка многоуровневых структур, кросс-сертификация, автоматическая перегенерация сертификатов по истечении срока и др.
Учитывая, что все это должно работать на разных платформах, с разными криптостандартами, с разными клиентскими модулями и системами хранения закрытых ключей (включая хранение на смарт-картах и других специальных устройствах), поддерживать АРМы, документооборот центров сертификации и т. д., PKI разрастаются в большие и сложные системы, стоящие немалых денег.

Камо грядеши?
Тут я позволю себе высказать некоторые собственные гипотезы о том, какие продукты и сервисы будут нужны быстро развивающейся отрасли электронного документооборота.
Нынешний закон об ЭЦП закрепляет сертификат за физическим лицом фактически как его собственность. А это вызывает определенную проблему: ничто не мешает должностному лицу продолжать заверять своей подписью документы уже после того, как оно (лицо) утратило полномочия. И его организация не имеет никакого права требовать отзыва сертификата. Если понятие ЭЦП юридического лица не будет введено в следующих редакциях закона, из этой ситуации придется выходить с помощью расширения функциональности удостоверяющих центров.
Пример того, как это делать, имеется в реальной жизни. Там из подобной ситуации выходят с помощью печати, которая фиксирует право того или иного человека подписывать документ от имени организации. Кроме того, основание, на котором он его подписывает, обычно указывается в самом документе: «в лице Иванова, действующего на основании Доверенности»
При этом еще было бы неплохо посмотреть эту самую доверенность — действительно ли она дает право подписывать подобные документы. Известно ведь, что одним из наиболее популярных способов воровства в банках в бурные девяностые было получение кредита за подписью лиц, не уполномоченных подписывать кредитные договора, после чего заемщик отказывался от уплаты процентов на основании того, что договор не действителен и сделка должна быть аннулирована.
То есть крайне полезной была бы функциональность, при которой удостоверяющий центр хранил бы в электронном виде документы, делегирующие полномочия, и дополнительно заверял тот факт, что лицо, подписавшее документ от имени организации, является ее сотрудником с определенными полномочиями. И поддержку этой функции удостоверяющий центр осуществлял бы на основании договора не с лицом, а с организацией, которую это лицо представляет. Дабы избежать возможных будущих неурядиц.

Центры обмена документами
Основное назначение PKI — обеспечивать электронный документооборот. Но, кроме поддержки подписи, при построении системы документооборота есть много других проблем, как технических, так и юридических.
Хочется иметь систему, обеспечивающую гарантированную доставку документов, причем в фиксированной последовательности — обычная электронная почта этого не обеспечивает. Документы «в пути» хочется защищать от несанкционированного доступа (проще говоря, шифровать). Кроме того, очень часто хочется иметь внешнего арбитра, который может подтвердить, что да, действительно, эти два контрагента тогда-то обменялись такими-то сообщениями (без этого проблематично обеспечение неотказуемости, как выражаются юристы). Часто бывают также полезны функции преобразования форматов (особенно если в обмен вовлечено много участников, использующих разное ПО), согласования справочников и др.
Такова вкратце функциональность того, что можно назвать «Центрами обмена документов». Именно такие системы реализованы там, где идет интенсивный обмен юридически важными документами между множеством участников — скажем, система электронного документооборота РТС.
Но на рынке пока нет ни тиражируемого программного обеспечения для оказания таких услуг, ни самих услуг (которые естественно совмещать с услугами удостоверяющего центра). Мне кажется, такой софт и сервисы не заставят себя долго ждать — слишком это очевидная и востребованная ниша.

Заключение
Эпоха романтической криптографии проходит. Гражданские криптографы все в большей степени воспринимаются как ученые и инженеры, а не как борцы с засильем спецслужб. Скоро всякую экзотичность потеряют и ЭЦП с электронным документооборотом, и мы будем пользоваться ими, не задумываясь, а брелок с персональным сертификатом станет таким же привычным, как кредитка.
Именно тогда этот рынок станет массовым и денежным. А пока борьба за то, чья торговая марка будет на этом брелочке и кому мы будем отчислять ежегодные 5–10 долларов за поддержку сертификата, только начинается…


2 См., например, www.thestreet.com/_yahoo/tech/ronnaabramson/10021042.html. На самом деле, на этом рынке есть, конечно, и IBM, но для России ее присутствие малоактуально.

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.