September 20th, 2010

Единое пространство доверия сертификатов ЭЦП

Для подтверждения юридической значимости документа ( в соответствии ГОСТ Р 51141- 98, свойство официального документа, сообщаемое ему действующим законодательством, компетенцией издавшего его органа и установленным порядком оформления) в инфраструктуре электронного правительства недостаточно создания одного удостоверяющего центра (УЦ)

В рамках ФЦП "Электронная Россия (2002-2010 годы)" было предусмотрено создание федерального УЦ (ФУЦ) в инфраструктуре Общероссийского государственного информационного центра (ОГИЦ) .  Положение о ФУЦ было закреплено в приказе Минкомсвязи от 23 марта 2009 № 41
www.consultant.ru/online/base/   

Согласно этому приказу, подсистема УЦ ОГИЦ "предназначена для оказания государственных услуг гражданам и организациям в электронном виде с использованием электронной цифровой подписи, позволяющей однозначно определить (идентифицировать) правомочность уполномоченных должностных лиц органов государственной власти и местного самоуправления, осуществляющих информационное взаимодействие, дату и время осуществления информационного взаимодействия, а также гарантировать целостность, неизменность и идентичность информации, отправленной одним участником информационного взаимодействия и полученной другим участником информационного взаимодействия.

Регламент подсистемы УЦ ОГИЦ (далее - Регламент) разрабатывается и утверждается Федеральным агентством по информационным технологиям."..

Само же ФАИТ, земля ему пухом, разродилось приказом от 18.09.09 N 144 "ВРЕМЕННЫЙ ПОРЯДОК ПРИСОЕДИНЕНИЯ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ К ПОДСИСТЕМЕ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ ОБЩЕРОССИЙСКОГО ГОСУДАРСТВЕННОГО
ИНФОРМАЦИОННОГО ЦЕНТРА"
mvf.klerk.ru/ecp/pr144.htm

Денег, согласно ФЦП было потрачено достаточно - свыше 300 млн. руб. Однако в настоящее время портал госуслуг этот удостоверяющий центр не использует, и возникла необходимость создания новой инфраструктуры.

Почему ? - ну одна причина как в анекдоте "- Что, поручик, опять деньги кончились ?"  Вторая причина - что вообще говоря большинство же существующих в России УЦ сертифицированы по классу КС2 (коммерческая тайна), что подходит для защиты коммерческой информации, но недостаточно для корневого центра. А  "сверху" в инфраструктуре PKI в Российской Федерации стоит УЦ производства НТЦ "Атлас" с классом KB2  - что тоже не фонтан (ошибки не исправлены до сих пор).

Но создание корневого УЦ  и исправление в нем ошибок не поможет полностью решать задачи, возникающие при использовании ЭЦП.  Процедура проверки ЭЦП предусматривает помимо подтверждения ее "математической корректности" еще и построение, и проверку цепочки сертификатов до доверенного УЦ, а также проверку статусов сертификатов в цепочке обработки.

Таким образом, проверка статусов сертификатов важна для каждого приложения инфраструктуры, т.к. принятие к обработке подписанного ЭЦП документа, сертификат ключа подписи которого аннулирован, может быть впоследствии оспорено и привести к репутационным или финансовым потерям.

А для этого нужно как минимум:
  • создание службы "Электронный нотариус" на основе  рекомендаций RFC 3029 (DVCS). С ее помощью можно осуществлять "заверение" каждого электронного документа и высылку "DVC-квитанции" на каждое принятое получателем сообщение;
  • многофункциональная служба разбора конфликтных ситуаций.
  • задачи подтверждения подлинности сертификатов, их проверки, удостоверения сторонними организациями
  • задачи о материальной ответственности удостоверяющих и регистрационных центров за возможные финансовые потери, связанные с использованием ЭЦП
  • внедрение протокола RFC 2560 - Online Certificate Status Protocol (OCSP). Он позволяет проверять в онлайне подлинность сертификатов открытых ключей и электронных документов с цифровой подписью и практически мгновенного установления аннулированных или скомпрометированных сертификатов
и т.д.

Если вы следили за темой - то ряд ведомств (например ФНС) уже подготавливала похожие нормативно-правовые документы в этой тематике.  Ряд стран (например Польша, Белоруссия) решали эти задачи , выплясывая "от печки" Национального банка. В России живут отдельно по правилам ФНС, отдельно по правилам ПФР, отдельно по правилам Торговых площадок...

Но проблема состоит еще и в том, что можно сделать "сферического коня в вакууме" для госструктур, однако электронное правительство включает в себя субъекты различных форм - это не только G2C + G2B , но и B2C + B2B + C2C   - которые работать по "приказу Минкомсвязи" не смогут.  Цепочка акредитации по 1-ФЗ выглядит излишне громоздко:
  • Сертифицированная СКЗИ
  • Лицензия Регулятора - ФСБ.
  • Выполнение требований ФСБ к самой ИС  содержащей СКЗИ и к персоналу.
что очевидно выходит далеко за сферу ответственности УЦ.

Еще одна особенность (смотрим определение юридической значимости) - что подписывать то надо электронный документ с "установленным порядком оформления" - а как его проверить, если не  анализировать его ключевые атрибуты (реквизиты), которые в зависимости от типа и назначения электронного документа могут быть совсем разными.

В «ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов», описано 30 возможных реквизитов документа. 

Применительно к сфере государственного управления установлен перечень из 24 реквизитов, которые зафиксированы в пункте 10 Правил делопроизводства в федеральных органах исполнительной власти, утвержденных постановлением Правительства Российской Федерации от 15 июня 2009 г. № 477.

Представляете  - целых 24 реквизита ! только на G2-x

Объединить эти стороны сможет только Федеральный Закон прямого действия. И необходимость такого закона под условным названием "О едином пространстве доверия ЭЦП"  уже что называется перезрела. 

Во многих российских всех подзаконных актах относительно ЭЦП присутствует я бы так назвал "страх перед будущим" - А как бы чего не вышло, а вдруг ошибемся - прямо как атомную бомбу взрывать задумали. А пока вообще будем сидеть на заднице и ничего не делать, авось "сегодня" не понадобится (напомню что это "пока сегодня" тянется аж с 2001 года)  Поэтому законодательство (я промолчу пор лоббирование - специалисты давно ассоциируют каждую строчку в НПА с конкретной фамилией арендатора "одного метра государственной границы" ) носит излишне строгий, практически запретительный характер (тот же пресловутый 152-ФЗ о персональных данных)  Что серьезно сдерживает в России развитие современных и инновационных ИТ технологий и связанных с ними изменений в технологиях, деловой практике и общественных отношениях.

Ряд юристов-"законников" под юридической значимостью понимает исключительно только "материальную бумажку" и активно это мнение отстаивает
www.libertarium.ru/15455
Хотя, например в Эстонии как раз оттиск мастичной печати за редким исключением не имеет никакого юридического значения,  потому что по своей сути( особенно в эпоху развития полиграфических технологий) он оказался надуманным и слабо защищенным атрибутом.

По форме это может быть дополнение к 1-ФЗ или другая конструкция, например отработать ее сперва на федеральных элементах электронного правительства и "рекомендовать" использовать в субъектах РФ посредством Постановления Правительства РФ (как и было с требованиями к СМЭВ) , а затем уже и распространить на все общество в целом.

Может (но это уже фантастика) пора прекратить играть в нейтральность к технологии, ведь специалисты понимают что кроме ЭЦП в терминах PKI ничего "чувствительного" нет - об этом и говорит опыт Евросоюза, а в связи с этим утвердить в связке с ФСБ требуемый перечень технических документов и номера RFC где это все давным давно описано, если сами не можем. (по типу переносов стандартов ISO в ГОСТ или даже "обложечным способом" - вообще без перевода на русский во избежание расхождений с международной практикой)

Напомню что поправки в закон "О техническом регулировании", принятый в декабре 2009 года разрешают использование в России техрегламентов других стран, входящих в Евросоюз или Таможенный союз (Белоруссия и Казахстан).

Возможно и стоит критически пересмотреть срок службы открытого ключа, который по формулярам СКЗИ ФСБ должен составлять 30 лет. Вы только представьте - за это срок произойдет минимум 5-6 принципиальных изменений (поколений) вычислительной техники. И все нужно сопровождать ? В том же США Министерство обороны решило, что дешевле будет менять технологии, чем поддерживать зоопарк динозавров техники и ПО для этих целей.


По последней информации от коллег, был выбран вариант оформления "О едином пространстве доверия ЭЦП" через постановление правительства РФ, которое исполнитель  должен в сентябре начать обсуждать с экспертами российского ИКТ сообщества. Значит, похоже время отечественного "велосипедостроения" продолжается...


p.s. Прислано уважаемыми читателями
1)  Регламент использования ЭЦП в системе электронного документооборота и делопроизводства органов исполнительной власти Кировской области
2)  Общий ландшафт Европейского законодательства в сфере ЭЦП