ЭЦП - год в законе

Недавно мы отметили юбилей Федерального закона 1-ФЗ "Об электронной цифровой подписи» от 10.01.2002. Т.е. уже год, как у нас электронная подпись де-юре как бы приравнена к собственноручной. Что же произошло за этот год, и как сегодня выглядит правовая и рыночная ситуация в этой области?

Закон и жизнь

«Идиотизм российских законов компенсируется

необязательностью их исполнения»

народная интерпретация классической цитаты

По поводу закона можно сказать очень просто - он не работает. Кроме массы подводных камней, заложенных в текст закона, из-за которых в своем нынешнем виде он не может работать в принципе, есть причина более очевидная.

Минсвязи и ФАПСИ никак не договорятся, кто из них будет лицензирующим органом для специальных юридических лиц - Уудостоверяющих центров, без которых ЭЦП - это не подпись «в законе», а просто какой-то «аналог собственноручной подписи».

Кто сильнее - слон или кит - выяснится, думаю, довольно скоро, а вот что будет лучше для рынка - сказать трудно. Оба ведомства имеют плохую репутацию как регуляторы, но в ФАПСИ, по крайней мере, есть специалисты по криптографии.

А жизнь идет своим чередом. Она как обходилась без закона, так и сейчас обходится. Дело в том, что для использования ЭЦП ограниченным и заранее известным кругом участников (в т.н. корпоративных системах) никакой закон не нужен - работа возможна на основании ГК, признающего «аналоги собственноручной подписи» и договоров между участниками.

А бБольшинство работающих систем электронного документооборота относится именно к этому классу - системы «банк-клиент», биржевые площадки и др.

Правда, в прошлом году после принятия Закона среди банков случилась небольшая паника - поскольку деятельностью удостоверяющего центра они вроде как занимаются, а требованиям закона не удовлетворяют (и не могут в принципе - см. выше). А деятельность без лицензии, как известно, чревата...

Но банковские юристы быстро всем объяснилиобнаружили, все-таки объяснили что электронная подпись, которой системы "банк-клиент" подписывают документы, вовсе не «подпись в законе» а просто такой аналог собственноручной подписи. И от греха подальше перестали употреблять термин ЭЦП в договорах. И все сразу успокоилось.

Недавно случилось еще одно приятное событие для пользователей корпоративных систем ЭЦП. Принят новый Арбитражный кодекс, в котором арбитражные суды обязывают принимать электронные аналоги собственноручной подписи наравне с другими доказательствами. И для практики использования ЭЦП это значит, пожалуй, больше, чем Закон. Sed Lex

Реально закон нужен для так называемых открытых систем, в которых участники не связаны договорными отношениями - розничных сделок в электронных магазинах, взаимодействии граждан с государством в рамках систем «электронного правительства», публикации официальных документов и оферт в электронном виде и др.

Все это вещи, конечно, нужные, но не подкрепленные существенными финансовыми интересами - корпоративные системы сейчас гораздо более актуальны. И вообще реальные перспективы Закона достаточно смутны - после определения лицензирующего органа ему тому придется организовать внесение поправок, поскольку в своем нынешнем виде закон работать не может, и процесс это спокойно может затянуться еще на год-два.

Правда, в Питере уже существует организация с простым и емким названием "Удостоверяющий центр", утверждающая, что она работает в соответствии с Законом на основании некоего пилотного (чуть ли не устного:) разрешения ФАПСИ. Они говорят, что выдали уже несколько тысяч ключей. Интересно, что они будут делать, и как нести обязательства перед клиентами, если победит Минсвязи ?

Существуют и лругие организации, "бегущие впереди паровоза" - например, Удостоверяющий центр МосЖилРегистрации, уже вроде как оказывающий коммерческие услуги.

На "низком старте" находятся и серьезные игроки - опытную эксплуатацию ПО удостоверяющего центра начал РОСНииРОС, создает аналогичную инфраструктуру Демос. Они, впрочем, думаю не будут рисковать работать без лицензии.

PKI - что это такое и кому оно нужно

Кроме наработки опыта игнорирования закона, за этот год случилась еще одна важная вещь - появился начальный спрос, и начал формироваться рынок PKI (Public Key Infrastructure) - систем поддержки инфраструктуры открытых ключей.

ВРЕЗКА 1:

Как известно, технология ЭЦП основана на том, что у каждого пользователя существует пара ключей - секретный (закрытый), который есть только у самого этого пользователя (в идеале он сам его и генерирует), и открытый, который знают все.

При этом с помощью закрытого ключа можно подписывать документ, а с помощью открытого - проверять подлинность этой подписи. На самом деле есть еще одна интересная возможность - зашифрованный открытым ключом документ можно расшифровать, только зная закрытый ключ. Именно это позволяет относить средства ЭЦП к криптографическим, и распространять на них соответствующее регулирование

Если нас двое, и мы обмениваемся документами, то все просто - мы сгенерировали ключи, и обменялись открытыми ключами, и без всяких посредников подписываем и проверяем подписи под нашей перепиской. Если у меня что-то случилось с ключом, я просто сгенерировал себе новый, и выслал тебе новый открытый ключ.

Но если участников обмена сотни и тысячи, то такие простые подходы не работают, и используется несколько более сложная технологии - так называемые сертификаты ЭЦП.

Сертификат ЭЦП, это просто открытый ключ с некоторой дополнительной информацией о его владельце, подписанный еще одним ключом, принадлежащим некоему центру поддержки сертификатов (Certificate Authority - CA), которому мы все доверяем.

Т.е. получая подписанное письмо и сертификат подписи, я могу проверить известный мне ключ Центра и быть уверенным, что подписал письмо именно тот, кто указан в сертификате. Если, конечно, ключом не завладел кто-то другой. В последнем случае владелец сертификата должен быстро сообщить об этом Центру, и сертификат будет отозван.

Для отзыва сертификатов и выдачи новых могут быть и более прозаические основания - например, изменение данных о владельце, записанных в сертификате, или просто окончание срока (сертификаты всегда выдаются на определенный срок).

Поэтому я должен иметь возможность быстро проверить - действует ли еще некий сертификат, и поддержка списков отозванных сертификатов (CRL - Certificate Revocation List) - это важнейшая функция CA.

КОНЕЦ ВРЕЗКИ 1

ВРЕЗКА 2:

PKI - это класс систем, предназначенных для автоматизации деятельности центров поддержки сертификатов (в терминах Закона - Удостоверяющих центров). При всей внешней простоте задачи у нее есть множество нюансов. Часто инфраструктуры открытых ключей строят как многоуровневые - т.е. CA верхнего уровня выдает подписи нижестоящим Центрам, а те в свою очередь, оформляют сертификаты конкретным владельцам ключей. Встречается так же задача кросс-сертификации, когда два участника обмена пользуются разными CA, но эти CA друг другу «доверяют».

Поэтому, кроме базовых функций

• выдачи сертификатов
• проверки сертификатов
• поддержки списка отозванных сертификатов

у PKI есть масса дополнительных

• поддержка многоуровневых структур
• кросс-сертификация
• автоматическая перегенерация сертификатов по истечению срока

- и др.

Учитывая, что все это должно работать на разных платформах, с разными криптостандартами, с разными клиентскими модулями и системами хранения закрытых ключей (включая хранение на смарт-картах и других специальных устройствах), поддерживать АРМы и документооборот центров сертификации и др., полноценные PKI вырастают до достаточно больших и сложных систем, стоящих совсем недетских денег.

КОНЕЦ ВРЕЗКИ 2

Кому оно нужно

Реально PKI нужно для двух вещей

для поддержки масштабных систем электронного документооборота

и дляи организации защиты доступа компьютеров и систем.

Если первое применение очевидно, то на втором мы остановимся более подробно.

Представим себе компанию, в которой тысячи сотрудников работают с некой системой, содержащей критически важную информацию. В этом случае доверять механизмам авторизации через пароли страшно - люди склонны использовать простые пароли, записывать их на бумажках, прикрепленных к мониторам и др. Кроме того, возможен перехват пароля в момент ввода его с клавиатуры или путем сканирования сети, и др. Кроме того,К тому же сама система хранения паролей становится участком уязвимости - у системного администратора появляются слишком широкие возможности.

Наиболее безопасным выходом является использование системы открытых/закрытых ключей, где секретный ключ (аналог пароля) существует в единственном экземпляре у пользователя, централизованно хранятся только открытые ключи (сертификаты), а при входе в систему в качестве проверки выполняется некое действие, возможное только при наличии закрытого ключа - скажем, расшифровка строки, зашифрованной открытым ключом.

Это, имеет смысл в основном при использовании специальных устройств - смарт-карт, токенов, брелков touch memory, хранящих в себе закрытые ключи, и умеющих выполнять соответствующее действие (например, расшифровку поданной на вход строки).

А для управления всей это системой ключей и используются PKI. Ну, а там, поскольку у пользователя уже есть секретный ключ и устройство, его хранящее, то этим ключом можно дальше и документы подписывать...

Причем, поскольку авторизация входа в систему и подписывание отсылаемых системой документов требует определенной интеграции между системой и PKI, одной из характеристик системы PKI является перечень корпоративных систем, с которыми она интегрирована.

Что на рынке?

Сейчас на рынке фигурируют три фирменные системы

• Entrust (дорогая) http://www.entrust.com/
• Baltimor (еще дороже) http://www.baltimore.com/
• Keyon (подешевле) http://www.rsasecurity.com/

У всех троих цена зависит от количества поддерживаемых рабочих мест (выданных сертификатов), и исчисляется десятками долларов на место. У каждой из них имеются свои плюсы и минусы - скажем, Baltimor хорошо интегрируется с Lotus Notes, но не интегрируется с SAP R/3 и не поддерживает сертифицированные ФАПСИ криптосредства, т.е. не может использоваться для работы с госучреждениями. Что, впрочем, не помешало компании КомпьюЛинк рапортовать о внедрении Baltimor на тысячу рабочих мест в некой неназванной крупной финансовой структуре.

Entrast хорошо работает с SAP R/3, а Keyon умеет работать с сертифицированными криптомодулями от КриптоПро (упоминавшийся выше питерский Удостверяющий центр работает именно на Keyon).

Имеется также на рынке пара систем от отечественных разработчиков - Удостоверяющий центр от КриптоПро, достаточно недешевый, и КриптоТраст от ЛанКрипто (подешевле). О качестве и перспективах этих продуктов судить трудно, но КриптоТраст, скорее всего, укрепится в банковской сфере, где позиции ЛанКрипто традиционно сильны, а КритоПро, похоже, будет добровольно-принудительным решением для государственных органов, если в борьбе кита со слоном победит ФАПСИ.

http://www.lancrypto.com/index.php?div=products&id=12

http://www.cryptopro.ru/CryptoPro/product5.html

В общем, предложение на рынке явно превышает спрос, и выбор, как обычно, нужно делать исходя из детального анализа задачи.

Забавный факт - на конференцию Рускрипто-2003 заявленные представители от КриптоПро приехать не смогли, так как, по слухам, все были мобилизованы на реанимацию своего центра сертификации, упавшего в каком-то важном учреждении.

Рынок PKI - аА будет ли мальчик?

"Не спеши, сын мой. Сейчас мы медленно спустимся с горы..."

известный анекдот

Крупные российские компании, уже наигравшиеся с ERP, и задумывающиеся об электронном документообороте, начинают присматриваться к рынку PKI, а все системные интеграторы создают подразделения по системам безопасности (если их раньше не было), заключают дистрибуторские соглашения с ведущими поставщиками PKI, и готовят маркетинговые материалы для «впаривания» своим клиентам.

PKI входят в моду, и наверняка на этой волне какое-то количество продаж вышеупомянутой «большой тройки» в России будет иметь место. Но что касается сколько-нибудь массового рынка - тут есть большие сомнения. Потому что на этом рынке есть еще один игрок - Microsoft.

История показывает, что когда MS выходит на некий рынок, он делает это не спеша, но в конечном счете, как бык из анекдота, процитированного в эпиграфе, имеет все стадо. Мы наблюдали это с операционными системами, офисными приложениями, браузерами и email-клиентами, и SQL-серверами (сейчас MS SQL успешно двигает даже Oracle в его исконной нише - больших системах, а других реальных игроков на рынке и не осталось)..

Microsoft Certificate Authority не поставляется как отдельный продукт, а просто входит в состав Windows Server 2002. Конечно, как все первые версии MS-овских продуктов, MS CA сейчас - отнюдь не лучший продукт на рынке. Но он бесплатен.

Поставщики «больших» PKI указывают, что в нем нет кросс-сертификации, он плохо масштабируем (до тысячи сертификатов), не поддерживает автоматическую плановую замену сертификатов и др.

Но продукт развивается - CA в составе Windows Server 2003 уже будет поддерживать кросс-сертификацию и до 10 000 ключей, а дальше - больше... И с высокой вероятностью к моменту формирования сколько-нибудь массового спроса, MS CA будет его закрывать процентов на девяносто.

Свою долю также откушают свободные решения, имеющиеся в современных дистрибутивах Linux-ов.

Конечно, всегда останутся маргинальные 5% - 10% - системы с экстремальными требованиями или просто приобретаемые «от крутизны», и др. Но вряд ли этот рынок будет сколько-нибудь заметен по объемам.

Камо грядеши?

Тут я позволю себе высказать некоторые собственные гипотезы о том, какие продукты и сервисы будут нужны быстро развивающейся отрасли электронного документооборота.

Проблема юридических лиц, или электронная печать на электронную подпись

Проблема юрлиц или электронная печать на электронную подпись

Дело в том, что нынешний закон об ЭЦП закрепляет сертификат за физическим лицом фактически как его собственность. А это влечет определенную проблему - ничто не мешает должностному лицу продолжать подписывать своей подписью документы уже после того, как он утратил полномочия. И его организация не имеет никакого права требовать отзыва сертификата.

Если понятие ЭЦП юридического лица (правда, несколько кривое) не будет введено в следующих редакциях закона, из этой ситуации придется выходить с помощью расширения функциональности удостоверяющих центров.

Пример того, как это делать, имеется в реальной жизни. Там из подобной ситуации выходят с помощью печати, постановка которой фиксирует право данного лица подписывать документ от имени организации. Кроме того, основание, на котором он его подписывает, обычно указывается в самом документе «в лице Иванова, действующего на основании Доверенности»

При этом еще было бы неплохо посмотреть эту самую доверенность - есть ли в ней на самом деле право подписывать подобные документы. Известно ведь, что одним из наиболее популярных способов воровства в банках в бурные девяностые было получение кредита за подписью лиц, не уполномоченных подписывать кредитные договора, после чего заемщик отказывался от уплаты процентов на основании того, что договор не действителен, и сделка должна быть аннулирована.

Т.е. крайне полезной была бы функциональность, при которой удостоверяющий центр хранил бы в электронном виде документы, делегирующие полномочия, и дополнительно заверял тот факт, что лицо, подписавший документ от имени организации, действительно является ее сотрудником с определенными полномочиями. И поддержку этого удостоверяющий центр осуществлял бы на основании договора не с лицом, а с организацией.

Центры обмена документами

Основное назначение PKI - это обеспечивать электронный документооборот. Но, кроме поддержки подписи, при построении системы документооборота есть много других проблем, как технических, так и юридических.

Хочется иметь систему, обеспечивающую гарантированную доставку документов, причем в фиксированной последовательности - обычная электронная почта этого не обеспечивает. Документы «в пути" хочется защищать от несанкционированного доступа (проще говоря, шифровать).

Кроме того, очень часто хочется иметь внешнего арбитра, который в состоянии подтвердить, что да, действительно, эти два контрагента тогда-то обменялись такими-то сообщениями (без этого проблематично обеспечение неотказуемости, как это называют юристы).

Часто бывают также полезны функции преобразования форматов (особенно при обмене многих участников, использующих разное ПО), согласования справочников и др.

Все это описывает вполне понятную функциональность того, что можно назвать «Центрами обмена документов». Именно такие системы реализованы там, где реально идет интенсивный обмен юридически значимыми документами между множеством участников - скажем, система электронного документооборота РТС.

Но на рынке пока нет ни тиражируемого программного обеспечения для оказания таких услуг, ни самих услуг (которые естественно совмещать с услугами удостоверяющего центра). Но мМне лично кажется, что такой софт и сервисы не заставят себя долго ждать - слишком это очевидная и востребованная ниша.

Заключение

Эпоха романтической криптографии проходит. Гражданские криптографы все в большей степени воспринимаются как ученые и инженеры, а не как борцы с засильем спецслужб.

Все шире и шире распространяются сами технологии.

Скоро, совсем скоро всякию экзотичность потеряют и ЭЦП с электронным документооборотом, и мы будем пользоваться ими, совершенно не задумываясь, а брелок с персональным сертификатом станет таким же привычным атрибутом, как кредитная карточка.

И именно тогда этот рынок станет массовым и денежным. А пока борьба за то, чья торговая марка будет на этом брелочке, и кому мы будем отчислять ежегодные 5$-10$ за поддержку сертификата - только начинается....