23 декабря 2015 года Государственная Дума в 3-м чтении приняла проект Федерального закона-445 о внесении изменений в 63-й Федеральный закон «Об электронных подписях».
Поскольку многие коллеги еще не знакомы с этим законом, я хотел бы донести и рассказать, на что повлияют изменения и как они повлияют на развитие единого пространства доверия в Российской Федерации.
Но обо всем по порядку.
До сих пор каждый удостоверяющий центр (далее УЦ) после прохождения аккредитации САМ выдавал себе пару ключей (открытый и закрытый ключи УЦ) и сертификат проверки ключа электронной подписи (далее сертификат).
Главной особенностью сертификата было то, что он был выдан самим УЦ и подписан его подписью (такая версия сертификата называется «самозаверяющей»).
Далее данный сертификат был предоставлен оператору Главного удостоверяющего центра Российской Федерации (далее - ГСА), где данный самоподписанный сертификат был включен в число доверенных и ГЦА был опубликован на портале ГСА в качестве доверенный человек.
В результате такой схемы взаимодействия ЦС и центрального органа мы получили изоляцию доверительных пространств каждого отдельного УЦ, поскольку все операционные системы и прикладное ПО проверяют сертификат ключа по цепочке сертификации до тех пор, пока эмитент сертификата не совпадет. владелец сертификата.
Таким образом, картина была такова, что для того, чтобы два пользователя с сертификатами от двух разных УЦ доверяли друг другу, им нужно было добавить сертификаты УЦ друг друга в доверенные.
Тут эксперты мне вежливо укажут на перекрестные сертификаты между ЦС, но я уверенно отвечу - это костыли, и объясню почему: Представьте, что вы находитесь в Интернете и переходите от одного узла сети к другому, каждый из которых использует сертификат своего ЦС.
Тогда для обеспечения доверия ко всем узлам (они действительно доверенные) вам придется иметь локально сертификаты всех ЦС РФ.
Более того, вам придется поддерживать их в актуальном состоянии самостоятельно.
Тебе это надо? У этой разобщенности есть еще один недостаток — для работы в доверительном пространстве каждого УЦ необходимо получить ЭP этого конкретного УЦ или УЦ, входящего в доверительное пространство этого УЦ.
Это породило требования о множественности квалифицированных ЭП от одного человека и известных коммерческих схем, например, как на представленной картинке: 
Источник https://iitrust.ru/region/uc/tarif.php
Что будет в результате изменений в 63-ФЗ, внесенных 30 декабря 2015 года: 1. «Удостоверяющему центру запрещается указывать в сертификате ключа проверки электронной подписи, что он создает ключ проверки электронной подписи, который содержится в сертификате ключа проверки электронной подписи, выданном этому удостоверяющему центру любым другим удостоверяющим центром».
Или «переводя с русского на русский», центрам сертификации теперь запрещено самостоятельно генерировать «самозаверяющие» сертификаты.
При этом уточняется: «Для подписания квалифицированных сертификатов от своего имени аккредитованный удостоверяющий центр обязан использовать квалифицированную электронную подпись на основании квалифицированного сертификата, выданного ему головным удостоверяющим центром, функции которого выполняет уполномоченный федеральный орган.
Аккредитованному удостоверяющему центру запрещается использовать квалифицированную электронную подпись на основании квалифицированного сертификата, выданного ему головным удостоверяющим центром, функции которого выполняет уполномоченный федеральный орган, для подписания сертификатов, не являющихся квалифицированными сертификатами».
То есть теперь не имеет значения, кто выдал сертификат для вашего ключа ЭP, поскольку все сертификаты проверки ключей ЭP позволяют выстраивать цепочки сертификатов вплоть до Главного Удостоверяющего Центра.
И все, что остается пользователю – чтобы среди доверенных был только сертификат GCA. 2. «Аккредитованный удостоверяющий центр не имеет права предоставлять третьим лицам полномочия по созданию ключей для квалифицированных электронных подписей и квалифицированных сертификатов от имени такого аккредитованного удостоверяющего центра» — здесь без комментариев, см.
картинку выше.
3. «Операторы государственных и муниципальных информационных систем, а также информационных систем, использование которых предусмотрено нормативными правовыми актами, или информационных систем общего пользования не вправе требовать наличия в квалифицированном сертификате сведений, ограничивающих его использование в иных целях.
информационных систем», или в переводе на русский язык: Издателям сертификатов теперь ЗАПРЕЩЕНО добавлять в сертификаты дополнительные поля и обязательные требования.
Это наверняка убьет интересы ФНС, Росреестра и других ведомств, требующих только «свои» справки.
Но теперь, имея один единственный квалифицированный ЭП, можно авторизоваться и пользоваться ВСЕМИ государственными информационными системами.
4. Исправлены досадные неточности в 63-ФЗ, например, связанные с тем, что СКЗИ должен самостоятельно визуализировать подписываемый документ и т.д. 5. Повышена ответственность центров сертификации за причинение убытков третьим лицам, уточнены требования к срокам публикации списков отозванных сертификатов и их доступности в сети Интернет. Позвольте мне подвести итог.
Изменения в закон об электронных подписях, предложенные Минкомсвязи и принятые Госдумой, значительно упростят жизнь рядовым пользователям ЭП и позволят им использовать одну подпись для доступа ко всем государственным ресурсам.
С другой стороны, эти изменения не сильно усложнят жизнь УЦ, поскольку теперь вместо запроса на «подпись креста» в ИС УЦ от них потребуется сделать запрос на подчиненный сертификат (это еще тот же запрос PKCS#10, и программное обеспечение менять не придется).
В результате через несколько лет у нас будет единое и целостное пространство доверия, в котором пользователи смогут чувствовать себя комфортно и использовать свои российские сертификаты для своих интернет-страниц, что на данный момент невозможно.
Честно говоря, я доволен работой ИКС по развитию пространства доверия, перерастающего детские болезни в сфере использования ЭП в России, давно пора.
Теги: #электронная подпись #Криптография #информационная безопасность #электронные услуги #информационная безопасность #Криптография
-
Названия Интранет-Проектов – Некоторые Идеи
19 Oct, 24 -
Коста-Рика
19 Oct, 24 -
Mail.ru Защищается
19 Oct, 24 -
Классические Алгоритмы – Интересна Ли Тема?
19 Oct, 24
