Большинство ИТ-специалистов знают, что такое процессор.
Немного меньшее число людей знает, как можно использовать ЦП в реальной жизни.
Еще меньше людей используют этот же процессор на практике.
Для тех, кто еще не догадался — ЭЦП расшифровывается как «электронно-цифровая подпись».
Два года я вел (читай: непосредственно продвигал) проект, связанный с узким применением ЦП в нашей жизни — сдачей электронной отчетности в налоговые органы.
Однако, несмотря на узость применения, в процессе я приобрел довольно интересные знания о том, что такое ЦП в России.
Поэтому я хочу поделиться.
1. Закон и ЭCP Первым признаком того, что наша страна медленно, но верно движется по пути прогресса, стал закон «Об электронной цифровой подписи».
Он вышел в 2002 году, и на жаргоне его можно назвать «голым».
Те, кто реально сталкивался с применением законов в России, понимают, что сам закон не устанавливает отдельных вопросов собственного применения.В 2002 году закон «О ЦП» представлял именно такую вещь.Признаком «бедности» закона является обилие формулировок «в соответствии с действующим законодательством».
Так вот, каждая такая формулировка оказывается ссылкой на нафиг.
Потому что там говорилось о сертификатах, центрах сертификации и многом другом, чего на самом деле вообще не существовало в 2002 году (да и что говорить, гораздо позже).
По сути.
Кроме того, закон другой.
Простой пример.
Закон об ОЦП устанавливает равенство электронной подписи с обычной (ст. 4).Однако несовершенство закона не так уж и плохо.Однако, например, Налоговый кодекс хоть и предусматривал передачу декларации в налоговую инспекцию по «телекоммуникационным каналам», тем не менее умолчал о формате подписи, формате электронного документа и вообще.
Поэтому, несмотря на существование закона об ОКП, его нельзя было использовать.
В марте 2003 года, пока все обалдели от качества закона об ОКП и чесали репу, было упразднено Федеральное агентство правительственной связи и информации при Президенте РФ (ФАПСИ), занимавшееся вопросами криптографии.
передача его функций ФСБ.
"В чем проблема?" — может спросить читатель.
Итак, я вам скажу.
2. А как насчет конкретного приложения? Всем, что связано с шифрованием и защитой информации, сначала занималось ФАПСИ, затем, в 2002 году, подключилась ФСБ.
Представьте себе задачу, стоящую перед ФСБ.
Вроде бы все понятно, товарищ полковник, а гашиш - это наркотик или какая-то заумная математика? Однако прошу прощения за сарказм ;) Итак, задача была разобраться в следующем: какой алгоритм использовать? Понятно, что он асимметричный, понятно, что у него есть публичный и закрытый ключ, но на сколько? Если две стороны (подписавшая и проверяющая подпись) не договорятся об этом, счастья не будет, верно? Оказалось, что: 1. Теория : алгоритм, который можно будет использовать на территории РФ (что будет признано юридически значимым), должен как минимум быть сертифицирован ФСБ (т.е.
проверен на «ударостойкость» и все такое).
Упражняться: У нас в ФСБ слишком мало специалистов по нормальному криптоанализу, поэтому получить сертификат сложно из-за долгого анализа самого алгоритма.
2. Теория: Организация, которая намерена предоставлять услуги, связанные с ЦП, должна использовать алгоритм, сертифицированный ФСБ.
Упражняться: Из-за путаницы понятия «алгоритм» и отсутствия прямолинейных разработчиков это означало, что необходимо было использовать не собственную «реализацию» алгоритма, а программный продукт, который предоставил разработчик, сертифицировавший алгоритм.
.
Да здравствует кровавая монополия.
Здесь угасают стоны Артемия Андреича по поводу GPS-карт. 3. Теория: Организация, намеревающаяся оказывать услуги, связанные с ЦП, должна получить 3 лицензии: на использование, на техническую поддержку, на распространение средств криптографической защиты.
Упражняться: Получить лицензию без выбора пакета программ из шага 2 нельзя.
Вернее не получится, откажут. «Цена» лицензии на 2003 год (при соблюдении километрового перечня требований) составила примерно $1000 (по словам знакомых).
Кроме того, лицензия от разработчика программного комплекса стоит 1000$ + выполнение плана продаж.
В итоге на 2003 год получилось так - программы для работы с 3-мя алгоритмами на всю Россию.
И самое главное, что эти программы ни в каком кошмаре не знают о понятии CryptoAPI, то есть работать с ними «извне» никак или очень сложно (ну, через командную строку, да).
3. Есть ли еще препятствия? О да, много.
Помимо общей проблемы с программным обеспечением, есть проблема с его разработкой.
Готовый? Держись крепче.
Если вы хотите использовать свой собственный алгоритм (или общедоступный), ну например RSA, то схема вырастает до уровня сценария «Миссия невыполнима».
Почему? Вот почему.
1. Прежде чем пытаться подать что-то в ФСБ на сертификацию, необходимо получить лицензию на разработку тех самых криптографических систем.
Ориентировочная цена 20 000$*.
2. Если у вас есть лицензия и система, ее сертификация будет стоить еще $80 000*.
3. Ну а теперь осталось самое простое - уговорить потенциальных пользователей (например, налоговую инспекцию) воспользоваться вашей системой.
А свои представления о рынке оставляйте здесь, они сюда не применимы.
Здесь нет альтернатив и конкуренции.
Школьный портал отдыхает. 4. Проблема регионов.
Известны случаи, когда в регионе (есть жизнь за МКАД!) просто не смогли применить «спущенную» сверху технологию.
Не хватало кадров, не хватало знаний и т.д. * Указанные здесь суммы, конечно, не являются официальными выплатами.
Деньги пойдут в качестве «консультационных услуг» определенным фирмам, «помогающим» в этом процессе.
4. В результате? Нет, но не все так плохо, и есть пророки в своей стране.
Например, КриптоПро сейчас вышел на нормальный уровень и даже подружился с КриптоAPI. Но это сейчас, только в 2007 году.
И то, действительно, в крупных городах, в регионах.
Похоже, налоговая инспекция и банки используют ЭCP. И точка.
Больше действительно никого нет. Но использование цифровой подписи в других случаях пока остается несбыточной мечтой.
Конечно, в своем обзоре я не рассказал о многих пикантных подробностях, но думаю, для целей данной статьи они будут излишни.
Я хотел показать настоящую причину, почему мы так плохо внедряем процессоры в разные сферы нашей жизни.
Конечно, комментарии приветствуются; У меня не так много времени, чтобы ответить, но я попробую.
С любовью, мания Теги: #Криптография #Россия #ЭЦП #Криптография
-
О Быстрой Сортировке, Сложность 2*N
19 Oct, 24 -
Органайзер Для Прокачки
19 Oct, 24 -
Visual Studio 11 → Visual Studio 2012?
19 Oct, 24 -
Макдональдс И Органические Овощи
19 Oct, 24
