Какой ЭЦП подписать?
Сколько сертификатов ЭЦП нужно одному человеку
Сколько у вас подписей? Скорее всего, одна (если только вы не ведете двойную жизнь и не имеете несколько паспортов на разные фамилии :), ну еще можно учесть, что с возрастом почерк меняется).
Но с ЭЦП все несколько сложнее. Рассмотрим несколько примеров.
1. Несколько предприятий являются участниками системы обмена электронными документами с единым удостоверяющим центром. При этом выданные в рамках данной системы сертификаты действуют только внутри нее. Если одно из предприятий становится участником другой системы, то ее сотрудники должны получить другие сертификаты. Соответственно при подписании документов человек уже должен выбирать: какую из двух имеющихся ЭЦП поставить.
2. Нередкая в современных условиях ситуация, когда реально организация одна, а юридически их несколько. И один человек фактически работает в двух организациях. Поскольку наименование организации является частью сертификата ключа подписи (ведь ЭЦП – это, по сути, подпись и печать «в одном флаконе»), то на каждую организацию, в которой он работает, ему нужна своя ЭЦП.
3. Обычно, срок действия сертификата ключа подписи не превышает год. Но сертификаты используются не только для подписания документов, но и для шифрования. И получается, что, получив новый сертификат, человек со старым расстаться не может, т.к. без него зашифрованные документы не расшифровать.
Таким образом, ЭЦП, в отличие от обычной подписи, характеризуется четырьмя параметрами:
● человек;
● организация, от лица которой или как сотрудник которой данный человек выступает;
● система, в рамках которой данная подпись имеет значимость (так называемый OID);
● сроком, в течение которого она действует.
Вот и получается, что развитие разрозненных систем обмена электронными документами приведет к тому, что руководитель при подписании документа должен будет выбирать из немалого количества имеющихся сертификатов (хорошо если все они поместятся на один носитель): а какую же ЭЦП поставить…
Проблема похожа на ворох пластиковых карт в бумажнике человека, когда по каждой карте есть определенный набор банкоматов, которые ее принимают, и набор услуг, которые можно с помощью нее оплатить.
Универсального пути решения данной проблемы не видится, хотя что-то можно предложить. Например, для шифрования документов использовать «вечный» сертификат, который менять только при компрометации ключа (при этом все ранее зашифрованные документы придется перешифровать). Помог бы также единый удостоверяющий центр или создание системы доверия между несколькими УЦ, но мне не вериться, что это ближайшее будущее.
А у вас есть другие предложения, как облегчить человеку жизнь с ЭЦП?
Похожие статьи
Комментарии 21
не вижу тут принципиальных проблем
1. для дружбы двух иерархий используется или головной центр сертификации или Certificate Trust List, в нашем случае надо использовать последнее
2. Согласно действующего в Росии закона об ЭЦП сертификат выдается физическому лицу, а не юридическому. Кончено закон на корпоративные системы не распространяется, и с его применением много других проблем, но тем не менее ...
3. Что мешает автоматически перешифровать документы? Сертификатом обычно шифруют не весь документ, а ключик симметричного алгоритма, которым зашифрован документ, это не так накладно. При соответствующей автоматизации все должно просто получиться :)
1. Организовать можно, но это дополнительные проблемы. Надо заинтересовать уже гораздо большее число сторон к объединению.
2. При подписании договорных документов нужно, чтобы человек выступал не как физическое лицо, а как представитель именно этой компании. Ну и возникает еще вопрос процедуры выдачи сертификата, например, через уполномоченного сотрудника организации (конкретной организации заметьте!).
3. Вопрос шифрования, скорее всего, из всех перечисленных проблем действительно проше всего решается, т.к. решается технически, а не организационно и не юридически.
Принципиальных проблем и правда нет. Работать можно. Только ведь хочется, чтобы новые технологии жизнь облегчали, а не усложняли.
Что касается проблемы многих ключей, то, скажем, на одной смарт-карте можно разместить несколько ключей (что уже и делается на практике). Пример: PKI Министерста обороны США.
1 и 2. Это естественно, поскольку ЭЦП еще и печать. Один УЦ может выдавать сертификаты для нескольких СЭД.
3. Это тоже нормально - используется перешифрование на новых ключах. Срок действия ключей определяется используемым СКЗИ.
Как облегчить? А в чем собственно проблемы? Надо использовать надежные устройства для хранения криптографических ключей и удобные информационные системы (в плане работы с криптографическими функциями).
"Как облегчить? А в чем собственно проблемы?"
Проблемы, как обычно, не технические, а человеческие. Вы, Вадим, как я понимаю с компьютером на "ты". А вот для руководителя высшего звена, который с ПК работает не так плотно, необходимость выбора нужной ЭЦП даже в самой удобной системе может вызвать как минимум некоторое неудобство, а следовательно - повысить вероятность ошибки. И это при том, что доверие к ЭЦП и так пока не высокое.
2 Елена Истомина
"А вот для руководителя высшего звена, который с ПК работает не так плотно, необходимость выбора нужной ЭЦП даже в самой удобной системе может вызвать как минимум некоторое неудобство, а следовательно - повысить вероятность ошибки."
Не соглашусь с Вами, т.к. если у человека несколько сертификатов ключей подписи, то он худо-бедно должен уметь работать, не столько с компьютером, сколько с СКЗИ и прикладными СЭД, в которых применяются СКЗИ (его лицензиат ФСБ должен был научить это делать).
Другое дело, если эти разные СКЗИ/СЭД находятся на разных "уровнях развития" :-)
А в удобной системе, которая "знает" какой сертифкат требуется для этой операции и запрашивает лишь носитель криптографических ключей (который у пользователя опять-таки для удобства один) под этот сертификат - вообще нет проблем.
"И это при том, что доверие к ЭЦП и так пока не высокое."
Исходя из чего Вы так решили? IMHO, доверие как раз есть, даже появляются и эксплуатируются удобные защищенные информационно-телекоммуникационные системы. Нет обеспеченной финансированием потребности в использовании таких систем. Но это временно, т.к. преимущества защищенной электронной обработки и передачи информации видны невооруженным взглядом.
2 Вадим Майшев
Пожалуй вы правы, самый простой вариант - если СЭД сама будет выбирать за пользователя, какой именно сертификат ЭЦП нужно использовать в данной ситуации. А для этого при получении сертификата достаточно наверно регистрировать открытый ключ в СЭД, с указанием области его применения.
Проблема доверия постепенно решается, но пока все-таки значимость электронных документов, подписанных ЭЦП, вызывает вопросы. Во многом это связано с непроработанностью законодательства в данном вопросе и отсутствием достаточной практики. Подробнее обсуждение этой темы велось здесь: http://www.ecm-journal.ru/card.aspx?ContentID=1977441
2 Елена Истомина
В адекватных системах это так и делается. Только в СЭД делается "настройка" на необходимый сертификат ключа подписи (с учетом "сведений об отношениях"), а регистрацией открытых ключей занимается УЦ.
А какие могут быть проблемы с доверием и "значимостью электронных документов"? Если Вы делаете все по закону (используете сертифицированные СКЗИ, УЦ зарегистрирован в ЕГР, сертификаты содержат "сведения об отношениях"), формируете Регламент документооборота - то у Вас есть все необходимое для использования юридически значимого электронного документооборота. Конечно-же эти вопросы под силу решить лишь профессионалам в этой сфере.
Проблемы как раз не в доверии, а в правильной организации обеспечения этого доверия.
IMHO, практика уже имеется. Ну а если Вы про информационные системы общего пользования, то их нет и в ближайшее время не предвидится (т.к. слишком много надо разработать/согласовать на уровне "Единой e-России")
2 Вадим Майшев
"А какие могут быть проблемы с доверием и "значимостью электронных документов"? Если Вы делаете все по закону (используете сертифицированные СКЗИ, УЦ зарегистрирован в ЕГР, сертификаты содержат "сведения об отношениях"), формируете Регламент документооборота - то у Вас есть все необходимое для использования юридически значимого электронного документооборота."
Насколько я помню "Закон об ЭЦП" распространяется как раз на "системы общего пользования", а не на корпоративные системы. Видимо с этим имогут быть проблемы, даже если все делеть по этому закону.
Закон об ЭЦП распространяется на информационные системы общего пользования и на корпоративные. Разница в том, что статус УЦ, содержание и порядок использования СКП и т.п. в первом случае определяет государство, а во втором - владелец системы.
"Видимо с этим имогут быть проблемы, даже если все делеть по этому закону" - сорри,не понял высказывания.
2 Вадим Майшев:
1. Ст.5 Закона об ЭЦП устанавливает требование использование только сертифицированных средства цифровой подписи:
а) п.2 ст.5 - в информационных системах общего пользования;
б) п.3 ст.5 - "в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления".
Для остальных корпоративных систем, следуя логике закона, это требование не является обязательным.
2. Насчет обязательной регистрации УЦ - статья 10 того же Закона об ЭЦП содержит, на мой взгляд, достаточно противоречивые нормы: п.1 ст.10 требует от УЦ предоставить в уполномоченный федеральный орган (УФО) сертификат уполномоченного лица УЦ, в не зависимости от того, работают ли УЦ с участниками информационных систем общего пользования или только с участниками корпоративных информационных систем. В то время как п.2 ст. 10 гласит, что УФО ведет реестр сертификатов уполномоченных лиц только тех УЦ, что работают с информационными системами общего пользования.
2 Сергей Бушмелев
1. "Для остальных корпоративных систем, следуя логике закона, это требование не является обязательным."
Формально да, но практика показывает обратное! А конечная инстанция в части "юридической значимости" -суд. Спросите у них, примут ли они в качестве доказательства электронный документ с ЭЦП не по ГОСТу (т.е. без гарантии надежности. Я бы не принял).
2. "...в не зависимости от того, работают ли УЦ с участниками информационных систем общего пользования или только с участниками корпоративных информационных систем..."
В том-то и дело!
P.S. Повторяю, закон регулирует "любые" информационные системы, причем (обращаю внимание) систем "общего пользования" в стране не создано, да и не предвидится.
P.S.2 Коллеги, как вы думаете, нужны ли кому-нибудь (G, B, C и т.п.) решения CЭД с ЭЦП, пусть даже и внутри корпоративных систем, которые в конечном счете не обеспечивают юридической значимости? IMHO: если внедрять/тратиться, то тогда нужно делать по уму, а иначе гораздо проще продолжать "по старинке" работать (подготовил сведения в информационной системе, а документом будет распечатанный из этой системы массив сведений с необходимыми реквизитами и оформлением, подписанный собственноручной подписью и заверенный печатью).
Про то, нужна ли ЭЦП в СЭД, лучше почитать и обсудить здесь http://www.ecm-journal.ru/docs/1982650.html (будет ближе к теме).
Но вообще-то иногда не стоит делать сразу "по уму", можно двигаться небольшими шагами. Пусть люди привыкнут пока к самому понятию ЭЦП, пусть привыкнут видеть ЭЦП директора вместо росчерка. А с юридической значимостью постепенно разберемся.
2 Елена Истомина
"Но вообще-то иногда не стоит делать сразу "по уму", можно двигаться небольшими шагами. Пусть люди привыкнут пока к самому понятию ЭЦП, пусть привыкнут видеть ЭЦП директора вместо росчерка. А с юридической значимостью постепенно разберемся."
1. А Вы видели "ЭЦП директора вместо росчерка"? Вообще-то ЭЦП - это набор битов (шифр), понятный лишь средству электронной цифровой подписи.
2. "Постепенно разберемся" - т.е. вложите деньги сейчас, а потом (когда поймете, что искомая функция отсутвует) пойдете покупать "правильное решение".
3. А "привыкнувших" (я видел таких бедняг) видеть "ЭЦП вместо росчерка" придется трудно переучивать, т.к. оказывается, что для ЭЦП нужно еще и средство ЭЦП, а некой "штатной функции СЭД" недостаточно, и все до этого момента было лишь подготовительной тренировкой к волшебной ЭЦП.
http://www.docflow.ru/forum/actualthread.aspx?tid=5845
Прочтите, не пожалеете!
2 Вадим Майшев:
ЭЦП может применяться как:
1) как одно из средств придания электронному документу юридической значимости в обмене документами между двумя и более отдельными юридическими или физическими лицами (сдача налоговой отчетности, системы банк-клиент и т.д.)
2) как одно из средств для целей неотрекаемости и обеспечения авторства и неизменности электронного документа при обмене таковыми в рамках СЭД отдельно взятого за горло юридического лица.
Хорошо об этом сказано в статье Юрия Маслова (коммерческого директора КРИПТО-ПРО), опубликованной в журнале "Делопроизводсто", № 10 за этот год. Правда, г-н Маслов слегка лукавит, когда говорит, что для подписания документа цифровой подписью всегда должно применяться только сертифицированное ПО, но что еще можно было ожидать от производителя сертифицированного ПО :)
Задачи придания электронному документу "юридической значимости" внутри предприятия, как таковой, не ставится - если возникает какой-то спор внутри организации, то он решается максимум на уровне "генерального" (как вариант, собственников компании). В арбитражный суд обращаются, как правило, с денежными требованиями и платят пошлину за рассмотрение дела. Кто (стороны) и с какими вопросами (подведомственность) обращается в суд, читайте в Арбитражном процессуальном кодексе.
А что бы не гадать, что примет арбитражный суд в качестве письменных доказательств, в случае спора, скажем, двух хозяйствующих субъектов, обратимся к АПК.
Статья 75. Письменные доказательства (п.1-4)
1. Письменными доказательствами являются содержащие сведения об обстоятельствах, имеющих значение для дела, договоры, акты, справки, деловая корреспонденция, иные документы, выполненные в форме цифровой, графической записи или иным способом, позволяющим установить достоверность документа.
2. К письменным доказательствам относятся также протоколы судебных заседаний, протоколы совершения отдельных процессуальных действий и приложения к ним.
3. Документы, полученные посредством факсимильной, электронной или иной связи, а также документы, подписанные электронной цифровой подписью или иным аналогом собственноручной подписи, допускаются в качестве письменных доказательств в случаях и в порядке, которые установлены федеральным законом, иным нормативным правовым актом или договором.
4. Документы, представляемые в арбитражный суд и подтверждающие совершение юридически значимых действий, должны соответствовать требованиям, установленным для данного вида документов.
2 Сергей Бушмелев:
1. Юрий Геннадьевич говорит про необходимость использования сертифицированных (читай проверенных, т.е. надежных) средств ЭЦП. А как иначе обеспечить требование закона?
2. "Задачи придания электронному документу "юридической значимости" внутри предприятия, как таковой, не ставится - если возникает какой-то спор внутри организации, то он решается максимум на уровне "генерального" (как вариант, собственников компании)."
В этом случае и не нужны электронные ДОКУМЕНТЫ, соответственно не нужны ЭЦП!
3. А приведенная Вами Статья 75 АПК как раз и ссылается на дополнительные установленные случаи и порядки.
Поэтому суд должен посмотреть вначале эти устанавливающие документы, в первую очередь закон, а потом договор. Но даже если Вы сумеете записать в договор, что в Вашей системе в качестве средства ЭЦП используется некий модуль в операционной системе или в СЭД. Да, это на усмотрение хозяйствующих субъектов. Но имейте в виду, что любой может заявить, что дескать я не виноват я ничего не делал - это злобный хакер что-то подделал и т.п.
Что сделает суд? Вероятно обратится к эксперту. И где Вы найдете эксперта, например по RSA/MD5/DSS/SHA-1(2)? ...тупик!
И тут решение IMHO может быть одно - "сами виноваты", наказывать не за что, только потратились на госпошлину.
И скажите мне, кому нужны такие "тренировочные решения СЭД с ЭЦП"?
А в случае использования сертифицированного средства ЭЦП есть гарантирующий в соответствии с российскими условиями технического регулирования надежность выполняемых функций сертификат соответствия!
И не забывайте, есть еще и требования к УЦ...
2 Вадим Майшев:
>1. "надежный" не всегда равно "сертифицированный" , обратное выражение более справедливо, но тоже твердый знак равенства ставить не стоит.
>2. не понял, о чем Вы...ЭЦП в электронных документах внутри компании используется для целей неотрекаемости. Неотрекаемость и "юридическая значимость" - не одно и тоже. Вам Ваш начальник указания всегда отправляет в виде документа, подписанного ЭЦП, и никогда просто по электронной почте или даже устно? ;) И если это устный приказ, он что, не "юридически значим"??? Просто ЭЦП в данном случае теоретически простой способ доказать, что документ подписан именно этим человеком. Как альтернатива свидетельским показаниям ;)
>3. Хозяйствующие субъекты - не малые дети, и руководствуются принципом "разумной достаточности". Серьезность документов, тяжесть последствий в случае неблагоприятного развития событий определяет меры безопасности, в том числе при обмене электронными документами. Где нужен документ, подписанный сертифицированным средством ЭЦП, а где достаточно "несертифицированного" средства ЭЦП, письма по электронной почте или факсовой копии, стороны (или владелец СЭД) решают сами, исходя из вышеобозначенного принципа. И наличие в поле досягаемости эксперта по тем или иным технологиям тоже будет принято сторонами во внимание :) Если стоимость системы безопасности больше, чем возможный урон в случае отсутствии таковой, то это, как говорят наши заокеанские коллеги, makes no sense.
Что касается надежности сертифицированных систем, обладающих сертификатами соответствия, то тут тоже не все так просто - в ветке форума (по ссылке, что привела Наталья), есть пост где Наталья как раз приводит слова Юрия Маслова. С вашего позволения процитирую здесь:
"Мы проводили компьютерно-технические экспертизы, - рассказал Юрий Маслов, заместитель коммерческого директора компании "Крипто-Про", - участвовали вместе с юристами в различных судебных практиках, когда в доказательство вины использовались документы с ЭЦП. И столкнулись с такой проблемой: факт подписи доказать невозможно. Это приводит к тому, что арбитр или дознаватель не принимают электронный документ в качестве доказательства в судебных и досудебных процедурах".
1. Согласен, но в случае наличия сертификата государство этим самым в некоторой степени гарантирует в рамках своих полномочий соответствие заявленных функций государственным критериям. Собственно сертификация - это государственный механизм, защищающий потребителя от продуктов недобросовестных (в смысле неквалифицированных) поставщиков!
2. Да, не одно и то же. При этом считаю Ваше противопоставление некорректным в этом контексте, т.к. неотрекаемость (неотказуемость) реализуется не иначе как через собственноручную подпись или ЭЦП, как ее аналог. Вам известны другие способы?
А в серьезных организациях по требованиям делопроизводства все делается в письменном виде - через должностные инструкции, резолюции руководителя, "пометки" об исполнении и т.п. Как Вы думаете - для чего?
Вот для этого же используется и ЭЦП, и не просто для "тренировки", а по закону. И именно в тех организациях, которые используют "юридически значимые отметки", и совершенно не потому что они не доверяют устным указаниям.
3. Полностью согласен. Только, к сожалению, не все являются специалистами в этой сфере и опираясь на рекламные формулировки о наличии ЭЦП в конкретной СЭД (опять же включенной туда в качестве "тренировки" - прошу прощения за этот часто повторяющийся термин :-)) принимают решение о достаточности реализованных в этой СЭД защитных механизмах и начинают ей доверять, не подозревая про "тренировочность" ( опять сорри :-)) значимых процессов.
4. Давайте не будем вырывать слова уважаемого Юрия Геннадьевича из контекста! "Сертифицированность" здесь ни причем! Все дело в организационной сложности решений с ЭЦП (корректности регламентов, в т.ч. в части "разбора полетов", времени - но это уже отдельная песнь). А Вы поняли, что здесь скрывается под словами "факт подписи доказать невозможно"? Я нет. Хотя предполагаю, что это про время подписи. Но это не проблема сертифицированных решений - это проблема организации (точнее ошибки организатора СЭД) и технологии (которая, кстати говоря, успешно развивается).
2 Вадим Майшев
>1. Да, именно поэтому обязательность применения сертифицированных СКЗИ установлена для ИС общего пользования и КИС государственных и муниципальных органов власти. Закон разумно устанавливает для владельцев остальных, "негосударственных" КИС право выбирать СКЗИ, в том числе среди несертифицированных. Владелец такой КИС при выборе СКЗИ будет руководствоваться ценой, поддержкой, наличием в будущем проблем, опять же наличием cертификата :) Ну, и выберет, что ему покажется оптимальным...
>2. Проблема тут вот в чем... Действие Закона об ЭЦП распространяется только на гражданско-правовые и прочие, специально установленные законом отношения. Я об этом писал в своем блоге "ЭЦП вне закона". Не сочтите за рекламу, просто что-бы не приводить здесь все обнаруженные мной правоотношения, на которые распространяется Закон об ЭЦП. Получается, что на отношения внутри компании данный закон не распространяется, что подразумевает, что порядок применения ЭЦП, а равно и иных аналогов собственноручной подписи мы должны устанавливать сами, в локальных нормативно-правовых актах . Далее, способов организации неотрекаемости, кроме как при помощи ЭЦП, существует масса. Например, аутентификация при входе в СЭД, разграничение прав доступа и одновременное возложение ответственности на пользователя за разглашение пароля. Понятно, что вне пределов СЭД гарантий авторства и неизменности в данном случае будет меньше (или не будет вообще), но этого и не планировалось :) Вообще, организация таких сложных вещей, как юридическая значимость, неотрекаемость, это комплексное мероприятие, где воедино сливаются технология, организация, право, и одно без другого рассматривать, как мы сошлись во мнении, не стоит.
3. Насколько мне известно, все половозрелые СЭД позволяют использовать не только "тренировочную" ЭЦП, оганизованную средствами Центра сертификации Windows, но и сертифицированные криптопровайдеры. Но опять же повторяюсь, "лигитимность" ЭЦП и во внутрифирменной СЭД, и при обмене между организациями придается только локальным нормативно-правовым актом и соглашением сторон.
4. Я тоже считаю, что в случаях, о которых рассказывал Юрий Геннадьевич, проблемы возникали в том числе из-за "косяков" в организации применения ЭЦП. Штамп времени штука хорошая, но и она только гарантирует, что документ был подписан в такое-то время. Возможно, проблема была как раз в том, что доказать однозначное тождества лица, обладавшего да момент подписи закрытым ключом, авторизовавшегося в СЭД или ином ПО для подписания документа, знавшего все пароли и пин-коды, и непосредсвенно некого г-на А. Т.е. доказать, что именно А это все провернул, а А, я так полагаю, ушел в глухой "отказ", в этих случаях не представлялось возможным. Самым простым вариантом, в данном случае, правда, не знаю, насколько законным, было бы возложение на лица (в регламентах обмена электронными документами) как раз обратной обязанности, т.е. обязанности доказывать, что документ подписал кто-то другой, а не он :)
2 Сергей Бушмелев
1. Да, на свой страх и риск, который при несертифицированных решениях на порядки выше.
2. Да, комплексное мероприятие.
Но, "аутентификация при входе в СЭД, разграничение прав доступа и одновременное возложение ответственности на пользователя за разглашение пароля" IMHO это, в принципе бездоказательное направление, разве что если аутентификация криптографическая двусторонняя с применением, опять же ЭЦП (конечно, при наличии комплекса мер). Тем более, никаким образом Вы не докажете, что пользователь разгласил пароль, т.к. при отсутствии сертифицированных средств/технологий/механизмов аутентификации с паролями любой сошлется на злобных хакеров и Вы не докажете обратное!
3. Да, половозрелые имеют некоторые возможности использования СКЗИ.
Но, из них далеко немногие работают с сертификатами ключей подписи (хотя многие с сертификатами открытых ключей - почувствуйте разницу), и тем более с УЦ (в смысле закона об ЭЦП). Начнешь сравнивать решения - ~95% имеет функции "ЭЦП и шифрование", а копнешь глубже - оказывается производители имеют при этом ввиду лишь наличие в их СЭД этих криптографических преобразований с использованием "каких-то" криптомодулей, а закон никто в глаза не видел (я уже не говорю про шифрование в соответствии с российскими нормативными документами). И что делать потребителю?
4. +, may be.