Все материалы IT-директору Делопроизводителю Бухгалтеру HR-менеджеру
Цифровая трансформация Проекты крупным планом Бухгалтерия будущего Электронные архивы Электронный документооборот Обмен документами с контрагентами Электронная подпись Учебники
Наверх

Выбор вида электронной подписи для использования в СЭД

Архив
Время чтения: 5 минут
23
Выбор вида электронной подписи для использования в СЭД

Выход в начале 2011 года нового закона «Об электронной подписи» всколыхнул общественность, в том числе и профессиональное сообщество ECM. До сегодняшнего дня не утихают среди профессионалов споры о применимости того или иного вида электронной подписи.

Алексей Корепанов, руководитель проектов DIRECTUM

Выход в начале 2011 года нового закона «Об электронной подписи» всколыхнул общественность, в том числе и профессиональное сообщество ECM. До сегодняшнего дня не утихают среди профессионалов своего дела споры о применимости того или иного вида электронной подписи в различных областях электронного взаимодействия. Для многих представителей бизнеса этот аспект работы с электронными документами остается непонятым. Предлагаю рассмотреть его в разрезе работы в ECM-системе.

Итак, на текущий момент законодательно определены три вида электронной подписи – простая, неквалифицированная и квалифицированная.

Простая электронная подпись

Этот вид подписи формируется без использования каких-либо криптографических преобразований. Законодательно требуется лишь, чтобы сама подпись содержалась в подписываемом документе и позволяла определить лицо, подписавшее документ.

Из положительных сторон использования простой подписи можно выделить простоту реализации и отсутствие необходимости использовать специализированные средства установки электронной подписи. Но из такой простоты вытекает и основой недостаток – невозможность определения факта внесения изменений в документ.

Можно ли использовать простую электронную подпись в ECM-системе? С точки зрения законодательства документы с простой подписью имеют юридическую силу при наличии локальных нормативных актов (в том числе регламент использования электронной подписи). Но если учитывать требования бизнеса, то простая электронная подпись в ECM-системе не имеет смысла. Да, по истории изменений документа мы можем определить пользователя, который внес изменения в документ, но не сможем гарантированно восстановить состояние документа на момент подписания.

Но! Можно доработать ECM-систему таким образом, чтобы подписанная простой электронной подписью версия документа блокировалась от изменений. Такой вариант работы имеет право на жизнь и может использоваться для постановки юридически значимого электронного документооборота. К тому же использование простой электронной подписи упрощает задачу архивного хранения, т. к. отпадает вопрос с сохранением актуальности подписи (подробнее опишу ниже эту проблему). Но стоит помнить, что счета-фактуры должны подписываться исключительно квалифицированной подписью.

Неквалифицированная электронная подпись

Этот вид подписи формируется с использованием криптографических преобразований и позволяет определить лицо, подписавшее документ, а также факт внесения изменений в документ после его подписания. Примером неквалифицированной подписи может служить подпись, сформированная с использованием ключа, сгенерированного удостоверяющим центром Microsoft CA.

Единственное отличие неквалифицированной подписи от квалифицированной заключается в том, что ключ последней должен быть сгенерирован в удостоверяющем центре, прошедшем процедуру аккредитации в Уполномоченном федеральном органе (обязательное требование для прохождения аккредитации – использование исключительно сертифицированного программного обеспечения).

Итак, можно ли использовать неквалифицированную электронную подпись в ECM-системе? С точки зрения законодательства документы (за исключением счетов-фактур), подписанные неквалифицированной электронной подписью, имеют юридическую силу при условии наличия регламентирующих локальных нормативных актов. С точки зрения бизнеса этот вид подписи удовлетворяет всем требованиям.

Сложность состоит в организации архивного хранения электронных документов, подписанных неквалифицированной (или квалифицированной) электронной подписью. Для сохранения юридической значимости подписанного электронного документа необходимо, чтобы сертификат был действительным на момент проверки подписи. Чаще всего срок действия сертификата – 1 год. Тогда как же проверить действительность электронной подписи через 10–15 лет? Существует несколько вариантов, например, использовать службу штампов времени или каждый год переподписывать документы. Однако в регламентирующих документах необходимо четко описать механизм поддержания актуальности электронной подписи (сохранение юридической значимости подписанного электронного документа).

Квалифицированная электронная подпись

Этот вид подписи формируется с использованием криптографических преобразований и позволяет определить лицо, подписавшее документ, а также факт внесения изменений в документ после его подписания. Примером квалифицированной подписи может служить подпись, сформированная с использованием ключа, сгенерированного аккредитованным удостоверяющим центром, и с помощью сертифицированного программного обеспечения.

Безусловно, квалифицированная электронная подпись может использоваться в ECM-системе. При этом согласно законодательству электронный документ, подписанный квалифицированной подписью, имеет юридическую силу (приравнивается к бумажному документу с подписью), в том числе и счета-фактуры. И в отличие от случая с неквалифицированной подписью, не требуется разработка регламента использования электронной подписи в системе.

Резюме

Подведем итог. С некоторыми оговорками в ECM-системе можно использовать любой вид электронной подписи.

В случае обмена документами в электронном виде, за исключением счетов-фактур и документов, которые должны быть составлены исключительно на бумаге, можно использовать неквалифицированную электронную подпись или, при условии доработки системы, простую. Если же предполагается, что в электронном документообороте будут участвовать и счета-фактуры, необходимо использовать квалифицированную подпись (следует помнить, что на текущий момент нет формата электронного счета-фактуры, т. е. обмен в электронном виде невозможен).

Можно и комбинировать указанные выше варианты, т. е. счета-фактуры подписываются квалифицированной подписью и отправляются через специализированного оператора контрагенту, а другие договорные документы подписываются другим видом подписи и отправляются контрагенту. Такой вариант технологически и организационно сложнее, но позволяет сократить затраты на постановку юридически значимого электронного документооборота. Выбор как всегда за вами.

Приглашаю всех читателей ECM-Journal 30 ноября на онлайн-семинар по юридически значимому документообороту. Как докладчик, буду рад пообщаться с вами по вопросам ЭЦП и другим темам (пожалуйста, зарегистрируйтесь заранее).

Источник: Эксклюзивно для ECM-Journal

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 23

Михаил Романов 16 ноября 2011
Но если учитывать требования бизнеса, то простая электронная подпись в ECM-системе не имеет смысла
Можно раскрыть - о каких именно требованиях идет речь? 
но не сможем гарантированно восстановить состояние документа на момент подписания

Что имеется в виду, что после подписания документа его могут поменять? Так для того и существует СЭД чтобы такого не допустить! (собственно об этом вы и пишите ниже). 

Другой вопрос, что документ может использоваться не только внутри, но и во вне СЭД.

Но стоит помнить, что счета-фактуры должны подписываться исключительно квалифицированной подписью
Был бы очень желателен источник(и). Пока указание на использование именно ЭЦП я знаю только по письму ФНС, а там ссылаются на закон об ЭЦП от 2002 года, где другие типы подписей просто не рассматриваются.
Михаил Романов 16 ноября 2011

Еще несколько замечаний/дополнений к статье.

  1. По мне вопрос как подписывать документы в СЭД не особо критичен (по правде говоря, мне до сих пор не понятна "возня" вокруг вопроса СЭД и ЭЦП, иногда даже кажется, что этот вопрос - этокий "маркетинговый шум": если больше о СЭД ничего интересного сказать не получается, то приходится обсуждать ЭЦП в СЭД) - вы можете использовать любой разумный способ подтверждения аутентичности документа. При правильно выстроенной ИТ-инфраструктуре у ЭЦП нет особых преимуществ перед вариантом "ведение истории измений и введение признака подписанности".
  2. Гораздо более интересным представлется вопрос использования электронных документов вне СЭД. Этот вопрос в нашем СЭД-сообществе рассматривается как-то вяло (возможно потому, что основными "двигателями" являются вендоры СЭД, а вопрос хранения и работы с документами вне СЭД их волнует мало), при том, что именно там возникает просто масса вопросов:
    • технических. Например, как передавать документ и подпись, какие использовать алгоритмы и ПО (чтобы адресат гарантированно смог прочесть документ)
    • организационно-технических. Например, какой использовать сервер штампов времени для расширенной подписи (чтобы быть уверенным, что адресат тоже сможет им воспользоваться для подтверждения подписи). 
    • ...
  3. В свете п. 2 российский вариант квалифицированной ЭЦП (с его непонятными требованиями по использованию сертифицированного ПО и только доморощенных алгоритмов) создает просто массу проблем к использованию ЭЦП в документообмене (а у нее и так хватает проблем - часть из них даже рассмотрена в статье). И если на территории РФ еще можно рассчитывать на повсеместное насаждение "российской ЭЦП" (а куда деваться...), то для международных компаний или российских компаний, работающих на мировом рынке это делает сомнительным сам факт использования ЭЦП в документообмене.

Ну и общий вывод напрашивается практически сам собою:самая выигрышная стратегия  - использовать принцип максимальной простоты: везде где это возможно использовать простую электронную подпись, если есть необходимость криптографической защиты (передача по публичным каналам, сложность заключения предварительных договоренностей между участниками обмена, ...) пользовать неквалифицированной ЭЦП и только в исключительных случаях (пока кроме обмена документами с государственными органами я ничего придумать не могу) - квалифицированную подпись.

Алексей Корепанов 16 ноября 2011
Что имеется в виду, что после подписания документа его могут поменять? Так для того и существует СЭД чтобы такого не допустить! (собственно об этом вы и пишите ниже). 
Собственно да. Имеется в виду, что надо реализовать этот функционал средствами СЭД, ибо простая подпись не умеет блокировать документ от изменений собственными средствами.
Был бы очень желателен источник(и). Пока указание на использование именно ЭЦП я знаю только по письму ФНС, а там ссылаются на закон об ЭЦП от 2002 года, где другие типы подписей просто не рассматриваются.
Если вспомнить закон об ЭП от 2011 года, то там явно прописано, что ЭЦП в понимании закона от 2002 года приравнивается к квалифицированной подписи. Из чего и следует указанный выше вывод.
При правильно выстроенной ИТ-инфраструктуре у ЭЦП нет особых преимуществ перед вариантом "ведение истории измений и введение признака подписанности".
С точки зрения функциональности - да, а вот с точки зрения законодательства у квалифицированной ЭП имеется ряд преимуществ.
В свете п. 2 российский вариант квалифицированной ЭЦП (с его непонятными требованиями по использованию сертифицированного ПО и только доморощенных алгоритмов) создает просто массу проблем к использованию ЭЦП в документообмене (а у нее и так хватает проблем - часть из них даже рассмотрена в статье). И если на территории РФ еще можно рассчитывать на повсеместное насаждение "российской ЭЦП" (а куда деваться...), то для международных компаний или российских компаний, работающих на мировом рынке это делает сомнительным сам факт использования ЭЦП в документообмене.
Не соглашусь ни с одним из Ваших доводов.
1. Требования сертификации ПО вполне понятны, аналогично с алгоритмами. Это стандарт, давно принятый в России.
2. Проблем с использованием квалифицированной ЭП в СЭД тоже нет никаких, с технической точки зрения это та же ЭЦП, что и была раньше.
3. Работа с зарубежными компаниями возможна, тут я тоже не вижу никаких проблем. Никто не запрещает использовать международные алгоритмы электронной подписи и международные стандарты.
Ну и общий вывод напрашивается практически сам собою:самая выигрышная стратегия  - использовать принцип максимальной простоты: везде где это возможно использовать простую электронную подпись, если есть необходимость криптографической защиты (передача по публичным каналам, сложность заключения предварительных договоренностей между участниками обмена, ...) пользовать неквалифицированной ЭЦП и только в исключительных случаях (пока кроме обмена документами с государственными органами я ничего придумать не могу) - квалифицированную подпись.
Общий принцип такой, об этом я писал. Но стоит помнить и о затратах на постановку и поддержку инфраструктуры. В случае полного отказа от бумаги это может означать значительные затраты.
Михаил Романов 16 ноября 2011
Требования сертификации ПО вполне понятны, аналогично с алгоритмами. Это стандарт, давно принятый в России

Да ради бога. Проблема не в том, что мы используем для квалифицированной подписи стандарт GOST, а в том, что никакие другие стандарты и алгоритмы для нее применять нельзя.

Проблем с использованием квалифицированной ЭП в СЭД тоже нет никаких, с технической точки зрения это та же ЭЦП, что и была раньше
К сожалению есть.
Так как стандарт GOST не является стандартом ни для кого кроме России, в стандартах международного уровня он практически нигде не фигурирует. Исключение составляют несколько RFC документов, которые были приняты просто потому что никому до них особо дела не было. А если взять стандарты например, W3.org, OASIS или ECMA - вы не найдете в них упоминания алгоритмов GOST.
Собственно, я приводил пример для стандарта XmlDSig - в нем явно указаны допустимые алгоритмы для получения хэш-сумм и криптоприобразования - это sha1 и rsa. ГОСТа там нет. А значит ни одна библиотека или приложение, написанная в соответсвии со стандартом W3.org, его поддерживать не обязана. Что, собственно мы и имеем.
Нет, конечно, мы можем воспользоваться продуктами того же CriptoPro, только не слишком ли жирно будет?
Никто не запрещает использовать международные алгоритмы электронной подписи и международные стандарты
Ну да, только они не являются квалифицированными в России.
При том, что неквалифицированную можно использовать свободно за исключением некоторых ограниченных (к счастью) случаев.
А вот поддерживать инфраструктуру квалифицированной подписи на каждом рабочем месте это весьма накладно, достаточно взглянуть на ценник http://www.cryptopro.ru/buy/price
Алексей Корепанов 16 ноября 2011
Ну да, только они не являются квалифицированными в России. При том, что неквалифицированную можно использовать свободно за исключением некоторых ограниченных (к счастью) случаев. А вот поддерживать инфраструктуру квалифицированной подписи на каждом рабочем месте это весьма накладно, достаточно взглянуть на ценник http://www.cryptopro.ru/buy/price

Вообще говоря, квалифицированная подпись будет использоваться лишь малой частью пользователей СЭД, поэтому я не считаю проблемы со стандартами ГОСТ катастрофическими. Поддерживать инфраструктуру квалифицированной подписи на паре рабочих мест, ну может на десятке, достаточно просто и не накладно.
Ну и общий вывод напрашивается практически сам собою:самая выигрышная стратегия  - использовать принцип максимальной простоты: везде где это возможно использовать простую электронную подпись, если есть необходимость криптографической защиты (передача по публичным каналам, сложность заключения предварительных договоренностей между участниками обмена, ...) пользовать неквалифицированной ЭЦП и только в исключительных случаях (пока кроме обмена документами с государственными органами я ничего придумать не могу) - квалифицированную подпись.
Вы же сами об этом писали ранее.
А по поводу международных стандартов, совместимости и обмена с зарубежными контрагентами, думаю, в последующем появятся подзаконные акты, позволяющие такой документооборот. Первый шаг - построить инфраструктуру и законодательную базу для перевода документов в электронный вид в рамках внутреннего документооборота в России.
Михаил Романов 16 ноября 2011
Вы же сами об этом писали ранее.

Ну да - здесь мы смотрим на вещи одинаково :)

Однако, я все-таки вернусь к исходному своему комментарию. А его посыл (по крайней мере мне хотелось чтобы он был понят так, но я увлекся и мысль размазалась) был в следующем:

Выбор типа используемой подписи внутри СЭД зависит в первую очередь от того, как с документами и их подписями будут работать вне СЭД.

Т.е. начинать надо не с вопроса "какой подписью мы будем подписывать документы в СЭД", а с блока вопросов типа:

  • с кем из партнеров/клиентов/государственных органов/... мы будем обмениваться электронными документами с подписями
  • как мы будем сохранять подписанные документы и письма от перечисленных источников (кстати, это довольно распространенная на западе практика - настраивать автоматическое подписание исходящих писем. В этом случае подтверждается сразу аутентичность и писем, и вложенных документов)
  • каковы наши риски и затраты при использовании различных сценариев обмена (кстати, ни в коем случае не стоит сразу выкидывать бумажный вариант - при эпизодическом обмене документами он может быть как нельзя кстати). Например
    • во что выльется использование собственного удостоверяющего центра (и возможно ли такое)
    • чем нам грозит дискредитация/закрытие/... внешнего центра сертификации, если мы будем пользоваться им
    • каковы будут требования к нашей ИТ-инфраструктре, чтобы мы могли использовать внешние сервера списков отзывов сертификатов и служб штампов времен
  • как мы будем предоставлять (если будем) электронные документы при обращении государственных надзорных служб. Например, может оказаться что вариант "печатаем и подписываем вручную в пожарном режиме" окажется самым простым и дешевым
  • ... (и еще длинный перечень вопросов - вы большую часть из точно перечислили в своих статьях)

Вот когда мы поймем как будет работать внешний документооборот и процессы eDiscovery, мы можем подумать и о том, что придется менять внутри (я касаюсь только вопросов подписания - все остальное можно и нужно развивать параллельно).

Вадим Майшев 17 ноября 2011
Выбор вида электронной подписи для использования в СЭД
Странная дискуссия получается... На самом деле, в стране нет такой постановки задачи. Потому что ЭЦП (ЭП, если хотите) применяется в информационной системе (корпоративной и/или общего пользования). Чем является CЭД? Это и не информационная система с ЭЦП, и не средство ЭЦП (в большинстве случаев)! Я бы отнес СЭД к информационно-телекоммуникационным техническим средствам, которые участвуют в конечном счете в создании информационной системы с применением ЭЦП. Из этого и надо исходить при обсуждении. Надо понимать, что ИС может и не содержать в своем составе СЭД/ECM!
Подведем итог. С некоторыми оговорками в ECM-системе можно использовать любой вид электронной подписи.
Выбор типа ЭП будет зависеть от ИС, составной частью которой может является СЭД.
Квалифицированная ЭП (ЭЦП) - самая надежная, при нормальной организации ИС гарантированно невозможно нарушить юридическую значимость.
Простая ЭП -  мер защиты никаких, гарантии никакой, надежность ноль, все держится на честном слове. Единственное реально просматриваемое назначение - чудо-портал Ростелекома (хотя и до появления Простой ЭП те, кто по каким-то причинам доверяет этому порталу, работали с логином/паролем как с аналогом собственноручной подписи по ГК ).
Неквалифицированная ЭП - недоквалифицированная ЭП, вроде и с применением криптосредств, но при этом никакой гарантии надежности. Сфера назначения непонятна. Кому может потребоваться такое решение, когда есть гарантированно надежное - неясно.
Вообще говоря, квалифицированная подпись будет использоваться лишь малой частью пользователей СЭД, поэтому я не считаю проблемы со стандартами ГОСТ катастрофическими. Поддерживать инфраструктуру квалифицированной подписи на паре рабочих мест, ну может на десятке, достаточно просто и не накладно.
Согласен, юридическая значимость документов требуется обеспечить по большому счету только руководителю организации и его заместителям.
При правильно выстроенной ИТ-инфраструктуре у ЭЦП нет особых преимуществ перед вариантом "ведение истории измений и введение признака подписанности".
Разумеется, ЭЦП требуется только там, где требуется юридическая значимость. Не надо стремиться внедрять ее везде, где требуется защита информации в общем смысле (а нужно это везде). Для этого достаточно других средств защиты информации, адекватных по функциям и уровню надежности обрабатываемой в информационной системе сведений/данных/документов.
Так как стандарт GOST не является стандартом ни для кого кроме России, в стандартах международного уровня он практически нигде не фигурирует. 
Да, ГОСТы это стандарты России и они применяются в России. Никто в мире не обязан их применять. А Вам чего хочется-то?
Исключение составляют несколько RFC документов, которые были приняты просто потому что никому до них особо дела не было.
Ну что-ж Вы так плохо к родной стране относитесь!?
Михаил Романов 17 ноября 2011
Да, ГОСТы это стандарты России и они применяются в России. Никто в мире не обязан их применять. А Вам чего хочется-то?
Возможности использования в квалифицированной ЭЦП международных стандартов. 
Ну что-ж Вы так плохо к родной стране относитесь!?

При чем здесь страна? Данные стандарты были предложены компниями КриптоПро и КриптоКом, это (я надеюсь) частные, а не государтсвенные компании.

А что касается фразы "никому небыло дела" так это просто констатация факта, что указанные RFC-стандарты были приняты практически без обсуждения, просто по истечении времени обсуждения, процедура RFC это позволяет...

Вадим Майшев 17 ноября 2011
Возможности использования в квалифицированной ЭЦП международных стандартов.
Увы, отечественная криптография - одно из средств обеспечения отечественного суверенитета. 
Но что вам это даст? Квалифицированная ЭП должна создаваться сертифицированным средством. Выйдите с предложением в Госдуму/ФСБ/... сертифицировать СКЗИ, реализующие RSA/MD-5/RC4 и DSA/SHA-1/AES! Представим, что это произойдет: у меня нет уверенности, что MS Win Rus сможет без некого Russian CryptoSecurity Pack (стоимостью, сопоставимой с сертифицированным СКЗИ), закрывающего дыры, получить сертификат соответствия.
Данные стандарты были предложены компниями КриптоПро и КриптоКом, это (я надеюсь) частные, а не государтсвенные компании.
К вашему сведению, среди авторов RFCs 4357, 4490, 4491:
CRYPTO-PRO
Factor-TS
Infotecs GmbH
FGUE STC "Atlas"
MD PREI
R-Alpha
Cryptocom
SPRCIS (SPbRCZI)
Mobile TeleSystems OJSC
А это практически все компании в России, делающие сертифицированные  СКЗИ. Среди них и ФГУП НТЦ "Атлас". А что это меняет?
...просто констатация факта, что указанные RFC-стандарты были приняты практически без обсуждения..
Чего обсуждать-то? Что лучше: ГОСТы vs неГОСТы? :-)
Есть защищенные криптографией международно стандартизованные сущности-протоколы-алгоритмы. Теперь в них стандартизовано применение ГОСТов. Наступил порядок...
Михаил Романов 17 ноября 2011
Но что вам это даст? Квалифицированная ЭП должна создаваться сертифицированным средством.

Да, я хотел поправиться - не требовать сертификации криптосредств для того, чтобы считать подпись квалифицированной. 

А это практически все компании в России, делающие сертифицированные СКЗИ. Среди них и ФГУП НТЦ "Атлас". А что это меняет?

Думаю, что принципиально ничего.

Есть защищенные криптографией международно стандартизованные сущности-протоколы-алгоритмы. Теперь в них стандартизовано применение ГОСТов. Наступил порядок...

Увы, это очень малая часть протоколов. Но это половина беды. Вторая проблема никто из крупных вендоров ПО (таких как Microsoft или Oracle) не спешит их поддерживать...

В результате возникают все описанные в нашей дискуссии проблемы.

Вадим Майшев 17 ноября 2011
Да, я хотел поправиться - не требовать сертификации криптосредств для того, чтобы считать подпись квалифицированной. 
!? Она потому и квалифицированная, что создается гарантированно надежными средствами.
Увы, это очень малая часть протоколов.
Так не все сразу...
никто из крупных вендоров ПО (таких как Microsoft или Oracle) не спешит их поддерживать
А Вам не приходит в голову, что не спешат как раз потому, что не смогут сделать это на должном уровне?
В результате возникают все описанные в нашей дискуссии проблемы.
Ну не знаю, проблем при применением ЭЦП в ИС никаких нет! Если есть проблемы с ЭЦП в СЭД/ECM, то обозначьте их, и давайте попробуем обсудить...
Пока что из всего обсуждения я увидел лишь одну "проблему":
А вот поддерживать инфраструктуру квалифицированной подписи на каждом рабочем месте это весьма накладно, достаточно взглянуть на ценник
Накладно для кого? Для организатора корпоративной ИС с ЭЦП, конечного пользователя или вендора СЭД/ECM? Для первых всегда есть вопрос баланса затрат-рисков, последнего это вообще не должно волновать: если есть силы нужно реализовать все варианты, а организатор и пользователь, если им действительно нужна СЭД/ECM, пусть сами выбирают, какой уровень надежности им нужен. 
Вы всерьез считаете, что бесплатно может быть безопасно? Кстати, кроме затрат на средства Вы не учли затраты на услуги. Повторюсь, ну не нужна инфраструктура квалифицированной подписи на каждом рабочем месте!
А вот поддерживать инфраструктуру квалифицированной подписи на каждом рабочем месте это весьма накладно, достаточно взглянуть на ценник

Михаил Романов 17 ноября 2011
Она потому и квалифицированная, что создается гарантированно надежными средствами
А в чем выражается эта надежность? 
А Вам не приходит в голову, что не спешат как раз потому, что не смогут сделать это на должном уровне?

Что значит "не смогут сделать это на должном уровне"?

Microsoft в свое время озвучивала свою позицию в отношении региональных стандартов - они не могут поддерживать их все (даже их мощностей не хватает). Поэтому оставляют на откуп партнерам.
 

Михаил Романов 17 ноября 2011

Кстати сразу еще вопрос: я ведь правильно понимаю что квалифицированной считается подпись сделанная сертификатом, выданным аккредитованным центром (который и обязан использовать сертифицированное ПО и АО). При этом никаких требований к ПО/АО на местах подписания не предъявляется (ну кроме того, что они должны поддерживать работу с выданными сертификатами, а это автоматически определяет требуемые алгоритмы)?

Или и для подписания должны использоваться сертифицированные средства?

Вадим Майшев 18 ноября 2011
А в чем выражается эта надежность?
Государственная система подтверждения соответствия продукции определенным требованиям. Исходя из ваших условий вы выбираете продукцию соответствующего уровня/класса.
Что значит "не смогут сделать это на должном уровне"?
В конечном счете, соблюсти все требования "региональных стандартов".
Или и для подписания должны использоваться сертифицированные средства?
Конечно, п.4 ст.5 63-ФЗ. Безопасность - это комплекс мер: нет смысла вешать амбарный замок на картонную дверь.
Михаил Романов 18 ноября 2011
Государственная система подтверждения соответствия продукции определенным требованиям. Исходя из ваших условий вы выбираете продукцию соответствующего уровня/класса.
А какие могут быть в принципе требования к продуктам, реализующим ЭЦП, кроме правильности реализации соответствующего алгоритма?
Если дело только в этом, то требование обязательной сертификации бессмысленно. Если пользователь использует несертифицированное (и не верное работающее) ПО - он сам себе роет яму.
При этом, если говорить об обменен документами, используя несертифицированное ПО навредить кому-либо он не сможет - то что подпись нечитаема (и не проверяема) выяснится сразу же. Ну при условии что второй участник обмена использует сертифицированное ПО.
Или что-то еще упускаю?
В конечном счете, соблюсти все требования "региональных стандартов".

Думаю, дело даже не в способности/неспособности - дело в экономической целесообразности и политике работы.

Например, что случится если Microsoft решит-таки реализовать поддержку российских криптоалгоритмов:

  • выпустить региональную версию (тот самый Russian CryptoSecurity Pack) она врятли сможет - ведь тогда различные версии ПО будут просто не совместимы между собой (или этот "пак" придется устанавливать везде). Придется включать во все версии, а это опасно - не факт, что это будет допустимо во всех странах, куда поставляется ПО Microsoft (в конце концов те 6-7 RFC-документов, это единственные международные стандарты, где указан GOST).
  • само по себе включение поддержки GOST в поставку Windows или Office никак не повлияет на продажи последних (никто ведь не купит эти продукты только потому, что там есть реализация GOST), а затарты на сертификацию - существенны.
  • и наконец, если MS решит-таки потратить свои ресурсы на поддержку GOST, она, не заработав ничего сама, на корню убьет бизнес всех производящих криптоПО компаний (ну или очень его порежет).

Так что операция для них скорее бессмысленная.

Конечно, п.4 ст.5 63-ФЗ. Безопасность - это комплекс мер: нет смысла вешать амбарный замок на картонную дверь.

А если не обобщать на всю область безопасности, а ограничиться только вопросами ЭЦП: чем полезна для конечного пользователя сертификация производящего ЭЦП ПО?

Ну и вытекающие вопросы:

  • чем грозит использование несертифицированного ПО для производства ЭЦП в случае обмена документами каждой из сторон?
  • как проверить какое ПО использовалось при установке ЭЦП в каждом конкретном случае?
Вадим Майшев 18 ноября 2011
А какие могут быть в принципе требования к продуктам, реализующим ЭЦП, кроме правильности реализации соответствующего алгоритма?
:-) Средство ЭЦП - это СКЗИ со всеми вытекающими последствиями (моделями нарушителя, классами, госрегулированием)
Так что операция для них скорее бессмысленная.
Так и я об этом.
чем полезна для конечного пользователя сертификация производящего ЭЦП ПО?
Решение конечной цели - обеспечение юридической значимости!
Или что-то еще упускаю?
Давайте не будем в рамках этого журнала проводить ликбез по общим вопросам информационной безопасности, составной ее части - криптографической ЗИ, лицензированию, сертификации и прочая, прочая...
В заключение повторюсь:
Ну не знаю, проблем при применением ЭЦП в ИС никаких нет! Если есть проблемы с ЭЦП в СЭД/ECM, то обозначьте их, и давайте попробуем обсудить...
Михаил Романов 19 ноября 2011
:-) Средство ЭЦП - это СКЗИ со всеми вытекающими последствиями (моделями нарушителя, классами, госрегулированием)
Ну пока видно лишь последнее - госрегулирование. А по части остального ничего сказано не было.
Давайте не будем в рамках этого журнала проводить ликбез по общим вопросам информационной безопасности, составной ее части - криптографической ЗИ, лицензированию, сертификации и прочая, прочая...

Воля ваша, конечно, но пока мы ходим вокруг да около. Если вы можете дать ссылку где освещается вопрос "чем замечательна квалифицированная ЭЦП?" будет замечательно.
А вообще, данный журнал (если говорить за весь ресурс) как раз и создавался в том числе с целью ликбеза для людей занимающихся вопросами СЭД (в том числе для только начинающих). Так что, это вполне его формат.

Если есть проблемы с ЭЦП в СЭД/ECM, то обозначьте их, и давайте попробуем обсудить...
Я же говорю - мы разговариваем на разных языках. Я перечислил проблемы - они лежат в плоскости использования подписанных документов вне СЭД (в СЭД можно делать как угодно). 
Вадим Майшев 21 ноября 2011
А по части остального ничего сказано не было.
Так что, это вполне его формат.
Исправляюсь, вот список НПА для изучения:
Федеральные законы от 06.04.2011 № 63-ФЗ, от 10.01.2002 № 1-ФЗ, от 27.07.2006 № 149-ФЗ, от 08.08.2001 № 128-ФЗ, от 27.12.2002 № 184-ФЗ.
Указы от 03.04.1995 № 334, от 17.03.2008 № 351.
Постановления от 29.12.2007 № 957, от 26.06.1995 № 608.
Приказ ФСБ России от 09.02.2005 № 66.
Приказ ФАПСИ от 13.06.2001 № 152.
Типовые требования (ФСБ России, от 21.02.2008 № 149/6/6-622).
Методические рекомендации (ФСБ России, от 21.02.2008 № 149/54-144).
ГОСТ 28147-89, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94.
RFC 4357, RFC 4490, RFC 4491.
Если вы можете дать ссылку где освещается вопрос "чем замечательна квалифицированная ЭЦП?" будет замечательно.
Я не знаю такого места. ЭЦП = квалифицированная ЭП. Про собственно квалифицированную ЭП пока рано говорить. Ее в природе пока нет - нет ни одного подзаконного акта про требования к УЦ, сертификатам и т.п.
Я перечислил проблемы - они лежат в плоскости использования подписанных документов вне СЭД (в СЭД можно делать как угодно)
Подписанные документы могут быть только в рамках ИС (КИС или ИСОП) с ЭЦП! В СЭД их не может быть (если СЭД не часть ИС). Самой СЭД в ИС может и не быть.
"Проблемы" ЭЦП в СЭД можно рассматривать только в контексте ИС, частью которой является эта СЭД.
Я же говорю - мы разговариваем на разных языках.
Надеюсь, я понятно выразился.
Елена Питомцева 21 ноября 2011

В некоторых случаях "понять" значит "привыкнуть". Поэтому мы с вами в любом случае идем к тому, что понятия ЭП/ЭЦП устоятся. И даже технические вопросы разрешатся, в том или ином виде, по мере расширения использования цифровых подписей. Надеюсь в споре, даже оставшись каждый при своем мнении, оппоненты смогли услышать суть и почерпнуть полезное. ;) Комментари уже тянут на отдельные посты с изложением разной точки зрения на вопрос.

Михаил Романов 21 ноября 2011
Исправляюсь, вот список НПА для изучения
Первоисточники это хорошо, но я бы предпочел краткую квинтэссенцию предложенных документов со ссылками на первоисточники (увы, мне реально в разумное время эту гору документов не осилить, а ИБ - это не моя основная сфера деятельности).
Наверняка сей достойный труд где-нибудь на просторах рунета обязательно сыщется.
Про собственно квалифицированную ЭП пока рано говорить. Ее в природе пока нет - нет ни одного подзаконного акта про требования к УЦ, сертификатам и т.п.
Понятно.
Что ж, это тоже важная информация (пожалуй, для человека не знятого в области ИБ - наиболее важная).
Алексей Корепанов 28 ноября 2011

Один из критериев действительности ЭП - сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен.

Дата создания подписи в документе будет присутствовать в любом случае, служба штампов времени лишь повышает степень доверия к этой дате.
Безусловно, дата будет считаться моментом подписания документа, если Вы это укажете в локальных нормативных актах. Но это будет время сервера, на котором расположена система, или локальное время компьютера, если используется ПО на клиенте, которое можно без труда изменить на нужное. Поэтому и необходима служба штампов времени.
Михаил Романов 28 ноября 2011
по аналогии с собственноручной подписью, мы же не можем сказать, что моя собственноручная подпись имеет какой-то срок действия - она бессрочна
А вот тут и заложена главная ошибка.
Собственоручная подпись и вы - неотделимые понятия, это один из ваших биометрических показателей, такой же как отпечаток польца, генетический код, фотография сетчатки (только давайте оставим в стороне вопрос возможности подделки подписи или любого другого из показателей).
Для подтверждения того, что данная подпись сделана именно вашей рукой может быть использована графологическая экспертиза (это прямой метод определения принадлежности подписи, можно подтверждать и косвенно - например, по свидетельству людей, присутствовавших при подписании).
В отличие от собственоручной подписи - ЭЦП никак с человеком, который в данный момент устанавливает подпись не может быть отождествлено (чтобы было понятнее: если кто-то завладеет вашей рукой, поставить подпись он все-равно не сможе, а вот украв брелок с сертификатом - легко).
Поэтому нам нужны какие-либо косвенные методы подтверждения авторства подписи.
Метод, который обычно используется, это информация о дискредитации сертификата - все операции, выполненные до момента, когда сертификат признается дискредитированным (или истекшим - срок истечения сертификата это некое условное время, которое мы считаем, что сертификат не мог быть дискредитирован).
Ну а по поводу штампов времени Алексей дал вполне четкий ответ - т.к. мы не можем контролировать как именно происходило подписание документа, то мы не знаем не только кто его в реальности осуществлял, но и когда. Ориентироваться на дату документа нельзя - она легко подделывается. Значит нужно независимое третье лицо - служба штампов времени.
Андрей Подкин 29 ноября 2011
только давайте оставим в стороне вопрос возможности подделки подписи или любого другого из показателей
Подпись - да, а другие как раз не стОит оставлять в стороне. ЭЦП ближе всего к отпечатку пальца - сложность кражи брелка сопоставима со сложностью получения отпечатка (если, конечно, человек - в меру параноик, и брелок хранит аккуратно, а не разбрасывает его).
Чтобы прокомментировать, или зарегистрируйтесь

Похожие статьи