Как доверять? Проблемы недоверия к существующей реализации системы Единого пространства доверия
В обосновании необходимости внесения значительных изменений в Федеральный закон «Об электронной подписи» № 63-ФЗ читаем: читаем: «… отсутствие возможности у ведомств всецело доверять информации, внесенной в квалифицированный сертификат УЦ…».
Факт наличия недоверия к выстраиваемой в России системе Единого пространства доверия (ЕПД) признан на государственном уровне. В обосновании необходимости внесения значительных изменений в Федеральный закон «Об электронной подписи» № 63-ФЗ (законопроект о полномочных сертификатах) читаем: «… отсутствие возможности у ведомств всецело доверять информации, внесенной в квалифицированный сертификат УЦ…».
Существует множество мнений о том, кто виноват в этой ситуации и как ее можно решить. Они базируются и на имеющемся опыте управления PKI-инфраструктурой, и на внутренних интересах операторов электронного документооборота (ЭДО), удостоверяющих центров (УЦ), вендоров решений для УЦ и систем ЭДО и мнении основных государственных регуляторов: Минкомсвязи России, ФСБ Росии, Правительства Российской Федерации.
В этой статье мы попробуем дать оценку некоторым положениям Федерального закона "Об электронной подписи" от 06.04.2011 N 63-ФЗ и выделить основные проблемы в существующем законодательстве, которые требуют доработки.
Чего стоит опасаться владельцу ключа и сертификата ЭП
Во-первых, того, что владелец ЭП без своего волеизъявления может быть признан автором ЭД. Это накладывает на него нежелательные обременения или ответственность. А это может испортить жизнь намного хуже, чем потеря денег.
Такая ситуация теоретически может возникнуть вследствие ряда причин:
- Несанкционированно создать и сертифицировать ключи ЭП могут сотрудники УЦ (например, под давлением) или атакующие систему УЦ хакеры.
- Cотрудники УЦ, а также атакующие компьютер владельца ключа хакеры или лица, имеющие доступ к ключевому носителю, могут скопировать и/или несанкционированно использовать ключ ЭП (до его передачи владельцу).
Чего стоит опасаться доверяющей сертификату стороне?
В свою очередь, у доверяющей сертификату стороны есть риски вероятных временных, финансовых или имиджевых потерь. Сделка, заключенная удалённо, может быть признана недействительной судебным решением об аннулировании сертификата ЭП субъекта-участника сделки. При этом УЦ может отказаться от компенсации убытков.
Несмотря на то, что риски доверяющей сертификату стороны пока ещё[1] регулируются положениями действующего законодательства, могут иметь место следующие обстоятельства:
- Договор страхования УЦ может содержать ограничения по количеству страховых случаев.
- Договор владельца сертификата с УЦ (Регламент УЦ) может содержать ограничения финансовой ответственности УЦ.
- Сертификат ЭП может содержать ограничения, которые не могут быть распознаны системой ЭДО.
Чего стоит опасаться УЦ
УЦ должны остерегаться судебной поддержки отказов субъектов от сертификатов ЭП, судебных решений о возмещении удостоверяющими центрами ущерба в пользу доверившихся таким сертификатам пострадавших сторон, а также судебных решений, связанных с неисполнением обязанностей УЦ.
Риски УЦ могут реализовываться в случаях:
- Когда у УЦ нет объективного доказательства, что субъект владеет ключом ЭП.
- Когда УЦ создает сертификат по запросу мошенника, использующего слабости системы УЦ.
- Когда УЦ создает сертификат по запросу лица, использующего поддельные документы.
- Когда УЦ создает сертификат представителя юридического лица для необладающего данными полномочиями лица.
- Когда УЦ выдает ключ и сертификат ЭП лицу по поддельной доверенности.
- Когда УЦ несвоевременного аннулирует/прекращает действие сертификата.
- Когда УЦ использует средства ЭП, не отвечающие требованиям Закона «Об электронной подписи».
Защита от мошенников
Теперь, когда возможные уязвимости обозначены и понятны риски каждой из сторон, встает вопрос: что делать? Как действующее законодательство и судебная система должны защищать гражданина от мошенника, который получил сертифицированый ключ ЭП на его имя и теперь может применять этот ключ для подписи ЭД в своих интересах.
Для решения этой проблемы УЦ по закону должно доказать, что сертификат ЭП создавался в соответствии с заявлением указанного в нём субъекта и был признан этим субъектом при выдаче ему данного сертификата. Причём это доказательство должно быть таким, чтобы его не могла создать/изменить только одна сторона ЕД. А в случае возникновения спорной ситуации, это доказательство было признано судом.
Неопределенность №1
В п.15 N 63-ФЗ в числе основных понятий толкуется выражение «подтверждение владения ключом ЭП». Авторы закона определяют его как получение УЦ доказательств этого владения, без уточнения, каких именно доказательств и, главное, в каком виде они должны приниматься и проверяться судами.
В результате аккредитованные УЦ, пытаясь самостоятельно домыслить суть законного требования, в качестве доказательства владения ключом ЭП демонстрируют самоподписанный запрос на сертификат (pkcs#10). Их логика состоит в том, что раз этот запрос подписан созданным ключом ЭП, значит им владеет тот, кто создал и направил этот запрос, и знает пароль для входа в систему УЦ. Кроме того, что при таком подходе нет защиты от неправомерных действий самих сотрудников УЦ, злоумышленнику для незаконного получения ключа и сертификата ЭП достаточно узнать логин/пароль пользователя системы УЦ. Более продвинутые УЦ для защиты от мошенников реализуют функцию СМС-подтверждения. Это значительно усложняет задачу для взломщика, но не дает 100% гарантии. Кроме троянской программы, ворующей пароли, с компьютера на мобильный телефон жертвы внедряется троянская программа, пересылающая злоумышленнику содержание СМС-сообщений.
Неопределенность №2
В ст. 18 ч.3 (63-ФЗ) описано требование, которое могло бы положить конец неопределенности в части объективного доказательства принадлежности квалифицированного сертификата ЭП, если бы не неоднозначность написанного. Итак: «При получении квалифицированного сертификата заявителем он должен быть под расписку ознакомлен аккредитованным удостоверяющим центром с информацией, содержащейся в квалифицированном сертификате». Казалось бы, вот он тот обязательный и объективный бумажный документ с реквизитами владельца сертификата, составом ключа проверки ЭП, собственноручной подписью и отметкой УЦ, который можно предъявить суду в качестве доказательства, и при отсутствии которого в УЦ суд должен поддержать сторону, отказывающуюся от сертификата ЭП. Однако в законе не указано, что под «распиской» понимается именно собственноручная подпись, а под «заявителем» указанный в сертификате субъект. Заинтересованные в дешевизне и скорости процедуры сертификации ключей ЭП новаторы быстро сообразили, что расписка вполне может быть подписью электронной и даже не усиленной, а простой – при наличии соглашения с участником ЭДО. В Минкомсвязи подтвердили, что такие действия правомерны.
Некоторые УЦ могут толковать понятие «заявитель» как «доверенное лицо, у которого есть полномочия сделать заявление, забрать носитель ключа ЭП доверяющего ему лица и расписаться в ознакомлении с сертификатом этого ключа».
Реализация простой подписи – это указание на автора ЭД без защиты целостности ЭД посредством секрета, известного только автору ЭД. Следует иметь ввиду, что даже если в системе приняты дополнительные меры защиты целостности, то, как правило, владелец (администратор) системы имеет возможность изменять принятую от пользователей «подписанную» простой ЭП информацию.
Таким образом, клиенты многих аккредитованных УЦ могут оказаться беззащитными перед сотрудниками УЦ, которые могут по своей воле создать ключи и выпустить квалифицированные сертификаты ЭП на имена своих клиентов. И уж если в законе предусмотрено ограничение в использовании простой ЭП, то логично было бы также предположить её запрет в процедуре выдачи квалифицированных сертификатов ЭП. В случае подписания договоров, предусматривающих оплату, простую ЭП следует считать аналогом собственноручной подписи только после оплаты клиента.
Такая осторожность оправдана влиянием человеческого фактора: в любой организации, в том числе и в УЦ, найдется сотрудник, которого можно подкупить или припугнуть. Существует множество лазеек, которыми может воспользоваться такой «мотивированный» сотрудник УЦ.
Подводные камни создания и сертификации ключей. Как можно их избежать?
Для получения ключа ЭП клиент приходит в УЦ с заявлением о создании и сертификации ключей ЭП, документами и квитанцией об оплате. Представитель УЦ после проверки документов в присутствии клиента подключает ключевой носитель, производит необходимые действия и распечатывает бумажные копии созданного сертификата УЦ. Обе стороны подписывают эти бумаги. Где может быть подвох?
- клиент УЦ может расписаться в сертификате под своим именем, а сертификат может содержать ключ проверки от другой ключевой пары. Таким образом, сотрудник УЦ может передать секретный ключ ЭП третьему лицу;
- используя особенности системы УЦ, не выявленные при её сертификации или внесенные после, можно создать копию ключа ЭП.
Чтобы избежать случаев, описанных выше, клиенту стоит создать ключ ЭП и запрос на сертификат самостоятельно на собственном оборудовании. После чего распечатать состав своего ключа проверки и уже в УЦ перед распиской (признанием) в бумажной копии сертификата убедиться в соответствии ключа проверки в составе созданного УЦ сертификата с ключом проверки собственной распечатки.
Именно этот способ создания ЭП должны рекомендовать госрегуляторы в качестве надежного и вызывающего доверие. Однако в требованиях наоборот указано об обязанности УЦ создавать ключи ЭП для заявителей, поэтому даже если сам УЦ, не желая попадать под подозрения, захочет исключить функции создания ключей ЭП клиентам, сделать он этого не сможет.
Для доверия квалифицированному сертификату ЭП в Федеральном законе «Об электронной подписи» не хватает положения об объективной процедуре доказательства принадлежности ключа или квалифицированного сертификата ЭП конкретному лицу. В законе должны быть определены требования к объективности «фактора гарантии неотрекаемости от ЭП» – бумажного или электронного документа, создание и изменение которого невозможно без участия УЦ и владельца квалифицированного сертификата ЭП. Этот документ должен связывать ключ проверки ЭП с реквизитами, идентифицирующими владельца ключа. В вопросах доказательства принадлежности ЭП суды должны руководствоваться таким положением закона.
Вторым «столпом доверия» должен быть принцип безусловной ответственности УЦ за внесенную в сертификаты информацию. Сотрудники УЦ должны отвечать за обоснованность создания самого сертификата и гарантировать полное финансовое возмещение в случае доказанных убытков пострадавшей из-за доверия к изданным сертификатам стороне.
Наличие объективного фактора гарантии неотрекаемости от ЭП вместе с гарантией безусловного финансового возмещения доказанных убытков издателями квалифицированных сертификатов наилучшим образом обеспечивают доверие к сертификатам и делают ненужным государственное регулирование в части правил идентификации субъектов и способов выдачи сертификатов УЦ. Понимая свою ответственность и невозможность подделки фактора гарантии неотрекаемости от ЭП, УЦ могут сами определять необходимые им процедуры для сертификации ключей ЭП, а не действовать строго по назначенной им «сверху» методике.
Отсутствие же вышеуказанных принципов приводит к попыткам удешевления технологии выпуска сертификатов, снижению качества проверки вносимой в них информации, ограничения ответственности, уязвимостям и как следствие – к потери доверия.
Сейчас об упрощенных способах сертификации ключей ЭП можно узнать только из регламентов УЦ. Поэтому при необходимости обработки большого количества ЭД с проверкой ЭП по сертификатам, изданным различными УЦ, могут возникнуть трудности. Особенно, с учетом того, что УЦ могут совмещать различные способы идентификации субъектов и выпуска сертификатов.
Поэтому для регулирования упрощенных способов сертификации было бы полезно законодательно установить 3 уровня доверия:
- Высший уровень доверия – полная и безусловная финансовая ответственность УЦ, гарантия объективного доказательства принадлежности ЭП, надёжный персональный ключевой носитель. Стоимость сертификата – высокая.
- Средний уровень доверия – ограниченная финансовая ответственность УЦ, условно-объективная процедура доказательства принадлежности ЭП, защищенность персонального ключевого носителя – по желанию. Стоимость сертификата – средняя.
- Начальный уровень доверия – отсутствие финансовой ответственности УЦ, процедура доказательства принадлежности ЭП – условная. Персонального ключевого носителя может не быть вовсе и, соответственно, – низкая стоимость сертификата.
Если законодательно установить единые объектные идентификаторы уровней доверия, то доверяющая сертификату сторона будет иметь возможность самостоятельно определять и декларировать минимально допустимый уровень доверия сертификату в процессах электронного взаимодействия. При правильном определении минимально допустимого уровня доверия владельцами информационных систем можно будет контролировать риски мошеннического вмешательства в ЕПД.
Неопределенность №3
Существует возможность внесения ограничений в квалифицированный сертификат. Однако в законе не указано, что это за ограничения и кто их должен регистрировать. Не определено, как должны декларироваться объектные идентификаторы таких ограничений, а также регулироваться методы работы с ними в автоматизированных системах. Таким образом, участники ЕПД рискуют получить риск отказа от обязательств на основании того, что назначение подписанного ЭД противоречит ограничению, указанному в сертификате.
Неопределенность №4
Отсутствует определение понятия «аннулирование сертификата» и его отличие от понятия «прекращения действия сертификата». Не указано, должны ли данные сертификаты публиковаться единым списком и как их различать в этом списке (код причины отзыва?). Также не понятно, что делать участнику ЕПД, если он доверился сертификату, который после аннулировали? Положение закона «Использование аннулированного сертификата ключа проверки электронной подписи не влечет юридических последствий, за исключением тех, которые связаны с его аннулированием» как минимум требует пояснений с примерами.
Госрегуляторы
В этой статье мы не будем перечислять все недостатки закона «Об электронной подписи», чтобы сделать вывод об основных причинах недоверия к ЕПД. Очевидна необходимость совершенствования государственного регулирования в области применения ЭП и методов объективного по отношению ко всем участникам ЕД судебного разрешения спорных ситуаций, связанных с электронными документами, заверенными ЭП.
Госрегуляторы предлагают монополизировать рынок квалифицированных сертификатов, перенеся функции аккредитованных УЦ исключительно в государственный сектор. При этом полностью отменить обязательства по возмещению убытков, возникающих в результате подрыва доверия к квалифицированным сертификатам. Результат реализации данного сценария неоднозначен: во-первых, придется перестраивать все процессы, во-вторых, риски это никоим образом не компенсирует, в-третьих, в случае реализации риска пострадавшая сторона останется без компенсации.
Профессиональное сообщество
Профессиональные сообщества в свою очередь предлагают стандартизировать процессы сертификации, чтобы обозначить конкретные методы идентификации и аутентификации субъектов, а также проверки их документов и описания процедур взаимодействия УЦ с субъектом сертификата. Это весьма спорный способ повышения доверия к ЕПД. Если УЦ четко выполнит все требования стандарта процедуры создания и выдачи сертификата, а единственным владельцем ключа ЭП окажется мошенник, действия которого повлекли убытки, не понятен процесс получения финансовой компенсации с УЦ. Ведь по сути дела злоумышленник действует по закону. А доверие к ЕПД пострадавшей стороны будет утрачено.
Общество заинтересовано в развитии способов удаленной идентификации и аутентификации, а также средств ЭП. Самый эффективный метод для этого, по нашему мнению, – честная конкурентная борьба производителей. Со стороны государства должна быть только поддержка развития и условий конкуренции. Поэтому при внесении изменения в Федеральный закон «Об электронной подписи» №63-ФЗ» должно учитываться мнение государственных и коммерческих компаний.
[1] Законопроектом «о полномочных сертификатах» финансовую ответственность с УЦ предлагается снять в связи с их переводом исключительно в госсектор.
Источник: BIS Journal - Информационная безопасность банков, № 3(26)/2017
Комментарии 0