27 август 2020
Либертариум Либертариум

Проект Закона"Об электронной цифровой подписи" (одна из первых версий) / Комментарии по теме

  • Проект Закона"Об электронной цифровой подписи" (одна из первых версий)

    1. Не хотелось бы, чтобы в законе осталось определение ЭЦП (ст.2 аб.2) -- "ЭЦП -- последовательность символов, полученная в результате криптографического преобразования исходной информации с использованием закрытого ключа ЭЦП...". Поскольку ФАПСИ пытается грести под себя все, что относится к слову криптография.
    Конечно, идею электронно-цифровой подписи предложили криптографы, и методы, применяемые ЭЦП, созвучны криптографическим идеям. К тому же в нашей стране исторически сложилось, что этим вещами занималось КГБ. Но тазик, изготовленный по конверсии на танковом заводе, вовсе не танк, а тазик. В противном случае такие тазики из магазинов исчезли бы совсем -- ведь у магазина нет права торговать танками, к тому же танковому заводу не имеет смысла выпускать те предметы, которые невозможно реализовать. Точно также относить ЭЦП к криптографии не совсем корректно. Цель ФАПСИ -- стать законодателем в области лицензирования -- вначале ЭЦП отнесут к криптографии, потом к шифровальным средствам и...
    2. На первый взгляд нет ничего плохого и в предложении
    "электронная цифровая подпись выработана и проверена средством электронной цифровой подписи, сертифицированным в установленном порядке"(ст.3 п.2). Но проглядывается то, что ФАПСИ, отнеся ЭЦП в область криптографии, подгребет и сертификацию под себя, и мы будем подпись сертифицировать в ФАПСИ.
    3. Ст. 9 "Лицензирование деятельности по выработке и распределению закрытых ключей ЭЦП, по сертификации открытых ключей ЭЦП и по подтверждению подлинности электронной цифровой подписи" хорошо ложится под ФАПСИ -- будут центры, которые всем и займутся.
    ---------
    А вообще очень хорошо, что в законе разделены использования ЭЦП в государственных структурах власти и во всех остальных (т.е. гражданское и коммерческое отделены от государства). Это хорошо тем, что если государство желает работать под ФАПСИ, коммерческим организациям можно и обойтись без сертификации ЭЦП. Если это разделение будет проведено и дальше, а определение ЭЦП сформулируют иначе, будет здорово.
  • Проект Закона"Об электронной цифровой подписи" (одна из первых версий)

    Алексей, я согласен с Вашей последней репликой но, по-моему, большинство посетителей этого сайта не до конца понимают суть услуги по издательству сертификатов ключей цифровой подписи. И для законотворцев сертификат это, прежде всего цифровая подпись " цифирка вырабатываемая по о-о-очень сложному алгоритму, доподлинно известному только федеральному агентству, а вовсе не механизм позволяющий связать владельца открытого ключа с каким либо атрибутом. Думаю, они до сих пор уверены, что VeriSign получает прибыль именно за процесс подписывания, и очень сильно расстроятся, поняв что это не так.
    Вчера, я в очередной раз, пояснял одному господину, что себестоимость выработки подписи измеряется долями цента, и выработать ее может даже ребенок, а основную стоимость услуги составляет проверка того, что лицо, которому выдан сертификат, действительно обладает атрибутом, указанным в поле subject, например, адресом электронной почты, проверку которого и производит издатель сертификата. Тот же Verisign, выдавая даже тестовый сертификат, производит довольно надежную процедуру проверки соответствия e-mail адреса владельцу ключа. То, что сертификат должен выпускать не криптограф, а специалист в предметной области -- очевидно, иначе это просто теряет смысл.
    Если сертификат содержит фотографию очаровательной девушки в полный рост, с указанием возраста, незамужнего семейного положения и умения готовить обед, то гарантировать соответствие этих реквизитов владельцу секретного ключа может только брачное агентство и то, только после личной встречи с такой дамой. Если сертификат содержит запись о том что "этот сертификат выдан Петровичу " знатному любителю пива", то выпускать его должен клуб любителей пива. http://www.libertarium.ru, претендующий на роль онлайн-коммунити, должен выпускать сертификаты для участников коммунити, чтобы они могли не только постить сообщения на этот сайт, но и аутентифицировать друг друга при личной переписке.
    А претензии ФАПСИ и других сильно важных, сопутствующих агентству организаций, на компетентность в области женщин и пива действительно не обоснованы. Зачем кому-то нужен изданный федеральным агентством сертификат, в котором будет написано что он, предположим, сертифицированный инженер CISCO. Все отлично понимают, что в агентстве нет специалистов по цискам. Тому, кто владеет данным сертификатом, не следует доверять, а его советы по работе с циской, полученные по e-mail надо выбросить в мусорную корзину. Агентство может выпускать сертификаты для академиков криптографии и сертификаты, подтверждающие работу в должности внештатного сотрудника. Вот таким сертификатам доверять можно :-) но только кому они нужны.

    Надеюсь на конференции, которая состоится на следующей неделе, как раз и будут обсуждаться эти вопросы

    С уважением,
    --
    Maxim E. Smirnoff <[email protected]>

[email protected] Московский Либертариум, 1994-2020