Законопроект об электронной подписи: поправки ко 2 чтению, октябрь 2010 - Форум по вопросам информационной безопасности

"Гвалт уже не надо поднимать по глобальным ( через webtrust сидящим в root list)" - до сих пор их сертификаты легитимно для государственных задач использовать было нельзя. В соответствии с законопроектом - будет можно (там где про аккредитацию иностранных юрлиц как УЦ). Это возможность допустить к вопросам, лежащим в поле НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ (а что же еще такое государственные услуги?), иностранных поставщиков. Так что гвалт поднимать нужно. При этом хочется надеяться, что не в пустую, и контора не пропустит эту трактовку.

Вычислитель,

а вы сумеете предметно, без "просрали полимеры", рассказать, какие именно дополнительные угрозы несет в себе участие иностранных УЦ в оказании государственых услуг?

To malotavr: как минимум участие иностранных УЦ несколько вываливается из структуры межгосударственных отношений в рамках Таможенного Союза, поскольку такого нет ни у кого из участников , кстати в Европе такого тоже нет (вне стран ЕС) :-) а также придётся переписать пару согласованных и подписанных на уровне премьеров стран документов - Концепция ИИСВВТ и Соглашение об информационном обмене. Я думаю это будет совсем не просто :-) И ради чего всё это? Кто то не подумав вложил фразу в законопроект и вся страна на уши встаёт :-) Как это по нашему с размахом, по россейски :-)

Вычислдитель,
вы не ответили на вопрос. В чем именно, по вашему мнению, заключается угроза?

Угроза, как правило, описывается набором свойств:
1. Кто является агентом угрозы?
2. Какой ущерб способна причинить реализация угрозы?
3. Какая уязвимость может использоваться для реализации угрозы?
4. Каким способом данная угроза может быть реализована?

У меня есть некоторые основания предполагать, что "радетели за национальную безопасность" сами не представляют, что именно они имеют в виду, говоря об угрозе со стороны УЦ-нерезидентов. Буду признателен, если вы продемонстрируете мою неправоту :)

msm,
под "просрали полимеры" я подразумевал, что голословные утверждения "вся страна встанет на уши" вряд ли кому-то интересны. Чем имено допуск нерезидентов к деятельности удовтоверчяющих центров "поставит страну на уши"?

malotavr,
Под "ушами" понимается работы которые изначально не планировались, не осмечивались и на сейчас не понятно как их выполнять, поскольку если вы почитаете приведенные мною документы КТС, то поймёте, что там прорисована фактически технология информационного обмена, прорисованы регуляторы, прорисованы ДТС поддерживающие трансграничный обмен юрсильными документами и такие решения УЖЕ есть в станах ТС и слова RSA к примеру там нет.
На тему угроз и неприятностей: почитайте коллективное письмо в самом начале кажется - ссылку приводил ранее.
На тему специфического форумного сленга я бы особого внимания не заострял, ни кто не пытался обидеть ни вас ни страну :-)

И что мешает системе удостоверяющих центров, построенной в соответствии с требованиями технических служб таможеных органов ТС и для нужд этих служб, получить аккредитацию?

Аккредитация всего лишь означает, что УЦ отвечает некоторым квалификационным требованиям и имеет некоторое имущество, которым может отвечать по возникающим обязательствам возмещения вреда от своей деятельности. Без аккредитации УЦ не может выдавать квалифицированные сертификаты, наличие у УЦ аккредитации еще не означает, что я обязан пользоваться его услугами или доверять его сертификатам.

И в ем проболема?

malotavr,
Давайте несколько уточним, я не против "допуск нерезидентов к деятельности удостоверяющих центров" поголовно, мне к тому же не понятно как иностранная компания получит лицензии ФСБ (я не специалист но с сети была какая то инфа про заморочки иностранного какого то банка на эту тему), чтобы как минимум эксплуатировать СКЗИ и средства УЦ для квалифицированных услуг == государственных услуг.
И то о чём я писал, касается именно квалифицированного УЦ иностранного резидента с иностранной криптографией и именно это нарисует опредлённые проблемы.
Если иностранные УЦ будут работать в сегменте "по согласованию сторон" то я не против, к слову и сейчас им это делать никто не мешает, и опять же к слову даже сейчас можно зарегистрировать в ЕГР издателя с RSA, например, я для своего трансграничного проекта с Европой именно так и поступил. Кстати и никто не мешает на самом деле на такой RSA УЦ пройти аудит Прайсватерхауса + вэбтраста и попасть в root list вне связи с мобильщиками или без них.

malotavr,
проблема в том что, система обеспечения подтверждение подписи (кусок ДТС) в соответствии с концепцией не предусматривает работу с нерезидентами ТС ни технически ни нормативно.
Второе, вы слишком упрощённа понимаете процедуру аккредитации, там ещё будут и технические и разрешительные барьеры.
Далее, ваш тезис "не означает, что я обязан пользоваться его услугами или доверять его сертификатам." не верен, если УЦ квалифицирован, то его сертификаты и ЭЦП ДОЛЖНЫ приниматься везде по-умолчанию.
Про деньги и обязательства - это самое простое, смешное, глупое и не последовательное заключение, в мировой практике всё делается как раз и не так, мы опять придумываем свой путь.

malotavr,
проблема в том что, система обеспечения подтверждение подписи (кусок ДТС) в соответствии с концепцией не предусматривает работу с нерезидентами ТС ни технически ни нормативно.
Второе, вы слишком упрощённа понимаете процедуру аккредитации, там ещё будут и технические и разрешительные барьеры.
Далее, ваш тезис "не означает, что я обязан пользоваться его услугами или доверять его сертификатам." не верен, если УЦ квалифицирован, то его сертификаты и ЭЦП ДОЛЖНЫ приниматься везде по-умолчанию.
Про деньги и обязательства - это самое простое, смешное, глупое и не последовательное заключение, в мировой практике всё делается как раз и не так, мы опять придумываем свой путь.