Законопроект об электронной подписи: поправки ко 2 чтению, октябрь 2010 - Форум по вопросам информационной безопасности

malotavr
Видимо это 24025 предназначается мне :-)
1. Да цитирую законопроект ко второму чтению от октября 2010 Именно он тут кажется и обсуждается. И в данной статье ключевым является " ... федеральными законами или иными нормативными правовыми актами установлен ЗАПРЕТ составления такого документа в электронной форме." такой оборот слов и обозначает что по умолчанию принимается везде (а именно так я и написал) и разумеется бывают исключения из режима "по-умолчанию" иначе бы я написал ВЕЗДЕ и ВСЕГДА а не "по-умолчанию". Так вот такая формулировка интерпретируется что принимающая сторона должна найти этот ЗАПРЕТ. Так же хочу заметить, уровень определения ЗАПРЕТа в законопроекте очень высок - это уровень ФЗ или НПА !!! Для информации - ваш локальный приказ по фирме - это не НПА !!!
2. На "секунду" мне напоминать ничего не надо, и вы видимо не допоняли, с принятием этого закона ВСЕ ИС и ведомственные тоже будут обязаны принимать (и это хорошо в этом и есть ЕПД :-) ) А вот эти ИС если хотят отбится от приема квалифицированных ЭЦП обязаны выкатить ФЗ или согласовать в куче ведомств НПА :-) Так что вы ошибаетесь, опять :-) , все как раз изменится.
3. Про ТС вы тоже не правы, ИИСВВТ работает внутри национальных сегментов по национальному законодательству (типа ФЗ-1) а вот при взаимодействии описается на Соглашение (подписано в сентябре 2010) со статусом международного документа.
4. про факты я не понял, от чего отталкиваться, ФЗ-1 пока действует, законопроект силы пока не имеет, но может поиметь и надо бы вредные абзацы в нём поправить.
5. Ваш тезис (правда не мне адресован):
> отозвать сертификат портала gosuslugi.ru легко может американский СА в любой момент времени
Да, тяжелый случай. Вы законопроект-то читали? "Удостоверяющий центр ... аннулирует ВЫДАННЫЕ ИМ сертификаты ключа подписи".
Что вас тут смущает? Если слово "сертификаты ключа подписи" то сообщая что этот термин шире и под него подпадают сайт-сертификаты, а следовательно их могут из-за рубежа отозвать и тем самым блокировать работу всех госуслуг в стране, что недопустимо. Если вы с просите откуда я это взял (что под СКП подпадают сайт сертификаты) то отвечаю, вот из этого проектика "Требования
к составу и содержанию сертификатов ключей подписи (СКП), используемых в едином пространстве доверия
электронных цифровых подписей Российской Федерации" Москва 2010 и т.д.

molotavr'у

Может Вы не поняли о каком сертификате речь? Вот сведения об издателе, который выпекает SSL-сертификат для нашего общероссийского портала госуслуг:

CN = UTN-USERFirst-Hardware
OU = http://www.usertrust.com
O = The USERTRUST Network
L = Salt Lake City
S = UT
C = US

Надо пояснить что означают поля?

Господа!
Чтобы говорить про УЦ надо представлять что высшая гостайна - это механизм реализации случайной гаммы из которой режут ключи.
Нерезиденты в УЦ это финиш.
Это конец любого государства.
Если у государства нет тайн то нет и суверенитета.
Мы сами сдадим свои все тайны в руки злейших друзей?
Да даже в кошмарном сне - этому НЕ БЫВАТЬ!
Иначе все - приплыли.
Малотавр в криптографии мало что понимает.
Прошу пардону за резкость.
Он специалист совсем по другим вопросам и этого у него не отнять!

Поэтому спорить с ним в этом вопросе бесполезно.
Не надо ссориться!
Дяди все-равно сами все решат за нас!

Вычислитель, msm,
понятно, почему мы друг друга не понимаем.

Законопроект предоставляет определенные права и свободы и оператору системы ЭДО, и пользователю системы ЭДО.

Вы утверждаете, что это плохо: как же так, бедняжки могут обратиться в "плохой" УЦ. Но:

1. Закон не ограничивает свободу субъекта подписи в выборе УЦ. Ростелеком выбрал неправильный УЦ? Это не проблема закона, это проблема органа государственой власти, который имел право предъявить обязательные к исполнению требования к используемым в ГИС СКЗИ, но не сделал этого.

2. Если я, как клиент портала госуслуг, за каким-то фигом обратился за сертификатом в "плохой" УЦ, то это мой риск и моя ответственость. Да, УЦ может сделать мне бяку, но он сделает бяку лично мне, но не системе.

3. Механизм аккредитации УЦ - это фактически- механизм кросс-сертификации. С организацией трансграничного ЭДО сталкивались? Коммерсам легко - у них свобода договора, с кем хотим, с тем кроссестифицируемся. А у гос.органов на сегодняшний день нет правовой основы для организации юридически значимого трансграничного ЭДО. А это, помимо карманного ТС, "Потоки", бивалютные рассчеты с Китаем, взаимодействие в рамках ШОС, биопаспорта и визы, международные банковские и платежные системы и т.п. Будем их всех нагибать на пользование нашими УЦ? Нагибалка не отвалится?

4. И наконец, не совсе в тему, но справедливости ради. Вы рассказываете про опасность импортных УЦ. А что, вы считаете российские УЦ более надежными? Обслуживание ЭДО с ЭЦА - это интенсивная онлайновая работа (обработка запросов, OCSP, TSP и т.п.). Я по роду работы хорошо знаю, насколько низка квалификация российских специалистов в защите собственных интернет-сервисов и к чему это приводит. И у меня нет никакой уверенности в том, что за пару недель работы какие-нибудь ушлые ребятки не доберутся до серверов УЦ, "пекущих" сертификаты для российских госорганов..

Короче, вы опасаетесь, что излишняя свобода приведет к тому, что операторы критических систем ЭДО воспользуются ею для принятия неверных решений, и хотите эту свободу зарезать. Но это не уровень рамочного закона "Об ЭЦП". Есть и будут специальные законы, регулирующие деятельность тотдельных систем (госуслуги, нац. платежная система и т.п.), есть механизм технических регламентов (имеющих статус федеральных законов) - ради бога, вам туда. А то вы всем кислород перекроете.

> Нерезиденты в УЦ это финиш.

:)
Не "нерезиденты в УЦ", а "УЦ-нерезиденты", то бишь иностранные компании, оказвающие услуги в области PKI/

> Малотавр в криптографии мало что понимает.

У него были хорошие учителя и почти десятилетняя правтика в построении и в прогнозировании злоупотреблений в коммерческом ЭДО. Просто вы забываете, что ЭДО не ограничивается государствеными олрганами.

2Малотавр
НЕ обижайтесь - коммерческая крипта сплошь тряпичная.
На ней можно только тренироваться.
Я внимательно читал ваш спор на тему крипты в ИСПДН - и там ВЫ уж совсем НЕ правы.
Как и здесь.
Но Цит.
Не "нерезиденты в УЦ", а "УЦ-нерезиденты", то бишь иностранные компании, оказвающие услуги в области PKI/
сути не меняет.
И нерезидентные УЦ и нерезиденты в УЦ это приговор для работающих с ними.
Ну и пусть там и больше подготовленных спецов, но с ними пусть лучше турмалаи и ляхи с цыганами (пардон румЫнами) у них обслуживаются.
На их погремушках вместо криптографии с нулями в регистрах.
Еще раз приношу свой пардон Вам как несомненно подкованному во многих сферах ИБ (кроме Криптографии!!!) за нелицеприятное высказывание.

Воду в решете не носить!
...ибо неудобство причиняет большое пролитие...

Пост Прохожего № 24036, пожалуй, достойный итог обсуждения вопроса про УЦ-нерезидентов. Однако я позволю себе все-таки прокомментировать и последующий обширный и затрагивающий такие замечательные темы пост Малотавра (24038).
При чтении этого поста меня постоянно сопровождало чувство, что мне стараются доказать, что черное – это белое, и наоборот. Но это только первое ощущение. Я уверен, что сознательно Малотавр не пытается никого обмануть. Просто он ”так видит”. Поэтому я прямо пробегусь по пунктам Малотавра, показав, что белое – белое, а черное – черное.
Итак:
Малотавр пишет:
«1. Закон не ограничивает свободу субъекта подписи в выборе УЦ.»
А должен! Там где госуслуги – не должно быть места иностранным УЦ! Более четко чем это пояснил Прохожий уже пожалуй не сделать!
Малотавр пишет:
«Ростелеком выбрал неправильный УЦ? Это не проблема закона, это проблема органа государственой власти, который имел право предъявить обязательные к исполнению требования к используемым в ГИС СКЗИ, но не сделал этого.»
Какое-то передергивание. Еще раз – это КОНЕЧНО проблема ЗАКОНА – он ЧЕТКО должен требовать – НИКАКИХ ИНОСТРАННЫХ УЦ И ИНОСТРАННОЙ КРИПТОГРАФИИ В ГОСУДАРСТВЕННЫХ ИС! При этом Малотавр передергивает (или не знает) когда говорит о решении Ростелекома: ПКЗ-2005 четко определяет: “47. СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям…». Для Государственных ИС ПКЗ-2005 обязательный к исполнению документ. Следовательно использовать SSL на иностранной криптографии – нарушение требований ФСБ. При мне на конференции высокопоставленному представителю конторы был задан по этому поводу вопрос. Ответ был такой: ”Мы никогда не согласуем такое решение. К нам за согласованием никто не обращался”. Так что Орган, получается, определил, что по встречке ездить нельзя, а очень крутой босс ”с мигалкой” всё равно прёт по встречке. Ну аналогия сама собой родилась, только не понятно, почему Малотавр защищает Боссов с мигалками? Как-то это совсем моветон после ряда происшествий… Вывод: четко определить в Законе – иностранные УЦ и не сертифицированную крипту в государственных ИС использовать ЗАПРЕЩЕНО. И прописать меры ответственности за нарушение, так чтобы мало не показалось!

Малотавр пишет:
” 2. Если я, как клиент портала госуслуг, за каким-то фигом обратился за сертификатом в "плохой" УЦ, то это мой риск и моя ответственость. Да, УЦ может сделать мне бяку, но он сделает бяку лично мне, но не системе.”

Ответ: вот каждый раз хочется начать с фразы: Вы это от непонимания пишите или продались за бочку варенья и корзину печенья? Ваш интерес в корпоративном ЭДО – так там же никто не мешает на свой страх и риск использовать как АСП хоть крестик? Не надо только эти подходы распространять на государственные ИС. О каком ”лично мне” речь? Вы только представьте себе, что будет если только появится возможность использовать крипту из Микрософта (Вы не там деньги получаете?) для госуслуг. Микрософт задавит все, потому что иное, да еще за отдельные деньги никому будет не нужно! Об этом и написал красноречиво Прохожий. Это и есть конец государственности.
Малотавр пишет:
“3. Механизм аккредитации УЦ - это фактически- механизм кросс-сертификации. С организацией трансграничного ЭДО сталкивались? Коммерсам легко - у них свобода договора, с кем хотим, с тем кроссестифицируемся. А у гос.органов на сегодняшний день нет правовой основы для организации юридически значимого трансграничного ЭДО. А это, помимо карманного ТС, "Потоки", бивалютные рассчеты с Китаем, взаимодействие в рамках ШОС, биопаспорта и визы, международные банковские и платежные системы и т.п. Будем их всех нагибать на пользование нашими УЦ? Нагибалка не отвалится?»

Ответ: Белое – оно белое, уважаемый Малотавр. Никто тут иностранцев пользоваться Российской криптой не заставляет. Но и России ее не навязывайте супостатскую. Почму-то приходят на ум аналогии из Александра Невского про то, что нам чужой земли не надо, но и своей мы не пяди не отдадим. Вот оно как по спирали-то развивается… Трансграничным юридически-значимым документооборотом занимаюсь давно и серьезно. Так что со всей уверенностью могу сказать, что самый правильный подход – это НИКОГО НЕ НАГИБАТЬ, а реализовать технологию, позволяющую в рамках ЭДО использовать каждой стороне СВОЮ крипту, и не лезть со своим уставом (законодательством, удостоверяющими центрами…) в чужой монастырь. И в ШОСе и в ТС правовая основа для применения ТАКИХ технологий (на основе DVCS, RFC 3029) прописаны в международных соглашениях. Только в ШОСе оно до подписания не дошло, хотя 4 ил 6-ти стран его согласовали. А в ТС – есть конкретный утвержденный документ. И никаких ”нагибалок”. Если интересно – обращайтесь по почте ( EC1045@bk.ru ), поделюсь опытом.


Малотавр пишет:
” 4. И наконец, не совсе в тему, но справедливости ради. Вы рассказываете про опасность импортных УЦ. А что, вы считаете российские УЦ более надежными? Обслуживание ЭДО с ЭЦА - это интенсивная онлайновая

ПРОДОЛЖЕНИЕ ОТВЕТА Малотавру:

Малотавр пишет:
” 4. И наконец, не совсе в тему, но справедливости ради. Вы рассказываете про опасность импортных УЦ. А что, вы считаете российские УЦ более надежными? Обслуживание ЭДО с ЭЦА - это интенсивная онлайновая работа (обработка запросов, OCSP, TSP и т.п.). Я по роду работы хорошо знаю, насколько низка квалификация российских специалистов в защите собственных интернет-сервисов и к чему это приводит. И у меня нет никакой уверенности в том, что за пару недель работы какие-нибудь ушлые ребятки не доберутся до серверов УЦ, "пекущих" сертификаты для российских госорганов..”

Ответ: вот именно поэтому аккредитованный для госуслуг УЦ должна сопровождать не шарашкина контора, а лицензиат ФСБ, который постоянно контролируется Конторой. А для обслуживания корпоративных ЭДО Вы можете нанимать кого хотите!

Малотавр пишет:

“Короче, вы опасаетесь, что излишняя свобода приведет к тому, что операторы критических систем ЭДО воспользуются ею для принятия неверных решений, и хотите эту свободу зарезать.”

Ответ: опять передергиваете, или ошибочно делаете не верные выводы. Подскажу Вам верный вывод еще раз: Мы не опасаемся, мы КРИЧИМ, ВОПИМ, что никакой свободы выбора криптографии и удостоверяющих центров для государственных ИС быть НЕ ДОЛЖНО! Только отечественные УЦ – лицензиаты ФСБ и только сертифицированная отечественная криптография. И тут речь не о неверных решениях, а о государственной безопасности!

Малотавр пишет:

“ Но это не уровень рамочного закона "Об ЭЦП". Есть и будут специальные законы, регулирующие деятельность тотдельных систем (госуслуги, нац. платежная система и т.п.), есть механизм технических регламентов (имеющих статус федеральных законов) - ради бога, вам туда. А то вы всем кислород перекроете.”

Ответ: ФЗ “Об ЭЦП” в существующей редакции не рамочный, а достаточно конкретный. И степень важности вопроса об использовании УЦ и Криптографии в государственных ИС такая высокая, что должна быть определена именно на уровне ФЗ. Должно быть написано четко и однозначно, что в государственных ИС не должно быть иностранных УЦ и не сертифицированной криптографии. А остальные пусть используют на свое усмотрение и свой страх и риск – что угодно. Почти так и сказано в действующем ФЗ-1 (статья 5, п.2. и 3). Можно только чуть-чуть поправить. А так – хорошие формулировки. И закон действующий – хороший.

Коллеги, прошли почти сутки с последнего поста по поводу аккредитации иностранных УЦ в том числе для госуслуг в РФ. Поскольку тишина, и очень красноречивое сообщение Прохожего подвело итоги этой части обсуждения я позволю себе задать новый актуальный вопрос. Прошу уважаемых участников обсуждения дать свои суждения понововведению, которое СУЩЕСТВЕННЫМ образом затронит деятельность существующих УЦ и, следовательно, их клиентов. Речь о ст.9, п.2, пп2, где говорится, что "2.Уполномоченный федеральный орган:... 2) осуществляет функции главного (корневого) удостоверяющего центра в отношении аккредитованных удостоверяющих центров." Очень интересно узнать мнение представитетелй крупных УЦ по этому поводу. Заранее спасибо всем, кто откликнется.

> А должен! Там где госуслуги – не должно быть места иностранным УЦ!

Согласен на 200%.

Насколько я помню, в определении сферы действия законопроекта указано, что особенности использования ЭЦП в гос.услугах могут оределяться отдельными законами. Открываем статью 19 этого самого отдельного ФЗ-210, и видим, что это - вопрос, который решается постановлением Правительства. Вам мало? Если Правитльство, имея такую компетенцию, не считает нужным ограничивать использование импортной криптограыфии и иностранных УЦ в гос.услугах, значит доводы криптографов не настолько бесспорны, как вам кажется.

> ПКЗ-2005 четко определяет...

Мне фиолетово, что там определяет ПКЗ-2005 (имеющий массу исключений в определении сферы своего применения). Область моей деятельности - те 90% оборота криптосредств, для которых ПКЗ-2005 имеет рекомендательный характер. Зато эта область четко попадает в сферу действия законопроекта, и меня вовсе не греет идея превращаения этого законопроекта в местечковый закон, защищающий интересы только ГИС.
Хочется для гос. услуг более строгих норм? Вперед и с песней: через технические регламенты, через постановление правительства (внимательно читаем статью 19 ФЗ-210 и думаем), через поправки к ФЗ-210.

> Ваш интерес в корпоративном ЭДО – так там же никто не мешает на свой страх и риск использовать как АСП хоть крестик?

А я не хочу крестик, я хочу ЭЦП. Можно? Сейчас компании кладут болт на ФЗ-1 из-за его мертворожденности. Хотите повторить эту ситуацию в новом законе. Ню-ню.


> Никто тут иностранцев пользоваться Российской криптой не заставляет.

Не русской криптой, а российскими УЦ. Вы ведь предлагаете запретить аккредитацию иностраных УЦ? А как вы тогда предлагаете строить ЭДО между клиентами российского аккредитованного УЦ и иностранными компаниями, обслуживаемыми иностранными УЦ?

> Микрософт задавит все, потому что иное, да еще за отдельные деньги никому будет не нужно!

Поправка: не "будет не нужно", а просто - на фиг никому не нужно. Считаем.

В России около 140 000 000 человек населения, из них совершеннолетних, которые и будут пользователями гос.услуг, - около 100 000 000, это около 60 000 000 домохозяйств (семей и живущих отдельно одиноких людей). Даже если считать, что для того, чтобы все эти люди могли пользоваться порталами госуслуг, достаточно одного кошерного криптопровайдера соимостью 1800 р. за лицензию на домохозяйство, получается, что нужно изъять у населения в пользу разработчика криптоятра 108 миллиардов рублей. Не до хрена ли будет? Поэтому прежде, чем говорить, что это вопрос государственной безопасности, убедите меня в том, что коррупционная составляющая не является основной причиной продвижения сертифицированной криптографии несколькими выдающимися личностями, которых каждый криптограф знает поименно и в лицо.

> мы КРИЧИМ, ВОПИМ, что никакой свободы выбора криптографии и удостоверяющих центров для государственных ИС быть НЕ ДОЛЖНО!

А с какого перепуга вы кричите и вопите об этом в законопроекте, который определяет деятельность ВСЕХ информационых систем. Заметьте - государственным системам этот законопроект предоставляет возможность особеного регулирования отдельными федеральными законами и нормативными актами.

> Никто тут иностранцев пользоваться Российской криптой не заставляет.

Вы не запрещаете им пользоваться иностранной криптой, вы запрещаете им пользоваться иностранными УЦ. Вы хотите исключить аккрелдитацию иностранных УЦ? Хотите. Значит, если для взаимоотношения резидента (например, банка) с нерезидентом (например, международной платежной системой) требуется ЭДО с квалифицированной подписью, нерезидент должен пользоваться аккредитованным УЦ, в вашем предложении - исключительно российским. Нужно уточнять, куда вас пошлет нерезидент?

> Ответ: вот именно поэтому аккредитованный для госуслуг УЦ должна сопровождать не шарашкина контора, а лицензиат ФСБ, который постоянно контролируется Конторой.

Я вас умоляю! У нас что, появились методические документы, регулирующие обеспечение безопасности веб-порталов? Что, результаты проверки порталов органов государственной власти коллегами из ФСБ и ФСТЭК перестали иметь исключительно рекомендательный характер? Вы вообще в курсе, как именно производится контроль защищенности таких систем и какие последствия для проверяемых имеют результаты таких проверок?

> ФЗ “Об ЭЦП” в существующей редакции не рамочный, а достаточно конкретный.

Неужели из статьи 1 убрали возможность особенного регулирования использования ЭП в отдельных видах отношений? Если не убрали, то он рамочный, а если убрали - я вам сочувствую.