Законопроект об электронной подписи: поправки ко 2 чтению, октябрь 2010 - Форум по вопросам информационной безопасности

> Это предположение или следует из какого-то Вашего опыта общения со мной или с кем-либо еще?

Прохожий, вы меня удивляете. Вы всерьез считаете, что я должен принять на веру любое утверждение, каким бы неправдоподобным оно ни было?

На данный момент имеется метод поиска колизий в SHA-1 со сложностью 2^52. Вы всерьез утверждаете, что знаете более быстрый метод? Извините, я - не джентльмен, и верить в подобные утверждения на слово не обязан. Сумете подтвердить - с этого момента я буду знать, что такой метод существует. Не сумеете или не сочтете нужным - имею все основания считать, что ваше утверждение не соответствует действительности, и вы такого метода не знаете.

"Брутфорс" - жаргонизм, который, в отличие английского brute force, в рускоязычной среде означает вообще любой способ восстановления секрета.

1. Вы видимо вообще не читали 3029 поскольку там не описано взаимодействие DVCS-DVCS.
2. Я сознательно НИ ГДЕ НЕ писал слово нотариат - это с чего то взяли, что DVCS - есть электрическая реинкорнация ФЗ "О нотариате и нотариальной деятельности в Российской Федерации». И в основном в вашем посте вы сами себя и убеждаете что нотариальной деятельностью должны заниматься нотариусы, так я не спорю! В данном случае разговор идёт не о заверении а об проверки ЭЦП и выдачи ЭД (оформленного должным образом) о статусе такой проверки.
3. Я говорил лишь о том что две стороны пользователь и юрлицо заключают договор в рамках которого юрлицо предоставляет пользователю ЭД с легитимной ЭЦП о статусе проверки ЭЦП иностранного автора. Это юрлицо предоставляет всю необходимую доказательную базу , в этом она опирается на договор с другим DVCS иностранного государства. И где тут правовой тупик ?
4. Нигде в законодательстве НЕ написано что ЭЦП вообще следует проверять и тем более конечному пользователю. Поэтому я не вижу причин по которым проверку ЭЦП пользователь может поручить кому то ещё и если что на него переложить всю тяжесть разбора полётов.
5. Я не понял с чего вы взяли что DVCS противоречит законодательству - это обычная электронная услуга, один просит - второй исполняет и отчитывается ЭД со своей ЭЦП. Что тут противозаконного.
6. Дальше ваши аллегории пропускаю и в заключении - с чего вы взяли что что ваш УЦ в забугорье ждут чтоб проаккредитоваться? Существуют определённые методики и т.п. например у вэб-траста, мои партнёры в Польше всё это проходили и их издатель стоит в root list и я прекрасно знаю как это всё делается, но это совсем не касается РФ с её УЦ внутреннего использования (например для госуслуг).
Если вам действительно интересен DVCS давайте откроем новую ветку, к ФЗ О подписи он не сильно прислонен, зачем мусорить в этой ветке не профильными поставми?

2Малотавр
Я еще и на луну не летал - это плохо?
Вообще я про хеширование речи ни разу не вел.
В контексте обсуждался некий дурной прожект
При чем здесь SHA-1? он в этом проекте упомянут?

Вроде его даже пиндосы с 2010 выводят из применения.
И чего о нем спорить?
Только чтобы Вам польстить раз уж Вы его "брутфорсить" научились?
....В настоящее время НИСТ (Национальный Институт Стандартов и Технологий США) рекомендует вывести из употребления SHA-1 во всех системах в течение 2010 года и временно использовать алгоритмы семейства SHA-2 до принятия стандарта SHS SHA-3.....
Будем спорить до хрипоты про вчерашний день?

...
"Брутфорс" - жаргонизм, который, в отличие английского brute force, в рускоязычной среде означает вообще любой способ восстановления секрета....

Я сегодня 06.12.2010 еще по понедельнику живу а не по Вашей синтетической среде из вашего пальца.

Брать любой аргумент с потолка и требовать его доказательства от собеседника это жульничество.

Мне вообще не интересно Вам что-то доказывать!
Зачем мне это?

Cпор (по вышему) в стиле:
А ты...А ты...А ты....Зато у меня папа пожарник!

msm,
я рад, что вы не первый год занимаетесь вопросами использования ЭЦП, только напомню, что эти вопросы - в первую очередь юрилические, и только потом - технические и криптографические. А вы даже не пытаетесь рассмотреть юридическую сторону вопроса. С этой точки зрения однофигственно, сколько DVCS вы объедините в цепочку - значение имеет только взаимоотношения конечного DVCS с пользователем, описанные в RFC 3029.

> 3. Я говорил лишь о том что две стороны пользователь и юрлицо заключают договор в рамках которого юрлицо предоставляет пользователю ЭД с легитимной ЭЦП о статусе проверки ЭЦП иностранного автора. Это юрлицо предоставляет всю необходимую доказательную базу , в этом она опирается на договор с другим DVCS иностранного государства. И где тут правовой тупик ?

Показываю на пальцах, смотрите внимательно. Представьте себе, что вы - резидент Бурунду, имеющий некоторую собственость в России, например - квартиру.

Мой сосед Вася регистрирует ООО "DVCS РФ", выполняет условия лицензирования услуг в области шифрования и получает лицензию ФСБ. Я заключаю с ним договор, по которому он оказывает мне услуги валидации ЭЦП.

Я составляю в ворде договор купли продажи, по которому вы уступаете мне свою квартиру за один рубль. К этому файлу я присобачиваю файл хрень.sig с какой-нибудь абракадаброй внутри. Прилетаю в Хайфу, где мой друг детства Рабинович (DVCS RSA) заключает с Васей договор о взаимном оказании услуг подтверждения ЭП своих клиентов, после чего Рабьинович выписывает ЭД, подтверждающий, что хрень.sig якобы есть ваша действительная ЭП под вордовым договором купли-продажи. Вася добросовестно проверяет валидность подписи Рабиновича под подтверждением, и на этом основании выдает свое подтверждение о валидности вашей ЭП под договором купли продажи. Вы что, всерьез считаете, что это Васино подтверждение порождает какие-то правовые последствия в отношении прав собствености на вашу квартиру?

В предложеной вами схеме ЭД, подписанный Васей, юридически ничтожен. Для того, чтобы в общем случае подобный обмен документами порождал какие-либо правовые последствия в РФ, есть два пути:

1. Мы с вами должны предварительно заключить договор о том, что именно так будут подтверждаться подписи под документами, но при этом у вас нет оснований доверять DVCS РФ, а у меня нет оснований доверять DVCS RSA.

2. Деятельность DVCS РФ должна иметь некоторую законодательную основу. На сегодняшний день такой основой является только законодательство о нотариате.

> 4. Нигде в законодательстве НЕ написано что ЭЦП вообще следует проверять

Неправда, на сегодняшний день это написано в ФЗ-1 (статья 4, условие 2).

> 5. Я не понял с чего вы взяли что DVCS противоречит законодательству...

"Противозаконность" и "юридическая ничтожность" две большие разницы. Почитайте параграф 2 главы 9 ГК РФ и увидите, что противозаконность - одно из одиннадцати возможных оснований, при которых действия субъектов могут не порождать юридических последствий. На сегодняшний день подтверждение ЭП третьей стороной (например, DVCS) сродни экспертному заключению, которое можно принятьб во внимание при принятии решения, но которое само по себе не являектся юридическим фактом.

> и тем более конечному пользователю.

Опять неправда. Законодательство РФ устанавливает закрытый перечень случаев, в которых собственоручная подпись одного лица может быть удостоверена другим лицом. Вы хотите выйти за пределы этого перечня и оказываетесь в ситуации, когда ваше предложение не имеет под собой правовой основы.

> с чего вы взяли что что ваш УЦ в забугорье ждут чтоб проаккредитоваться? Существуют определённые методики и т.п. например у вэб-траста, мои партнёры в Польше всё это проходили

При чем здесь ваши партнеры в Польше? Та схема, которую вы реализовали с ними, регулируется на договорной основе с применением (сюрприз!) норм международного частного права и национальным законодательством Польши (статья 1186 ГК РФ). А мы, вроде как, хотим урегулировать эти правоотношения в национальном законодательстве.

Малотавру:
- Вы цитируете меня:
> Никто тут иностранцев пользоваться Российской криптой не заставляет.
- А потом пишите:
Не русской криптой, а российскими УЦ. Вы ведь предлагаете запретить аккредитацию иностраных УЦ? А как вы тогда предлагаете строить ЭДО между клиентами российского аккредитованного УЦ и иностранными компаниями, обслуживаемыми иностранными УЦ?

Ответ: ИМЕННО ТАК! Есть решение, позволяющее строить ЭДО и документы делать юрзначимыми. При этом каждый в своей юрисдикции, своим УЦ обслуживается и пользует свою криптографию.

Малотавру:
- Вы цитируете меня:
> Микрософт задавит все, потому что иное, да еще за отдельные деньги никому будет не нужно!
Потом пишите:
Поправка: не "будет не нужно", а просто - на фиг никому не нужно. Считаем.
.....

Ответ: Инфотекс, Сигнал-Ком и Лисси предлагают свои криптопровайеры ГОСТ бесплатно. И, кстати, не только для Госуслуг.

to malotavr:
1. Повторяю в сотый раз, DVCS не подменяет систему нотариата.
2. Сделки с недвижимостью в РФ сопровождаются нотариальными действиями - ваш пример неудачен и не к месту.
3. С вами очень сложно вести диалог, поскольку вы выдвигаете какой то тезис, тут же его превращаете в аксиому, причём довольно агрессивно и безаппеляционно, попутно норовите передёрнуть факты и т.д. Это на тему закрытых списков, ничтожности, Робиновичей, Вась и т.п. глупости. Повторяюсь - DVCS не подменяет ничего, а является лишь информационной системой собирающей доказательную базу и выполняющий определённые вычисления и все свои действия выполняет в рамках договора с жестко определённым регламентом.
4. Весь разговор о DVCS то возник только из вашего упоминания причём мимоходом о трансграничности. И повторюсь, в этой ветке является офф-топиком, поскольку обсуждается совсем другое !

Малотавру:
Вы пишите:
В предложенном вами варианте положительный результат проверки _этой_ подписи у получателя подписанного документа отсутствует....

Ответ:
нет, не отсутствует. Получатель проверяет ЭЦП сам, а к DVCS обращается за валидацией цепочки сертификации по законодательству страны-отправителя. Для того, чтобы получатель мог сам проверить ЭЦП ему предоставляется интеграционный комплект, в коором есть соответствующая крипта.

Продолжая призыв msm уйти в этой ветке от обсужденя DVCS (хотя он имеет отношение к теме в части вопроса о необходимости включения или невключения в законопроект нормы оюб аккредитации иностранных УЦ). Давайте вернемся к вопросу об корневом УЦ уполномоченного федерального органа. Пока он не был обсужден серьезно, а только вскользь и на уровне приколов. А ведь будучи включенной эта норма серьезно перевернет рынок УЦ и некоторые виды бизнеса УЦ просто закроет, так как, напомню, кросс-сертификация возможна только на уровне корневых УЦ,

> 3. С вами очень сложно вести диалог, поскольку вы выдвигаете какой то тезис, тут же его превращаете в аксиому, причём довольно агрессивно и безаппеляционно, попутно норовите передёрнуть факты и т.д. Это на тему закрытых списков, ничтожности...

Вот не надо грязи. Со мной действительно сложно дискутировать по юридическим вопросам, если вы не готовы подкреплять свои утверждения ссылками на соответствующие нормы законов. Вы бросаете в воздух некоторое утверждение ("да это мы легко сделаем парой DVCS"), я лезу в законодательство, убеждаюсь, что предлагаемое решение и рядом с ним не лежало. Я об этом и так знал, но вынужден был потратить свое время, чтобы убедиться, что ошибка не моя. Согласитесь, это не прибавляет симпатий по отношению к моему опоненту.

Любой свой тезис я готов подтверждать ссылками на вполне конкретные нормы законов. И если эти нормы императивны, то и тезис тоже будет безапелляционном. Вот например, последний раз воспользуюсь DVCSом для иллюстрации, и больше не буду.

> Повторяю в сотый раз, DVCS не подменяет систему нотариата.

Правильно, не подменяет. Вы ведь предлагаете использованть функцию "Validation of Digitally Signed Documents"? В этом случае электронный документ, выданый DVCS, свидетельствует о том, что исходный документ был подписан определенным лицом. Законодательство РФ (например, часть 3 статьи 160 ГК РФ) называет подобное свидетельство НОТАРИАЛЬНЫМ ДЕЙСТВИЕМ со всеми вытекающими отсюда последствиями. Вы хоть убейтесь, но такое подтверждение либо обязано соответствовать законодательству о нотариате, либо не является юридическим фактом.

Ладно, забыли про DVСS.

> 4. Весь разговор о DVCS то возник только из вашего упоминания причём мимоходом о трансграничности.

Ни фига себе мимоходом. Весь этот флэйм разговор возник из-за того, что вы предлагаете убить нормы закона, позволяющие использовать квалифицированную ЭП в трансграничном ЭДО.

Итак, есть проблема: для трансграничного ЭДО требуется механизм признания ЭП нерезидента. Законопроект предлагает решение - аккредитацию иностранного УЦ. Вы это решение отвергаете.

Отвергаете - ради бога, давайте рассмотрим альтернативы. Согласно законодательству (например. та же статья 160 ГК РФ) ЭП можект применяться в порядке, прямо установленном законом, иным нормативным актом или соглашением сторон. Поскольку мы ищем альтернативу решению. предлагаемую законопроектом, эта альтернатива должна иметь ту же юридическую силу, т.е. быть основана на нормах закона. Без закона органы исполнительной власти не вправе по своей инициативе принимать по этому поводу какие-либо нормативные акты, а ипользование договоров выводит нас из юрисдикции российского права в юрисдикцию маждународного частного права.

Вы в состоянии предложитьальтернативу, удовлетворяющую этому условию и привести для него правовое обоснование?