НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

"Когда наша ЭЦП интегрируется в мировое ЭЦП-пространство?"

Андрей Колесов
19.09.2011 21:51:52
Теги: СМЭВ

Именно так я сформулировал вопрос заместителю минкомсвязи Илье Массуху на прошедшей сегодня пресс-конференции.

Напомню: вчера я опубликовал пост, где сообщил о том, что такая пресс-конференция по теме СМЭВ пройдет, и предложил читателям – какой вопрос вы хотели бы задать замминистрам, которые там должны были быть. На предложение откликнулся только один (но постоянный и активный) читатель Vladislav Artukov с таким вопросом:

"Когда гражданин России сможет получить бесплатную ЭЦП, которая признается не только в России, но и в мире?"

Я несколько расширил вопрос, добавив: "А в России будет признаваться ЭЦП, выданная вне России?"



Дело в том, что на прессухе была помянут недавний прецедент: московский Microsoft подписал недавно (не видел такой новости) какое-то соглашение о сотрудничестве с Ростелекомом. И причем – впервые в электронном виде с использованием ЭПЦ.

Вот нашел на Лента.ру:

Цитата
Microsoft и "Ростелеком" в рамках Сочинского экономического форума подписали соглашение о сотрудничестве в сфере создания и развития облачных сервисов. Для этого будет открыт Центр компетенции облачных технологий и решений. Соглашение было скреплено электронной подписью, что в России делается впервые.


Кстати, Массух обмолвился, что некое подобное соглашение (тоже в электронном виде) подписали "Ростелеком" и "1С", но я такой инфо в Интернете не нашел.

При этом про MS было сказана еще одна любопытная вещь: что московский офис не сразу согласился на такое дело. Не хотел брать российскую ЭЦП (по словам замминистра), мол "у нас уже есть корпоративная, редмондовская". Но потом все же согласился…

По ходу самой пресс-конференции (она кстати, шла почти час, причем с 5 минутным вступлением, потом только вопросы-ответы, настоящая прессуха, а не на ИТ-брифинги в двухчасовыми презентациями) мне этот вопрос задать не удалось (у меня у самого было, что спросить, а дали слово только раз).
После подобных встреч выступающее обычно быстро убегают, но в данном случае помогли барышни-журналисты, которые телами закрыли выход замминистру.



Выбрав момент, я протиснулся сквозь эту живую стену и задал-таки вопрос.

"Когда наша ЭЦП интегрируется в мировое ЭЦП-пространство? Когда наши ЭПЦ будут приниматься за рубежом, а зарубежный у нас? Почему Сингапур {он тоже поминался на прессухе} может, а мы не можем?"

Вопросы были, конечно, риторическими, так как ответы на них заранее известны. Но услышал еще раз.

"Это связано с вопросами национальной ИТ-безопасности (как я понял, Сингапур о своей безопасности не заботится). Стратегию тут вырабатывает другое ведомство (не было названо, какое именно). Вот туда и нужно адресовать эти вопросы."

При случае – адресую. Но случай вряд ли подвернется. Я редко пересекаюсь в "ведомством". Не интересно…

Комментариев: 13

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Vladislav Artukov
20.09.2011 05:19:58

"Это связано с вопросами национальной ИТ-безопасности (как я понял, Сингапур о своей безопасности не заботится). Стратегию тут вырабатывает другое ведомство (не было названо, какое именно). Вот туда и нужно адресовать эти вопросы."

Если дело связано с ИТ-безопасностью, то я о себе забочусь и буду заботиться далее. В услугах другого ведомства (ФСБ?) не нуждаюсь. Хотя и оплачиваю его услуги, для меня совершенно бесполезные.

Дмитрий Менщиков
20.09.2011 09:42:17

Насколько я понимаю, здесь основное противоречие, что у нас используются свои алгоритмы электронной подписи (так вроде теперь стали называть после нового закона) - ГОСТ 34.10, а у них - свои (RSA). Они (мировое пространство) не смогут проверить нашу электронную подпись их средствами проверки, а мы - их.
Поэтому наверно - никогда. Но может быть это и не нужно в современных политических условиях?

Либо должно быть разработано межгосударственное соглашение о взаимном признании средств ЭП. Но маловероятно, чтобы мировое пространство стало устанавливать себе наши средства электронной подписи.

20.09.2011 10:16:46

Цитата
Но может быть это и не нужно в современных политических условиях?


А какие у нас такие "политические условия"?

Я уверен, что в современных условиях - как раз наоборот. Мы что - собираемся опять противостоять всему миру?

Технические аспекты "почему не совместимы", думаю, всем известны (в том числе и мне). Вопрос мой "почему" имеет другой смысл - почему мы отделяемся от всего мира?

Дмитрий Менщиков
20.09.2011 10:37:15

Ну, не противостоять, а хотя бы иметь собственные средства защиты (в том числе информации). Концептуально - это наверно правильно.

(в мировом пространстве не все ведь - наши друзья... Кстати, они тоже осторожно распространяют свои средства, ограничивая длину ключа!)

Vladislav Artukov
20.09.2011 10:47:11

Вы либо не знаете, как работает PKI.

Либо, наоборот, хорошо знаете... но умышленно формулируете реплики так, чтобы несведущие в данном деле люди согласно кивали "да, да, национальная безопасность - это очень важно".

Первый вариант нестрашен - основы PKI достаточно просто изучить.

Второй вариант мне совсем не нравится. Это ведь типовое "вешание лапшы на уши".

20.09.2011 11:05:00

Использование международных стандартов никак не противоречит вопросам нациаональной безопасности. И более того, ровно наоборот.

Приведу пример из другой сферы.
У нас много говорится о безопасности в плане защиты от терризма. И вводятся свои стандарты в виде установки металлоискателей везде, где их можно установить.
Я много езжу. Ничего подобного в мире нет (возможно, в Израиле, но там все же иная ситуация).
При этом я имею основания утверждать (я много писал по этому поводу с примерами) - все, что у нас делает - это чистой воды показуха. Никакого отношения не имеющая к обеспечению безопасности.

Примерно также обстоят дела и с безопасностью в ИТ.

Дмитрий Менщиков
20.09.2011 12:07:49

лучше делать хоть что-то, чем совсем ничего не делать. Главное, чтобы не бросили этими (в том числе и металлоискателями) заниматься, как часто бывает по прошествии времени.

Не являясь абсолютным сторонником существующей нашей концепции защиты, думаю, что в вопросах безопасности надо быть более подозрительным...
вот, например, такие сообщения говорят о том, что национальные криптоалгоритмы все-таки небесполезны: http://www.ng.ru/world/2006-06-26/8_cia.html (или такая штука как эшелон).

20.09.2011 12:15:18

Наши металлоискатели - это фикция, делание вида. Не более того,

Что касается, защиты сведений о моем кошельке...

Наша система криптозащиты нацелена не на защиту мой информации от ЦРУ, а на обеспечение ее открытости для ФСБ.
Меня, как жителя России, гораздо больше волнует моя защита от наших спецслужб, а не от зарубежных.

Vladislav Artukov
20.09.2011 13:03:12

Справедливости ради, защищенные транспорты для банков, ПФР, налогового ведомства и др. - очень важны и они уже функционируют на основе отечественных продуктов. Но все это можно было сделать еще 10 лет назад на базе продуктов MS и Cisco. А потом двигаться в русле и в пелетоне мировых технологий.

Дмитрий Менщиков
20.09.2011 13:40:15

Как раз это было невозможно. Вы же помните, что сначала к нам в страну можно было ввозить штатовские криптоалгоритмы с длиной ключа (симметричного алгоритма) не более 40-бит.
Наш ГОСТ требовал 256-бит.
Есть разница?

Vladislav Artukov
21.09.2011 08:58:06

Нельзя напрямую сравнивать стойкость "40-битных" и "256-битных" алгоритмов, если это разные алгоритмы.

Дмитрий Менщиков
20.09.2011 13:32:54

Вот-вот, вопрос это не технический, а политический. По-моему, лучше своим спецслужбам доверять, чем чужим. Кто знает, что будет в ближайшем будущем..

Что касется открытости для ФСБ, то по-моему это как раз миф. При соответствующей длине ключа (а по нашему стандарту она достаточная) и других параметрах криптоалгоритмов, зашифрованные или подписанные сообщения достаточно устойчивы к взломам...

20.09.2011 15:28:42

Уровень доверия к любой госструктуре (нашей или не нашей) обратно пропорционален уровню коррупции.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии