НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

По поводу передачи закрытых ключей (электронной подписи) третьим лицам

Андрей Колесов
18.06.2014 14:21:52

Вчера Вадим Малых поднял очень любопытную тему, опубликовав в ECM-Фейсбук-группе такую запись:

Цитата
Сегодня такую страшную историю рассказали (один из крупных операторов ЮЗДО). У них то-ли уже реализован, то-ли вот вот будет, некий сервис - ЭП всюду, или как-то так. Смысл такой - мой закрытый ключ закачивается в их облако, доступ к нему мне предоставляют при помощи смс с разовыми кодами. Таким образом я могу подписывать документы ЭП из любого места, хоть с телефона. И мне не нужен никакой крипто-провайдер.

Вот сижу думаю. Вроде бы это 63-ФЗ не противоречит, я же могу передавать свой закрытый ключ третьим лицам. С другой стороны, это же уровни доступа. Логин/пароль - один уровень доступа, разовый код по смс - другой, закрытый ключ - третий. Получается, что фактически я документы подписываю с уровнем доступа "код по смс", хоть формально и ЭП с закрытым ключом. Вобщем что-то тут не так мне кажется. Что думаете?


За публикацией последовала активная дискуссия, по ходу которой, в частности, выяснилось, что

Цитата
Технология "облачной подписи" уже давно работает в России для многих систем ЭДО и электронной отчётности.


Причем, никакой тайны тут нет – это делается вполне открыто, о таком сервисе оператора ЮЗДО вполне публично объявляют на своих сайтах.

Тем не менее, дискуссии началась (и продолжается) по двум основным аспектам: насколько это чисто с точки зрения технологии (защита-шифрование) и в плане соответствия закону. Вроде бы получается все "чисто", хотя все же с передаче вашей ЭП третьей стороны – как-то несколько сомнительно (хотя закон допускает возможность передачи по доверенности).

Вот что написал один из участников разговора:

Цитата
В Польше за использования чужого закрытого ключа - 3 года тюрьмы, Передача по согласию запрещена. И это правильно. Сертификат и связанный с ним ключ - это идентификатов в е-мире. Почему ни кому не передают бумажный паспорт?


И тут возникает такой вопрос: не кажется ли вам, что такая схема передачи полномочий по подписанию важных документов третьим лицам чем-то вроде чесания уха пяткой ноги? Что этот пример наглядно демонстрирует какую-то ущербность нашего законодательства по поводу электронных подписей и документов?

Вроде бы мы всегда говорили, что именно наша система криптографии в плане безопасности – лучше всех (что западная – не очень хороша), но при этом допускаем передачу ключей кому-то…

Известная истина: уровень безопасности цепочки определяется "самым слабым" звеном. Тут самым слабым звеном является пароль+СМС. Тогда возникает вопрос: а зачем дальше в цепочке нужно использовать УЭП?

Кстати: а как регламентируется порядок передачи подписи третьему лицу? Почему нужно использовать "пароль+СМС"? Может, достаточно просто позвонить по телефону – "подписывай"!
При этом непонятно вот что: если я могу делегировать свое право подписи третьему лицу (оператору), то зачем мне вообще нужно иметь собственную усиленную подпись?

Ведь схема подписи логин+пароль+СМС используется при выполнении вполне важных и юридических операций давным давно. Например, при банковских операциях в режиме банк-онлайн. Но для этого клиентам совсем не нужно получать собственную УЭП и передавать ее банкам (причем – нескольким, ведь каждый человек может работать с несколькими банками).
Наверное, далее банк ведет операции с использованием собственных ключей и ЭП.
Т.е. смысл операции делегирования права подписи должен заключаться не в передаче собственно подписи, а передаче полномочии на то, чтобы оператор использовал СОБСТВЕННУЮ подпись.

По нынешней схеме получается, что получатель (например, ФНС) не может отличить: подписан документ самим владельцем подписи или его доверенным лицом.
А должно быть, наверное, так: ФНС как раз должна видеть – кем именно подписан документ, автором или доверенным лицом.

Подвожу промежуточные итоги: все это как-то очень похоже на обеспечение безопасности страны с помощью металлоискателей: они теперь стоят везде (денег потрачено немеренно), но только в 99% случае просто не работают. Исключительно, на случай приезда которого "с самого верха", чтобы показать – приказ выполнен.

Комментариев: 0

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии