НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Что бы это значило: доступные надежные и безопасные электронные подписи?

Андрей Колесов
21.08.2014 10:14:44

Хотелось бы все как-то логически завершить рассуждения по поводу планов правительства по реализации программы "Информационное общество" на 2014-2016 гг. (см. два предыдущий поста тут и http://www.pcweek.ru/gover/blog/gover/6864.php]тут[/url]). Повторю уже озвученные тезис: оценивать новые планы нужно обязательной в контесте планов общей программы и уж, конечно, с учетом выполнения планов, принятых год назад. Я уже не говорю о том, что документы объемные…

Попробуем начать с малого. Открываю распоряжение Медведева N 1865-р от 12.10.13 (утвержденные планы на 2014-15 гг), далее страницу с подпрограммой "Информационное государство" и вижу первый пункт:




Оказывается до 15.06.14 Минкомсвязи (отв. г-н Кузнецов) должно было внести в Правительство проект некого Федерального закона. При этом, что весьма странно, ничего не говорит, что с этим проектом будет дальше. Внесут в Правительство и на этом "сердце успокоится"? А преобразовывать проект в закон (утверждать в Думе, подписывать у президента) не будут?
Что ж, правительству виднее…

Но вот только что-то о таком проекте ничего до сих пор не было слышно (хотя сроки уже прошли). А было бы интересно посмотреть, что это за неведомое до сих пор понятие – "доступные, надежные и безопасные" (ДНБ) электронные подписи. Хотелось бы еще понять, почему такие полезные ЭП обещаны только гражданам, а организациям, надо полагать, они будут почему-то недоступны.

Чтобы разобраться с вопросом теперь смотрим новое распоряжение – 1441-р от 31.07.14.
Найти нужный пункт – не так-то просто! Документ имеет 33 страницы, а опубликован в виде графического скана. Поиск по ключевым словам, понятное дело, не работает (теперь становится понятнее, зачем используется графический формат для публикации).
Но с помощью сообщников по Фейсбуку (где тоже обсуждалось это распоряжение, кстати, там специалисты были тоже в полном недоумении: что это такое - "доступные, надежные и безопасные") находим.



Теперь это пункт значится не под первый, а по пунктом 21. Изменились дата, ответственный, форма реализации "мероприятия".
Как можно понять, закона не будет. Теперь будет просто "обеспечена возможность".

Что ж, до 15 сентября ждать уже не долго. Будет интересно, что же собой будут представлять НДБ электронные подписи. Каким образом их можно будет получить.

И вот еще один вопрос: ну, получат граждане НДБ-подписи, а что они будут с ними дальше делать?
Найти в плане пункт "обеспечить возможность использования НДБ-подписей" не удалось. Наверное, это будет в планах на 2017-2020 года.

Комментариев: 16

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

21.08.2014 17:36:48

Хотелось бы посмотреть на реализацию "безопасной" электронной подписи. smile:)

Сегодня "простановка" электронной подписи совершается с помощью полностью отчуждаемого инструмента - технически это может быть USB-брелок или "пластик". Совершенно очевидно, что "защита" с помощью PIN - по сути не является защитой. Ведь узнав PIN, а это всего лишь 4 цифры - можно поставить электронную подпись за другого человека!

21.08.2014 19:11:42

Мне кажется, что "удобная и безопасная" подпись уже давно существует и используется: двухфаторная авторизация - банковская карта (или пароль+логин) + одноразовый пароль по мобильному телефону.

Donat Lipkovsky
22.08.2014 19:16:06

"Двухфакторная авторизация" никакого отношения к электронной подписи не имеет. С помощью неё вы не можете ни подписать документ, ни обеспечить его целостность, ни использовать для защищённой переписки.

22.08.2014 21:19:58

Интересно, однофакторная является электронной подписью, а двухфакторая не является?

А чем же являет отправка в через Интернет-банкинг запроса на проведение банковской операции, как не документом, подписанным ЭП?

Donat Lipkovsky
22.08.2014 22:01:05

Если строго подходить к понятиям, то существует несколько видов Электронных подписей, думаю вы это и без меня знаете, каждая из которых уместна в совершенно конкретных обстоятельствах. Например для электронных торгов нужна Квалифицированная ЭЦП, для простой переписки с себе подобными или, скажем, госуслуг - вполне хватит Простой ЭЦП. Что касается Интернет-банкинга, то одноразовые пароли, которые там используются, опять же это не совсем Электронная подпись. Это лишь часть общего механизма и касается она подтверждения транзакции.
Собственно, я лишь хочу сказать, что в полном объёме весь функционал ЭП используется в Квалифицированной ЭЦП, где помимо пароля обязательно присутствует сертификат и ключи, а так же, что выбор конкретного вида подписи для физических лиц предоставлен на их усмотрение, если для конкретного случая применения не предусмотрены конкретные требования и правила.
Я, например, в личной переписке, касающейся важных вопросов, использую сертификаты, как для идентификации себя любимого и конкретного собеседника, так и для шифрования тела почтового сообщения и вложения.

22.08.2014 23:29:58

Давайте подходить строго.

1. Да, я в курсе трех видеор ЭП по нашему законодательству.
2. Посмотрим на тему поста и вопросы, заданные там. Что же означает "доступная, надежная и безопасная" ЭП, о которой говорит в планах правительства? Что она представляет собой по форме и какому типу ЭП она соответствует?

3. Какому типа соответствует двухфакторная авторизация, используемая в банковских операциях? Это, конечно, не электронные торги, но можно выполнять очень даже серьезные финансовые операции (сотни тысяч рублей, как минимум). Надеюсь, вы не сомневаетесь, что это не самодеятельность банков, тут все - по закону.

4. Интересно - что вы считаете "важными вопросам". Я за 20 лет пользования э-почтой (с 1993 года, когда ее в России почти не было), ни разу не пользовался ничем иным, как тем, что называется "простой подписью" - вход в систему через логин и пароль. За эти годы по почте решалось мной немало важных вопросов...

Donat Lipkovsky
23.08.2014 03:39:49

2. Я не уверен, что "доступная, надежная и безопасная" является именно строгим определением, скорее это желательные характеристики. Конечно любопытно, как именно они будут реализованы. При этом обывателю абсолютно всё равно, как это будет называться и какие смыслы вкладываться. У него, обывателя, главная характеристика, наличие минимальных умственных усилий и телодвижений.

3. Двухфакторная аутентификация относится к Простой электронной подписи.
4. Насколько, мне известно, в те далёкие времена, о которых вы говорите, не использовались защищённые протоколы ни для шифрования канала, ни для шифрования данных в нём. Вы сильно рисковали - ибо пароли и логины передавались по каналу в открытом, текстовом виде, но выбора особого не было. Сейчас всё изменилось. Теперь есть выбор - закрывать ли дверь и замок на ней или нет.
О важности же моей информации, я позволю себе не распространяться. Кстати, используемый мной способ относится к Усиленной неквалифицированной электронной подписи.

23.08.2014 08:37:21

2. В посте приведены тексты не для старушек, сидящих на лавочке у подьезда, а правительственный документ. Наверное, там нужно писать не на уровне лозунгов на стихийном митинге у вокзала, а на языке законодательства

3. Наверное. Но ей в данном случае вполне достаточно (по закону!) для совершения ответственных финансовых операций. Почему же ее нельзя использовать для подачи, скажем, документов на регистрацию авто? Там уровень операций примерно такой же значимости?

4. Хорошо бы привести хоть какие-то примеры, вы говорите совершенно общие слова.

Наша проблема (страны) заключается в том, что у нас сильно преувеличены вопросы защиты на формальном уровне, а фактический уровень защиты - ниже.
И это преувеличение защиты - мешает нам жить и развиваться.

В США и в Евроне - вы не увидите (почти не увидите) решеток на окнах первого этажа, а преступность меньше.
В Москве на каждом шагу (гостиницы, офисы, вокзалы, аэропорты и пр.) стоят металлоискатели. При этом все знают, что это - просто фикция. Но фикция, которая реально мешает жить. Не говоря уже на затраты на охранников.

Примерно то же самое в ИТ. Газеты полны рассказали об угрозах. А потом выясняется, что руководители уровня зампремьера пользуют публичными почтовыми сервисам для служебной переписки... На визитках чиновников - сполшь и рядом приведены адреса Mail.ru...
Если вам нужно для жизни усиленная подпись - пользуейтесь.
У меня дома с советских времен где-то лежит противогаз. Я его не ношу с собой каждый день...

В США и Европе такого нет, а охрана реальная работает лучше. Безопасность выше.

Donat Lipkovsky
23.08.2014 12:26:20

2. Вообще-то в документах, на которые вы ссылаетесь, указаны те, кому они адресованы т.е. конкретные исполнители - "Россвязь", "Минкомсвязь России", "Роспечать". Я думаю, если им непонятна конкретная формулировка, то они уточнят у Правительства, что имелось ввиду.
Как вы совершенно правильно заметили этот документ так же и не для обычного обывателя. Обычный обывателя интересует конкретная реализация и, заходя на сайт скажем Госуслуг РФ, они получают все ответы как со страниц сайта, так и у службы поддержки по телефону или в письменном виде.
Меня, как начальника ИТ-отдела, означенные вами непонятки, так же не беспокоят. По вопросам использования ЭЦП юридическими лицами необходимую информацию, как и саму ЭЦП, можно получить, скажем, на Едином портале ЭЦП в РФ. Нам ЭЦП была нужна для участия в тендерах.
Таким образом, вы остаётесь с недающим вам покоя вопросм, наедине.
3. В каждой организации, куда обычному смертному надо подать каки-либо документы, можно получить необходимую информацию что и как надо использовать. Думаю, там можно поинтересоваться, на каком основании, надо делать то-то и то-то. если основание не утроит, обратиться в соответствующие органы для прояснения вопроса. Это стандартные телодвижения.
4. По вопросу причин использования механизма ЭЦП мной лично последнее, что могу вам доложить:
- решение о необходимости применения для отдельных почтовых сообщений ЭП принято с взаимного одобрения участников переписки.
- я даже намекать не буду, каково её содержание, могу лишь, заметить, что она не имеет противозаконного характера.

Мне защита жить и наслаждаться жизнью, а так же работать абсолютно не мешает.
Как говорил классик - "Свобода - это осознанная необходимость". Учитывая этот тезис, как там в США и Европе с этим вопросом, меня абсолютно не беспокоит.

23.08.2014 12:33:27

Я рад за вас.

Donat Lipkovsky
22.08.2014 22:20:20

Предыдущий пост оборвался по-техническим причинам - пришлось дописывать.

Donat Lipkovsky
22.08.2014 19:21:52

кстати "двукфакторная аутентификация"

22.08.2014 21:17:15

Или "двуХфакторная"? Слово "авторизация" тоже часто используется в профессиональной прессе, хотя формально вы, конечно, правы.

Donat Lipkovsky
22.08.2014 21:29:51

Конечно "двуХ" - это опечатка.
Есть три основных понятия АВТОРИЗАЦИЯ, АУТЕНТИФИКАЦИЯ и ИДЕНТИФИКАЦИЯ. Над ними достаточно долго надо медитировать для усвоения. Причём, просто определений, как правило недостаточно, в зависимости от контекста применения конкретных средств и способов, смысл всех этих понятий приобретает много нюансов.

22.08.2014 21:36:43

Мне кажется, на уровне обсуждения вопросов, некоторого общего уровня, они используются как синонимы. Для данного разговора, мне видится, это именно так.

Donat Lipkovsky
22.08.2014 22:24:26

Согласен.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии