[spoiler]
"У нас в PKI – xxxxx, это самое цензурное что можно сказать. Основа проблем в "консерватории" - не ясно поставлены ориентиры, то ли мы должны кормить весь ворох из 340 УЦ законодательно нас туда загоняемых, то ли внять голосу разума и техническим стандартам и начать работать с сертификатами и подписями как со средством упрощающим жизнь". |
В этой цитате авторитетного PKI-эксперта Сергея Муругова (его точку зрения разделяю, кажется, большинство специалистов в том вопросе) очень четко сформулированы ключевые проблемы нашей PKI:
Создана огромная сеть УЦ (есть мнения, что с существующим сегодня спросом на электронно-цифровые подписи могло бы справиться несколько УЦ на всю страну).
Существующая система PKI (в которую народ загоняют законодательными требованиями – не очень соответствуют мировым стандартам и практикам, она не упрощает жизнь пользователям, а усложняет ее.
Добавлю еще цитату (того же автора):
У нас ВСЕ выпущенные квалифицированные сертификаты не являются квалифицированными по закону, поскольку УЦ выпуская квалифицированные сертификаты вынуждены нарушать Приказ ФСБ 795 п.24, а этот Приказ прописан в 63-Фз как требование. Так что любой бизнес ( о чем я и говорил) находится в зоне риска, понятно что не по своей воли, просто так построена инфраструктура. |
Вот еще пояснение – в чем заключается нелегитимность:
МКС считает что исполнять п.24 необязательно. В результате получается, что ни для одного квалифицированного сертификата пользователя нельзя построить действительную цепочку сертификации до головного УЦ, потому что на звене кросс-самоподписанный сертификат аккредитованного УЦ не выполнен п.24 Приказа ФСБ. Из это два плохих следствия, которые делают невозможным использовать построенную инфраструктуры в целях бизнеса, а именно: Одна из сторон обмена может пойти в отказ из-за непризнания вашего сертификата квалифицированным (атака на вид подписи). Если аккредитованный УЦ допустил в работе нарушения и его аккредитацию отозвали (технически отозвали кросс), то пользователь даже об этом и не узнает, потому что цепочка будет строится не до ГУЦа а до самоподписанного УЦ, который отозвать технически невозможно. По результату вы будите продолжать пользоваться сертификатом, считая что он квалифицированный и в самый неподходящий момент может это все вскрыться. Я повторяю, очень рискованно этим всем пользоваться, можно запросто потерять деньги и потом их не вернёшь. Сейчас я конкретные доводы написал? Причём это только самое очевидное что на поверхности. |
Все, что я написал по поводу PKI - это достаточно простые вещи. Никакой тут глубины нет.
У нас полно специалистов по ИБ. В Питере недавно прошел целый PKI-форум. В материалах форумы я по поводу этих проблем ничего не видел. Был отчет Храмцовской в ее блоге - "все хорошо прекрасная маркиза".
Либо проблем нет, либо - не непонятно что.
Но замминкомсвязи в докладе явно намекал на наличие проблем. Но - именно намекал, ни слова конкретики.
Есть и другая стороны вопроса - со стороны число пользователей.
Удобна ли для них эта инфрастуктура или нет?
Все молчат, значит, все ОК
Но вот странно: при открытии нового предприятия обычные печать можно сделать рублей за 500 на всю жизнь, а за ЭЦ нужно платить, кажется, 2000 р, и делать это чуть ли не каждый год.