НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Насколько существующая инфраструктура открытых ключей (PKI) легитимна?

Андрей Колесов
03.10.2014 08:53:12

В прошлом посте я задавал вопрос – что представляет собой имеющаяся сегодня в России PKI в количественном измерении (количество удостоверяющих центров, число выданных сертификатов, число организаций-пользователей и пр.). Пост был замечен спецами в этом вопросе, но ответов (в основном, через Фейсбук) на вопрос практически не было (комментарии-ответы были в основном такие – "ишь чего захотел узнать, самим интересно"). Но все же одна цифра (после серии обмена комментариями, не с первого раза) была озвучена –

Цитата
"У нас в PKI – xxxxx, это самое цензурное что можно сказать. Основа проблем в "консерватории" - не ясно поставлены ориентиры, то ли мы должны кормить весь ворох из 340 УЦ законодательно нас туда загоняемых, то ли внять голосу разума и техническим стандартам и начать работать с сертификатами и подписями как со средством упрощающим жизнь".


В этой цитате авторитетного PKI-эксперта Сергея Муругова (его точку зрения разделяю, кажется, большинство специалистов в том вопросе) очень четко сформулированы ключевые проблемы нашей PKI:

Создана огромная сеть УЦ (есть мнения, что с существующим сегодня спросом на электронно-цифровые подписи могло бы справиться несколько УЦ на всю страну).
Существующая система PKI (в которую народ загоняют законодательными требованиями – не очень соответствуют мировым стандартам и практикам, она не упрощает жизнь пользователям, а усложняет ее.

Добавлю еще цитату (того же автора):

Цитата
У нас ВСЕ выпущенные квалифицированные сертификаты не являются квалифицированными по закону, поскольку УЦ выпуская квалифицированные сертификаты вынуждены нарушать Приказ ФСБ 795 п.24, а этот Приказ прописан в 63-Фз как требование. Так что любой бизнес ( о чем я и говорил) находится в зоне риска, понятно что не по своей воли, просто так построена инфраструктура.

То есть, созданная PKI не только громоздкая и неудобная, но и нелегитимная!

Вот еще пояснение – в чем заключается нелегитимность:

Цитата
МКС считает что исполнять п.24 необязательно. В результате получается, что ни для одного квалифицированного сертификата пользователя нельзя построить действительную цепочку сертификации до головного УЦ, потому что на звене кросс-самоподписанный сертификат аккредитованного УЦ не выполнен п.24 Приказа ФСБ. Из это два плохих следствия, которые делают невозможным использовать построенную инфраструктуры в целях бизнеса, а именно:

Одна из сторон обмена может пойти в отказ из-за непризнания вашего сертификата квалифицированным (атака на вид подписи).

Если аккредитованный УЦ допустил в работе нарушения и его аккредитацию отозвали (технически отозвали кросс), то пользователь даже об этом и не узнает, потому что цепочка будет строится не до ГУЦа а до самоподписанного УЦ, который отозвать технически невозможно. По результату вы будите продолжать пользоваться сертификатом, считая что он квалифицированный и в самый неподходящий момент может это все вскрыться.
Я повторяю, очень рискованно этим всем пользоваться, можно запросто потерять деньги и потом их не вернёшь. Сейчас я конкретные доводы написал? Причём это только самое очевидное что на поверхности.

Таким образом, получается, что "квалифицированные сертификаты не являются квалифицированным"? Это что-то вроде "товары, называемые автомобилями, автомобилями не являются. Т.е. УЦ выпускают нечто, не являющееся автомобилем, приклеивают на них лейбл "автомобиль" и продают его как автомобиль. Есть возражения против этого тезиса?

Комментариев: 6

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

03.10.2014 11:42:52

Есть еще один интересный момент. Почему инфраструктура, (пока) пригодная только для общения с государством, выведена за пределы государства и является платной?

04.10.2014 05:07:27

Перечень аккредитованных УЦ опубликован на сайте минкомсвязи - http://minsvyaz.ru/ru/directions/?regulator=118

04.10.2014 09:50:19

Спасибо!
Что меня удивляет в этой теме (впрочем, не только в этой) - какой-то заговор молчания. С одной стороны, постоянно слышатся сетования на не очень хороший дела, с другой, когда дело доходит до того, что поговорить серьезно - молчат.

Вопрос о том, сколько у нас УЦ был задан еще несколько дней назад. Я знаю, что его видело немало "знатоков вопроса". Я получил отклики "зачем тебе это нужно" Но никто (вы первый) не привел эту простую ссылку. Тот же Мугуров назвал цифру 340 только после обмена в Фейбуке целой серией комментариев.
Чего уж говорить о более серьезных вопросов.

Этот пост прочитало сотни людей, в том числе люди знакомые в теме. В посте обозначены серьезные упреки по поводу состояния дел в KPI. Очень серьезные. Никто не высказался по существу - на сколько они справедливы? Это же мнение отдельных экспертов, они могут быть ошибочным.
Что происходит? Почему все молчат? Эта тема никого не волнует?

04.10.2014 10:17:41

Могу только повторить свое предположение. Спецов, глубоко знающих тему, не так много, как Вы думаете. Тема специфическая и сильно глубоко ее мало кто копает. Специалистам по ЕСМ достаточно знать виды подписей, что есть аккредитованные УЦ, где их найти. Глубже ковырять как правило нет времени, да и большой надобности.

05.10.2014 09:25:36

Мне кажется, что тут есть какие-то другие причины, а каковы они - не знаю.
Все, что я написал по поводу PKI - это достаточно простые вещи. Никакой тут глубины нет.
У нас полно специалистов по ИБ. В Питере недавно прошел целый PKI-форум. В материалах форумы я по поводу этих проблем ничего не видел. Был отчет Храмцовской в ее блоге - "все хорошо прекрасная маркиза".

Либо проблем нет, либо - не непонятно что.

Но замминкомсвязи в докладе явно намекал на наличие проблем. Но - именно намекал, ни слова конкретики.

Есть и другая стороны вопроса - со стороны число пользователей.

Удобна ли для них эта инфрастуктура или нет?

Все молчат, значит, все ОК

Но вот странно: при открытии нового предприятия обычные печать можно сделать рублей за 500 на всю жизнь, а за ЭЦ нужно платить, кажется, 2000 р, и делать это чуть ли не каждый год.

06.10.2014 15:50:27

Более того, поскольку ЭЦП выдается на человека, а не на предприятие - ЭЦП нужно менять, если меняется "привязанное" лицо. Иногда это приводит в волнообразному эффекту, когда, например, меняется "глава" районной налоговой инспекции.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии