НовостиСобытияКонференцииIT@Work
Документооборот/ECM:

Блог

Насколько существующая инфраструктура открытых ключей (PKI) легитимна?

В прошлом посте я задавал вопрос – что представляет собой имеющаяся сегодня в России PKI в количественном измерении (количество удостоверяющих центров, число выданных сертификатов, число организаций-пользователей и пр.). Пост был замечен спецами в этом вопросе, но ответов (в основном, через Фейсбук) на вопрос практически не было (комментарии-ответы были в основном такие – "ишь чего захотел узнать, самим интересно"). Но все же одна цифра (после серии обмена комментариями, не с первого раза) была озвучена –

"У нас в PKI – xxxxx, это самое цензурное что можно сказать. Основа проблем в "консерватории" - не ясно поставлены ориентиры, то ли мы должны кормить весь ворох из 340 УЦ законодательно нас туда загоняемых, то ли внять голосу разума и техническим стандартам и начать работать с сертификатами и подписями как со средством упрощающим жизнь".

В этой цитате авторитетного PKI-эксперта Сергея Муругова (его точку зрения разделяю, кажется, большинство специалистов в том вопросе) очень четко сформулированы ключевые проблемы нашей PKI:

Создана огромная сеть УЦ (есть мнения, что с существующим сегодня спросом на электронно-цифровые подписи могло бы справиться несколько УЦ на всю страну).
Существующая система PKI (в которую народ загоняют законодательными требованиями – не очень соответствуют мировым стандартам и практикам, она не упрощает жизнь пользователям, а усложняет ее.

Добавлю еще цитату (того же автора):

У нас ВСЕ выпущенные квалифицированные сертификаты не являются квалифицированными по закону, поскольку УЦ выпуская квалифицированные сертификаты вынуждены нарушать Приказ ФСБ 795 п.24, а этот Приказ прописан в 63-Фз как требование. Так что любой бизнес ( о чем я и говорил) находится в зоне риска, понятно что не по своей воли, просто так построена инфраструктура.
То есть, созданная PKI не только громоздкая и неудобная, но и нелегитимная!

Вот еще пояснение – в чем заключается нелегитимность:

МКС считает что исполнять п.24 необязательно. В результате получается, что  ни для одного квалифицированного сертификата пользователя нельзя построить действительную цепочку сертификации до головного УЦ, потому что на звене кросс-самоподписанный сертификат аккредитованного УЦ не выполнен п.24 Приказа ФСБ. Из это два плохих следствия, которые делают невозможным использовать построенную инфраструктуры в целях бизнеса, а именно:

Одна из сторон обмена может пойти в отказ из-за непризнания вашего сертификата квалифицированным (атака на вид подписи).

Если аккредитованный УЦ допустил в работе нарушения и его аккредитацию отозвали (технически отозвали кросс), то пользователь даже об этом и не узнает, потому что цепочка будет строится не до ГУЦа а до самоподписанного УЦ, который отозвать технически невозможно. По результату вы будите продолжать пользоваться сертификатом, считая что он квалифицированный и в самый неподходящий момент может это все вскрыться.
Я повторяю, очень рискованно этим всем пользоваться, можно запросто потерять деньги и потом их не вернёшь. Сейчас я конкретные доводы написал? Причём это только самое очевидное что на поверхности.
Таким образом, получается, что "квалифицированные сертификаты не являются квалифицированным"? Это что-то вроде "товары, называемые автомобилями, автомобилями не являются.  Т.е. УЦ выпускают нечто, не являющееся автомобилем, приклеивают на них лейбл "автомобиль" и продают его как автомобиль. Есть возражения против этого тезиса?
Малых Вадим
Могу только повторить свое предположение. Спецов, глубоко знающих тему, не так много, как Вы думаете. Тема специфическая и сильно глубоко ее мало кто копает. Специалистам по ЕСМ достаточно знать виды подписей, что есть аккредитованные УЦ, где их найти. Глубже ковырять как правило нет времени, да и большой надобности.
Колесов Андрей
Мне кажется, что тут есть какие-то другие причины, а каковы они - не знаю.
Все, что я написал по поводу PKI - это достаточно простые вещи. Никакой тут глубины нет.
У нас полно специалистов по ИБ. В Питере недавно прошел целый PKI-форум. В материалах форумы я по поводу этих проблем ничего не видел. Был отчет Храмцовской в ее блоге - "все хорошо прекрасная маркиза".

Либо проблем нет, либо - не непонятно что.

Но замминкомсвязи в докладе явно намекал на наличие проблем. Но - именно намекал, ни слова конкретики.

Есть и другая стороны вопроса - со стороны число пользователей.

Удобна ли для них эта инфрастуктура или нет?

Все молчат, значит, все ОК

Но вот странно: при открытии нового предприятия обычные печать можно сделать рублей за 500 на всю жизнь, а за ЭЦ нужно платить, кажется, 2000 р, и делать это чуть ли не каждый год.
Артюков Владислав
Более того, поскольку ЭЦП выдается на человека, а не на предприятие - ЭЦП нужно менять, если меняется "привязанное" лицо. Иногда это приводит в волнообразному эффекту, когда, например, меняется "глава" районной налоговой инспекции.