НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Лед тронулся - Минкомсвязи заметило атрибутные сертификаты

Вадим Малых
24.08.2015 16:14:59

Тема атрибутных сертификатов (attribute certificate - AC) неоднократно поднималась в этом блоге, в профильных FB группах и на других площадках. Известный эксперт в области PKI Сергей Муругов, давно и настойчиво продвигающий тему AC на самых разных уровнях (включая Совет Федерации и экспертные советы при минкомсвязи) соощил о том, что минкомсвязи готовит поправки в закон об электронной подписи 63-ФЗ, которые должны узаконить использование атрибутных сертификатов в нашей стране.
АС является элементом инфраструктуры управления привилегиями (Privilege Management Infrastructure), которая существует параллельно с применяемой в связи с электронными подписями PKI. Эти системы используют схожие технологии, но служат совершенно разным целям и могут использоваться как независимо друг от друга, так и "в связке".
PKI отвечает за идентификацию (или аутентификацию) субъекта (пользователя), т.е. призвана подтвердить, что он действительно тот, за кого себя выдает, а PMI за его авторизацию, т.е. подтвержает, что даный субъект действительно обладает полномочиями на выполнение тех или иных действий, доступ к тем или иным данным и т.д.
У нас по сей день обе эти функции совмещаются в сертификате электронной подписи, что вызавает массу известных всем проблем. Во-первых, многие владельцы информационных систем норовят включить в сертификат какие-то уникальные данные о правах и доступах лица именно к их системе, что делает сертификаты, выпущенные для разных систем несовместимыми друг с другом. В итоге для работы с каждой системой (Росреестр, Казначейство, Госзакупки, СМЭВ и т.д.) приходится выпускать отдельный сертификат и отдельный ключ ЭП, что приводит к неудобствам при использовании этих ключей.
Во-вторых, сертификат ЭП выпускается на год, а полномочия лица могут меняться чаще. При этом приходится перевыпускать сертификат (а значит и ключ ЭП) задолго до окончания периода его действия, что приводит к лишним тратам средств, и дополнительным неудобствам. Представьте, что данные о вашей должности, доступах к различной служебной информации и т.д., размещались бы не в вашем служебном удостоверении, а в вашем личном паспорте. И каждый раз при смене этих данных паспорт приходилось бы менять. Кроме того "центры сертификации" при этом совершенно разные - ваше бюро пропусков не выдает вам паспорт (но использует его для идентификации вашей личности), а паспортный стол не может выдать вам пропуск в производственное помещение ограниченного доступа. Примерно то же происходит когда мы пытаемся использовать ключи электронной подписи для управления полномочиями.
В мире давно существует решение названных проблем. Это инфраструктура PMI и атрибутные сертификаты (кроме того, атрибутные сертификаты можно использовать и в массе других сценариев, но это предмет отдельной статьи). И вот наконец минкомсвязи обратило внимание на существующие проблемы, связанные с привилегиями в сертификатах ЭП и предложило поправки в закон об электронной подписи (63-ФЗ) и в закон об информации (149-ФЗ), вводящие атрибутные сертификаты в России! В настоящий момент законопроект выложен для обсуждения здесь. Он небольшой и пересказывать его нет смысла. Каждый желающий может самостоятельно ознакомиться и сформировать свое мнение о законопроекте. Наверняка у экспертов в области PKI и PMI возникнут вопросы к предложенным формулировкам. Но главное - начало положено. Лед тронулся. Атрибутным сертификатам в России быть!
Планируемый срок вступления поправок в силу 1 января 2017 года.

Комментариев: 3

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

24.08.2015 18:03:24

Чего-то от этой радостной новости хочется волком выть. От тоски.
Опять все тоже самое: "готовит поправки". Вступят в силу через полтора года. Планируемый срок...

Очень все на уровне слухов. А главное: много своих обещаний выполняет Минкомсвязи?
В мае прошлого года они опубликовали проект закона (не слухи, а проект!) по облачным вычислениям. Со сроком ввода в действие в 01.01.16.
В конце года - опубликовали еще один проект со сроком 01.01.17
С тех пор о законе - ни слуху, ни духу.

Примеры можно продолжать. smile:(

24.08.2015 18:10:18

Так это тоже законопроект. В конце поста ссылка есть smile:)

24.08.2015 18:14:23

А... Не заметил.
Лучше начинать пост со ссылки на обсуждаемый документ.

Облачные законы они тоже там выкладывали...

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии