Блог

Тема атрибутных сертификатов (attribute certificate - AC) неоднократно поднималась в этом блоге, в профильных FB группах и на других площадках. Известный эксперт в области PKI Сергей Муругов, давно и настойчиво продвигающий тему AC на самых разных уровнях (включая Совет Федерации и экспертные советы при минкомсвязи) соощил о том, что минкомсвязи готовит поправки в закон об электронной подписи 63-ФЗ, которые должны узаконить использование атрибутных сертификатов в нашей стране.[spoiler]
АС является элементом инфраструктуры управления привилегиями (Privilege Management Infrastructure), которая существует параллельно с применяемой в связи с электронными подписями PKI. Эти системы используют схожие технологии, но служат совершенно разным целям и могут использоваться как независимо друг от друга, так и "в связке".
PKI отвечает за идентификацию (или аутентификацию) субъекта (пользователя), т.е. призвана подтвердить, что он действительно тот, за кого себя выдает, а PMI за его авторизацию, т.е. подтвержает, что даный субъект действительно обладает полномочиями на выполнение тех или иных действий, доступ к тем или иным данным и т.д.
У нас по сей день обе эти функции совмещаются в сертификате электронной подписи, что вызавает массу известных всем проблем. Во-первых, многие владельцы информационных систем норовят включить в сертификат какие-то уникальные данные о правах и доступах лица именно к их системе, что делает сертификаты, выпущенные для разных систем несовместимыми друг с другом. В итоге для работы с каждой системой (Росреестр, Казначейство, Госзакупки, СМЭВ и т.д.) приходится выпускать отдельный сертификат и отдельный ключ ЭП, что приводит к неудобствам при использовании этих ключей.
Во-вторых, сертификат ЭП выпускается на год, а полномочия лица могут меняться чаще. При этом приходится перевыпускать сертификат (а значит и ключ ЭП) задолго до окончания периода его действия, что приводит к лишним тратам средств, и дополнительным неудобствам. Представьте, что данные о вашей должности, доступах к различной служебной информации и т.д., размещались бы не в вашем служебном удостоверении, а в вашем личном паспорте. И каждый раз при смене этих данных паспорт приходилось бы менять. Кроме того "центры сертификации" при этом совершенно разные - ваше бюро пропусков не выдает вам паспорт (но использует его для идентификации вашей личности), а паспортный стол не может выдать вам пропуск в производственное помещение ограниченного доступа. Примерно то же происходит когда мы пытаемся использовать ключи электронной подписи для управления полномочиями.
В мире давно существует решение названных проблем. Это инфраструктура PMI и атрибутные сертификаты (кроме того, атрибутные сертификаты можно использовать и в массе других сценариев, но это предмет отдельной статьи). И вот наконец минкомсвязи обратило внимание на существующие проблемы, связанные с привилегиями в сертификатах ЭП и предложило поправки в закон об электронной подписи (63-ФЗ) и в закон об информации (149-ФЗ), вводящие атрибутные сертификаты в России! В настоящий момент законопроект выложен для обсуждения здесь. Он небольшой и пересказывать его нет смысла. Каждый желающий может самостоятельно ознакомиться и сформировать свое мнение о законопроекте. Наверняка у экспертов в области PKI и PMI возникнут вопросы к предложенным формулировкам. Но главное - начало положено. Лед тронулся. Атрибутным сертификатам в России быть!
Планируемый срок вступления поправок в силу 1 января 2017 года.