НовостиСобытияКонференцииIT@Work
Документооборот/ECM:

Блог

Проблемы PKI в России. Сколько их?

На прошедшей недавно конференции по проблемам PKI представитель Минкомсвязи Р.В. Кузнецов озвучил основные проблемы PKI в России (как их видит министерство) и предпринимаемые меры по решению этих проблем. Таких проблем насчиталось ровно 5. Вот, кому интересно, само выступление.

Вроде бы слова все понятные и о таких проблемах все наслышаны. Но хочется все-таки разобраться, в чем суть перечисленных проблем, насколько они реальны и насколько адекватные меры предпринимает министерство для их решения. Я хоть не из мира PKI, но долгое время занимался проблемами электронного документооборота. Так что с реальными проблемами электронных подписей пришлось сталкиваться на практике. Если коллеги - эксперты по PKI, где-то подправят или подскажут, буду очень благодарен.

Я хорошо помню, как в прошлом году была широко растиражирована новость о том, что минкомсвязи выявило 4 главные проблемы электронных подписей и во всю их решает. Интересно, что еще за новая проблема появилась за год, и почему не решились прошлогодние 4? Или это абсолютно новые 5 проблем?

Вот прошлогодняя новость. Не кто-нибудь, а зам. министра доложил о главных 4-х проблемах электронной подписи.

Вот эти проблемы:
1. Необоснованные дополнительные требования операторов отдельных ведомственных и корпоративных информационных систем к квалифицированным сертификатам ключа проверки электронной подписи, что ограничивает использование иных электронных подписей.
2. Отсутствие эффективных механизмов контроля деятельности аккредитованных удостоверяющих центров.
3. Отсутствие единых унифицированных правил оказания услуг аккредитованными удостоверяющими центрами.
4. Необходимость визуализации (просмотра) подписываемой информации исключительно средствами электронной подписи.

Впринципе эти же проблемы озвучил и Р.В. Кузнецов, немного поменяв их местами и присовокупив к ним еще одну. Пятая проблема была сформулирована так, что если бы я не знал, что речь идет об атрибутных сертификатах, ни за что бы не догадался :) Понравилась формулировка: "5-я проблема по сути вытекает из решения первой". Удобно. Работа никогда не закончится :)

Итак:
5. В России не узаконены атрибутные сертификаты.

Про атрибутные сертификаты писал ранее (http://www.pcweek.ru/ecm/blog/ecm/7770.php). Скажу лишь еще раз, что по моему скромному мнению включение атрибутных сертификатов в наше законодательство будет большим шагом вперед. И наконец-то министерство обратило внимание на то, что решение этой проблемы давно уже существует и широко используется и хотя бы здесь мы не попытались поехать на своем уникальном русском велосипеде.

Собственно с первой проблемой тоже все понятно. Она реально существует и об этом много уже говорено и писано. Росреестр, казначейство, гос. закупки - каждый норовит изобрести сертификат поизощренней. Чтобы уж к ним то точно никакой другой не подошел. Прям соревнование какое-то устроили. И эту лавочку давно пора было прикрыть. Собственно прошлогодними поправками в 63-ФЗ это прямо запретили делать (требовать влючение дополнительных OID в сертификаты). А теперь предложили и хороший механизм на замену - атрибутные сертификаты.

Про проблемы №2 и №3, пожалуй, ничего умного сказать не смогу. Слышал, что у нас слишком уж много УЦ и слишком уж слабый контроль над ними, а потому и слабое доверие. Наверное, так и есть. Что касается услуг (№3) у меня лично большое подозрение, что таким образом министерство просто пытается затянуть УЦ в СМЭВ и еще немного добавить себе очков по реализации гос. услуг. Насколько я понимаю по обоим пунктам в прошлом году были внесены поправки в 63-ФЗ. Непонятно, почему эти проблемы по-прежнему озвучиваются? Поправки не помогли?

О якобы существующей проблеме визуализации подписываемой информации исключительно средствами ЭП я слышу не впервые. Но так и не могу понять, в чем собственно проблема? Роман Валерьевич говорит, что это сильно затрудняет использование ЭП на мобильных устройствах. А насколько я помню, использование ЭП на моб. устройствах нам сильно затрудняло отсутствие как таковых средств ЭП для мобильных платформ (сертифицированных, чтобы их можно было использовать в гос. органах). Какая проблема визуализации? Кто-нибудь знает хоть одну систему, которая визуализирует подписываемый документ средствами ЭП? Какими именно? Поделитесь, пожалуйста. Я правда не понимаю о чем речь.

Конечно же эта проблема подкупает (не столько меня сколько коллег из минкомсвязи) простотой ее решения. Надо просто убрать требование визуализации документа средствами ЭП (которое и так никто не выполняет :) ) и проблема решена! Что-ж, думается эта задача вполне по силам нашему ИТ регулятору.
Колесов Андрей
Вот именно - они там (МКС) все такие.... Дело не в конкретных людях, а в системе.

Нет, не путаю. Я в комментарии упоминал о выступлении Кузнецова на облачной конференции в июле 2014 года. Вот тут видно, как они читает по бумажке "слово в слово" (я не уверен, что оно понимает читаемое),
http://www.pcweek.ru/its/blog/its/6810.php

А вы говорите об осеннем выступлении  его коллеги по СЭД-тематике на конференции ЭОС (что-то не могу найти этой публикации)

Кстати, о планах МКС: вот еще один прошлогодний план - закон о Электронном Архиве. Вот посмотрите публикации годичной давности. Там, кстати, тоже фигурирует г-н Кузнецов: http://www.pcweek.ru/ecm/blog/ecm/7012.php
Малых Вадим
Действительно. Как-то пропустил эту вашу публикацию.
Колесов Андрей
Это просто Дежавю - из года в год одно и то же  :(