ЭЦП
Около двух лет прошло с момента принятия Закона об ЭЦП - срок достаточно большой, чтобы проследить некоторые тенденции в развитии PKI (Public Key Infrastructure).
Если говорить о корпоративных PKI-системах, то за это время они развивались весьма интенсивно; более того, на мой взгляд, PKI стали фактическим стандартом администрирования решений по информационной безопасности с использованием средств криптографической защиты информации (СКЗИ). Об этом свидетельствуют и предпочтения заказчиков, и появление соответствующих технологий в прайс-листах многих российских компаний-производителей. В качестве примеров развивающихся корпоративных PKI-систем можно привести продукты для дистанционного банковского обслуживания, биржевой торговли и им подобные, а также системы электронного документооборота. Безусловно, в этом немалая заслуга принятого закона.
Для публичных систем все обстоит несколько иначе. В последний год на этом рынке наблюдается значительное оживление, связанное, с одной стороны, с успехами корпоративных проектов, а с другой - с назначением уполномоченного федерального органа исполнительной власти, ответственного за деятельность удостоверяющих центров (УЦ), и с приходом на рынок новых игроков в лице государственных структур. Однако даже проекты, реализуемые в государственном секторе, пока можно отнести к категории корпоративных, призванных удовлетворить интересы того или иного ведомства. Все это привело к тому, что сегодняшний рынок публичных PKI-систем находится в состоянии "перегретых ожиданий", и связано это, на мой взгляд, с поиском места и роли электронных технологий в жизни общества.
Вместе с тем существует и точка зрения, что основная причина, сдерживающая распространение публичных PKI-систем, состоит в несовершенстве законодательства. Оговорюсь сразу: мы не считаем действующий Закон об ЭЦП идеальным, о чем не раз писали после его появления, но и не квалифицируем его как основное препятствие для внедрения публичных PKI-систем. Многим поначалу казалось, что достаточно создать УЦ, получить необходимые лицензии - и тут же выстроится очередь за сертификатами. Однако этого не произошло. Попытаемся разобраться, каковы же основные предпосылки и сдерживающие факторы успешного внедрения публичных PKI-систем.
Прежде всего - что такое публичные PKI-системы? Это системы, участие в которых носит декларативный характер, а идентификатором участника является сертификат его открытого ключа. В качестве клиентов публичных PKI-систем прежде всего мы представляем обычных граждан - физических лиц, для которых получение сертификата должно открывать доступ к набору электронных услуг, облегчающих им взаимодействие, как правило, с государственными структурами. Только в случае наличия таких услуг публичные системы будут иметь бизнес-перспективу. Вариант, подобный обязательному страхованию гражданской ответственности, рассматривать не хочется.
Задача электронных технологий - не вытеснить бумажные, а обеспечить им удобную альтернативу. Эта альтернатива технологически должна быть оформлена в виде определенных электронных сервисов, одним из элементов инфраструктуры которых являются УЦ. Поэтому если говорить о перспективе публичных PKI-систем, то основная задача - создание таких сервисов, причем УЦ в их инфраструктуре является отнюдь не определяющим элементом. Самая главная и затратная часть - это встраивание электронных технологий в "бумажные" бизнес-процессы с обеспечением их юридической значимости. Излишне напоминать, что это требует от государственных структур одновременной поддержки бумажных и электронных технологий со всеми вытекающими последствиями. И тут хотелось бы обратить внимание на один факт: многие госучреждения внедрение электронных технологий воспринимают как очередную кампанию, забывая при этом, что правильное применение той или иной технологии - залог ее успешного внедрения. Часто в качестве оценки эффективности ЭЦП можно услышать цифры о количестве подписанных электронных документов и т. п.; при этом забывается, что основное назначение внедрения электронных технологий - создание высококачественных сервисов. Если говорить о технологии ЭЦП, то, с моей точки зрения, ее внедрение оправдано там, где после ее проверки технологически требуется принятие необратимого решения в режиме, близком к on-line, с возможностью впоследствии подтвердить правильность этого решения. Во всех остальных случаях можно обойтись без ЭЦП.
Двигаясь в направлении создания публичных PKI-систем, хочу обратить внимание еще на некоторые сдерживающие факторы.
1. Психологический, подтверждающий готовность граждан к ответственности за свои действия с ЭЦП. На каждого человека, получившего сертификат на ЭЦП, в рамках предоставленных ему возможностей возлагается ответственность. Готовы ли сегодня к этому люди? Я думаю, нет. Поэтому во избежание случаев отказа от своих действий с мотивировкой "не знал", "не понял", "не хотел" необходимо позаботиться о создании соответствующих институтов. И здесь показателен опыт Южной Кореи. У корейцев вместо ЭЦП имеется печать с уникальным иероглифом, но хранится эта печать у юриста, и прежде чем человек воспользуется ею, юрист разъясняет ему суть происходящего и предупреждает о последствиях.
2. Еще одним ограничивающим фактором является относительная сложность PKI-технологий для бытового применения. Это потребует значительного повышения компьютерной грамотности населения.
3. Сегодняшние цены на PKI-решения из расчета на одно рабочее место (даже в размере 10-15 долл.) многим потенциальным пользователям не по карману. Необходимо также учесть, что для применения рассматриваемых технологий нужно как минимум иметь подключение к Интернету.
Безусловно, это только часть проблем, но даже с учетом вышесказанного предстоит еще очень много сделать для того, чтобы публичные PKI-системы и как элемент их инфраструктуры публичные удостоверяющие центры приобрели бизнес-перспективу, что, собственно, и подтверждается текущей ситуацией на рынке. Правда, для УЦ бизнес-перспектива еще может быть связана с услугами аутсорсинга корпоративных PKI-систем, но пока, по нашим оценкам, это предложение не получило широкого распространения. Кроме того, сертификаты, выдаваемые публичными УЦ, могут быть использованы в широко распространенных на рынке приложениях типа почтовых клиентов, браузеров и т. п., но тогда сертификат этого центра желательно встраивать в приложения до их распространения, что позволит абонентам получать сертификаты низкой степени доверия без посещения УЦ.
И еще на одну проблему хотелось бы обратить внимание. Это совместимость сертифицированных СКЗИ. Впервые мы заговорили о ней еще два года назад. Исторически так сложилось, что при сертификации в ФАПСИ для каждого СКЗИ были использованы свои форматы представления ключевой информации, свои идентификаторы и даже свои параметры. И сегодня на рынке присутствует порядка десяти сертифицированных СКЗИ и большое количество приложений на их основе, принципиально несовместимых между собой. Нельзя сказать, что на рынке корпоративных систем от этого кто-то особенно страдает. Но всетаки иногда возникает соблазн предположить, что в случае полной совместимости (при соответствующей кросс-сертификации администраторов) с одним сертификатом можно было бы участвовать в различных корпоративных приложениях, в том числе и разных производителей. На практике это похоже на попытку с удостоверением МВД посетить объекты ФСБ - попробовать можно, но ведь не пустят!
Реально проблема совместимости (унификации) может возникнуть для публичных PKI-систем, в которых, если продолжить аналогию, сертификат выполняет роль гражданского паспорта, а также для масштабных корпоративных проектов, выполняемых при участии нескольких компаний. Кроме того, просто нелогично, когда одни и те же реализации государственных стандартов не стыкуются. Существует два варианта решения этой проблемы. Первый - принятие единого общероссийского стандарта с приданием ему международного статуса (все-таки вступление в ВТО не за горами), с поддержкой его всеми производителями. И второй - основанный на технологических решениях.
В рамках первого направления весной этого года ряд компаний - производителей СКЗИ подписал соглашение, целью которого провозглашалась разработка единого стандарта на форматы хранения ключевой информации, параметры алгоритмов и форматы сертификатов и оформление его в виде международного с принятием соответствующего RFC. К сожалению, на практике разработка стандарта свелась к описанию форматов и параметров предложения одного из участников соглашения. Авторы, безусловно, понимали, что их вариант в исходном виде не будет принят как международный стандарт, поскольку он выполнен без учета сложившейся мировой практики подготовки подобных документов и в ходе публичного обсуждения в него обязательно будут внесены необходимые поправки. (Это касается представления параметров, цифровой подписи и ключей в сертификатах, чисел и т. д.) Понимая это, все свои предложения RFC drafts авторы опубликовали со статусом Informational, не подразумевающим публичное обсуждение и оформление в виде международного стандарта, тогда как по замыслу они должны претендовать на статус Internet Standard, т. е. предлагаться как Proposed Standard. Излишне объяснять, зачем все было сделано именно так, но претендовать данное решение на российский стандарт не может.
Технологическое решение, обеспечивающее совместимость СКЗИ различных производителей, основано на применении DVCS-серверов и описано в RFC 3029. Решение отвязывает проверку ЭЦП от конкретного СКЗИ на стороне клиента или ресурса и переносит ее на сторону специализированного сервера.
С учетом сложившейся ситуации при реализации публичных PKI-систем и крупных корпоративных, в частности государственных, проектов необходимо обеспечить совместимость СКЗИ различных производителей на основе технологических решений. При этом, безусловно, надо продолжать работу по подготовке RFC с описанием единого российского стандарта, не пренебрегая высказанными замечаниями.
С автором можно связаться по адресу: signal@gin.ru.
