Я уже не скажу, который по счету, да и вряд ли кто-то это помнит, - круг согласования в думских комитетах прошла пачка альтернативных законопроектов, касающихся цифровой подписи. Точнее, не прошла: Комитет по безопасности ¹ рекомендовал разработчикам двух из них доработать документы до вынесения на первое чтение.

Длинный список представленных экспертами замечаний носит в основном юридико-технический характер. Я хочу привлечь внимание к другому аспекту, который я бы назвал мистическим.

Так, правительственный законопроект предполагает, что «[п]ри создании ключей электронной цифровой подписи для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков и вреда, возникших в связи с […] несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей таких ключей» (Ст. 5, §2), «забывая» - и это очень характерно - указать на то, кто будет возмещать «убыток и вред» при использовании «сертифицированных средств».

Билль Тарачева-Шохина определяет порядок, согласно которому «[д]опускается использование не сертифицированных средств выработки ЭЦП» (Ст. 4, §2), но устанавливает, что «[в]ладелец закрытого ключа ЭЦП, использующий не сертифицированное средство ЭЦП, обязан обеспечить уведомление пользователей […]. В противном случае владелец закрытого ключа ЭЦП, использующий не сертифицированное средство ЭЦП, несет ответственность за убытки, понесенные пользователями соответствующего открытого ключа вследствие использования не сертифицированного средства ЭЦП» (§3), опять-таки «забывая» - вопреки всякой логике - распределить ответственность в случае использования «сертифицированных средств».

Эти клаузы - в которых «сертификация» вводится как некий магический акт - совершенно мистическим образом возникают практически в каждой версии биллей, сколько ни объясняй, к чему может привести мистика в имеющих силу закона документах, и сколько ее ни вычеркивай. И каждый раз сквозь «сертификацию» просвечивает та или иная схема нерыночного получения доходов связанными с «сертификаторами» частными компаниями.

Я покажу это на примере системы, которая может коснуться каждого. Публикуемый сегодня документ - это «Регламент регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации».

Взгляните на текст, и вы увидите ряд интересных особенностей.

• Условием вхождения в систему документооборота ПФРФ - вполне государственной организации - ставится заключение с «ТехИнформКонсалтингом» - вполне частным обществом с ограниченной ответственностью - договора об использовании поставляемого этой компанией «сертифицированного средства» АРМ ФКМ «Верба» (см. также бланк заявления, приводимый во врезке). Читатель сообщает о сумме в 120 долларов, затребованной за лицензию на одно рабочее место.

• Далее, обратившись к информации, представленной на сервере «ТехИнформКонсалтинга», можно обнаружить, что поставляемые этой компанией ФКМ («файловые криптоменеджеры») FcolseW «Верба» и FcolseOW «Верба-О» реализованы исключительно под Microsoft Windows 95/98/NT, которые, как известно, отнюдь не являются свободными продуктами, а лицензируются также только на коммерческих условиях по ценам, начинающимся где-то в районе 100 долларов.

  Утверждая такой «регламент», государственная организация фактически открывает канал нерыночного получения доходов двум частным компаниям - одной российской, другой американской, принуждая своих контрагентов к приобретению прав на использование их программных средств.

• Исследовав обстоятельства чуть глубже, можно увидеть еще одну интересную вещь. Из функциональности «сертифицированного средства» изъята процедура генерации пары ключей, являющаяся неотъемлемой функцией любого развитого криптопакета и присутствующая в линейке продуктов «Верба» (см. информацию на том же сайте). Читатель сообщает о сумме в 20 долларов, затребованной за генерацию каждой пары ключей.

  И, наконец, обратите внимание, как органично общая коррупционная направленность документа сочетается с откровенным невежеством его составителей.

• Из п. 3.4 следует, что криптография с открытыми ключами использована чисто номинально: фактически система является централизованной, и от каждого участника требуется полное доверие к «центру». Не нужно иллюзий: включение в так регламентированную систему документооборота равносильно согласию на то, что любой крестик, поставленный на бумаге, будет рассматриваться как эквивалент вашей собственноручной подписи.

• В определениях читаем: «Закрытый ключ […] используется для […] шифрования. […] Открытый ключ […] предназначен для […] расшифрования».

  Правда? - Понятно, что как только в глазах начали мелькать суммы, полученные умножением вымогаемой трехзначной (в долларовом выражении) суммы на количество потенциальных жертв вымогательства, ни желания, ни моральных сил прочитать даже популярную брошюрку о том, что такое криптография с открытыми ключами и для чего используются ключи открытые и ключи закрытые, уже не остается.

Обратите внимание, что эта коррупционная схема внедряется в условиях действующего, вполне либерального законодательства, оставляющего выбор технологии и средств ЭЦП на усмотрение сторон.

Лично у меня по мере погружения в тематику (с 1995 года и по сей день) энтузиазм по поводу юридической регламентации процедур цифровой подписи и государственной поддержки создания их инфраструктуры сменился умеренным скепсисом. Я не считаю соответствующее специальное законодательство абсолютно необходимым, хотя готов допустить, что при соблюдении ряда условий - к сожалению, длинного ряда - оно действительно способно подстегнуть процесс введения ЦП в деловой и гражданский оборот.

Тем не менее, если закон «Об ЭЦП» и принимать одной из основных задач, которые он должен решать, является закрытие лазеек для внедрения схем нерыночного получения доходов от «сертифицированных средств».

Врезка 1.
Врезка 2.

[i39545]