Недавно мы отметили юбилей Федерального закона 1-ФЗ «Об электронной цифровой подписи» от 10.01.2002. То есть уже год, как у нас электронная подпись де-юре приравнена к собственноручной. Что же произошло за этот год и как сегодня выглядит правовая и рыночная ситуация в этой области?

Закон и жизнь
Идиотизм российских законов компенсируется
необязательностью их исполнения.
Народная интерпретация
классической цитаты

По поводу закона можно сказать очень просто — он не работает. Кроме массы подводных камней, заложенных в текст закона, из-за которых в своем нынешнем виде он не может работать в принципе, есть причина более очевидная: Минсвязи и ФАПСИ никак не договорятся, кто из них будет лицензирующим органом для удостоверяющих центров.
Кто сильнее — слон или кит, выяснится, думаю, довольно скоро, а вот что будет лучше для рынка — сказать трудно. Оба ведомства имеют плохую репутацию как регуляторы, но в ФАПСИ, по крайней мере, есть специалисты по криптографии.
А жизнь идет своим чередом. Она как обходилась без закона, так и сейчас обходится. Дело в том, что для использования ЭЦП ограниченным и заранее известным кругом участников (в так называемых корпоративных системах) никакой закон не нужен — работа возможна на основании Гражданского кодекса, признающего «аналоги собственноручной подписи», и договоров между участниками. Большинство работающих систем электронного документооборота относится именно к этому классу — системы «банк-клиент», биржевые площадки и др.
Правда, в прошлом году после принятия Закона банки охватила легкая паника, поскольку деятельностью удостоверяющего центра они вроде как занимаются, а требованиям закона не удовлетворяют (и не могут в принципе — см. выше). А деятельность без лицензии, как известно, чревата… Но банковские юристы быстро объяснили, что электронная подпись, которой системы «банк-клиент» подписывают документы, вовсе не «подпись в законе» а просто такой аналог собственноручной подписи. И от греха подальше перестали употреблять термин ЭЦП в договорах. И все сразу успокоилось.
Недавно случилось еще одно приятное событие для пользователей корпоративных систем ЭЦП. Принят новый Арбитражный кодекс, обязывающий арбитражные суды принимать электронные аналоги собственноручной подписи наравне с другими доказательствами. И для практики использования ЭЦП это значит, пожалуй, больше, чем Закон.

…Sed Lex
Реально закон нужен для так называемых открытых систем, в которых участники не связаны договорными отношениями, — розничных сделок в электронных магазинах, взаимодействии граждан с государством в рамках систем «электронного правительства», публикации официальных документов и оферт в электронном виде и др. Все это вещи, конечно, нужные, но не подкрепленные существенными финансовыми интересами — корпоративные системы сейчас гораздо более актуальны. И вообще реальные перспективы Закона достаточно смутны: после определения лицензирующего органа тому придется организовать внесение поправок, поскольку в своем нынешнем виде закон работать не может, и процесс этот может затянуться еще на год-два.
Правда, в Питере уже существует организация с простым и емким названием «Удостоверяющий центр», утверждающая, что она работает в соответствии с Законом на основании некоего пилотного (чуть ли не устного) разрешения ФАПСИ. В Центре говорят, что выдали уже несколько тысяч ключей. Интересно, что они будут делать и как нести обязательства перед клиентами, если победит Минсвязи?
Существуют и другие организации, «бегущие впереди паровоза», — например, Удостоверяющий центр МосЖилРегистрации, уже вроде бы оказывающий коммерческие услуги.
На «низком старте» находятся и серьезные игроки: опытную эксплуатацию ПО удостоверяющего центра начал РОСНииРОС, создает аналогичную инфраструктуру «Демос». Они, впрочем, вряд ли рискнут работать без лицензии.

PKI
Кроме наработки опыта игнорирования закона, за этот год произошла еще одна важная вещь: появился начальный спрос, и начал формироваться рынок PKI (Public Key Infrastructure) — систем поддержки инфраструктуры открытых ключей.
PKI нужны для поддержки масштабных систем электронного документооборота и организации защиты доступа компьютеров и систем. Первое применение очевидно, а вот второе мы рассмотрим подробнее.
Представим себе компанию, в которой тысячи сотрудников работают с некой системой, содержащей критически важную информацию. В этом случае доверять механизмам авторизации через пароли страшно — люди склонны использовать простые пароли, записывать их на бумажках, прикрепленных к мониторам, и т.д. Кроме того, возможен перехват пароля в момент ввода его с клавиатуры или путем сканирования сети и др. К тому же сама система хранения паролей становится слабым звеном в цепи мер безопасности — у системного администратора появляются слишком широкие возможности.
Наиболее безопасным выходом является использование системы открытых/закрытых ключей, где секретный ключ (аналог пароля) существует в единственном экземпляре у пользователя, централизованно хранятся только открытые ключи (сертификаты), а при входе в систему в качестве проверки выполняется некое действие, возможное только при наличии закрытого ключа — скажем, расшифровка строки, зашифрованной открытым ключом.
Это имеет смысл в основном при использовании специальных устройств — смарт-карт, токенов, брелков touch memory, хранящих в себе закрытые ключи и умеющих выполнять соответствующее действие (например, расшифровку поданной на вход строки). Для управления всей это системой ключей и используются PKI. А поскольку у пользователя уже есть секретный ключ и устройство, его хранящее, то этим ключом можно и документы подписывать…
Причем, поскольку авторизация входа в систему и подписывание отсылаемых системой документов требует определенной интеграции между системой и PKI, одной из характеристик PKI является перечень корпоративных систем, с которыми она интегрирована.

Что на рынке?
Сейчас на рынке фигурируют три фирменные PKI-системы:
- Entrust (www.entrust.com, дорогая);
- Baltimore (www.baltimore.com, еще дороже);
- Keyon (www.rsasecurity.com, подешевле).
У всех трех цена зависит от количества поддерживаемых рабочих мест (выданных сертификатов) и исчисляется десятками долларов на место. У каждой имеются свои плюсы и минусы: скажем, Baltimore хорошо интегрируется с Lotus Notes, но не интегрируется с SAP R/3 и не поддерживает сертифицированные ФАПСИ криптосредства, то есть не может использоваться для работы с госучреждениями. Что, впрочем, не помешало компании «КомпьюЛинк» рапортовать¹ о внедрении Baltimore на тысячу рабочих мест в некой неназванной крупной финансовой структуре. Entrust хорошо работает с SAP R/3, а Keyon умеет работать с сертифицированными криптомодулями от «КриптоПро» (упоминавшийся выше питерский Удостоверяющий центр работает именно на Keyon).
Есть на рынке и пара систем от отечественных разработчиков — «Удостоверяющий центр» от «КриптоПро» (www. cryptopro.ru/CryptoPro/product5. html), весьма недешевый, и «КриптоТраст» (www.lancrypto.com/index. php?div=products&id=12) от «ЛанКрипто» (подешевле). О качестве и перспективах этих продуктов судить трудно, но «КриптоТраст», скорее всего, укрепится в банковской сфере, где позиции фирмы «ЛанКрипто» традиционно сильны, а «КритоПро», похоже, будет добровольно-принудительным решением для государственных органов, если в борьбе кита со слоном победит ФАПСИ.
В общем, предложение на рынке явно превышает спрос, и выбор, как обычно, нужно делать исходя из детального анализа задачи. Забавный факт: на конференцию «РусКрипто-2003» заявленные представители «КриптоПро» приехать не смогли, так как, по слухам, все были мобилизованы на реанимацию своего центра сертификации, упавшего в каком-то важном учреждении.

 

Как известно, технология ЭЦП основана на том, что у каждого пользователя существует пара ключей — секретный (закрытый) и открытый, который знают все. При этом с помощью закрытого ключа можно подписывать документ, а с помощью открытого — проверять подлинность подписи. На самом деле есть еще одна интересная возможность — зашифрованный открытым ключом документ можно расшифровать, только зная закрытый ключ. Именно это позволяет относить средства ЭЦП к криптографическим и распространять на них соответствующее регулирование. Если нас двое и мы обмениваемся документами, то все просто: мы сгенерировали ключи, обменялись открытыми ключами и без всяких посредников подписываем и проверяем подписи под нашей перепиской. Если у меня что-то случилось с ключом, я просто сгенерирую еще один и вышлю партнеру новый открытый ключ. Но если участников обмена сотни и тысячи, то такие подходы не работают и используется несколько более сложная технология — так называемые сертификаты ЭЦП. Сертификат ЭЦП — это открытый ключ с некоторой дополнительной информацией о его владельце, подписанный еще одним ключом, принадлежащим некоему центру сертификации (Certificate Authority — CA), которому мы все доверяем. То есть, получая подписанное письмо и сертификат подписи, я могу проверить известный мне ключ Центра и быть уверенным, что подписал письмо именно тот, кто указан в сертификате. Если, конечно, ключом не завладел кто-то другой. В последнем случае владелец сертификата должен быстро сообщить об этом Центру, и сертификат будет отозван. Для отзыва сертификатов и выдачи новых могут быть и более прозаические основания — например, изменение данных о владельце, записанных в сертификате, или окончание срока действия сертификата (они всегда выдаются на определенный срок). Поэтому я должен иметь возможность быстро проверить, действует ли еще некий сертификат, так что поддержка списков отозванных сертификатов (Certificate Revocation List) — важнейшая функция CA.

1 Согласно сообщению представителя «КомпьюЛинк» на «РусКрипто».