Pull to refresh

Немного о практике применения ЭЦП в России

Reading time 4 min
Views 3.3K
Большинство IT-людей знают о том, что такое ЭЦП. Несколько меньшее количество знает о том, как ЭЦП может применяться в реальной жизни. Еще меньше людей эту самую ЭЦП применяют на практике.

Для тех, кто еще не догадался — ЭЦП расшифровывается как «электронно-цифровая подпись».

В течение двух лет я руководил (читай: непосредственно двигал) проект, связанный с узким применением ЭЦП в нашей жизни — сдача электронной отчетности в налоговые органы. Однако, несмотря на узость применения, в процессе я приобрел достаточно интересных знаний о том, что собой представляет ЭЦП в России. Вот и хочу поделиться.



1. Закон и ЭЦП


Первой ласточкой того, что наша страна медленно, но верно движется по пути прогресса, явился закон «Об электронной цифровой подписи». Вышел он в 2002 году, и на жаргоне его можно назвать «голым».

Те, кто реально сталкивался с применением законов в России, понимают, что закон сам по себе не устанавливает отдельных вопросов своего собственного применения. Признак «голости» закона — обилие формулировок «в соответствии с действующим законодательством». Так вот, каждая такая формулировка оказывается отсылкой нафиг.


В 2002 году этот закон «Об ЭЦП» именно такую вещь и представлял. Ибо в нем говорилось о сертификатах, центрах сертификации и еще много о чем, чего на деле в 2002 году (да и что говорить, куда как позже) вообще не существовало. В принципе.

Кроме того, закон закону рознь. Простой пример.

Закон об ЭЦП устанавливает равенство электронной подписи обычной (Статья 4). Однако, к примеру, Налоговый кодекс, хоть и предусматривал передачу декларации в налоговую инспекцию по «телекоммуникационным каналам связи», тем не менее, умалчивал о формате подписи, формате электронного документа и вообще. Поэтому, несмотря на наличие закона об ЭЦП, использовать ее было нельзя.


Однако, несовершенство закона еще полбеды. В марте 2003 года, пока все обалдевали от качества закона об ЭЦП и чесали репу, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), которое занималось вопросами криптографии, упразднили, передав его функции ФСБ.

«В чем проблема?», может спросить читатель. Так я расскажу.

2. Как насчет конкретного применения?


Всеми вещами, имеющими отношение к шифрованию и защите информации, у нас занималась сначала ФАПСИ, потом, в 2002 году стала заниматься ФСБ.

Представьте себе задачку, стоявшую перед ФСБ. Вроде как все понятно, товарищ полковник, только вот хэш — это что, разновидность наркоты или какая математика заумная? Впрочем, прошу прощения за мою язвительность ;)

Итак, стояла задача разобраться со следующим: какой алгоритм использовать? Понятно, что асимметричный, понятно, что с открытым и закрытым ключом, но какой длины? Если две стороны (ставящая подпись и проверяющая подпись) об этом не договорятся, счастья не будет, не так ли?

Получилось так, что:
1. Теория: алгоритм, который можно использовать на территории РФ (который будет приниматься как юридически значимый) должен быть как минимум сертифицирован ФСБ (т.е. проверен на «ударопрочность» и все такое).
Практика: слишком мало у нас в ФСБ специалистов по нормальному криптоанализу, поэтому получить сертификат сложно из-за долгого анализа самого алгоритма.

2. Теория: организация, которая собирается предоставлять услуги, связанные с ЭЦП, должна использовать алгоритм, который был сертифицирован ФСБ.
Практика: из-за смешения понятия «алгоритм» и недостатка в пряморуких разработчиках, это означало, что использовать нужно было не свою «имплементацию» алгоритма, а программный продукт, который предоставлялся сертифицировавшим алгоритм разработчиком. Да здравствует кровавая монополия. Стоны Артемия Андреича по поводу карт для GPS меркнут тут.

3. Теория: организация, которая собирается предоставлять услуги, связанные с ЭЦП, должна получить 3 лицензии: на использование, на техническую поддержку, на распространение средств криптографической защиты.
Практика: получить лицензию, не выбрав программный комплекс из п. 2 — нельзя. Вернее, не получится, откажут. «Цена» лицензии на 2003 год (с условием соблюдения километрового списка с требованиями) была примерно $1000 (по знакомству). Кроме того, лицензия от разработчика программного комплекса — $1000 + выполнение плана по продажам.

В итоге, на 2003 год получилось так — программ по работе с алгоритмами 3 на всю Россию. И самое главное, что ни в каком страшном сне эти программы не знают о понятии CryptoAPI, то есть, работать с ними «снаружи» — никак или очень сложно (ну там, через командную строку, да).

3. Еще препоны?


О да, уйма. Кроме общей проблемы с софтом, есть проблема с его разработкой. Готовы? Держитесь крепче.

Если Вы хотите использовать свой алгоритм (или общедоступный), ну, например, RSA, то схема разрастается до уровня сценария «Миссия невыполнима». Почему? А вот почему.

1. Перед тем, как пытаться что-то отдать в ФСБ на сертификацию, надо получить лицензию на разработку тех самых криптографических систем. Примерная цена $20 000*.

2. После того, как есть лицензия и система, то ее сертификация встанет еще примерно в $80 000*.

3. Ну и теперь осталось самое простое — уговорить потенциальных пользователей (к примеру, налоговую инспекцию) использовать Вашу систему.

И оставьте тут Ваши понятия о рынке, они тут не действуют. Тут не бывает альтернатив или конкуренции. Школьный портал отдыхает.

4. Проблема регионов. Известны случаи, когда в регионе (за МКАД есть жизнь!) попросту не могли применить ту технологию, которую «спускали» сверху. Кадров не хватало, знаний не хватало, и т.д.

* Указанные здесь суммы не являются официальными платежами, разумеется. Деньги пойдут как «консультационные услуги» определенным фирмам, «помогающим» в этом процессе.

4. В результате?


Нет, но не все так плохо, и пророки есть в своем отечестве. К примеру, КриптоПро сейчас вышло на нормальный уровень и даже подружилось с CryptoAPI. Но это сейчас, только в 2007 году. И то, толком в крупных городах в регионах.
Вроде и налоговая инспекция с банками применяют ЭЦП. И точка. Больше пока толком никого.

А использование цифровой подписи в остальных случаях так и осталось, пока, несбыточной мечтой.

Разумеется, что в своем обзоре я не рассказал о многих пикантных подробностях, но, думаю, в рамках данной статьи они будут излишни. Мне хотелось показать реальную причину того, почему у нас так плохо с вопросом внедрения ЭЦП в разные области нашей жизни.

Разумеется, добро пожаловать в комментарии; у меня не так много времени есть на ответы, но я постараюсь.

С любовью,
maniaque
Tags:
Hubs:
+78
Comments 108
Comments Comments 108

Articles