7 июля 2008 в 20:15

Немного о практике применения ЭЦП в России

Большинство IT-людей знают о том, что такое ЭЦП. Несколько меньшее количество знает о том, как ЭЦП может применяться в реальной жизни. Еще меньше людей эту самую ЭЦП применяют на практике.

Для тех, кто еще не догадался — ЭЦП расшифровывается как «электронно-цифровая подпись».

В течение двух лет я руководил (читай: непосредственно двигал) проект, связанный с узким применением ЭЦП в нашей жизни — сдача электронной отчетности в налоговые органы. Однако, несмотря на узость применения, в процессе я приобрел достаточно интересных знаний о том, что собой представляет ЭЦП в России. Вот и хочу поделиться.



1. Закон и ЭЦП


Первой ласточкой того, что наша страна медленно, но верно движется по пути прогресса, явился закон «Об электронной цифровой подписи». Вышел он в 2002 году, и на жаргоне его можно назвать «голым».

Те, кто реально сталкивался с применением законов в России, понимают, что закон сам по себе не устанавливает отдельных вопросов своего собственного применения. Признак «голости» закона — обилие формулировок «в соответствии с действующим законодательством». Так вот, каждая такая формулировка оказывается отсылкой нафиг.


В 2002 году этот закон «Об ЭЦП» именно такую вещь и представлял. Ибо в нем говорилось о сертификатах, центрах сертификации и еще много о чем, чего на деле в 2002 году (да и что говорить, куда как позже) вообще не существовало. В принципе.

Кроме того, закон закону рознь. Простой пример.

Закон об ЭЦП устанавливает равенство электронной подписи обычной (Статья 4). Однако, к примеру, Налоговый кодекс, хоть и предусматривал передачу декларации в налоговую инспекцию по «телекоммуникационным каналам связи», тем не менее, умалчивал о формате подписи, формате электронного документа и вообще. Поэтому, несмотря на наличие закона об ЭЦП, использовать ее было нельзя.


Однако, несовершенство закона еще полбеды. В марте 2003 года, пока все обалдевали от качества закона об ЭЦП и чесали репу, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), которое занималось вопросами криптографии, упразднили, передав его функции ФСБ.

«В чем проблема?», может спросить читатель. Так я расскажу.

2. Как насчет конкретного применения?


Всеми вещами, имеющими отношение к шифрованию и защите информации, у нас занималась сначала ФАПСИ, потом, в 2002 году стала заниматься ФСБ.

Представьте себе задачку, стоявшую перед ФСБ. Вроде как все понятно, товарищ полковник, только вот хэш — это что, разновидность наркоты или какая математика заумная? Впрочем, прошу прощения за мою язвительность ;)

Итак, стояла задача разобраться со следующим: какой алгоритм использовать? Понятно, что асимметричный, понятно, что с открытым и закрытым ключом, но какой длины? Если две стороны (ставящая подпись и проверяющая подпись) об этом не договорятся, счастья не будет, не так ли?

Получилось так, что:
1. Теория: алгоритм, который можно использовать на территории РФ (который будет приниматься как юридически значимый) должен быть как минимум сертифицирован ФСБ (т.е. проверен на «ударопрочность» и все такое).
Практика: слишком мало у нас в ФСБ специалистов по нормальному криптоанализу, поэтому получить сертификат сложно из-за долгого анализа самого алгоритма.

2. Теория: организация, которая собирается предоставлять услуги, связанные с ЭЦП, должна использовать алгоритм, который был сертифицирован ФСБ.
Практика: из-за смешения понятия «алгоритм» и недостатка в пряморуких разработчиках, это означало, что использовать нужно было не свою «имплементацию» алгоритма, а программный продукт, который предоставлялся сертифицировавшим алгоритм разработчиком. Да здравствует кровавая монополия. Стоны Артемия Андреича по поводу карт для GPS меркнут тут.

3. Теория: организация, которая собирается предоставлять услуги, связанные с ЭЦП, должна получить 3 лицензии: на использование, на техническую поддержку, на распространение средств криптографической защиты.
Практика: получить лицензию, не выбрав программный комплекс из п. 2 — нельзя. Вернее, не получится, откажут. «Цена» лицензии на 2003 год (с условием соблюдения километрового списка с требованиями) была примерно $1000 (по знакомству). Кроме того, лицензия от разработчика программного комплекса — $1000 + выполнение плана по продажам.

В итоге, на 2003 год получилось так — программ по работе с алгоритмами 3 на всю Россию. И самое главное, что ни в каком страшном сне эти программы не знают о понятии CryptoAPI, то есть, работать с ними «снаружи» — никак или очень сложно (ну там, через командную строку, да).

3. Еще препоны?


О да, уйма. Кроме общей проблемы с софтом, есть проблема с его разработкой. Готовы? Держитесь крепче.

Если Вы хотите использовать свой алгоритм (или общедоступный), ну, например, RSA, то схема разрастается до уровня сценария «Миссия невыполнима». Почему? А вот почему.

1. Перед тем, как пытаться что-то отдать в ФСБ на сертификацию, надо получить лицензию на разработку тех самых криптографических систем. Примерная цена $20 000*.

2. После того, как есть лицензия и система, то ее сертификация встанет еще примерно в $80 000*.

3. Ну и теперь осталось самое простое — уговорить потенциальных пользователей (к примеру, налоговую инспекцию) использовать Вашу систему.

И оставьте тут Ваши понятия о рынке, они тут не действуют. Тут не бывает альтернатив или конкуренции. Школьный портал отдыхает.

4. Проблема регионов. Известны случаи, когда в регионе (за МКАД есть жизнь!) попросту не могли применить ту технологию, которую «спускали» сверху. Кадров не хватало, знаний не хватало, и т.д.

* Указанные здесь суммы не являются официальными платежами, разумеется. Деньги пойдут как «консультационные услуги» определенным фирмам, «помогающим» в этом процессе.

4. В результате?


Нет, но не все так плохо, и пророки есть в своем отечестве. К примеру, КриптоПро сейчас вышло на нормальный уровень и даже подружилось с CryptoAPI. Но это сейчас, только в 2007 году. И то, толком в крупных городах в регионах.
Вроде и налоговая инспекция с банками применяют ЭЦП. И точка. Больше пока толком никого.

А использование цифровой подписи в остальных случаях так и осталось, пока, несбыточной мечтой.

Разумеется, что в своем обзоре я не рассказал о многих пикантных подробностях, но, думаю, в рамках данной статьи они будут излишни. Мне хотелось показать реальную причину того, почему у нас так плохо с вопросом внедрения ЭЦП в разные области нашей жизни.

Разумеется, добро пожаловать в комментарии; у меня не так много времени есть на ответы, но я постараюсь.

С любовью,
maniaque
Николаев Лев @maniaque
карма
108,8
рейтинг 0,0
Самое читаемое

Комментарии (108)

  • 0
    Спасибо, очень познавательно. Жаль, в этой сфере не сталкивался, да и вообще с цифровыми подписями особо, так сказать, дело не имею.
    Но материал хороший, много времени ушло?
    • 0
      Спасибо :) Времени ушло немного, т.к. тема очень близка.
  • 0
    Я примерно тогда же организовывал защищенный документооборот в другом министерстве ;). Ох и намучался же я с этим КриптоПро! Сам по себе в связке с етокеном он был работоспособен (не считая того, через какую ж был прикручен етокен), но когда надо было поставить ихний центр сертификации, или, не дай боже, встраивать в свой код - начиналась такая чумаааа...
    Надо бы посмотреть, на что он сейчас похож.
  • +1
    1. Подпись - электронная цифровая, а не электронно-цифровая :).
    2. Проблема создания криптосредств - несколько надуманная. Разрабатывать криптосредства всем и каждому не приходится, и порог вхождения на этот рынок (в цене, конечно) довольно приемлемый. (Кстати, года три назад мы получили лицензии ФСБ на распространение и использование криптосредств довольно быстро и все требования выглядели разумными; создавать криптосредства не собирались.)
    3. Закон об ЭЦП может быть применен и в текущем (=ущербном) виде. И не только для таких специфических областей, как сдача отчетности, но и для обмена электронными документами в самых разных вариантах: внутри организации или между независимыми предприятиями.
    4. Основной недостаток, кстати, текущего закона об ЭЦП - его явная ориентация на технологии (использование определенных алгоритмов и PKI). Во многих случаях (особенно во внутрикорпоративном документообороте) решить задачи гарантированного авторства и неподдельности документа можно гораздо проще.
    • –2
      >Во многих случаях (особенно во внутрикорпоративном документообороте) решить задачи гарантированного авторства и неподдельности документа можно гораздо проще.

      Ага. Утюгом и паяльником. :)
      • 0
        Нет. Ни закон, ни положения/указания ФСБ не распространяются на двусторонние соглашения между сторонами, если одна из сторон не является гос. органом. Строго говоря, закон об ЭЦП обязует сертифицировать и все такое *только* если ПО будет использваться в гос органе.
        • 0
          Вы не правы.

          Во-первых, настоятельно рекомендую ознакомиться с общими положениями о сделках, а также о сделке, требующей простой письменной формы. Все это перечислено в ГК РФ.

          Разумеется, стороны могут это не соблюдать, тогда для суда (если таковой вдруг случится) не будет никаких оснований, ибо суд установит отсутствие правоотношений.

          Во-вторых, государственный орган ничем не отличается от обычной организации (кроме большей бюрократии, пожалуй), а действует точно так же, с теми же основаниями.

          И сертификация такого ПО (если длина ключа более выше 56 бит) обязательна, ибо в законе "О лицензировании отдельных видов деятельности" и разных инструкциях от ФСБ к нему это четко написано.

          Пожалуйста, не вводите людей в заблуждение, если Вы не знакомы с предметом.
    • 0
      Полностью согласен. Кстати, автор поста зря ехидствует насчет компетенции сотрудников :) Уж я точно знаю кто там работает и что знает. Как раз был сначала в ФАПСИ и потом по маршруту... Ох головушки там сидят, за копейки такие вещи делают. Ну разные, конечно ребята есть.
      • –1
        В том то и проблема, что атомную подводную лодку это мы пожалуйста, а вот так чтобы для народа что-нибудь нормальное сделать - это хрен, не умеем.

        Мы хотели использовать CryptoPro в страховой компании, оказалось, что нереально и куча геморроя. В итоге плюнули и не стали продолжать.
  • –1
    Мда, российская бюрократия тормозит прогресс, как ничто другое! Иногда это просто ОЧЕНЬ бесит.

    Автору большое спасибо за приведенный опыт и описание реальной ситуации. Однозначный up "в то, о чем нельзя говорить".
  • 0
    ужасть ужасть ужасть :(
    пользуюсь и налоговым, и банковским... но веть еще дофига мест :( , в том же егаис разве не используется? про b2b вообще молчу...
  • –4
    Интересно получается - автор предлагает торговать сертификатами как пирожками? на каждом углу...
    Сертификаты используются при передаче информации составляющей коммерческую тайну.
    Каким образом он хочет доказать свою состоятельность в данном вопросе?
    Бизнес хочет гарантий, самая простая из которых - денежная состоятельность партнера.

    З/Ы/ А еще - помимо сертификатов, есть и удостоверяющие центры... в которые тоже надо вкладывать деньги.
    • +2
      Я думаю, что мысль автора не в том, что сертификаты должна быть возможность купить в любом ларьке, а в том, что даже если люди готовы вложить в бизнес, связанный с цифровыми подписями - их ожидает сплошная бюрократия и отсутствие гибкости в выборе решения.
      • –4
        Если речь идет о КОММЕРЧЕСКОМ использовании, то денежный вопрос и бюрократия - фильтр для неблагонадежных поставщиков. В данном вопросе я исключительно за!
        Если это нужно для личного пользования - то есть OpenPGP, GnuPGP и т.д.
        • 0
          Слово "неблагонадёжных" тут явно лишнее. Представьте себе что вы - поставщик крипторешений. Ну там Vasco, TrueCrypt или ещё кто. Вы пытаетесь продать ваш продукт в России, а вам заявляют: "купи лицензию и получи сертификат за $100'000". А продажи, надо сказать, у подобного оборудования не так и велики (оборудовать 10'000 рабочих мест и получить с каждого по $2-$3 - большая удача). Бизнесмен крутит пальцем у виска и остаётесь вы ни с чем. Или, вернее, с поделкой Дяди Васи, которая не работает ни с чем кроме MS IE (совсем недавно обсуждалось), имеет кучу дыр, но зато обладает всеми нужными бумагами.
          • 0
            Читаем закон:
            1. Настоящий Федеральный закон устанавливает порядок использования электронно-цифровой подписи при совершении гражданско-правовых сделок и в иных случаях, предусмотренных законодательством Российской Федерации.
            Порядок использования электронно-цифровой подписи вне сферы гражданского оборота, а также в иных случаях, не урегулированных законодательством Российской Федерации, определяется соглашением сторон, участвующих в соответствующих отношениях.
            Продавайте, на здоровье. Только не забывайте об окружающей действительности.
            • –1
              Только вот в суде это все будет пустым звуком :) "Цифровая подпись??? Что за хрень такая? Гоните бабульки, кто больше заплатит - тот и прав" - вот, примерно, что вам скажут.
          • 0
            Может это заградительный тариф для поддержки отечественного производителя, по аналогии с росавтопромом :)
        • 0
          //Если речь идет о КОММЕРЧЕСКОМ использовании, то денежный вопрос и бюрократия - фильтр для неблагонадежных поставщиков

          Б!№;;%ть, ну нет слов. Может представитесь? Нужно знать героев в лицо.

          p.s.
          А вы уверены, что на законных основаниях можете использовать PGP в РФ?
          • 0
            Для личного, частного и коммерческого применения ты можешь использовать что угодно. Но как только речь заходит про госорганизацию - ТОЛЬКО сертифицированные ФСБ (или гостехкомиссией - могу ошибаться в названии) средства. PGP тут отдыхает.
    • 0
      Скорее автор, продолжая мысль выше, именно хочет сказать о том, что использования является неудобным и очень дорогостоящим, опирающимся на законы, нуждающиеся в пересмотре.
    • 0
      Не "бизнес хочет гарантий" а "фсб хочет денег". Самый простой способ получить легких денег-прописать в законе что услуга подлежит обязательному лицензированию и потом "лицензировать".
      • 0
        Точно, лицензирование и сертификация - отличная кормушка для самизнаетекого. Причем лицензии и сертификаты не пожизненные, а на несколько лет после чего делай новый (давай бабки) ;)
    • 0
      Вы, простите, как-то непонятно выражаетесь.

      Я предлагаю убрать нудную систему сертификации ФСБ, которая толком ничего не обозначает, только говорит о потраченной сумме денег. Кроме того, я никак не хочу доказывать свою состоятельность, мне это не надо.

      И гарантии у нас дает только прокуратура. Остальные - только видимость такового, поверьте.
      • 0
        Вам может и нет, а если хотите работать с клиентами - то да.

        >И гарантии у нас дает только прокуратура. Остальные - только видимость такового, поверьте.

        А вы не в курсе, что есть еще и другие институты государства реализующие защиту ваших прав?
        Или вы на каждый чих бежите в прокуратуру?
    • 0
      Вы это про что? про то что сгенерировать пару ключей длинной 1024 бита должно стоить $5000 чтоли? Миллисекунда процессорного времени. И вы из этого еще проблему, блин, сделали.
  • 0
    ЭЦП не так востребован в настоящее время, потому что есть его аналоги. Например, в банках уже давно в документообороте применяют аналоги ЭЦП. Их нельзя назвать ЭЦП с юридической точки зрения, но с технической как я понимаю они практически идентичны. В интернет магазинах и других аналогичных системах, либо конклюдентные действия, либо аналоги собственноручной подписи.
    Потребителя не интересуют подробности получения статуса специальной организации имеющей право выдавать ЭЦП. Их как правило интересует цена и доступность услуги (в том числе территориальная).
    Система будет развиваться, тому есть все предпосылки. Это концепция развития "Электронного Правительства", "Электронное правосудие" и развитие электронного документооборота.
    Число центров растет, цена будет падать, а следовательно увеличиваться доступность.
    • 0
      Вы не правы :)

      Если банк будет применять "свою" ЭЦП, которая не будет соответствовать закону, то этот банк потом нагнут за 5 минут - достаточно сделать по клиент-банку платежку в офшор на миллион, а потом в суде доказать, что это были не вы, поскольку ЭЦП нелегитимна. А ЦБ РФ четко требует соблюдения условий подписи платежных поручений.

      Повторюсь еще раз, в банке ЭЦП - как раз юридически значима.

      Все примочки для интернет магазинов - никому нафиг не сдались до тех пор, пока не было судебных дел, с этим связанных.

      Я не спорю, Вы правы в том, что система будет развиваться. Только вот пока она сильно буксует.
      • 0
        Погодите-ка погодите... Вот банк, в котором у меня расчетный счет (на ИП), применяет PGP, которая, ЕМНИП, не сертифицирована вообще, и как я понял из процедуры получения пары ключей, вообще они даже не заморачиваются по этому вопросу. Точнее, сейчас подключают криптопро для работы через инет (а так - самописная программа в паре с ПГП, подключение к их серверу (совсем не стороннего УЦ) по ssl), но это дополнительная платная опция, а так - пользуй их прогу с ПГП. Так что вот она, как бы практика... Вы хотите сказать, что это нелегитимно?
        • 0
          Если следовать логике закона "Об ЭЦП", то нет. Цитирую:
          1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
          * сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
          * подтверждена подлинность электронной цифровой подписи в электронном документе;
          * электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.


          Таким образом, если у Вас нет сертификата открытого ключа (а его нужно предоставлять второй стороне правоотношений с применением ЭЦП), то нет, ни фига это не легитимная ЭЦП.
          • 0
            Простите за занудство, но все эти операции выполнены - есть бумага с печатями и подписями, где приведена последовательность байт ключей. С этой стороны все нормально, все честно. Я просто о чем говорю: обмен данными идет с самим банком, без сторонних УЦ. Деталей не знаю, но, подозреваю, что это не возбраняется. Я говорю о том, что используется PGP, а она, насколько мне известно, не сертифицирована ФСБ. Только поэтому и получается, что такая ЭЦП не легитимна...
            • 0
              Вообще, банк мог сертифицировать PGP, но PGP - не алгоритм, это программа, использующая RSA и прочие алгоритмы; там их целый букет :)

              То есть, если банк это сертифицировал, то не вопрос, Ваша программа легитимна вместе с ЭЦП.
              • 0
                Минутку. RSA сертифицирован у ФСБ? Хотя стоп. Сертифицируют-то не алгоритм, а программную реализацию. Иначе вообще никаких препятствий для ЭЦП в России - берем любой из сертифицированных алгоритмов и пишем свою программу. Всё. Не думаю, что банк самостоятельно решил сертифицировать используемую им программу, бодаться с фсб и платить им деньги. Кстати, ихая программа - бесплатна для клиентов, никаких абонементных взносов и единовременных платежей (почему и выбран был именно этот банк).
      • 0
        Надо разграничить понятия. ЭЦП, это то что отвечает техническим и юридическим требованиям, все остальное иные аналоги собственноручной подписи.
        Отношения банк-банк и банк-ЦБ отличаются от банк-клиент. Первые в значительно большей степени формализованы. Для первых установлено обязательное использование только ЭЦП в как подпись в электронном документообороте (ЭДО) подзаконными актами. Для вторых нет.
        Вы приводите пример, что использование не ЭЦП для подтверждение платежного поручения клиент-банк неправомерно. Вы не правы, посмотрите п.2 ст.160 ГК РФ. Тривиальный пример, онлайн-банкинг: а) банк за вас ЭЦП получить не может, вы доверенность не даете; б) у банка есть право использовать иные аналоги собственноручной подписи по соглашению с клиентом; в) банку дешевле и удобнее использовать свою систему подтверждения, без сертификации себя в качестве УЦ; г) у банка нет цели выдать вам универсальный инструмент, ему нужно только подтверждение для себя, что Вы это Вы.
        Например, около года назад в ВТБ24 просто давали логин/пароль для доступу к сервису онлайн-банкинга (Visa Electron). В Урсабанк пароль и сертификат, но насколько я его видел, он нисколько не отвечает требованиям к ЭЦП. Я думаю, аналогично и в других банках.
        То что были к иски к магазином принимающие платежи через электронные платежные системы я не сомневаюсь. Не знаю, как точно определить оплату картой, как «конклюдентные действия», либо «аналог собственноручной подписи» не знаю, надо смотреть теорию. Но это и не наш вопрос. Но уверен, что суды принимали платежный документ в качестве подтверждения того, что именно это лицо заплатило.
        И немного истории, закон об ЭЦП появился в 2002 году, а первый НПА ЦБ РФ о ЭЦП еще в начале 90-х. Банки уже давно используют ЭДО, и соответственно ЭЦП (на тот момент), для подтверждения подлинности и силы документа.
    • 0
      Могу Вас заверить, в банка на 100% там используют именно ЭЦП, например в связке коммерческий банк - Банк России, это железно ЭЦП, со Сбербанком такая история. И все прописано юридически
      • 0
        Так использовать ЭЦП много ума не надо, это на самом деле это не сложный алгоритм, вся проблема в хр'еновой бюрократии, которую у нас вокруг всего этого развели.
        • 0
          Какая проблема с бюрократией и ЭЦП у Вас, Вам нужна ЭЦП и вы не можете её получить или вы собрались создавать УЦ?
    • 0
      Она не востребована, потому что ей просто невозможно пользоваться, даже если сильно захочешь, а все эти концепции - разговоры людей, которые не знают, даже как компьютер включить.

      Вот когда они смекнут, как на этом можно бабки сделать - тогда и будет у нас цифровая подпись :)
      Я так понимаю, что ключевое слово здесь "подпись", а какая она там цифровая или фламастерная, не важно. Важно, чтобы она принималась в суде как доказательство.
      • 0
        Некоторое время назад я интересовался системами ЭДО и нашёл их не так мало. Во многих их них интегрированы ЭЦП. Проблем с установкой как я понимаю нет.

        С судами своя история, еще должно пройти некоторое время, чтобы ряд судей сменился, а ряд осознал такие изменения. Иногда бывают тяжелые случаи, а есть и вполне адекватные и здравомыслящие судьи.
  • 0
    Да, между прочим душещипательная тема для нашей страны. Именно бюрократия и непонимание потребностей тормозит развитие этой технологии в наше время. А жаль - столько смелых идей можно воплотить с персональными сертификатами, но приходится сталкиваться с ужасом непонимания - "а зачем всё это?".
    • 0
      А действительно зачем? Я понимаю, что такое зашифрованный канал, понимаю зачем получают хеш-ключи (проверка на целостность данных, помогает в разные протоколах обмена и прочем), но вот электронная подпись... Интересно узнать, что же такое можно с помощью неё получить. Расскажи о смелых и интересных идеях.
      • 0
        Да тот же сертификат при доступе к банк-клиенту. Даже подписывая распечатку заявления на генерацию сертификата - где тут юриспруденция?

        Спросите у военных - про смелые идеи)
      • 0
        Поясняю. Я в ж... в провинции. Мой потенциальный поставщик - в столице. Хочется у него что-то купить. А просто предоплату загонять страшно - а вдруг кинут? Сначала надо договор. Но это - почтой. Они высылают подписанный ими договор, пока он дойдет до меня... В принципе, когда дошел - уже так-то можно деньги загонять.. Но по сути надо сначала подписанный мною экземпляр им переслать, и только после этого уже не страшно (относительно конечно, если что - по крайней мере есть все основания в суд идти) деньги проплачивать. А договора эти идут почтой, все это не быстро, на почте очереди, чтобы заказным с уведомлением отправить... Вот бы тут ЭЦП! Или вот еще - груз отправлен, пришел ко мне. Я должен расписаться и проштамповать их экземпляры накладных, что, дескать, груз действительно получил. И эти бумажки - снова на почту, отставивай очередь, плати деньги за заказное с уведомлением, и так после каждой поставке... Вот бы ЭЦП!
  • 0
    Как-то зашел в одну знакомую кантору, слышу телефонный разговор: "…да, хорошо, сейчас отправим Вам документ с электронной подписью…".
    Я удивился, думаю, вроде никакого ПО у них для этого не видел.
    Оказалось, это обычный документ Word со вставленными в конце сканами печати и подписи!!!!)))
    В договорах между конторами у них прописана цифровая подпись при передаче документов в электронном виде и вот как она реализована… Я им конечно сказал про подпись, но им пофиг.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Ага, а еще документы в цифровом виде только использовать. Но на всякий случай 10 печатных копий.
        • 0
          Ну так в штатах сейчас с этим проблема, ведь на все нужно хранить бумажную копию :)
    • 0
      Обычно в договоре просто оговаривают, что факсимильные копии документов имеют силу наравне с оригиналами при условии последующего обязательного обмена оригиналами. А факс распечатает документ, или принтер - суть не меняет... Короче, рынок требует полноценной ЭЦП...
  • 0
    скб контур?)
    • 0
      Я думаю, Калуга Астрал
    • 0
      Такском :) Сначала DiPost с его мегашифрованием, потом КриптоПро :)
  • 0
    Думаю здесь немалую роль играют наши университеты. Помоему банковских служащих и налоговых инспекторов не учат протоколам передачи данных. Ворд и Эксель, в лучшем случае - 1С. Все приучают делать классически, в бумажном виде.
    • 0
      А им оно надо ваще? какие нахрен протоколы для банковских служащих?!
      А давайте-ка им криптографию преподовать пусть офигеют.
      Компания должна предоставить софт, который напишут толковые люди, чтобы рядовые служащие могли с помощью легкого интерфейса проводть нужные операции.
      И ВУЗы тут не причем. Задача ВУЗа научить всех этих будующих служащих легко пользоваться ПК.
      • 0
        И ВУЗы тут не причем. Задача ВУЗа научить всех этих будующих служащих легко пользоваться ПК.
        Для этого достаточно месячных курсов. Всё-таки ВУЗ должен давать слегка более обширную подготовку...
      • 0
        В задачи ВУЗа вообще не входит обучение компьютеру. Нам всем, будующий президент Путин говорил, что это задача средних школ. Для этого их и компьтеризировали.
      • 0
        ВУЗ. Высшее учебное заведение. Оно делает из вас специалиста, который пишет обширный проект(может и научный) в завершение обучения. Какой тут ПК, вы бы еще сказали, что бухгалтера в Вузе должны обучать различать дебет и кредит. Максимум в колледжах.
        • 0
          Смысл поста не в этом был блин >< пропусти слово,а люди не прочитавший комент на который был ответ нетуда ваще полезли.
          Смысл такой: Задача ВУЗа "максимум" научить всех этих будующих служащих легко пользоваться ПК.
          А пост был про то что не должен ВУЗ учить бухгалтера протоколам шифрования.
          • 0
            Ну это да, но если по долго работы ему требуется ими пользоваться, то пользоваться их должны научить. Это же важный инструмент.
    • 0
      По вашему они должны учить генерировать цифровую подпись в уме чтоли? Для этого софт должен быть (может уже есть) с одной-двумя кнопками, а уж как эти кнопки нажимать пусть ВУЗ научит, хотя и детского сада должно хватить.
  • +1
    для желающих почитать о том, как действительно сдаётся отчётность, форум крупнейшего разработчика и спецоператора http://forum.kontur-extern.ru/
    секс с криптопро (самый популярный криптопровайдер в РФ) http://cryptopro.ru/cryptopro/services/forum.htm

    всё остальное, наверное, в паблик выносить не нужно ;-) особенно опыт реального общение с ФНС, ПФ и ФСБ
    с таким бардаком как в госструктурах, удивляюсь, как базы в инете до сих пор не выложены?

    и открою маленький секрет, шифровать и прятать налоговую отчётность, вообще не нужно! смысла в этом действии нет никакого... только ЭЦП для подтверждения подлинности и неотрекаемости...

    более того, во всех этих системах есть мааааленький, но существенный баг - это синхронизация времени, которого в РФ у нас нет. т.е. реально ответить на вопрос кто подписал документ можно, а ответить на вопрос когда это было сделано - нельзя, и в суде всё доказательство рассыпется в два счёта... (хотя есть система в которой этот баг обойдён ;-))
    • 0
      не шифруйте и не прячте отчетность газпрома или госкорпораций!
      а по времени все просто: есть квитанция СОС, выданная по московскому времени.
      • 0
        по времени часового пояса, того региона где стоит сервер СОС, при этом если клиент во Владике не успевает сдать отчётность, то может сдать через Калиниград ;-)
    • 0
      Как же близко к сердцу сказал. Эта вся фигня насчет времени.
      На самом деле столько уже приколов было по ходу моей работы, когда приходилось доказывать, что клиент вовремя отправлял НО... смех. А синхронизации при этом действительно не было. Но в налоговых такие же дубы дубами сидят и принимают за чистую монету.
      • 0
        Врать нехорошо. Каким бы жирным не был клиент.

        Проблема наверное в том, что и УЦ и спецоператор и техподдержка програмного обеспечения клиента — это одно лицо.
        • 0
          Мы не через спецоператора работаем.
          Кто сказал что я врал? Клиенты действительно отправляли вовремя, но дело то не в этом, а в том, что доказательство не имеет под собой ничего. Просто реально то, что указано в квитации отправки у клиента идет по времени на сервере налоговой. Но если что случись с их серваком в последний день отправки (в которой все бухгалтеры начинают чесаться), то единственное доказательство - время отправки по часам клиента в ПО. А оно может быть любым.
    • 0
      Многие налогоплательщики считают декларацию своей коммерческой тайной.

      Продвигая технологию Такскома в нашем регионе, мы как раз и хаяли Контур за то, что информация не закрывается на стороне клиента.
    • +2
      Конечно не нужно шифровать и прятать налоговую отчетность. Можно даже изготовить плакатик "Мой доход 40 тыщ в месяц" или "Моя компания имеет 3 милиона чистого дохода в месяц"
      Разве это может кого-то заинтересовать :)
  • 0
    Пора упразднять излишние цепочки из проверяющих. Система ЭЦП сама по себе хорошо защищена. Например, практика снятия госнадзора с gps дала сильный толчок развитию данного сегмента жизнедеятельности. Пора то же самое делать и с ЭЦП.
  • 0
    Ну главное что сдвинулось хоть как-то с мертвой точки.
    Спасибо, интересная статья.
  • 0
    А почему суммы приведены в долларах, а не в рублях? Неужели ФСБ — это филиал американского агенства?
  • 0
    Вопрос к автору: а зачем вам реализовывать свой алгоритм или применять открытый (например, RSA)???
    Чем вас не устраивает набор отечественных криптоалгоритмов?
    Насколько я знаю, сомнения в стойкости узлов замены ГОСТа, генерируемых ФСБ еще никем не подтвердились.
    Стойкость российской ЭЦП тоже пока не вызывает сомнения.
    Представьте себе задачку, стоявшую перед ФСБ. Вроде как все понятно, товарищ полковник, только вот хэш - это что, разновидность наркоты или какая математика заумная? Впрочем, прошу прощения за мою язвительность ;)
    Извините, но это бред чистой воды. Ваш юмор здесь совершенно неуместен. Если вам неизвестно, то я напомню, что до распада СССР криптографией в нашей стране занималось 8-е управление КГБ СССР, позднее (после распада СССР) выделенное в ФАПСИ. Вы можете утверждать, что 8-е управление КГБ СССР справлялось со своей работой недостаточно хорошо?
    Что до мотивов объединения ФСБ и ФАПСИ, то тут нет ничего нелогичного - это нужно в оперативных целях. Кстати, на самом деле ФАПСИ, строго говоря, поделили между ФСБ, СВР и ФСО, что, возможно, не совсем правильно, но пока еще рано объединять спецслужбы, чтобы не было повода говорить о заговоре "кровавой гебни"...
    Цитата:
    "В целях совершенствования государственного управления в области безопасности Российской Федерации, в соответствии со статьями 80 и 112 Конституции Российской Федерации и Федеральным конституционным законом от 17 декабря 1997 г. N 2-ФКЗ "О Правительстве Российской Федерации" ... Передать Федеральной службе безопасности Российской Федерации, Службе внешней разведки Российской Федерации и Службе специальной связи и информации при Федеральной службе охраны Российской Федерации функции упраздняемого Федерального агентства правительственной связи и информации при Президенте Российской Федерации. "
    Источник: "УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ О МЕРАХ ПО СОВЕРШЕНСТВОВАНИЮ ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ В ОБЛАСТИ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ от 11 марта 2003 года N 308"
    • 0
      Вопрос к автору: а зачем вам реализовывать свой алгоритм или применять открытый (например, RSA)???
      Чтобы не изобретать велосипед, однако.

      Чем вас не устраивает набор отечественных криптоалгоритмов?
      Не поддерживаются в распространённых криптобиблиотеках. GnuPG, OpenSSL, etc.

      Насколько я знаю, сомнения в стойкости узлов замены ГОСТа, генерируемых ФСБ еще никем не подтвердились.

      Ась?

      Тривиально доказывается, что у ГОСТа существуют «слабые» ключи и таблицы замен, но в стандарте не описываются критерии выбора и отсева «слабых». Также стандарт не специфицирует алгоритм генерации таблицы замен (S-блоков). С одной стороны, это может являться дополнительной секретной информацией (помимо ключа), а с другой, поднимает ряд проблем:

      * нельзя определить криптостойкость алгоритма, не зная заранее таблицы замен;
      * реализации алгоритма от различных производителей могут использовать разные таблицы замен и могут быть несовместимы между собой;
      * возможность преднамеренного предоставления слабых таблиц замен лицензирующими органами РФ, которые, ввиду ущербности государства, не отличаются честностью и добросовестностью;
      * потенциальная возможность (отсутствие запрета в стандарте) использования таблиц замены, в которых узлы не являются перестановками, что может привести к чрезвычайному снижению стойкости шифра.
      К сожалению всё вышеописанное - правда. Да, из ГОСТ можно сделать приличный алгоритм, но это ещё нужно делать. Готовых решений - мало, готовых решений с BSD-style license я не знаю вообще...

      Самое главное: это отсекает большинство поставщиков сходу, так как Российский рынок недостаточно велик для того, чтобы ради него кто-то что-то специальное делал. Даже Китай постоянно на это натыкается (вот примерчик), а у него возможностей влиять на производителей поболе будет...
      • 0
        Не поддерживаются в распространённых криптобиблиотеках. GnuPG, OpenSSL, etc.
        Ну это и не удивительно: написанные с упором на США они и поддерживают алгоритмы, применяемые в США. Проще дописать доп. модули в эти библиотеки, чем писать что-то своё с нуля. То, что ФСБ не дает использовать RSA, в принципе, вполне логично, поскольку если АНБ взломает этот алгоритм и прочитает вашу личную переписку - это будет ваша личная проблема, но если кто угодно будет следить за трафиком налоговой, то это как никак угроза нац. безопасности.
        Тривиально доказывается, что у ГОСТа существуют «слабые» ключи и таблицы замен, но в стандарте не описываются критерии выбора и отсева «слабых».
        Это естественно, ибо дифференциальный и линейный КА были изобретены после опубликования стандарта. Проведите сами исследование на стойкость выданного вам узла замен...
      • 0
        Кстати, один из ГОСТ алгоритмов (GOST-3410-2001) поддерживается в отличной Java/С# библиотеке BouncyCastle - использовал ее после длительных и безуспешных сношений с КриптоПро в одном из проектов.
  • 0
    > Практика: слишком мало у нас в ФСБ специалистов по нормальному криптоанализу

    Откуда информация? :)
    • 0
      оттуда ;-)
      в работе СОС необходимо вести поэкземплярный учёт СКЗИ, а что в этом случае СКЗИ? ПО? - его можно скачать из инета... бумажка с лицензией на ПО? - ПО легитимно месяц без бумажки работает... носитель с ЭЦП? - это не СКЗИ
      по смыслу проверяющих г-д из ФСБ - СКЗИ - это что-то в стиле энигмы, большое и металлическое ;-) и его надо учитывать...
      может в МСК и есть таланты, но в регионах их точно нет
  • 0
    Я не стал бы использовать проприетарную программу с закрытыми исходниками в такой критической области как криптография, пусть она хоть десять раз сертифицирована ФСБ (если это вообще можно считать за плюс). Нужны открытые стандарты, а не сто чиновников с протянутой лапой.
    • 0
      Интересно, кто тогда будет нести ответственность за юридические косяки, которые могут лихо натянуть из-за подделок подписи в каком-нибудь серьезном деле. ФСБ как раз за такие сумасшедшие деньги и берет ответственность. И в госмасштабах цена отнюдь не завышена. Юридическая сила, однако.. ;)
      • 0
        "ФСБ как раз за такие сумасшедшие деньги и берет ответственность."
        Как интересно. А если мою подпись подделают, то я, значит, могу с ФСБ требовать возмещения ущерба? А куда мне для этого следует обратиться?
        • 0
          С чего вдруг из сертификации продукта должна вытекать материальная ответственность перед конкретным пользователем? Обращаться, по видимому, придется к криптопровайдеру. Сертификация в данном случае аналогична статусу президента РФ - "гарант Конституции". Я не знаю, к каким последствиям могут привести случаи несоответствия сертифицированного продукта необходимым требованиям, но думаю, что к более серьезным, нежели это был бы продукт с открытыми исходниками ;)
          • 0
            А какую же ответственность "берет на себя" ФСБ, в таком случае? В законе, насколько я помню, что-то прописано про ответственность, которую несут производители несертифицированных криптосредств, а вот про сертифицированные там ничего нет.
            • 0
              По моему, это очевидные вещи. Когда вы ставите свою подпись под юридически оформленным договором, то права и обязанности каждой из сторон четко регулируются и защищаются законодательством. ФСБ является у нас органом исполнительной власти, в чьих задачах есть и сертификация продуктов, коим в будущем будут доверять вся государственная система. И судебная в том числе. Вопрос сертификации любых продуктов в государственных масштабах - задача крайне тяжелая и нудная. Назначаются комиссии, которые досконально перечитают всю сопровождающую документацию, проводятся госиспытания, тестирования, да черти что там еще может быть. Так что суммы вполне реальные
              • 0
                Это вы о чем-то другом сейчас говорите, а не об ответственности, которую так самоотверженно "берет на себя ФСБ".
                • 0
                  Ну почему же, они несут ответственность за свою работу, частенько даже и уголовную, если дело касается секретных доков. И каждый из нас несет ответственность за ту работу, которую делает ;)
                  • 0
                    Это они перед начальством и государством ее несут. А перед пользователями отвечают только своей репутацией, которую им и так давно стоит срочно потерять.
              • 0
                Я подчеркиваю (и поправил статью), что деньги перечисляются не ФСБ. Вы что, всерьез думаете, что это будет единоразовый платеж с пометкой "за процедуру сертификации алгоритма RSA"?

                Это сумма, часть из которой пойдет на взятки. Что-то и правда пойдет на официальные пошлины (примерно 1-2% от суммы), все остальное - сами-знаете-куда.

                Опять же, суммы были актуальны в 2003 году. Сейчас может быть дешевле/дороже, не могу точно сказать.
            • 0
              Ответственность по сбору денег
      • 0
        Вы это серьезно?
  • 0
    Если честно, я вообще удивлен, что закон об ЭЦП хоть как-то работает, без подзаконных актов, как писал автор, в голом виде. В Российском законодателестве много примеров когда закон о чем-то есть, но не работает. Вот например, более года назад вышли поправки в федеральный закон о связи, которые должны были значительно упростить процедуру ввода в эксплуатацию сетей (сооружений) связи. Вступили в силу эти поправки через год после выхода и официально действуют уже около 5 месяцев. Фактически, без подзаконных актов, ни кто не знает как применять новые нормы законодательства. Вот и получилось, что старые правила ввода сетей связи в эксплуатацию в явном виде не отменены, хоть и противоречат действующему законодательству, и по ним продолжают работать. Очень странно, что еще не было создано судебных прицидентов, но предпосылки уже были.
  • 0
    Я надеюсь вы читали это http://mikhailmasl.livejournal.com/4852.…
    Прочитав вы поймёте отчасти почему ЭЦП в таком состоянии сейчас и где специалисты КГБ/ФСБ.
  • 0
    Статья познавательна и хорошо написана, но прочитав её, я так и не понял какую мысль она несёт читателю? Что в России всё плохо с ЭЦП? Или что очень трудно разрабатывать программы для работы с ЭЦП? Или что бюрократия сплошная? Честно, выглядит как набор банальных фактов, было бы более интересно узнать как автор предлагает использовать ЭЦП еще, кроме налоговой отчетности и работы с банками. Провести некий анализ, тенденции выявить, тогда было бы гораздо интереснее.
    • 0
      А я бы сказал, что гораздо важнее создавать инфраструктуру. Это то, чем государство и должно заниматься. Вы сделайте дороги, а мы придумаем что по ним возить, грубо говоря.

      А так получается: "вы скажите что вы хотите возить, напишите нам бизнес план и т.д., а мы подумаем построить ли вам дорогу. А пока и пешком походите, не переломитесь."
      - Переломимся; мы то уже совсем не те, что были 10 лет назад, можем и страну сменить, а как построите дороги - вернемся.
  • 0
    а еще не понятно как эту криптоПро подружить с линуксом, уже даже 1С там можно запускать, а вот как там криптопро поставить - непонятно (не говоря уже о том что местный оператор сдачи налоговой отчетности через интернет признает только IE).
    • 0
      CryptoPro работает под линуксом. Есть даже TLS который позволяет сделать сертифициронный ВПН маршрутизатор :) Линукс для этого должен сертифициронным тоже, разумеется.
  • +1
    Многоуважаемый maniaque! Продолжайте! С нетерпением жду новых статей вроде "Особенности национальной криптографии"! Очень, очень бы хотелось еще почитать в Вашем изложении сравнение "Теории" и "Практики". Потому как в теории многие знакомы, а вот с практикой - очень хочется леденящих душу подробностей.
  • 0
    спасибо, полезная инфа. сами используем CryptoPro для сетевого доступа.
  • 0
    Скажите, а если стоит вопрос разработки чего-то типа платёжной системы, интегрированной с банком, то как обстоят дела с шифрованием, ЭЦП и лицензиями?

    В банковских системах типа Клиент-Банк, я часто наблюдаю использование систем типа КриптоПро. Значит банки покупают продукт и лицензии на использование.

    А в платёжных системах, как мне чудится, применяется только обычный SSL и ничего более. Или всё же во внутренностях системы каждая транзакция должна подписываеться каким-то лицензированным ЭЦП?
  • 0
    Интересная статья. Полагаю, проблематика применения ЭЦП ограничивается не только юридическими вопросами, но и техническими. В ближайшее время мне, например, светит разработка проекта (электронные аукционы) с применением ЭЦП (крипто про) на php, отсюда дрожь в коленках - совершенно не представляю себе, каким образом буду воплощать это в коде. Было бы интересно узнать, насколько широко освещен этот вопрос на просторах российского сегмента сети...
    • 0
      Про коленки это у вас правильный настрой. Когда закончите проект не только коленки будут труситься.
  • 0
    Спасибо, познавательно. С криптографией сталкивался довольно тесно, хотя вопросы вроде сертификации решать не приходилось. Буду знать.
  • 0
    Спасибо за интересную статью и тему для обсуждения. Есть еще одна проблема в применение ЭЦП, насколько я знаю - отсутствие судебной практики. Недостаточно прецедентов, ориентируясь на которые можно было бы сказать: "Да, ЭЦП работает".

    Например, я работаю в компании, которая хотела бы использоваться ЭПЦ для совершения клиентский операций, чтобы клиент не оригинал бумажного документа нам почтой отправлял, а один раз озаботившись получением сертификата, в течение года все документы предоставлял нам в электронном виде. Наши юристы протестуют против этого, говорят, что если клиент оспорит какой-либо документ, подписанный электронным способом, в суде возникнут проблемы, если не будет бумажного документа с подписью клиента.

    Юристы предлагают дублировать все электронные документы, бумажными оригиналами, т. е. ЭЦП используется только для ускорения обслуживания клиента и смысл ее теряется.
  • 0
    будут прямые руки, будет и КриптоПро работать) И все-все-все к нему прилагающееся =)
    • 0
      Уважаю и завидую оптимистам
  • 0
    Немного поварился в этой каше, когда мы были субподрячиками у одного ФГУП. Там все действительно весело.
  • 0
    Я занимаюсь внедрением Такскомовской технологии в нашем регионе с 2004 года. Проблема скорее в человеках, чем в ФСБ и лицензиях. ))

    + запускаем Пенсионный фонд, а после - статистику. Так что, все нормально. ) Да и КриптоПро я доволен (после Факторовской криптографии).
    • 0
      Мы на основе такскомовской еще факторовской технологии отчетность в статистику в 2005 году запустили в своём регионе. Показывали Такскому вместе с другими разработками. Такском очень неповоротлив в этом плане. Не было у них конкуренции в Москве с Контуром и другими как стимула к развитию. Долго на КриптоПро переходил, от кроссертификации с нашим УЦ отказался. Мы с ними попрощались год назад.
      • 0
        Неповоротлив, да. ОЧЕНЬ. ))
  • 0
    А вот у меня вопрос про «Аналог собственноручной подписи» и бумажный документооборот: рассматривали ли Вы возможности отказа от хранения в бухгалтерии всех первичных документов (накладных, счетов, договоров, заказов и прочего) за счёт хранения всего этого в электронном виде?

    Возможно ли это в РФ? Кто, чем, когда и что именно должен электронно подписывать? И как это налоговая проверять будет?

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.