| 12.01.2006 14:19:36 | Законность использования RSA | | Ответов: 6 |
|
 Василий | | |
|
Насколько я понимаю, сейчас многие используют не-ГОСТ алгоритмы при защите данных.
На данный момент, в каких случаях возникает противоречие с законодательством при использовании не-ГОСТ CSP (RSA)? В каких случаях допустимо использовать RSA (например, по специальному соглашению между участниками обмена и т.д.)? |
| |
Ответы:
|
| 12.01.2006 15:38:51 | Kirill Sobolev |
|
Закон об ЭЦП ст.5
2.При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации.
3.Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается.
|
|
| 12.01.2006 16:38:17 | Василий |
|
| т.е. для корпоративной системы (негосударственных учреждений) использовать RSA можно? |
|
| 13.01.2006 10:12:46 | Василий |
|
Давайте рассмотрим, для чего вообще применяется ЭЦП:
1) Подтверждение авторства (никто, кроме обладателя секретного ключа, не сможет подписать)
2) Подтверждение целостности (любое изменение документа с подписью приведёт к недействительности ЭЦП).
Пока нет конфликтов (одни подписывают, другие проверяют и считают подписи действительными) - всё хорошо. Но, представим себе, что конфликт возникает - либо человек отказывается от авторства документа с подписью, либо возникают сомнения в действительности ЭЦП. Разбор конфликтов возможен: а) внутри организации б) с привлечением внешних специалистов в) в судебном порядке. И тут уже, если средство ЭЦП не сертифицировано - это аргумент против организатора системы и в пользу человека, осуществляющего мошенничество. Пример: человек подписывает документ на перевод денежных средств со своего счёта, деньги уходят, а потом человек подаёт в суд и говорит, что ничего не знает об этом документе и требует вернуть деньги. Тогда факт использования несертифицированного СКЗИ теоретически может привести к признанию недействительности ЭЦП и к отмене операции.
Аналогично для шифрования - человек, зашифровавший документ, может требовать компенсации за якобы имевший место факт утечки информации, утверждая, что несертифицированная реализация алгоритма шифрования недостаточно надёжна. |
|
| 13.01.2006 10:39:13 | Василий |
|
| Приведенный Вами пример с переводом денег относится как раз к системам общего пользования, где, согласно закону об ЭЦП, использование несертифицироыванных средств запрещено. Вопрос касался именно корпоративных сетей, в частности B2B. В случае, если две организации подписывают соглашение, в котором признают использование RSA как средства для неотрекаемости и проверки целостности при электронном документообороте, то, как я понимаю, разбор конфликтов в судебном порядке возможен? |
|
| 13.01.2006 11:23:45 | Василий |
|
Не могу Вам ответить, т.к. я не юрист.
С чисто практической точки зрения, RSA (сами криптоалгоритмы и их реализация в виде CSP) потенциально более уязвимы просто потому, что они более распространены в мире (т.е. их больше ломают). |
|
|
| Для корпоративной (негосударственной) ИС использовать не-ГОСТ алгоритмы возможно, но оперировать термином - аналог собственноручной подписи (АСП). Ст.75 Арбитражного процессуального кодекса РФ - "3. Документы, полученные посредством факсимильной, электронной или иной связи, а также документы, подписанные электронной цифровой подписью или иным аналогом собственноручной подписи, допускаются в качестве письменных доказательств в случаях и в порядке, которые установлены федеральным законом, иным нормативным правовым актом или договором". Участникам ИС остается договориться об использовании этих алгоритмов в системе (они должны осозновать, что готовы, подписывать и шифровать документы, циркулирующие в этой ИС с использованием данных алгоритмов с учетом сказанного в предыдущем ответе), а также согласовать и утвердить условия равнозначности АСП собственноручной подписи (в ФЗ Об ЭЦП, например, это определено - Статья 4) и порядок подтверждения подлинности АСП в случае возникновения конфликтной ситуации. |
|
