Автор: chomper 
Здесь спрашивали про анализ нового законопроекта. Привожу свои соображения по итогам анализа:
- подпись должна содержать штамп времени, т.е. УЦ должен предоставлять службу штампов времени;
- формат квалифицированного сертификата утверждается Минсвязью (по согласованию с ФСБ);
- требования к УЦ устанавливает Минсвязь (по согласованию с ФСБ);
- квалифицированный сертификат ЮЛ ограничивается полномочиями ФЛ, указанного в сертификате;
- регламент УЦ, разработанный самим УЦ, применяется только для не аккредитованных УЦ. Регламент аккредитованных УЦ утверждается Минсвязью;
- для сертификатов ЮЛ в названии владельца указывается наименование ЮЛ, а также обязательно ФЛ, действующее от имени ЮЛ
- вводится ответственность по ГК и АК за невыполнение требований правильного хранения документов, непредоставления информации о выданных сертах и неактуальность списков отзыва
- чистые активы поднимаются с 1 до 10 млн, обеспечение с 1.5 до 50 млн
- вводятся плановые проверки УЦ раз в год
- убирается понятие "ограничений" в квалиф серте, вместо него вводится понятие "полномочий ФЛ", которое может носить только ограничительных характер по желанию ЮЛ. Квалифицированный сертификат без указания полномочий обладает максимальными правами;
- запрет на требование дополнительных OID'ов для работы в любых информационных системах;
- при отсутствии СНИЛС указывается другой идентификатор.
А я прочитав законопроект пришёл к следующим мыслям.
не считая некоторых устранений шероховатостей, они ничего нового не несут.
1. добавка в виде «дополнить словами "и может применяться в любых правоотношениях,"; не приведёт к исчезновению «бус на шее» в виде нескольких сертификатов на одного и того же субъекта. А такая цель вроде как ставилась. Поскольку добавленные слова не запрещают требовать от пользователя на принимающей стороне специфических атрибутов в составе сертификата, например, тот же Росреестр так и будет требовать от пользователя наличия своих OID.
2. Причем другая поправка в виде «"21. Операторы государственных и муниципальных информационных систем, а также информационных систем, использование которых предусмотрено нормативными правовыми актами, или информационных систем общего пользования не вправе требовать наличия в квалифицированном сертификате информации, ограничивающей его применение в иных информационных системах."; ровным счетом ничего практического не означает, поскольку и сейчас все выдуманные прикладными ИС частные атрибуты вставлялись в полиси без флага критикал, что и означает по стандарту право иной принимающей стороне их не обрабатывать. Т.е. по факту и по стандарту на сейчас не было ни каких ограничивающих атрибутов. Вся проблема была в том, что прикладной ИС именно не запрещалось требовать в составе сертификата наличие именно «своего» атрибута, и эта проблема осталась. Мечталось и практика применения это явно продемонстрировала, что требуется жестко специфицировать профиль квалифицрованного сертификата, чтобы ни одна ИС не могла требовать от пользователя в сертификат вписать что либо уникальное, т.с. разрушая единое пространство обращения ЭЦП и навязывая УЦ не предусмотренную законом лишнюю работу по подтверждению права вписать конкретные дополнительные атрибуты в сертификат. Этого можно было добиться, если бы удалили из Статьи 17 п.2/8 («8) иная информация о владельце квалифицированного сертификата (по требованию заявителя).» Этот пункт исходно лукавый, сам заявитель ничего не требует, требуют вносить дополнительные атрибуты в сертификат именно прикладные ИС фактически занимаясь узаконенным шантажом: не будет нужного атрибута – не буду обслуживать. А зачастую такое обслуживание является либо госуслугой, либо монополией – яркий пример, Росреестр. Вспоминая обычный бумажный паспорт (по сути сертификат и есть его электронное отображение) ведь ни кто даже подумать не может, чтоб получатель паспорта попросил ФМС нарисовать на какой нить страничке цветочек или написать какие ни будь слова не относящиеся к назначению паспорта.
3. Следующая правка: «3) наличие средств электронной подписи, имеющих действующее подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, а также средств удостоверяющего центра, позволяющих по обращению участника электронного взаимодействия устанавливать и подтверждать действительность квалифицированного сертификата на момент подписания электронной подписью электронного документа и имеющих действующее подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;"; Что ей хотели сказать? Это что попытка узаконить OCSP? А откуда УЦ знает что запрошенный квиток соответствует времени «моменту подписания», а не другого времени? Например, в Эстонии УЦ SK выдает квитки OCSP на момент проверки ЭЦП.
Подводя итог, разочарован, если эти правки принять, то:
1. Так и не будет построено единого пространства обращения ЭЦП, каждая ИС будет продолжать требовать специфические ей только нужные дополнительные атрибуты.
2. Нет подвижек в сторону доверенных сервисов, таких как DVCS, AA, TSA…
3. Так и будет оставаться дыра в сертификатах юрлица когда сертификат выдается на год, а полномочия указанного в него владельца можно запросто поменять в течении 5 дней, причем актуализация этих полномочий возложена на самого владельца за частую заинтересованного лица.
4. Нет упрощения процедуры использования сервисных сертификатов для веб-служб юрлица как это сделано в бумажках ЕС.
5. Не устранена принципиальная техническая ошибка, а именно, говорить о неотрекаемости от подписи можно только тогда, когда обеспечено единоличное использование закрытым ключом. Между прочим, в бумажном мире, тоже ни кто не подделывает чужие подписи, а ставить свою и рядом доверенность.
Ну и так далее ….
Единственное, что положительное увидел, так это то, что наконец догадались до простой истины, чтобы обеспечить всеобщую совместимость средств подписи разных вендоров, надо сначала официально родить единый, всеми принимаемый стандарт на представление (формат) электронной подписи.
В качестве некоторой крамольной идеи: если взять во внимание тот факт, что ФМС стремиться выпустить ID-card с сертификатом в перспективе для всех физлиц, то не разумнее ли PKI инфраструктуру строить именно на ней, а свойства сертификата юрлица получить через связку сертификат физлица + тикет полномочий, как это планируют сделать в Беларуси. Положительный эффект от реализации такого подхода будет огромный как экономический и как процедурный, а половину текста 63-ФЗ можно будет просто выкинуть.
Отредактировано пользователем 10 декабря 2014 г. 13:59:46(UTC)
| Причина: Не указана
