Уважаемый Aborigen прежде чем с вами согласиться или нет. Надо бы понять, а что собственно хочет (добивается, о чём мечтает ….) сам МКС. Итак что мы имеем:
1. Пожалуй самое фундаментальное отличие 63-ФЗ от 1-ФЗ (в том виде в котором он был подкреплён НПА на момент его отмены), это то, что появилась квалифицированная подпись, которая по своей идеи должна быть одной и приниматься везде. Вопрос: УЦ готовы согласиться с тем, что субъекту достаточно иметь единственный сертификат для удовлетворения своих нужд? Если – да, то совершенно очевидно рынок УЦ сильно слохлопнится до уровня 2-3 миллионов сертификатов. Если – нет, то 63-ФЗ просто превращается в 1-ФЗ, что выгодно УЦ (сохраняется рынок и тут уже не важно практически нужна или нет продукция этого рынка), но не выгодно пользователям – зачем иметь «бусы на шее» из сертификатов, поскольку, вспоминая всё ту же бумагу, подпись моя везде одинаковая по начертанию на всех документах без разницы каких именно и какого назначения. Теперь задумаемся, а нужно ли это МКС? Судя по правкам, которые они мусолили 2 года – нет не нужно, сделано несколько реверансов в сторону единой подписи, но и только, оставшиеся (не изменённые) нормы 63-ФЗ не дадут создать единое пространство обращения квалифицированных сертификатов/подписей в РФ.
2. Следующее, у нас по 63-ФЗ появился сертификат юрлица, я много где писал, что эта сущность, в том виде как обозначена – фикция, причин много: нет прямого аналога в бумаге и следом будет параллельное законодательство с электричеством что повлечет к массе проблем, не решена задача с актуализацией полномочий (сертификат выдается на год, полномочия могут сменится за 5 рабочих дней), напрочь убивается институт доверенностей в ЭД и т.д. Нужен другой подход. Каково отношение к этому МКС – ни какое, их всё устраивает.
3. Ключевая ошибка 63-ФЗ, вызванная непониманием криптографии, декларировать неотказуемость и авторство ЭЦП можно только при условии единоличного владения закрытом ключом. МКС тоже все это устраивает, оно даже не идет на условия «смягчения» последствий, хоть бы прописали требования к средствам ЭЦП про неизвлекаемость закрытого ключа из девайса (как в ЕС, да и по стандарту FIPS 140-2 начиная от Level 3 и выше), и тут тоже нет.
4. Уж коль наконец МКС прочитало 63-ФЗ и решило отказаться от кроссов (кстати ими же самими и выдуманными поперёк исходного текста закона), то пора бы подумать, что доступная техника дошла до того уровня, что даже формально в соответствии с сертификатами ФСБ средство подписи может работать с закрытыми ключами в течении 3 лет, значит и всё дерево иерархии что выше ЕЕ-сертификата тоже должно иметь более продолжительные сроки действия. Что в этом плане сделано? Ничего.
Тут много еще что можно писать, но все эти вопросы более архитектурные, которые надо исправлять и над которыми надо работать, но что то желающих поработать не сильно видно.
Итак, что мы имеем внизу. Имеем более 340 УЦ которые в меру своего понимания пытаются что то делать, выпускать сертификаты, причем зачастую чрезвычайно кривые, как и по структуре так и по ASN.1 представлению. Мы лично были на протяжении последних двух лет втянуты в процессы, когда ИС обслуживающая всю страну и (по идее) обязанная принимать все квалифицированные сертификаты от всех аккредитованных УЦ отбраковывала некоторые по формальным признакам несоответствия международным стандартам, причем владельцы этих сертификатов оказывались люди весьма высокого ранга. Не работает это единое и причем большое (340 УЦ трудятся на ниве) всё на сейчас.
Какой выход, самый простой, правдами и неправдами создавать «удельные княжества», таким путем пошли и ФНС и ПФР и Казначейство ….
А как же 63-ФЗ? Правил и требований единых нет, написать их либо не хотят, либо не могут? Спрашивать у экспертов тоже не хотят, живой пример, экспертный совет по ЭЦП при МКС собирался один единственный раз в ноябре или декабре прошлого года и всё. Вот и приходится сокращать число игроков, причем самым незамысловатым образом – ввести ценовой ценз. Да, это не современно, не гуманно, но иного придумать просто невозможно, чтоб придумать иное надо МКСу быть технарями (а не только юристами) и править фундаментально 63-ФЗ, писать требования, т.е. определять архитектуру и правила игры на рынке, причем такие, чтобы рынок работал на конечную задачу, а не занимался валовой осертификацией населения, по принципу – чем больше сертификатов, тем лучше.
Закругляюсь, МКС в нынешнем своём состоянии могло придумать только те правки которые придумало.
