Уважаемые специалисты!

Просмотрел вроде бы все темы, которые есть в разделе "Общие вопросы", и не нашел интересующей меня информации, поэтому решил обратиться к знатокам ЭДО.

Если использовать ЭЦП для организации обмена электронными документами между разными хояйствующими субъектами, то возникает несколько вопросов, а именно:

1. Как следует из федерального закона "Об ЭЦП", для юридической значимости электронного документа мало корректности самой ЭЦП (положительный результат проверки, сертификат действующий). Нужно, чтобы правовые отношения, к которым относится ЭД, соответствовали сведениям об отношениях, которые указаны для соответствующего СКП. Есть ли какие-то рекомендации относительно определения сведений об этих отношениях (то, что в КриптоПРО зовется областью использования сертификата и заносится в атрибут ExtendedKeyUsage СКП)?
Кстати, почему по формированию идентификатора области использования СПК дается ссылка на RFC 1098 (см. ЖТЯИ.00035-01 90 13, разделы 1 и 3)? Описание структуры и идентификации информации управления рассматривается в RFC 1155 (бывший RFC 1065); полдня искал, чтобы разобраться.

2. Каким образом с использованием средств КриптоПРО (в т.ч. через API) можно контролировать область использования сертификата? Или предлагается контролировать ее "глазками"?

3. Если скачать корневые сертификаты УЦ КриптоПРО, то можно увидеть в ряде полей (Алгоритм подписи, Открытый ключ) идентификаторы объектов, которые начинаются с 1.2.643.2.2. Вместе с тем, в соответствии с RFC 1155 для корня iso(1) допускается только ветка org(3), т.е. 1.3.х.х.х. С чем связано расхождение со стандартом и что оно означает? Если это не расхождение, то в соответствии с каким стандартом эти идентификаторы сформированы?

4. В теме "Как обеспечить юридическую силу ЭЦП в электронном документе?" к сжалению ничего не сказано про то, что всем лицам, участвующим в ЭДО, должны быть выданы доверенности, уполномачивающие их на подписание соответствующих документов (как в бумажном, так и в электронном виде). Можно более подробно раскрыть этот вопрос?

С уважением,
Владимир Андреев.

Здравствуйте, Юрий!


Понятно. А можете дать ссылку на документацию по EKU и CertificatePolicies?


Ознакомился.

В этих RFC речь идет об использовании алгоритмов GOST для формирования ЭЦП. У меня же вопрос был про то, каким документом регулируется построение идентификатора объекта (OBJECT IDENTIFIER) по схеме: iso(1) member-body(2) ru(643) и т.д? Где описываются правила построения этих веток?

В RFC 3061 в разделе "Process of identifier assignment" указывается, что есть "1.3.6.1.4.1 - IANA-assigned company OIDs, used for private MIBs and such things". Откуда тогда берется ветка идентификаторов iso(1) member-body(2) ru(643)?


Понятно.

Просто у нас в организации при обсуждении ЭДО возникла мысль давать доверенность только на "подписание ЭЦП электронных документов". То есть не доверенность на право подписи документов (бумажных вообще и электронных в частности), а только доверенность только на наложение ЭЦП сотрудника на электронный документ, соответствующий бумажному документу, подписанному другим лицом (наример, руководителем).

Лично меня в этом подходе смущает то, что целью 1-ФЗ "Об ЭЦП" является "обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе". Т.е. бумажном документе (если он есть) и электронный документ должен быть подписан одним и тем же лицом, который имеет на это полномочия (эти полномочия и указываются в сертификате ключа подписи как сведения об отношениях ...).

Можете прокомментировать такой подход в части правовых рисков?

С уважением,
Владимир Андреев.

Извините что вмешиваюсь, однако мне кажется, что основная задача УЦ – это идентификация субъектов обмена и указание в сертификате чего либо ещё – ролевых признаков просто неудачная формулировка ФЗ-1, что и понятно, поскольку совершенно не технологично разрешаются ситуации замещения должностей, отпуска, болезни сотрудников, т.е. все то что разруливается приказами в отделе кадров на работе и по идее все это не имеет отношения к ФЗ-1 и УЦ. Но поскольку в ФЗ-1 Ст. 6 п.1 все же есть эта фраза «… об сведеньях в отношении …» и глубина детализации слава богу не определена, то вполне достаточно указать в политике например вот так: «Целостность и авторство (включая неотрекаемость автора) данных, используется при защите электронных документов и сообщений. Данная политика не детализирует правомочность владельца сертификата вырабатывать ЭЦП на конкретном электронным документе, выступая лишь признаком идентификационного элемента субъекта гражданскоправовых взаимоотношений и выполнения должностных обязанностей в соответствии с действующим законодательством.» Т.с. развести в сторону вопросы идентификации и роли конкретного субъекта в конкретный момент времени в конкретной ситуации. Например, в рамках конкретной ИС её организатор детализирует полномочия и навешивает на субъекта всю необходимую информацию, например, ИНН для ФНС, номер страховки для ПФ ...... но иными способами и технологиями (и такие технологии есть и работают), нежели указание всего этого в СКП.
А в части должностных обязанностей организация ведет актуальный (+ история) реестр должностей из которых вытекают права и обязанности. А это означает, повторюсь, элегантное решение проблем болезни, отпуска, замещения сотрудников на работе и все это без переиздания сертификата ключа подписи :-)
При любых разборах полетов, все прозрачно, кто на основании чего что делал и где это зафиксировано.

В догонку к вышесказанному, мы эту проблему пытались приподнять аж в начале 2008 года и даже была статейка наша напечатана в "Information Security/Информационная безопасность" (http://www.top-cross.ru/Company/InfoSec-6_2007_Page_44.pdf и http://www.top-cross.ru/...oSec-6_2007_Page_45.pdf) а вот её же интерпретация в польском журнале от конца 2008 года - http://www.top-cross.ru/...orld_PKI_2008-12-09.pdf.

Так что проблема не нова и существует её гибкое решение.

Приношу извинения, но по другому не получается, поскольку польского ресурса у меня просто нет, а на сайте Информационной безопасности все журналы лежат в iMag (http://www.itsec.ru/imag.php) - это фактически заставлять ваших пользователей рыться во всей этой куче информации. Подчеркиваю, не в коем случае не рассматривайте эти ссылки как рекламу нашей компании - был представлен чисто инженерный взгляд на проблему.