Электронная цифровая подпись: законы и реалии
Дата: 15.01.2004Источник: www.crime-research.ru
Автор: Виктор Любезный
... ключей ЭЦП владельцам, оформление и выдача участникам информационной системы сертификатов ключей ЭЦП, ведение реестра сертификатов ключей ЭЦП;
3. Хранение сертификатов ключей в порядке и на сроки, установленные статьей 7 закона;
4. Уведомление владельца ЭЦП ("владельца сертификата ключа") о фактах, которые стали известны удостоверяющему центру и которые существенным образом могут сказаться на возможности дальнейшего использования данного ключа;
5. Приостановление действия и аннулирование сертификатов ключей ЭЦП в порядке, установленном статьями 13 и 14 закона.
Каждый участник информационной системы вправе обладать как одной, так и несколькими разными ЭЦП (ключами ЭЦП). На каждую сгенерированную пару (открытый и закрытый) ключей удостоверяющий центр оформляет сертификат ключа ЭЦП. Этот сертификат должен содержать открытый ключ, ФИО или псевдоним владельца ключа, даты начала и окончания срока действия ключа, а также сведения об отношениях, при осуществлении которых документ, подлинность которого подтверждена открытым ключом, указанном в сертификате, будет иметь юридическое значение (грубо говоря, какие документы можно подписывать этой подписью).
Сертификаты ключей могут распространяться среди участников информационной системы как в бумажном, так и в электронном виде. Бумажный сертификат должен быть оформлен на бланке удостоверяющего центра и заверен подписью уполномоченного лица с печатью центра. Электронный сертификат должен быть заверен ЭЦП удостоверяющего центра.
Не запрещается выкладывать сертификаты ключей на общий доступ в информационную систему, где эти сертификаты применяются, при условии невозможности внесения в них посторонних изменений. В этом случае средства проверки подлинности ЭЦП могут автоматически извлекать открытые ключи из системы. В целях сохранения тайны закрытого ключа его нельзя включать в сертификат.
Оформленный сертификат ключа ЭЦП должен быть внесен в реестр сертификатов не позднее начала срока действия подписи.
Генерация ключей ЭЦП, предназначенных для использования в информационной системе общего пользования, должна осуществляться только сертифицированными средствами ЭЦП (ст. 5, п. 2). "Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств, в соответствии с законодательством Российской Федерации" (ст. 5, п. 3). Кто будет проводить сертификацию, в законе не определено, но, скорее всего, эту обязанность возложат на ФАПСИ или Гостехкомиссию при Президенте РФ.
В ближайшее время должны быть приняты соответствующие нормативно-правовые акты.
Неясны следующие моменты:
1. Как известно, обдурить можно и сертифицированную систему. Однако закон не говорит, кто может выложить энную сумму за ущерб, причиненный последствиями использования ключей ЭЦП, сгенерированных сертифицированными средствами.
2. В пункте 2 статьи 5 говорится про сертификацию средств только для генерации ключей ЭЦП. Между тем, вычислить закрытый ключ (при большой его длине и надежном алгоритме) можно только с помощью анализа алгоритмов подписывания документов и проверки ЭЦП, при наличии открытого ключа и (или) подписанного документа. Средства только для генерации ключей не содержат этих алгоритмов, а хранение средств генерации полученных закрытых ключей ЭЦП хоть и не запрещено законом, при условии сохранения тайны, но все же нежелательно. Кроме того, статья 3 определяет подтверждение подлинности ЭЦП в электронном документе как "положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи, с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе". Причем это определение дано и для корпоративных информационных систем. Получается, что сертификации не требуют только средства генерации ключей ЭЦП для корпоративных систем. Что ж, возможно, законодатели и правы.
3. Пункт 1 статьи 5 официально разрешает самостоятельную генерацию ключей ЭЦП участниками информационной системы общего пользования. Однако статья 3 нигде не использует понятие владельца подписи - везде "владелец сертификата ключа". В то же время, участник информационной системы не обязан оформлять и регистрировать сертификаты своих ключей ЭЦП. Такой безалаберный подход к законотворчеству может создать ряд проблем. Дело в том, что в законе не оговорено, чтобы в документах, подписанных ЭЦП, были указаны данные сертификатов ключей ЭЦП и реквизиты удостоверяющих центров, выдавших эти сертификаты, куда суд может обратиться при возникновении споров.
Получается, что заинтересованная сторона может заявить суду о самостоятельной генерации ключей. Законом это разрешается, а суд в этом случае не сможет запросить нейтральную организацию о подтверждении подлинности ЭЦП, в результате чего действие закона сводится на нет. Отсюда совет: при заключении договоров с использованием ЭЦП настаивайте, чтобы стороны договора указали в нем реквизиты (название, номер и дата выдачи лицензии, адрес) удостоверяющего центра, выдавшего сертификат ключа ЭЦП, а также номер сертификата. Не забудьте проверить полученные сведения. Самостоятельная генерация ключей противоположной стороной должна настораживать.
Надеюсь, что эти вопросы будут решены. А сейчас продолжим изучение закона.
Корпоративные информационные системы органов государственной власти и органов местного самоуправления могут использовать только сертифицированные средства ЭЦП (ст. 5, п. 3). С этим вроде бы все понятно. Однако не очень-то ясна позиция закона по другим корпоративным информационным системам. Пункт 1 статьи 17 гласит, что "корпоративная информационная система, предоставляющая участникам информационной системы общего пользования услуги удостоверяющего центра корпоративной информационной системы, должна соответствовать требованиям, установленным настоящим Федеральным законом для информационных систем общего пользования".
Возможно, законодатели хотели сказать, что корпоративные информационные системы должны соответствовать требованиям для информационных систем общего пользования, если они (системы) дают ключи ЭЦП новым пользователям корпоративной системы, работающим с ней через интернет или другие общедоступные сети. Однако не забывайте сказанное в Disclaimer.
Владелец сертификата ключа обязан "не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее", хранить закрытый ключ в тайне и немедленно требовать у удостоверяющего центра приостановления действия сертификата ключа, если есть достаточно обоснованное предположение о нарушении тайны закрытого ключа ЭЦП. В случае невыполнения этих требований ответственность за последствия несет владелец сертификата ключа. Это описано в статье 12 закона.
Непонятно там только процитированное требование. Толковать его можно по-разному. Мое личное мнение таково: если выданный открытый ключ используется (использовался) владельцем при проверке подлинности ЭЦП других участников информационной системы либо выдавался кому-то ранее (конечно, если владелец ключа об этом знает), то эту подпись использовать запрещено.
Вот и все, что я могу сказать по итогам изучения закона об ЭЦП. Пусть не везде однозначный, но он (закон) появился. Конечно, разные лица (физические и юридические) толкуют законодательство по-разному и толкование законов, приведенное в статье, не обязательно будет совпадать с толкованием законов судами при рассмотрении дел.
Да и, чтобы этот закон работал, требуется еще много чего: довести до ума законодательство, разработать порядок лицензирования удостоверяющих центров, подготовить другие документы. Однако государственные органы уже работают над этим. Будем надеяться, что все это будет сделано в сроки, установленные статьей 20 закона. И тогда, полагаю, начнется приведение закона в порядок.
