ЭЦП 3.0

Мы завершаем серию публикаций, посвященных инфраструктурам открытых ключей и технологии ЭЦП в целом. Вот ссылки на предыдущие части:

  1. ГосСУОК.
  2. Граф доверия.
  3. Динамика доверия.
  4. Аттестаты.
  5. Расширенная ЭЦП.
  6. Процессы выработки и проверки РЭЦП.

Закон об ЭЦП был принят в нашей стране в 1999 году. Раньше чем в США, РФ и странах Западной Европы. Закон решил главную задачу – он объявил электронные документы, т.е. документы с ЭЦП, юридическими значимыми. Для этого было достаточно, чтобы генерация личного ключа и выработка подписи выполнялись с помощью сертифицированного средства ЭЦП. Открытые ключи разрешалось распространять достаточно либерально:

Оказание услуг по распространению открытых ключей проверки подписи в качестве предпринимательской деятельности осуществляется индивидуальными предпринимателями или юридическими лицами, имеющими в соответствии с законодательством Республики Беларусь право на оказание таких услуг.

И даже на бумаге:

Распространение открытых ключей проверки подписи среди пользователей может производиться путем:

  • вручения карточки открытого ключа проверки подписи лично пользователю;
  • рассылки по почте в виде документа на бумажном носителе;
  • рассылки в виде электронного документа.

Очень похоже на ручной обмен ключами в PGPПолная демократия.

KeySigningParty

Закон 1.0 содержал мало технологических деталей. Фразы "сертифицированное средство ЭЦП", "удостоверенный открытый ключ" скрывали большую неопределенность, отсутствие инфраструктуры на тогдашний момент. Многие юристы считают, что законы и не должны определять технологии, они должны говорить "что", но не говорить "как". Тем не менее, в новой редакции Закона, принятой в 2009 году, технологические аспекты усилились. Появились понятия "сертификат открытого ключа", "отзыв открытого ключа", "Государственная система управления открытыми ключами". Закон 2.0 фактически объявил автоматизацию услуг доверия и их централизацию. Интересно, что при этом не прозвучал ключевой термин "удостоверяющий центр".

Что дальше? Каким должен быть Закон 3.0? По-видимому, он должен стать еще более технологичным. По-видимому, в нем, прямо или косвенно, должны появиться поставщики услуг доверия, аттестаты различных типов, расширенные подписи. Кстати, уже сейчас обсуждается внесение в Закон дополнений, касающихся штампов времени. ЭЦП без штампа, как и обычная подпись без даты, зачастую лишены юридического значения.

Технологии ЭЦП прочно входят в нашу жизнь. И даже в язык. Когда-то меня поразила фраза "флэшка с ЭЦП". Язык не справляется со сложной конструкцией "флэшка с контейнером, который содержит личный ключ ЭЦП" и кардинально упрощает ее. Мы тоже должны упрощать. Технологии не должны быть такими сложными, по крайней мере, их видимая часть. Термины "криптопровайдер" и "хранилище сертификатов" не должны вызывать мистический трепет у бухгалтеров.

Но технологии пока очень сложны. Мы уже писали, что аттестат ИОК – это цифровой образ бумажной справки. Если есть справки, значит есть бюрократия. И цифровая бюрократия пока ничем не уступает обычной.

Возможно, нам не следует копировать в цифровом мире обычный. Возможно, управление открытыми ключами должно строиться на других принципах. Например, открытые ключи могут публиковаться в общедоступных централизованных справочниках типа блокчейн. Интересно, что основоположники криптографии с открытым ключом также говорили о централизованных справочниках. Ситуация изменилась с момента разработки стандартов серии X.500, посвященных распределенным службам каталогов. Стандарт X.509 (1988 г.) этой серии фактически ввел распределенные справочники открытых ключей, которые теперь повсеместно используются. Открытые ключи хранятся в виде сертификатов, везде и нигде конкретно.

Технологии централизованных справочников понемногу набирают обороты. Стоит вспомнить такие решения, как Certificate Transparency компании Google или DTKI. Возможно, централизованные справочники появятся в Законе 4.0.

Новости
31.03.2017
ITSecurity-2017
22.02.2017
Ввод в действие новой редакции СТБ 34.101.47
21.02.2017
План семинара весна 2017
20.01.2017
Итоги NSUCRYPTO-2016
24.10.2016
План семинара осень 2016
29.08.2016
Ввод в действие СТБ 34.101.77
15.06.2016
CTCrypt-2016
19.04.2016
Криптографические стандарты: планы на 2016 год
09.03.2016
План семинара