ЭЦП 3.0

Мы завершаем серию публикаций, посвященных инфраструктурам открытых ключей и технологии ЭЦП в целом. Вот ссылки на предыдущие части:

1. ГосСУОК.
2. Граф доверия.
3. Динамика доверия.
4. Аттестаты.
5. Расширенная ЭЦП.
6. Процессы выработки и проверки РЭЦП.

Закон об ЭЦП был принят в нашей стране в 1999 году. Раньше чем в США, РФ и странах Западной Европы. Закон решил главную задачу – он объявил электронные документы, т.е. документы с ЭЦП, юридическими значимыми. Для этого было достаточно, чтобы генерация личного ключа и выработка подписи выполнялись с помощью сертифицированного средства ЭЦП. Открытые ключи разрешалось распространять достаточно либерально:

Оказание услуг по распространению открытых ключей проверки подписи в качестве предпринимательской деятельности осуществляется индивидуальными предпринимателями или юридическими лицами, имеющими в соответствии с законодательством Республики Беларусь право на оказание таких услуг.

И даже на бумаге:

Распространение открытых ключей проверки подписи среди пользователей может производиться путем:

• вручения карточки открытого ключа проверки подписи лично пользователю;
• рассылки по почте в виде документа на бумажном носителе;
• рассылки в виде электронного документа.

Очень похоже на ручной обмен ключами в PGP! Полная демократия.

Закон 1.0 содержал мало технологических деталей. Фразы "сертифицированное средство ЭЦП", "удостоверенный открытый ключ" скрывали большую неопределенность, отсутствие инфраструктуры на тогдашний момент. Многие юристы считают, что законы и не должны определять технологии, они должны говорить "что", но не говорить "как". Тем не менее, в новой редакции Закона, принятой в 2009 году, технологические аспекты усилились. Появились понятия "сертификат открытого ключа", "отзыв открытого ключа", "Государственная система управления открытыми ключами". Закон 2.0 фактически объявил автоматизацию услуг доверия и их централизацию. Интересно, что при этом не прозвучал ключевой термин "удостоверяющий центр".

Что дальше? Каким должен быть Закон 3.0? По-видимому, он должен стать еще более технологичным. По-видимому, в нем, прямо или косвенно, должны появиться поставщики услуг доверия, аттестаты различных типов, расширенные подписи. Кстати, уже сейчас обсуждается внесение в Закон дополнений, касающихся штампов времени. ЭЦП без штампа, как и обычная подпись без даты, зачастую лишены юридического значения.

Технологии ЭЦП прочно входят в нашу жизнь. И даже в язык. Когда-то меня поразила фраза "флэшка с ЭЦП". Язык не справляется со сложной конструкцией "флэшка с контейнером, который содержит личный ключ ЭЦП" и кардинально упрощает ее. Мы тоже должны упрощать. Технологии не должны быть такими сложными, по крайней мере, их видимая часть. Термины "криптопровайдер" и "хранилище сертификатов" не должны вызывать мистический трепет у бухгалтеров.

Но технологии пока очень сложны. Мы уже писали, что аттестат ИОК – это цифровой образ бумажной справки. Если есть справки, значит есть бюрократия. И цифровая бюрократия пока ничем не уступает обычной.

Возможно, нам не следует копировать в цифровом мире обычный. Возможно, управление открытыми ключами должно строиться на других принципах. Например, открытые ключи могут публиковаться в общедоступных централизованных справочниках типа блокчейн. Интересно, что основоположники криптографии с открытым ключом также говорили о централизованных справочниках. Ситуация изменилась с момента разработки стандартов серии X.500, посвященных распределенным службам каталогов. Стандарт X.509 (1988 г.) этой серии фактически ввел распределенные справочники открытых ключей, которые теперь повсеместно используются. Открытые ключи хранятся в виде сертификатов, везде и нигде конкретно.

Технологии централизованных справочников понемногу набирают обороты. Стоит вспомнить такие решения, как Certificate Transparency компании Google или DTKI. Возможно, централизованные справочники появятся в Законе 4.0.