Контакты
Подписка
МЕНЮ
Контакты
Подписка

В пространстве доверия

В пространстве доверия

В рубрику "Криптография" | К списку рубрик  |  К списку авторов  |  К списку публикаций

В пространстве доверия

PKI в России: 2006 год


С.А. Игнатенко,
эксперт

Как отмечалось на лондонской конференции по вопросам информационной безопасности, прошедшей при поддержке Организации развития стандартов структурирования информации (OASS), в последнее время наметилось возрождение интереса к средствам PKI. Данная тенденция обусловлена возрастающими потребностями компаний в безопасном обмене данными. Средства PKI облегчают ведение электронной коммерции и реализацию ряда программ, таких, например, как "электронное правительство". Росту популярности PKI, по мнению специалистов, обещает помочь новая операционная система Mcrosoft: в состав Wndows Vsta входит служба CardSpace, которая обеспечивает идентификацию пользователей и защиту цифровых данных при работе с поддерживающими CardSpace Web-ресурсами. Хотя пока неясно, как CardSpace будет взаимодействовать с другими системами цифровой идентификации, эта служба, без сомнения, послужит стимулом к развитию подобных сервисов.

По европейским стандартам

Проявляет интерес к технологиям PKI и правительство нашей страны. Так, в России действует корневой Удостоверяющий центр (УЦ) Росинформтех-нологии (www.reestr-pki.ru), разработанный в 2003-2005 гг. в ходе реализации мероприятий по ФЦП "Электронная Россия" специалистами НИИ "Восход". А с 1 июня 2006 г. был запущен в эксплуатацию УЦ самого института (www.uc.voskhod.ru). Эти два УЦ кросс-сертифицированы между собой. Кроме того, второй выполняет функции "мостового удостоверяющего центра" путем создания и обслуживания списка доверенных УЦ в соответствии с нормами Европейского института стандартизации в области телекоммуникаций (ETSI).

Федеральное агентство по информационным технологиям на конференции "Рус-крипто 2007" представило технологию доверенной третьей стороны при трансграничном электронном взаимодействии с использованием электронной цифровой подписи, что вызвало большой интерес участников.

1 февраля 2007 года ФГУП НИИ "Восход" запустило в эксплуатацию удаленный Центр регистрации удостоверяющего центра в г. Екатеринбурге. Удаленный Центр регистрации создан на базе компании "Экстрим про", основным направлением работы которой является оказание услуг по созданию корпоративных систем информационной безопасности. Компания "Экстрим про" стала вторым удаленным Центром регистрации наряду с национальным оператором электронных торгов SETonlne.

Создание инфраструктуры открытых ключей в Российской Федерации сопровождается новым качественным уровнем признания российских криптографических стандартов мировым Интернет-сообществом. Так, в 2006 г. Комитетом ETF были утверждены и опубликованы новые стандарты Интернета по применению российских криптографических стандартов (ГОСТов) в PKI и электронной почте RFC 4490 и RFC 4491. Отметим, что ранее принятый документ на эту тему RFC 4357 носил всего лишь информационный статус.

Принятие названных норм позволит обеспечить необходимую юридическую значимость трансграничных коммуникаций и возможность взаимодействия инфраструктур открытых ключей России и других государств. Вместе с тем вопросы юридически значимого электронного взаимодействия субъектов в глобальном электронном пространстве должны регулироваться на уровне международного права, а не только на основе рекомендаций и протоколов RFC. К таким документам можно отнести Европейскую директиву 1999 г. "Об электронных подписях" и Конвенцию ООН "Об использовании электронных сообщений в международных договорах", принятую Генеральной ассамблеей ООН 23 ноября 2005 г.

На федеральном уровне

В ходе прошедшей в ноябре в Санкт-Петербурге четвертой международной научно-практической конференции "PKI-форум 2006" было отмечено активное объединение в России различных УЦ: поначалу в самостоятельные домены доверия, а впоследствии - в единое пространство доверия под эгидой федерального УЦ. Таким образом, появляется реальная возможность решения различных задач с использованием современных систем электронного документооборота на всей территории России. На данном форуме, а также на конференции "Актуальные проблемы использования ЭЦП", прошедшей в мае 2006 г. в Ташкенте, участники отмечали необходимость скорейшего продвижения на федеральном уровне законопроекта "Об электронном документообороте", проекта международной Конвенции ЕврАзЭС "О применении информационных технологий при обмене электронными документами" и др. В настоящий момент названные документы по-прежнему находятся в стадии корректировки и рассмотрения, что значительно сдерживает развитие систем электронного документооборота. Кроме того, электронный документ как таковой законодательно не закреплен, не определены его статус и атрибуты. Это приводит к появлению на рынке различных несовместимых между собой вариантов соответствующих систем, в которых сам электронный документ не имеет юридической значимости.

Между тем отечественными компаниями разработан образец узла международного взаимодействия в сфере ЭЦП, обеспечивающий, например, трансграничное электронное взаимодействие российского государственного заказчика и иностранного поставщика.

Узел международного взаимодействия, а конкретно -служба доверенной третьей стороны (TTP, Trusted Thrd Party), в интересах этой и подобной ей систем выполняет проверку подлинности ЭЦП в правовом поле страны-отправителя и формирует квитанцию для юридического признания электронного документа в правовом поле страны-получателя.

В завершение статьи следует отметить, что инфраструктура открытых ключей в России при поддержке государства развивается довольно быстрыми темпами. Вместе с тем ряд проблемных вопросов еще только предстоит решить. К числу этих вопросов при организации межведомственного взаимодействия, по мнению ФСБ РФ, относятся:

- различие в нормативно-правовой базе;

- различия в используемых криптоалгоритмах;

- различные подходы к обеспечению ИБ (концепции, модели...);

- необходимость определения способа организации взаимодействия ИУЦ.

КОММЕНТАРИИ ЭКСПЕРТОВ


И.В. Четвертнев,
руководитель группы безопасности прикладных систем компании "Информзащита"

Когда на рынке появился MS Passport, взрыва популярности PKI не наблюдалось. Если учесть этот опыт, то под сомнение подпадает перспектива положительного влияния CardSpace на развитие PKI. CardSpace - не более чем подсистема идентификации, видимо, аналогичная Mcrosoft Passport. Следовательно, можно поставить под сомнение выводы автора о том, что появление CardSpace принесет нам новую волну распространения PKI.

Скептически выскажусь и в адрес расширения трансграничной коммуникации с помощью PKI. К сожалению, несмотря на то что Комитет ETF опубликовал и утвердил RFC 4490 и RFC 4491, они никак не помогли организовать трансграничную коммуникацию и тем более не позволили обеспечить необходимую юридическую значимость. Наличие в ИС ГОСТ 34.10-2001 создает лишь предпосылки для обоснования юридической значимости электронного взаимодействия. Для того чтобы трансграничные коммуникации стали значимыми, потребуется переработка существующей нормативно-правовой базы, касающейся не только использования ЭЦП, но и архивного хранения электронных документов.

Последние годы порадовали нас быстрым развитием инфраструктуры удостоверяющих центров, но использование ее сервисов не достигло широких масштабов. Основной же задачей ЭЦП является создание доверенного электронного документооборота. Если государство заинтересовано в быстром развитии PKI, то необходимо на правовом уровне утвердить форматы электронных документов и его основные поля для дальнейшего успешного взаимодействия государственных учреждений.


С.М. Муругов,
Генеральный директор ООО "Топ Кросс"

На мой взгляд, ситуацию в России на конец 2006 г. можно охарактеризовать как начало перехода из количества в качество. На ноябрьском PKI-форуме-2006 в Санкт-Петербурге были представлены количественные показатели соотношения числа заявленных УЦ и потенциальных пользователей, что ставит нас в один ряд со странами, в которых PKI-проекты стартовали много ранее, чем у нас.

Следующим логическим шагом, скорее всего, будет укрупнение, технически более грамотное объединение доменов доверия и интеграция различных PKI-систем с появлением новых сервисов. На этом пути потребуется решение некоторых задач, которые уже сейчас вполне обозначены. Перечислю некоторые из них.

Во-первых, для интеграции PKI-систем потребуется обеспечить их фактическое соответствие требованиям международных рекомендаций, другими словами, потребуется создание тестового материала и комплекта самих тестов, аналогичного принятому в мировой практике комплекту тестов Национального института стандартов и технологий (NST) США. Во-вторых, на рынке должны появиться конкурентные аппаратные решения, поддерживающие отечественные криптографические алгоритмы, рассчитанные на выполнение "на борту" криптографических операций и работу с ключевым материалом для размещения как на стороне пользователя, так и на стороне серверов. Для этого потребуется как минимум разработка отечественного профиля PKCS#11 и создание условий для его международного признания, и только после этого следует ожидать появления отечественных HSM, USB-токенов и смарт-карт.

В-третьих, задачи международной интеграции PKI-систем и трансграничного электронного документооборота потребуют создание системы служб "Третьей доверенной стороны" в терминах Х.842, или, как их еще называют, служб "Электронного нотариата".

В-четвертых, внедрение или переход к использованию так называемой "расширенной подписи", включающей в себя и "штампы времени" и другую служебную информацию, позволяющую более полно и достоверно принимать решение о действительности ЭЦП в соответствии и с ФЗ "Об электронно-цифровой подписи" (ФЗ "Об ЭЦП").

В-пятых, в связи с наметившимся укрупнением доменов доверия и принятым ФЗ "О персональных данных" потребуется предложить на рынке решения, обеспечивающие PKI-системе работу с персональной информацией пользователей в связке с внешне изданными сертификатами, не содержащими персональные данные. Наиболее очевидным видится использование в PKI-системах атрибутных сертификатов и средств обеспечения их жизненного цикла.

И наконец, в-шестых, расширение предложений на рынке прикладных систем с компонентами отечественной PKI как отечественного, так и зарубежного производства. К последним в качестве примера можно отнести системы Oracle E-Busness Sute, SSO, SAP и системы ЭДО различных производителей.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2007

Приобрести этот номер или подписаться

Статьи про теме