Закон «Об электронной цифровой подписи»
13 декабря 2001 года Государственной Думой принят в третьем, окончательном чтении закон «Об электронной цифровой подписи».
Формально закон представлен Правительством Российской Федерации, но в самом правительстве, мягко говоря, не было единства по поводу законопроекта. Хотя к разработке данного варианта имели отношение несколько ведомств, специалисты указывают на ключевую роль Министерства связи и, конечно, ФАПСИ — Федерального агентства правительственной связи и информации, отвечающего за обеспечение безопасности и качественных коммуникаций для важнейших государственных учреждений. Образованное на базе аналогичного по функциям подразделения КГБ, сейчас ФАПСИ — одно из влиятельных силовых ведомств.
Что же вызывает такое неприятие специалистов?
В чем же именно выражается изоляционизм российского закона «Об электронной цифровой подписи»? Он виден уже в названии.
Но российские законодатели пошли своим путем. Весь текст закона жестко привязан к единственной технологии «электронной цифровой подписи», создаваемой по технологии шифрования с помощью открытых ключей. Сама по себе эта методика сейчас одна из самых развитых и у нее есть серьезные достоинства.
Степень защиты цифровой подписи от подделки так же высока, как степень стойкости при шифровании. Важно, что можно подписывать сообщение, не шифруя его, оставляя открытым. В технологии цифровой подписи обычно содержится механизм проверки целостности сообщения. То есть проверки того, что никто не внес в текст изменений. Математические алгоритмы шифрования с открытым ключом при длине ключа в несколько килобит делают при нынешних знаниях задачу взлома практически неразрешимой. Такие алгоритмы реализованы практически всеми современными системами. Обычно пытаются найти ошибки в программном коде, реализующем математический алгоритм или используют неряшливость и неосторожность пользователей, которые ленятся запомнить пароли и хранят их в записной книжке, на бумажке, прилепленной к монитору, или беспечно передают их другим людям.
Во-вторых, как справедливо заметила в своей статье консультант Комитета государственной думы по безопасности Елена Волчинская: «В целом предлагаемая законопроектом система правового регулирования представляется исключительно жесткой (в смысле не гибкой, не предусматривающей альтернативные механизмы) и, как следствие, жестокой, так как уровень требований одинаков для любых правоотношений. Это противоречит в корне международной тенденции, предусматривающей гибкую систему, в которой субъект, использующий электронную подпись, сам решает, какая степень защиты ему необходима. Хотя для отдельных сфер использования электронной подписи (например, в государственном управлении) требования могут быть установлены законом».
Здесь точно обращено внимание на другую важную особенность закона — уравниловку. Все должны использовать одну технологию, независимо от степени защиты, которую они считают достаточной для своих электронных сообщений. При этом пользователя лишают возможности сопоставлять свои риски с издержками на защиту электронной подписи. Даже если положения закона касаются только государственных чиновников, то это очень похоже на предложение пересадить всех бюджетников на танки и бронетранспортеры, ввиду криминогенной ситуации в стране. Это ведь гораздо безопаснее. Подобное предложение вызывает улыбку, так как здесь как раз не учтены финансовые издержки и последствия для дорожного покрытия. Однако во время военных действий ездить на бронированных, вооруженных транспортных средствах разумно, так как оправдано резко возросшей опасностью.
Сам по себе сертификат — полезный инструмент, он может служить шлюзом между бумажным и электронным видом представления информации. Но длительность самой процедуры сертифицирования и требование собственноручной подписи значительно ограничивает применение сертифицированных средств для международных отношений. Люди из разных концов мира должны приехать и собственноручно подписать сертификат электронного ключа вместо того, чтобы переслать его по Интернету. Дело в том, что сама концепция шифрования с открытым ключом возникла из проблемы безопасного обмена ключами на расстоянии. Открытый ключ можно безопасно переслать всем желающим, потому что он только шифрует сообщения, а для расшифровки нужен парный ему закрытый, который все время находится у хозяина на компьютере под паролем. Если есть возможность личной встречи, то можно просто передать партнеру и менее сложные, и более специальные электронные шифровальные таблицы, взломать которые, в силу уникальности, практически невозможно. И все это делается без посредников из удостоверяющего центра.
Кроме достаточно узкого подхода в законе, несмотря на многочисленные замечания, были оставлены довольно странные фрагменты. Например, в статье 12: «Владелец сертификата ключа подписи обязан: не использовать для электронной цифровой подписи открытые и закрытые ключи электронно-цифровой подписи, если ему известно, что эти ключи используются или использовались ранее».
Странно выглядит требование законодателей включать в электронную подпись: «сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение».
Таких моментов в законе немало. И это заставляет задуматься, почему из трех представленных на рассмотрение законопроектов прошел самый слабо подготовленный.
В законе головное ведомство сертификационной пирамиды прямо не прописано, но трудно себе представить, что «уполномоченный федеральный орган» — это не ФАПСИ. Чтобы случайно в удостоверяющие подпись центры не пробрались независимые коммерческие организации, введен пункт: «Услуги по выдаче участникам информационных систем сертификатов ключей подписей, зарегистрированных удостоверяющим центром, одновременно с информацией об их действии в форме электронных документов оказываются безвозмездно».
Требования к этим возможностям будут определяться Правительством Российской Федерации по представлению опять же «уполномоченного федерального органа исполнительной власти». То есть, видимо, ФАПСИ. Таким образом, значительные средства предполагается сосредоточить на счетах удостоверяющих центров, лицензируемых, а следовательно, подконтрольных ФАПСИ. Какие именно, можно оценить по первой, непричесанной версии закона. Там предполагалось, что удостоверяющий центр должен иметь в тысячу раз больше средств, чем максимальная цена сделки, скрепленной электронной подписью. Чтобы было понятно, приведем цифры. Если подпись годна для сделок в миллион долларов, что весьма скромно по коммерческим масштабам, то удостоверяющий центр должен иметь миллиард, если же сделка в сто миллионов долларов (не большая редкость), то сумма на счетах этой организации должна в несколько раз превысить весь бюджет России. Чем в этом случае будет заниматься Центральный банк, непонятно.
«Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации».
Скорее всего, конечно, это не так. Задачи сил, лобировавших закон, более прозаические. Им, видимо хочется заставить все государственные учреждения, включая налоговые инспекции, Центральный банк, другие правоохранительные организации, перейти на лицензируемые ими системы. Так как с этими организациями тесно связаны коммерческие фирмы, включая банки и крупнейшие корпорации, то они будут вынуждены, пусть ограниченно, пользоваться теми же лицензируемыми технологиями.
Конечно, «построить» всех будет трудно. Коммерческие предприятия давно пользуются несертифицированными средствами. Рассчитывать на полную лояльность крупных государственных организаций тоже наивно. По свидетельству специалистов, нелицензированные в ФАПСИ средства электронной подписи и шифрования стоят не только в других силовых ведомствах, например, в ФСБ, но и в Центробанке. Зная о тесном и причудливом переплетении в наше время интересов бизнеса, политики и силовых структур, каждый игрок рынка старается получше оградить от любопытных коллег свои секреты. Обязательная сертификация ключей для цифровых электронных подписей крайне похожа на обязательную сдачу ключа от квартиры или офиса в ЖЭК, допустим, в целях противопожарной безопасности граждан. Никто, естественно, не сомневается в кристальной честности работников ЖЭКа, но желающих найдется немного.
Все ссылки в тексте программ ведут на страницы лиц и организаций, не связанных с радио «Свобода»; редакция не несет ответственности за содержание этих страниц.
Источник