Мария Глазкова → Электронная подпись: «работает» или нет?
Около месяца назад Думой был принят закон «Об электронной подписи», который теперь должен определять условия ее использования в России. При этом с 2002 года действует старый закон «Об электронной цифровой подписи», который регламентирует те же самые вопросы. Он будет сохранять свою силу до 1 июля 2012 года, а те ключи подписей, которые выданы в период его действия, останутся действительными и после этой даты.
В пояснительной записке к новому закону говорится о том, что ЭЦП «старого образца» не была популярной: до 2007 года было выдано всего около двусот тысяч сертификатов ключей подписи, количество лиц, использующих ее, было меньше одного процента населения России. Это привело к тому, что многие россияне считают, будто «электронная подпись в России не работает». Симптомом этого стали многочисленные заголовки о том, что свежепринятый закон «узаконил электронную подпись»: действительно, большинство наших граждан в повседневной жизни с нею не встречается вообще.
Для того, чтобы понять, для чего нам новый закон об электронных подписях и что изменится с его принятием, необходимо немного углубиться в историю российской «гражданской криптографии», то есть, программ, предназначенных для шифрования и подписи сообщений.
В отличие от ведомственной, «гражданская криптография» всегда существовала «на птичьих правах». Государство смотрело на нее косо, виной тому ? функции по шифрованию, которые присутствуют в таком ПО наряду с возможностью генерировать электронную подпись. Ведь отсутствие в программах, созданных независимыми разработчиками, «черного хода» (то есть, возможности расшифровать сообщение, не зная ключа) серьезно затрудняет работу спецслужб, если им вдруг захочется прочитать, о чем общаются пользователи между собой.
Неприятности начали преследовать гражданскую криптографию с самого ее зарождения. В начале девяностых годов программист Филипп Циммерман создал программу PGP («Pretty Good Privacy»), которая и по сей день остается самой популярной в этой области. Программа позволяла подписывать сообщения и файлы, а также шифровать их. Для подписи и шифрования использовались два ключа, открытый и закрытый. Открытыми ключами пользователи свободно обменивались, а закрытые полагалось хранить в тайне. Для шифровки сообщения использовалась комбинация из открытого ключа адресата и закрытого ключа автора письма. Для расшифровки требовались, наоборот, закрытый ключ адресата и открытый ? автора. Такая схема позволяла обмениваться шифрованными сообщениями не опасаясь того, кто-то перехватит ключ, необходимый для расшифровки, поскольку ключей использовалось два, и один из них перехватить просто нельзя. Именно из-за этого шифрование с открытым ключом (или, как его еще называют, «асимметричное шифрование») получило массовое распространение в Интернете.
Однако, вскоре после создания PGP на Циммермана завели уголовное дело. Причиной стало то, что Филипп якобы нарушил запрет на экспорт из США программ, реализующих стойкое шифрование. Дело было прекращено только через три года, с Циммермана были сняты все обвинения. Вскоре после этого он основал компанию PGP, inc., которая продолжила заниматься разработкой программы. А запрет на ее экспорт был обойден очень просто. Распространялся он только на электронные копии, поэтому «зарубежная» версия PGP была скомпилирована из отсканированного исходного текста, который был вывезен из США в распечатанном виде. Это, конечно, экзотика, но примерно так государство относилось к гражданской криптографии и в России.
Многим памятен знаменитый ельцинский «указ №334», которым просто запрещалось использовать любые криптографические средства, не сертифицированные ФАПСИ. Причем запрет распространялся не только на государственные организации ? разрабатывать их и ввозить на территорию России запрещалась вообще всем. Правда, никакой ответственности за нарушение этого запрета указ не предусматривал, так что многие смотрели на него сквозь пальцы.
Именно в период его действия распространились массовые технологии шифрования, включая программы, поставляющиеся с операционными системами семейства Windows, а также та самая PGP, ставшая сегодня стандартом де-факто в этой области.
И вот, в 2002 году принимается первый закон об ЭЦП. Распространялся он только на правоотношения, возникающие при совершении гражданско-правовых сделок. В соответствии с этим законом, средства для создания «полноценной» цифровой подписи должны были иметь сертификат. Все остальные криптографические программы мгновенно приобели непонятный статус: теоретически, подписывать ими документы было можно, это законом не запрещалось. Но правовой статус такой подписи никак не регламентировался. Для раздачи ключей закон предусматривал создание сети «удостоверяющих центров», организаций, которые должны были заниматься созданием ключей по запросам пользователей. И, похоже, именно из-за этого ЭЦП в России была такой непопулярной.
Как вы знаете, подпись на основе асимметричного шифрования требует двух ключей – открытого, которым владелец ключа может свободно обмениваться, и закрытого, который должен храниться в тайне. Ваш закрытый ключ не должен знать никто, а по российскому закону об ЭЦП этот ключ генерировался «удостоверяющим центром», то есть, совершенно посторонними людьми. Поэтому столь малое количество выданных подписей вполне объяснимо. Закон требовал от удостоверяющего центра свято хранить тайну ключа, но вот элементарные представления о предосторожности требовали вообще никому этот ключ не доверять. Предосторожность, как правило, побеждала.
Новый закон «Об электронной подписи» по сравнению со своим предшественником представляет собой прямо-таки шедевр либерализма. Основные принципы выдачи и использования ключей в нем поменялись коренным образом, образцом для новых правил стала директива Евросоюза «Об общих принципах электронных подписей». Прежде всего ? закон распространяется не только на гражданско-правовые сделки: с использованием электронной подписи можно теперь совершать любые «юридически значимые действия», в качестве примера которых закон упоминает «оказание государственных и муниципальных услуг» и «исполнение государственных и муниципальных функций».
В ближайшем будущем начнется массовая продажа специальных «флешек» с записанными ключами, которые смогут быть использованы при доступе к порталу госуслуг. Законом вводится несколько видов электронных подписей, самая простая из них так и называется ? «простая». Она представляет собой «электронную подпись» которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. В будущем она может стать источником путаницы, поскольку раньше «электронной подписью» не считалась, а называлась «аналогом собственноручной подписи». Это ? разного рода пароли, коды подтверждения, и прочие средства идентификации.
Кроме «простой», есть и «усиленная» электронная подпись, и вот она уже предполагает использование средств шифрования. Перечень таких средств не ограничивается, они должны соответствовать минимальным требованиям к надежности, установленным в четвертой статье закона. Это одно из важных и полезных нововведений: для подписи теперь можно использовать не только сертифицированные программы. Общим требованием для любой «усиленной» подписи является получение сертификата, то есть, документа, подтверждающего то, что закрытый ключ принадлежит определенному лицу. Сертификат также выдается удостоверяющим центром. Однако, если соответствие подписи установленным требованиям может быть подтверждено без него, то получать его необязательно.
«Усиленная» подпись бывает «неквалифицированной» и «квалифицированной» ? вот в последнем случае и требуются услуги удостоверяющего центра. Порядок работы таких центров по новому законодательству похож на прежний: они тоже создают ключи подписей для клиентов, используя сертифицированные программы ? собственно, сертификация государством и делает подпись «квалифицированной».
Те ключи, которые выданы в период действия старого закона, могут использоваться в дальнейшем, по закону новому они признаются «усиленными квалифицированными» подписями. И еще одно важное нововведение: удостоверяющие центры по новому закону выдают «средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем». Из этой запутанной формулировки видно, что сам ключ теперь может генерироваться не только центром, но и самим пользователем. То есть, доверять его дяде больше не надо: основной функцией УЦ становится выдача так называемых «сертификатов ключа», подтверждающих, что этот ключ принадлежит определенному лицу.
Кроме этого, в новом законе появился целый ряд других полезных нововведений, которые могут привести к увеличению числа людей, подписывающих документы в электронном виде. Так, раньше электронной подписью могли пользоваться только физические лица, а теперь такая подпись может принадлежать и организации, юридическому лицу или государственному органу. Закон описывает требования к таким подписям, в частности, при получении сертификата в нем должна быть указана не только сама организация, но и лицо, которое уполномочено подписывать документы от ее имени.
Правда, о том, как заменить такое уполномоченное лицо в случае его увольнения, прекращения срока доверенности и прочих форс-мажорных обстоятельств: неясно, что в таких случаях делать с сертификатом, можно ли в него вписать нового работника, который распоряжается подписью, или нужно получать новый сертификат (а то и менять ключ подписи). По вопросу юридической силы «бумажного» документа и его электронной копии закон устанавливает следующие правила: «по умолчанию» электронная копия документа считается идентичной бумажной только в том случае, если она подписана «квалифицированной» подписью, то есть, с помощью сертифицированных программ. Если же программа не имеет сертификата или используется «простая» подпись, электронный документ считается соответствующим «бумажному» только если это прямо указано в законе либо установлено соглашением сторон.
В пояснительной записке к новому закону говорится о том, что ЭЦП «старого образца» не была популярной: до 2007 года было выдано всего около двусот тысяч сертификатов ключей подписи, количество лиц, использующих ее, было меньше одного процента населения России. Это привело к тому, что многие россияне считают, будто «электронная подпись в России не работает». Симптомом этого стали многочисленные заголовки о том, что свежепринятый закон «узаконил электронную подпись»: действительно, большинство наших граждан в повседневной жизни с нею не встречается вообще.
Для того, чтобы понять, для чего нам новый закон об электронных подписях и что изменится с его принятием, необходимо немного углубиться в историю российской «гражданской криптографии», то есть, программ, предназначенных для шифрования и подписи сообщений.
Всеми гонимая.
В отличие от ведомственной, «гражданская криптография» всегда существовала «на птичьих правах». Государство смотрело на нее косо, виной тому ? функции по шифрованию, которые присутствуют в таком ПО наряду с возможностью генерировать электронную подпись. Ведь отсутствие в программах, созданных независимыми разработчиками, «черного хода» (то есть, возможности расшифровать сообщение, не зная ключа) серьезно затрудняет работу спецслужб, если им вдруг захочется прочитать, о чем общаются пользователи между собой.
Неприятности начали преследовать гражданскую криптографию с самого ее зарождения. В начале девяностых годов программист Филипп Циммерман создал программу PGP («Pretty Good Privacy»), которая и по сей день остается самой популярной в этой области. Программа позволяла подписывать сообщения и файлы, а также шифровать их. Для подписи и шифрования использовались два ключа, открытый и закрытый. Открытыми ключами пользователи свободно обменивались, а закрытые полагалось хранить в тайне. Для шифровки сообщения использовалась комбинация из открытого ключа адресата и закрытого ключа автора письма. Для расшифровки требовались, наоборот, закрытый ключ адресата и открытый ? автора. Такая схема позволяла обмениваться шифрованными сообщениями не опасаясь того, кто-то перехватит ключ, необходимый для расшифровки, поскольку ключей использовалось два, и один из них перехватить просто нельзя. Именно из-за этого шифрование с открытым ключом (или, как его еще называют, «асимметричное шифрование») получило массовое распространение в Интернете.
Однако, вскоре после создания PGP на Циммермана завели уголовное дело. Причиной стало то, что Филипп якобы нарушил запрет на экспорт из США программ, реализующих стойкое шифрование. Дело было прекращено только через три года, с Циммермана были сняты все обвинения. Вскоре после этого он основал компанию PGP, inc., которая продолжила заниматься разработкой программы. А запрет на ее экспорт был обойден очень просто. Распространялся он только на электронные копии, поэтому «зарубежная» версия PGP была скомпилирована из отсканированного исходного текста, который был вывезен из США в распечатанном виде. Это, конечно, экзотика, но примерно так государство относилось к гражданской криптографии и в России.
Многим памятен знаменитый ельцинский «указ №334», которым просто запрещалось использовать любые криптографические средства, не сертифицированные ФАПСИ. Причем запрет распространялся не только на государственные организации ? разрабатывать их и ввозить на территорию России запрещалась вообще всем. Правда, никакой ответственности за нарушение этого запрета указ не предусматривал, так что многие смотрели на него сквозь пальцы.
Именно в период его действия распространились массовые технологии шифрования, включая программы, поставляющиеся с операционными системами семейства Windows, а также та самая PGP, ставшая сегодня стандартом де-факто в этой области.
И вот, в 2002 году принимается первый закон об ЭЦП. Распространялся он только на правоотношения, возникающие при совершении гражданско-правовых сделок. В соответствии с этим законом, средства для создания «полноценной» цифровой подписи должны были иметь сертификат. Все остальные криптографические программы мгновенно приобели непонятный статус: теоретически, подписывать ими документы было можно, это законом не запрещалось. Но правовой статус такой подписи никак не регламентировался. Для раздачи ключей закон предусматривал создание сети «удостоверяющих центров», организаций, которые должны были заниматься созданием ключей по запросам пользователей. И, похоже, именно из-за этого ЭЦП в России была такой непопулярной.
Как вы знаете, подпись на основе асимметричного шифрования требует двух ключей – открытого, которым владелец ключа может свободно обмениваться, и закрытого, который должен храниться в тайне. Ваш закрытый ключ не должен знать никто, а по российскому закону об ЭЦП этот ключ генерировался «удостоверяющим центром», то есть, совершенно посторонними людьми. Поэтому столь малое количество выданных подписей вполне объяснимо. Закон требовал от удостоверяющего центра свято хранить тайну ключа, но вот элементарные представления о предосторожности требовали вообще никому этот ключ не доверять. Предосторожность, как правило, побеждала.
Как в Европе
Новый закон «Об электронной подписи» по сравнению со своим предшественником представляет собой прямо-таки шедевр либерализма. Основные принципы выдачи и использования ключей в нем поменялись коренным образом, образцом для новых правил стала директива Евросоюза «Об общих принципах электронных подписей». Прежде всего ? закон распространяется не только на гражданско-правовые сделки: с использованием электронной подписи можно теперь совершать любые «юридически значимые действия», в качестве примера которых закон упоминает «оказание государственных и муниципальных услуг» и «исполнение государственных и муниципальных функций».
В ближайшем будущем начнется массовая продажа специальных «флешек» с записанными ключами, которые смогут быть использованы при доступе к порталу госуслуг. Законом вводится несколько видов электронных подписей, самая простая из них так и называется ? «простая». Она представляет собой «электронную подпись» которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. В будущем она может стать источником путаницы, поскольку раньше «электронной подписью» не считалась, а называлась «аналогом собственноручной подписи». Это ? разного рода пароли, коды подтверждения, и прочие средства идентификации.
Кроме «простой», есть и «усиленная» электронная подпись, и вот она уже предполагает использование средств шифрования. Перечень таких средств не ограничивается, они должны соответствовать минимальным требованиям к надежности, установленным в четвертой статье закона. Это одно из важных и полезных нововведений: для подписи теперь можно использовать не только сертифицированные программы. Общим требованием для любой «усиленной» подписи является получение сертификата, то есть, документа, подтверждающего то, что закрытый ключ принадлежит определенному лицу. Сертификат также выдается удостоверяющим центром. Однако, если соответствие подписи установленным требованиям может быть подтверждено без него, то получать его необязательно.
«Усиленная» подпись бывает «неквалифицированной» и «квалифицированной» ? вот в последнем случае и требуются услуги удостоверяющего центра. Порядок работы таких центров по новому законодательству похож на прежний: они тоже создают ключи подписей для клиентов, используя сертифицированные программы ? собственно, сертификация государством и делает подпись «квалифицированной».
Те ключи, которые выданы в период действия старого закона, могут использоваться в дальнейшем, по закону новому они признаются «усиленными квалифицированными» подписями. И еще одно важное нововведение: удостоверяющие центры по новому закону выдают «средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем». Из этой запутанной формулировки видно, что сам ключ теперь может генерироваться не только центром, но и самим пользователем. То есть, доверять его дяде больше не надо: основной функцией УЦ становится выдача так называемых «сертификатов ключа», подтверждающих, что этот ключ принадлежит определенному лицу.
Кроме этого, в новом законе появился целый ряд других полезных нововведений, которые могут привести к увеличению числа людей, подписывающих документы в электронном виде. Так, раньше электронной подписью могли пользоваться только физические лица, а теперь такая подпись может принадлежать и организации, юридическому лицу или государственному органу. Закон описывает требования к таким подписям, в частности, при получении сертификата в нем должна быть указана не только сама организация, но и лицо, которое уполномочено подписывать документы от ее имени.
Правда, о том, как заменить такое уполномоченное лицо в случае его увольнения, прекращения срока доверенности и прочих форс-мажорных обстоятельств: неясно, что в таких случаях делать с сертификатом, можно ли в него вписать нового работника, который распоряжается подписью, или нужно получать новый сертификат (а то и менять ключ подписи). По вопросу юридической силы «бумажного» документа и его электронной копии закон устанавливает следующие правила: «по умолчанию» электронная копия документа считается идентичной бумажной только в том случае, если она подписана «квалифицированной» подписью, то есть, с помощью сертифицированных программ. Если же программа не имеет сертификата или используется «простая» подпись, электронный документ считается соответствующим «бумажному» только если это прямо указано в законе либо установлено соглашением сторон.
Нет комментариев