Большинство IT-людей знают о том, что такое ЭЦП. Несколько меньшее количество знает о том, как ЭЦП может применяться в реальной жизни. Еще меньше людей эту самую ЭЦП применяют на практике.
Для тех, кто еще не догадался — ЭЦП расшифровывается как «электронно-цифровая подпись».
В течение двух лет я руководил (читай: непосредственно двигал) проект, связанный с узким применением ЭЦП в нашей жизни — сдача электронной отчетности в налоговые органы. Однако, несмотря на узость применения, в процессе я приобрел достаточно интересных знаний о том, что собой представляет ЭЦП в России. Вот и хочу поделиться.
Первой ласточкой того, что наша страна медленно, но верно движется по пути прогресса, явился закон «Об электронной цифровой подписи». Вышел он в 2002 году, и на жаргоне его можно назвать «голым».
В 2002 году этот закон «Об ЭЦП» именно такую вещь и представлял. Ибо в нем говорилось о сертификатах, центрах сертификации и еще много о чем, чего на деле в 2002 году (да и что говорить, куда как позже) вообще не существовало. В принципе.
Кроме того, закон закону рознь. Простой пример.
Однако, несовершенство закона еще полбеды. В марте 2003 года, пока все обалдевали от качества закона об ЭЦП и чесали репу, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), которое занималось вопросами криптографии, упразднили, передав его функции ФСБ.
«В чем проблема?», может спросить читатель. Так я расскажу.
Всеми вещами, имеющими отношение к шифрованию и защите информации, у нас занималась сначала ФАПСИ, потом, в 2002 году стала заниматься ФСБ.
Представьте себе задачку, стоявшую перед ФСБ. Вроде как все понятно, товарищ полковник, только вот хэш — это что, разновидность наркоты или какая математика заумная? Впрочем, прошу прощения за мою язвительность ;)
Итак, стояла задача разобраться со следующим: какой алгоритм использовать? Понятно, что асимметричный, понятно, что с открытым и закрытым ключом, но какой длины? Если две стороны (ставящая подпись и проверяющая подпись) об этом не договорятся, счастья не будет, не так ли?
Получилось так, что:
1. Теория: алгоритм, который можно использовать на территории РФ (который будет приниматься как юридически значимый) должен быть как минимум сертифицирован ФСБ (т.е. проверен на «ударопрочность» и все такое).
Практика: слишком мало у нас в ФСБ специалистов по нормальному криптоанализу, поэтому получить сертификат сложно из-за долгого анализа самого алгоритма.
2. Теория: организация, которая собирается предоставлять услуги, связанные с ЭЦП, должна использовать алгоритм, который был сертифицирован ФСБ.
Практика: из-за смешения понятия «алгоритм» и недостатка в пряморуких разработчиках, это означало, что использовать нужно было не свою «имплементацию» алгоритма, а программный продукт, который предоставлялся сертифицировавшим алгоритм разработчиком. Да здравствует кровавая монополия. Стоны Артемия Андреича по поводу карт для GPS меркнут тут.
3. Теория: организация, которая собирается предоставлять услуги, связанные с ЭЦП, должна получить 3 лицензии: на использование, на техническую поддержку, на распространение средств криптографической защиты.
Практика: получить лицензию, не выбрав программный комплекс из п. 2 — нельзя. Вернее, не получится, откажут. «Цена» лицензии на 2003 год (с условием соблюдения километрового списка с требованиями) была примерно $1000 (по знакомству). Кроме того, лицензия от разработчика программного комплекса — $1000 + выполнение плана по продажам.
В итоге, на 2003 год получилось так — программ по работе с алгоритмами 3 на всю Россию. И самое главное, что ни в каком страшном сне эти программы не знают о понятии CryptoAPI, то есть, работать с ними «снаружи» — никак или очень сложно (ну там, через командную строку, да).
О да, уйма. Кроме общей проблемы с софтом, есть проблема с его разработкой. Готовы? Держитесь крепче.
Если Вы хотите использовать свой алгоритм (или общедоступный), ну, например, RSA, то схема разрастается до уровня сценария «Миссия невыполнима». Почему? А вот почему.
1. Перед тем, как пытаться что-то отдать в ФСБ на сертификацию, надо получить лицензию на разработку тех самых криптографических систем. Примерная цена $20 000*.
2. После того, как есть лицензия и система, то ее сертификация встанет еще примерно в $80 000*.
3. Ну и теперь осталось самое простое — уговорить потенциальных пользователей (к примеру, налоговую инспекцию) использовать Вашу систему.
И оставьте тут Ваши понятия о рынке, они тут не действуют. Тут не бывает альтернатив или конкуренции. Школьный портал отдыхает.
4. Проблема регионов. Известны случаи, когда в регионе (за МКАД есть жизнь!) попросту не могли применить ту технологию, которую «спускали» сверху. Кадров не хватало, знаний не хватало, и т.д.
* Указанные здесь суммы не являются официальными платежами, разумеется. Деньги пойдут как «консультационные услуги» определенным фирмам, «помогающим» в этом процессе.
Нет, но не все так плохо, и пророки есть в своем отечестве. К примеру, КриптоПро сейчас вышло на нормальный уровень и даже подружилось с CryptoAPI. Но это сейчас, только в 2007 году. И то, толком в крупных городах в регионах.
Вроде и налоговая инспекция с банками применяют ЭЦП. И точка. Больше пока толком никого.
А использование цифровой подписи в остальных случаях так и осталось, пока, несбыточной мечтой.
Разумеется, что в своем обзоре я не рассказал о многих пикантных подробностях, но, думаю, в рамках данной статьи они будут излишни. Мне хотелось показать реальную причину того, почему у нас так плохо с вопросом внедрения ЭЦП в разные области нашей жизни.
Разумеется, добро пожаловать в комментарии; у меня не так много времени есть на ответы, но я постараюсь.
С любовью,
maniaque
Для тех, кто еще не догадался — ЭЦП расшифровывается как «электронно-цифровая подпись».
В течение двух лет я руководил (читай: непосредственно двигал) проект, связанный с узким применением ЭЦП в нашей жизни — сдача электронной отчетности в налоговые органы. Однако, несмотря на узость применения, в процессе я приобрел достаточно интересных знаний о том, что собой представляет ЭЦП в России. Вот и хочу поделиться.
1. Закон и ЭЦП
Первой ласточкой того, что наша страна медленно, но верно движется по пути прогресса, явился закон «Об электронной цифровой подписи». Вышел он в 2002 году, и на жаргоне его можно назвать «голым».
Те, кто реально сталкивался с применением законов в России, понимают, что закон сам по себе не устанавливает отдельных вопросов своего собственного применения. Признак «голости» закона — обилие формулировок «в соответствии с действующим законодательством». Так вот, каждая такая формулировка оказывается отсылкой нафиг.
В 2002 году этот закон «Об ЭЦП» именно такую вещь и представлял. Ибо в нем говорилось о сертификатах, центрах сертификации и еще много о чем, чего на деле в 2002 году (да и что говорить, куда как позже) вообще не существовало. В принципе.
Кроме того, закон закону рознь. Простой пример.
Закон об ЭЦП устанавливает равенство электронной подписи обычной (Статья 4). Однако, к примеру, Налоговый кодекс, хоть и предусматривал передачу декларации в налоговую инспекцию по «телекоммуникационным каналам связи», тем не менее, умалчивал о формате подписи, формате электронного документа и вообще. Поэтому, несмотря на наличие закона об ЭЦП, использовать ее было нельзя.
Однако, несовершенство закона еще полбеды. В марте 2003 года, пока все обалдевали от качества закона об ЭЦП и чесали репу, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), которое занималось вопросами криптографии, упразднили, передав его функции ФСБ.
«В чем проблема?», может спросить читатель. Так я расскажу.
2. Как насчет конкретного применения?
Всеми вещами, имеющими отношение к шифрованию и защите информации, у нас занималась сначала ФАПСИ, потом, в 2002 году стала заниматься ФСБ.
Представьте себе задачку, стоявшую перед ФСБ. Вроде как все понятно, товарищ полковник, только вот хэш — это что, разновидность наркоты или какая математика заумная? Впрочем, прошу прощения за мою язвительность ;)
Итак, стояла задача разобраться со следующим: какой алгоритм использовать? Понятно, что асимметричный, понятно, что с открытым и закрытым ключом, но какой длины? Если две стороны (ставящая подпись и проверяющая подпись) об этом не договорятся, счастья не будет, не так ли?
Получилось так, что:
1. Теория: алгоритм, который можно использовать на территории РФ (который будет приниматься как юридически значимый) должен быть как минимум сертифицирован ФСБ (т.е. проверен на «ударопрочность» и все такое).
Практика: слишком мало у нас в ФСБ специалистов по нормальному криптоанализу, поэтому получить сертификат сложно из-за долгого анализа самого алгоритма.
2. Теория: организация, которая собирается предоставлять услуги, связанные с ЭЦП, должна использовать алгоритм, который был сертифицирован ФСБ.
Практика: из-за смешения понятия «алгоритм» и недостатка в пряморуких разработчиках, это означало, что использовать нужно было не свою «имплементацию» алгоритма, а программный продукт, который предоставлялся сертифицировавшим алгоритм разработчиком. Да здравствует кровавая монополия. Стоны Артемия Андреича по поводу карт для GPS меркнут тут.
3. Теория: организация, которая собирается предоставлять услуги, связанные с ЭЦП, должна получить 3 лицензии: на использование, на техническую поддержку, на распространение средств криптографической защиты.
Практика: получить лицензию, не выбрав программный комплекс из п. 2 — нельзя. Вернее, не получится, откажут. «Цена» лицензии на 2003 год (с условием соблюдения километрового списка с требованиями) была примерно $1000 (по знакомству). Кроме того, лицензия от разработчика программного комплекса — $1000 + выполнение плана по продажам.
В итоге, на 2003 год получилось так — программ по работе с алгоритмами 3 на всю Россию. И самое главное, что ни в каком страшном сне эти программы не знают о понятии CryptoAPI, то есть, работать с ними «снаружи» — никак или очень сложно (ну там, через командную строку, да).
3. Еще препоны?
О да, уйма. Кроме общей проблемы с софтом, есть проблема с его разработкой. Готовы? Держитесь крепче.
Если Вы хотите использовать свой алгоритм (или общедоступный), ну, например, RSA, то схема разрастается до уровня сценария «Миссия невыполнима». Почему? А вот почему.
1. Перед тем, как пытаться что-то отдать в ФСБ на сертификацию, надо получить лицензию на разработку тех самых криптографических систем. Примерная цена $20 000*.
2. После того, как есть лицензия и система, то ее сертификация встанет еще примерно в $80 000*.
3. Ну и теперь осталось самое простое — уговорить потенциальных пользователей (к примеру, налоговую инспекцию) использовать Вашу систему.
И оставьте тут Ваши понятия о рынке, они тут не действуют. Тут не бывает альтернатив или конкуренции. Школьный портал отдыхает.
4. Проблема регионов. Известны случаи, когда в регионе (за МКАД есть жизнь!) попросту не могли применить ту технологию, которую «спускали» сверху. Кадров не хватало, знаний не хватало, и т.д.
* Указанные здесь суммы не являются официальными платежами, разумеется. Деньги пойдут как «консультационные услуги» определенным фирмам, «помогающим» в этом процессе.
4. В результате?
Нет, но не все так плохо, и пророки есть в своем отечестве. К примеру, КриптоПро сейчас вышло на нормальный уровень и даже подружилось с CryptoAPI. Но это сейчас, только в 2007 году. И то, толком в крупных городах в регионах.
Вроде и налоговая инспекция с банками применяют ЭЦП. И точка. Больше пока толком никого.
А использование цифровой подписи в остальных случаях так и осталось, пока, несбыточной мечтой.
Разумеется, что в своем обзоре я не рассказал о многих пикантных подробностях, но, думаю, в рамках данной статьи они будут излишни. Мне хотелось показать реальную причину того, почему у нас так плохо с вопросом внедрения ЭЦП в разные области нашей жизни.
Разумеется, добро пожаловать в комментарии; у меня не так много времени есть на ответы, но я постараюсь.
С любовью,
maniaque
