Bankir.Ru
11 декабря, воскресенье 01:31

Объявление

Свернуть
Пока нет объявлений.

Электронная подпись. Правовые основания и порядок использования

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Электронная подпись. Правовые основания и порядок использования

    Проект закона прошел первое чтение и судя по всему легко пройдет остальные с минимумом изменений. Так что, мне кажется, пора обсудить.

    Тем более, что там есть такое:
    "Статья 24. Вступление в силу настоящего Федерального закона
    Настоящий Федеральный закон вступает в силу со дня его официального опубликования." Означает ли это, что в один день станут незаконными почти все транзакции в системах "клиент-банк", "интернет-брокер" и т.д.? Ведь удостоверяющие центры возникнут не сразу.

    На Ваш взгляд, какие есть лазейки, чтобы все оставить как есть, а именно: банк и клиент сами решают как использовать ЭЦП. Обозвать это корпоративной информационной системой ?

    Текст закона можно получить здесь: http://www.nist.fss.ru/hr/doc/law/law-ecp.htm

  • #2
    Статья 4 п.3. гласит:
    Физические и юридические лица не обязаны использовать сертифицированные средства ЭЦП, если иное не установлено федеральными законами или соглашением сторон.

    Комментарий


    • #3
      Это хорошо.
      НО !
      Открытые ключи должны храниться в удостоверяющих центрах.

      "Статья 6. Сертификат ключа подписи
      1. Сертификат ключа подписи должен содержать следующие обязательные сведения:
      ...
      номер лицензии и дату ее выдачи;
      наименование и местонахождение федерального органа исполнительной власти, уполномоченного удостоверять открытый ключ ЭЦП удостоверяющего центра, выдавшего сертификат ключа подписи; "

      То есть неявно утверждается, что сам удостоверяющий центр, должен получить сертификат и ключи у ФАПСИ, чтобы потом подписывать открытые ключи клиентов.

      Кроме того,
      "2. Сертификат ключа подписи в виде электронных данных должен быть подписан ЭЦП удостоверяющего центра. "

      Тем самым накладываются ограничения на техническую реализацию прикладной системы.

      Например, в некоторых системах интернет-банкинга и интернет-трейдинга открытый ключ не передается в электронном виде, а сразу сохраняется в базе данных. Таким образом, вообще нет необходимости его чем-то заверять, но по закону - должны.

      Комментарий


      • #4
        Может есть кто из СБ? Сознайтесь, ваш клиент-банк закону удовлетворяет? Если нет, то я спокоен...

        Комментарий


        • #5
          Подкину ссылочу с интересными мнениями по сабжу
          http://www.libertarium.ru/libertariu...HFOR=%DD%D6%CF
          WBR
          serg

          Комментарий


          • #6
            п. 1 ст. 6 Проекта Закона: Сертификат ключа подписи должен содержать следующие обязательные сведения:

            .....
            наименование средства ЭЦП, с которыми можно использовать данный открытый ключ ЭЦП, номер сертификата на это средство и срок его действия, а также
            наименование и местонахождение центра сертификации, выдавшего данный сертификат, номер ЛИЦЕНЗИИ этого центра и дату их выдачи;
            .....

            номер ЛИЦЕНЗИИ и дату ее выдачи;


            Лицензию кого во втором случае - сертификационного центра или Банка использующего ЭЦП ?


            С уважением, Forge.

            Комментарий


            • #7
              По ссылке sharpcat, оказывается, более свежий вариант проекта, гораздо более неприятный


              Комментарий


              • #8
                Добрый день, господа!

                По роду занятий я занимаюсь вопросами
                Электронной коммерции и Интернет-банкинга и хочу отметить, что наш законопроект УЖАСНЫЙ!
                Ошибки обнаруживаются уже на первой странице.
                Дело в том, что в мировой практике разграничивают понятие электронной подписи и цифровой подписи.
                Цифровая подпись создается при помощи систем криптографии с открытым ключом и является частным случаем электронной подписи.
                У нас же все валят в одну кучу.
                Кроме этого хочется процитировать следующее:"электронная цифровая подпись (ЭЦП) реквизит электронного документа, защищенный от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП, позволяющий установить отсутствие утраты, искажения или подделки содержащейся в электронном документе информации, а также обладателя электронной цифровой подписи"
                Дело в том, что тут пропущен важный кусок о том, что преобразование информации происходит не только с использованием закрытого ключа, но и односторонней хэш-функции.
                В противном случае непонятно как удостоверяющий центр (Certificate Authority) будет выдавать сертификат с отметкой времени.
                И так далее и т.п. :-((((((((((
                На мой взгляд, для банков ничего не изменится. Вы же знаете как мы все работаем в этой стране.
                В конце концов банки могут приобрести софт и сами стать удостоверяющими центрами. В любом случае это придется делать, если серьезно заниматься системами Интернет-банкинга.

                Если есть вопросы-пишите на мыло consulting@hcms.ru

                Комментарий


                • #9
                  to BANKHELP

                  В конце концов банки могут приобрести софт и сами стать удостоверяющими центрами. В любом случае это придется делать, если серьезно заниматься системами Интернет-банкинга

                  А вы не заметили ма-а-аденький такой пунктик о 1000-кратной "страховке" ? Фактически, это скрытое ограничение максимальной суммы сделки.

                  И еще, поясните, пожалуйста, тезис про сертификаты с отметкой времени. В чем тут особенность применения хэш-функции? ЛЮбая ЭЦП считается от хэша (во всяком случае, практические реализации).
                  Earl Vlad Drakula. ///

                  Комментарий


                  • #10
                    Pif Может есть кто из СБ? Сознайтесь, ваш клиент-банк закону удовлетворяет? Если нет, то я спокоен... О святейшая ст. 22 Закона "Об информации, информатизации и защите информации", гласящая..."если средства защиты не сертифицированны любая ответственность возлагается на производителя ПО".. Поясняю... если Клиент-банк не сертицифицирован, то любая ответственность возлагается на банк, даже если платежка быола подписана подлинной ЭЦП Так что можете спать спокойно даже в том случае, если клиент-банк не сертифицирован... клиенту это только на руку.
                    Тысячами незримых нитей обвивает тебя Закон. Разрубишь одну - преступник. Десять - смертник. Все - Бог! ©

                    Комментарий


                    • #11
                      Господа!
                      В настоящее время рабочей группой Комитета по экономической политике производится сбор и отсев замечаний и пожеланий по законопроектам, принятым в первом чтении - ЭЦП и электронная торговля. Это подготовка ко второму чтению. По ЭЦП головным является комитет по информационной политике, но все равно законы будут согласовываться, потому и корректируются сразу оба закона. Если у кого есть конкретные предложнеия прошу посылать мне на мэйл с subj 'Laws'. Только именно конкретные предложения что на что изменить и/или добавить/убрать.



                      ------------------
                      С уважением,
                      Митричев Илья
                      ilya@rfc.ru, ilya@mail.transit.ru
                      ICQ 13530413
                      С уважением,
                      Митричев Илья
                      ilya@rfc.ru, ilya@mail.transit.ru
                      ICQ 13530413

                      Комментарий


                      • #12
                        To hugevlad

                        По поводу гражданской ответственности и 1000-кратном превышени суммы сделки - в этом законопроекте настолько много недочетов (мягко говоря). Вы сами знаете - примут, а мы будем подстраиваться под условия закона.
                        По поводу хэш - вы же не открытый текст сообщения будете предоставлять в удостоверяющий центр, чтобы получить сертификат подтверждающий момент создания этого сообщения.
                        Для этого подходит дайджест сообщения. Его не восстановить к исходному виду и не прочитать

                        Комментарий


                        • #13
                          to hugevlad

                          Конечно, если Ваша ЭЦП получена как дайджест исходного сообщения, подписанный личным ключом отправителя.
                          Согласитесь, что это недопустимо, если ЭЦП получена из открытого текста сообщения путем зашифрования личным ключом отправителя - обладатель открытого ключа, а именно УЦ сможет это расшифровать.
                          А вдруг авторы закона имели ввиду последнее.
                          На мой взгляд нужно четко формулировать требования к ЭЦП.

                          Комментарий


                          • #14
                            to BANKHELP
                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                            Вы сами знаете - примут, а мы будем подстраиваться под условия закона.
                            [/quote]
                            Вот это-то и грустно. А рычагов давления (кроме АРБ) - никаких.

                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                            По поводу хэш - вы же не открытый текст сообщения будете предоставлять в удостоверяющий центр, чтобы получить сертификат подтверждающий момент создания этого сообщения.
                            Для этого подходит дайджест сообщения. Его не восстановить к исходному виду и не прочитать
                            [/quote]
                            Ах, вот вы про какой сертификат
                            Так не вижу проблем. Я в УЦ даже не хэш понесу, а вычисленную ЭЦП. УЦ добавит к ней timestamp и подпишет всю эту байду. Потом предъявляю сообщение со своей ЭЦП. "А как Вы докажете, что оно написано в 12:01 такого-то числа?" "А вот пожалуйста, данная ЭЦП вместе с меткой времени заверена УЦ. Другому документу она принадлежать не может". Телемаркет
                            Earl Vlad Drakula. ///

                            Комментарий


                            • #15
                              to BANKHELP
                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Согласитесь, что это недопустимо, если ЭЦП получена из открытого текста сообщения путем зашифрования личным ключом отправителя - обладатель открытого ключа, а именно УЦ сможет это расшифровать.[/quote]
                              1. ЭЦП по определению не защищает документ от просмотра, у нее другое назначение.
                              2. Такая схема ЭЦП никогда не будет применяться на практике - несимметричное шифрование вычислительно слишком прожорливо, всегда считают дайджест (хэш-функцию, если использовать ГОСТовскую терминологию).
                              3. Никто не пойдет на такую роскошь, как ЭЦП размером с само сообщение.
                              4. Более того, большинство несимметричных преобразований заточено под определенный размер данных, в то время как сообщения могут иметь разную длину - опять-таки, без дайджеста не обойтись.

                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                              А вдруг авторы закона имели ввиду последнее.
                              На мой взгляд нужно четко формулировать требования к ЭЦП.
                              [/quote]
                              Ну, что имели ввиду авторы - дело темное
                              Однако, забивать в закон конкретную схему ЭЦП на мой взгляд - не правильно. Там выставлены требования к ней (что она должна обеспечить). Мало ли, вдруг завтра придумают более хороший алгоритм, выполняющий эти требования?

                              Earl Vlad Drakula. ///

                              Комментарий


                              • #16
                                To hugevlad

                                цитата:

                                __________________________________________
                                1. ЭЦП по определению не защищает документ от просмотра, у нее другое назначение.
                                2. Такая схема ЭЦП никогда не будет применяться на практике - несимметричное шифрование вычислительно слишком прожорливо, всегда считают дайджест (хэш-функцию, если использовать ГОСТовскую терминологию).
                                3. Никто не пойдет на такую роскошь, как ЭЦП размером с само сообщение.
                                4. Более того, большинство несимметричных преобразований заточено под определенный размер данных, в то время как сообщения могут иметь разную длину - опять-таки, без дайджеста не обойтись.
                                _________________________________________

                                С этим никто и не спорит.

                                А по поводу схемы - ее ведь уже забили (криптография). Но забили, на мой взгляд, не
                                корректно. Что может привести в дальнейшем
                                к затруднениям и в коммерческой и в правовой практике.

                                На мой взгляд, более аккуратно к этому вопросу подошла ABA в своей работе "Digital Signature Guidelines- Legal Infrastructure for CA and Secure Electronic Commerce". Хотя эта работа носит
                                прежде всего рекомендательный характер.

                                Наш закон носит название "Об электронной цифровой подписи". В мировой практике различают цифровую и электронную подписи. Цифровая подпись - это подпись, созданная при помощи криптографических средств и является ОДНИМ ИЗ ВИДОВ электронной подписи. У нас же все в кучу.
                                Конечно- формулировка электронной подписи должна быть "технологически независимой". Но
                                в нашем законе об этом нет и речи.
                                В конце концов разработчики могли бы ознакомиться и с американским и с европейским законодательством в этой области.
                                А у нас законы по-прежнему отражают интересы определенных группировок.

                                Комментарий


                                • #17
                                  А по поводу схемы - ее ведь уже забили (криптография). Но забили, на мой взгляд, не
                                  корректно. Что может привести в дальнейшем
                                  к затруднениям и в коммерческой и в правовой практике.

                                  Если нетрудно, поясните, что Вы имеете ввиду? Сейчас как раз заканчиваю статью о "граблях" с использованием ЭЦП, может что-то важное упустил

                                  На мой взгляд, более аккуратно к этому вопросу подошла ABA в своей работе "Digital Signature Guidelines- Legal Infrastructure for CA and Secure Electronic Commerce".
                                  А ссылочки на нее нет?

                                  Наш закон носит название "Об электронной цифровой подписи". В мировой практике различают цифровую и электронную подписи. Цифровая подпись - это подпись, созданная при помощи криптографических средств и является ОДНИМ ИЗ ВИДОВ электронной подписи. У нас же все в кучу.
                                  Позвольте не согласиться. У нас ЭЦП назвали то, что "у них" называется цифровой подписью. А все остальное у нас называется "аналоги собственноручной подписи" (АСП), включая электронное изображение, факсимиле и т.п. Не вижу противоречий - обсуждаемый закон регламентирует использование только одного из видов АСП, а именно - ЭЦП.

                                  Конечно- формулировка электронной подписи должна быть "технологически независимой". Но
                                  в нашем законе об этом нет и речи.

                                  Но ведь АСП в ГК РФ не ограничена рамками конкретной технологии? То, что в законе об эцп "забита" только несимметричная криптосхема - логично, т.к. необходимость подписи возникает в правоотношениях, участники которых нек совсем доверяют друг другу (иначе зачем тогда вообще договора и подписи?). Симметричная же подпись предполагает полное доверие участников системы обмена друг к другу.

                                  А у нас законы по-прежнему отражают интересы определенных группировок.
                                  Это - да
                                  Earl Vlad Drakula. ///

                                  Комментарий


                                  • #18
                                    Господа !
                                    Нельзя ли уточнить, какой именно текст принят в первом чтении и где его можно прочитать ?
                                    Например, по адресу http://jbsr.narod.ru/expert/ находится проект, отличающийся от обсуждаемого (имеется в виду ссылка в первом комментарии).

                                    Комментарий


                                    • #19
                                      Кто знает где в Интернете можно посмотреть проект Закона "Об электроно-цифровой подписи"? Очень надо.
                                      :)

                                      Комментарий


                                      • #20
                                        GLOBA Обсудим ФЗ "Об ЭЦП" там есть и ссылка. Текст проекта ФЗ "Об ЭЦП"
                                        Тысячами незримых нитей обвивает тебя Закон. Разрубишь одну - преступник. Десять - смертник. Все - Бог! ©

                                        Комментарий


                                        • #21
                                          В принципе ничего особенного в законе я не увидел, приятно что не надо дополнительно сертифицировать что-либо.
                                          С Уважением !!!
                                          P.S. не надо ездить быстрее, чем летает Ваш ангел. :)

                                          Комментарий


                                          • #22
                                            Коллеги!

                                            В настоящее время я занят подготовкой предложений в проект Закона "Об ЭЦП".
                                            После выходных планирую выложить полный текст замечаний и предложений, (если позволит Коршун).

                                            Замечания будут направлены от имени Законодательного собрания одого из субъектов РФ.
                                            Поэтому вновь поднимаю тему и жду новых идей.


                                            Коршун

                                            Можно ли выложить проектик замечаний? он на трех листах

                                            С уважением,
                                            Кирилл
                                            "Нет более верного признака дурного устройства городов, чем обилие в них
                                            юристов и врачей" Платон

                                            Комментарий


                                            • #23
                                              AKI
                                              Замечания будут направлены от имени Законодательного собрания одого из субъектов РФ.
                                              Поэтому вновь поднимаю тему и жду новых идей.
                                              В ближайшем номере (августовском) журнала "СИСТЕМЫ БЕЗОПАСНОСТИ, СВЯЗИ И ТЕЛЕКОММУНИКАЦИЙ" выходит статья про ЭЦП, там есть немного критики упомянутого закона

                                              regards, Vlad
                                              Earl Vlad Drakula. ///

                                              Комментарий


                                              • #24
                                                hugevlad

                                                Насчет критики правительственного проекта, так у меня ее не то, что немного, у меня ее - три листа мелким шрифтом.


                                                Вот, жду разрешения Коршуна, чтобы выложить сюда.

                                                С уважением,
                                                Кирилл
                                                "Нет более верного признака дурного устройства городов, чем обилие в них
                                                юристов и врачей" Платон

                                                Комментарий


                                                • #25
                                                  Кстати, вопрос о ЭЦП !!!
                                                  В новом законе "О лицензировании" № 128-ФЗ
                                                  лицензированию подлежит деятельность по оказанию услуг, связанных с использованием ЭЦП. Как считаете, на Банк-Клиент это распространяется ?
                                                  Каждый банк, использующий ЭЦП должен лицензироваться ?

                                                  Комментарий


                                                  • #26
                                                    Egor01
                                                    Как считаете, на Банк-Клиент это распространяется ?
                                                    Каждый банк, использующий ЭЦП должен лицензироваться ?
                                                    Я считаю - да. Как и применять только сертифицированные СКЗИ. Дело в том, что даже если отмахнуться отсутствием явного требования законодательства использовать для защиты данной информации только сертифицированные СКЗИ, по этому новому закону ответственность в случае возникновения проблем падает на банк. А оно ему надо?
                                                    Earl Vlad Drakula. ///

                                                    Комментарий


                                                    • #27
                                                      Господа, какие мнения по следующему:

                                                      "Статья 4. Условия признания равнозначности электронной цифровой
                                                      подписи и собственноручной подписи
                                                      1. Электронная цифровая подпись в электронном документе равнозначна
                                                      собственноручной подписи в документе на бумажном носителе при
                                                      одновременном выполнении следующих условий:
                                                      ...подтверждена подлинность электронной цифровой подписи в электронном
                                                      документе;..."

                                                      Смотрим, что же такое "подтверждение подлинности":
                                                      "Статья 3. Основные понятия, используемые в настоящем Федеральном
                                                      законе
                                                      Для целей настоящего Федерального закона используются следующие
                                                      основные понятия:
                                                      ...подтверждение подлинности электронной цифровой подписи в электронном
                                                      документе - положительный результат проверки соответствующим
                                                      сертифицированным средством ЭЦП с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанное данной электронной цифровой подписью электронного документе;..."

                                                      Выходит, любая ЭЦП юридически значима только от сертифицированного средства? Зачем тогда в отельном пункте специально оговаривать, что для гос.организаций - только сертифицированное?
                                                      :-(
                                                      Hу, читаем дальше.

                                                      " Статья 19. Случаи замещения печатей
                                                      ... 2. В случаях, установленных законами и иными нормативными правовыми
                                                      актами Российской Федерации или соглашением сторон электронная цифровая подпись в электронном документе, сертификат которой
                                                      содержит необходимые при осуществлении данных отношений сведения о
                                                      правомочиях его владельца, признается равнозначной собственноручной подписи лица в документе на бумажном носителе, заверенное печатью"

                                                      Hу, вообще все запутали. Сначала говорим, что ЭЦП - только сертифицированая,
                                                      потом - что не только (понятно, что соглашение сторон может это не предусматривать)?
                                                      Зачем этот пункт вообще, если сначала в статье 4 четко определены условия признания равнозначности, а теперь, я так понимаю, в общем, предоставляется возможность не выполнять эти условия?


                                                      Кто разъяснит, где собака порылась?

                                                      Комментарий


                                                      • #28
                                                        SD555
                                                        а вот дали бы Вы ссылочку, где можно его почитать, глядишь, может какие мысли я появились бы.

                                                        Комментарий


                                                        • #29
                                                          Текст здесь проекта закона здесь -> http://www.garant.ru/files/text68.rtf

                                                          Комментарий


                                                          • #30
                                                            Если б Вы только видели, какое неприкрытое ехидство и злорадство было на лице у одного нашего админа, когда он узнал, что я пытаюсь понять проект закона об ЭЦП. Оказывается, писал проект его преподаватель. Админ обещал дать его телефончик, т.ч. попробую дозвониться и понять, что на самом деле имелось в виду.

                                                            А пока..
                                                            По поводу противоречий ст. 4 и определения подлинности ЭЦП в ст. 3 сказать в общем-то нечего. Слово "сертифицированным" здесь явно лишне, вполне можно было обойтись "соответствующим".

                                                            С другой стороны, может ч. 2 ст. 17 дает нам право пропостить это мимо глаз?

                                                            Что касается ч. 2 ст. 19, эт, я думаю, из другой оперы. Просто взяли и переписали ч. 1 ст. 19 только с другой стороны. После слова "признается" не хватает "в порядке , установленном настоящим ФЗ".

                                                            Мне вот до сих пор не понятно про выдачу сертификатов ключей пользователям. С одной стороны, сертификата должно быть всего два, реквизитом его должна быть подпись владельца сертификата ч.3 ст 9.
                                                            Потом в ч. 4 ст. 6 говориться, что Сертификаты выдаются пользователям (хотя бы написали - дубликаты).
                                                            Затем читаю ст. 3, где говориться, что пользователь сертификата кл подписи - ...использующий сведения О сертификате (всего лишь), а не сам сертификат (или его дубликат)..

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X