Bankir.Ru
6 декабря, вторник 13:28

Объявление

Свернуть
Пока нет объявлений.

Поправки к закону об ЭЦП

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Поправки к закону об ЭЦП

    =======================
    ОГЛАВЛЕНИЕ
    ================

    Page 1

    Обсуждение 3 поправок к закону об ЭЦП


    1. Дополнительно к варианту удостоверения сертификата открытого ключа электронной подписью УЦ добавить следующий варианты:
    - удостоверение первого сертификата самим клиентом, путем подписи сертификата в бумажном виде и удостоверение последующих сертификатов предыдущей электронной подписью клиента.
    - сетевой вариант
    - ...
    2.Предусмотреть возможность получения сертификата в УЦ без необходимости предоставления туда заявления в письменном виде или каких-либо подтверждающих документов. При этом в сертификате производится запись о том, что за правильность указанных обладателем сертификата сведений УЦ ответственности не несет.

    3. Чтобы была следующая возможность для официальных сертификатов:
    - письменное заявление и подтверждающие документы (например, паспорт) предоставляются только в первый раз. При смене ключей повторное заявление и предоставление документов в УЦ не требуется в случае, если новый открытый ключ передается в УЦ, подписанный прежним секретным ключем, а также организовано взаимодействие УЦ с онлайновой службой, в которой регистрируются документы и отслеживается их состояние (например, онлайновая паспортная служба).


    Pages 1-6

    Очень горячее обсуждение поправки, которая призвана не допустить на рынок СКЗИ "котов в мешке":

    - электронная подпись юридически эквивалентна собственноручной только в случае, когда для ее формирования и проверки используются сертифицированные государством СКЗИ

    (дискуссия велась волнами, то потухнет, то погаснет . Длительность обсуждения вызвана важностью поправки:
    Проблема подделки подписи со временем станет относиться исключительно к СКЗИ. Уже сейчас для юрлиц вполне доступны ( 50$) устройства со встроенной криптографией, которое закрытый ключ никогда не покидает и поэтому неизвестен даже владельцу. А учитывая бурную эволюцию мобильников и КПК, не долго осталось ждать и более надежных криптоустройств с визуализацией того, что подписывается. Таким образом единственным слабым звеном электронной подписи остается СКЗИ. Вот почему так важна обязательная экспертиза СКЗИ.
    )

    Pages 7-9

    Обсуждение компромисного решения предыдущей поправки - добавить в Закон обязательное страхование СКЗИ.
    Часть обсуждения этого решения см. также на pages 2-3 "Голосования по обязательной сертификации СКЗИ" (http://dom.bankir.ru/showthread.php?s=&threadid=15910 )


    Обещанное обсуждение вопроса об отсутствии необходимости заверения времени электронной подписи документа см. в отдельном топике:
    http://dom.bankir.ru/showthread.php?s=&threadid=19738 (Так нужно ли заверять время электронной подписи? )
    ==========================================================


    Появилась форточка , запускаю тему.

    ИМХО, цель закона об ЭЦП - максимально избавиться от бумажной подписи. Вот у нас в РБ в законе об электронном документе отсутствуют положения об удостоверяющем (сертификационном) центре и смена ключей превращается в кошмар. Клиент после смены ключей должен распечатать и подписать карточку открытых ключей (аналог сертификата ключей), затем принести ее в банк. В банке операционист должен сверить подписи на карточке, расписаться и передать карточку администратору по безопасности. Тот сверяет карточку с файлом открытых ключей, полученным по модему, и только тогда дает клиенту доступ к работе с платежами. Раньше, когда клиентов было немного, они меняли ключи (в профилактических целях) раз в квартал. Когда их стало около 100 - раз в полгода. А ведь клиентов может быть и 10-20 тысяч, если обслуживать физиков. Во что превратится при таком порядке смена ключей?

    В российском законе вроде бы есть то, что нужно, но все как-то нечетко.
    Чего бы хотелось? Во-первых, чтобы было несколько видов сертификатов. Например, три

    1. Анонимный
    2. Именной
    3. Оффициальный

    Анонимный.
    Клиент сам создает пару ключей, в удостоверяющем центре (УЦ) в онлайне регистрирует открытый ключ и получает электронный сертификат.
    Затем на сайте банка оформляет заявление об открытии счета, ставит ЭЦП и вместе с заявлением отсылает в банк сертификат. И все. Счет открыт, и распоряжаться им может только владелец сертификата. Никаких бумаг ни в банк, ни в УЦ не требуется. Если нужно ключи сменить, то либо новый сертификат подписывается старым ключем, либо счет закрывается и для новых ключей открывается новый счет.
    Но, увы, в свете угрозы терроризма на анонимных счетах могут поставить жирный крест.

    Именной.
    Клиент сам создает пару ключей, в УЦ в онлайне регистрирует открытый ключ и получает электронный сертификат.
    Приходит в банк и пишет заявление, типа:
    Директор ООО "МММ" для осуществления своих полномочий может использовать электронную подпись. Проверка подписи под платежными документами осуществляется сертификатом №..., выданным Люберецким УЦ.
    При смене ключа нужно писать новое заявление - у сертификата изменится номер.
    В УЦ никаких документов (в том числе заявления на получение сертификата) относить не нужно, полномочия сертификата указываются в заявлении в банке.

    Официальный.
    Здесь в УЦ нужно принести документы, например, паспорт для паспортного сертификата или справку из налоговой с ИНН для налогового.
    Опять же, клиент сам создает пару ключей, в УЦ в онлайне регистрирует открытый ключ, но для формирования сертификата приносит в УЦ документы.
    И теперь никаких заявлений на бумаге, где указывается номер сертификата и полномочия, ни в банк, ни в другие места относить не нужно. Во всяком случае для физиков - достаточно электронного сертификата, переданного в банк в онлайне.
    Полномочия юрлица могут быть указаны в сертификате. Или опять же в заявлении в банк о полномочиях, но с указанием не номера сертификата, а типа, например, налоговый сертификат. В этом случае при смене ключей переписывать заявление в банке не нужно (как в случае именного сертификата), т.к. номер сертификата в заявлении не фигурирует.
    Было бы также неплохо при смене ключей обойтись без нового похода клиента в УЦ с документами, иначе ключи не будут меняться годами. Вариант такой смены - новый открытый ключ отправляется в УЦ, подписанный старым ключем, а онлайновая паспортная служба, в случае прекращения срока действия паспорта, посылает в УЦ требование на анулирование соответствующего оффициального сертификата.

    Что-то в этом роде. Каску надел !
    Последний раз редактировалось sandyman; 07.06.2002, 15:02.

  • #2
    Спасибо за тему.
    Прочитал с интересом, есть несколько замечаний-предложений.
    По разделам.

    Анонимный и именной сертификат.

    Регистрация и выдача сертификата в online.
    Как клиент убедится, что полученный им сертификат выдан именно данным УЦ, а не хакером, если все происходит online ? Вообще автоматическая выдача сертификата в ответ на любой запрос - это неправильно.

    Именной сертификат.

    Если сертификат уже выдан, то не нужно заполнять никаких бумаг, т.к. наличие сертификата означает, что клиент уже доказал свою "подлинность" удостоверяющему центру. В самом сертификате может указываться его назначение, например – для подписи под платежными документами. А для исключения совпадений, необходимо, видимо, вносить в сертификат паспортные данные.

    Официальный сертификат.

    Думаю, вполне можно новый открытый ключ отправлять в УЦ, подписав его старым закрытым. Может, криптографы нас поправят ? (если таковые присутствуют в форуме)
    Если у клиента меняется паспорт, то, видимо, сертификат нужно не "аннулировать", а заменить на другой, который будет отличаться от прежнего только номером паспорта (если, конечно, такое поле будет в сертификате присутствовать).

    P.S.:

    To all

    С НОВЫМ ГОДОМ !!!

    Комментарий


    • #3
      to dann14
      Как клиент убедится, что полученный им сертификат выдан именно данным УЦ, а не хакером, если все происходит online ? Вообще автоматическая выдача сертификата в ответ на любой запрос - это неправильно.

      Вообще-то я уже получал сертификат в онлайне, кажется в Verisign. Проверить просто, мой сертификат подписан УЦ, а сертификат УЦ общедоступен.
      Письменные заявления в УЦ для выдачи сертификата любого типа похоронят идею ЭЦП.
      А почему неправильно-то?

      Именной сертификат для того и введен, чтобы упростить его получение в УЦ. В отличие от официального сертификата его можно, как и анонимный, получить в онлайне без письменных заявлений и подтверждающих документов. При этом все полномочия полученного сертификата оговариваются в письменном заявлении в банке.

      Комментарий


      • #4
        To Sandyman

        1) По поводу получения сертификата в Verisign (Thawte и т.п.).
        Насколько я знаю, достаточно легко получить пробный сертификат (на одну-две недели). Для получения же "настоящего" сертификата любой уважающий себя УЦ потребует от Вас немало данных, типа:
        "Your identification number, passport number, social security number, driver licence number or tax number, depending on your nationality.
        Your full name and date of birth.
        Your employer's name, size and address (if you are employed).
        Your home address and contact details..."
        (эти данные требует Thawte)
        Вся эта информация нужна УЦ для надежной идентификации клиента, т.к. УЦ отвечает и гарантирует, что информация, содержащаяся в сертификате, соответствует действительности. Поэтому, получив запрос на выпуск сертификата в online, УЦ проверяет эту информацию и только после этого выдает сертификат, т.е. это происходит не автоматически. При этом для некоторых типов сертификатов УЦ может запросить документальное подтверждение представленной информации, если сочтет это необходимым. Главное, что мне хотелось подчеркнуть - УЦ выдает сертификат только после того, как убедился, что информация, которая включается в сертификат, соответствует действительности.
        2) По поводу того, что сертификат легко проверить, т.к. сертификат УЦ общедоступен.
        Если для проверки взять сертификат УЦ с того же WEB-сайта, на котором Вы получали свой сертификат, то это ничего не даст, т.к. если этот сайт взломан, то и сертификат УЦ будет подложный и все проверки пройдут.

        Комментарий


        • #5
          dann14: Поэтому, получив запрос на выпуск сертификата в online, УЦ проверяет эту информацию и только после этого выдает сертификат, т.е. это происходит не автоматически. При этом для некоторых типов сертификатов УЦ может запросить документальное подтверждение представленной информации, если сочтет это необходимым

          Есть разные типы сертификатов в том же Verisign. Например, сертификат разработчика ПО, без документов не получишь. И это правильно. Но если Вам нужен сертификат для электронной почты, то, убежден, что не то, что письменного заявления не требуется, но даже указываемые сведения не проверяются. И это тоже правильно, если в сертификате есть запись, типа, за правильность указанных обладателем сертификата сведений УЦ ответственности не несет.

          У меня для именного сертификата (не оффициального!) вполне достаточно, если будет указано, например, что его обладатель Петров Иван Иванович, 1914 года рождения, место рождения - Москва. Таких Петровых может быть сотня, что, впрочем, неважно. В банке, куда Петров обратится, он напишет заявление, в котором предложит использовать данный сертификат для проверки своей подписи и укажет реквизиты паспорта, которые банк сверит с документом.
          Петрову проще написать заявление в банке, куда он все равно придет, чтобы положить наличные на депозит, чем тащиться с заявлением в какой-то УЦ.

          Чем Вам не нравится такая схема?

          dann14: Если для проверки взять сертификат УЦ с того же WEB-сайта..

          Если Вы такой недоверчивый, то для проверки можно использовать, скажем, программу разработчика ИБ, куда сертификаты различных УЦ будут встроены намертво .

          Комментарий


          • #6
            To Sandyman

            Чем Вам не нравится такая схема?

            Да в принципе схема хорошая, понятная и логичная. А не нравится то, что в Вашей схеме содержимое сертификата не проверяется перед его выдачей. Действительно, для организации личной защищенной почты этого достаточно. Но не для системы Банк-Клиент.
            Например, компания Thawte сообщает перед выдачей бесплатного сертификата (его содержимое действительно не проверяется) для использования в электронной почте:

            "Thanks for requesting a certificate from us. We will issue it as soon as possible and notify you by email when it is done.
            HOW TO GET YOUR NAME IN YOUR CERT:
            Your certificate will not contain your name, because we have no basis to know that you are who you say you are. If you want to get your name into your certificate there are currently two different ways to do so:
            1. Trusted Third Parties

            (можно подробно прочитать по адресу http://www.thawte.com/certs/personal/wot/ttpintro.html)
            2. Web of Trust

            (https://www.thawte.com/cgi/personal/wot/directory.exe)
            If you go through one of these processes you will be able to
            put your name into any of your certificates!
            "

            Процедуры 1 и 2 описывают два варианта подтверждения подлинности – через доверенную третью сторону либо через нотариуса.
            А в Вашей схеме доказывать "that you are who you say you are" все-таки тоже нужно, только делать это будет банк, который должен сверить реквизиты в сертификате и паспортные данные клиента. Кстати, а как это будет делаться ? И в каком виде клиент "принесет" в банк свой сертификат ?

            Но в принципе, повторюсь, Ваша схема мне нравится.

            По поводу "встраивания" сертификатов УЦ в ПО.
            Microsoft уже идет по этому пути, "встраивая" сертификаты наиболее известных сертификационных компаний в системное ПО. Но я не знаю, насколько эти сертификаты надежно защищены в Windows от подмены, если считать, что ПК клиента не защищен. Наиболее надежный способ хранения сертификата УЦ – на внешнем носителе вместе с закрытым ключом.

            По этому поводу вспоминается хорошая фраза:
            если у вас паранойя, то это не значит, что за вами никто не следит

            Комментарий


            • #7
              dann14: А в Вашей схеме доказывать "that you are who you say you are" все-таки тоже нужно, только делать это будет банк, который должен сверить реквизиты в сертификате и паспортные данные клиента.

              Паспортные данные есть только в официальном (паспортном) сертификате. И сверять их в банке не нужно. В идеале клиенту, например, для открытия счета, даже приходить в банк не обязательно. Достаточно заявления в электронном виде, подписанного паспортным сертификатом. В УЦ, ведь, при выдаче сертификата сверка паспорта уже производилась.
              В именном сертификате паспортных данных вообще нет, поэтому и сверки в банке делать также не нужно.

              dann14: в каком виде клиент "принесет" в банк свой сертификат ?

              В случае именного сертификата, как уже говорилось, клиент пишет заявление, что для проверки его подписи использовать сертификат №... такого-то УЦ. Это заявление попадает админу ИБ, который в онлайне связывается с УЦ, получает указанный сертификат, сверяет данные, указанные клиентом в заявлении (ФИО, год и место рождения) и если все совпадает, то привязывает данный сертификат к заведенному в ИБ клиенту. Если, например, заявление написано от имени Петрова И.И., а сертификат выдан на Козлова А.А., то у админа есть повод уточнить информацию: или он ошибся и ввел не тот номер сертификата или клиент ощибся с номером в заявлении. Если клиент будет настаивать на использовании сертификата, выданного на имя Козлова, банк может с этим согласиться. Вдруг это его девичья фамилия . Правда таких оригиналов, думаю, будет немного. Т.е. персональные данные клиента в именном сертификате нужны только для исключения возможных ошибок. И поэтому никаких бумаг, включая заявку на выдачу именного сертификата, клиенту в УЦ нести не нужно. Бумаги оформляются в банке !

              Что до безымянных почтовых сертификатов Thawte, думаю, они напрасно перестраховываются. Достаточно, как уже говорилось, записи, что за правильность указанных обладателем сертификата сведений УЦ ответственности не несет.

              Комментарий


              • #8
                sandyman
                dann14

                Как то далеко ушли от темы в технику. Это же произошло и с законом. Вместо законе об ЭЦП (кстати сразу замечу правильнее говорить ЦП, а не ЭЦП) мы получили закон об удостоверяющих центрах (к тому же недоделанный). Технология с удостоверяющими центрами лишь одна извозможных технологий цифровой подписи (есть обычная - с каталогами, сетевая, слепая и т.д.). Все они остались за бортом (это и к лучшему, закон их не регулирует). Основная поправка к закону - это выкинуть все что связано с удостоверяющими центрами, и внести побольше моментов связанных с предоставлением информации, заверенной цифровой подписью в суды, арбитражи и т.д.

                Алексей.

                Комментарий


                • #9
                  Alexei Volchkov: Технология с удостоверяющими центрами лишь одна из возможных технологий цифровой подписи (есть обычная - с каталогами, сетевая, слепая и т.д.). Все они остались за бортом (это и к лучшему, закон их не регулирует). Основная поправка к закону - это выкинуть все что связано с удостоверяющими центрами..

                  Ну вот у нас в РБ в законе ни слова об УЦ, но для удостоверения открытых ключей требуется бумажная карточка с открытыми ключами, подписанная клиентом. Во что превращается при этом смена ключей я уже говорил. Что же здесь хорошего? Если в законе ничего не будет сказано о возможных способах электронного удостоверения открытых ключей, остается только один - бумажный.

                  Комментарий


                  • #10
                    to sandyman

                    Вы очень правильно написали "для удостоверения открытых ключей требуется бумажная карточка с открытыми ключами, подписанная клиентом". Так вот это только один из способов удостоверения. В т.н. сетевой подписи этого не надо. Также замечу, что судя по разговорам с коллегами даже при наличии возможности электронного заверения ключей бумажный останется основным.

                    Комментарий


                    • #11
                      to Le Colonel

                      Может Вы знаете ссылку на альтернативные способы удостоверения (сетевой, слепой..) или расскажете о них здесь коротко.

                      Le Colonel: даже при наличии возможности электронного заверения ключей бумажный останется основным.

                      Как же Вы представляете себе процесс смены ключей в банке для 20-30 тысяч физиков при бумажном удостоверении, ведь срок действия ключа не может быть пожизненным.

                      Комментарий


                      • #12
                        sandyman
                        Позвольте ответить мне.

                        "Как же Вы представляете себе процесс смены ключей в банке для 20-30 тысяч физиков при бумажном удостоверении, ведь срок действия ключа не может быть пожизненным"

                        В штатном случае, новый открытый ключ подписывается старым ключом подписи, открытый ключ для проверки старой подписи есть в бумажном виде. Далее по индукции . А нештатный случай на то он и нештатный.

                        "Может Вы знаете ссылку на альтернативные способы удостоверения"

                        В сетевой подписи условно говоря ключ для подписи есть некая комбинация (не сертификат) ключа центра и ключа пользователя, имеется процедура получения этой комбинации. При этом сформировать подпись без предварительной процедуры "подключения" к центру невозможно. Для проверки надо знать фактически только открытй ключ подписи.

                        мой e-mail volchkov@gsmrus.ru черкните пару строк, я Вам отвечу подробнее.

                        Алексей.

                        Комментарий


                        • #13
                          to Alexei Volchkov

                          В законе РБ прописан единственный способ удостоверения:
                          Принадлежность открытого ключа проверки подписи владельцу личного ключа подписи удостоверяется путем постановки этим лицом подписи (подписи и печати) на карточке открытого ключа проверки подписи
                          А карточка однозначно бумажная. Так что у нас индукция не проходит.
                          Если в законе РФ будет прописан механизм удостоверения, допускающий индукцию, думаю, никто возражать не будет .

                          Alexei Volchkov: я Вам отвечу подробнее

                          Полагаю, другим банкирам это было бы тоже интересно.
                          Если в сетевой подписи открытый ключ не удостоверяется, то что мешает хакеру для проверки подписи одного из клиентов подкинуть в банк свой открытый ключ и прислать платеж от его имени.

                          Комментарий


                          • #14
                            sandyman

                            Alexei Volchkov: я Вам отвечу подробнее

                            Полагаю, другим банкирам это было бы тоже интересно.
                            Если в сетевой подписи открытый ключ не удостоверяется, то что мешает хакеру для проверки подписи одного из клиентов подкинуть в банк свой открытый ключ и прислать платеж от его имени.


                            Я уже писал: В сетевой подписи условно говоря ключ для подписи есть некая комбинация (не сертификат) ключа центра и ключа пользователя поэтому хакер не инициированный в системе ничего подкинуть не сможет, в т.ч. и ключ для проверки.
                            Подробнее могу ответить, но не здесь, здесь неудобно формулы писать и объем маловат.

                            Комментарий


                            • #15
                              ОК, главное не в этом.

                              Пока две основных поправки к закону об ЭЦП

                              1. Дополнительно к варианту удостоверения сертификата открытого ключа электронной подписью УЦ добавить следующий варианты:
                              - удостоверение первого сертификата самим клиентом, путем подписи сертификата в бумажном виде и удостоверение последующих сертификатов предыдущей электронной подписью клиента.
                              - сетевой вариант
                              - ...
                              2.Предусмотреть возможность получения сертификата в УЦ без необходимости предоставления туда заявления в письменном виде или каких-либо подтверждающих документов. При этом в сертификате производится запись о том, что за правильность указанных обладателем сертификата сведений УЦ ответственности не несет.

                              Да, еще одна поправка. Чтобы была следующая возможность для официальных сертификатов:
                              - письменное заявление и подтверждающие документы (например, паспорт) предоставляются только в первый раз. При смене ключей повторное заявление и предоставление документов в УЦ не требуется в случае, если новый открытый ключ передается в УЦ, подписанный прежним секретным ключем, а также организовано взаимодействие УЦ с онлайновой службой, в которой регистрируются документы и отслеживается их состояние (например, онлайновая паспортная служба).

                              Последний раз редактировалось sandyman; 09.01.2002, 10:42.

                              Комментарий


                              • #16
                                To Sandyman, Volchkov
                                Насколько я разобрался в Вашей полемике, Вы оба предлагаете внести изменения в закон. Sandyman хочет его дополнить, Volchkov сократить.
                                А что если рассмотреть такой вариант.
                                1. Закон об ЭЦП предусматривает процедуру "заверения подписи" (а ля нотариат)
                                2. Отдельно пишется закон об удостоверяющих центрах, способах заверения подписи и т.д.

                                Комментарий


                                • #17
                                  to Le Colonel

                                  Такой вариант вполне допустим. В любом случае поправки необходимы.

                                  Комментарий


                                  • #18
                                    sandyman:
                                    за правильность указанных обладателем сертификата сведений УЦ ответственности не несет. -- вот как классно! А что же он тогда удостоверяет своим сертификатом? И на фига такой сертификат нужен?
                                    По поводу закона:
                                    Может быть, я недостаточно внимательно его читал, но у меня сложилось впечатление, что в законе предусмотрена ответственность УЦ перед тем, кому он выдал сертификат -- но не перед тем, кому он ПОДТВЕРДИЛ подпись этого лица. По аналогии: как если бы нотариус нес ответственность за подтверждение вашей подписи на документе только перед вами, но не перед вашим контрагентом, которому вы вручаете заверенный нотариусом документ. Вообще-то это ставит под сомнение саму концепцию УЦ.

                                    Еще одна фишка: подписи действительны только для тех областей применения, на которые выдан для данной подписи сертификат. Иными словами, получили подпись для налоговой, потом подписали ею договор -- и смело можете отказываться от его исполнения: подпись недействительна.

                                    Чем думали?

                                    Комментарий


                                    • #19
                                      sandyman, alexve

                                      Если уж пошла речь о "фишках", то вот одна из главных.

                                      "Статья 12. Обязательства владельца сертификата ключа подписи
                                      1. Владелец сертификата ключа подписи обязан:
                                      не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее".

                                      То есть один раз подписал (сиречь использовал) далее крантец, нужен новый ключ и сертификат.

                                      Комментарий


                                      • #20
                                        alexve: А что же он тогда удостоверяет своим сертификатом
                                        Если УЦ, значит он обязательно должен удостоверять ?

                                        alexve: И на фига такой сертификат нужен?

                                        Я же в самом начале топика об этом говорил. Если УЦ что-то удостоверяет, то туда нужно лично явиться.
                                        А физика посылать в УЦ банку невежливо. Проще будет физику в онлайне сгенерировать ключи, зарегистрировать в УЦ сертификат и уже в банке написать заявление, где этот сертификат будет указан для проверки его подписи. Ведь УЦ можно было бы назвать и сертификационным центром, который обеспечивает весь сервис, необходимый для работы с сертификатом.

                                        Что касается отношений, указываемых в сертификате, то здравая мысль там имеется. У меня, как у физлица, может быть один сертификат, другой сертификат для исполнения должностных полномочий в одной фирме, и третий - в другой фирме. Но..
                                        Если УЦ удостоверит в сертификате, что я директор фирмы, то кто аннулирует данный сертификат, когда меня уволят? На фига такое удостоверение?

                                        Комментарий


                                        • #21
                                          To sandyman
                                          Вы пишитеЖ " А физика посылать в УЦ банку невежливо. Проще будет физику в онлайне сгенерировать ключи, зарегистрировать в УЦ сертификат и уже в банке написать заявление, где этот сертификат будет указан для проверки его подписи"

                                          А не проще ли банку стать УЦ для своей корпоративной системы и никого никуда не гонять ...

                                          Комментарий


                                          • #22
                                            to Le Colonel

                                            Может и проще, но не дешевле .

                                            Комментарий


                                            • #23
                                              sandyman

                                              Может и проще, но не дешевле

                                              Слежу за дискуссией, но вот этого высказывания не понял.

                                              Комментарий


                                              • #24
                                                to Alexei Volchkov

                                                Поясняю. Не каждый банк пойдет на затраты по созданию собственного УЦ (ПО, сервер, возможное лицензирование УЦ), если можно будет воспользоваться услугами чужого.

                                                Комментарий


                                                • #25
                                                  to sandyman

                                                  Похоже, что Вы не правы, в таком важном деле, как работа УЦ, аутсорсинг может оказаться значительно менее выгодным, чем содержание своего собственного центра. По крайней мере по соображениям безопасности. Я знаю, что были предложения по созданию единого УЦ для группы дружественных компангий, но кончилось это созданием УЦ в каждой из них и "перекрестной сертификацией".

                                                  Алексей.

                                                  Комментарий


                                                  • #26
                                                    to Alexei Volchkov

                                                    Еще аргумент: когда УЦ принадлежит банку нарушается принцип разделения полномочий и увеличивается уязвимость клиента от произвола банка. Поэтому банку стоит использовать внешний УЦ в интересах своих же клиентов .

                                                    ИМХО, основной массе народа в личных целях (например, переписка) вполне будет достаточно сертификатов со сведениями, за которые несет ответственность только владелец сертификата (именного, в моей классификации) и для получения которого не нужно идти в УЦ - вполне достаточно онлайна. Остальные пусть приносят в УЦ необходимые документы.
                                                    Главное, чтобы закон допускал обе эти возможности, а там народ разберется.

                                                    Комментарий


                                                    • #27
                                                      sandyman
                                                      Не вижу оснований (закон пока не трогаем) финансовых или технологических отказываться банкам от действующих систем, наоборот эти причины (финансовая и технологическая) скорее заставят банки сопротивляться внедрению внешних УЦ.

                                                      Алексей.

                                                      Комментарий


                                                      • #28
                                                        to Alexei Volchkov

                                                        Чем плохо, если в России появятся свои Thawte или Verisign и банки (и не только) будут пользоваться их услугами?

                                                        Да, еще, на мой взгляд, в законе плохо прописаны вопросы сертификации и лицензирования.

                                                        Во-первых, в законе нужно закрепить обязательную сертификацию СКЗИ. Ведь никто не возражает, скажем, против сертификации лекарственных средств. Банк, приобретая СКЗИ, должен быть уверен, что это не какая-то очередная разрекламированная панацея от всех болезней, в которой, кроме мела и каких-нибудь красителей и ароматизаторов (в лучшем случае), ничего нет.
                                                        Введение обязательной сертификации можно отсрочить года на 2-3, но сертификат у каждого СКЗИ быть обязан!

                                                        Другой вопрос, должна ли сертификация быть исключительно государственной, причем в лице ФАПСИ. Возможно, по аналогии с частными школами, которые выдают аттестаты государственного образца, могут быть и негосударственные центры сертификации. Но такие центры должны иметь соответствующую государственную лицензию.
                                                        Разве я не прав ?
                                                        Последний раз редактировалось sandyman; 16.01.2002, 19:06.

                                                        Комментарий


                                                        • #29
                                                          Но только в случае обязательной сертификации СКЗИ ответственность за вскрытие информации или подделку подписи должна лежать так же и на сертифицирующем органе.
                                                          А, кроме того, не совсем понятно почему необходима обязательная сертификация. Банк - не старушка которая бросается на "разрекламированную панацею", специалисты банка должны делать заключение о возможности использования средств защиты (как впрочем и использования ПО) сами. Хорошо если у этого средства есть сертификат, но если его нет - это не повод средством защиты не пользоваться. Пример PGP - если его не сертифицировал ФАПСИ, это не значит, что плохое средство защиты.

                                                          Комментарий


                                                          • #30
                                                            2 sandyman
                                                            Во-первых, в законе нужно закрепить обязательную сертификацию СКЗИ ...Разве я не прав ?

                                                            Видимо не правы, поскольку:
                                                            1. В рекомендациях евросоюза по инфраструктуре электронных подписей, в рекомендациях ВТО и в рекомендациях UNCITRAL прямо сказано обязательная сертификация недопустима.
                                                            2. Германия в котрой законодательно 5 лет назад было закреплено лицензирование и сертификация УЦ, в настоящее время переделывает закон.
                                                            3. Обязательной сертификации средств защиты информации и аутентификации (что такое СКЗИ, равно как и шифровальные средства "я не знаю") нет даже в Китае, а лицензированием там занимается министерство юстиции.

                                                            Алексей.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X