Bankir.Ru
10 декабря, суббота 00:19

Объявление

Свернуть
Пока нет объявлений.

Наличие сертификата - это не доказательство в суде?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Наличие сертификата - это не доказательство в суде?

    Как я понял, чтобы подтвердить в суде, что ты владеешь подписанным электронно контрагентом К документом Д, НЕОБХОДИМО и ДОСТАТОЧНО предоставить следующее:
    1. Документ Д, который можно расшифровать с помощью сертифицированного средства, полученного от Удостоверяющего Центра УЦ, используя открытый ключ, указанный в сертификате С. При этом документ должен содержать номер сертификата С и юридические реквизиты УЦ.
    2. Документ - ответ УЦ ДОУЦ, который можно расшифровать используя открытый ключ УЦ, указанный в моем бумажном договоре БД с УЦ. При этом этот ДОУЦ должен содержать:
    а) сертификат С в определенном в БД формате. При этом в сертификате должен быть указанны наименование и прочие идентифицирующие юридические аттрибуты клиента К.
    б) дату/время формирования ДОУЦ.
    в) электронную подпись клиента К под документом Д.
    3. Бумажный договор БД с УЦ, в котором указан отпечаток открытого ключа УЦ.

    Если у меня все это есть, то я могу спать спокойно В процессе разбирательств выяснится, что виноват либо клиент К, либо сам УЦ.

    НО: Как я понял такое практически никто не реализует
    Необходимость получения и хранения ДОУЦ, а не сертификата вызвана тем, что любой клиент УЦ может потерять секретный ключ и сразу сообщить об этом в УЦ. При этом сертификат-то у всех останется :о(
    Формировать черные списки у клиентов УЦ не реально, т.к. нет гарантии, что они быстро дойдут до всех клиентов УЦ.

    Но при таком раскладе сильно возрастает трафик с УЦ.
    Также, если вдруг УЦ потеряет секретный ключ, то он его поменять уже не сможет и последствия для него будут зависеть от того, насколько быстро он найдет всех своих клиентов и подпишет (на бумаге) с ними расторжение договора.
    Я все правильно понял?

  • #2
    Существует ФЗ "Об ЭЦП" - там все написано, что у кого должно быть. Самый "темный" вопрос - это что будет после прекращения действия сертификата автора ЭЦП, нужны "доказательства определяющие момент подписания".
    Однако этот закон не работает всилу отсутствия Лицензий на деятельность УЦ.
    Поэтому все живут по ГК - на прямых договорах о признании ЭЦП и где криптоключи выдает кто то , например, АС банка или еще кто имеющий лицензию ФАПСИ на оказание услуг.
    P.S.
    А к чему вы этот вопрос затронули?

    Комментарий


    • #3
      Да вот хочется стать Удостоверяющим Центром.
      У меня вот какая мысль:
      Закон об ЭЦП не запрещает редактировать сертификаты. А что если при каждой передаче сообщения предварительно посылать просьбу о редактировании сертификата с целью внесения в него права подписи документа, имеющего определенную подпись. Затем УЦ вернет такой сертификат, где укажет дату/время проверки актуальности. Таким образом документ будет содержать момент подписания, подтвержденный третьим лицом (УЦ) и все решается в соответствии с законом об ЭЦП.
      Юристы давайте, нападайте :о)

      Комментарий


      • #4
        На вас технари нападут :-)
        Вы говорите о подмене полиси (эта информация имеет подпись УЦ), другими словами предлагаете делать одноразовые сертификаты управляя либо кратким сроком их жизни, либо через CRL отзывая старые. Вы представляете нагрузку на УЦ?
        Второе - это тоже не спасет, поскольку после прекращения жизни сертификата становятся спорными все его подписи, поскольку время жизни сертификата определяется совокупностью условий препятствующих факту не фиксированной компрометации секрета, и по истечении срока жизни сертификата вероятность не фиксированной компрометации резко возрастает (срок жизни с одной стороны должен быть чем больше тем менее хлопотней для клиента, с другой - созданием условий чтобы у него незаметно не утащили секрет. Именно поэтому сертификаты простых смертных обычно - 1 год, а на УЦ - 3 и выше, там можно поставить за железной дверью автоматчика и все это залить бетоном - шутка).
        Именно поэтому и нужны "доказательства момента" - кто третий, например, квитанция "Электронного нотариуса" или перевод подписанного электронного документа перед прекращением действия сертификата автора в бумажной вид - создать формуляр ЭЦП и руками его завизировать (на момент создания формуляра - все ок).

        Комментарий


        • #5
          перед прекращением действия сертификата автора в бумажной вид - создать формуляр ЭЦП и руками его завизировать (на момент создания формуляра - все ок) - это не прокатит, т.к. сертификат может "умереть" буквально в любую секунду: у клиента укардут его ключ, он узнает и анулирует сертификат.

          Срок жизни РЕДАКЦИИ сертификата не ограничен, но она имеет время выдачи, подтвержденное УЦ и хэш-функцию документа, к которому эта РЕДАКЦИЯ прикладывается. Поэтому, чтобы доказать, что у клиента есть действительно подписанный контрагентом документ, он должен показать этот подписанный документ + РЕДАКЦИЮ сертификата УЦ, в котором есть однозначная ссылка на этот документ. Таким образом мы имеем доказательство времени подписания документа.
          Понятно, что нагрузка на УЦ возрастает, но по другому-то никак :О(

          Комментарий


          • #6
            Я даже не знаю что на это ответить :-)
            Не надо ничего выдумывать, все написано и проверено временем в RFC.
            Не надо монитором пытаться забить гвоздь, для этого есть молоток -
            не надо выдумывать РЕДАКЦИИ есть RFC3029 - DVCS.
            Чтобы выловить мгновенный срез CRL придумали специально для RealTime систем - дельта CRL.
            Ну и так далее ...
            Желаю удачи.

            Комментарий


            • #7
              Уважаемые господа.
              Позвольте краткий коментарий.
              1. Есть закон об ЭЦП (к жизни отношения не имеет, поскольку его положения противоречивы раз, и потому что нет положения об УЦ - два).
              2. Есть практика (более 10 лет) основанная на ГК и АПК, об этом неоднократно писалось в форуме (см. предыдущие дискуссии).
              3. Сертификация средства (изделия, услуги и т.д.) будь она доброваольная или обязательная никакой ответственности на сертифицирующий орган не возлагает, и для суда не является показателем "качества товара". Поскольку в суде излагаются аргументы не технического, а юридического характера, постольку техническая проверка средства ничего нового не добавляет. Выход один - детально прописанная процедура разбора конфликтной ситуации, акцептованная всеми участниками системы.

              С уважением
              Алексей Волчков

              Комментарий


              • #8
                Уважаемы Алексей.
                Вы совершенно правы по всем пунктам. Автор и пытается сформулировать каким образом будет осуществлятся проверка подписи и устанавливаться момент подписания - кусочек регламента, который напрямую (по нынешнему состоянию законодательства) должны акцептироваться всеми участниками его системы.
                P.S.
                Если есть желание, не могли бы вы прокомментировать тезис - "положения противоречивы" (ФЗ "Об ЭЦП").

                Комментарий


                • #9
                  Sergey_Murugov

                  Вообще на эту тему много писано, но вот Вам живой пример
                  Если не ошибаюсь статья № 12 (могу ошибиться номером но не содержанием)

                  12. Обязательства обладателя электронной цифровой подписи

                  Обладатель электронной цифровой подписи обязан:
                  не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи где-либо используются или использовались ранее;
                  ...

                  То есть один раз подписал документ (то есть использовал ключ), привет, генерируй новый, получай новый сертификат и так далее, как про попа у котрого была собака.

                  Еще одно противоречие - само определение подписи, как реквизита электронного документа. Во первых понятие электронного документа отсутствует, а во вторых что такое реквизит электронного документа. Например антивирусный update явно не документ, но его можно (замечу и нужно) получать подписанным.
                  Вообще на эту тему много бодались именно в этом форуме, посмотрите соответствующие темы примерно год назад, если есть более пристальный интерес пишите

                  Алексей.

                  Комментарий


                  • #10
                    Telo
                    Похоже, вы складываете в кучу 2 проблемы:
                    1) Удостоверение времени подписания документа. Для этого в обмене должна присутствовать третья сторона - timestamp server, пришлепывающая к подписанному документу отметку времени и подписывающая всю эту байду.
                    2) Наличие промежутка времени между компрометацией ключа и доведеним этого факта до потенциальных "потребителей" (выпуск CRL, апдейт OCSP-сервера и т.п.). Это решается четким прописыванием всех сроков в CPS/CP (aka "Регламент УЦ") с указанием "крайнего" на каждом этапе. Если сказано, что УЦ выпускает CRL не позднее 5 часов с момента получения запроса на отзыв, то если в этот промежуток злоумышленник воспользуется краденым ключом, "попал" владелец ключа. Если проверяющий подпись (получатель) поленился обновить CRL или провериьт сертификат через OCSP - он сам себе злобный Буратино.
                    Earl Vlad Drakula. ///

                    Комментарий

                    Пользователи, просматривающие эту тему

                    Свернуть

                    Присутствует 1. Участников: 0, гостей: 1.

                    Обработка...
                    X