14 ноября, среда 13:52
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Новый ФЗ об ЭЦП

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Новый ФЗ об ЭЦП

    http://lukatsky.blogspot.com/2010/01...post_1009.html

  • #2
    .

    Комментарий


    • #3
      Спасибо, очень интересно - но очень грустно - на таком языке у нас в Олбании даже не говорят. интересно, тайный куст с которого курили, когда писали после принятия раскроют?

      С таким изложением еще лет 10 все разбираться будут - жесть!

      Комментарий


      • #4
        Прочёл раздел 1. Заметил разницу между электронной подписью и электронной цифровой подписью. Интересно, это так и примут, или кто-нибудь всё-таки дочитает раздел до 12 пункта, не забыв про первый...
        /kiv

        Комментарий


        • #5
          to Илюха
          А Вы прочитайте раздел 2, там даны определения как первого, так и второго:
          электронная подпись – информация в электронно-цифровой форме, которая присоединена к другой информации в электронно-цифровой форме или логически связана с ней и которая может быть использована для идентификации подписавшего такую информацию физического или юридического лица. Видами электронных подписей являются: электронная подпись, не отвечающая требованиям к усиленной электронной подписи (простая электронная подпись), усиленная электронная подпись, в том числе усиленная электронная подпись, имеющая квалифицированный сертификат (квалифицированная электронная подпись);
          электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

          Смысл первого - доказать, что документ подписан определенным человеком, при условии ряда выполняемых требований.
          Смысл второго - доказать, что в подписанном документе не производилось изменений.

          Комментарий


          • #6
            Сообщение от Uomo Посмотреть сообщение
            to Илюха
            А Вы прочитайте раздел 2, там даны определения как первого, так и второго:
            электронная подпись – информация в электронно-цифровой форме, которая присоединена к другой информации в электронно-цифровой форме или логически связана с ней и которая может быть использована для идентификации подписавшего такую информацию физического или юридического лица. Видами электронных подписей являются: электронная подпись, не отвечающая требованиям к усиленной электронной подписи (простая электронная подпись), усиленная электронная подпись, в том числе усиленная электронная подпись, имеющая квалифицированный сертификат (квалифицированная электронная подпись);
            электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

            Смысл первого - доказать, что документ подписан определенным человеком, при условии ряда выполняемых требований.
            Смысл второго - доказать, что в подписанном документе не производилось изменений.
            Не совсем в этом различие.
            Электронная подпись - любой вариант электронного подписания,
            электронно-цифровая подпись - обязательно с помощью криптосредств.

            Комментарий


            • #7
              Сообщение от Uomo Посмотреть сообщение
              Смысл первого - доказать, что документ подписан определенным человеком, при условии ряда выполняемых требований.
              Смысл второго - доказать, что в подписанном документе не производилось изменений.
              Что и требовалось доказать. Либо мы доказываем, что известно кто подписал неизвестно что, либо доказываем, что известно что подписано неизвестно кем.

              То же самое про "подписание без использования криптосредств". Либо неэлектронное, но без использование, либо электронное, но тогда уж с использованием.

              Я и говорю - разруха. Полная и окончательная.
              /kiv

              Комментарий


              • #8
                А как Вам такой оборот?

                "Статья 10. Сертификат ключа подписи
                ...
                2. Выданный удостоверяющим центром сертификат ключа подписи должен содержать, как минимум, следующие сведения:
                1) даты начала и окончания срока его действия;..."

                "Статья 10. Сертификат ключа подписи
                ...
                4. Сертификат ключа подписи действует с момента его выдачи, если иная дата начала действия сертификата ключа подписи не указана в самом сертификате ключа подписи."...

                Это как это она может быть не указана, если должна?

                Комментарий


                • #9
                  Сообщение от SAndreyV Посмотреть сообщение
                  А как Вам такой оборот?

                  "Статья 10. Сертификат ключа подписи
                  ...
                  2. Выданный удостоверяющим центром сертификат ключа подписи должен содержать, как минимум, следующие сведения:
                  1) даты начала и окончания срока его действия;..."

                  "Статья 10. Сертификат ключа подписи
                  ...
                  4. Сертификат ключа подписи действует с момента его выдачи, если иная дата начала действия сертификата ключа подписи не указана в самом сертификате ключа подписи."...

                  Это как это она может быть не указана, если должна?
                  Единственное ключевое слово - "иная". Слова местами переставьте - и все встанет на свои места:

                  "Сертификат ключа подписи действует с момента его выдачи, если" - 1
                  "иная дата начала действия сертификата ключа подписи)" - 4
                  "не указана" - 3
                  "в самом сертификате ключа подписи" - 2

                  т.е.

                  Сертификат ключа подписи действует с момента его выдачи, если в самом сертификате ключа подписи не указана иная дата начала действия сертификата ключа подписи.
                  З.Ы.: Согласен, нормальный человек написал бы "Сертификат ключа подписи действует с даты начала срока его действия, указанной в самом сертификате", но то - нормальный человек. Надеюсь, к третьему чтению поправят - если останется, что поправлять.

                  Комментарий


                  • #10
                    Да все-таки в новом законопроекте много недоработанных мест, да и неточностей.
                    У меня вот возник вопрос, смежный с данной темой, поэтому не буду плодить другую, а задам его здесь:
                    Возможно ли создание системы электронного документооборота с применением ЭЦП имеющей юридическую силу, на основе свободнораспространяемого ПО, к примеру такого как OpenSSL?
                    С созданием собственного удостоверяющего центра на основе ПО OpenSSL.
                    Потребуется ли лицензирование УЦ в ФСБ?
                    Здесь - http://www.cryptopro.ru/cryptopro/fo...g=posts&t=1349
                    товарищи пишут, что: Создание своего удостоверяющего центра – это достаточно хлопотное и затратное мероприятие. Затраты составят сумму свыше 2 миллионов рублей. Также необходимо получение лицензий ФСБ России на деятельности связанные с шифровальными (криптографическими) средствами.
                    На сайте ФСБ - http://www.fsb.ru/fsb/supplement/contact/lsz.htm
                    есть перечень лицензирования отдельных видов деятельности, среди них есть следующий:
                    6. предоставление услуг в области шифрования информации (Порядок лицензирования определяется постановлением Правительства Российской Федерации от 29.12.2007 г. № 957 «Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»);
                    Ну а если посмотреть само положение - http://www.consultant.ru/online/base...se=LAW;n=74104
                    Мы можем прочитать следущее:
                    Настоящее Положение не распространяется на предоставление услуг в области шифрования информации с использованием:
                    б) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;

                    К данному пункту можно отнести и OpenSSL.
                    При этом п.2 статьи 8 ФЗ №1 Об ЭЦП:
                    2. Деятельность удостоверяющего центра подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности.
                    Утратил силу. - Федеральный закон от 08.11.2007 N 258-ФЗ.

                    Вот поэтому и возникает вопрос, может ли организация создать корпоративную систему электронного документооборота с использованием ЭЦП. И таким образом, чтобы ЭД подписанные ЭЦП имели юридическую силу при разрешении споров в суде?
                    Последний раз редактировалось Uomo; 22.01.2010, 09:01.

                    Комментарий


                    • #11
                      Uomo,

                      OpenSSL предназначена для защиты соединений. вы о каком ЭДО вообще говорите? кто здесь?

                      к новому ФЗ вааще никаким боком не относится

                      Комментарий


                      • #12
                        Вопрос часто возникает.

                        Сообщение от Uomo Посмотреть сообщение
                        криптографические возможности которых не могут быть изменены пользователями
                        Система, криптографические возможности которой могут быть вообще отключены, пусть даже указанием http вместо https в строке адреса, не подходит. К сожалению. Тем более, система, возможности которой могут быть изменены настройкой в "панели управления".
                        /kiv

                        Комментарий


                        • #13
                          Сообщение от xell Посмотреть сообщение
                          OpenSSL предназначена для защиты соединений
                          Это только кажется. Хотя
                          OpenSSL is a cryptography toolkit implementing the Secure Sockets Layer
                          (SSL v2/v3) and Transport Layer Security (TLS v1) network protocols and
                          related cryptography standards required by them.
                          в его состав входит

                          The openssl program is a command line tool for using the various cryp-
                          tography functions of OpenSSL's crypto library from the shell. It can
                          be used for
                          o Creation of RSA, DH and DSA key parameters
                          o Creation of X.509 certificates, CSRs and CRLs
                          o Calculation of Message Digests
                          o Encryption and Decryption with Ciphers
                          o Handling of S/MIME signed or encrypted mail
                          что ясно свидетельствует, что тулкит легко позволяет организовать ЭДО.
                          /kiv

                          Комментарий


                          • #14
                            Сообщение от Илюха Посмотреть сообщение
                            Вопрос часто возникает.

                            Система, криптографические возможности которой могут быть вообще отключены, пусть даже указанием http вместо https в строке адреса, не подходит. К сожалению. Тем более, система, возможности которой могут быть изменены настройкой в "панели управления".
                            Честно говоря не совсем понял, о чем Вы говорите.
                            Если говорить не о исходниках OpenSSL, а о скомпилированной версии, которая свободно распространяется в Интернете, то мы имеем конечный продукт, с заданными свойствами, которые пользователь не может изменять.

                            to xell
                            С помощью OpenSSL, довольно легко организовать свой удостоверяющий центр, который будет осущесвлять выпуск и обслуживание сертификатов. При этом лишь немного автоматизировав процесс.
                            Как пример можно посмотреть - http://www.opennet.ru/opennews/art.shtml?num=12802

                            Комментарий


                            • #15
                              Сообщение от Uomo Посмотреть сообщение
                              Честно говоря не совсем понял, о чем Вы говорите.
                              Если говорить не о исходниках OpenSSL, а о скомпилированной версии, которая свободно распространяется в Интернете, то мы имеем конечный продукт, с заданными свойствами, которые пользователь не может изменять.
                              Даже скомпилированный тулкит - это всего лишь тулкит. Компонент системы. Система, в которой Вы его собираетесь использовать, не равна этому тулкиту. А именно она должна быть доступна, немодифицируема и не иметь отключаемой либо перенастраиваемой криптографии.
                              /kiv

                              Комментарий


                              • #16
                                Сообщение от Илюха Посмотреть сообщение
                                Даже скомпилированный тулкит - это всего лишь тулкит. Компонент системы. Система, в которой Вы его собираетесь использовать, не равна этому тулкиту. А именно она должна быть доступна, немодифицируема и не иметь отключаемой либо перенастраиваемой криптографии.
                                Но в положении на предоставление услуг в области шифрования информации, не сказано, что система в которой предполагается использование средства шифрования информации должна быть "равна" средству шифрования.
                                А про то что там указано - криптографические возможности средства не могут быть изменены пользователем, документация является доступной, в том числе и для проверки.
                                Может быть мы конечно говорим на разных языках, но я вроде бы тоже айтишник =)

                                Комментарий


                                • #17
                                  Uomo,

                                  вы скажите, что за ЭДО хочется, что в нем передаваться будет?

                                  Комментарий


                                  • #18
                                    http://www.signal-com.ru/ru/news/news_549/

                                    Комментарий


                                    • #19
                                      Сообщение от xell Посмотреть сообщение
                                      Uomo,

                                      вы скажите, что за ЭДО хочется, что в нем передаваться будет?
                                      Внутрикорпоративный электронный документооборот, с применением ЭЦП в условиях равнозначности собственноручной подписи и с гарантией, что электронные документы, подписанные ЭЦП, можно будет использовать в конфликтных ситуациях (спорах) при их разрешении в судебном порядке. И что они будут признаны судом как полноценные документы, имеющие юридическую силу.

                                      Комментарий


                                      • #20
                                        Uomo,

                                        тогда можете забыть об OpenSSL, для юридически значимого ЭДО - OpenSSL (даже если бы он позволял такой ЭДО организовать), как минимум должен быть сертифицирован ФСБ.
                                        Думаю, что это не возможно (хотя бы потому, что это не российские СКЗИ) , соответственно про разработку своего УЦ я и не говорю.

                                        Комментарий


                                        • #21
                                          Сообщение от Uomo Посмотреть сообщение
                                          Может быть мы конечно говорим на разных языках, но я вроде бы тоже айтишник =)
                                          Ну да. Длинная бесконечная фраза с кучей придаточных предложений. Ключевые в ней - операционные системы. Которые разработаны для продажи пользователям, устанавливаются пользователем самостоятельно, имеют доступную документацию, и содержат немодифицируемые и неотключаемые криптокомпоненты. И для работы с этими криптокомпонентами - лицензия не нужна.

                                          Единственный известный мне пример - смарткарты

                                          Винда - не подошла. Как и любой популярный дистрибутив линукса. Вне зависимости от качества компонентов. Просто потому, что её криптографические возможности могут управляться и фактически управляются пользователем.
                                          /kiv

                                          Комментарий


                                          • #22
                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                            большое, спасибо - молодцы )))) аж настроение поднялось! теперь бы еще их послушали!

                                            Комментарий


                                            • #23
                                              Сообщение от xell Посмотреть сообщение
                                              Uomo,

                                              тогда можете забыть об OpenSSL, для юридически значимого ЭДО - OpenSSL (даже если бы он позволял такой ЭДО организовать), как минимум должен быть сертифицирован ФСБ.
                                              Думаю, что это не возможно (хотя бы потому, что это не российские СКЗИ) , соответственно про разработку своего УЦ я и не говорю.
                                              Может я конечно дотошный, но все-таки - откуда вы взяли, что ПО для создания УЦ должно быть сертифицировано!?
                                              В ФЗ №1 об "ЭЦП" этого пункта нет, как я уже указывал выше.
                                              Требований по обязательному лицензированию, сертификации ПО используемого для внутреннего документооборота в организации я нигде не нашел в том числе и на сайте ФСБ:
                                              http://www.fsb.ru/fsb/supplement/contact/lsz.htm

                                              Напомню, OpenSSL не планируется распространять вне организации, как и полученные средствами OpenSSL сертификаты. А в ФЗ №1 об "ЭЦП" нет никаких требований на этот счет.

                                              Комментарий


                                              • #24
                                                Сообщение от Uomo Посмотреть сообщение
                                                Напомню, OpenSSL не планируется распространять вне организации, как и полученные средствами OpenSSL сертификаты. А в ФЗ №1 об "ЭЦП" нет никаких требований на этот счет.
                                                На самом деле, как уже 100пицот раз говорилось, к огромаднейшему сожалению, законодательство в этом месте у нас в гандурасе мягко говоре не очень, и по-этому представители разных органов рассматривают эти вопросы по-разному, т.е. узнать это можно будет - только в суде.

                                                если мы хотим юридически значимую ЭЦПу, то сертификация берется, ну хотя бы от-сюда:
                                                1-фз, подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;

                                                Комментарий


                                                • #25
                                                  А что вы скажете о Lotus Notes? На котором уже построено очень много корпоративных систем ЭДО?
                                                  Там каждому пользователю выдается свой сертификат.

                                                  Комментарий


                                                  • #26
                                                    Увидел несколько полезных изменений:

                                                    1. Владельцем ключа и сертификата теперь может являться и юридическое лицо. Таким образом снимаются противоречия с положением ЦБ 17-П. Кроме того, при использовании носителей с неизвлекаемыми ключами отпадает необходимость производить смену ключей при смене ответственного лица. Выдал ключ на организацию и пусть они сами дальше думают, что делать.

                                                    2. При использовании усиленной электронной подписи обязанности по хранению ключей в тайне и ответственность за утерю свойства конфиденциальность и использование скомпромитированного ключа целиком ложится на его владельца.

                                                    3. Наличие сертификата для усилиенной электронной подписи не обязательно. Таким образом снижается количество бумажек и не обязательно иметь удостоверяющий центр для осуществления документооборота. Обмен платёжными документами может быть целиком обеспечен в рамках 17-П и при этом всё будет в рамках закона.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от w3d Посмотреть сообщение
                                                      А что вы скажете о Lotus Notes? На котором уже построено очень много корпоративных систем ЭДО?
                                                      Там каждому пользователю выдается свой сертификат.
                                                      А что про него говорит - хорошая штука, мало того она умеет и с ЭЦП по ГОСТ.
                                                      Если кто-нить кто прикручивает к нему гостовую ЭЦП проводил испытания на корректность встраивания - будет юридически значимый ЭДО.
                                                      Думаю, что для организации уж прям юридически значимый ЭДО и не нафиг - в полне хватит и криптухи от IBM.

                                                      Сертификат выдается средствами системы, т.е. электронный - а жизнь по 1-ФЗ устроена сильно сложней

                                                      Комментарий


                                                      • #28
                                                        Сообщение от xell Посмотреть сообщение
                                                        На самом деле, как уже 100пицот раз говорилось, к огромаднейшему сожалению, законодательство в этом месте у нас в гандурасе мягко говоре не очень, и по-этому представители разных органов рассматривают эти вопросы по-разному, т.е. узнать это можно будет - только в суде.

                                                        если мы хотим юридически значимую ЭЦПу, то сертификация берется, ну хотя бы от-сюда:
                                                        1-фз, подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
                                                        А относительно ФЗ №1 об ЭЦП все выглядит довольно неоднозначно. Фрагмент, который вы упомянули находится в главе 1, статья 3. Но больше в законе ни слова о обязательной сертификации корпоративных систем, не являющихся системами общего пользования.
                                                        Хотя в главе 2, статья 4:
                                                        Условия признания равнозначности электронной цифровой подписи и собственноручной подписи
                                                        1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
                                                        сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
                                                        подтверждена подлинность электронной цифровой подписи в электронном документе;
                                                        электронная цифровая подпись испольуется в соответствии со сведениями, указанными в сертификате ключа подписи.

                                                        Но если проверку подлинности ЭЦП осуществляет ЭДО (пусть это будет Lotus Notes, DocsVision и т.п.), тоесть ЭДО должна быть сертифицирована или криптопровайдер операционной системы, если криптографические функции из ЭДО передаются на него, а не удостоверяющий центр.
                                                        Получается по крайней мере, то что я вижу, что закон можно трактовать не так однозначно.
                                                        И узнать кто прав можно будет действительно скорее всего только в суде.
                                                        Последний раз редактировалось Uomo; 26.01.2010, 10:40.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Uomo Посмотреть сообщение
                                                          И узнать кто прав можно будет действительно скорее всего только в суде.
                                                          как я и говорил уже - если примут новый ФЗ - понимание ентого вопроса отложится еще лет на 10. когда уже клиенты судится будут? нужно, наверное, бесплатно обучать клиентов ДБО и их юристов в грамотности в области ЭЦП, чтобы поскорее прецендент создали.

                                                          причем, я думаю, этот ФЗ сначала примут - а уже потом будут разбираться - а нафинг это сделали?

                                                          Комментарий


                                                          • #30
                                                            Сообщение от xell Посмотреть сообщение
                                                            как я и говорил уже - если примут новый ФЗ - понимание ентого вопроса отложится еще лет на 10. когда уже клиенты судится будут? нужно, наверное, бесплатно обучать клиентов ДБО и их юристов в грамотности в области ЭЦП, чтобы поскорее прецендент создали.

                                                            причем, я думаю, этот ФЗ сначала примут - а уже потом будут разбираться - а нафинг это сделали?
                                                            Xell а не могли бы привести примеры того с какими обращениями можно было бы пойти в суд? Что именно не так делают лица предоставляющие ДБО?

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X