Объявление

**yava** · 17.12.2001, 17:32

__Это у Zeppа нужно спросить

, пока его нет приведу кое-какую инфу:
__Консультативный совет по вопросам электронной торговли разработал концепцию проекта федерального закона "Об электронных подписях". Предмет разработки - регулирование всех аналогов собственноручной подписи за исключением электронно-цифровой подписи ...Новая концепция рассматривает использование множества подписей: карточные, PIN-кодовые, идентификация по сетчатке глаза и отпечаткам пальцев.
__Подробности на:
http://www.cnews.ru/topnews/2001/12/04/content5.shtml

**sharpcat** · 18.12.2001, 16:14

to Dann14

Приведите определение ПИН-кода и все будет понятно.

**Zepp** · 18.12.2001, 20:10

Насколько я понимаю, ПИН-код - не ЭЦП, а другой аналог собственноручной подписи.

**Maestro** · 18.12.2001, 21:54

Про ПИН-код, кажется, и так ясно, что не ЭЦП. А как быть, например, с различными генерилками паролей-псевдо-ЭЦП наподобие DigiPass?

**Zepp** · 19.12.2001, 08:02

Maestro IMHO, также как с ПИН-ами.

**sharpcat** · 19.12.2001, 08:48

to Maestro

Действительно, нигде не написано что преобразовоние должно основываться
на асимместричных криптоалгоритмах и что закрытый ключ не равен
открытому.

**sandyman** · 19.12.2001, 09:58

to sharpcat

И как это закрытый (секретный) ключ может быть равен открытому (публичному)?

**sharpcat** · 19.12.2001, 14:18

to Sandyman

А где написано что нет?
Просто пытаюсь подогнать возможные варианты под определение.
Если не запрещено, значит разрешено. ведь так?

**Maestro** · 19.12.2001, 15:24

В DigiPass, насколько я помню, вообще нет открытого ключа, система построена по принципу хеширования входных данных. Согласно приведенного выше определения выполняются практически все функции, кроме последнего, так как ЭЦП DigiPass подтверждает отсутствие искажений только входных данных. Для платежки, например, если хешируется № документа, дата, сумма, валюта и счет получателя, дигипассовская ЭЦП практически соотв. приведенным параметрам, так как позволяет проверить все основные моменты платежного поручения.

**dann14** · 19.12.2001, 15:31

К вопросу о том, что такое PIN-код и о других аналогах собственноручной подписи.
Предлагаю такую цепочку понятий.

Идентификатор – персональное обозначение, позволяющее выделить субъект среди всех других в определенном множестве субъектов.
Пароль – идентификатор субъекта, который является его секретом.
PIN-код – цифровой пароль.

Очевидна аналогия между PIN-кодом и секретным ключом, при помощи которого формируется ЭЦП. Оба представляют собой цифровую последовательность, держатся в секрете и позволяют аутентифицировать субъект.

PIN-код может служить необходимым элементом для формирования цифровой подписи (не ЭЦП !). Например, можно вычислить некоторую одностороннюю функцию, взяв в качестве аргументов PIN-код и текст документа. Получившееся значение и будет цифровой подписью. Это - фактически механизм подсчета MAC (Message Authentication Code), где в качестве секретного ключа выступает PIN-код. Главное отличие от ЭЦП здесь в том, что на другом конце нужно знать PIN-код, чтобы проверить подпись, т.е. нельзя исключить подделку документа принимающим абонентом.

Вообще, понятие цифровой подписи шире, чем принятое у нас понятие ЭЦП (см. выше). Отсюда зачастую возникает недопонимание, особенно при обсуждении зарубежных криптографических средств защиты.

**EUgeneUS** · 21.12.2001, 08:04

sharpcat

> Действительно, нигде не написано что преобразовоние должно основываться
на асимместричных криптоалгоритмах и что закрытый ключ не равен
открытому.

А ГОСТ? Ведь приняли же его уже (на ЭЦП)?

Т.ч. ЭЦП в России - все что ГОСТу соответствует. Все остальное НЕ попадает под Закон об ЭЦП. Вернее попадать может, но есть вероятность оспаривания.
А значит все что что не ГОСТ должно описываться другими документами (не Законом об ЭЦП), в первую очередь Договором с клиентом.

С уважением,
============

**dann14** · 21.12.2001, 10:19

To EUgeneUS

В законе об ЭЦП даны определения открытого и закрытого ключа, сертификата и др., из которых ясно, что речь идет об асимметричных алгоритмах. Таким образом, по закону реализовать такую ЭЦП, которую признают в суде равнозначной собственноручной, можно только с использованием асимметричных алгоритмов.
При этом в законе нигде не сказано о необходимости использования ГОСТа. НО !
В статье 3 читаем, что

"подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством ЭЦП..."

То есть получается, что подписывать можно любыми средствами, а проверять - только сертифицированными...
А как известно, ФАПСИ сертифицирует только те программно-аппаратные (или программные) комплексы, в которых реализуется ГОСТ. Таким образом, неявно присутствует требование об обязательности использования сертифицированных средств, реазилующих ГОСТ.
Хотя есть надежда что слово "сертифицированным" (выделено мной синим) попало в определение по ошибке и его нет в окончательной редакции закона, т.к. в дальнейшем нигде явно о необходимости использования сертифицированных средств ЭЦП в корпоративных системах не говорится.

21.12.2001, 10:46

To EUgeneUS

Еще раз хотелось бы подчеркнуть, что если средство ЭЦП не соответствует ГОСТу, то это не означает, что его можно использовать вне рамок данного закона.
В статье 1 говорится, что действие закона не распространяется на "иные аналоги собственноручной подписи", т.е. построенные на принципах, отличных от тех, которые сформулированы в определениях (асимметричная криптография). А попробуйте найти "аналоги", не использующие принципы асимметричной криптографии. Я таких не знаю...

**sharpcat** · 21.12.2001, 13:54

А что такое "асимметричная криптография"? Ее определения в законе нет.

Давайте сперва определимся, что мы хотим (что хотят банки) и что мы должны
или не должны.

Вопросы такие:

1 Должны ли банки играть по правилам установленным этим законом, те
должны ли банки использовать ЭЦП?

2 Хотят ли банки играть по правилам этого закона?

3 Если банки согласны заплатить за лицензию и сертифицированные
средства, тогда нет никаких вопросов.

Если банки не согласны платить за лицензии и сертифицированные средства,
то существуют ли и какие возможности по обходу закона об ЭЦП. Можно ли например пользоваться "аналогами собственноручной подписи"(АСП) (кстати
ее определения нет) и каков будет ее статус? Если статус АСП определен
договором между банком и клиентом, в котором расписаны все детали
использования АСП, то сможет ли теперь банк отстоять свои права в случае отказа от платежа?

А по поводу того, ГОСТ или нет, если есть требование использовать
только сертифицированные средства, то какая разница?
По поводу PINкодов я подходил формально. Из пин-кода можно легко
и спокойно сделать атрибут для проверки целострности документа.
(тот же HMAC как в SSL например). Можно назвать ключ проверки НМАС
открытым ключем а ключ формирования HMAC - закрытым ключем.
и формально все подойдет под определения Закона об ЭЦП.

**sharpcat** · 21.12.2001, 14:03

Кстати, нашел в нашем договоре на РКО следующую фразу:

"Банк не несет ответственности за ущерб, причиненный Клиенту вследствие признания сомнительными подписей уполномоченных лиц и печати Клиента с образцами, хранящимся в Банке, а также из-за необнаруженных подделок, за исключением случаев, когда со стороны Банка не были приняты надлежащие меры предосторожности."

если люда подставить слово АСП (ну или ЭЦП), то зацем нам вообще нужно
ЭЦП???

**Димитрий** · 21.12.2001, 15:31

Очевидна аналогия между PIN-кодом и секретным ключом, при помощи которого формируется ЭЦП. Оба представляют собой цифровую последовательность, держатся в секрете и позволяют аутентифицировать субъект.

Самое главное в Вашем определении "держатся в секрете". Как говАривал старина Мюллер: "То, что знает двое - знает свинья!".

В случае ЭЦП секретная компонента известна ТОЛЬКО владельцу. И владелец искренне и всеобъемлюще заинтересован в сохранности сего секрета.

В случае PIN-кода, онный известен как минимум двум сторонам, владельцу и аутентифицирующей стороне. Первый - кровно заинтересован в сохранности секрета. У второй же стороны ярко выраженной суперзаинтересованности не наблюдается ни под каким углом. Ибо все издержки из-за разглашения секрета аутентифицирующая сторона не несет, а перекладывает на первую (на владельца). Более того, в случае PIN-кода создать документ с такой "цифровой подписью" может и аутентифицирующая сторона. То есть главная задача цифровой подписи - аутентичность документа (однозначное подтверждение авторства и целостности) - при использовании PIN-кода не решается. А навязывается обычная профанация.

Поэтому сравнивать с функциональной точки зрения ЭЦП с PIN-кодом, это как сравнивать два средства передвижения - инвалидную каляску и спэйс-шатл. Различия между ЭЦП и PIN-кодом настолько качественны, что сама мысль проведения уравнивания повергает в шок либо от полнейшей безграмотности, либо от жгучего желания отдельных маркетологов буржуйских продуктов притянуть за уши PIN-код к цифровой подписи.

Кратко резюмируя - между указанными механизмами бесконечная непреодолимая пропасть.

Вообще, понятие цифровой подписи шире, чем принятое у нас понятие ЭЦП (см. выше). Отсюда зачастую возникает недопонимание, особенно при обсуждении зарубежных криптографических средств защиты.

Глубокое заблуждение и полная дезинформация.

Во всем мире, как и у нас в стране, цифровая подпись, aka электронная цифровая подпись, есть функция от секретной компоненты, созданной и известной ТОЛЬКО и ИСКЛЮЧИТЕЛЬНО ВЛАДЕЛЬЦУ, и электронного документа.

При этом проверить цифровую подпись можно с использование известной ВСЕМ (а не только принимающей стороне) открытой компоненты (опять же созданной исключительно ВЛАДЕЛЬЦЕМ из секретной компоненты).

С уважением, Репан Димитрий
Компания "БИФИТ"

P.S. Г-ну dann14 настоятельно рекомендую почитать Брюса Шнайера, дабы не повторять попугаем глупости, высказанные не всегда технически квалифицированными зарубежными маркетологами.

**sharpcat** · 21.12.2001, 15:43

DR>> электронная цифровая подпись, есть функция от секретной
DR>> компоненты, созданной и известной ТОЛЬКО и ИСКЛЮЧИТЕЛЬНО
DR>> ВЛАДЕЛЬЦУ, и электронного документа.

Из закона Об ЭЦП

ЭЦП>> закрытый ключ ЭЦП - уникальная последовательность символов,
ЭЦП>> известная владельцу сертификата ключа подписи и
ЭЦП>> предназначенная для создания в электронных документах
ЭЦП>> электронной цифровой подписи с использованием средств ЭЦП;

Как видим, в определении ЭЦП из Закона нет акцента "ТОЛЬКО и ИСКЛЮЧИТЕЛЬНО". То есть закон не исключает знание
секретной компоненты кем-либо помимо ее владельца.
Как это объяснить

**Димитрий** · 21.12.2001, 16:02

Господа, прочитал весь топик и ужаснулся.

О чем идет речь? Какие цели приследуем?

Как техническим специалистам всем совершенно понятно КАЧЕСТВЕННОЕ различие между полноценным механизмом ЭЦП и различными притянутыми за уши сурогатами, являющимися по сути профанацией самой идеи цифровой подписи.

Сергей Фуров (aka sharpcat) очень четко определил направление движения дискуссии. Вот ключевая фраза:

Просто пытаюсь подогнать возможные варианты под определение.
Если не запрещено, значит разрешено. ведь так?

Господа, всем известно, что есть Дух Закона, и есть Буква Закона.

По Духу новый Закон об ЭЦП предполагает использование нормальных абсолютно полноценных СЕРТИФИЦИРОВАННЫХ средств криптографической защиты информации. Государство позаботилось о своих гражданах, дабы последние использовали только гарантированно качественные инструменты в своей работе/бизнесе/отдыхе/жизни.

Государство не стало размениватся на всякие полубеременные PIN-коды и прочие сурогаты, создающие иллюзию защищенности. Быка сразу взяли за рога.

Теперь у многих стал вопрос, что делать с решениями, использующими несертифицированные СКЗИ. А ничего не делать. Жить и эволюционировать. Если разработчик предлагает перейти на сертифицированное СКЗИ - стоит прислушаться.

Есть еще один путь - обратиться к Букве Закона, вычитывая определения и находя несостыковки и неточности в тексте Закона, пытаться подвести свою ситуацию под свою же интерпретацию Буквы Закона. Это тоже выход. Только вот с какой стороны, и насколько правильный????

Может все-таки правильнее быть в русле Закона, и соблюдать Дух Закона?!

С уважением, Репан Димитрий
Компания "БИФИТ"

P.S. Отвлекся на форум после вкусного обеда

Помню, что за мной еще дискуссия с Андреем из "Северной Казны". Думаю на выходных наконец-то всем отвечу.

**sharpcat** · 21.12.2001, 16:19

я плакаль

"Граждане, покупайте билеты в Провал! Мужчинам и женщинам по 10к,
старикам и детям по 5"

**dann14** · 24.12.2001, 11:23

To sharpcat

Давайте сперва определимся, что мы хотим

Я хочу иметь большой выбор надежных и не очень дорогих средств криптозащиты.
Думаю, что тенденция сейчас такова, что большинство компаний намерены сертифицировать свои продукты и вопросов о выборе действительно не будет. Сейчас уже имеют сертификаты ФАПСИ как минимум 7 компаний (МО ПНИЭИ, Анкорт, КриптоПро, Анкад, Инфотекс, Информзащита, Сигнал-КОМ), из них пять предоставляют программные средства, реализующие ЭЦП.
А вот лицензии получать не очень хочется. Кстати, интересно, многие ли банки имеют лицензию ФАПСИ ?

To sharpcat again

… закон не исключает знание секретной компоненты кем-либо помимо ее владельца.

Этот принцип заложен в закон сознательно, т.к. допускается вариант изготовления закрытых ключей ЭЦП удостоверяющим центром:

"[B[Статья 5.[/B] Использование средств ЭЦП
1. Создание ключей электронной цифровой подписи осуществляется для использования в:
информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;
корпоративной информационной системе в порядке, установленном в этой системе."

Спасибо за дискуссию, которая явно выходит за рамки предложенной темы.

**Le Colonel** · 24.12.2001, 13:27

TO ALL. Господа вся эта дискуссия преждевременна. На днях был в комитете по экономической политике совета федерации. Так вот, закон заворачивается обратно в ГД, поскольку не удовлетворяет требованиям здравого смысла. Основные пункты коррекции - лицензирование и сертификация.

TO Димитрий. На днях "пил чай" с коллегами из отдела лицензирования ФАПСИ. Была сказана знаковая фраза. "Ну Вы, коммерсанты хреновы, Вы хотя бы внутри себя бы договорились, а то вот как Сигнал-Ком лицензию получил, каждый день бегает и просит душить всех, у кого ее нет. Да вот кстати и этот как его БИФИТ, теперь тоже суетится, мол все должны под нами ходить . Пока там у Вас так, нам здесь плохо не будет".

Le Colonel

**alexve** · 24.12.2001, 15:08

абсолютно полноценных СЕРТИФИЦИРОВАННЫХ средств криптографической защиты информации. Государство позаботилось о своих гражданах, дабы последние использовали только гарантированно качественные инструменты
-- я плакалЪ.
Сертифицированный -- не значит гарантированно качественный. Сертифицированный -- значит "получивший подтверждение соответствия требованиям ГОСТ". При этом сертифицирующий орган НЕ НЕСЕТ НИКАКОЙ ОТВЕТСТВЕННОСТИ за последствия применения СКЗИ. Какой же нужен цинизм (или какая же нужна наивность), чтобы всерьез думать, что государство заботилось о том, чтобы граждане использовали качественные инструменты! Государство если и заботилось о своих гражданах, то только о тех, которые работают в ФАПСИ или связанных с ним фирмах...

**dann14** · 24.12.2001, 16:05

To LeColonel

Спасибо за информацию, надеюсь, что вопросы лицензирования и сертификации изложат более четко.

To alexve

Все-таки, на мой взгляд, сертифицированный - значит гарантированно качественный. По крайней мере так должно быть. Вопрос об ответственности - важный, но не касается непосредственно качества продукта.
Хотелось также заметить, что нынешняя система сертификации не позволяет убедиться, что я пользуюсь действительно той версией ПО, которую проверяло ФАПСИ. На мой взгляд, необходимо подписывать ПО и публиковать открытые ключи ФАПСИ, чтобы можно было убедиться, что разработчик не продал мне доработанную (конечно, в лучших побуждениях) версию. А каждая доработка, исправляя старые ошибки, привносит новые...
А по поводу заботы государства - полностью с Вами согласен. Для того, чтобы закон разрабатывался не для верхушки ФАПСИ, а для граждан, нужна система общественного влияния на разработку таких законов (альянсы, ассоциации, и т.п.), в которую вошли бы ведущие специалисты-криптографы как из госструктур, так и из частных компаний.

**alexve** · 25.12.2001, 12:12

dann14
сертифицированный - значит гарантированно качественный. По крайней мере так должно быть -- вот-вот, и я о том же. При этом упор на слово ГАРАНТИРОВАННО -- с подробным разъяснением, ЧЕМ ИМЕННО гарантировано и В ЧЁМ состоит гарантия. (Кстати, Вы правильно сказали: "на мой взгляд". А я писал о том, как дело обстоит по закону.)
В советские времена гарантия на технические товары означала право бесплатного ремонта в течение гарантийного срока. А японцы, например, в гарантийный срок бесплатно меняют неисправный экземпляр на исправный -- или возвращают деньги.
ЧЕМ отвечает ФАПСИ по своей гарантии? Честным словом? Правом отозвать сертификат у скомпрометированного изделия (что и бывало)?

чтобы закон разрабатывался не для верхушки ФАПСИ, а для граждан, нужна система общественного влияния на разработку таких законов -- чтобы закон разрабатывался в интересах ОБЩЕСТВА, а не чиновников, нужно, чтобы государство было подчинено и подответственно обществу, а не наоборот, как у нас.

**dann14** · 27.12.2001, 14:50

To Le Colonel

Совет Федерации на заседании 26 декабря одобрил Закон "Об электронной цифровой подписи".
Плохие у Вас источники в комитете по экономической политике ...

27.12.2001, 15:07

To Alexve

Все-таки сертификат и гарантия (в смысле определенных обязательств) - разные понятия. Если изделие имеет сертификат, то это означает только, что результат испытаний изделия по определенным методикам на соответствие определенным требованиям, которые проводил уполномоченный гос. орган, - положительный. А гарантия - элемент договорных отношений. Мы же не заключаем с ФАПСИ договор ?
ЛанКрипто, например, дает гарантию на свои криптосредства, где подробно указывается, что именно гарантируется, на какой срок и на каких условиях. И при этом их продукт не сертифицирован.
Но чаще бывает наоборот - продукт имеет сертификат, но компания гарантии не дает. И это больше устраивает покупателя, когда речь идет о средствах криптозащиты.

Собственно говоря, в ниших позициях я существенных разногласий не вижу.
Спасибо за дискуссию.

**dann14** · 27.12.2001, 15:09

To Alexve

Все-таки сертификат и гарантия (в смысле определенных обязательств) - разные понятия. Если изделие имеет сертификат, то это означает только, что результат испытаний изделия по определенным методикам на соответствие определенным требованиям, которые проводил уполномоченный гос. орган, - положительный. А гарантия - элемент договорных отношений. Мы же не заключаем с ФАПСИ договор ?
ЛанКрипто, например, дает гарантию на свои криптосредства, где подробно указывается, что именно гарантируется, на какой срок и на каких условиях. И при этом их продукт не сертифицирован.
Но чаще бывает наоборот - продукт имеет сертификат, но компания гарантии не дает. И это больше устраивает покупателя, когда речь идет о средствах криптозащиты.

Собственно говоря, в наших позициях я существенных разногласий не вижу.
Спасибо за дискуссию.

**Alexei Volchkov** · 28.12.2001, 11:18

dann14
В защиту Le Colonel. Источники у него видимо нормальные, а вот Вы даете некорректную информацию. В протоколе записано:

"Одобрить закон об ЭЦП, подготовить законодательную инициативу по внесениию поправок в закон об ЭЦП, после его принятия, создать рабочую группу по подготовке поправок".

Алексей.

**dann14** · 28.12.2001, 13:56

To Alexei Volchkov

Обижаете, Алексей.
Я даю некорректную информацию ? Придется повторить предыдущий текст:

"Совет Федерации на заседании 26 декабря одобрил Закон "Об электронной цифровой подписи".

И ничего более. Что же в этом предложении некорректного (тем более, что это цитата с официального сайта ГосДумы akdi.ru) ?
А вот Le Colonel утверждал, что, по его информации,

"...закон заворачивается обратно в ГД..."

Так чья информация некорректна ?
Если быть совсем точным, то уважаемый Le Colonel не сообщал некорректной информации, а дал ошибочный прогноз.

Все-таки "завернуть в ГД" ( = отклонить) и "одобрить и создать рабочую группу по подготовке поправок" - немного разные вещи.

Тем не менее за уточнение спасибо.

Николай.

Объявление

Является ли ПИН-код ЭЦП

Является ли ПИН-код ЭЦП

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Пользователи, просматривающие эту тему