63-ФЗ, Статья 20, п.2:

"Федеральный закон от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи" (Собрание законодательства Российской Федерации, 2002, N 2, ст. 127) признать утратившим силу с 1 июля 2012 года."

Так что время ещё есть чуть-чуть.

То что старый закон об ЭЦП теряет силу с 01 июля 2012 года не значит, что новый закон об ЭЦП не вступил в силу.
В КонсультантеПлюс вот что написано:

Источник публикации
"Парламентская газета", N 17, 08-14.04.2011,
"Российская газета", N 75, 08.04.2011
"Собрание законодательства РФ", 11.04.2011, N 15, ст. 2036

Примечание к документу
------------------------------------------------------------------
КонсультантПлюс: примечание.
Начало действия документа - 08.04.2011.
- - - - - - - - - - - - - - - - - - - - - - - - - -
В соответствии со статьей 20 данный документ вступает в силу со дня его официального опубликования (опубликован в "Российской газете" - 08.04.2011).

Насколько можно понять, сообщество ИБ 63-ФЗ зацепит только в части поддержки квалифицированных сертификатов, поскольку у них презумпция действительности, а в остальном вы как жили - живёте на "соглашении сторон" в нише неквалифицированной подписи (кое где наверное даже и простой) так и будете жить. Но квалифицированная подпись заживёт очень не скоро, поскольку там подзаконных актов не хватает + потребуется разработать нормативку по аккредитации и сертификации новых средств подписи, которые более на караоке (поскольку там надо показать, просмотреть, прослушать .... подписанную инфу) похоже чем на СКЗИ :-) А вот когда это случится, то разработчикам ваших ИБ придётся "принимать" сертификаты от внешних УЦ, уметь строить правильно цепочки сертификации и указывать вашу служебную информацию вне тела сертификата, что понятно, поскольку профиль крупными мазками прописан в Статье 17 63-ФЗ. Но насколько помню эти задачи в вашем сообществе решались достаточно давно кажется Владом М. из бывшей Сибирской Казны или можно поглядеть на стандартные средства , что то вроде атрибутных сертификатов, выпущенных в связке с внешним квалифицированных сертификатом.

Если ЦБ РФ в ближайшие пол-года жестко не потребует от коммерческих банков использования в системах ДБО ТОЛЬКО усиленной квалифицированной подписи, тогда все разработчики ДБО и банки постепенно мигрируют к штатным для импортных ОС импортным несертифицированным СКЗИ.

Повсеместное использование SSL в системах ДБО физиков для шифрования трафика от браузера клиента до банковского сервера - яркий пример такой миграции.

Хотя ничего плохого я лично в этом не вижу.

И AES-256, и родной ГОСТ 28147-89 - соизмеримо стойкие криптоалгоритмы.

1. Про квалифицированную вряд ли можно требовать, она может появиться сама. А вот по новому ФЗ о подписи - усиленная (не квалифицированная) подпись НЕ требует сертифицированности техсредств. Однако не забывайте, вам придётся "уметь" обслуживать владельцев квалифицированной подписи это по ФЗ и тут ЦБ РФ вряд ли что сможет поделать, а вот там как раз сертифицированные средства. Но что то мне подсказывает что квалифицированная подпись в новом качестве появится не скоро.
2. В буржуйском TLS самое плохое, не в RSA, а в том что издатель не управляем и находится в забугорье, это грозить "лёгким движением руки" прекратить вообще всё дистанционное обслуживание, кстати, госуслуги.ру и налог.ру тоже сидят под Тавтом - это просто позорище :-( Пробовал конторе скормить идею создать в РФ аттестованный по вэб-трасту RSA УЦ как то понимания не сильно нашёл, там по прикидкам на круг с бумажным аудитом получается меньше сотки евро.

Сергей, можете подробности идеи в личку? Деньги - не такой уж и сложный ресурс

Всем доброе утро.
1. информация улетела.
2. Возвращаясь к теме поднятой этой веткой, а именно, что будет нового: если коротко резюмировать, то надо готовится к тому, что ПО да и сами ИС ДБО должны уметь в качестве идентифицирующих элементов + подпись принимать и обслуживать внешнеизданные (не локальным УЦ банка) ключи и сертификаты, вплоть до квалифицированных, а это означает, что ДБО не управляет наполнением информационной части сертификата и связку с номером счёта (это я грубо говорю) следует осуществлять иными механизмами нежели делается сейчас. Т.е. видимо появится новый (обновлённый) этап в регламенте - "регистрация средства идентификации" (или что то в этом духе) смысл которого: пользователь сообщает ДБО (и подтверждает документально права управления), что он будет дистанционно идентифицироваться для управления счётом (счетами) на вот таких ключах с вот таким сертификатом и вот такой политикой безопасности и вот таким набором ограничений. и.т.д.

Сергей, а Вы можете уточнить в КАКИХ конкретно системах КАКИХ разработчиков ТАК делается - то есть в сертификате клиента указывается прикладная информация (о счетах клиента, правах клиента и пр.)?

В iBank2 так НИКОГДА не делалось, не делается, и не будет делаться ибо указание в сертификате информации об области применения сертификата, о счетах и правах клиента для конкретной системы ДБО в конкретном банке - идиотизм, тупиковый подход.

Лет восемь..десять назад один из прогрессивно-передовых российских банков, самостоятельно писавший свой Интернет-Банкинг и решивший указывать в сертификате всю прикладную информацию, через год уже локти кусал от своей недальновидности, ибо переиздавать сертификаты приходилось не раз в год, как было запланировано, а чуть ли не каждый месяц, ибо указанные в сертификате прикладные данные менялись несравнимо чаще, чем пара ключей ЭЦП клиента

И только потом пришло понимание - мухи отдельно, а котлеты отдельно. В сертификатах открытых ключей ЭЦП клиентов народ стал указывать только владельца. А всё остальное было отдано на откуп прикладным система. Как самый крайний случай - использование атрибутных сертификатов.

Я не совсем это имел ввиду (на тему "мух" - совершенно с вами согласен и всячески это везде пытаюсь объяснить) имелось ввиду - возможность систем ДБО использовать сертификаты выпущенные внешне по отношению к ИС банка, и именно такая ситуация возникнет при использовании квалифицированных сертификатов в рамках нового ФЗ о подписи. А из этого следует, как минимум уметь правильно строить цепочки сертификации. К слову, в мире есть методики NIST на корректное построение цепочки сертификации для абстрактных PKI систем, там порядка 230-240 тестов, я не думаю (точнее я уверен что не пройдут), что системы ДБО смогут пройти все эти тесты когда осуществляют проверку подписи и выясняют факт действительности сертификата автора подписи.

Коллеги, прошу вас прочитать статью и прокомментировать ее "От ЭЦП к электронной подписи"

А каковы причины банкам работать именно по 63-ФЗ? Почему к примеру не вернуться к старому доброму АСП по 160 Статье ГК?
Просто на сегодня очень много непонятно, РП 1214-р провалено по выпуску НПА во исполнение 63-ФЗ, все выжидают ... на носу выборы в Думу и следом президента, по моим предчувствиям чтоб не обвалить рынок всего ЭДО с подписями придётся двигать сроки в 63-ФЗ, к осознанию этого придут как всегда за день до срока :-)
А пока все выжидают .... вот читаю слова из "боевого" договра системы виртуальных денег:

Аналог собственноручной подписи (далее – «АСП&#187– реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования информации с помощью программного обеспечения, с использованием Закрытого ключа АСП и позволяющий идентифицировать Владельца Средств АСП, а также установить отсутствие искажения информации в ЭД.

и далее

Используются сертификаты, соответствующие рекомендации X.509v3, тип открытого ключа - RSA, длина ключа – 2048 бит, алгоритм хэширования – sha1, срок действия – 1 год.

Я даже не буду тут говорить, что на SHA-1 есть известные способы атаки и всё это крайне небезопасно, но видимо время дороже безопасности .... и ситуация будет далее всё более усугубляться с кренов от ЭЦП, ЭП в АСН в рамках 160 статьи ГК , что вполне законно. Другими словами, если с реализацией нормативки по электронной подписи так и будут тянуть, бизнес уйдёт в другое русло, что может быть и правильно по большому счёту, уж больно регулирующих звеньев много рисуется :-)
И ещё в догонку про терминологию, если вы планируете использовать отечественную криптографию, то прежде чем менять терминологию ЭЦП на ЭП и про названия ключей, то не плохо бы глянуть в текст ГОСТ Р 34.10-2001 как там называется подпись, в противном случае подогнав под 63-ФЗ вы оторвётесь от терминологии стандарта криптоподписи.
И ещё в догонку, я в своё время попытался собрать в одно место все замеченные мной технические вопросы, которые вытекали из реализации 63-ФЗ вот тут: http://www.gosbook.ru/news/20057 Читающих просьба учесть, что это писалось сразу после принятия ФЗ и эмоции конечно присутствуют :-(

Статья великолепна!
С моим видением практически совпадает, плюс отметил для себя несколько моментов, на которые не обратил внимание.
Года полтора назад я начинал прорабатывать немного другой подход: разделить всю систему на 2: электронный документооборот и ДБО. Клиент подключается банком к системе электронного документооборота, которая действует в рамках Закона об ЭЦП (теперь уже Закона об ЭП). ДБО действует в рамках документов ЦБ, а отдельным договором или актом между банком и клиентом устанавливается:
1. Обмен платёжными электронными документами ведётся через систему ЭДО.
2. ЭЦП (ЭП) физического лица - представителя организации признаётся АСП организации (в рамках терминов 17-П: идентификатором организации и необходимым и достаточным реквизитом электронного платёжного документа).
Но до конца проработать такой подход доя сих пор не успел - текучка