Электронно-цифровая подпись — как это должно быть
Описать схему получения ЭЦП в России сейчас не просто, но в общих чертах это выглядит так:
Юридическое или физическое лицо, изъявившее желание (или принуждённое законами) производить электронный документооборот с государственными организациями, обращается к любому из аккредитованных удостоверяющих центров (частные фирмы), предоставляет центру информацию о себе и в обмен на деньги получает персональный закрытый ключ, который будет котироваться только там, где этот центр разместит открытую копию ключа. Здесь центр может делать (и делает) дополнительную градацию тарифных планов. И если обозначенному лицу понадобится вдруг воспользоваться своей ЭЦП там, где удостоверяющий центр не предоставляет своих услуг, то придётся обращаться к другому центру, генерировать вторую ЭЦП (третью и т.д.). Кстати, ключи для ЭЦП, выданные такими центрами работают только на том программном обеспечении, которое этот центр использует (отнюдь не свободное ПО!), так что к суммам расходов на ЭЦП следует прибавить стоимость коммерческого софта, начиная от операционной системы и заканчивая прикладными решениями.
Но так ли это должно быть и не видится ли здесь привычно-российская коррупционно-лоббистская составляющая?
Предлагаю свой вариант организации ЭЦП.
Во-первых, констатируем факт: государство заинтересовано в переходе на электронный документооборот больше, чем заинтересован в этом бизнес и физические лица.
Во-вторых, для того чтобы идентифицировать подпись, на государственном уровне (а вернее на уровне ФНС, поскольку для регистрации ЭЦП всегда требуется ИНН) должен быть развёрнут сервер ключей так, как это сделано в мире opensource (например, проверка ключей на http://keyserver.ubuntu.com), но с одной оговоркой: попадать на этот сервер ключи должны через любую гос-контору имеющую информацию обо всех россиянах и юридических лицах. Таких контор три: пенсионный фонд, налоговая и полиция.
В третьих, нужно либо расширить список разрешённых систем шифрования (подправить закон немного), либо разработать opensource-приложение для работы с российским стандартом шифрования ГОСТ, дабы у людей ни в коей мере не возникало навязывание покупки дополнительного софта и принуждение к смене операционной системы. Стоимость такой разработки и сопровождения - копеечная для государства.
Это всё, что требуется для нормальных взаимоотношений людей, организаций и государства посредством электронного документооборота.
Допустим, некому субъекту потребовалось отправлять в электронном виде налоговую декларацию. Что он делает?
Заходит на единый портал госуслуг, скачивает и устанавливает программное обеспечение для работы с ЭЦП и шифрованием, генерирует ключ на тот срок, который пожелает, сбрасывает открытую его часть на флешку, берёт свои личные и/или уставные документы и идёт в ближайшее отделение гос-конторы, в которой он проходит идентификацию сотрудниками конторы и его ключ регистрируется на общероссийском сервере ключей тут-же, мгновенно.
Теперь, придя за свой компьютер, этот человек может спокойно подписать и/или зашифровать какой-либо электронный документ и отправить куда требуется.
Ну просто же? Так почему же в России такой бред с электронным документооборотом?
Конечно, с зашифровкой от прочтения другими лицами - сложнее, но ненамного. Государству нужно научить себя отдавать отчёт в целесообразности средств для достижения целей.
Например, если мы говорим о шифровании персональных данных при передаче их в ФСС, ПФР и ФНС, то ничего не мешает этим службам развернуть защищённый web-сервер (https) для приёма сведений, которые нельзя передавать в открытом виде. Или персональные данные в России выше статусом по секретности, чем банковские операции через Интернет-банкинг?
Стоимость такого сервера в упрощённом виде - не более 300 тысяч рублей, включая железо и труд программиста! При этом сервер будет полноценно обслуживать всю Россию.
Примечание: К сожалению, наши чиновники не умеют использовать простые решения современных, быстрых и высококачественных наработок программистов из мира OpenSource. В их варианте такой сервер (вернее - это уже будет группа серверов обязательно на продуктах Microsoft®, поэтому и "не потянет") и труд сотни программистов под всю эту "бан-дуру" наверняка будет стоить более 10 миллионов, и хорошо, если не евро.
То есть, если разумно взглянуть на вещи глазами техника, а не коррумпированного чиновника, то становиться ясным, что не нужно непосредственное шифрование файла - нужно шифрование тракта передачи этого файла. А с этим уж точно никогда проблем не было в сети Интернет со времён царя Гороха.
Если же "ну очень" необходимо в каких-то случаях непосредственное шифрование файла, то есть простое решение на основе вышеозначенного:
Пусть человек создаёт два ключа и идёт с ними в контору для регистрации, один ключ при этом будет доступен всем по России (это ведь его индивидуальная подпись!), второй - только "нужным" гос-службам и будет использоваться им для зашифровки файла.
И в заключение. При такой схеме:
- Людям будет всё и всегда понятно что делать и как делать. Потому-что просто.
- Бизнес при этом начнёт активнее пользоваться ЭЦП, что постепенно (и наконец-то!) приведёт к упразднению обмена бумажными актами, счетами и прочими сопутствующими бизнесу документами.
Любите природу - берегите лес! - Самоуничтожатся "компании-вампиры" от IT, использующие наше "интересное" законодательство в целях получения лёгкой прибыли, и будут вынуждены начать заниматься разработкой нормального программного обеспечения, которое должно приносить пользу людям и бизнесу.
- И самое важное! Закрытая часть ключа будет только у его владельца, а не у частной лавочки (да хоть бы и государственная была), сгенерировавшей этот самый ключ. Это исключит любые махинации и подлоги, от которых сейчас никто из владельцев ЭЦП не застрахован.
P.S.: Это подправленный копипаст моей заметки на сайте rosix.ru, т.к. хочется услышать мысли других людей на этот счёт.
Чингачгук
12 марта, 2013 - 20:59
1. Стараниями "паразитов от IT" в OpenSSL появилась поддержка алгоритма ГОСТ.
2. ЭЦП записывается на сертифицированный ФСБ тип носителя, какой-нибудь РуТокен или Астра. Большинство ключевых носителей поддерживается несколькими программными продуктами.
3. У организации может быть много ЭЦП - для сдачи налоговой отчётности, для госзакупок и так далее. В сертификате ЭЦП указана фамилия.
4. Нужно же как-то разделять разных сотрудников с разными полномочиями - для этого ещё добавляются коды полномочий. Забыли запросить какой-нибудь из кодов - меняйте ЭЦП.
5. Вы видели заведующую детского сада? Она документ с флешки печатает, чтобы прочесть, а вы про какие-то "электронные печати". Хорошо, что такие люди мучают не сотрудников ПФР и налоговой, а "коммерческие организации".
6. Бюджетны организации могут бесплатно получить ЭЦП в местном отделе федерального казначейства (есть в каждом райцентре), но большинство предпочитает обращаться к посредникам, которые показывают, где подписать и куда нажимать.
В общем, ситуация не однозначная - могло быть и хуже. можно и улучшить. Но надо много думать, чтобы ничего не испортить.
pomodor
12 марта, 2013 - 22:24
Почему? Мне кажется, что государство вообще в этом не заинтересовано. Особенно, если под государством понимать свору чиновников, которые кормятся именно за счет своей подписи на разных фантиках. Введение электронной подписи позволит сократить участие чиновника и сделает процесс более прозрачным. А какой коррупционер любит прозрачность и сокращение своих полномочий? :)
Насчет бизнеса не скажу, а вот насчет физиков уверен — за минимизацию походов по всяким малоприятным бюрократам народ только спасибо скажет.
Как это? Так ведь это именно то, ради чего все и затевается. Внедрение электронной подписи пролоббировали производители проприетарного криптографического софта. А теперь предлагается все оупенсорсом сделать? А как тогда "отбить" инвестиции? :)
Это не бред, а местный колорит, без которого наша родина немыслима. ;) Если это не принять, то возникает вопрос: собственно, а с чем в России не бред? :)
Теперь по существу. Почти не сомневаюсь, что проект внедрения электронной подписи закончится тем же, чем закончились и все остальные проекты, типа доступного жилья, качественной медицины и т.д.
Как бы сделал я. Мне хватило бы уже написанного софта вроде gpg, я лишь инфраструктуру открытых ключей взял бы под государственный контроль. Вот и всё.
DJ_Baldey
16 марта, 2013 - 10:24
По пунктам.
1: эта поддержка пока нужна только самим продвиженцам. Может ещё пару-тройке компаниям.
2: большинству нужен не этот выбор "где хранить", а "как вопользоваться" в любой ситуации на любом компе. А поддержка несколькими - смешно, право...
3: множество ЭЦП - это как множество вариантов Вашей личной подписи, т.е. это всегда зло и анархия. Попробуйте несколько раз расписаться в банке по-разному - узнаете.
4: согласен, но подписи сотрудников должны быть заверены руководителем и при этом одновременно определяются их полномочия, что тут невозможного в моём варианте? Это невозможно реализовать на сервере ключей?
5: я сам бывший сотрудник ПФР, плохо что не мучают, от этого общее компьютерное образование повысилось бы. С обоих сторон.
6: бюджетные организации - это внутреннее государственное управление, и как там будет организован ЭД - дело третье, я же говорю о глобальном российском.
То, что нужно много думать - согласен, но то, что могло быть хуже - не согласен, хуже чем сейчас не может быть даже полное отсутствие ЭД, поскольку законодательно принуждают иприходится тратиться на всё, что я описал.
DJ_Baldey
16 марта, 2013 - 10:28
Мы с Вами думаем практически одинаково, но Вы написали короче. ;)
Комментировать