"Консультант", N 1, 2005

"ВРЕМЯ ФОРМИРОВАНИЯ ЭЦП ДОЛЖНО БЫТЬ ТОЧНО ИЗВЕСТНО..."

За комментариями по проблемам, возникающим при использовании электронно-цифровой подписи (ЭЦП), мы обратились к Сергею Горленко, главному специалисту отдела безопасности бизнес-систем Управления информационной безопасности Службы экономической безопасности Альфа-Банка:

- Какие риски, помимо рассекречивания ключа, могут возникнуть при использовании ЭЦП? Как их избежать?

- Основных проблем две. Во-первых, необходимо доказать, что ЭЦП поставил конкретный человек. Чтобы решить эту проблему, необходимо оформить специальный документ на бумажном носителе. В нем должен быть указан конкретный ключ ЭЦП, а владелец ЭЦП должен этот ключ признать. Причем при плановой смене ключей ЭЦП бумажный документ может быть заменен электронным, который заверен ЭЦП, сформированной при помощи текущего ключа.

Вторая проблема при использовании ЭЦП - ее проверка в электронном документе. Есть два момента времени - момент формирования ЭЦП и момент проверки ЭЦП.

Они могут быть существенно разнесены во времени. Ведь документ вы можете начать обрабатывать значительно позже того момента, когда он был создан. Однако за это время соответствующий ключ пользователя может прекратить свое действие или может быть скомпрометирован. Значит, система должна определять корректность ключа пользователя на момент формирования ЭЦП. А чтобы этот момент точно знать, нужно указывать время формирования ЭЦП в подписываемом документе.

- ЭЦП появилась достаточно давно, но почему она не получила широкого распространения?

- По ряду причин. В основном потому, что начальные затраты на организацию инфраструктуры, необходимой для поддержки ЭЦП, достаточно велики. Поэтому компаний, внедряющих коммерческие системы с ЭЦП, немного.

С технической же точки зрения в большинстве случаев необходима установка на компьютер пользователя дополнительного программного обеспечения, объем которого несколько мегабайт. Этот фактор негативно сказывается при организации систем, предоставляющих услуги мобильным пользователям.

Еще один важный фактор - несовместимость средств криптографической защиты информации (СКЗИ) разных производителей. То есть если ваш партнер использует СКЗИ другого производителя, то в присланном вами документе он не сможет проверить ЭЦП.

- Некоторые удостоверяющие центры предлагают компаниям внедрить ЭЦП на основе несертифицированного СКЗИ. Законно ли это?

- В организациях государственного сектора использовать несертифицированные СКЗИ нельзя. Это запрещает ст.5 гл.II Закона "Об электронной цифровой подписи". Но если коммерческий Удостоверяющий центр не работает с госкомпаниями, то в принципе он может использовать несертифицированные СКЗИ. Однако их применение может создать дополнительные трудности при судебном разбирательстве (п.3 ст.1 гл.I Закона). Так что вряд ли имеет смысл пользоваться такой услугой.

Подписано в печать

20.12.2004

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——