Большинство IT-людей знают о том, что такое ЭЦП. Несколько меньшее количество знает о том, как ЭЦП может применяться в реальной жизни. Еще меньше людей эту самую ЭЦП применяют на практике.
Для тех, кто еще не догадался - ЭЦП расшифровывается как "электронно-цифровая подпись".
В течение двух лет я руководил (читай: непосредственно двигал) проект, связанный с узким применением ЭЦП в нашей жизни - сдача электронной отчетности в налоговые органы. Однако, несмотря на узость применения, в процессе я приобрел достаточно интересных знаний о том, что собой представляет ЭЦП в России. Вот и хочу поделиться.
1. Закон и ЭЦП
Первой ласточкой того, что наша страна медленно, но верно движется по пути прогресса, явился закон "Об электронной цифровой подписи". Вышел он в 2002 году, и на жаргоне его можно назвать "голым".
Те, кто реально сталкивался с применением законов в России, понимают, что закон сам по себе не устанавливает отдельных вопросов своего собственного применения. Признак "голости" закона - обилие формулировок "в соответствии с действующим законодательством". Так вот, каждая такая формулировка оказывается отсылкой нафиг.
В 2002 году этот закон "Об ЭЦП" именно такую вещь и представлял. Ибо в нем говорилось о сертификатах, центрах сертификации и еще много о чем, чего на деле в 2002 году (да и что говорить, куда как позже) вообще не существовало. В принципе.
Кроме того, закон закону рознь. Простой пример.
Закон об ЭЦП устанавливает равенство электронной подписи обычной (Статья 4). Однако, к примеру, Налоговый кодекс, хоть и предусматривал передачу декларации в налоговую инспекцию по "телекоммуникационным каналам связи", тем не менее, умалчивал о формате подписи, формате электронного документа и вообще. Поэтому, несмотря на наличие закона об ЭЦП, использовать ее было нельзя.
Однако, несовершенство закона еще полбеды. В марте 2003 года, пока все обалдевали от качества закона об ЭЦП и чесали репу, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), которое занималось вопросами криптографии, упразднили, передав его функции ФСБ.
"В чем проблема?", может спросить читатель. Так я расскажу.
2. Как насчет конкретного применения?
Всеми вещами, имеющими отношение к шифрованию и защите информации, у нас занималась сначала ФАПСИ, потом, в 2002 году стала заниматься ФСБ.
Представьте себе задачку, стоявшую перед ФСБ. Вроде как все понятно, товарищ полковник, только вот хэш - это что, разновидность наркоты или какая математика заумная? Впрочем, прошу прощения за мою язвительность.
Итак, стояла задача разобраться со следующим: какой алгоритм использовать? Понятно, что асимметричный, понятно, что с открытым и закрытым ключом, но какой длины? Если две стороны (ставящая подпись и проверяющая подпись) об этом не договорятся, счастья не будет, не так ли?
Получилось так, что:
1. Теория: алгоритм, который можно использовать на территории РФ (который будет приниматься как юридически значимый) должен быть как минимум сертифицирован ФСБ (т.е. проверен на "ударопрочность" и все такое).
Практика: слишком мало у нас в ФСБ специалистов по нормальному криптоанализу, поэтому получить сертификат сложно из-за долгого анализа самого алгоритма.
2. Теория: организация, которая собирается предоставлять услуги, связанные с ЭЦП, должна использовать алгоритм, который был сертифицирован ФСБ.
Практика: из-за смешения понятия "алгоритм" и недостатка в пряморуких разработчиках, это означало, что использовать нужно было не свою "имплементацию" алгоритма, а программный продукт, который предоставлялся сертифицировавшим алгоритм разработчиком. Да здравствует кровавая монополия. Стоны Артемия Андреича по поводу карт для GPS меркнут тут.
3. Теория: организация, которая собирается предоставлять услуги, связанные с ЭЦП, должна получить 3 лицензии: на использование, на техническую поддержку, на распространение средств криптографической защиты.
Практика: получить лицензию, не выбрав программный комплекс из п. 2 - нельзя. Вернее, не получится, откажут. "Цена" лицензии на 2003 год (с условием соблюдения километрового списка с требованиями) была примерно $1000 (по знакомству). Кроме того, лицензия от разработчика программного комплекса - $1000 + выполнение плана по продажам.
В итоге, на 2003 год получилось так - программ по работе с алгоритмами 3 на всю Россию. И самое главное, что ни в каком страшном сне эти программы не знают о понятии CryptoAPI, то есть, работать с ними "снаружи" - никак или очень сложно (ну там, через командную строку, да).
3. Еще препоны?
О да, уйма. Кроме общей проблемы с софтом, есть проблема с его разработкой. Готовы? Держитесь крепче.
Если Вы хотите использовать свой алгоритм (или общедоступный), ну, например, RSA, то схема разрастается до уровня сценария "Миссия невыполнима". Почему? А вот почему.
1. Перед тем, как пытаться что-то отдать в ФСБ на сертификацию, надо получить лицензию на разработку тех самых криптографических систем. Примерная цена $20 000.
2. После того, как есть лицензия и система, то ее сертификация встанет еще примерно в $80 000.
3. Ну и теперь осталось самое простое - уговорить потенциальных пользователей (к примеру, налоговую инспекцию) использовать Вашу систему.
И оставьте тут Ваши понятия о рынке, они тут не действуют. Тут не бывает альтернатив или конкуренции. Школьный портал отдыхает.
4. Проблема регионов. Известны случаи, когда в регионе (за МКАД есть жизнь!) попросту не могли применить ту технологию, которую "спускали" сверху. Кадров не хватало, знаний не хватало, и т.д.
4. В результате?
Нет, но не все так плохо, и пророки есть в своем отечестве. К примеру, КриптоПро сейчас вышло на нормальный уровень и даже подружилось с CryptoAPI. Но это сейчас, только в 2007 году. И то, толком в крупных городах в регионах.
Вроде и налоговая инспекция с банками применяют ЭЦП. И точка. Больше пока толком никого.
А использование цифровой подписи в остальных случаях так и осталось, пока, несбыточной мечтой.
Разумеется, что в своем обзоре я не рассказал о многих пикантных подробностях, но, думаю, в рамках данной статьи они будут излишни. Мне хотелось показать реальную причину того, почему у нас так плохо с вопросом внедрения ЭЦП в разные области нашей жизни.
