Как отличить друга от врага
Без ЭЦП не может быть ни полноценной электронной торговли, ни полноценного предоставления электронных услуг в открытой электронной сети. Главное в этом процессе — уверенность в том, что в процессе пересылки содержание контракта не исказилось или просто не было заменено злоумышленниками, возможность проверить подлинность подписи контрагента.
Технология формирования ЭЦП проста. Массив информации, который нужно подписать, обрабатывается специальной программой с использованием так называемого закрытого ключа. Это и есть процесс подписания документа. Этот массив отправляется по электронной почте, а у гражданина-получателя есть так называемый открытый, соответствующий закрытому. Этот ключ позволяет проверить, что информация пришла без повреждений, и удостовериться, что отправитель подписал именно эту информацию и там стоит именно его подпись. Считается, что технология обеспечивает стопроцентную защиту от взлома.
Но существуют и юридические тонкости. Например, должно быть однозначно определено, что все документы граждан в электронной форме, подписанные ЭЦП, имеют ту же юридическую силу, в том числе и в суде, что и все документы в бумажном виде. Без этого судебные разбирательства весьма затруднительны. Кстати, именно из-за отсутствия закона, позволяющего урегулировать все эти вопросы, в настоящее время в России ЭЦП применяется в основном в корпоративных сетях. В таких сетях просто оформляется договор, в котором прописан правовой статус документа, подписанного ЭЦП, и признаваемый участниками договора.
Наконец, должна быть четко зафиксирована процедура сертификации средств ЭЦП и сертификации самой подписи. Первое означает, что некий уполномоченный орган должен подтвердить, что данная программа выработки ЭЦП действительно вырабатывает (или проверяет) только ЭЦП и ничего другого. Что соответствующие программы не содержат вирусов, не скачивают у контрагентов информацию, не содержат "жучков" и гарантируют от взлома. Сертификация самой подписи означает, что некая организация подтверждает, что данный ключ принадлежит именно данному лицу. Без этого сертификата можно подписывать документы, но судебные процедуры могут усложниться. Тут есть тонкость: нужно всегда иметь возможность установить владельца закрытого ключа, поскольку в самой подписи данных о владельце не содержится. Вот, например, ситуация. Иванов обещал Петрову заплатить 100 рублей с использованием ЭЦП. Обещание не выполнил, и обиженный Петров пошел в суд. В суде проверили, что подпись правильная: открытый ключ соответствует закрытому. Но тут Иванов вдруг заявил, что закрытый ключ вообще не его. (В случае обычной подписи производится графологическая экспертиза с обращением в паспортный стол.) И в случае с ЭЦП также нужно третье лицо, которое может подтвердить, что это подпись Иванова. Документ, подтверждающий это и содержащий данные о владельце подписи, и называется сертификатом открытого ключа.
Понятно, что без сертификата открытого ключа при использовании ЭЦП не обойтись. А вот сертификация средств выработки ЭЦП — совсем другое дело. И здесь возникает первый вопрос: какой должна быть эта сертификация — добровольной или обязательной?
Почем стоит подписаться
Правительственный законопроект "Об электронной подписи", разработанный ФАПСИ и Минсвязи, предполагает, что в открытых системах сертификат открытого ключа может выдаваться только для ЭЦП, выработанной с помощью сертифицированных средств. Фактически это означает, что сертификация средств ЭЦП должна быть обязательной для всех, кто вырабатывает ЭЦП. Несертифицированные средства ЭЦП могут использоваться только для изготовления ЭЦП, использующихся в корпоративных сетях. Сертификаты самих подписей имеют право выдавать специальные "удостоверяющие центры", имеющие правовой статус коммерческих организаций. Они регистрируют ЭЦП, создают по обращению пользователей закрытые и открытые ключи ЭЦП, приостанавливают и возобновляют действие сертификатов ключей ЭЦП, а также аннулируют их, ведут реестр сертификатов ключей ЭЦП, обеспечивают свободный доступ пользователей к реестру и т. д. А вот сертифицировать средства выработки ЭЦП, как предполагается, будет ФАПСИ (кроме этого органа никто технически не может это делать). Правда, вопрос о ФАПСИ пока не решен, поэтому в проекте говорится об "уполномоченном органе исполнительной власти", который еще ведет единый государственный реестр сертификатов ключей ЭЦП, коими удостоверяющие центры, работающие с пользователями открытых общих сетей, заверяют выдаваемые ими сертификаты ключей ЭЦП.
Именно требование обязательной сертификации средств изготовления ЭЦП вызывает возражения авторов депутатского проекта — председателя думского комитета по кредитным организациям Александра Шохина и его зама Владимира Тарачева. Аргументы простые. Сертификация — это в итоге подтверждение надежности ЭЦП. Но каждый, кто хочет пользоваться ЭЦП, и сам знает, какая степень надежности нужна ему и его партнерам. Поэтому он должен иметь возможность использовать подпись, изготовленную с помощью и несертифицированных средств. В противном случае цены на услуги по изготовлению ЭЦП могут возрасти. Ведь сертификация средств ЭЦП по правительственному законопроекту — это платная услуга. Расходы по сертификации средств и программного обеспечения для изготовления ЭЦП будут неминуемо отражаться на их стоимости. Требование обязательной сертификации может быть использовано уполномоченным органом и для отсечения от рынка не понравившихся удостоверяющих центров. Отсутствие конкуренции, как известно, повышает цены.
Поэтому законопроект Шохина--Тарачева предлагает сделать сертификацию добровольной. То есть удостоверяющие центры должны иметь возможность использовать в работе и несертифицированные средства. Владелец ключа, изготовленного на несертифицированном оборудовании, должен уведомить пользователей соответствующих открытых ключей о факте отсутствия сертификации на те средства, которыми была изготовлена его подпись. Если он этого не сделал, то он, а не разработчик программ ЭЦП несет ответственность за возможные убытки.
Сколько подписей нужно
Согласно правительственному проекту, одной ЭЦП нельзя подписывать все подряд. У пользователя должны быть разные ЭЦП для разных нужд. Например, для подачи налоговой декларации — одна, для подписания контрактов — другая, для покупки товаров — третья. Назначение подписи указывается в сертификате наряду с фамилией, именем и отчеством обладателя ЭЦП, информацией об открытом ключе ЭЦП, о местонахождении удостоверяющего центра.
В депутатском проекте ЭЦП соответствует обычной бумажной подписи — одна на все. Хотя если кто-то хочет иметь много разных ЭЦП, то это не возбраняется.
Еще один повод для разногласий — обеспечение имущественной ответственности удостоверяющих центров (или "центров сертификации" по проекту Шохина--Тарачева) перед владельцами ЭЦП. В правительственном проекте сначала записано, что удостоверяющий центр при оформлении лицензии должен обосновать способность нести гражданскую ответственность в размере, не менее чем в тысячу раз превышающем максимальный предел сделки, которую данный центр может указывать в сертификате ключа подписи. То есть центры будут изначально рассортированы на тех, кто имеет право выдавать ЭЦП на крупные сделки, и тех, кто имеет право выдавать ЭЦП на мелкие.
В проекте Тарачева--Шохина проще: центр должен располагать "финансовыми ресурсами, достаточными для несения имущественной ответственности перед владельцами сертификатов открытых ключей в случае ненадлежащего исполнения центром своих обязанностей". При этом минимальный размер указанных финансовых ресурсов определяется законами или постановлениями правительства.
Правительственный проект полагает, что ЭЦП могут подписываться только граждане. Депутаты же считают, что и юридические лица могут иметь подпись. Ведь у банков, у участников рынка ценных бумаг (в РТС) уже используются такие подписи, и изменение этой конструкции повлечет большие затраты.
ИРИНА ГРАНИК
|