Россия скоро по-настоящему вступит в век новейших электронных технологий, когда граждане смогут полноценно жить и работать в виртуальном пространстве. Дума готовится принять законопроект, регламентирующий использование электронной цифровой подписи (ЭЦП).
Как отличить друга от врага
Без ЭЦП не может быть ни полноценной электронной торговли, ни полноценного предоставления электронных услуг в открытой электронной сети. Главное в этом процессе — уверенность в том, что в процессе пересылки содержание контракта не исказилось или просто не было заменено злоумышленниками, возможность проверить подлинность подписи контрагента.
Технология формирования ЭЦП проста. Массив информации, который нужно подписать, обрабатывается специальной программой с использованием так называемого закрытого ключа. Это и есть процесс подписания документа. Этот массив отправляется по электронной почте, а у гражданина-получателя есть так называемый открытый, соответствующий закрытому. Этот ключ позволяет проверить, что информация пришла без повреждений, и удостовериться, что отправитель подписал именно эту информацию и там стоит именно его подпись. Считается, что технология обеспечивает стопроцентную защиту от взлома.
Но существуют и юридические тонкости. Например, должно быть однозначно определено, что все документы граждан в электронной форме, подписанные ЭЦП, имеют ту же юридическую силу, в том числе и в суде, что и все документы в бумажном виде. Без этого судебные разбирательства весьма затруднительны. Кстати, именно из-за отсутствия закона, позволяющего урегулировать все эти вопросы, в настоящее время в России ЭЦП применяется в основном в корпоративных сетях. В таких сетях просто оформляется договор, в котором прописан правовой статус документа, подписанного ЭЦП, и признаваемый участниками договора.
Наконец, должна быть четко зафиксирована процедура сертификации средств ЭЦП и сертификации самой подписи. Первое означает, что некий уполномоченный орган должен подтвердить, что данная программа выработки ЭЦП действительно вырабатывает (или проверяет) только ЭЦП и ничего другого. Что соответствующие программы не содержат вирусов, не скачивают у контрагентов информацию, не содержат "жучков" и гарантируют от взлома. Сертификация самой подписи означает, что некая организация подтверждает, что данный ключ принадлежит именно данному лицу. Без этого сертификата можно подписывать документы, но судебные процедуры могут усложниться. Тут есть тонкость: нужно всегда иметь возможность установить владельца закрытого ключа, поскольку в самой подписи данных о владельце не содержится. Вот, например, ситуация. Иванов обещал Петрову заплатить 100 рублей с использованием ЭЦП. Обещание не выполнил, и обиженный Петров пошел в суд. В суде проверили, что подпись правильная: открытый ключ соответствует закрытому. Но тут Иванов вдруг заявил, что закрытый ключ вообще не его. (В случае обычной подписи производится графологическая экспертиза с обращением в паспортный стол.) И в случае с ЭЦП также нужно третье лицо, которое может подтвердить, что это подпись Иванова. Документ, подтверждающий это и содержащий данные о владельце подписи, и называется сертификатом открытого ключа.
Понятно, что без сертификата открытого ключа при использовании ЭЦП не обойтись. А вот сертификация средств выработки ЭЦП — совсем другое дело. И здесь возникает первый вопрос: какой должна быть эта сертификация — добровольной или обязательной?
Почем стоит подписаться
Правительственный законопроект "Об электронной подписи", разработанный ФАПСИ и Минсвязи, предполагает, что в открытых системах сертификат открытого ключа может выдаваться только для ЭЦП, выработанной с помощью сертифицированных средств. Фактически это означает, что сертификация средств ЭЦП должна быть обязательной для всех, кто вырабатывает ЭЦП. Несертифицированные средства ЭЦП могут использоваться только для изготовления ЭЦП, использующихся в корпоративных сетях. Сертификаты самих подписей имеют право выдавать специальные "удостоверяющие центры", имеющие правовой статус коммерческих организаций. Они регистрируют ЭЦП, создают по обращению пользователей закрытые и открытые ключи ЭЦП, приостанавливают и возобновляют действие сертификатов ключей ЭЦП, а также аннулируют их, ведут реестр сертификатов ключей ЭЦП, обеспечивают свободный доступ пользователей к реестру и т. д. А вот сертифицировать средства выработки ЭЦП, как предполагается, будет ФАПСИ (кроме этого органа никто технически не может это делать). Правда, вопрос о ФАПСИ пока не решен, поэтому в проекте говорится об "уполномоченном органе исполнительной власти", который еще ведет единый государственный реестр сертификатов ключей ЭЦП, коими удостоверяющие центры, работающие с пользователями открытых общих сетей, заверяют выдаваемые ими сертификаты ключей ЭЦП.
Именно требование обязательной сертификации средств изготовления ЭЦП вызывает возражения авторов депутатского проекта — председателя думского комитета по кредитным организациям Александра Шохина и его зама Владимира Тарачева. Аргументы простые. Сертификация — это в итоге подтверждение надежности ЭЦП. Но каждый, кто хочет пользоваться ЭЦП, и сам знает, какая степень надежности нужна ему и его партнерам. Поэтому он должен иметь возможность использовать подпись, изготовленную с помощью и несертифицированных средств. В противном случае цены на услуги по изготовлению ЭЦП могут возрасти. Ведь сертификация средств ЭЦП по правительственному законопроекту — это платная услуга. Расходы по сертификации средств и программного обеспечения для изготовления ЭЦП будут неминуемо отражаться на их стоимости. Требование обязательной сертификации может быть использовано уполномоченным органом и для отсечения от рынка не понравившихся удостоверяющих центров. Отсутствие конкуренции, как известно, повышает цены.
Поэтому законопроект Шохина--Тарачева предлагает сделать сертификацию добровольной. То есть удостоверяющие центры должны иметь возможность использовать в работе и несертифицированные средства. Владелец ключа, изготовленного на несертифицированном оборудовании, должен уведомить пользователей соответствующих открытых ключей о факте отсутствия сертификации на те средства, которыми была изготовлена его подпись. Если он этого не сделал, то он, а не разработчик программ ЭЦП несет ответственность за возможные убытки.
Сколько подписей нужно
Согласно правительственному проекту, одной ЭЦП нельзя подписывать все подряд. У пользователя должны быть разные ЭЦП для разных нужд. Например, для подачи налоговой декларации — одна, для подписания контрактов — другая, для покупки товаров — третья. Назначение подписи указывается в сертификате наряду с фамилией, именем и отчеством обладателя ЭЦП, информацией об открытом ключе ЭЦП, о местонахождении удостоверяющего центра.
В депутатском проекте ЭЦП соответствует обычной бумажной подписи — одна на все. Хотя если кто-то хочет иметь много разных ЭЦП, то это не возбраняется.
Еще один повод для разногласий — обеспечение имущественной ответственности удостоверяющих центров (или "центров сертификации" по проекту Шохина--Тарачева) перед владельцами ЭЦП. В правительственном проекте сначала записано, что удостоверяющий центр при оформлении лицензии должен обосновать способность нести гражданскую ответственность в размере, не менее чем в тысячу раз превышающем максимальный предел сделки, которую данный центр может указывать в сертификате ключа подписи. То есть центры будут изначально рассортированы на тех, кто имеет право выдавать ЭЦП на крупные сделки, и тех, кто имеет право выдавать ЭЦП на мелкие.
В проекте Тарачева--Шохина проще: центр должен располагать "финансовыми ресурсами, достаточными для несения имущественной ответственности перед владельцами сертификатов открытых ключей в случае ненадлежащего исполнения центром своих обязанностей". При этом минимальный размер указанных финансовых ресурсов определяется законами или постановлениями правительства.
Правительственный проект полагает, что ЭЦП могут подписываться только граждане. Депутаты же считают, что и юридические лица могут иметь подпись. Ведь у банков, у участников рынка ценных бумаг (в РТС) уже используются такие подписи, и изменение этой конструкции повлечет большие затраты.
ИРИНА ГРАНИК
ЗА ПРАВИТЕЛЬСТВЕННЫЙ ПРОЕКТ
Александр Шубин, зампред комитета Госдумы по информационной политике (фракция СПС)
— Нам ставят в упрек, что закон предусматривает высокую степень госрегулирования при применении ЭЦП. Но ведь сейчас весь мир учится бороться с новыми преступлениями в сферах новой экономики, и я должен сказать, что все законы, которые приняты в Евросоюзе, в США, в странах Балтии и в Украине, все еще жестче, чем законопроект, который предлагается правительством. Концепция правительственного законопроекта просто полагает, что, несмотря на то что речь идет о глобальных информационных системах и новой экономике, и часть ответственности за те вещи, которые там происходят, должно нести на себе государство. А законопроект депутатов Шохина--Тарачева исходит из того, что чем меньше государства, тем лучше. Вот здесь концептуальное различие. Но кто будет нести ответственность за все проблемы, которые могут возникнуть из-за применения непроверенных средств выработки ЭЦП. Открытые системы ведь затрагивают интересы широкого круга пользователей. Что касается замечаний о том, что из-за обязательной сертификации возникнут проблемы с применением иностранных средств создания ЭЦП. Но ведь никто не возражает, что, например, оборудование для связи и телекоммуникаций проходит обязательную сертификацию в России. Это надо, чтобы у потребителя не возникали проблемы.
ЗА ДЕПУТАТСКИЙ ПРОЕКТ
Владимир Тарачев, зампред комитета Госдумы по кредитным организациям и финансовым рынкам
— Вопрос о сертификации средств ЭЦП — один из ключевых. Если пользователям и их клиентам не нужны тщательные проверки подписи, то есть они готовы использовать несертифицированные подписи, то это их право и их головная боль. Ведь ЭЦП используется в разных сферах — от транзакций в Интернете стоимостью в центы до заключения контрактов на миллионы рублей или долларов. И каждый сам решает, нужна ему сертифицированная подпись или нет. К тому же в нашем законопроекте пользователь сам несет большую ответственность за использование несертифицированной подписи. А предлагаемая правительственным проектом обязательность сертификации существенно повышает ее стоимость. Не исключено, что на первом этапе, когда еще не будет множества центров сертификации, обязательная сертификация будет заставлять граждан платить бешеные деньги за ЭЦП. Все это способствует возникновению монополизма на рынке этих услуг. Возникает еще один вопрос. На международном рынке используются продукты таких компаний, как Microsoft и Netscape, для которых в принципе не предполагается российская сертификация. Я с трудом себе представляю, как Microsoft будет проходить сертификацию в ФАПСИ. Это может серьезно усложнить интеграцию России в международные сети и системы.
ЭКСПЕРТ
Евгений Ясин, бывший министр экономики, научный руководитель Высшей школы экономики
— Я человек незаинтересованный, электронная подпись мне не нужна. Но я считаю, что, конечно, сертификация должна быть добровольной. Несомненно, электронная подпись должна иметь законную силу. То есть ее применение должно регулироваться законом. Но я категорически против того, чтобы в этом деле была принудиловка. Ведь это очень просто и всем известно. Как только возникает принудиловка, кто-то приоткрывает краник, из которого начинает капать, а кто-то подставляет под этот краник карман или чашечку. Тут же появляется и очередь из тех, кто не хочет открывать краник. И эта очередь будет искать способы решить проблему другим способом. Например, будет искать не очень законные возможности получить сертификат подешевле, не говоря уже о подделках или о чем-нибудь в этом роде. Тут же появятся и желающие предоставить эти услуги. В то же время если сертификация — это дело добровольное, то это будет создавать стимул для ее получения. Ведь очевидно, что сертифицированная электронная подпись будет вызывать большее доверие у тех, кто сотрудничает с обладателями этой подписи. Мировой опыт уже давно продемонстрировал, что на добровольных и свободных началах все делается гораздо лучше и быстрее, чем когда к чему-то принуждают и подслушивают телефоны.
ИСТОРИЯ ВОПРОСА
Три года назад в думском бюджетном комитете начали обсуждать общий подход к законодательству об электронной коммерции или электронном документообороте. Инициатором стал подкомитет, курировавший финансовый рынок, который тогда возглавлял Владимир Тарачев. Тогда наибольшую заинтересованность в принятии этих законов высказывало финансовое сообщество. В электронной цифровой подписи в первую очередь нуждались безналичные банковские платежи и электронные технологии на рынке ценных бумаг. В результате дискуссий стало ясно, что одного закона об электронном документе быть не может. И решили, что в основе всей структуры "электронного законодательства" должен лежать закон об ЭЦП. Затем на базе этого закона будет более общий закон об электронной коммерции и электронной торговле. Должен быть разработан и закон о платежных картах. Кризис 1998 затормозил работу над этими законами.
МИРОВАЯ ПРАКТИКА
Законы об электронной цифровой подписи существуют уже во многих странах мира. Почти во всех странах аналогом собственноручной подписи признается электронная цифровая подпись, реализованная на основе применения так называемого асимметричного криптографического преобразования (в российских законопроектах то же самое, см. описание в тексте). Примечательно, что США являются исключением. Введенный там в действие с 1 октября 2000 года закон не фиксирует методов обеспечения ее надежности. В то же время законы отдельных штатов фиксируют в качестве ЭЦП подпись, построенную методом асимметричного криптографического преобразования. В американском и немецком законах к сертификационным органам или бюро предъявляются особые требования. Государства берут на себя регулирование деятельности этих центров через лицензирование или выдачу одобрения на их работу уполномоченным госорганом. Закон ФРГ устанавливает, что "для деятельности сертификационного бюро необходимо разрешение компетентной инстанции". Закон штата Вашингтон (США) вообще обязует сертифицирующий центр ежегодно подтверждать свою лицензию путем проведения аудиторской проверки. В большинстве стран к сертификационным центрам применяются общие требования. Например, требование безусловного законопослушания и благонадежности, определенной квалификации персонала, наличия соответствующих финансовых ресурсов для возмещения возможного ущерба, возникающего от ненадлежащего исполнения центром своих обязанностей. По закону ФРГ технические средства, которые используют центры, должны обладать высокой надежностью, чтобы гарантировать выявление подделок. Они должны регулярно подвергаться проверкам компетентной инстанции. Что касается требования обязательной сертификации средств ЭЦП, то его в большинстве стран нет.
Кстати, дальше всех в госрегулировании использования ЭЦП пошла пока Республика Корея. Ее закон устанавливает, что правительство может не только регулировать использование криптографических технологий, но и принимать при этом любые меры, чтобы получить доступ к зашифрованной информации или самой технологии преобразования информации.
ЦИТАТА
Из правительственного законопроекта
Статья 5. Использование средств электронной цифровой подписи
1. Создание ключей электронной цифровой подписи осуществляется:
— для использования в информационной системе общего пользования — пользователем или, по его обращению,— удостоверяющим центром;
— для использования в корпоративной информационной системе — в порядке, установленном этой системой.
2. При создании ключей ЭЦП для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков и вреда, возникших в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей таких ключей.
3. В корпоративных информационных системах федеральных органов государственной власти, органов госвласти субъектов РФ и органов местного самоуправления использование несертифицированных средств ЭЦП и созданных ими ключей ЭЦП не допускается.