PKI в России: пришло время перемен

PKI в России: пришло время перемен

В анализе собраны мнения участников рынка PKI в России о путях его развития, драйверах роста и тормозящих моментах, требующих решения — прежде всего на юридически-правовом уровне с использованием требований ГОСТ. Регуляторы крайне обеспокоены тем, что деятельность удостоверяющих центров все более походит на «торговлю воздухом», а уровень доверия среди участников снижается.

 

 

 

1. Введение

2. Ситуация в мире. PKI обрастает надстройками

3. В России. Минкомсвязи берет рынок в свои руки

4. В Евразийском экономическом союзе. PKI как средство интеграции

5. Выводы

 

 

Введение

Есть в информационной безопасности разделы, которые в отечественной практике так и не поменяли своего английского обозначения на русский аналог. Один из них — PKI (Public Key Infrastructure). Под этим термином понимается «инфраструктура открытых ключей», используемая для аутентификации пользователей информационных систем. PKI также может использоваться для реализации конфиденциальности, целостности передаваемых данных, неотказуемости (или апеллируемости — англ. non-repudiation). Все это делает данную технологию незаменимой при дистанционном взаимодействии государства, граждан и бизнеса.

 

Ситуация в мире. PKI обрастает надстройками

По своей сути PKI — это набор служб и сервисов для издания, хранения, проверки, приостановления действия, обновления и отзыва цифрового сертификата открытого ключа подписи. Цифровые сертификаты открытых ключей подписи издаются удостоверяющими центрами (УЦ).

Как считают аналитики американской исследовательской компании Frost & Sullivan, в 2013 г. доход на этом рынке составил $357,4 млн, а к 2017 г., по прогнозам, возрастет до $532,8 млн.

Крупнейшими глобальными поставщиками решений для PKI являются UniCERT, Entrust, SafeNet и RSA. Существует немало и открытых продуктов для этого рынка. Практически вся инфраструктура PKI основана на стандарте X.509.

Некоторые его недостатки (нет возможности ограничить Subordinate CA или неопределенности действий при недоступности CRL и OCSP) приводят к появлению решений с отступлением от стандарта — например, с использованием PGP (Web of Trust), OSCP stapling, Certificate pinning, Convergence (trustagility), использование электронных нотариусов и т. д.

Недостатки X.509 часто называют среди причин взлома и компрометации УЦ в таких нашумевших случаях, как с Comodo (2011), Diginator (2011), Trustwave (2012) Verisign (2012) и других. Но тем не менее технология PKI остается весьма востребованной как в государственном секторе, так и в бизнесе, и у частных пользователей.

 

В России. Минкомсвязи берет рынок в свои руки

Бурный рост сервисов PKI в России привел к отставанию его правового регулирования от текущей практики использования. Вследствие чего регулярно вскрываются факты злоупотребления со стороны коммерческих структур, снижающие уровень доверия к сервису. Сейчас в РФ насчитывается около 360 удостоверяющих центров (УЦ) в противовес нескольким десяткам на Западе.

Кроме того, существенным отличием отечественного PKI от мирового является его жесткое регулирование со стороны государства и наличие ответственных стандартов ГОСТ.  Значительная его доля рынка приходится всего на несколько крупных удостоверяющих центров и вендоров, таких как «Крипто-Про», «Аладдин», «Актив», «ИнфоТеКС», «СКБ Контур», «Калуга-Астрал» и т. д.

Существующие основные игроки на рынке производителей криптосредств, используемых в удостоверяющих центрах в России:

  • ООО «Крипто-Про»;
  • ОАО «Инфотекс»;
  • ЗАО «Сигнал-Ком»;
  • ЗАО «МО ПНИЭИ».

Согласно законодательству РФ, существует три вида электронной подписи:

  • Простая ЭП по договору сторон (стандартные логин-пароль). Самая уязвимая из-за возможности перехвата и компрометации данных.
  • Усиленная неквалифицированная подпись в ограниченной Законом юридической значимости (торговые площадки, таможенные и налоговые процедуры для физлиц). На практике это либо SSL с иностранным криптопровайдером, либо сертифицированный отечественный примитив с отступлениями от требований ФСБ РФ.
  • Квалифицированная подпись как повсеместная юридически значимая сущность (открытие и закрытие бизнеса, нотариальные процедуры). Один из главных недостатков — нет возможности отзыва без заявления владельца, даже по инициативе правоохранительных органов.

Однако в «массовом сегменте» доминируют западные продукты и УЦ, список которых встроен в операционные системы и браузеры компьютеров.

Минкомсвязи РФ, законодательно наделенное лишь некоторым функционалом контроля над рынком, не имеет полномочий для эффективного его регулирования. Для преодоления проблемы этим органом внесен в Государственную Думу законопроект № 672981-6 «О внесении изменений в Федеральный закон «Об электронной подписи».

Кроме того, Министерство подготовило проект ФЗ «О внесении изменений в отдельные законодательные акты РФ», который должен поступить в Правительство РФ для обсуждения и закрепить такое понятие, как «сертификат атрибутов».

 

Таблица 1. Пять главных проблем рынка PKI и ЭЦП в России

Проблемы

Способы решения

Особые требования к сертификатам ключа проверки электронной подписи, выдвигаемые ведомственными и корпоративными информационными системами требования, что побуждает пользователей получать разные сертификаты для участия в различных правоотношениях.

Законопроект № 672981-6 «О внесении изменений в Федеральный закон «Об электронной подписи»

Суть поправки: установление прямого законодательного запрета операторам информационных систем требовать включения сертификатов соответствующих ограничений.

Цель: Усиленная квалифицированная электронная подпись, основанная на квалифицированном сертификате ключа проверки электронной подписи, выдается в любом аккредитованном УЦ.

Применяется по всей России и принимается во всех информационных системах органов гос. власти, органов местного самоуправления и иных информационных системах.

Недостаточно эффективны механизмы контроля деятельности аккредитованных удостоверяющих центров. Это приводит к недостаточному уровню доверия к ним со стороны участников инфраструктуры.

Суть поправки: устанавливает

  • определенные и формализованные условия аккредитации удостоверяющих центров;
  • высокие требования к материально-техническим и организационным условиям осуществления деятельности УЦ;
  • эффективное использование механизмов страхования финансовой ответственности.

Цель: Наличие средств удостоверяющего центра, позволяющих по обращению участника электронного взаимодействия устанавливать и подтверждать действительность квалифицированного сертификата на момент подписания электронной подписью электронного документа.

Соответствие порядка реализации функций удостоверяющего центра, требованиям, установленным уполномоченным федеральным органом.

До 10 млн руб. повышение порога стоимости чистых активов УЦ, до 50 млн руб. повышение порога финансового обеспечения ответственности за убытки, причиненные третьим лицам.

Необходимость визуализации подписываемой информации исключительно средствами электронной подписи, что существенно ограничивает возможность использования для реализации функций подписания электронных документов мобильных устройств и иных средств удаленных коммуникаций.

Суть поправки: Возможность средств электронной подписи показывать подписываемые (подписанные) данные с помощью других устройств

или программного обеспечения.

Отсутствуют единые унифицированные правила оказания услуг аккредитованными удостоверяющими центрами (неопределенность сроков оказания услуг, а также способов аутентификации клиентов).

Суть поправки: наделить Минкомсвязи РФ полномочиями устанавливать требования к порядку реализации функций аккредитованного УЦ.

Цель: Выработка единых требований, в т. ч.

  • к порядку установления личности клиента УЦ, в том числе дистанционно;
  • к срокам оказания услуг по созданию и выдаче сертификатов ключей проверки электронной подписи.

Проблема подтверждения полномочий владельца квалифицированного сертификата электронной подписи, закрепляемых за пользователем в рамках конкретного ведомства или конкретной информационной системы, без необходимости наличия множества квалифицированных сертификатов под различные нужды.

Проект ФЗ «О внесении изменений в отдельные законодательные акты РФ»

  • Устанавливается понятие сертификата атрибутов. Это — электронный документ, созданный центром атрибутирования, содержащий в том числе информацию о полномочиях, а также идентификационные сведения о владельце сертификата ключа проверки электронной подписи и непосредственно связанный с этим сертификатом ключа проверки электронной подписи.
  • Определение правового статуса центра атрибутирования. Законопроектом устанавливаются функции центра атрибутирования, порядок создания и сроки действия сертификатов атрибутов.
  • Обеспечение достоверности идентификации лица, обратившегося в орган государственной власти. Установление обязанности владельцев информационных ресурсов, содержащих сведения о полномочиях лиц, обеспечивать по запросу органов, предоставляющих государственную услугу и осуществляющих государственную функцию, подтверждение полномочий лиц, обратившихся в указанные органы и организации. Обеспечивается посредством ЕСИА, взаимодействующей с центрами атрибутирования.
  • Сертификат атрибутов обеспечивает реализацию указанных в нем полномочий владельца сертификата ключа проверки электронной подписи, а также обеспечивает возможность получения доступа к информации, содержащейся в информационных системах, в целях, установленных в сертификате атрибутов.

Источник: Минкомсвязи, 2015 г.

 

На начало ноября 2015 г., еще до принятия решения  по законопроекту № 672981-6, осуществляется пилотный проект по отработке технологий в нескольких УЦ, а также в Министерстве по налогам и сборам РФ, Миграционной службе РФ и Пенсионном Фонде.

 

В Евразийском экономическом союзе. PKI как средство интеграции

В связи с напряженной геополитической обстановкой, введением санкций против РФ и т. д. на повестке дня находится ускорение и углубление интеграции в рамках существующих международных организаций: ЕАЭС, ШОС и др. В этом пространстве появляется отличная возможность опробовать и вывести на уровень региональных стандартов ряд отечественных наработок, а не безоговорочно следовать требованиям западных партнеров.

На этом фоне на Минкомсвязи РФ возлагаются функции доверенной третьей стороны (ДТС) при обмене электронными документами, когда это предусмотрено международными договорами. В первую очередь это касается интегрированной информационной системы Евразийского экономического союза.

Основная задача — передача юридически значимой информации в электронном виде за пределы России, решить которую можно исключительно в рамках многосторонних международных договоров и интегрированной информационной системы  внешней и взаимной торговли Таможенного союза (ИИСВВТ), схема которой представлена ниже.

 

Рисунок 1. Функциональная схема ИИС ЕАЭС

Функциональная схема ИИС ЕАЭС

Источник: ФСБ РФ, 2015 г.

 

Предусмотренное дорожной картой проекта «пространство доверия» должно обеспечиваться ДТС для разных государств в своих национальных сегментах. 

Требования к ним следующие:

  • осуществление легализации (подтверждение подлинности) электронных документов и электронных подписей субъектов информационного взаимодействия в фиксированный момент времени;
  • обеспечение гарантий доверия в международном (трансграничном) обмене электронными документами;
  • обеспечение правомерности применения электронных подписей в исходящих и (или) входящих электронных документах в соответствии с законодательством государств-членов и актами ЕАЭС.

Иными словами, чтобы на национальном уровне свести проверку легитимности пользователей, необходимо сконцентрировать проверку только на одном — ДТС. Задача представляется очень сложной, но важной для развития как технологий, так и самого рынка PKI.

На международный опыт подобного взаимодействия, зачастую основанный на технологии PGP с национальными модулями криптобиблиотек, опираться по ряду причин не всегда возможно.

 

Выводы

Бурное развитие электронного взаимодействия государственных органов РФ с гражданами и бизнесом стало мощным драйвером развития PKI в нашей стране. Этот импульс будет действовать еще значительное время. Существует несколько серьезных тормозящих моментов, связанных с правовой неурегулированностью этой сферы. Над их решением активно работает Минкомсвязи РФ совместно с ФСБ России.

Бизнес, прежде всего электронная торговля и банковский сектор, также активны в области развития дистанционных сервисов и обмена юридически значимыми электронными документами. И это тоже оказывает стимулирующее воздействие на рынок.

Осложнение геополитической обстановки и активизация электронного взаимодействия внутри ЕАЭС, ШОС и др. ускоряют развертывание PKI для межгосударственного обмена документами внутри этих союзов. Задача является крайне сложной, но очень полезной для отработки и запуска в использование отечественных технологий и продуктов.

Серьезным препятствием для роста рынка являются правовая и техническая проблемы, тормозящие создание долговременных архивов, предназначенных для хранения юридически значимых документов.

На рынке существует осторожный оптимизм ожидания развития, связанный с проникновением в жизнь «интернета вещей» (IoT) и смежных с ним секторов: устройства управления промышленными и бытовыми объектами; сигнализации, датчики состояний, системы видеофиксации; счетчики продукции и услуг; банковские системы, терминалы и карты. Возможно, для них более подходит стандарт Card Verifiable Certificates, а возможно, развитие пойдет в рамках классического X.509.

«Массовая криптография» от зарубежных производителей, применяемая прежде всего в браузерах компьютеров, создает огромное количество проблем при взаимодействии граждан и органов государственной власти. Назрел вопрос о госфинансировании разработки и интеграции в клиентские устройства отечественных криптопродуктов.

Из «сервиса доверия» в РФ услуги PKI стали высокодоходным бизнесом, что отчасти дискредитировало сервис. Поэтому ожидается усиление надзора за ним, резкое сокращение количества удостоверяющих центров (примерно 360 на ноябрь 2015 г.) до нескольких десятков, что соответствует международной практике. 

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru