Либертариум Либертариум

Проект Закона"Об электронной цифровой подписи" (одна из первых версий)

Одна из версий законопроекта.
Проект был разработан Гостелекомом России (рабочей группой под руководством Г.Т.Артамонова (ВНИИПВТИ)) совместно с ФАПСИ, Банком России и Гостехкомиссией России в соответствии с п.19 Плана подготовки федеральных законов на 1999-2000 гг., утвержденным распоряжением Правительства Российской Федерации от 20 мая N 803-р.
Законопроект находится в стадии обсуждения и доработки с учетом получаемых замечанияй и предложений и в соответствии с Планом должен был представлен в Правительство РФ в IV квартале 1999г.

01.12.1999

Вносится Правительством
Российской Федерации

См. Поправки, внесенные ЦБ и Минюстом в седедине декабря 1999г.,
версию от 27 января 2000г.
и текущую версию от 15 мая 2000г.

Проект

РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
"Об электронной цифровой подписи"

ГЛАВА I. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящий Федеральный закон регулирует отношения, возникающие при использовании электронной цифровой подписи в обороте документов в электронной форме отображения.

2. Действие настоящего Федерального закона распространяется на органы государственной власти и органы местного самоуправления Российской Федерации, а также на юридических и физических лиц, находящихся под юрисдикцией Российской Федерации.

3. Законодательство об электронной цифровой подписи состоит из настоящего Федерального закона, иных федеральных законов, регулирующих данные отношения, а также изданных на их основе нормативных правовых актов.

Статья 2. Понятия, используемые в настоящем Федеральном законе

В настоящем Федеральном законе используются следующие понятия:

  • документ в электронной форме отображения (электронный документ) -- информация, представленная в форме набора состояний элементов электронной вычислительной техники, иных электронных средств обработки, хранения и передачи информации, могущая быть преобразованной в форму, пригодную для однозначного восприятия человеком, и имеющей атрибуты для идентификации документа;
  • электронная цифровая подпись (ЭЦП) -- последовательность символов, полученная в результате криптографического преобразования исходной информации с использованием закрытого ключа ЭЦП, которая позволяет подтверждать целостность и неизменность этой информации, а также ее авторство при условии использования открытого ключа ЭЦП и его сертификата;
  • средство электронной цифровой подписи -- совокупность программных и технических средств, реализующих функцию выработки и проверки электронной цифровой подписи;
  • открытый ключ ЭЦП -- общедоступная последовательность символов, предназначенная для проверки электронной цифровой подписи;
  • закрытый ключ ЭЦП -- последовательность символов, предназначенная для выработки электронной цифровой подписи и известная только правомочному лицу;
  • центр по удостоверению подлинности электронной цифровой подписи (удостоверяющий центр) -- юридическое лицо или выделенное подразделение юридического лица, обладающие правомочиями на удостоверение принадлежности конкретного открытого ключа ЭЦП определенному пользователю;
  • сертификат открытого ключа электронной цифровой подписи (сертификат ключа подписи) -- документ, выданный и заверенный удостоверяющим центром, подтверждающий принадлежность открытого ключа ЭЦП определенному лицу. Сертификат может содержать дополнительную информацию, необходимую для обеспечения безопасности использования открытого ключа ЭЦП. В случае, когда сертификат выдается в форме электронного документа, он подписывается ЭЦП этого центра;
  • сертификат на средство электронной цифровой подписи -- документ, выданный по правилам соответствующей системы сертификации, удостоверяющий соответствие этого средства специальным требованиям и гарантирующий в течение определенного срока действия возможность использования данного средства в качестве инструмента подтверждения целостности, неизменности и авторства электронного документа;
  • подтверждение подлинности ЭЦП -- положительный результат проверки правильности ЭЦП, выработанной правомочным лицом из исходной информации путем применения принадлежащего ему закрытого ключа ЭЦП, полученный с использованием зарегистрированного и сертифицированного открытого ключа ЭЦП.

ГЛАВА II. ОБЩИЕ ПРИНЦИПЫ ПРЕДСТАВЛЕНИЯ ДОКУМЕНТОВ В ЭЛЕКТРОННОЙ ФОРМЕ ОТОБРАЖЕНИЯ

Статья 3. Условия придания электронному документу юридической силы

1. Электронная цифровая подпись может быть использована для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица.

2. Во всех случаях, когда в соответствии с действующим законодательством Российской Федерации необходимо наличие собственноручной подписи, таковым требованиям удовлетворяет электронный документ, имеющий соответствующие идентификационные атрибуты и подписанный электронной цифровой подписью при соблюдении следующих условий:

  • электронная цифровая подпись подтверждена при помощи открытого ключа ЭЦП, подлинность которого подтверждена соответствующим сертификатом;
  • подписавшая сторона правомерно владеет закрытым ключом, используемым для выработки электронной цифровой подписи;
  • электронная цифровая подпись выработана и проверена средством электронной цифровой подписи, сертифицированным в установленном порядке.

3. Все экземпляры подписанного электронной цифровой подписью документа имеют юридическую силу оригинала за исключением случаев, когда подписывающее лицо не указало оригинальный экземпляр или в соответствии с законодательством Российской Федерации или соглашением сторон юридической силой обладает единственный экземпляр документа на бумажном носителе -- его оригинал. Для заверения таких документов электронная цифровая подпись не применяется.

Статья 4. Идентификационные атрибуты документа в электронной форме отображения
1. Документ в электронной форме отображения должен содержать следующие обязательные атрибуты:

а) при образовании документа в организации, учреждении:

  • наименование и адрес организации;
  • регистрационный номер документа;
  • данные лица (фамилия, инициалы, должность), подписавшего документ;
  • дату подписи документа;

б) при направлении документа гражданином или индивидуальным предпринимателем:

  • фамилию, имя, отчество гражданина, серию и номер документа, удостоверяющего личность;
  • дату подписи документа.

2. Нормативными правовыми актами, регулирующими организацию делопроизводства, могут быть установлены дополнительные атрибуты документа в электронной форме отображения.

ГЛАВА III. ОБЩИЕ УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ

Статья 5. Предназначение и сфера применения электронной цифровой подписи

1. Электронная цифровая подпись может быть использована для подтверждения целостности и неизменности, а также для подтверждения авторства любой информации, представленной в форме электронных документов, текстовых или графических файлов, отдельных строк и записей в базах данных.

2. Электронная цифровая подпись может использоваться физическими лицами, а также полномочными представителями органов государственной власти, органов местного самоуправления и юридических лиц, находящихся под юрисдикцией Российской Федерации.

Статья 6. Содержание сертификата ключа электронной цифровой подписи

1. Сертификат ключа подписи должен содержать следующие обязательные сведения:

  • наименование юридического лица или имя гражданина -- владельца закрытого ключа ЭЦП;
  • открытый ключ электронной цифровой подписи;
  • наименование средств электронной цифровой подписи, с которыми разрешено использовать присвоенный владельцу открытый ключ электронной цифровой подписи;
  • открытый ключ электронной цифровой подписи удостоверяющего центра, наличие, номер сертификата соответствия данного средства и срок его действия;
  • регистрационный номер сертификата открытого ключа ЭЦП;
  • даты начала и окончания срока действия сертификата открытого ключа ЭЦП;
  • данные об ограничении вида или области применения сертификата отрытого ключа ЭЦП;
  • данные о представительских полномочиях третьего лица;
  • открытый ключ ЭЦП удостоверяющего центра, выдавшего сертификат.

2. Иные данные о заявителях могут включаться в сертификат ключа электронной цифровой подписи только с его согласия.

Статья 7. Сроки хранения ключей и сертификатов ключей электронной цифровой подписи

Сроки хранения сертификатов ключей электронной цифровой подписи должны соответствовать срокам хранения, установленным нормативными правовыми актами для документов, которые заверены электронной цифровой подписью. Минимальный срок хранения открытых ключей ЭЦП должен соответствовать сроку исковой давности, устанавливаемому для защиты прав субъектов правоотношений, в регулировании которых использовались документы, заверенные электронной цифровой подписью.

При отсутствии специальных сроков исковой давности хранение открытых ключей и сертификатов открытых ключей должно осуществляться в течение трех лет.

Статья 8. Порядок выработки закрытых ключей электронной цифровой подписи

1. При использовании средств электронной цифровой подписи органами государственной власти и органами местного самоуправления выработка и распределение закрытых ключей электронной цифровой подписи осуществляется уполномоченным федеральным органом, либо юридическими лицами, действующими по поручению этого органа.

Уполномоченный федеральный орган определяется Правительством Российской Федерации.

2. При использовании электронной цифровой подписи в гражданском обороте и в процессах взаимодействия юридических и физических лиц с органами государственной власти и органами местного самоуправления выработку и распределение закрытых ключей ЭЦП осуществляют лица, использующие эти средства. В случае необходимости выработка и распределение закрытых ключей ЭЦП может быть поручена юридическому лицу, выполняющему функции удостоверяющего центра, на основании договора сторон.

Статья 9. Лицензирование деятельности по выработке и распределению закрытых ключей ЭЦП, по сертификации открытых ключей ЭЦП и по подтверждению подлинности электронной цифровой подписи

1. Деятельность юридических лиц по выработке и распределению закрытых ключей ЭЦП, а также их деятельность по сертификации открытых ключей ЭЦП и деятельность по подтверждению подлинности электронной цифровой подписи подлежат лицензированию, в соответствии Федеральным законом "О лицензировании отдельных видов деятельности".

2. Лицензирование указанных видов деятельности осуществляется уполномоченным федеральным органом, определенным в статье 8, в соответствии с положением утверждаемым Правительством Российской Федерации.

Статья 10. Использование электронной цифровой подписи органами государственной власти и органами местного самоуправления

1. Электронная цифровая подпись может применяться органами государственной власти и органами местного самоуправления для следующих целей:

  • подтверждения факта волеизъявления правомочного лица, содержащегося в нормативных правовых актах, исполнительно-распорядительных и иных служебных документах, передаваемых по общегосударственным, региональным и локальным информационным системам и сетям, а также хранимых средствами электронной вычислительной техники;
  • подтверждения юридической силы электронного документа при направлении его юридическим или физическим лицом в органы государственной власти и органы местного самоуправления;

2. Электронная цифровая подпись не может быть использована для подтверждения факта волеизъявления правомочного лица на постановлениях, решениях, определениях, приговорах судов и судебных приказах, постановлениях судей и прокуроров, следователей и лиц, проводящих дознание, издаваемых в пределах их компетенции.

Статья 11. Использование электронной цифровой подписи в гражданском обороте

1. Электронная цифровая подпись может использоваться физическими и юридическими лицами в качестве аналога собственноручной подписи при совершении сделок, заключении договоров и иных юридически значимых действий.

2. Допускается использование электронной цифровой подписи без обращения к услугам удостоверяющих центров. В этом случае отношения между пользователями электронной цифровой подписи устанавливаются договором, существенными условиями которого являются:

  • сохранение сторонами в тайне ключей, используемых при формировании электронной цифровой подписи, сведений о пользователях электронной цифровой подписи, а также конструктивных особенностей средств электронной цифровой подписи в случае, если данное требование выдвигается разработчиком средства электронной цифровой подписи или организацией, осуществляющей сертификацию средства электронной цифровой подписи;
  • обязательства пользователя электронной цифровой подписи по сохранению в тайне ключей, используемых при формировании электронной цифровой подписи, и конструктивных особенностей средства электронной цифровой подписи, если такое требование выдвигается уполномоченным федеральным органом, определенным в статье 8, юридическим или физическим лицом, действующим по поручению вышеуказанного органа, удостоверяющим центром, собственником, владельцем или организатором корпоративной информационной сети;
  • обязательства сторон, организующих использование средства электронной цифровой подписи либо использующих данное средство, по соблюдению правил пользования средством электронной цифровой подписи;
  • распределение риска убытков, понесенных системой или ее участниками, в результате использования недостоверной электронной цифровой подписи;
  • установление прав и обязанностей сторон по возмещению ущерба, наступившего при предоставлении недостоверных сведений, заверенных электронной цифровой подписью, а также возмещению ущерба, наступившего при использовании неисправного либо некачественного средства электронной цифровой подписи.

ГЛАВА IV. УДОСТОВЕРЯЮЩИЕ ЦЕНТРЫ

Статья 12. Правовой статус удостоверяющих центров

1. Удостоверяющим центром может быть юридическое лицо (коммерческая или некоммерческая организация).

2. Допускается возложение функций удостоверяющего центра на самостоятельное структурное подразделение в рамках организации -- владельца (организатора) корпоративной информационной сети.

3. В наименовании юридических лиц или самостоятельных структурных подразделений, выполняющих функции удостоверяющих центров, должна присутствовать фраза "центр по удостоверению подлинности электронной цифровой подписи".

4. При выдаче сертификата удостоверяющий центр предоставляет следующие гарантии:

  • подлинности сведений, содержащихся в сертификате, им подтвержденным;
  • наличия в удостоверяющем центре всех необходимых сведений.

Статья 13. Удостоверяющие центры органов государственной власти и органов местного самоуправления

1. Для организации использования электронной цифровой подписи в своих интересах органы государственной власти и органы местного самоуправления организуют удостоверяющие центры.

2. Удостоверяющие центры организуются по территориальному принципу либо ведомственной принадлежности. Допускается организация межведомственных территориальных удостоверяющих центров.

3. Иные особенности правового статуса удостоверяющих центров органов государственной власти и органов местного самоуправления определяются Правительством Российской Федерации.

Статья 14. Основные функции и обязанности удостоверяющих центров

1. Удостоверяющий центр подтверждает факт закрепления конкретного открытого ключа электронной цифровой подписи и соответствующего ему закрытого ключа за конкретным пользователем путем издания соответствующего сертификата открытого ключа ЭЦП.

2. Регистрация пользователя электронной цифровой подписи в удостоверяющем центре производится на основании заявки, в которой должны содержаться сведения об юридическом лице или физическом лице в объеме, необходимом для выполнения данным центром своих функций по подтверждению подлинности сертификата ключа. Перечень таких сведений определяется уполномоченным федеральным органом, определенным в статье 8.

3. Удостоверяющий центр обязан обеспечить условия, при которых сертификаты открытых ключей ЭЦП либо рассылаются (в бумажной или электронной форме) всем участникам определенного документооборота, либо любой участник этого документооборота должен иметь возможность проверить подлинность сертификата открытого ключа ЭЦП по общедоступным телекоммуникационным каналам или иным способом.

4. Открытый ключ ЭЦП удостоверяющего центра, которым заверяются сертификаты, выдаваемые этим центром, заверяется уполномоченным федеральным органом, определенным в статье 8, либо юридическими лицами, действующими по поручению этого органа.

5. Уполномоченный федеральный орган обязан обеспечить, чтобы любое лицо по общедоступным телекоммуникационным каналам или иным способом имело возможность проверить любой из выданных данным органом либо юридическим лицом по его поручению сертификатов открытого ключа ЭЦП удостоверяющего центра. Данное требование касается также информации об адресах удостоверяющих центров, данных о заблокированных сертификатах, приостановке или прекращении деятельности какого-либо удостоверяющего центра, а также прекращения или отзыва лицензий.

6. Удостоверяющий центр обязан информировать заявителей на получение ключей электронной цифровой подписи о мерах обеспечения безопасности средств электронной цифровой подписи, а также сообщать им сведения о сертифицированных средствах электронной цифровой подписи.

Статья 15. Условия блокирования сертификатов ключа электронной цифровой подписи

1. Удостоверяющий центр обязан заблокировать сертификат ключа электронной цифровой подписи в следующих случаях:

  • по требованию владельца ключа электронной цифровой подписи или его представителя;
  • при обнаружении в сертификате ключа электронной цифровой подписи недостоверных сведений;
  • перед прекращением деятельности удостоверяющего центра либо перед передачей им полномочий другому центру;
  • по мотивированному решению уполномоченного федерального органа;

2. Уполномоченный федеральный орган, определенный в статье 8, обязан заблокировать выданный им сертификат ключа электронной цифровой подписи в следующих случаях:

  • при прекращении деятельности удостоверяющего центра;
  • при отзыве лицензии на деятельность удостоверяющего центра.

Статья 16. Условия прекращения деятельности удостоверяющего центра

При принятии решения о прекращении своей деятельности удостоверяющий центр обязан заблаговременно проинформировать об этом уполномоченный федеральный орган, определенный в статье 8, и обеспечить передачу действующих на момент прекращения деятельности сертификатов открытых ключей ЭЦП и служебной документации, касающейся его деятельности по удостоверении подлинности открытых ключей ЭЦП, другому удостоверяющему центру, уполномоченному федеральному органу, либо заблокировать сертификаты открытых ключей ЭЦП.

Статья 17. Признание иностранных сертификатов

Признание иностранных сертификатов открытых ключей ЭЦП осуществляется в соответствии с действующими международными договорами с участием Российской Федерации.

ГЛАВА V. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Статья 18. Приведение нормативных правовых актов в соответствие с настоящим Федеральным законом

1. Президенту Российской Федерации привести свои нормативные правовые акты в соответствие с настоящим Федеральным законом.

2. Правительству Российской Федерации:

  • привести свои нормативные правовые акты в соответствие с настоящим Федеральным законом;
  • принять нормативные правовые акты, обеспечивающие реализацию настоящего Федерального закона.

Статья 19. Вступление в силу настоящего Федерального закона

Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

См. также (1)

  • Версия от 15.05.2000г.

    Проект федерального закона "Об электронной цифровой подписи" разработан Гостелекомом России совместно с ФАПСИ, Банком России и Гостехкомиссией России (рабочей группой под руководством Г.Т.Артамонова <ВНИИПВТИ>) в соответствии с п.19 Плана подготовки федеральных законов на 1999–2000 годы, утвержденным распоряжением Правительства Российской Федерации от 20 мая N 803-р.

    Вашему вниманию предлагается версия законопроекта, которая после согласования с ведомствами соисполнителями (ФАПСИ, Гостехкомиссией России, Минюстом России, Банком России и ФКЦБ России), в конце 1999г. была представлена в Правительство РФ.

    15.05.2000

Комментарии (10)

  • Проект Закона"Об электронной цифровой подписи" (одна из первых версий)

    1. Не хотелось бы, чтобы в законе осталось определение ЭЦП (ст.2 аб.2) -- "ЭЦП -- последовательность символов, полученная в результате криптографического преобразования исходной информации с использованием закрытого ключа ЭЦП...". Поскольку ФАПСИ пытается грести под себя все, что относится к слову криптография.
    Конечно, идею электронно-цифровой подписи предложили криптографы, и методы, применяемые ЭЦП, созвучны криптографическим идеям. К тому же в нашей стране исторически сложилось, что этим вещами занималось КГБ. Но тазик, изготовленный по конверсии на танковом заводе, вовсе не танк, а тазик. В противном случае такие тазики из магазинов исчезли бы совсем -- ведь у магазина нет права торговать танками, к тому же танковому заводу не имеет смысла выпускать те предметы, которые невозможно реализовать. Точно также относить ЭЦП к криптографии не совсем корректно. Цель ФАПСИ -- стать законодателем в области лицензирования -- вначале ЭЦП отнесут к криптографии, потом к шифровальным средствам и...
    2. На первый взгляд нет ничего плохого и в предложении
    "электронная цифровая подпись выработана и проверена средством электронной цифровой подписи, сертифицированным в установленном порядке"(ст.3 п.2). Но проглядывается то, что ФАПСИ, отнеся ЭЦП в область криптографии, подгребет и сертификацию под себя, и мы будем подпись сертифицировать в ФАПСИ.
    3. Ст. 9 "Лицензирование деятельности по выработке и распределению закрытых ключей ЭЦП, по сертификации открытых ключей ЭЦП и по подтверждению подлинности электронной цифровой подписи" хорошо ложится под ФАПСИ -- будут центры, которые всем и займутся.
    ---------
    А вообще очень хорошо, что в законе разделены использования ЭЦП в государственных структурах власти и во всех остальных (т.е. гражданское и коммерческое отделены от государства). Это хорошо тем, что если государство желает работать под ФАПСИ, коммерческим организациям можно и обойтись без сертификации ЭЦП. Если это разделение будет проведено и дальше, а определение ЭЦП сформулируют иначе, будет здорово.
  • Проект Закона"Об электронной цифровой подписи" (одна из первых версий)

    Алексей, я согласен с Вашей последней репликой но, по-моему, большинство посетителей этого сайта не до конца понимают суть услуги по издательству сертификатов ключей цифровой подписи. И для законотворцев сертификат это, прежде всего цифровая подпись " цифирка вырабатываемая по о-о-очень сложному алгоритму, доподлинно известному только федеральному агентству, а вовсе не механизм позволяющий связать владельца открытого ключа с каким либо атрибутом. Думаю, они до сих пор уверены, что VeriSign получает прибыль именно за процесс подписывания, и очень сильно расстроятся, поняв что это не так.
    Вчера, я в очередной раз, пояснял одному господину, что себестоимость выработки подписи измеряется долями цента, и выработать ее может даже ребенок, а основную стоимость услуги составляет проверка того, что лицо, которому выдан сертификат, действительно обладает атрибутом, указанным в поле subject, например, адресом электронной почты, проверку которого и производит издатель сертификата. Тот же Verisign, выдавая даже тестовый сертификат, производит довольно надежную процедуру проверки соответствия e-mail адреса владельцу ключа. То, что сертификат должен выпускать не криптограф, а специалист в предметной области -- очевидно, иначе это просто теряет смысл.
    Если сертификат содержит фотографию очаровательной девушки в полный рост, с указанием возраста, незамужнего семейного положения и умения готовить обед, то гарантировать соответствие этих реквизитов владельцу секретного ключа может только брачное агентство и то, только после личной встречи с такой дамой. Если сертификат содержит запись о том что "этот сертификат выдан Петровичу " знатному любителю пива", то выпускать его должен клуб любителей пива. http://www.libertarium.ru, претендующий на роль онлайн-коммунити, должен выпускать сертификаты для участников коммунити, чтобы они могли не только постить сообщения на этот сайт, но и аутентифицировать друг друга при личной переписке.
    А претензии ФАПСИ и других сильно важных, сопутствующих агентству организаций, на компетентность в области женщин и пива действительно не обоснованы. Зачем кому-то нужен изданный федеральным агентством сертификат, в котором будет написано что он, предположим, сертифицированный инженер CISCO. Все отлично понимают, что в агентстве нет специалистов по цискам. Тому, кто владеет данным сертификатом, не следует доверять, а его советы по работе с циской, полученные по e-mail надо выбросить в мусорную корзину. Агентство может выпускать сертификаты для академиков криптографии и сертификаты, подтверждающие работу в должности внештатного сотрудника. Вот таким сертификатам доверять можно :-) но только кому они нужны.

    Надеюсь на конференции, которая состоится на следующей неделе, как раз и будут обсуждаться эти вопросы

    С уважением,
    --
    Maxim E. Smirnoff <[email protected]>

  • Сертификаты Либертариума

    Левенчук Анатолий, 20.12.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 18.12.1999)
    Про сертификаты от имени Либертариума для нашей коммьюнити -- это очень интересное предложение. Виктор Вагнер еще год назад предлагал что-то похожее, и мы время от времени это обсуждаем.
    Парольную защиту мы уже поставили, и у нас уже нельзя просто так выступить от имени чужого персонажа -- для этого и разработана система регистрации...
    И вообще, учитывая специфику нашей нелегкой работы ;) мы готовы демонстрировать защищенный распределенный многопользовательский паблишинг на собственном примере.
    Московский Либертариум на РусКрипто будет представлен Викторией Егоровой.
  • Сертификаты Либертариума

    аноним, 20.12.1999
    в ответ на: комментарий (Левенчук Анатолий, 20.12.1999)
    С технической точки зрения мы можем начать выпуск SSL-сертификатов
    Либертариума в любой момент. Проверять подлинность можно
    посредстом ключа http://zinc.fe.msk.ru/~vitus/ice_ca.der

    Неясным представляется только вопрос, а как этими сертификатами
    технически пользоваться.

    SSL это все-таки для online-сервисов, таких как pop3 или http.
    При личной переписке чаще пользуются pgp, ключи которой по формату
    несколько отличны. Вот завести на libertarium pgp-keyserver
    для community наверное было бы полезным.

  • Сертификаты Либертариума

    Maxim E. Smirnoff, 21.12.1999
    в ответ на: комментарий (анонимный, 20.12.1999)
    Imho, X.509 использовать несколько удобнее, тем более что преобразовать его в PGP достаточно просто. Я преобразовал Ваш самоподписаный сертификат X.509v1 в PGP и отослал его Вам по e-mail.
  • Сертификаты Либертариума

    Maxim E. Smirnoff, 25.12.1999
    в ответ на: комментарий (Левенчук Анатолий, 20.12.1999)
    _Парольную защиту мы уже поставили_ К сожалению, в HTTP парольная защита реализована крайне слабо. Спецификация предусматривает два способа использования пароля, причем реализован в серверах и броузерах, как правило, первый, самый слабый способ, заключающийся в простой передачи пароля через сеть в открытом виде. И на либертариуме используется именно он.
    И вообще, учитывая специфику нашей нелегкой работы ;) мы готовы демонстрировать защищенный распределенный многопользовательский паблишинг на собственном примере.
    Это, безусловно, очень хорошее желание, но imho вопрос не только в желании но и в технической реализации, а также готовности пользователей сайта работать с предлагаемыми решениями. Использование криптографических средств не должно быть самоцелью, а должно поддерживать некоторую услугу с очевидным потребительским свойством. Если такую услугу нам удастся придумать, то она и "потащит" за собой криптографические механизмы.
  • Сертификаты Либертариума

    Левенчук Анатолий, 25.12.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 25.12.1999)
    Если очень хочется выпить -- то вовсе необязательно использовать для этой цели водку 40 градусов. Иногда сойдет и пиво, иногда -- портвейн (надеюсь, мы увидим эту метафору Анатолия Лебедева развернутой в ближайшие дни в его комментариях Московскому Либертариуму ;)
    Безусловно, защита не должна быть самоцелью -- и даже передача паролей по защищенному каналу должна быть чем-то оправдана. Обычно самая крутая защита очень неудобна в использовании. Думаю, даже сегодняшняя парольная защита (безо всякой криптографии) уже приносит определенную пользу. А использование криптографических протоколов в Московском Либертариуме, конечно, нужно обсуждать -- даже если целью их использования является простая демонстрация широкой публике их возможностей.
  • Сертификаты Либертариума

    Maxim E. Smirnoff, 26.12.1999
    в ответ на: комментарий (Левенчук Анатолий, 25.12.1999)
    Безусловно, я с Вами согласен, Анатолий. Но, на мой взгляд, простая демонстрация широкой публике возможностей крипто, будет не столь интересна, как предоставление какого-нибудь более или менее востребованного сервиса, использующего крипто. Я предлагаю организовать силами посетителей libertarium-а некоторый вброс идей на тему: зачем можно было бы использовать такие технологии в реальной жизни. 90% таких идей, вероятно, окажутся совершенно утопичными, но надеюсь, несколько мощных идей из этого получится. Я готов начать такой вброс.
    Идея " 1. Думаю в РуНет сейчас окажется востребованной такая услуга как сертификация кнопок. Поясню суть идеи. На нескольких сайтах есть кнопочка "Powered by Communiware", кликнув на которой, вы действительно окажетесь на сайте http://www.communiware.ru, но обнаружите вовсе не список всех сайтов, которые созданы при помощи Communiware. Если же на кнопке написано "Designed by "" или же это вообще кнопка каталога ресурсов, то создание полного списка сайтов задача и вовсе не тривиальная. Таким образом, я легко смогу обвешать свою домашнюю страничку фиктивными кнопками, приписать ее дизайн известному автору или же вообще написать, что я и есть победитель конкурса "Липовый УРЛ 99". Такая ситуация довольно неплохо решается если организаторы продвинутых конкурсов, агентства дизайна, мощные Web ринги, начнут выдавать соответствующие цифровые сертификаты тем, кто действительно победил в конкурсе, сделал дизайн у конкретного автора и т.д.
    С идеей выдачи сертификатов победителям конкурса, перекликается идея " 2, заключающаяся в сертификации содержимого сайта. В первую очередь это относится к новостным сайтам, которые постоянно что-то такое печатают со ссылкой на то или иное информационное агентство. Якобы вот здесь такое-то агентство сообщило, что случилось то-то и то-то. Соврать, безусловно, ничего не стоит. Если уж агентство сливает свою информацию, то оно могло бы и выдать сертификаты тем сайтам, которые ее потом публикуют, а заодно и посмотреть, чего там такого опубликовано. По-моему, нависшая на РуНет идея относительно признания последнего СМИ так же очень красиво решается через сертификацию сайтов при помощи цифровых сертификатов X.509. Только вряд ли наши любимые госструктуры до нее думаются. А если даже додумаются, то полагаю, вступят в многолетние переговоры с ФАПСИ о реализации алгоритма ГОСТ 34.10 во всех серверах и броузерах на территории РФ. Так что есть хорошая возможность перехватить инициативу в этом процессе и начать самосертификацию сайтов, имеющих СМИшную лицензию. Создать каталог "хороших" сайтов, которые добровольно взяли на себя обязательство действовать в соответствии с лицензией СМИ, попривлекать туда соответствующие сайты, а затем продать этот каталог тем же госрегуляторам.
  • Сертификаты Либертариума

    Левенчук Анатолий, 26.12.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 26.12.1999)
    Идеи сервисов, действительно, неплохие. Я против только двух моментов: 1) незачем даже упоминать лицензирование в качестве СМИ -- это лицензирование никак не связано с обсуждаемыми проблемами. 2) продавать госрегуляторам ничего не нужно, это они будут пытаться продавать нам свое (очень часто гнилое) регулирование, которое будут выдавать за "общественные интересы".
    А сама идея подобных криптосервисов очень и очень неплоха -- вопрос только в том, как организовать их реализацию.
  • Сертификаты Либертариума

    Maxim E. Smirnoff, 16.01.2000
    в ответ на: комментарий (Левенчук Анатолий, 26.12.1999)
    Кстати, по адресу http://www.nv.ru/club/ открыли Клуб приличных сайтов. Если так дело пойдет и дальше, то скоро появится и отечественный аналог TrustE. Пора отечественным криптологам открывать национальные certificate authority, пока Verisign и Thawte не "сделали это для нас"(вон у Thawte давно уже русский язык прорезался)
Московский Либертариум, 1994-2020