1. Не хотелось бы, чтобы в законе осталось определение ЭЦП (ст.2 аб.2) -- "ЭЦП -- последовательность символов, полученная в результате криптографического преобразования исходной информации с использованием закрытого ключа ЭЦП...". Поскольку ФАПСИ пытается грести под себя все, что относится к слову криптография. Конечно, идею электронно-цифровой подписи предложили криптографы, и методы, применяемые ЭЦП, созвучны криптографическим идеям. К тому же в нашей стране исторически сложилось, что этим вещами занималось КГБ. Но тазик, изготовленный по конверсии на танковом заводе, вовсе не танк, а тазик. В противном случае такие тазики из магазинов исчезли бы совсем -- ведь у магазина нет права торговать танками, к тому же танковому заводу не имеет смысла выпускать те предметы, которые невозможно реализовать. Точно также относить ЭЦП к криптографии не совсем корректно. Цель ФАПСИ -- стать законодателем в области лицензирования -- вначале ЭЦП отнесут к криптографии, потом к шифровальным средствам и... 2. На первый взгляд нет ничего плохого и в предложении "электронная цифровая подпись выработана и проверена средством электронной цифровой подписи, сертифицированным в установленном порядке"(ст.3 п.2). Но проглядывается то, что ФАПСИ, отнеся ЭЦП в область криптографии, подгребет и сертификацию под себя, и мы будем подпись сертифицировать в ФАПСИ. 3. Ст. 9 "Лицензирование деятельности по выработке и распределению закрытых ключей ЭЦП, по сертификации открытых ключей ЭЦП и по подтверждению подлинности электронной цифровой подписи" хорошо ложится под ФАПСИ -- будут центры, которые всем и займутся. --------- А вообще очень хорошо, что в законе разделены использования ЭЦП в государственных структурах власти и во всех остальных (т.е. гражданское и коммерческое отделены от государства). Это хорошо тем, что если государство желает работать под ФАПСИ, коммерческим организациям можно и обойтись без сертификации ЭЦП. Если это разделение будет проведено и дальше, а определение ЭЦП сформулируют иначе, будет здорово.
Комментарии (9)
-
Проект Закона"Об электронной цифровой подписи" (одна из первых версий)
Алексей, я согласен с Вашей последней репликой но, по-моему, большинство посетителей этого сайта не до конца понимают суть услуги по издательству сертификатов ключей цифровой подписи. И для законотворцев сертификат это, прежде всего цифровая подпись " цифирка вырабатываемая по о-о-очень сложному алгоритму, доподлинно известному только федеральному агентству, а вовсе не механизм позволяющий связать владельца открытого ключа с каким либо атрибутом. Думаю, они до сих пор уверены, что VeriSign получает прибыль именно за процесс подписывания, и очень сильно расстроятся, поняв что это не так. Вчера, я в очередной раз, пояснял одному господину, что себестоимость выработки подписи измеряется долями цента, и выработать ее может даже ребенок, а основную стоимость услуги составляет проверка того, что лицо, которому выдан сертификат, действительно обладает атрибутом, указанным в поле subject, например, адресом электронной почты, проверку которого и производит издатель сертификата. Тот же Verisign, выдавая даже тестовый сертификат, производит довольно надежную процедуру проверки соответствия e-mail адреса владельцу ключа. То, что сертификат должен выпускать не криптограф, а специалист в предметной области -- очевидно, иначе это просто теряет смысл. Если сертификат содержит фотографию очаровательной девушки в полный рост, с указанием возраста, незамужнего семейного положения и умения готовить обед, то гарантировать соответствие этих реквизитов владельцу секретного ключа может только брачное агентство и то, только после личной встречи с такой дамой. Если сертификат содержит запись о том что "этот сертификат выдан Петровичу " знатному любителю пива", то выпускать его должен клуб любителей пива. http://www.libertarium.ru, претендующий на роль онлайн-коммунити, должен выпускать сертификаты для участников коммунити, чтобы они могли не только постить сообщения на этот сайт, но и аутентифицировать друг друга при личной переписке. А претензии ФАПСИ и других сильно важных, сопутствующих агентству организаций, на компетентность в области женщин и пива действительно не обоснованы. Зачем кому-то нужен изданный федеральным агентством сертификат, в котором будет написано что он, предположим, сертифицированный инженер CISCO. Все отлично понимают, что в агентстве нет специалистов по цискам. Тому, кто владеет данным сертификатом, не следует доверять, а его советы по работе с циской, полученные по e-mail надо выбросить в мусорную корзину. Агентство может выпускать сертификаты для академиков криптографии и сертификаты, подтверждающие работу в должности внештатного сотрудника. Вот таким сертификатам доверять можно :-) но только кому они нужны. Надеюсь на конференции, которая состоится на следующей неделе, как раз и будут обсуждаться эти вопросы С уважением, -- Maxim E. Smirnoff <[email protected]>
-
Сертификаты Либертариума
Про сертификаты от имени Либертариума для нашей коммьюнити -- это очень интересное предложение. Виктор Вагнер еще год назад предлагал что-то похожее, и мы время от времени это обсуждаем. Парольную защиту мы уже поставили, и у нас уже нельзя просто так выступить от имени чужого персонажа -- для этого и разработана система регистрации... И вообще, учитывая специфику нашей нелегкой работы ;) мы готовы демонстрировать защищенный распределенный многопользовательский паблишинг на собственном примере. Московский Либертариум на РусКрипто будет представлен Викторией Егоровой.
-
Сертификаты Либертариума
С технической точки зрения мы можем начать выпуск SSL-сертификатов Либертариума в любой момент. Проверять подлинность можно посредстом ключа http://zinc.fe.msk.ru/~vitus/ice_ca.derНеясным представляется только вопрос, а как этими сертификатами технически пользоваться. SSL это все-таки для online-сервисов, таких как pop3 или http. При личной переписке чаще пользуются pgp, ключи которой по формату несколько отличны. Вот завести на libertarium pgp-keyserver для community наверное было бы полезным.
-
Сертификаты Либертариума
Imho, X.509 использовать несколько удобнее, тем более что преобразовать его в PGP достаточно просто. Я преобразовал Ваш самоподписаный сертификат X.509v1 в PGP и отослал его Вам по e-mail.
-
Сертификаты Либертариума
_Парольную защиту мы уже поставили_ К сожалению, в HTTP парольная защита реализована крайне слабо. Спецификация предусматривает два способа использования пароля, причем реализован в серверах и броузерах, как правило, первый, самый слабый способ, заключающийся в простой передачи пароля через сеть в открытом виде. И на либертариуме используется именно он. И вообще, учитывая специфику нашей нелегкой работы ;) мы готовы демонстрировать защищенный распределенный многопользовательский паблишинг на собственном примере. Это, безусловно, очень хорошее желание, но imho вопрос не только в желании но и в технической реализации, а также готовности пользователей сайта работать с предлагаемыми решениями. Использование криптографических средств не должно быть самоцелью, а должно поддерживать некоторую услугу с очевидным потребительским свойством. Если такую услугу нам удастся придумать, то она и "потащит" за собой криптографические механизмы.
-
Сертификаты Либертариума
Если очень хочется выпить -- то вовсе необязательно использовать для этой цели водку 40 градусов. Иногда сойдет и пиво, иногда -- портвейн (надеюсь, мы увидим эту метафору Анатолия Лебедева развернутой в ближайшие дни в его комментариях Московскому Либертариуму ;) Безусловно, защита не должна быть самоцелью -- и даже передача паролей по защищенному каналу должна быть чем-то оправдана. Обычно самая крутая защита очень неудобна в использовании. Думаю, даже сегодняшняя парольная защита (безо всякой криптографии) уже приносит определенную пользу. А использование криптографических протоколов в Московском Либертариуме, конечно, нужно обсуждать -- даже если целью их использования является простая демонстрация широкой публике их возможностей.
-
Сертификаты Либертариума
Безусловно, я с Вами согласен, Анатолий. Но, на мой взгляд, простая демонстрация широкой публике возможностей крипто, будет не столь интересна, как предоставление какого-нибудь более или менее востребованного сервиса, использующего крипто. Я предлагаю организовать силами посетителей libertarium-а некоторый вброс идей на тему: зачем можно было бы использовать такие технологии в реальной жизни. 90% таких идей, вероятно, окажутся совершенно утопичными, но надеюсь, несколько мощных идей из этого получится. Я готов начать такой вброс. Идея " 1. Думаю в РуНет сейчас окажется востребованной такая услуга как сертификация кнопок. Поясню суть идеи. На нескольких сайтах есть кнопочка "Powered by Communiware", кликнув на которой, вы действительно окажетесь на сайте http://www.communiware.ru, но обнаружите вовсе не список всех сайтов, которые созданы при помощи Communiware. Если же на кнопке написано "Designed by "" или же это вообще кнопка каталога ресурсов, то создание полного списка сайтов задача и вовсе не тривиальная. Таким образом, я легко смогу обвешать свою домашнюю страничку фиктивными кнопками, приписать ее дизайн известному автору или же вообще написать, что я и есть победитель конкурса "Липовый УРЛ 99". Такая ситуация довольно неплохо решается если организаторы продвинутых конкурсов, агентства дизайна, мощные Web ринги, начнут выдавать соответствующие цифровые сертификаты тем, кто действительно победил в конкурсе, сделал дизайн у конкретного автора и т.д. С идеей выдачи сертификатов победителям конкурса, перекликается идея " 2, заключающаяся в сертификации содержимого сайта. В первую очередь это относится к новостным сайтам, которые постоянно что-то такое печатают со ссылкой на то или иное информационное агентство. Якобы вот здесь такое-то агентство сообщило, что случилось то-то и то-то. Соврать, безусловно, ничего не стоит. Если уж агентство сливает свою информацию, то оно могло бы и выдать сертификаты тем сайтам, которые ее потом публикуют, а заодно и посмотреть, чего там такого опубликовано. По-моему, нависшая на РуНет идея относительно признания последнего СМИ так же очень красиво решается через сертификацию сайтов при помощи цифровых сертификатов X.509. Только вряд ли наши любимые госструктуры до нее думаются. А если даже додумаются, то полагаю, вступят в многолетние переговоры с ФАПСИ о реализации алгоритма ГОСТ 34.10 во всех серверах и броузерах на территории РФ. Так что есть хорошая возможность перехватить инициативу в этом процессе и начать самосертификацию сайтов, имеющих СМИшную лицензию. Создать каталог "хороших" сайтов, которые добровольно взяли на себя обязательство действовать в соответствии с лицензией СМИ, попривлекать туда соответствующие сайты, а затем продать этот каталог тем же госрегуляторам.
-
Сертификаты Либертариума
Идеи сервисов, действительно, неплохие. Я против только двух моментов: 1) незачем даже упоминать лицензирование в качестве СМИ -- это лицензирование никак не связано с обсуждаемыми проблемами. 2) продавать госрегуляторам ничего не нужно, это они будут пытаться продавать нам свое (очень часто гнилое) регулирование, которое будут выдавать за "общественные интересы". А сама идея подобных криптосервисов очень и очень неплоха -- вопрос только в том, как организовать их реализацию.
-
Сертификаты Либертариума
Кстати, по адресу http://www.nv.ru/club/ открыли Клуб приличных сайтов. Если так дело пойдет и дальше, то скоро появится и отечественный аналог TrustE. Пора отечественным криптологам открывать национальные certificate authority, пока Verisign и Thawte не "сделали это для нас"(вон у Thawte давно уже русский язык прорезался)
|