Информация >> Публикации сотрудников компании >>Смирнов В.А. «Рынок PKI-систем: некоторые проблемы и решения (авторская редакция)»
«PC Week», №44, 2003 ноябрь

«PC Week», №44, 2003 ноябрь

Около 2-х лет прошло с момента появления «Закона об ЭЦП» - срок достаточно большой, чтобы проследить некоторые тенденции в развитии PKI (Public Key Infrastructure) систем.

Если говорить о корпоративных системах, то за это время они развивались достаточно интенсивно, более того, на мой взгляд, можно говорить о PKI как о новом фактическом стандарте администрирования систем информационной безопасности с использованием Средств Криптографической Защиты Информации (СКЗИ). Об этом факте свидетельствуют и предпочтения Заказчиков, и появление соответствующих технологий в прайс-листах многих российских компаний-производителей. В качестве примеров развивающихся корпоративных PKI систем можно привести решения для удаленного банковского обслуживания, биржевой торговли и им подобные, а также системы электронного документооборота. Безусловно, в этом немалая заслуга принятого закона.

Для публичных систем все обстоит несколько иначе. За последний год на этом рынке наблюдается значительное оживление, связанное, с одной стороны, с успехами корпоративных проектов, а с другой стороны - с назначением уполномоченного Федерального органа исполнительной власти, ответственного за деятельность Удостоверяющих Центров (УЦ), и с появлением на рынке новых игроков в лице государственных структур. Однако, даже проекты, реализуемые в государственном секторе, пока можно отнести к категории корпоративных, призванных удовлетворить интересы того или иного ведомства. Все это привело к тому, что сегодняшний рынок публичных PKI систем находится в состоянии «перегретых ожиданий», и связано это, на мой взгляд, с поиском места и роли электронных технологий в жизни общества.
Вместе с тем существует и точка зрения, что несовершенное законодательство - основная причина по сдерживанию распространения публичных PKI систем. Оговорюсь сразу, мы не считаем действующий «Закон об ЭЦП» совершенным, о чем не раз писали в статьях после его появления, но считать его основным препятствием для внедрения публичных PKI систем я бы не стал. Многим поначалу казалось, что достаточно только создать Удостоверяющий Центр, получить необходимые лицензии и тут же выстроится очередь из желающих получать сертификаты. Однако этого не произошло. Попытаемся разобраться, каковы же основные предпосылки и сдерживающие факторы успешного внедрения публичных PKI систем.

Прежде всего, что такое публичные PKI системы? Это системы, участие в которых носит декларативный характер, а идентификатором участника является сертификат его открытого ключа. В качестве клиентов публичных PKI систем, прежде всего, мы представляем обычных граждан - физических лиц, для которых получение сертификата должно открывать доступ к набору электронных сервисов, облегчающих им взаимодействие, как правило, с государственными структурами. Только в случае наличия таких сервисов публичные системы будут иметь бизнес-перспективу. Вариант, подобный обязательному страхованию гражданской ответственности рассматривать не хочется.

Задача электронных технологий - не вытеснить бумажные, а обеспечить им удобную альтернативу. Эта альтернатива технологически должна быть оформлена в виде определенных электронных сервисов, одним из элементов инфраструктуры которых являются УЦ. Поэтому, если говорить о перспективе публичных PKI систем, основная задача - создание таких сервисов, при этом УЦ в их инфраструктуре является отнюдь не определяющим элементом. Самая главная и затратная часть - это встраивание электронных технологий в бумажные бизнес-процессы с обеспечением их юридической значимости. Излишне говорить, что это требует от государственных структур одновременной поддержки бумажных и электронных технологий со всеми вытекающими последствиями. И тут хотелось бы обратить внимание на один факт: многие государственные структуры внедрение электронных технологий воспринимают как очередную кампанию, забывая при этом, что нахождение правильного применения той или иной технологии - залог ее успешного внедрения. Часто в качестве оценки эффективности внедрения технологий ЭЦП можно услышать цифры о количестве подписанных электронных документах и т.п., при этом забывается, что основное назначение внедрения электронных технологий - создание качественных сервисов. Если говорить о технологии ЭЦП, то, с моей точки зрения, ее внедрение оправдано там, где после ее проверки технологически требуется принятие необратимого решения в режиме, близком к on-line, с возможностью впоследствии подтвердить правильность этого решения. Во всех остальных случаях можно обойтись без ЭЦП.

Идя в направлении создания публичных PKI систем, хотелось бы обратить внимание еще на некоторые сдерживающие факторы.

  1. Психологический, подтверждающий готовность граждан к ответственности за свои действия с ЭЦП. Получив сертификат на ЭЦП, на каждого в рамках предоставленных ему возможностей возлагается ответственность за свои действия. Готовы ли люди к этому сегодня? Я думаю, нет. Поэтому во избежание случаев отказа от своих действий с мотивировкой «не знал», «не понял», «не хотел», необходимо позаботиться о создании соответствующих институтов. В этом случае показателен опыт Южной Кореи. Там вместо ЭЦП у корейцев имеется печатка с уникальным иероглифом, но хранится эта печатка у юриста, и прежде чем человек ставит печатку на документы, юрист разъясняет ему суть происходящего и предупреждает о последствиях.
  2. Еще одним ограничивающим фактором является относительная сложность PKI технологий для бытового применения. Это потребует значительного повышения компьютерной грамотности абонентов.
  3. Сегодняшние цены на PKI решения из расчета на одно рабочее место (даже в размере 10-15$) многим из потенциальных участников системы не по карману. Необходимо также учесть, что для пользования рассматриваемыми технологиями нужно как минимум иметь возможность подключения к Интернет.

Безусловно, это только часть проблем, но даже с учетом вышесказанного, предстоит еще очень много сделать для того, чтобы публичные PKI системы и, как часть их инфраструктуры, публичные Удостоверяющие Центры приобрели бизнес-перспективу, что собственно и подтверждается текущей ситуацией на рынке. Правда, у Удостоверяющих Центров бизнес-перспектива еще может быть связана с предложением услуг аутсорсинга для корпоративных PKI систем, но пока, по нашим оценкам, эта услуга не получила широкого распространения. Кроме того, сертификаты, выдаваемые публичными УЦ, могут быть использованы в широко распространенных на рынке приложениях типа почтовых клиентов, браузеров и т.п., но тогда сертификат сертификационного авторитета этого центра желательно встраивать в эти приложения до их распространения, что позволит абонентам получать сертификаты низкой степени доверия без посещения УЦ.

И еще на одну проблему хотелось бы обратить внимание. Это совместимость сертифицированных СКЗИ. Впервые мы заговорили о ней еще 2 года назад. Дело в том, что исторически так сложилось, что при сертификации в ФАПСИ для каждого СКЗИ были использованы свои форматы представления ключевой информации, свои идентификаторы и даже параметры. И сегодня на рынке присутствуют порядка десяти сертифицированных СКЗИ и большое количество приложений, построенных на их основе, принципиально несовместимых между собой. Нельзя сказать, что на существующем рынке корпоративных систем от этого кто-то особенно страдает. Но все-таки иногда возникает соблазн предположить, что в случае полной совместимости, при соответствующей кросс-сертификации администраторов, с одним сертификатом можно было бы участвовать в различных корпоративных приложениях, в том числе и разных производителей. На практике это похоже на соблазн с удостоверением МВД посещать объекты ФСБ - попробовать можно, но ведь не пустят!

Реально проблема совместимости (унификации) может возникнуть для публичных PKI систем, в которых, продолжая аналогию, сертификат выполняет роль гражданского паспорта, а также для масштабных корпоративных проектов, выполняемых при участии нескольких компаний. Кроме того, просто нелогично, когда одни и те же реализации государственных стандартов не стыкуются. Существуют два варианта решения этой проблемы. Первый - принятие единого общероссийского стандарта с приданием ему международного статуса (все-таки вступление в ВТО не за горами) с поддержкой его всеми производителями. И второй - основанный на технологических решениях.

В рамках первого направления весной этого года ряд компаний - производителей СКЗИ подписали соглашение, целью которого провозглашалась разработка единого стандарта на форматы хранения ключевой информации, параметры алгоритмов и форматы сертификатов, с оформлением его в виде международного с принятием соответствующего RFC. К сожалению, на практике разработка стандарта свелась к описанию форматов и параметров одного из участников соглашения. Авторы, безусловно, понимали (а мы им об этом говорили), что предложенный ими вариант в исходном виде не будет принят как международный стандарт, поскольку он выполнен без учета сложившейся мировой практики подготовки подобных документов и в ходе публичного обсуждения в него обязательно будут внесены необходимые поправки (это касается представления параметров, представления цифровой подписи и ключей в сертификатах, представления чисел, и др.). Как следствие этого понимания, все предложения RFC drafts авторами были опубликованы со статусом Informational, не подразумевающим публичное обсуждение и оформление в виде международного стандарта, тогда как по замыслу они должны претендовать на статус Internet Standard, т.е. предлагаться как Proposed Standard. Излишне объяснять, зачем все было сделано именно так, но претендовать данное решение на российский стандарт, по нашему мнению, не может.

Технологическое решение, обеспечивающее совместимость СКЗИ различных производителей основано на применении DVCS-серверов и описано в RFC 3029. Решение отвязывает проверку ЭЦП от конкретного СКЗИ на стороне клиента или ресурса и переносит ее на сторону специализированного сервера.

С учетом сложившейся ситуации, при реализации публичных PKI систем и крупных корпоративных, в частности государственных, проектов необходимо обеспечить совместимость СКЗИ различных производителей на основе технологических решений. При этом, безусловно, надо продолжать работу по подготовке RFC с описанием единого российского стандарта с учетом высказанных замечаний.