В прошлом году в России принят закон об электронной цифровой подписи (ЭЦП), который, как предполагалось, должен был стимулировать развитие электронного документооборота. Чиновники, подготовившие закон, ожидали, что частные компании в массовом порядке начнут обращаться за лицензиями для организации удостоверяющих центров (УЦ) и центров регистрации (ЦР). Спустя год нужно признать, что надежды на рост рынка цифровых сертификатов не оправдались. К сегодняшнему дню лишь одна российская организация — ЗАО «Удостоверяющий центр СПБ» — запустила в коммерческую эксплуатацию собственный УЦ.
Законодательную базу перепишут заново
Закон об ЭЦП должен был послужить основой для построения российской инфраструктуры открытых ключей (ИОК или PKI — Private Key Infrastructure). Однако этот документ в том виде, в котором он был принят, ставит больше вопросов, чем помогает в решении практических задач. В частности, до сих пор окончательно не утрясен вопрос о федеральном уполномоченном органе, который постоянно выдавал бы лицензии. Изначально таковым было назначено ФАПСИ, затем постановлением правительства от 30 мая текущего года эту роль возложили на Минсвязи РФ. На основании временных лицензий ФАПСИ были построены первые удостоверяющие центры в Москве и Санкт-Петербурге. После расформирования ФАПСИ, в его приемники в сфере публичной криптографии пророчат Федеральную службу охраны (ФСО).
Следующий этап развития российского PKI начнется с создания правовой и лицензионной базы для удостоверяющих центров криптографии, а также с создания федерального удостоверяющего центра. Вся подготовительная работа возложена на рабочую группу при Ассоциации Документальной Электросвязи (АДЭ), в которую вошли представители таких организаций как ФСО, Минсвязи, «РТКомм.Ру», «Удостоверяющего центра Санкт-Петербурга» и др. Именно эти эксперты должны выработать концепцию построения российской ИОК, подготовить нормативные документы и положения о лицензировании. На разработку нового положения о лицензировании дано три месяца.
Основные игроки не спешат с предоставлением услуг
За время своего существования ФАПСИ выдало около 40 лицензий, разрешающих опытную эксплуатацию УЦ. По большинству этих лицензий были созданы внутрикорпоративные удостоверяющие центры. Публичных удостоверяющих центров было создано всего четыре: УдЦ СПб, НТЦ «Атлас», «Демос» и ЗАО «Удостоверяющий центр Поволжского округа». Кроме того, еще две лицензии получили «КриптоПро» и МО ПНИЭИ («Верба»). Однако последние две компании являются основными разработчиками системы криптографической защиты информации (СКЗИ) и в запуске собственных удостоверяющих центров не заинтересованы.
Из всех публичных УЦ реально работает лишь «Удостоверяющий центр СПб». В НТЦ «Атлас» ожидают назначения федерального УЦ и не спешат с предоставлением услуг. «Демос» ориентируется, главным образом, на работу УЦ Keon RSA, и хотя имеет собственный УЦ — также не предоставляет пока публичных услуг. Что же касается «Удостоверяющего центра Поволжского округа», то он на сегодняшний день является центром регистрации УдЦ СПб. и пока об их дальнейших планах развития ничего не известно.
Центры регистрации — мода или необходимость?
Мировая практика показывает, что развитие УЦ невозможно без соответствующей дилерской сети, основой которой являются центры регистрации (ЦР).
Центры регистрации выполняют, как правило, следующие функции:
— проводят экспертизу документов, необходимых для выдачи сертификатов;
— консультируют по вопросам использования средств криптографической защиты информации и сертификатов;
— оказывают инструктивно-методическую и техническую помощь;
— предоставляют иные услуги в качестве уполномоченного представителя УЦ.
Однако главная задача ЦР, ради которой он и создается, — предоставление клиентам, удаленным от главного офиса, широкого доступа к услугам УЦ. Следует отметить, что согласно действующему законодательству, для получения ЭЦП необходимо личное присутствие клиента в удостоверяющем центре. Это накладывает свою специфику на развитие отечественного рынка: процедура получения цифровой подписи значительно облегчается тем, что ЦР могут быть созданы на местах. Таким образом, развертывание сети ЦР — это первое и необходимое условие развития любого удостоверяющего центра, действующего на территории РФ. Сегодня основные игроки на рынке ЭЦП имеют свои ЦР в регионах России.
Активный игрок на рынке ЭЦП — компания «РосБизнесКонсалтинг»: ее софтверное подразделение РБК СОФТ в 2001 г. получило статус ЦР от южно-африканской компании Thawte. На сегодняшний день заключен агентский договор между РБК СОФТ и УДЦ СПб, позволяющий получать ЭЦП УЦ на московском рынке. Кроме того, РБК СОФТ продолжает переговоры с НТЦ «Атлас», рассчитывая на сотрудничество после запуска их инфраструктуры в коммерческую эксплуатацию. Ведутся также переговоры с рядом западных удостоверяющих центров, в числе которых УЦ VeriSign и InstantSSL.
Массовому потребителю не нужен собственный УЦ
Сегодня основные игроки на рынке ЭЦП ожидают назначения федерального удостоверяющего центра. Это неудивительно — они хотят обезопасить себя от лишних затрат, связанных с возможным введением новых правил. Исключение — «Удостоверяющий центр СПб», который на сегодняшний день является единственным работающим и динамично развивающимся центром. Связано это с тем, что петербургская организация имеет на рынке некоторое преимущество перед остальными игроками. Центр имеет особый статус при правительстве Санкт-Петербурга, его полномочия подтверждены местными властями и он не так сильно зависит от федерального центра, как остальные.
Благодаря центру, сегодня в Петербурге функционирует и успешно развивается система сдачи налоговых деклараций в электронном виде. УдЦ СПб обеспечивает электронный доступ к торгам на рынке госзакупок — государственные контракты заключаются по результатам электронных котировок с февраля нынешнего года. Сегодня любое заинтересованное лицо может подать заявку на участие в городском тендере электронным способом. Для этого нужно лишь получить электронную цифровую подпись.
К сожалению, развитие рынка ЭЦП практически никак не коснулось массового потребителя. Все запущенные на текущий момент проекты нацелены на обслуживание либо государственных структур, либо крупных компаний; все они решают лишь внутренние задачи этих организаций. Что же касается основной массы российских компаний, то им пока никто не может помочь в создании цифровой подписи для аутентификации пользователей, в обеспечении безопасности передаваемых данных, а также в создании сертификатов для подписи электронной корреспонденции. Очевидно, что большинству предприятий не нужны масштабные решения, и они не считают целесообразным устанавливать собственный удостоверяющий центр только ради выпуска одного или двух сертификатов. Такие клиенты заинтересованы в приобретении лишь нескольких сертификатов, которые будут обслуживаться публичным удостоверяющим центром.
Некоммерческая ассоциация спасет рынок?
В ожидании дальнейшего развития событий на рынке ЭЦП ряд банков выступили с инициативой создания некоммерческой ассоциации, которая могла бы регулировать отношения на рынке. Участие в этой ассоциации требует, чтобы все ее члены придерживались определенных правил. Возникающие разногласия должны решаться третейским судом. Очевидно, что такая ассоциация будет иметь вес лишь в том случае, если в нее вступят ключевые игроки рынка — как технические, так и финансовые. Пока же главный недостаток ассоциации — в отсутствии в ее рядах УДЦ СПб (единственный реально работающий удостоверяющий центр) и Центробанка (регулирующий орган в банковской сфере).
Западные УЦ в России
Как следует из описанных выше тенденций, развитие электронного документооборота заторможено неблагоприятной структурой рынка. Кроме того, предлагаемые сегодня сертификаты не соответствуют необходимым требованиям и именно поэтому на них не может быть массового спроса. В частности, сертификат для WEB-сервера, удовлетворяющий требованиям массового потребителя, должен автоматически опознаваться клиентским браузером. А для этого необходимо, чтобы корневой сертификат удостоверяющего центра был включен в список признанных удостоверяющих центров и присутствовал во всех распространенных браузерах.
Пока российские компании не могут предложить массовому рынку удовлетворительных решений, потребитель вынужден обращаться к западным удостоверяющим центрам — Thawte и VeriSign. Эти компании в состоянии обслужить как конечных пользователей, так и те организации и предприятия, которые нуждаются в большем количестве сертификатов. Пользоваться полученным сертификатом удобно, получить его очень легко. Процесс максимально формализован. Российские потребители не испытывают никаких затруднений при сотрудничестве с западными удостоверяющими центрами, поскольку на отечественном рынке работает уполномоченный представитель Thawte — компания РБК СОФТ.
Журнал «Бюджет» №8 август 2003 г.
Законодательную базу перепишут заново
Закон об ЭЦП должен был послужить основой для построения российской инфраструктуры открытых ключей (ИОК или PKI — Private Key Infrastructure). Однако этот документ в том виде, в котором он был принят, ставит больше вопросов, чем помогает в решении практических задач. В частности, до сих пор окончательно не утрясен вопрос о федеральном уполномоченном органе, который постоянно выдавал бы лицензии. Изначально таковым было назначено ФАПСИ, затем постановлением правительства от 30 мая текущего года эту роль возложили на Минсвязи РФ. На основании временных лицензий ФАПСИ были построены первые удостоверяющие центры в Москве и Санкт-Петербурге. После расформирования ФАПСИ, в его приемники в сфере публичной криптографии пророчат Федеральную службу охраны (ФСО).
Следующий этап развития российского PKI начнется с создания правовой и лицензионной базы для удостоверяющих центров криптографии, а также с создания федерального удостоверяющего центра. Вся подготовительная работа возложена на рабочую группу при Ассоциации Документальной Электросвязи (АДЭ), в которую вошли представители таких организаций как ФСО, Минсвязи, «РТКомм.Ру», «Удостоверяющего центра Санкт-Петербурга» и др. Именно эти эксперты должны выработать концепцию построения российской ИОК, подготовить нормативные документы и положения о лицензировании. На разработку нового положения о лицензировании дано три месяца.
Основные игроки не спешат с предоставлением услуг
За время своего существования ФАПСИ выдало около 40 лицензий, разрешающих опытную эксплуатацию УЦ. По большинству этих лицензий были созданы внутрикорпоративные удостоверяющие центры. Публичных удостоверяющих центров было создано всего четыре: УдЦ СПб, НТЦ «Атлас», «Демос» и ЗАО «Удостоверяющий центр Поволжского округа». Кроме того, еще две лицензии получили «КриптоПро» и МО ПНИЭИ («Верба»). Однако последние две компании являются основными разработчиками системы криптографической защиты информации (СКЗИ) и в запуске собственных удостоверяющих центров не заинтересованы.
Из всех публичных УЦ реально работает лишь «Удостоверяющий центр СПб». В НТЦ «Атлас» ожидают назначения федерального УЦ и не спешат с предоставлением услуг. «Демос» ориентируется, главным образом, на работу УЦ Keon RSA, и хотя имеет собственный УЦ — также не предоставляет пока публичных услуг. Что же касается «Удостоверяющего центра Поволжского округа», то он на сегодняшний день является центром регистрации УдЦ СПб. и пока об их дальнейших планах развития ничего не известно.
Центры регистрации — мода или необходимость?
Мировая практика показывает, что развитие УЦ невозможно без соответствующей дилерской сети, основой которой являются центры регистрации (ЦР).
Центры регистрации выполняют, как правило, следующие функции:
— проводят экспертизу документов, необходимых для выдачи сертификатов;
— консультируют по вопросам использования средств криптографической защиты информации и сертификатов;
— оказывают инструктивно-методическую и техническую помощь;
— предоставляют иные услуги в качестве уполномоченного представителя УЦ.
Однако главная задача ЦР, ради которой он и создается, — предоставление клиентам, удаленным от главного офиса, широкого доступа к услугам УЦ. Следует отметить, что согласно действующему законодательству, для получения ЭЦП необходимо личное присутствие клиента в удостоверяющем центре. Это накладывает свою специфику на развитие отечественного рынка: процедура получения цифровой подписи значительно облегчается тем, что ЦР могут быть созданы на местах. Таким образом, развертывание сети ЦР — это первое и необходимое условие развития любого удостоверяющего центра, действующего на территории РФ. Сегодня основные игроки на рынке ЭЦП имеют свои ЦР в регионах России.
Активный игрок на рынке ЭЦП — компания «РосБизнесКонсалтинг»: ее софтверное подразделение РБК СОФТ в 2001 г. получило статус ЦР от южно-африканской компании Thawte. На сегодняшний день заключен агентский договор между РБК СОФТ и УДЦ СПб, позволяющий получать ЭЦП УЦ на московском рынке. Кроме того, РБК СОФТ продолжает переговоры с НТЦ «Атлас», рассчитывая на сотрудничество после запуска их инфраструктуры в коммерческую эксплуатацию. Ведутся также переговоры с рядом западных удостоверяющих центров, в числе которых УЦ VeriSign и InstantSSL.
Массовому потребителю не нужен собственный УЦ
Сегодня основные игроки на рынке ЭЦП ожидают назначения федерального удостоверяющего центра. Это неудивительно — они хотят обезопасить себя от лишних затрат, связанных с возможным введением новых правил. Исключение — «Удостоверяющий центр СПб», который на сегодняшний день является единственным работающим и динамично развивающимся центром. Связано это с тем, что петербургская организация имеет на рынке некоторое преимущество перед остальными игроками. Центр имеет особый статус при правительстве Санкт-Петербурга, его полномочия подтверждены местными властями и он не так сильно зависит от федерального центра, как остальные.
Благодаря центру, сегодня в Петербурге функционирует и успешно развивается система сдачи налоговых деклараций в электронном виде. УдЦ СПб обеспечивает электронный доступ к торгам на рынке госзакупок — государственные контракты заключаются по результатам электронных котировок с февраля нынешнего года. Сегодня любое заинтересованное лицо может подать заявку на участие в городском тендере электронным способом. Для этого нужно лишь получить электронную цифровую подпись.
К сожалению, развитие рынка ЭЦП практически никак не коснулось массового потребителя. Все запущенные на текущий момент проекты нацелены на обслуживание либо государственных структур, либо крупных компаний; все они решают лишь внутренние задачи этих организаций. Что же касается основной массы российских компаний, то им пока никто не может помочь в создании цифровой подписи для аутентификации пользователей, в обеспечении безопасности передаваемых данных, а также в создании сертификатов для подписи электронной корреспонденции. Очевидно, что большинству предприятий не нужны масштабные решения, и они не считают целесообразным устанавливать собственный удостоверяющий центр только ради выпуска одного или двух сертификатов. Такие клиенты заинтересованы в приобретении лишь нескольких сертификатов, которые будут обслуживаться публичным удостоверяющим центром.
Некоммерческая ассоциация спасет рынок?
В ожидании дальнейшего развития событий на рынке ЭЦП ряд банков выступили с инициативой создания некоммерческой ассоциации, которая могла бы регулировать отношения на рынке. Участие в этой ассоциации требует, чтобы все ее члены придерживались определенных правил. Возникающие разногласия должны решаться третейским судом. Очевидно, что такая ассоциация будет иметь вес лишь в том случае, если в нее вступят ключевые игроки рынка — как технические, так и финансовые. Пока же главный недостаток ассоциации — в отсутствии в ее рядах УДЦ СПб (единственный реально работающий удостоверяющий центр) и Центробанка (регулирующий орган в банковской сфере).
Западные УЦ в России
Как следует из описанных выше тенденций, развитие электронного документооборота заторможено неблагоприятной структурой рынка. Кроме того, предлагаемые сегодня сертификаты не соответствуют необходимым требованиям и именно поэтому на них не может быть массового спроса. В частности, сертификат для WEB-сервера, удовлетворяющий требованиям массового потребителя, должен автоматически опознаваться клиентским браузером. А для этого необходимо, чтобы корневой сертификат удостоверяющего центра был включен в список признанных удостоверяющих центров и присутствовал во всех распространенных браузерах.
Пока российские компании не могут предложить массовому рынку удовлетворительных решений, потребитель вынужден обращаться к западным удостоверяющим центрам — Thawte и VeriSign. Эти компании в состоянии обслужить как конечных пользователей, так и те организации и предприятия, которые нуждаются в большем количестве сертификатов. Пользоваться полученным сертификатом удобно, получить его очень легко. Процесс максимально формализован. Российские потребители не испытывают никаких затруднений при сотрудничестве с западными удостоверяющими центрами, поскольку на отечественном рынке работает уполномоченный представитель Thawte — компания РБК СОФТ.
Журнал «Бюджет» №8 август 2003 г.