информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Портрет посетителяАтака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Google по-тихому включила изоляцию... 
 25 лет FreeBSD 
 Microsoft покупает GitHub 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / закон / обозрение / архив
ОБОЗРЕНИЕ
текущий выпуск
архив





#13: Спамеров - избирательно давить!


Недавно меня порадовал оргкомитет двенадцатой конференции "Computers Freedom and Privacy". Уж не знаю, когда к ним попали мои данные (скорее всего - когда подписывался на какую-нибудь рассылку), но вчера я извлек из своего почтового ящика брошюрку-она-же-календарь, и программу конференции. Хотя англоязычный календарь среди родных осин и непригоден для нормального использования, но на стенку я его все-таки повешу. Чтоб был. Среди тем докладов, которые будут на конференции - биометрия, пиринг, доменные имена, криптография и многое другое. Среди организаторов - Micrisoft, EFF, America On-Line. Заключительную речь пригласили читать писателя Брюса Стерлинга. Пройдет конференция с 16 по 19 апреля в Сан-Франциско, за всей остальной информацией можно сходить на http://www.cfp2002.org.

А вот спамеры обыкновенные меня намедни, наоборот, огорчили. Какая-то малайзийская контора под завязку забила мой почтовый ящик какой-то гадостью с непременным спамерским кличем "Джеро"... ой, то есть "Click Here!" Повбывав бы... Я как раз ждал одно письмо, поэтому слегка поволновался. Впрочем, благодаря оперативности провайдера, несмотря на нерабочее время, проблема была решена в течение примерно 10 минут (гвозди бы делать из этих людей), письмо я получил. А из него узнал, что в февральский номер журнала моя статья таки попадет. Журнал называется "Программист" (http://www.programme.ru).

...Из всего этого мы видим, что разглашать свой почтовый адрес, в отличие от электронно-почтового, иногда может оказаться полезным.

Но это я так, чтобы начать. А событие, которому посвящается сегодняшний выпуск обозрения - принятие закона "Об электронной цифровой подписи". Вернее, подпись его президентом и вступление в силу. Сходите почитайте: http://www.internet-law.ru/intlaw/laws/ecp.htm

Итак. Основные определения понятий, используемых в законе, находятся в статье 3. Именно там мы и наталкиваемся на термин "сертификация". Причем не обратить внимание на него невозможно - этим словом испещрен весь текст закона. Среди критически важных участков - вот этот:

"подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе "

То есть, поскольку одним из условий признания равнозначности ЭЦП и собственноручной подписи, является подтвержджение ее подлинности (ст. 4), то из этого отрывка логически следует, что использование несертифицированных средств ЭЦП вообще невозможно.

В статье 3 также проводится разделение всех информационных систем на две категории -- общего пользования и корпоративных. Первый вид -- системы с неограниченным кругом пользователей, второй - наоборот, с ограниченным.

Порадовала меня статья 5 "Использование средств электронной цифровой подписи". А именно - часть 2:

"При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации."

Радуйтесь, программисты, отныне не принимаются больше отмазки типа "данная программа предоставляется as-is, ее создатель не несет ответственности за..." Несет ее создатель ответственность, и еще какую. Кстати, законотворцы тактично забыли прописать, кто же будет нести ответственность в случае, если убытки причинены при использовании сертифицированного средства цифровой подписи.

В предыдущих редакциях, вроде бы, предусмотривалась ответственность удостоверяющего центра в ограниченном размере, но в окончательной редакции про это - нет ни слова, зато устанавливается, что "требования, предъявляемые к материальным и финансовым возможностям удостоверяющих центров, определяются Правительством Российской Федерации..." (ст. 8), да также предусмотрена ответственность центра в случае внесения недостоверных сведений в выданный им сертификат.

Ладно, после всего этого на мелкие ляпы, типа безграмотного словосочетания "при осуществлении отношений" (ч. 2 ст. 4), уже перестаешь обращать внимание.

Статьей 6 устанавливаются требования к сертификату ключа подписи - документу, подтверждающему подлинность ЭЦП и иденифицирующему владельца средства ЭЦП. Сертификаты выдаются удостоверяющими центрами - специальными организациями, статус которых устанавливается в главе III закона. Деятельность центра подлежит лицензированию (а как же?) Также в этой главе установлены взаимные обязанности центра и владельца сертификата.

Глава IV посвящена отдельным особенностям использования ЭЦП: случаям преобразования в электронную форму документов, заверенных печатью, признанию иностранного сертификата ключа подписи, и другим.

В главе V содержатся заключительные и переходные положения. Устанавливается, что законодательство РФ должно быть приведено в соответствие с данным законом в трехмесячный срок (любопытно, на сколько растянется этот процесс в дейтствительности).

В целом впечатление от закона не сильно хорошее - по причинам, изложенным выше. Основной недостаток - отсутствие возможности для негосударственных организаций и частных лиц пользоваться для подписания документов тем, чем они сами захотят, а не тем, что им напишет сертифицированный дядя. К тому же, подавляющее большинство программ, имеющих сертификаты, написана под Windows, соответственно, пользоваться ими под тем же линуксом, набирающим популярность, получится только из-под эмулятора. Ну, а о том, что конторы по разработке сертифицированных программ грозят превратиться в обычные кормушки, я уже и не говорю. Кстати, если меня сейчас читают люди, с такими конторами связанные, - милости прошу поделиться впечатлениями от их работы.




Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед

  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach