информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Все любят медГде водятся OGRыАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft начинает тестирование... 
 Новые санкции против российского... 
 Столлман возвращается в FSF 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / закон / обозрение / архив
ОБОЗРЕНИЕ
текущий выпуск
архив





#13: Спамеров - избирательно давить!


Недавно меня порадовал оргкомитет двенадцатой конференции "Computers Freedom and Privacy". Уж не знаю, когда к ним попали мои данные (скорее всего - когда подписывался на какую-нибудь рассылку), но вчера я извлек из своего почтового ящика брошюрку-она-же-календарь, и программу конференции. Хотя англоязычный календарь среди родных осин и непригоден для нормального использования, но на стенку я его все-таки повешу. Чтоб был. Среди тем докладов, которые будут на конференции - биометрия, пиринг, доменные имена, криптография и многое другое. Среди организаторов - Micrisoft, EFF, America On-Line. Заключительную речь пригласили читать писателя Брюса Стерлинга. Пройдет конференция с 16 по 19 апреля в Сан-Франциско, за всей остальной информацией можно сходить на http://www.cfp2002.org.

А вот спамеры обыкновенные меня намедни, наоборот, огорчили. Какая-то малайзийская контора под завязку забила мой почтовый ящик какой-то гадостью с непременным спамерским кличем "Джеро"... ой, то есть "Click Here!" Повбывав бы... Я как раз ждал одно письмо, поэтому слегка поволновался. Впрочем, благодаря оперативности провайдера, несмотря на нерабочее время, проблема была решена в течение примерно 10 минут (гвозди бы делать из этих людей), письмо я получил. А из него узнал, что в февральский номер журнала моя статья таки попадет. Журнал называется "Программист" (http://www.programme.ru).

...Из всего этого мы видим, что разглашать свой почтовый адрес, в отличие от электронно-почтового, иногда может оказаться полезным.

Но это я так, чтобы начать. А событие, которому посвящается сегодняшний выпуск обозрения - принятие закона "Об электронной цифровой подписи". Вернее, подпись его президентом и вступление в силу. Сходите почитайте: http://www.internet-law.ru/intlaw/laws/ecp.htm

Итак. Основные определения понятий, используемых в законе, находятся в статье 3. Именно там мы и наталкиваемся на термин "сертификация". Причем не обратить внимание на него невозможно - этим словом испещрен весь текст закона. Среди критически важных участков - вот этот:

"подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе "

То есть, поскольку одним из условий признания равнозначности ЭЦП и собственноручной подписи, является подтвержджение ее подлинности (ст. 4), то из этого отрывка логически следует, что использование несертифицированных средств ЭЦП вообще невозможно.

В статье 3 также проводится разделение всех информационных систем на две категории -- общего пользования и корпоративных. Первый вид -- системы с неограниченным кругом пользователей, второй - наоборот, с ограниченным.

Порадовала меня статья 5 "Использование средств электронной цифровой подписи". А именно - часть 2:

"При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации."

Радуйтесь, программисты, отныне не принимаются больше отмазки типа "данная программа предоставляется as-is, ее создатель не несет ответственности за..." Несет ее создатель ответственность, и еще какую. Кстати, законотворцы тактично забыли прописать, кто же будет нести ответственность в случае, если убытки причинены при использовании сертифицированного средства цифровой подписи.

В предыдущих редакциях, вроде бы, предусмотривалась ответственность удостоверяющего центра в ограниченном размере, но в окончательной редакции про это - нет ни слова, зато устанавливается, что "требования, предъявляемые к материальным и финансовым возможностям удостоверяющих центров, определяются Правительством Российской Федерации..." (ст. 8), да также предусмотрена ответственность центра в случае внесения недостоверных сведений в выданный им сертификат.

Ладно, после всего этого на мелкие ляпы, типа безграмотного словосочетания "при осуществлении отношений" (ч. 2 ст. 4), уже перестаешь обращать внимание.

Статьей 6 устанавливаются требования к сертификату ключа подписи - документу, подтверждающему подлинность ЭЦП и иденифицирующему владельца средства ЭЦП. Сертификаты выдаются удостоверяющими центрами - специальными организациями, статус которых устанавливается в главе III закона. Деятельность центра подлежит лицензированию (а как же?) Также в этой главе установлены взаимные обязанности центра и владельца сертификата.

Глава IV посвящена отдельным особенностям использования ЭЦП: случаям преобразования в электронную форму документов, заверенных печатью, признанию иностранного сертификата ключа подписи, и другим.

В главе V содержатся заключительные и переходные положения. Устанавливается, что законодательство РФ должно быть приведено в соответствие с данным законом в трехмесячный срок (любопытно, на сколько растянется этот процесс в дейтствительности).

В целом впечатление от закона не сильно хорошее - по причинам, изложенным выше. Основной недостаток - отсутствие возможности для негосударственных организаций и частных лиц пользоваться для подписания документов тем, чем они сами захотят, а не тем, что им напишет сертифицированный дядя. К тому же, подавляющее большинство программ, имеющих сертификаты, написана под Windows, соответственно, пользоваться ими под тем же линуксом, набирающим популярность, получится только из-под эмулятора. Ну, а о том, что конторы по разработке сертифицированных программ грозят превратиться в обычные кормушки, я уже и не говорю. Кстати, если меня сейчас читают люди, с такими конторами связанные, - милости прошу поделиться впечатлениями от их работы.




Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед

  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach