Форум ''Интернет и Право''

Я несколько раз объяснял разным людям как именно получить сертификат ЭЦП бесплатно, как его пользовать потом в OutlookExpress и пр. Наиболее сложно дается тот факт, что для шифрования не надо получать сертификат самому. Но и это не беда, удается объяснить с третьего раза почти каждому.

После некоторого количества раз объяснений написал инструкцию, которую выложил вот здесь - http://www.glinka.ru/WOT/KnowHow (http://www.glinka.ru/WOT/KnowHow),
есть также версия для печати в формате PDF http://www.glinka.ru/WOT/KnowHow/Howcert2.pdf (http://www.glinka.ru/WOT/KnowHow/Howcert2.pdf) (около 300Кб)

Был бы рад услышать мнение компетентной аудитории, а также мнение всех тех, кому удастся не только прочесть, но и получить себе такой сертификат.

Игорь Г.

Добрый день Игорь!

Я прочитал вашу инструкцию. Если рассматривать ее именно как инструкцию, то на сколько я могу судить особых притензий к ней нет. Сертификат получить удастся. Если же рассматривать этот документ с технической и юридической точки зрения у меня есть замечания. Они Вам интересны? Если да то я готов опубликовать их здесь.

Большое спасибо за то, что Вы прочитали текст.

Да, конечно мне интересно и, я бы сказал точнее, - хотелось бы узнать, во-первых, Ваше мнение о документе и, во-вторых, замечания по тексту. Если они очень детальные, типа "на третьей странице в пятой строке ...", то их можно отправить мне по почте, чтобы не загружать форум.
Я буду очень благодарен за любые замечания и предложения.

Игорь

Я не ставил галочку около "скрывать мой e-mail", но сам своего адреса не вижу, поэтому пишу его здесь - glinka@dol.ru при отправке в теме надо указать слово thawte (в любом месте темы)
Игорь

Я буду постепенно выкладывать замечения. Начнем с главы 1 Описание проблемы.

1. "сертификат электронной цифровой подписи" - такого сертификата НЕТ и никогда не было. У вас дальше в тексте в одном месте используется правильный термин сертификат открытого ключа. Сертификат связывает открытый ключ и информацию о владельце соответсвующего закрытого ключа. Это если совсем коротко.

2. "Эта процедура (полностью) должна быть выполнена пользователем только один раз (в жизни) и не требует повторения при смене адреса электронной почты, компьютера или почтовой программы. Более того, выполнение ее вторично является в некотором роде нарушением правил"

извините или вы говорите о чем то другом, или я чего то не понимаю- что один что другой тип сертификата при смене адреса электронной почты, потребуют перевыпуск сертификата.

3. "Эту процедуру не следует делать в Интернет-кафе или на чужом компьютере, так как в процессе получения сертификата будет сгенерирован закрытый ключ, который неизбежно сохранится на компьютере. Вы можете впоследствии переписать его, например, на дискету или флеш-память, однако, гарантированно удалить его с компьютера, на котором вы не владеете административными полномочиями, может не получиться. Если использовать собственный компьютер невозможно, то следует серьезно обдумать необходимость получения сертификата, так как его персонализация по отношению к Вам изначально оказывается под вопросом."

в принципе все верно, но вы совсем забыли о такой вещи как отторгаемый носитель криптоматериала. Может быть он известен вам под названием токен или смарт-карта.

4. "Окно выбора криптографического алгоритма. По умолчанию Вам будет предложен самый сильный алгоритм «MS Enhanced Crypto… v.1.0». Можно выбрать его или более слабый вариант – «MS Standard Crypto …». Изначально предполагалось, что в некоторых странах особо сильное шифрование будет запрещено, а более слабое будет разрешено везде. Так что пользователи, которые захотят соблюдать требования закона, смогут выбирать тот метод, который соответствует закону их страны. В России закон «Об электронной цифровой подписи» фактически запрещает ее применение вовсе, поэтому и более слабый, и более сильный алгоритмы – вне закона. Можете выбирать любой. Нажмите Next "

во первых никакой криптоалгоритм вы не выбираете в любом случае будет использован алгоритм RSA. Здесь предлагается выбор криптографического провайдера (СКЗИ). Разница в длинах ключей.

Второе. ФЗ об ЭЦП не ограничивает вас в выборе скзи в данном случае. никак. Вы ж частное лицо. А то что эти сертификаты не являются юридически значимыми это и так понтяно.

5. "Будет задан дважды вопрос о том, доверяете ли Вы сайту, с которым сейчас работаете, чтобы он ставил сертификаты на Ваш компьютер. После двух утвердительных ответов Сертификат электронной цифровой подписи будет установлен на Вашем компьютер так, что Вы сможете его использовать во всех программах – Internet Explorer, Outlook Express, MS Outlook, MS Word, MS Excel, MS Visio и во многих других, где используется совместимая электронная цифровая подпись"

Я может отстал от жизни, но я не помню  чтобы ворд, или эксель умели проставлять подпись. Подобная вещь повилась только в 2003 версии их пакета, DRM называется, но и то там все совсем не просто.

Пока это все. Чуть позже я выложу замечания по последней части.

Я согласен с этим замечанием. В документе нет раздела с определениями терминов, и я полагаю, что такой раздел был бы неуместен. Поэтому стоило бы использовать термины, определенные где-то в известных документах. Я исправлю эту ошибку. Хотя  в свое оправдание сошлюсь на некий документ,  
находящийся вот здесь, где того термина, что приводите Вы нет, а мой - есть - http://asozd.duma.gov.ru/intranet/kom23.nsf/I/1A547CC124B60403C3256F96002E6322?OpenDocument (http://asozd.duma.gov.ru/intranet/kom23.nsf/I/1A547CC124B60403C3256F96002E6322?OpenDocument)



Здесь речь идет о процедуре регистрации индивида на сервере Thawte. Действительно, это не все те действия, которые описываются на в документе в качестве первого этапа. Конечно, перевыпуски сертификата, в том числе для разных адресов почты уместны. Я это исправлю.


Мне это известно и оно (карточка RSA) у меня есть. Но писать об этом здесь мне показалось неуместным. Вся инструкция направлена на то, чтобы объяснить, как сделать это БЕЗ покупки чего-либо аппаратного, БЕЗ установки платного или бесплатного глючного софта, БЕЗ оплаты самого сертификата.


на первое - Что именно человек выбирает на этом этапе зависит от того, что ему будет предложено. В некоторых случаях в появляющемся ниспадающем меню могут появиться алгоритмы DES или (даже!) ГОСТ.

На второе - По поводу ограничений Закона на использование ЭЦП вообще (не только криптоалгоритма) - По смыслу статьи 3, то, что получается в результате взаимодействия с Thawte  - электронная цифровая подпись (сертификат ключа подписи), в то же время, многие требования закона не соблюдаются, в частности,  требования к удостоверяющему центру и к процессу получения сертификата ключа. Вопрос о том, является ли полученный сертификат ключа подписи иностранным (в смысле статьи 18) является открытым, так как по требованиям применимого в данном случае законодательства (ЮАР) указанные сертификаты не подлежат регистрации, а положения конвенции об отмене легализации документов не распространяются на сертификаты ключей подписей, так как они исходят не от должностных лиц государства. Поэтому, неправомерен вывод о том, что получение и применение такого сертификата не регулируется Законом об ЭЦП. В то же время, положения закона нарушаются. В совокупности, можно сделать вывод о нарушении закона стороной, по инициативе которой совершается действие, влекущее противоправные последствия (также как если кто-то толкает другуго в направлении зоны, вход в которую запрещен), то есть собственно нарушение производится выдающей сертификат стороной, но, так как эти действия производятся ею "вынужденно", под влиянием лица, запрашивающего сертификат, то и ответственность за нарушение порядка выдачи сертификата должен нести получатель сертификата. Этот вывод, если он должен быть сделан в суде, должен быть основан на документированных доказательствах, основное из которых - полученный сертификат, в этом случае не является документом и, следовательно, доказательством.
Причина этой коллизии, по моему мнению, в том, что закон относится к числу основных, базисных законов, так как регулирует (должен регулировать) первичные понятия (подпись и документ), а написан без участия специалистов в фундаментальных областях права - конституционном праве и цивилистике.


Да, я имел в вид именно это. Возможность вставлять цифровые подписи в документы появилась начиная с Word XP, но требовала дополнительного модуля.  Начиная с ворда 2003 она - стандартная фича. В Adobe Acrobat это функциональность тоже есть и, для использования сертификата, требует модуля (за деньги), а без сертификата - некий самопальный код цифровой подписи от адоба - бесплатно (включено в стандартную поставку).



Жду с нетерпением.

Это понятно. Кстати спасибо за ссылку, интересно почитать. Но тем не менее в данном случае господа законотворцы делают как обычно что то не то.

Согласен, это одна из онсновных вещей, о кторой вы писали. НО это приводит к тому, что:
1. Пользователь привязан к компьютеру, где установлен сертификат.
2. Хранение ключей в реестре операционной системы РЕЗКО снижает степень их защищенности.

"глючный софт"? я так понимаю у вас бывают проблемы при использовании вашей карточки? или я не прав? еслид а поделитесь что за карточка и что за проблемы, если не трудно.

Предложен ему будет список криптопровайдеров, установленных на его компьютере. Помимо тех что вы описали в инструкции там есть еще Micosoft Strong, Shlumberge и т.д. Если он устил себе например КриптоПро CSP то может быть еще одна опция CryptoPro CSP Cryptographic Service Provider - как раз тот самый ГОСТ. Но только вот DES ему вы уж извините никто не предложит - DEs это симметричный алгоритм шифрования и в схеме ЭУП никогда не использовался да и не может в принципе :)


Остальные замечания и кое какие мыли об этих двух сертификатах я постараюсь изложить, но будет это видимо не раньше 5, 6 числа. меня не будет в сети некоторое время.

Немножко offtopic, так как не связано непосредственно с ЭЦП, но, IMHO, применение указанных криптосредств стало вполне легальным в России после принятия Постановления Правительства РФ от 23.09.2002 N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами".

Это постановление освобождает от лицензирования некоторых видов деятельности. Но, во-первых, выдача сертификата к этим видам не относится, а, во-вторых, постановление Правительства не может противоречить Закону.
Законом об о лицензировании отдельных видов деятельности установлены критерии, по которым определяются те виды, которые должны лицензироваться (ст. 4), установлено, что может делать правительство в области лицензирования (определять порядок и назначать орган - ст. 5),  дан перечень видов деятельности, для занятия которыми требуется лицензия. К этим видам отнесена и "деятельность по выдаче сертификатов ключей электронных цифровых подписей" (ст. 17). При этом не указано,  что это требование распространяется лишь на некоторых получателей таких сертификатов . А из ранее сказанного следует, что Правительство не вправе устанавливать лицензирование для дополнительных видов деятельности, а из статьи 4 и 5 - что оно же не вправе освобождать от этого.


Игорь

Возможно я неясно выразился, я не говорил о ЭЦП, только о самих криптографических средствах типа MS Enhanced Crypto... и т.д. Просто в этой части вашей инструкции сначала идут пояснения о слабом и  сильном шифровании, запрещенном в отдельных страннах, и через предложение сообщается, что и то, и то в России вне закона. Это, IMHO, не так.
Не вижу противоречия, Правительство в рамках своей компетенции определило порядок лицензирования различных средств шифрования, при этом определило, что для ряда средств, не требующих специальных мер контроля, лицензирование не требуется.
Из ваших дальнейших пояснений мне кажется, мы просто друг друга не поняли, я говорил не о самом ЭЦП и сертификатах, а только о самих криптографических средствах, которые используются также и для других целей.

Кстати, когда вы по отношению к ЭЦП употребляете термины "незаконно", "противоправно", боюсь учитывая целевую аудиторию вашей инструкции это может быть неправильно истолковано. Обыватель будет чувствать сябя чуть-ли не преступником, за которым вот-вот явятся, поймают за этим постыдным занятием и упекут в кутузку. На самом деле, ИМХО, в правовом смысле пользование таким сертификатом приведет только к одному - в России сделанная с его помощью подпись под документом не будет признана эквивалентной собственноручной подписи.

один момент господа, чтобы внести ясность - согласно закона о лицензировании, использование СКЗИ лицензии не требует. Но именно использование.

Как и обещал замечание по третьей части:

"Получается, что MS Word использует его для подписания файлов, несмотря на то, что сертификат не предназначен для этого. Так поступает не только MS Word. Опасность таких применений заключается в том, что, если, к примеру, появятся программы, осуществляющие платежи по сети Интернет, которые будут основываться на таком сертификате, то явное несоответствие степени надежности сертификата и величины риска может спровоцировать дискредитацию сертификата. "

Тут ситуация проста, ключи и сертификат должны использоваться только для тех целей, для которых выдан сертификат. В противом случае это компрометация. И без никаких других вариантов.

Кстати в нормальной пррактике корпоративных систем на один сертификат не "вешают" подпись и шифрование это делается по одной простой причине - одна ключевая пара и сертификат к ней используется для подписи, а вторая для шифрования. Вторая хранится защищенным образом где то, например в УЦ, а первый таких резервных копий не имеет. В слуаче если что , сертификат для подписи можно издат ьзаново, а если вы потеряли сертификат и ключи для шифрования, то чтобы прочесть зашифрованную почту его можно восстановить в УЦ. Но это так маленькое лирическое отступление.

Выложил новую версию этой же инструкции.

Замечания поправил.

На всякий случай дублирую ссылку еще раз http://www.glinka.ru/WOT/KnowHow/ (http://www.glinka.ru/WOT/KnowHow/)

Игорь

Посмотрим. :)

Полагаю не менее интересным вопрос о подтверждении личности в Сети доверия Thawte и получении именного сертификата. Был ли у кого-нибудь подобный опыт?

Особенно интересует практика подтверждения посредством доверенных третьих лиц (TTP (https://www.thawte.com/cgi/personal/wot/ttp.instruct.exe)). Согласно правилам Thawte, таковыми считаются руководители банковских отделений (bank managers), сертифицированные бухгалтера (CPA) практикующие адвокаты (practicing attorneys).

Вместе с тем, насколько российская специфика согласуется с заявленными требованиями? Так, адвокат должен быть действительным членом национальной коллегии адвокатов. Подходят ли под это региональная или местная (городская) коллегии? Эквивалент certified public accountant в России мне вообще неизвестен.

Какие будут соображения у участников форума?

Опыт есть. Если выобратили внимание, Игорь Глинка, опублиовавший инструкцию является нотариусом Thawte. С некоторых пор я тоже :)
Собственно ничего сверхестественного в этом нет. Все просто и прозаично. Делаете ксерокопию паспорта и еще одного документа, удостоверяющего вашу личность, а лучше не одну. Выбираете нотариусов - их список на сайте thawte и договариваетесь о встречах (face-to-face meeting required).

Всё-таки меня более предметно интересовала специфика TTP (за пределами Москвы это зачастую остаётся единственным способом подтверждения -- сами взгляните в листинг нотариусов Thawte).

Впрочем, с момента постановки вопроса ответ уже получен и непосредственно из Thawte. Что касается статуса коллегии, в которой должен быть зарегистрирован адвокат, это не имеет значения. Важно только, чтобы он был зарегистрирован.

согласен это проблема существует даже для Питера, как показала практика.

меня на самом деле здесь заинтересовал не адвокат, а банковский менеджер. Я попытался переложить это на нашу действительно и не нашел подходящего :) Если только управляющий филиалом. Но поробуйте обратится к управляющему с таким вопросом - глаза по 5 рублей будут обеспечены :)

Да, именно управляющий. К слову, реагируют совершенно нормально. Причём в моём случае согласились на участие в процедуре на безвозмездной основе.