Схема работы удостоверяющих центров проста и прописана в законе об ЭЦП, но ее практическая реализация связана с массой проблем
Развитие электронного документооборота невозможно без эффективной работы удостоверяющих центров. Их назначение — подтверждать подлинность электронной подписи. Основным удостоверяющим документом выступает сертификат ключа подписи, который центр выдает участникам электронного документооборота. При отсутствии же сертификата ключа подписи цифровая подпись на электронных документах не может рассматриваться в качестве аналога собственноручной подписи за рамками корпоративного документооборота.
Закон об ЭЦП принят уже более двух лет назад. За это время в стране открылось около 10 крупных удостоверяющих центров, имеющих филиалы для работы в других регионах. К примеру, удостоверяющий центр Санкт-Петербурга имеет сеть центров регистрации, расположенных по всей территории России, от Петропавловска-Камчатского до Белгорода. «Центральный» центр в данном случае только выпускает сертификат открытого ключа, в соответствии с запросом, поступившим от центра регистрации по защищенному каналу связи.
В настоящее время в нашей стране наиболее распространены пять сертифицированных средств криптографической защиты информации (СКЗИ). Это CryptoPro CSP (производитель «Крипто-Про»), «Верба» (МО ПНИЭИ), «Домен-К» («ИнфоТекс»), Message Pro («Сигнал-Ком») и Crypton Emulator («Анкад»). По мнению Сергея Кирюшкина, технического директора санкт-петербургской компании «Удостоверяющий центр», лидируют «Крипто-Про» и «Верба». Это связано с высокими показателями совместимости данных СКЗИ с широким перечнем прикладных программ и различных операционных систем.
Ведущие разработчики отечественных СКЗИ в настоящее время предпринимают попытки по достижению совместимости. По данному вопросу даже подписано соглашение. Однако практика современного этапа такова, что для достижения «взаимопонимания» на уровне электронных документов двух систем, использующих различные отечественные СКЗИ, требуется установка двух разных средств защиты по крайней мере с одной из сторон.
Практика работы удостоверяющих центров в России показала, что для полноценного обслуживания клиентов удостоверяющий центр должен иметь возможность предоставлять услуги и почтового сервера.
«Многие потенциальные участники электронных расчетов используют для переписки адреса электронной почты, предоставляемые владельцами бесплатных серверов, — рассказывает Сергей Кирюшкин, технический директор питерского удостоверяющего центра. — Однако поставщики таких услуг, как правило, оставляют за собой право удалять почтовые ящики своих клиентов без предупреждения. На многих бесплатных почтовых серверах объем почтовых ящиков ограничен. И самое главное, многие почтовые серверы не поддерживают стандарт S/MIME для защищенной электронной почты. Это приводит к невозможности использования механизмов ЭЦП. А предоставление удостоверяющим центром услуг электронной почты помимо удобства для клиентов дает потенциальную возможность проставления меток времени, что является дополнительной защитой от мошенничества за счет несинхронизации времени в открытой системе».
Много препятствий остается между пользователями сертификатов открытых ключей, выпущенных не соподчиненными удостоверяющими центрами. Для того чтобы электронная сделка состоялась, каждая сторона должна быть уверена в качестве работы удостоверяющего центра, выдавшего сертификат контрагенту. Для установления отношений доверия между различными центрами практикуется специальная «кросс-сертификация». Процедура проведения кросс-сертификации технологически сводится к выпуску кросс-сертификата по запросу другого центра.
Закон «Об ЭЦП» не обязывает проводить кросс-сертификацию. В законе предусмотрена лишь необходимость регистрации сертификатов уполномоченных лиц удостоверяющего центра в уполномоченном федеральном органе исполнительной власти. До административной реформы этими функциями занималось Минсвязи. С созданием Федерального агентства по информационным технологиям именно ему, скорее всего, будут переданы соответствующие полномочия. Но как бы то ни было, нормативные документы, необходимые для налаживания связи отдельных удостоверяющих центров через государственный орган, пока не приняты.