ИОК в России: начало пути

Ходят легенды, что когда известного средневекового прорицателя Нострадамуса спросили, как ему удается предсказывать будущее, он ответил: "Предсказать будущее легко, гораздо труднее разобраться в настоящем".Освоение любой новой технологии является непростой задачей. В части развития инфраструктуры открытых ключей Россия отстает от развитых стран Запада на 2-3 года. Воспользуемся ли мы их опытом?На осень 2004г. в России заявлено к работе около 150 Удостоверяющих центров. Общее число поддерживаемых цифровых сертификатов Х.509 оценивается в 50 тысяч. Попробуем дать краткий анализ сегодняшнего рынка ИОК и понять ближайшие перспективы его развития.

Инфраструктура открытых ключей (ИОК) - это набор служб и сервисов для формирования, хранения, проверки, приостановления действия, обновления и отзыва цифрового сертификата. Применение электронно-цифровой подписи (ЭЦП) подразумевает наличие развитой ИОК, поддерживающей, как минимум, функцию проверки целостности сертификата. Заметим, что в Федеральном законе "Об электронной цифровой подписи" [1] об инфраструктуре открытых ключей впрямую не упомянуто ни разу, хотя по отдельным статьям можно однозначно понять, что за основу ЭЦП принято применение асимметричных алгоритмов и в тексте ряда статей закона (например, ст.З, 6, 9, 12) прямо указано о применении открытого и закрытого ключей пользователя.

Основными составляющими частями ИОК являются: аппаратная часть, системное и специальное программное обеспечение и каналы связи, т.е. те самые системообразующие элементы сервисов безопасности, обеспечивающие жизненный цикл цифровой подписи. Например, при отправке заверенных ЭЦП сообщений ИОК для пользователей начинается с персонального компьютера отправителя и заканчивается рабочим местом получателя. Безусловно, для настройки и работы ИОК требуется квалифицированный персонал. Основными условиями существования и развития ИОК являются: нормативно-правовое обеспечение, устойчивый спрос на применение ЭЦП в различных операциях, продиктованный экономическими и административными факторами, а также наличие достаточного предложения.

Реальное построение инфраструктуры поддержки ЭЦП в России началось в начале 2002г. после выхода ФЗ [1]. В настоящее время идет процесс становления и отработки технологии. Существующие реализации могут быть отнесены к разряду пилотных зон. Тем не менее, начинает формироваться рынок. Для этого существует и спрос, и предложения, число которых непрерывно растет. Существенную помощь в процессе становления технологии оказывает разработка отечественных стандартов [4]. Тем не менее, проблем, связанных с развитием рынка ЭЦП и ИОК, очень много. Это и несовершенство законодательной базы, и отсутствие государственного регулирования в части ответственности удостоверяющих центров, и вопросы страхования электронных сделок...

Заметим, что ИОК является всего лишь "базой" для жизнеобеспечения ЭЦП и первично здесь все же то, насколько реально необходимо будет применение цифровых сертификатов как средства распространения открытых ключей пользователей. Точных данных о развитии ИОК мы не встретим в печати еще долгое время, поскольку, как мы увидим ниже, эта субстанция не подлежит точному учету. Попробуем судить о развитии ИОК по таким составляющим, как формирование удостоверяющих центров (УЦ), поддержка валидных сертификатов и области реального применения ЭЦП.

Классы удостоверяющих центров

Интенсивно развивающуюся ИОК в виде конкретных реализаций легче всего проследить на примере УЦ, которые можно условно разделить на два больших класса. Такое деление стало возможным благодаря формулировкам закона "Об электронной цифровой подписи", основных положений "Закона о техническом регулировании" и недавно появившегося "Закона о коммерческой тайне". Основой деления является нечеткое определение УЦ, приведенное в ст.8 ФЗ [1], которое в соответствии с положениями ФЗ [2] и [3] привело к развитию:

• класса УЦ как отдельных юридических лиц, основным своим видом деятельности считающим поддержку сервисов безопасности ЭЦП.  Сформированные и подписанные такими УЦ цифровые подписи используются для обеспечения юридической значимости документооборота, заверения почтовых сообщений, обеспечения неотказуемости и целостности обязательных отчетов в налоговые органы и т.д. Как правило, УЦ этого класса работают в соответствии с временными разрешениями на опытную эксплуатацию,       выданными ФАПСИ в течение первой половины 2002г., и строят свою деятельность на  основе применения только сертифицированных средств криптографической защиты информации. Эти удостоверяющие центры задумывались как открытые или публичные, т.е. обслуживающие не только различные юридические лица, но и широкие классы физических лиц.  Поскольку эти предприятия специализируются на виде деятельности, связанной с формированием и поддержкой ЭЦП, условимся называть этот класс классом открытых УЦ;
• класса УЦ в составе корпоративных автоматизированных систем (АС), обеспечивающих применение криптографических средств защиты информации с использованием асимметричных алгоритмов.   Согласно действующим ФЗ УЦ в составе АС коммерческих предприятий данного класса могут
  использовать на свой выбор как сертифицированные средства, так и набор несертифицированных средств с возможностью проведения добровольной аттестации своей сети и АС. Такие УЦ условимся
  относить к классу корпоративных УЦ.

Открытые УЦ

Из удостоверяющих центров, заявляющих о своей работе(в терминах данной статьи - открытым), по итогам обсуждений и материалам конференций [6], [7], реально работают не более 10 открытых УЦ с актуальной базой в несколько тысяч валидных сертификатов у каждого. На сентябрь 2004г. общая база сформированных в открытых УЦ сертификатов оценивается (как максимум) в 50 тысяч. В условиях временного отсутствия работающего УЦ Уполномоченного федерального органа и отсутствия корневого национального сертификата, заверяющего подпись каждого открытого УЦ, все эти удостоверяющие центры, строго говоря, могут быть отнесены к классу корпоративных. Чтобы отделить их от корпоративных на конференции в Сочи [6] было предложено называть эти УЦ коммерческими, поскольку основным видом деятельности данных предприятий является платная услуга по формированию и поддержке цифровых сертификатов. В то же время отметим, что коммерческие УЦ являются в настоящее время тем "локомотивом", который по целине пробивает дорогу другим, преодолевая трудности,но набирая бесценный практический опыт. Большая часть (около 80%) поддерживаемых сертификатов сегодня содержится в реестрах коммерческих УЦ. Это объясняется тем, что такие УЦ, как правило, создавались как инвестиционные проекты, их сотрудники напряженно работают в силу своей мотивированности на возврат инвестиций и получение прибыли (в отличие от государственных структур, сотрудники которых не спеша работают над разворачиванием УЦ без коммерческого интереса). Благодаря накопленному опыту, определен и примерный порог окупаемости инвестиций в создание открытого УЦ - в настоящее время он составляет около 2000 клиентов УЦ (поддерживаемых сертификатов открытого ключа ЭЦП).

Корпоративные УЦ

Точного учета числа корпоративных УЦ не ведется. В отличие от открытых (коммерческих) УЦ, предназначенных для поддержки жизненного цикла сертификатов, используемых, в том числе, и для работы с государственными предприятиями, и для формирования которых согласно Закону об ЭЦП [1] должны использоваться сертифицированные средства, для организации корпоративного УЦ согласно "Закону о техническом регулировании" применение сертифицированных средств генерации ключевого материала необязательно. Для формирования корпоративных УЦ известны успешные применения штатных средств, входящих в стандартную поставку  серверов Microsoft Windows Server 2000/2003 и Novell. Можно высказать предположение о том, что большинство корпоративных УЦ развернуты на основе АС в составе Microsoft Windows Server 2000/2003. Как правило, служба инфраструктуры открытых ключей в данном случае используется для аутентификации и организации систем управления доступом пользователей к ресурсам компании. При этом в службе каталога Active Directory среди других объектов размещаются сертификаты открытого ключа пользователей корпоративной информационной системы, назначением которых является предоставление доступа пользователя к персональному рабочему место по смарт-карте, защита почтовых сообщений, предоставление удаленного доступа и т.д. В таком подходе к организации управления правами доступа используются очевидные преимущества, такие как иерархичность, прозрачность и управляемость, возможность отзыва или приостановления действия сертификата в случае увольнения или отпуска сотрудника и т.д. Например, в случае приостановления действия сертификата в данном примере на все время отпуска конкретного сотрудника никто не сможет воспользоваться его учетной записью для несанкционированного доступа к информационным ресурсам.

Тем не менее, значительное место в общей российской массе пока разрозненных островков создающейся инфраструктуры открытых ключей занимают и сертифицированные решения.

На рис. 1 представлена качественная картина на сентябрь 2004г. Из представленной диаграммы видно, что корпоративные решения ИОК занимают около 70%, приблизительно 20% рынка ИОК в России приходится на государственные предприятия, и около 10% внедрений ИОК выполняется в исполнительных органах государственной власти (ИОГВ).

Рассмотрим развитие ИОК с точки зрения потребителей ЭЦП, поскольку регулярное применение ЭЦП подразумевает развитую инфраструктуру.

Области применения ЭЦП

На сентябрь 2004г. самыми многочисленными потребителями ЭЦП являлись банки и их клиенты. Как правило, это использование цифровой подписи в системах "клиент-банк". В большинстве банков число клиентов таких систем составляло сотни и единицы тысяч. На втором месте находились коммерческие предприятия. Основными областями применения ЭЦП и развернутой ИОК в коммерческих структурах являлись системы документооборота, строгой аутентификации и организации доступа пользователей к защищенным ресурсам, а также решение задачи обеспечения целостности и подтверждения авторства почтовых сообщений. В государственных предприятиях и исполнительных органах власти среди задач, решаемых с применением ЭЦП, можно назвать юридически-значимый документооборот, системы госзаказов, системы контроля исполнения бюджетов и т.д. На предприятиях транспорта и связи применение электронно-цифровой подписи было отмечено в решении вышеперечисленных задач в различных комбинациях.

По появляющимся в периодике пресс-релизам можно заключить, что все большее число приложений интегрирует в себя применение ЭЦП. Это можно проиллюстрировать на примере систем документооборота. Если к концу 2002 года применение ЭЦП декларировали единицы, то сейчас - десятки компаний.

Что дальше?

Правильно ли, что мы реально имеем две отдельно развивающиеся ветви ИОК? Как они будут взаимодействовать между собой? Как будут осуществляться электронные ' взаиморасчеты с западными поставщиками и контрагентами? Как объединить разрозненные открытые УЦ? Что будет с ИОК коммерческих предприятий, развивающихся пока бесконтрольно? Эти и многие другие вопросы предстоит решать в ближайшее время.

И все же рынок ИОК коммерческих предприятий, скорее всего, будет развиваться все так же опережающими темпами по отношению к ИОК, образованными открытыми УЦ и тем более, формирующимся в госструктурах. В зависимости оттого, насколько реальны бизнес -задачи и потребности предприятий в применении ЭЦП и как будет решен вопрос с лицензированием данного вида деятельности, темпы развития корпоративных ИОК могут либо увеличиться, либо снижаться.

Безусловно, большое влияние на развитие этих процессов может оказать государственное регулирование. В ближайшее время начнет работу УЦ УФО РФ, призванный объединить разрозненные открытые УЦ в единое доверительное пространство. Уже делаются реальные шаги для приведения существующего правового поля в соответствие с реалиями. Правда, поскольку решение данного вопроса является весьма сложным делом (поскольку тянет за собой увязку с кодексами и регламентами), делается это слишком медленно. Так, признается несовершенство ФЗ [1], но пока не обсуждается, как эти недостатки реально будут устранены. Выход закона "О техническом регулировании" породил многие вопросы, и как его правильно применять, реально мало кто знает. Как разрабатывать технические регламенты - исполнителям приходится много консультироваться, а ведомственные интересы редко совпадают. Закон "О коммерческой тайне" настолько молод, а точнее, юн, что его применение на практике - пока дело будущего.

Таким образом, из всего вышеизложенного можно сделать выводы о том, что строительство инфраструктуры открытых ключей идет "снизу вверх", что созданы разнородные "островки" ИОК, не объединенные в единую систему и о том, что имеются недостатки законодательства. Тем не менее, в направлении строительства ИОК уже сделано немало, накоплен значительный опыт, который позволит сделать необходимые корректировки в направлении развития ИОК в России.