«Нужно искать тех, кто готов поддержать стандартизацию и заинтересован в использовании таких стандартов»

На PKI-Форуме 2022 обсудили вопросы стандартизации в области ЭП, PKI, криптографии и ЭДО. Отраслевые эксперты оценили уровень стандартизованности данных технологий и их готовность к применению по соответствующим стандартам. 

Ведущий сессии, профессор МГТУ им. Н.Э. Баумана, академик МАС, заместитель генерального директора компании «Аладдин Р.Д.» Алексей Сабанов отметил, что стандартизация сферы PKI происходит достаточно активно в рамках технических комитетов. При этом разработку каждого стандарта предваряет создание научно-технического отчета – этот внушительный по объему документ включает анализ состояния международных стандартов, российской нормативно-правовой базы и научных достижений по данной тематике. 

«PKI – это инфраструктура доверия к открытым ключам. Электронная подпись – всего лишь один из сервисов безопасности, которые позволяют обеспечить эквивалентность и по доверию, и по юридической значимости документов. Чтобы электронный документ полностью соответствовал по своей юридической силе бумажному документу, должны использоваться шесть сервисов безопасности – электронных реквизитов: электронная подпись, идентификация и аутентификация подписанта, метка доверенного времени, валидация сертификата ключа проверки подписи, проверка полномочий, гарантированная доставка документов и сообщений. Вот вопросы, которые мы попробуем сегодня обсудить», – пояснил спикер. 

Позже, в рамках собственного доклада, Алексей Сабанов обозначил проблемы стандартизации в области PKI и ЭП. Одна из них – отсутствие стратегического планирования с четко обозначенными целями и задачами. 

Выступление руководителя обособленного подразделения «ИнфоТеКС» Михаила Грунтовича было посвящено стандартизация OpenID Connect на базе отечественных криптографических алгоритмов. По его словам, две реализации протокола OpenID Connect были сделаны в системах ЕСИА и ЕБС. После этого в 2019 году появилась необходимость в разработке документа, который бы позволил получить доступ к финансовым сервисам через авторизацию и аутентификацию с помощью OpenID Connect. 

«Документ был выпущен в 2020 году, но в 2021 году появилась вторая версия сервиса – более продвинутый протокол, который использует ту же криптографическую базу. В процессе нового согласования в этом документе появилась фраза о том, что описание технической, криптографической части должно быть в документе ТК-26. С этого началась работа над технической спецификацией стандарта», – рассказал спикер. 

Представители компании «КриптоПро» познакомили слушателей со схемой подписи вслепую и стандартизацией в этой области. Подпись вслепую – это криптографический механизм, который по свойствам похож на привычную электронную подпись, но обладает дополнительными качествами и позволяет решать дополнительные задачи. Разработка методических рекомендаций, которые будут специфицировать механизмы работы подписи вслепую, началась в ноябре 2020 года в рамках ТК-26, а в июле 2022 года документ был сформирован. Первым применением подписи вслепую являются различные системы электронных платежей. В России пока единственным широко известным сценарием ее применения являются системы дистанционного электронного голосования. 

«Как и обычная ЭП, этот криптографический механизм состоит из трех процессов: создания ключей, формирования подписи и проверки подписи. При этом благодаря своей специфике данный механизм позволяет решать еще одну задачу. Формирование подписи перестает быть просто алгоритмом, который выполняется отдельно, а становится интерактивным протоколом. Протокол выполняется между подписывающим, у которого имеется закрытый ключ формирования подписи вслепую, и пользователем, у которого имеется ключ проверки. Взаимодействуя с подписывающим, пользователь вырабатывает подпись для своего сообщения. К стандартному свойству ЭП – неподделываемости  добавляется новое свойство – неотслеживаемость», – пояснил Евгений Алексеев, начальник отдела криптографических исследований «КриптоПро», член Академии криптографии РФ.

Наталья Храмцовская, к. и. н., ведущий эксперт по управлению документацией компании ЭОС, посвятила доклад незакрытым проблемам развития ЭДО и перспективам их стандартизации. По ее словам, проблем правового характера, связанных с обеспечением и сохранением, в том числе в длительной перспективе, юридической доказательной силы электронных документов, достаточно много. Такие механизмы, как отметки времени и машиночитаемые доверенности, пока в правовом плане недостаточно хорошо проработаны. Второе направление проблем связано с  интероперабельностью – миграцией документов из одной системы в другую: например, при передаче документов на архивное хранение или при выводе из эксплуатации системы, в которой имеются юридически значимые документы с длительным сроком хранения.

«В нашем направлении, с моей точки зрения, нужно искать тех, кто готов поддержать стандартизацию и заинтересован в использовании таких стандартов. При создании и адаптации стандарта прежде всего нужно убедительное деловое обоснование, фактически бизнес-кейс. Разработка стандартов должна быть заточена под решение конкретных, реально существующих сейчас проблем, с учетом мнения потенциально заинтересованных сторон», – сделала вывод Наталья Храмцовская. 

Выступление членов Академии криптографии РФ было посвящено созданию и стандартизации постквантовых криптографических механизмов. «В настоящее время активно ведутся исследования по созданию квантовых вычислителей. Если такой вычислитель появится, алгоритмы для него уже существуют, и наша ассиметричная криптография станет ненужной, потому что есть уже известные, эффективные методы анализа. Предстоит проведение перспективных исследований по разработке неких методов обеспечения безопасности. Их целью является создание такого криптографического механизма, который будет безопасен по отношению как к квантовым методам анализа, так и к классическим методам», – отметил один из спикеров, Антон Гуселев.

14 сентября, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.10.2022
Главный тренд ИБ — проекты по внедрению российских решений
06.10.2022
«Белые шляпы» почистят «Госуслуги» от уязвимостей
06.10.2022
Центробанк предупреждает о новой волне мошенничества
06.10.2022
ЦБ РФ до конца года не будет наказывать банки за отсутствие идентификации через ЕБС
06.10.2022
Евросоюз запрещает обслуживание криптокошельков граждан РФ
06.10.2022
ФБР и CISA — о том, насколько успешными бывают атаки на электоральную систему
05.10.2022
Финляндия ожидает начало вредоносной киберактивности со стороны России
05.10.2022
Главный риск, что компании останутся на зарубежных продуктах
05.10.2022
Открытие киберполигона МТУСИ на базе решений ГК «ИнфоТеКС»
05.10.2022
Турция предложит россиянам карты своей платёжной системы. Вместо «Мира»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных