«Юридические и коммерческие аспекты ввода в действие Директивы 1999/93/ЕС и практическое применение электронных подписей в странах-членах ЕС, ЕЭЗ, странах, вступающих в ЕС и странах-кандидатах Правовые и рыночные аспекты ...»

Целью проекта «Инфраструктура открытых ключей для замкнутых пользовательских групп» (Public Key Infrastructure for Closed User Groups — PKICUG) было проведение экспериментов с внедрением технологий PKI, и формирование на основе этого опыта единых процедур и правил, которые можно было бы распространить на все сети IDA.

Проект «pki Challenge» (http://www.eema.org/pki-challenge/) рассчитан на два года и стартовал в январе 2001 года под покровительством EEMA. Цель проекта — предоставить решение, обеспечивающее совместимость продуктов, которые относятся к PKI, выработать спецификации и передовой опыт в области стандартов PKI. В рамках проекта разработаны два очень важных документа:

Рекомендации для производителей (D8.3): В документе рассматриваются результаты проекта pki Challenge и его влияние на сообщество производителей. Он включает рекомендации о характеристиках и уровне поддержки стандартов, который должны демонстрировать продукты PKI для того, чтобы содействовать совместной работе пользователей продуктов от различных производителей.

Задачи индустрии PKI (D8.4): Предназначен для органов стандартизации, Европейской комиссии и других групп, имеющих интересы в этой области и прочих участников. Документ очерчивает некоторые технические задачи, которые еще предстоит решить.

В рамках проекта ESTIO (http://research.ac.upc.es/ESTIO/) описан и разработан набор инструментов, позволяющих проводить тестирование совместимости европейских продуктов и услуг, связанных с электронной подписью.

И, наконец, результатом проекта EESSI (Европейская инициатива в области стандартизации электронных подписей, http://www.ict.etsi.fr/eessi/EESSI-homepage.htm) стала разработка нескольких стандартов, которые относятся к совместимости электронных подписей, основанных на технологии PKI:

ETSI TS 101 456: Policy Requirements for Certification Authorities issuing Qualified Certificates (Требования к политикам центров сертификации, выдающих квалифицированные сертификаты) ETSI TS 101 733: Electronic Signature Formats (Форматы электронной подписи) Финансирующая программа: ESPRIT 4, регистрационный номер проекта: EP 26763.

ETSI TS 101 862: Qualified Certificate Profile (Параметры квалифицированного сертификата) 3.4.2 Содействие совместимости на национальном уровне В большинстве стран ЕС и в некоторых странах, не входящих в ЕС, были приняты общие меры, в различной степени способствующие взаимодействию различных ПСУ и производителей продуктов для создания подписей, в рамках инициатив со стороны государственного или частного сектора. В некоторых случаях использовался стандарт ETSI на формат подписи, напрямую или в качестве основы для национальных спецификаций. Один из примеров — Эстония с её проектом электронных удостоверений.

Большинство стран так или иначе определили или содействовали внедрению стандартов на сертификаты и списки отозванных сертификатов с целью поддержки взаимодействия и совместимости. Впрочем, большая их часть предусмотрела только использование X. v3, некоторые — ETSI TS 101 862 в качестве параметров квалифицированного сертификата, выполняющего требования Приложения III. Лишь немногие страны создали подробные спецификации национального уровня. Лучший пример из их числа — спецификации ISIS-MTT в Германии (которым, впрочем, следуют не все ПСУ); в Швеции, Италии и Польше также в той или иной мере введены национальные спецификации.

Еще один пример: через шесть лет после того, как в Германии был издан первый закон об электронной подписи («Signaturgesetz»), правительство и представители бизнеса (провайдеры услуг и поставщики продуктов) основали Союз электронной подписи («Signaturbndnis») с целью поощрять применение (квалифицированных) электронных подписей.

Также следует отметить, что существует и продолжает действовать европейский проект EUCLID (Европейская инициатива по выработке решения в области цифровых удостоверений для граждан — European initiative for a Citizen digital ID solution, http://www.electronic-identity.org/), запущенный Центром регистрации населения Финляндии с целью поддержки 1 Инновации Электронной Европы в области смарт-карт «Открытая личность» (Public Identity), частично посредством утверждения стандартов в сфере электронных удостоверений личности.

3.5 Алгоритмы и параметры электронных подписей Стандарты безопасности бесполезны без сопроводительных описаний применяемых алгоритмов и параметров (например, длины криптографических ключей). Кроме того, применение одинаковых алгоритмов, конечно же, является предпосылкой совместимости.

В рамках системы EESSI ETSI был опубликован Специальный отчет ETSI SR 002 176, содержащий описания алгоритмов и параметров для электронных подписей.

Большинство стран пока не выработали каких-либо требований или рекомендаций в отношении алгоритмов и параметров. Лишь некоторые страны (Австрия, Германия, Италия, Испания, Чешская республика, Польша, Болгария, Румыния, Швейцария) опубликовали национальные перечни одобренных или рекомендованных алгоритмов и параметров для электронных подписей.

Франция и Швейцария ссылаются на опубликованный EESSI отчет по алгоритмам и параметрам электронных подписей. Только Германия установила порядок и годовую периодичность пересмотра алгоритмов.

3.6 Ликвидация ПСУ Для принятия квалифицированных сертификатов на рынке очень важно следование четко определенной процедуре при прекращении деятельности ПСУ. Это позволит избежать того, что все ранее выданные сертификаты станут недействительными.

Около половины обследованных стран опубликовала процедуры, в которых указывается, что должно произойти, если ПСУ прекратит свою деятельность. Известно, что как минимум 7 ПСУ прекратили деятельность или слились с другими организациями. Тем не менее, непонятно, выполнялись ли при этом предписанные процедуры, а при отсутствии таких процедур — какой был избран образ действий.

Из этого следует сделать один вывод: данное требование необходимо было включить в Приложение II, чтобы гарантировать, что все страны внесут его в свои национальные нормы. К счастью, требования к процедуре ликвидации ПСУ были определены в ETSI TS 101 456 и приняты рядом стран.

3.7 Каталоги сертификатов Приложение II (b) требует от ПСУ «обеспечить функционирование оперативно работающего и защищенного каталога, а также безопасной и незамедлительной услуги по отзыву сертификата».

В связи с этим все страны требуют от ПСУ ведения таких каталогов и услуг по отзыву сертификатов. Похоже, что во всех странах процедуры отзыва сертификатов надлежащим образом введены в действие. Все ПСУ ведут списки аннулированных сертификатов, большинство также работают с OCSP. Ни в одной стране нет централизованного каталога выданных сертификатов.

3.8 Корневые и связующие центры сертификации Проблемой любого объекта, желающего проверить подлинность использованного для электронной подписи сертификата, является проверка надежности выдающего центра сертификации. Например, если получена подпись на основе сертификата, предположительно являющегося квалифицированным, как может получатель удостовериться, что центр сертификации контролируется или аккредитован согласно национальным правилам, и не может ни остановить свои службы, ни покинуть рынок по чьему-либо приказанию? Есть несколько решений данной проблемы: Корневой ЦС, Связующий ЦС и Перечень статусов доверия.

Корневым называется ЦС, выдающий сертификаты подчиненным ЦС и находящийся в отношениях прямого доверия с конечным объектом. Это означает, что при использовании общего сертификата Корневого ЦС может быть осуществлена проверка подлинности всех пользовательских сертификатов, находящихся ниже него. Понятие Корневого ЦС не предполагает, что такой ЦС должен обязательно находиться на вершине иерархии:

Корневому ЦС лишь доверяют непосредственно и он зачастую использует самоподписанный «корневой сертификат».

В некоторых странах был создан единый Корневой ЦС:

В Германии — только для аккредитованных ПСУ (по инициативе RegTP) В Нидерландах — для правительственных целей В Польше В Бельгии Сейчас многие эксперты придерживаются того мнения, что ценность использования Корневого ЦС преувеличена. При определении надежности и статуса ЦС, выдающих сертификаты, данный инструмент оказывается очень грубым. В коммерческих применениях стороны, доверяющие сертификату, чаще всего предпочитают прямо указывать центры сертификации, которым следует доверять, а не полагаются на автоматизированную цепочку сертификатов.

С этим связан еще один чрезвычайно политически значимый вопрос: кто будет отвечать за управление деятельностью такого корневого центра сертификации, и будет ли сам Корневой ЦС соблюдать какие-либо стандарты? То, что это является проблемой, можно увидеть на примере Германии, где RegTP (в качестве органа надзора и аккредитации) также отвечает за функционирование Корневого ЦС. К сожалению, Корневой ЦС не соблюдает единых стандартов PKI в полной мере, что приводит к невозможности обеспечить совместимость всех ПСУ, выдающих квалифицированные сертификаты.

Альтернативной, хотя и очень похожей технологией обеспечения доверия посредством единственной точки доверия является концепция Связующего ЦС. Главное отличие по сравнению с Корневым ЦС состоит в том, что пользователь ориентируется на собственный ЦС (и его самоподписанный сертификат) как основу доверия вместо менее известного Корневого ЦС. Каждый из участвующих ЦС затем проводит взаимную сертификацию со Связующим ЦС, и, следовательно, цепочка доверенных сертификатов может быть отстроена от собственного ЦС до любого сертификата конечного объекта через Связующий ЦС.

Сейчас в Европе действуют несколько проектов Связующих ЦС. Европейская комиссия в настоящее время планирует внедрение связующего ЦС в рамках IDA. Этот центр будет обеспечивать связь между государственными органами в Европе. Проект «Европейского связующего ЦС» инициирован Deutsche Bank и Deutsche Telekom, и поддерживается TeleTrusT (http://www.bridge-ca.org/). Хотя идея связующего ЦС выглядит более привлекательно, она на самом деле не удовлетворяет потребность в более подробных сведениях о статусе ЦС. По этой причине в рамках проекта «Корневого ЦС IDA»

планируется создание модифицированного корневого ЦС, который также будет включать Перечни статусов доверия.

Перечень статусов доверия представляет собой список с данными о ЦС и их статусе. В Италии данная технология была разработана правительством (в данном случае, AIPA) довольно давно с целью распространения информации о статусе аккредитации ЦС, и, по нашим наблюдениям, некоторые страны делают то же самое. В связи с этим ETSI в настоящее время разрабатывает стандарт ETSI TS 102 231, обеспечивающий предоставление гармонизированных данных о статусе ЦС. Его можно будет использовать для корневого ЦС IDA.

3.9 Выводы В настоящее время не все страны-члены прямо сформулировали презумпцию соответствия стандартам, включенным в Официальный бюллетень.

Что касается стандартов безопасности, относящихся к квалифицированным электронным подписям в Директиве, то для них существует только один пакет стандартов, разработанный EESSI и основанный на технологии PKI, так как требования Статьи 5. предполагают использование решений на базе сертификатов. Это может создать препятствия для реализации квалифицированных электронных подписей на основе других технологий, и поставить од сомнение использование PKI для других электронных подписей.

Разработка стандартов EESSI и публикация их номеров в Официальном бюллетене потребовали гораздо больше времени, чем ожидалось. Это привело к ситуации, когда некоторые страны либо разработали собственные технические интерпретации Директивы (отсюда различие в требованиях разных стран), либо дожидались появления стандартов (отсюда отсутствие на рынке места для поставщиков продуктов и услуг). Ясности в том, какие стандарты следует применять, не было до самой публикации ссылок на стандарты в Официальном бюллетене в июле 2003 года.

Разработку единых спецификаций алгоритмов и параметров для электронных подписей следовало бы провести намного раньше на европейском уровне, например, через EESSI.

Отсутствие в настоящее время общепризнанных спецификаций приведет к проблемам с совместимостью и с признанием продуктов и услуг за рубежом. Современная ситуация, когда существует несколько национальных спецификаций, чаще всего опубликованных только на национальном языке, также может рассматриваться как рыночный барьер.

Что касается стандартов совместимости, то отсутствие технической совместимости как на национальном, так и на международном уровне является серьезным препятствием для принятия и распространения электронных подписей на рынке. Это привело к появлению множества изолированных «островков» применения электронных подписей, где сертификаты только одного ЦС могут использоваться для одной области применения.

Лишь в немногих случаях сертификаты нескольких ЦС действительно используются во многих сферах применения. На европейском уровне для обеспечения совместимости следовало сделать куда больше:

Хотя EESSI работала над стандартами совместимости, эти стандарты неохотно принимались в ряде стран-членов и тем самым не привлекли к себе необходимого внимания на ранней стадии.

Хотя Комиссия спонсировала ряд проектов по исследованию и разработке, связанных с обеспечением совместимости (pki Challenge, ESTIO, TIE), результаты этих проектов никак не проявились ни на рынке ни, конечно же, в сферах применения электронных подписей.

Разработку, развитие и применение стандартов совместимости сейчас необходимо осуществлять на европейском уровне. Если отдать это дело на откуп отдельным странам, в Европе будет избыток различных стандартов, что не только помешает применению продуктов и услуг за рубежом, но и вынудит национальных производителей ориентироваться на разные требования. Такой сценарий развития событий сведет на нет выполнение производителями европейских стандартов. Мы можем только надеяться на совместимость стандартных продуктов, если общеевропейские требования будут доведены до производителей.

Глава 4. Электронные подписи на практике Целью Главы 4 является проведение анализа информации о практических и коммерческих применениях электронных подписей в различных странах, включенных в исследование.

Исследователи попытались выявить по три значительных области применения электронных подписей в каждой из стран. Оценка практических применений проводилась с упором на коммерческий аспект, используемые технологии и связанные стандарты.

Практические применения также оценивались с точки зрения их соответствия Европейской директиве. Исследователи проверили, отвечают ли практические применения законным требованиям и рекомендациям Директивы, включая соответствие Приложениям (тип сертификата, тип ПСУ, типы устройств для создания и проверки подписей). Одним из вопросов исследования также был узаконенный вид подписи, который, скорее всего, будет использоваться в будущем в данной области применения (электронная подпись, усовершенствованная электронная подпись, квалифицированная электронная подпись).

Результатом исследования является подробный отчет о практическом выполнении Директивы 1999/93 в странах-членах, и юридический статус электронных подписей и связанных с ними услуг в странах ЕЭЗ и странах-кандидатах, а также помещенная в приложение информационная подборка, отражающая коммерческую и техническую ситуацию в национальных сферах применения электронных подписей и их соответствие Директиве 1999/93.

В данном исследовании был сделан акцент на электронные подписи, основанные на сертификатах и технологии PKI, так как это является требованием для квалифицированной электронной подписи. Один из следующих далее разделов посвящен обсуждению альтернативных технологий электронных подписей и аутентификации.

4.1 Рынок товаров и услуг для электронной подписи 4.1.1 Применяемые продукты Сейчас в Европе применяется широкий ассортимент продуктов от различных поставщиков. Для работы ПСУ используются продукты от Baltimore, Entrust, IBM, SmartTrust, RSA и Verisign. Для клиентских и серверных приложений используются либо стандартные продукты от Microsoft, либо специализированные (нередко разработанные на национальном уровне) решения. Продукты, созданные на национальном уровне, используются практически исключительно для квалифицированных электронных подписей, там, где всегда приходится учитывать специальные требования.

4.1.2 Количество ПСУ и объемы выдачи сертификатов В данной таблице приведено количество провайдеров сертификационных услуг в различных странах, а также приблизительное количество выданных сертификатов.

аккредитованных поднадзорных аккредитованных поднадзорных сертификаты аккредитованных поднадзорных аккредитованных поднадзорных сертификаты Можно сделать следующие наблюдения:

Особенно много аккредитованных и контролируемых ПСУ в Германии и в Италии.

Все итальянские и некоторые из немецких ПСУ на самом деле уже работали по законодательству, принятому еще до Директивы. Требования этого законодательства были сравнимыми с обязательной аккредитацией. Говоря точнее, 7 ПСУ (3 физических и 4 виртуальных) были аккредитованы до вступления в силу немецкого закона о подписи и 15 — после. В Германии многие ПСУ являются «виртуальными», а их сервисы основываются на одном из восьми действующих «физических» ПСУ.

Только в Австрии (6), Бельгии (2), Дании (3), Греции (2), Великобритании (3), Венгрии (4), Польше (4) и Словении (4) есть более одного контролируемого и/или аккредитованного центра сертификации.

Контролируемых и/или аккредитованных ПСУ вообще нет только в Португалии, Литве и Швеции.

Хотя в Великобритании три ПСУ прошли аккредитацию по промышленной некоммерческой схеме tScheme, ни один ПСУ пока не выдавал квалифицированных сертификатов.

В Швейцарии правительство в качестве временной меры уполномочило немецкого ПСУ выдавать сертификаты, так как швейцарские ПСУ еще не начали работать.

В Ирландии один ПСУ прошел аккредитацию, хотя официально никакие схемы аккредитации введены не были.

В Болгарии один ПСУ был «зарегистрирован» соответствующим органом; это можно рассматривать как аналог аккредитации.

4.1.3 Объемы выдачи сертификатов 4.1.3.1 Сертификаты, выданные аккредитованными и поднадзорными ПСУ В таблице (см. 4.1.2) приведены примерные объемы выдачи сертификатов в разных странах. Можно сделать следующие наблюдения:

Очень много квалифицированных сертификатов было выдано аккредитованными ПСУ в Италии. Основной сферой применения этих сертификатов является доступ к регистрационным данным компаний (InfoCamera).

В Эстонии большие объемы являются результатом широкомасштабного распространения электронных удостоверений.

В Германии выдано достаточно большое количество квалифицированных сертификатов. Они регулярно применяются в различных сферах «электронного правительства».

В Словении было выдано значительное количество квалифицированных сертификатов, главным образом для целей корпоративного банковского обслуживания и электронного правительства.

Различия между сертификатами аккредитованных и контролируемых ПСУ, как правило, отражают то, что разные правительства содействуют/предписывают пользоваться услугами аккредитованных ПСУ.

4.1.3.2 Прочие сертификаты, выдаваемые гражданам Как можно увидеть из таблицы, гражданам было выдано достаточно большое количество прочих сертификатов, главным образом для электронного правительства (основная область применения — заполнение налоговых деклараций). Тем не менее, многие из них также используются для целей авторизации/аутентификации, а не только для электронных подписей.

4.1.3.3 Прочие сертификаты, выдаваемые по договорам Большое количество сертификатов было выдано в рамках договоров практически во всех странах-членах ЕС, главным образом для электронного банковского обслуживания, а также для внутрифирменного применения. Сообщают о цифрах, варьирующихся в пределах от 100 000 до 2 000 000. Более того, многие из этих сертификатов также использовались для целей аутентификации/авторизации, а не только для электронных подписей.

4.1.3.4 Отзыв сертификатов В тех странах, где выдаются сертификаты, доля отозванных сертификатов обычно составляет около 1%.

4.1.4 Применение смарт-карт Доля смарт-карт варьируется, даже применительно к квалифицированным сертификатам, в пределах от 100% (Германия, Эстония, Норвегия) до 50% (Ирландия, Словения). Для неквалифицированных сертификатов применение смарт-карт колеблется от 80% (в Германии, приблизительная оценка) до менее чем 5% (Дания, Ирландия).

4.1.5 Прочие услуги ПСУ В некоторых странах (Дания, Германия, Нидерланды, Эстония, Венгрия, Болгария) в качестве дополнительной услуги ПСУ предлагается фиксация времени. В Латвии и Болгарии ПСУ, как правило, обязаны предлагать фиксацию времени. К числу услуг, предлагаемых в некоторых странах, можно отнести службы нотариата, валидации и архивирования.

4.1.6 Архивное хранение документов, подписанных электронным способом Одна из причин ограниченного применения электронных подписей в настоящее время состоит в том, что архивное хранение документов, подписанных электронным способом, считается слишком сложным и ненадежным. При обычном установленном законом 30летнем сроке архивного хранения (для правительственных документов — еще больше) многие организации не уверены, можно ли это обеспечить с помощью электронных документов и электронных подписей. Несомненно, потребуется создание добавочных технологий и процедур «миграции» электронных документов и подписей, а также сохранения их в читаемом и проверяемом состоянии в течение столь долгого срока. 4.1.7 Проблемы безопасности В ряде стран сообщалось о некоторых видах проблем, относящихся к безопасности. В Германии были опубликованы лишь подробности о проблемах с защищенными средствами просмотра.

4.2 Области применения Приложение 3 содержит «сводки» по ряду применений электронных подписей на основе сертификатов в Европе в настоящее время. В этом разделе рассказывается о результатах изучения этих сфер применения.

4.2.1 Виды применений В Европе электронные подписи применяются в двух основных сферах: электронные банковские услуги и электронное правительство.

Электронные банковские услуги для физических лиц используются уже в течение нескольких лет во всех странах-членах и в большинстве остальных стран Европы. Эти услуги традиционно в большинстве случаев основывались (и по-прежнему основываются) на применении одноразовых паролей и токенов. Тем не менее, сертификаты используются здесь все чаще. Хотя многие приложения для электронных банковских услуг используют эти технологии только в целях аутентификации (безопасный вход в систему), электронные подписи также все больше применяются для защиты транзакций. В то же самое время, лишь немногие приложения для персонального электронного банковского обслуживания задействуют смарт-карты. С другой стороны, электронные банковские услуги для юридических лиц («бизнес-бизнес») и межбанковские клиринговые операции требуют более высокого уровня защиты и, соответственно, гораздо шире задействуют смарт-карты.

Электронное правительство является быстрорастущей сферой применения электронных подписей в Европе. Многие страны-члены ЕС, а также некоторые из других стран Европы либо уже запустили электронное правительство (Австрия, Дания, Финляндия, Германия, Ирландия, Италия, Швеция, Великобритания, Эстония, Словения, Чешская республика, Польша, Румыния), либо планируют сделать это (Бельгия, Нидерланды, Венгрия). Чаще всего реализации электронного правительства основываются на использовании электронных удостоверений личности.

4.2.2 Виды подписей и сертификатов В электронных банковских услугах используются почти исключительно неквалифицированные сертификаты. Единственное исключение — корпоративные банковские услуги в Словении, где применяются квалифицированные сертификаты.

Дополнительные сведения по этому вопросу см. в: DUMORTIER, J., Rflexions juridiques relatives l’archivage numrique. Rapport Numrisation de l’information et des archives parlementaires, Centre Europen de Recherche et de Documentation Parlementaires, p. 20-31, Tome ler. (Bruxelles-La Haye); DUMORTIER, J& VAN DEN EYNDE, S., ‘Electronic signatures and trusted archival services’, in Proceedings of the DLMForum 2002, Применительно к электронному правительству, сводка по используемым или планируемым видам сертификатов и подписей в некоторых странах Европы приведена в следующей таблице:

4.2.3 Назначение ПСУ В случаях, когда используются электронные банковские услуги и применительно к электронному правительству, между ПСУ и областью применения существует связь типа «один к одному». Это означает, что сертификат, выданный одним ПСУ, может использоваться только в одной конкретной сфере применения. Тем не менее, для электронных правительств в Дании, Германии, Италии, Швеции и Словении отдельные ПСУ выдают сертификаты и, иногда, даже SSCD на основе национальных стандартах, в связи с чем теоретически содействуют совместимости. В других странах, например, в Эстонии, сертификаты для национальных электронных удостоверений личности создают стандарт де-факто и могут применяться во множестве областей, в том числе и для электронного правительства.

4.2.4 Расходы Пользовательские расходы в Европе очень сильно различаются, от «практически бесплатных» неквалифицированных сертификатов для электронного банковского обслуживания до 60 евро в год за квалифицированный сертификат на основе смарт-карты для электронного правительства.

В большинстве стран, по всей видимости, получатели электронных подписей (зависимые стороны) не несут каких-либо расходов. Известные нам исключения:

В Швеции ПСУ, предоставляющие сертификаты для электронного правительства, берут плату за доступ к спискам аннулированных сертификатов, либо за каждую транзакцию, либо в виде ежегодной платы.

В Дании, зависимые стороны в системе сертификатов OCES ежегодно выплачивают от 0,5 до 1 евро за каждого «активного пользователя», независимо от того, как часто получатель пользуется сертификатом.

4.2.5 Идентификация пользователей В электронном банковском обслуживании и в электронном правительстве полное имя и/или псевдоним используются совместно с какой-либо разновидностью уникального идентификатора. Некоторые страны включают в сертификат официальный личный идентификационный номер (Италия, Швеция, Эстония). Другие предпочли другой уникальный номер, который может быть преобразован в настоящий идентификатор провайдером (Финляндия). Австрия сейчас вводит нечто наподобие «атрибутивного сертификата», содержащего официальный идентификационный номер; держатель может сам решать, когда он хочет его раскрывать.

4.2.6 Программное и аппаратное обеспечение пользователя Почти все приложения для электронной подписи (за исключением защищенной электронной почты) требуют для создания подписей наличия какого-либо прикладного ПО, так как это пока не входит в список стандартных функций. ПО для подписи чаще всего предоставляется ПСУ или поставщиком приложений.

При использовании смарт-карты или SSCD также требуется кард-ридер в сочетании с драйверным ПО для карты и кард-ридера. Это оборудование либо предоставляется ПСУ, выдающим SSCD, либо доступно на рынке.

4.3 Проблемы, обнаруженные в PKI Учитывая медленное усвоение электронных подписей европейским рынком, возможно, стоит поразмышлять о том, имеет ли это отношение к электронным подписям самим по себе, или же это связано с использованием PKI? За последние несколько лет было издано несколько статей, где описывались риски и проблемы, обнаруженные при использовании PKI. Авторы задавались вопросом, почему от использования PKI все-таки не отказались.

В июле 2003 года в Le Monde была опубликована статья, объясняющая задержки с вводом в действие электронных подписей тем, что отрасли мешают запутанные требования PKI.

Технологии придется основываться на распространении сертификатов на основе электронных идентификационных карт.

В 2000 году Карл Эллисон и Брюс Шнейер написали статью под названием «Десять угроз PKI».53 Ниже приведены риски, относящиеся к электронным подписям:

Кому и почему мы доверяем?

Кто пользуется моим ключом?

Насколько хорошо защищен компьютер, проводящий проверку?

Который из этих Джонов Робинсонов на самом деле он?

Является ли ЦС органом управления?

Как ЦС идентифицировал держателя сертификата?

Все эти вопросы так или иначе решаются ужесточением требований к квалифицированным сертификатам и к защищенным устройствам для создания подписей.

Тем не менее, сложность их решения становится непостижимой для среднестатистического пользователя.

Питер Гатманн в своей статье «PKI: Не умерла, но отдыхает» приводит несколько причин, из числа которых следующие относятся к электронным подписям: Вопрос наименования (также упомянут в предыдущей статье): хотя сертификат включает имя, в реальности определить, кто за этим именем стоит, не сможет никто, кроме издателя сертификата. В большинстве случаев это означает, что сертификат может быть использован в той же организации, что выдала его (примеры: электронное банковское обслуживание с использованием номера клиента; электронное правительство, использующее личный номер гражданина, который в общем не должен использоваться из соображений личной тайны).

Проблема отзыва сертификата: Хотя отзыв сертификата и списки отозванных сертификатов представляют собой красивую теоретическую модель, в реальности от них бывают проблемы. Пользователи могут забывать или испытывать сложности с отзывом своих сертификатов, а у зависимых сторон могут возникнуть проблемы с доступом к спискам отозванных сертификатов. Все это ведет к неопределенности в отношении возможности для пользователя впоследствии отказаться от подписи. Еще одна проблема, связанная с отзывом, состоит в том, что на самом деле для безопасного принятия электронной подписи всегда требуется фиксация времени. Однако фиксация времени добавляет еще один уровень сложности в использовании электронных сертификатов.

Два связанных между собой вопроса, которые привели к проблемам и с реализацией, и с применением электронных подписей в прошлых проектах PKI, касаются отсутствия некоего «защищенного компонента вывода», который мог бы с высоким уровнем надежности показывать пользователю подписываемые и проверяемые данные (в отличие от стандартной среды PC). Еще один вопрос состоит в сложности разработки и ведения хранилищ сертификатов (например, каталогов) в больших инфраструктурах, которые охватывают множество пользователей.

http://www.counterpane.com/pki-risks.pdf http://www.cs.auckland.ac.nz/~pgut001/pubs/notdead.pdf 4.4 Альтернативы PKI Очень интересно отметить, что во всех странах для аутентификации и электронной подписи также используются и другие технологии, и, чаще всего, в больших масштабах, чем PKI. Альтернативными технологиями являются пароли/PIN и различные виды генераторов одноразовых паролей, таких как СОЗУ и парольные токены. Конечно, эти технологии не могут применяться для квалифицированных электронных подписей (5.1), поскольку подобные подписи требуют технологии, основанной на сертификатах, однако их конечно же можно применять для обычных электронных подписей (5.2), имеющих юридическую силу, а также для аутентификации доступа. Такие технологии по большей части используются в электронных банковских услугах, однако есть практические примеры использования разовых паролей в электронном правительстве, например, в Бельгии и Швеции.

Одной из главных причин столь широкого распространения этих технологий является то, что «устройство для электронной подписи» зачастую предоставляется провайдером, который мало заинтересован в том, чтобы это же устройство использовалось в других сервисах. Поэтому различные технологии для разовых паролей доминируют на рынке и в обозримом будущем ситуация вряд ли изменится.

Тем не менее, отрицательной стороной этих технологий является то, что один генератор паролей может использоваться только одним провайдером. Пользователю, осуществляющему доступ к различным сервисам, понадобится по генератору разовых паролей для каждого сервиса. В PKI он может использовать один-единственный сертификат/секретный ключ при создании электронных подписей для множества провайдеров услуг. Поэтому большинство экспертов сходятся на том, что в долговременной перспективе реальных альтернатив PKI нет.

4.5 Развитие новых технологий Существуют ли новые технологические достижения, которые изменят современную «стандартную модель» электронной подписи на основе смарт-карт, сертификатов X.509 и PKI? Чтобы сформулировать соответствующую европейскую стратегию регулирования в этой сфере, совершенно необходимо принять эти достижения во внимание.

Если мы ограничим обсуждение PKI, то смарт-карта в настоящее время представляется самым очевидным «устройством для создания подписи», в особенности для квалифицированных электронных подписей, где смарт-карта является SSCD. Тем не менее, существуют разработки, которые, со всей вероятностью, превратят смарт-карту размером с кредитку лишь в одну из нескольких возможностей безопасного хранения секретного ключа.

В мобильные телефоны встроена смарт-карта (SIM), способная хранить секретный ключ и безопасным путем создавать электронные подписи. Некоторые отраслевые альянсы работают в этой области (Radicchio, Open Mobile Alliance и т.д.), а пилотные проекты ведутся мобильными операторами почти в каждой стране.

КПК, которые все чаще и чаще используются как для личных, так и для коммерческих целей, также могут быть использованы в качестве устройств для создания подписей.

Как и смарт-карты, КПК могут обеспечить безопасное хранение криптографических ключей. Более того, пользователь сможет держать КПК «в своем исключительном распоряжении». Ряд интересных исследований в этой области был сделан только в последнее время (например «КПК может стать лучше, чем смарт-карта»55).

Что касается «стандартной компьютерной платформы», некоторые производители в сотрудничестве друг с другом пытаются создать более безопасную среду для приложений в рамках Trusted Computing Group (TCG).56 В качестве примера, Защищенная вычислительная база нового поколения (NGSCB) от Microsoft представляет собой новую технологию безопасности, которая будет встроена в будущую версию операционной системы Windows и будет использовать защищенное аппаратное устройство в качестве компонента защиты. Хотя подробное описание этой архитектуры пока не было опубликовано, данная система, скорее всего, будет способна надежно защитить секретный ключ и криптографические операции на персональном компьютере пользователя. Концепция централизованного «подписывающего сервера» используется некоторыми разработчиками при создании простых в применении решений в области электронной подписи. Все эти разработки по-прежнему отдают создание электронных подписей на откуп основанным на сертификатах PKI. Тем не менее, можно с уверенностью утверждать, что в ближайшем будущем мы увидим немало «устройств для создания подписей», отличных от смарт-карт.

Сертификат X.509 сам по себе является краеугольным камнем в современных решениях для электронной подписи на основе PKI, где он используется для распространения информации об открытом ключе. Тем не менее, существуют и альтернативы сертификату X.509. Одна из наиболее известных — это PGP (Pretty Good Privacy), широко используемая в замкнутых группах пользователей. Еще одной важной с точки зрения будущего применения технологией является XML-спецификация управления ключами, предложенная Microsoft и Verisign. Что касается технологий, альтернативных PKI (т.е. как технологии секретных/открытых ключей) в целом, то ситуация здесь более неопределенная. Хотя некоторые производители отстаивают возможность использования подписей, основанных на «динамике почерка», эта сфера находится на ранней стадии развития и основывается на технологиях отдельных производителей, без отраслевых стандартов.

4.6 Выводы Хотя электронные банковские услуги (для юридических и физических лиц) и не входят в область регулирования Директивы, они в настоящее время остаются основной областью применения электронных подписей в Европе.

Hand held computers can be better Smart Cards. http://www.cs.princeton.edu/sup/pub/pilotkey.php http://www.trustedcomputing.org/home; эти инициативы также подвергаются жесткой критике, см.

например: http://www.againsttcpa.com/ Дополнительные сведения о NGSCB: http://www.microsoft.com/resources/ngscb/default.mspx; Комментарии к этой и другим подобным инициативам: http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html Один из примеров таких решений — «Cryptomathic Signer»

(http://www.cryptomatic.com/products/signer_index.html). Эта технология позволила Информационному центру сберегательных банков Дании (SDC) предложить своим клиентам решение для мобильных банковских услуг на дому, основанное на мобильных цифровых подписях.

http://www.xmltrustcenter.org/xkms/index.htm За короткое время (3-5 лет) электронное правительство станет доминирующей сферой применения электронных подписей, подпадающей под действие Директивы.

Относительно электронного правительства можно сделать следующие выводы:

Большинство стран использует или планирует использовать квалифицированные электронные подписи Некоторые страны применяют другие типы электронных подписей, например, на основе паролей или токенов (Австрия, Бельгия, Дания, Швеция, Ирландия, Великобритания).

Некоторые страны приняли специальные законы или правила, действующие в отдельных областях применения и создающие правовую основу.

Потребуется еще немало времени, чтобы прийти к ситуации «множество ПСУ – множество сервисов в разных сферах применения». Большинство услуг в областях применения основаны на сертификатах одного конкретного ПСУ. Эти сертификаты предоставляются провайдером только для этих узких целей, даже в электронном правительстве.

Тем не менее, не следует недооценивать возможную роль создания инфраструктуры на основе небольшого количества реальных применений (например, электронного правительства) в сочетании с возможностью других сторон пользоваться этой инфраструктурой. Принимая во внимание правила конкуренции, инвестиции, сделанные на ранней стадии развития такой инфраструктуры, могут принести дивиденды всем игрокам.

Многие провайдеры приложений также предпочитают внедрить для своих клиентов технологию разовых паролей электронных подписей вместо PKI, так как они не хотели бы, чтобы потребители использовали их устройство для создания электронных подписей с другими провайдерами приложений.

Несмотря на присущую PKI сложность, действующая бизнес-модель, возможно, является важнейшей причиной того, почему от PKI в целом и от электронных подписей в частности так и не отказались. Пользователи не видят в получении сертификата большой пользы. С другой стороны, от провайдеров приложений (для которых использование сертификатов и электронных подписей означает новые возможности для бизнеса и экономию за счет рационализации) зачастую не требуют никакой платы за пользование сертификатами в целях аутентификации.

Отсутствие единого «ПО для электронной подписи» также ведет к невысоким темпам принятия электронных подписей рынком и пользователями. Кроме того, SSCD, используемые в настоящее время, несовместимы друг с другом: каждый вид SSCD требует установки ПО, зависящего от типа карты. Это может стать препятствием для неопытных пользователей.

С распространением во многих странах электронных удостоверений личности появляется общая потребность в электронной идентификации граждан с одновременным удовлетворением потребностей в защите данных. Разные решения этой общей проблемы в разных странах неизбежно приведут к проблемам с совместимостью при использовании приложений электронного правительства за рубежом.

В сфере электронных подписей на основе PKI мы планируем появление множества новых продуктов, основанных на технических достижениях, в том числе мобильные подписи, NGSCB от Microsoft и серверы подписей. Поэтому очень важно, чтобы органы надзора, назначенные организации и прочие участники процесса регулирования применения квалифицированных электронных подписей без предубеждения отнеслись к этим новым технологиям, не ограничивая оценку безопасности тем, что известно и доступно на настоящий момент.

Глава 5. Выводы и рекомендации Анализ действующего национального законодательства, сложившейся практики, прецедентного права и действий на рынке, проведенный в предшествующих главах, позволяет нам сделать некоторые общие выводы и привести рекомендации. Наша первая рекомендация — не вносить изменений в Директиву. Подобные изменения должны рассматриваться только как крайняя мера, которая используется, только когда все другие меры признаны недостаточными. Внесение поправок в Директиву — длительный и трудоемкий процесс, которого следует по возможности избежать. Как и все Европейские Директивы, Директива об электронных подписях вне всяких сомнений является прекрасным нормативным актом. Это компромисс, достигнутый в ходе продолжительных и сложных переговоров между 15 государствами-членами ЕС, имевшими очень разные точки зрения на данный вопрос. Вопрос в том, достаточно ли адекватен текст Директивы, чтобы выполнять свое предназначение в обозримом будущем.

5.1 Введение Директива ЕС привела к принятию национальных основ регулирования в сфере электронной подписи во всех обследованных странах, за исключением одной. Между этими основами существуют существенные различия, что делает окончательную картину очень запутанной.

Главной целью Директивы было создать в Сообществе основу для применения электронных подписей, обеспечивающую беспрепятственную циркуляцию товаров и услуг независимо от национальных границ, а также юридическое признание электронных подписей на всей территории ЕС. Ясно, что эта цель не была достигнута. Однако причиной этого, возможно, является не Директива сама по себе, а, главным образом, медленное проникновение на рынок самой технологии PKI. Тем не менее, расхождения в реализации Директивы в странах-членах дополнительно привели к неопределенности в применении электронных подписей. Некоторые положения Директивы, видимо, были отчасти неправильно поняты, а страны-члены, транспонируя Директиву в национальное законодательство, не всегда сосредоточивались на европейском измерении новой основы регулирования. Поэтому у нас сложилось представление, что существует насущная необходимость в последовательной, ясной и реальной повторной интерпретации положений Директивы.

На наш взгляд, Комиссии следует начать с исследования путей поддержки интерпретации Директивы, ориентированной на Сообщество. Конечно, последнее слово в том, что касается правильности толкования законов ЕС, остается за Европейским Судом. Тем не менее, Комиссия вправе издать не имеющий обязательной силы документа, способный существенно повлиять на ход дискуссии об электронной подписи в Европе. Издание такого документа можно дополнить рядом практических мер, реализуемых в короткие сроки. Эти меры могут быть сосредоточены на улучшении совместимости решений, процедур, схем и приложений, совершенствованием национальных решений в сфере надзора за провайдерами сертификационных услуг, координацией систем добровольной аккредитации и схем оценки соответствия защищенных устройств для создания подписей, на организации информационного обмена между приложениями и системами в государственном секторе, связанными с электронной подписью, и т.д.

Хотя это исследование не затрагивает правовое поле в США, Канаде, Японии и Австралии, имеет смысл перед принятием европейских рекомендаций посмотреть, что происходит в других частях мира. Также придется принять во внимание рыночные стратегии важнейших игроков рынка по отношению к электронным подписям и Интернетстандартизации, чтобы получить ясное представление о будущей ситуации в Европе.

5.2 Цели Директивы Издав Директиву ЕС по электронным подписям № 1999/93/EC от 13 декабря 1999 года, Европейский парламент и Совет стремились достичь ряда целей. Эти цели прямо указаны в декларативной части Директивы:

Создание в Сообществе ясной правовой базы в отношении условий, применяемых к электронным подписям, укрепляя тем самым доверие к ним и способствуя их общему принятию (Декларация факта 4);

Предотвращать расхождения в правилах, относящихся к юридическому признанию электронных подписей и к условиям предоставления услуг сертификации (Декларация факта 4);

Устранять препятствия свободному обращению продуктов и услуг на внутреннем рынке в законодательстве стран-членов (Декларация 4).

Способствовать совместимости продуктов для электронной подписи и обеспечивать выполнение важнейших специальных требований к продуктам для электронной подписи с целью гарантировать свободу движения на внутреннем рынке и обеспечить доверие к электронным подписям (Декларация факта 5);

Открыто подходить к различным технологиям и сервисам, обеспечивающим электронную аутентификацию данных (Декларация факта 8);

Соблюдать равновесие между потребностями потребителей и бизнеса (Декларация факта 14);

Упрочивать доверие пользователей к электронным средствам связи и электронной коммерции (Декларация факта 24).

Эти цели мы можем разделить на три группы: 1) стимулирование внутреннего рынка, 2) содействие юридическому признанию электронных подписей и 3) создание в этой области благоприятного климата для потребителей и бизнеса. Основываясь на результатах предыдущих глав, мы сделаем общие выводы по каждому из этих уровней и сформулируем конкретные рекомендации на ближайшее будущее.

5.3 Стимулирование внутреннего рынка Что касается внутреннего рынка, цели европейского законодательства содержатся в Декларациях факта (5) и (10) Директивы. Декларация факта (5) относится к продуктам для электронной подписи, в Декларации (10) говорится о (сертификационных) услугах.

5.3.1 Сертификационные услуги В отношении услуг Декларация факта (10) достаточно ясно излагает то видение, которое легло в основу положений Директивы:

«Внутренний рынок позволяет провайдерам сертификационных услуг вести свою деятельность на территории других стран в целях повышения собственной конкурентоспособности, тем самым предлагая потребителям и бизнесу новые возможности безопасного обмена информацией и электронной торговли, независимо от границ; чтобы содействовать предоставлению сертификационных услуг в открытых сетях по всей территории Сообщества, провайдеры сертификационных услуг должны свободно предоставлять свои услуги без предварительного разрешения; под предварительным разрешением понимается не только разрешение, которое данный провайдер сертификационных услуг должен получить по решению национальных органов, чтобы иметь возможность предоставлять свои услуги в области сертификации, но также и любые другие меры, ведущие к аналогичным последствиям».

В Декларации факта прямо говорится о предоставлении сертификационных услуг за границей. Это неудивительно, учитывая тот факт, что к моменту принятия Директивы отдельные страны-члены уже представили законы, ставящие предоставление сертификационных услуг в зависимость от предварительного разрешения национальных органов. Законодательство этих стран-членов действительно не исключало предоставление услуг со стороны ПСУ, учрежденных в других странах-членах. С другой стороны, таки ПСУ требовалась лицензия из страны ЕС или ЕЭЗ, и условия получения такой лицензии должны были быть равными. Не дать странам-членам создавать или поддерживать работу схем лицензирования или подобных барьеров для провайдеров услуг в этой сфере прямо связано с целями Директивы на внутреннем рынке. Если бы каждая страна-член поставила предоставление сертификационных услуг в зависимость от предварительного разрешения органов этой страны-члена, провайдерам услуг было бы невозможно или очень затруднительно развивать сертификационные услуги на европейском уровне.

В нашем обзоре европейского законодательства мы выяснили, что в настоящее время ни одна из стран-членов61 не связывает предоставление сертификационных услуг провайдерами из других стран-членов с каким-либо видом предварительного разрешения.

Теоретически ПСУ, учрежденный в одной стране-члене, имеет все возможности предоставлять сертификационные услуги в другой стране-члене без необходимости запрашивать предварительное разрешение в уполномоченных национальных органах этой страны-члена.62 До принятия и транспонирования Директивы это было невозможно сделать нигде в Европе. Этот позитивный результат, связанный непосредственно с Директивой, зачастую упускают из виду. В этой связи, одна из важнейших целей Директивы на рынке была достигнута.

Прежний немецкий «Signaturgesetz» от 1 августа 1997 года, §15, определяет следующее: «Цифровые подписи, которые можно проверить открытым ключом подписи в другом стране-члене Европейского союза или в стране, являющейся стороной в Договоре об образовании Европейской экономической зоны, должны считаться эквивалентными цифровым подписям, регулируемым настоящим Законом, пока они демонстрируют тот же уровень защиты»; Статья 8 Указа президента в Италии № 513 от 10 ноября 1997 года была сформулирована так: «Процесс сертификации, описанный в Статье 1, может также проводиться центром сертификации, лицензия или разрешение которому были выданы другой страной-членом Европейского союза или Европейской экономической зоны с учетом равносильных требований».

Во вступающих странах и странах-кандидатов ситуация иная. Однако, к примеру, Раздел 17.2 Закона об электронных подписях в Словакии, принятого в марте 2002 года (см. http://www.e-podpis.sk/laws_en.html) включает следующую формулировку: «Со дня вступления Словакии в Европейский союз любой сертификат с возможностью проверки подлинности на территории Словакии, изданный поставщиком, осуществляющим коммерческую деятельность в стране-члене Сообщества, является эквивалентным сертификату, выданному в Словакии».

За исключением государственных органов стран-членов, где не учреждены ПСУ; см. ниже наши комментарии по системам надзора в странах-членах.

5.3.2 Надзор за ПСУ Немало было написано о том, что в различных странах-членах были созданы системы надзора, очень близкие к предварительному разрешению, и это было подтверждено в ходе данного исследования. Тем не менее, формулировка Статьи 3.1 совершенно ясна. Запрет предоставлять сертификационные услуги (квалифицированные, аккредитованные или другие) без предварительного разрешения или принятие иных мер, ведущих к тем же последствиям, строго запрещены Директивой. Там, где созданные страной-членом процедуры уведомления или регистрации ведут к последствиям, аналогичным предварительному разрешению ПСУ предоставлять свои услуги, Европейская комиссия имеет возможность предпринимать меры в отношении страны-члена как нарушителя положений Директивы.

К счастью, надзор за сертификационными услугами со стороны органов стран-членов затрагивает только провайдеров, учрежденных на их собственной территории. Можно было ожидать, что страны-члены постараются сделать режим надзора за провайдерами на своей территории по возможности ограниченным и гибким, чтобы не снижать конкурентоспособность «своих» провайдеров по сравнению с провайдерами, учрежденными в других местах.

Однако, лишь за немногими исключениями, страны-члены и другие страны, затронутые данным исследованием, использовали совершенно иную стратегию. В нашем обзоре мы обнаружили, что некоторые из национальных систем надзора иногда тяжело обременяют местных провайдеров сертификационных услуг, пока они не получают возможность предоставлять квалифицированные услуги. Очевидно, страны-члены до сих пор убеждены, что большая часть квалифицированных сертификатов, выданных гражданам на их собственной территории, будет предоставляться ПСУ, учрежденными там же. Еще одна возможная причина состоит в том, что некоторые страны-члены используют системы надзора для повышения уровня безопасности ПСУ на своей территории с целью повысить их качество и, тем самым, конкурентоспособность на европейском и мировом рынке.

Наконец, Статья 3.3 Директивы прямо требует создания соответствующей системы, обеспечивающей надзор за провайдерами сертификационных услуг. Декларация факта (13) разъясняет, что целью надзора является контроль за тем, чтобы учрежденный ПСУ, выдающий гражданам квалифицированные сертификаты, предоставлял эту услугу в соответствии с требованиями Директивы. Требования перечислены в Приложении II.

Страны-члены решили, и это можно понять, что надзор за соблюдением этих сложных технических требований обязательно предполагает близкий и доскональный контроль над ПСУ и тем, как они работают.

Согласно Директиве в любом случае, если они не допускают предварительного разрешения, страны-члены могут самостоятельно организовывать надзор над ПСУ, созданными на своей территории. В Декларации факта (13) указывается: «Страны-члены могут сами решать, как они обеспечат надзор за соблюдением положений, изложенных в настоящей Директиве». Наличие во всех странах-членах одинаковых или гармонизованных схем надзора явно не входило в цели Директивы.

В той же Декларации факта говорится следующее: «настоящая Директива не препятствует созданию систем надзора в частном секторе». Большинство систем надзора создавались под патронажем государственных органов, однако в некоторых странах орган надзора фактически является частной компанией, которая должна быть аккредитована независимым государственным органом для того, чтобы вести надзор за ПСУ. Пока еще слишком рано для того, чтобы пытаться провести оценку подобных схем надзора в частном секторе.

Наше исследование показало, что в большинстве стран были учреждены лишь несколько ПСУ (если вообще учреждались), на самом деле выдающие сертификаты. Большинство схем надзора все еще находятся на очень ранней стадии развития. Поэтому сравнивать практические результаты их деятельности пока затруднительно. Так или иначе очевидно наличие очень серьезных расхождений схем надзора в разных странах-членах. Условия входа на рынок квалифицированных сертификационных услуг также существенно различаются в зависимости от страны. Пока влияние этих расхождений остается ограниченным, так как большинство ПСУ продолжают работать исключительно в своих родных странах. Но ситуация изменится, как только европейские и неевропейские провайдеры начнут предоставлять зарубежные сертификационные услуги на территории Евросоюза.

Рекомендации:

Похоже, что обследованные страны Европы испытывают трудности с соблюдением равновесия между «необходимым надзором» за провайдерами сертификационных услуг и запретом вести деятельность без предварительного разрешения. Несомненно, было бы полезно опубликовать руководящие указания по организации надзора, отвечающего положениям Директивы.

Европейская комиссия может рассмотреть вопрос о принятии мер против странчленов, создавших схемы надзора за ПСУ с последствиями, аналогичными предварительному разрешению.

Опубликованные Европейской комиссией указания также могли бы помочь в решении ряда юридических вопросов в этой области. Один из сложнейших вопросов — это определение того, что применительно к ПСУ на практике означает «быть учрежденным на территории» (например, издатель сертификатов учрежден в одной стране-члене, но сотрудничает с центрами сертификации, провайдерами услуг каталога и т.д. в других странах-членах — кто же будет отвечать за надзор?).

Не все страны-члены создали системы соответствующего надзора за ПСУ, выдающими сертификаты гражданам. Комиссия может рассмотреть вопрос о принятии мер в отношении этих стран-членов, поскольку такая ситуация дает ПСУ, учрежденным в одной стране-члене, возможность выдавать квалифицированные сертификаты гражданам других стран-членов, не подвергаясь при этом надлежащему контролю.

В идеале требуется гармонизовать системы надзора в странах-членах, хотя бы до определенных пределов. Мы полагаем, что требуется поддержка действий в этом направлении. Комиссии следует, на наш взгляд, препятствовать осуществлению надзора в отношении ПСУ, не выдающих квалифицированные сертификаты гражданам.

Поскольку EESSI уже опубликовала в этой сфере ряд ценных документов, мы рекомендуем содействовать применению этих спецификаций в деятельности органов надзора. Однако, на наш взгляд, необходимо пристальное наблюдение за использованием данных спецификаций органами надзора. Документы в сфере стандартизации описывают возможные пути выполнения требований Директивы, но не должны считаться обязательными для ПСУ, выдающих гражданам квалифицированные сертификаты. Если ПСУ считает, что выполняет требования Приложений, он должен без помех предоставлять квалифицированные сертификаты, не запрашивая предварительное разрешение.

5.3.3 Добровольная аккредитация В Декларации факта (11) Директивы определено: «системы добровольной аккредитации, нацеленные на повышенный уровень предоставления услуг, могут предлагать провайдерам сертификационных услуг соответствующую основу для развития их услуг в направлении уровней доверия, безопасности и качества, требуемых развивающимся рынком; такие схемы должны способствовать выработке лучших методов среди провайдеров сертификационных услуг; провайдеры сертификационных услуг не должны испытывать каких-либо ограничений в своем стремлении придерживаться таких систем аккредитации и получать пользу от них». Тем самым, Статья 3.2 Директивы указывает, что страны-члены могут поддерживать работу или даже вводить в действие схемы добровольной аккредитации, нацеленные на повышенный уровень предоставления сертификационных услуг.

Европейские законодатели правильно посчитали, что схемы добровольной аккредитации могут оказать благотворное влияние на развитие рынка. Они способны предоставить провайдерам сертификационных услуг, работающим в Европе, возможность продемонстрировать свой уровень надежности и безопасности. Схемы аккредитации могут оценить адекватность уровня безопасности конкретной сертификационной услуги для использования в конкретном контексте или сфере применения. Например, специализированные системы аккредитации могут заверить пригодность конкретной сертификационной услуги для сферы здравоохранения.

В Декларации факта (11) также говорится о развитии этой сферы рынка. С разработкой и выводом на рынок новых решений схемы аккредитации помогут провайдерам завоевать доверие пользователей. Схемы аккредитации главным образом должны создаваться и поддерживаться для пользы самих провайдеров. Они должны способствовать развитию передового опыта и соответствовать современному состоянию технологий в отдельном секторе рынка. Конечно, создание таких систем аккредитации требует значительных ресурсов, главным образом интеллектуальных.

Следовательно, создание национальной системы аккредитации в каждой стране-члене никогда не было целью Директивы. Абсолютно неправильно считать, что схемы добровольной аккредитации являются средством контроля за соблюдением провайдерами сертификационных услуг положений Директивы. Наше исследование показало, что, к сожалению, многие страны Европы смешивают надзор за ПСУ, выдающими квалифицированные сертификаты, с добровольной аккредитацией. Мы также обнаружили, что в большинстве европейских стран аккредитация на практике оказывается не совсем добровольной, например, из-за того, что становится обязательным условием участия в национальных программах электронного правительства.

Такое развитие событий, естественно, не соответствует видению Директивы. Положение, относящееся к системам добровольной аккредитации, главным образом было предназначено для того, чтобы предотвратить неправильную интерпретацию странамичленами запрета на предварительное разрешение. Этот запрет не следует понимать как противоречащий существующим или будущим системам добровольной аккредитации.

Напротив, Директива стимулирует создание таких схем, при условии, что условия, относящиеся к ним, являются объективными, прозрачными, соразмерными и не члены не должны запрещать деятельность провайдеров сертификационных услуг вне добровольных схем аккредитации; следует обеспечить, чтобы такие схемы не уменьшали конкуренцию в области сертификационных услуг».

Рекомендации:

Следует принять меры по разъяснению позиции европейских законодателей в отношении схем добровольной аккредитации ПСУ. На наш взгляд, необходимо содействовать аккредитации схем за границей и их диверсификации.

С другой стороны, Комиссии следует по мере возможности препятствовать созданию национальных схем аккредитации для провайдеров сертификационных услуг, выдающих гражданам квалифицированные сертификаты. Системы аккредитации должны концентрироваться на оценке передового уровня и достижении надлежащего уровня безопасности, а не считаться инструментами контроля за соблюдением Директивы или положений национального законодательства.

Учитывая нехватку высококлассных специалистов в сфере информационной безопасности и относительно небольшое количество ПСУ, Комиссии следует содействовать объединению усилий на уровне Сообщества. Возможная цель — создание ограниченного числа высококачественных европейских систем аккредитации, предпочтительно концентрирующихся или специализирующихся на отдельных категориях сертификационных услуг или областях применения.

5.3.4 Оценка соответствия SSCD Декларация факта (5) Директивы констатирует: «В отношении продуктов для электронной подписи необходимо выполнить ряд существенных требований, обеспечивающих свободное движение по внутреннему рынку, а также доверие к электронным подписям».

Вопреки общему характеру этой фразы, Директива содержит лишь требования к защищенным устройствам для создания подписей, которые необходимы для генерации квалифицированных электронных подписей, так, как они понимаются в Статье 5.1.

Декларация факта (15) подтверждает, что «Приложение III включает требования к защищенным устройствам для создания подписи с целью обеспечить функциональность квалифицированных электронных подписей; оно не охватывает всю системную среду, в которой функционируют эти устройства». Та же самая Декларация факта снова возвращается к внутренним рыночным целям Директивы: «функционирование внутреннего рынка требует, чтобы Комиссия и страны-члены действовали без промедлений с целью обеспечить назначение органов, отвечающих за оценку соответствия; чтобы отвечать требованиям рынка, оценка соответствия должна быть своевременной и эффективной».

Стоит отметить, что Директива не содержит требований к продуктам для электронной подписи как таковым. Требования Приложения III применимы только в отношении защищенных устройств для создания подписей или, другими словами, устройств, использующихся для создания квалифицированных электронных подписей. Одна из целей — обеспечить легкое распознание пользователями защищенных устройств для создания подписей. Используя такое устройство, пользователь должен быть уверенным в том, что безопасность этого устройства признана не только у него на родине, но и в других странах-членах. Если пользователь создает защищенную электронную подпись на основе квалифицированного сертификата при помощи устройства, маркированного как SSCD, он должен быть уверенным в том, что такая подпись будет считаться юридическим эквивалентом собственноручной подписи на всей территории ЕС. В нашем понимании, Директива предполагает, что либо производитель наносит такую маркировку на устройство под свою ответственность, либо данная метка является результатом оценки соответствия, проведенной назначенным органом. В последнем случае назначенный орган должен отвечать критериям независимости и профессионализма, определенным Европейской Комиссией.

Чтобы избежать расхождений в определении назначенными органами соответствия устройств для создания подписей, а также дать указания производителям, желающим представить SSCD на рынке, Директива сделала явный акцент на потребности в официально признанных стандартах. По этой причине Статья 3.5 предоставила Европейской Комиссии устанавливать и публиковать регистрационные номера общепризнанных стандартов. Производители устройств для создания подписи могут быть уверены в том, что их устройства будут считаться SSCD во всех странах-членах ЕС, при условии, что они «отвечают этим стандартам».

Конечно, всю эту систему необходимо было очень быстро осуществить. Поэтому уже в ноябре 2000 года Европейская комиссия опубликовала Решение 2000/709/EC «О минимальных критериях, которые должны приниматься во внимание государствамичленами при назначении органов, проводящих оценку соответствия». В Германии и Австрии органы оценки соответствия начали свою работу очень быстро. Конечно же, европейские законодатели не собирались добиваться введения органов оценки соответствия в каждой стране-члене.

Многие страны, похоже, весьма неохотно назначают собственные уполномоченные органы для оценки соответствия SSCD. Возможно, это связано с очень высокими требованиями к безопасности SSCD и, как следствие, отсутствием активных производителей в большинстве стран. Еще одной причиной являются большие затраты ресурсов на деятельность органов, проводящих оценку соответствия. Поэтому все страны, прямо или косвенно — но очень разумно — признают результаты оценки, проведенной соответствующими органами в других странах-членах.

Необходимый уровень компетентности сотрудников и расходы на содержание оценочных лабораторий таковы, что не всякая страна сможет позволить себе услуги такой лаборатории на национальном уровне. Предоставление этих услуг на европейском уровне сетью лабораторий с взаимным признанием методологии и критериев едва ли может быть связано с существенными ограничениями. Более того, такая сеть может включать и национальные лаборатории на условиях взаимного признания.

В настоящее время основной проблемой в данной области является продолжительный и затратный характер процедур оценки соответствия. Даже для опытного производителя SSCD процесс тестирования и оценки соответствующего продукта назначенными органами может занять до одного года. Больше всего времени уходит на подготовку производителем документации, во всех подробностях описывающей направляемый на экспертизу продукт. После этого ответственный орган должен проанализировать эти документы, а также протестировать продукт на соответствие предоставленной производителем документации. Похоже, этот процесс требует множества изменений, пока производитель не сможет решить проблемы, которые могут быть обнаружены в ходе тестирования. Поскольку на решение всех этих задач требуется очень много времени как на уровне производителя, так и на уровне оценочного органа, процесс в целом становится очень затратным.63 Его можно лишь незначительно сократить, используя компоненты, уже прошедшие оценку ранее, например, криптопроцессоры.

Рекомендации:

Отчасти из-за того, что Директива устанавливает очень высокие требования к SSCD, эти устройства редко попадают на рынок. Чтобы стимулировать производство защищенных устройств для создания подписей в будущем, требования в области официальной оценки следует сделать более гибкими.

Процедуры получения декларации следует сократить и удешевить. Европейская комиссия должна поддерживать любые действия в этом направлении.

Комиссия должна вести руководящую и координирующую работу в отношении правил для назначенных организаций, проводящих оценку соответствия. Решение Комиссии (2000 год) о минимальных критериях при назначении органов оценки соответствия — это важный первый шаг, но действия в этом направлении следует продолжать. В идеале необходимо следить за независимостью, прозрачностью и недискриминационным характером оценочной процедуры.

Участники этого исследования придерживаются мнения о необходимости всячески разрушать заблуждение о том, что каждое SSCD должно направляться в уполномоченные органы на продолжительную экспертизу соответствия по Общим критериям. Вместо этого нужно поощрять проведение упрощенных процедур оценки на основе 50-100 страниц документации, требующих 10-20 дней проверки.

С целью не допустить самооценки, независимая сторона должна иметь возможность анализировать претензии к безопасности (в том, что касается Приложения III), предъявленные провайдером, и, до определенных пределов, проверять их соответствие текущему положению дел. Комиссии следует исследовать, как она сможет обеспечить выполнение обязательства представлять защищенные устройства создания подписей органам, ответственным за оценку соответствия, которые в настоящее время существуют во многих государствахчленах. Осуждение слишком строгой оценки соответствия может расширить ассортимент продуктов и, в то же время, защитить потребителей.

5.3.5 Электронное правительство Статья 3.7 Директивы содержит так называемое «исключение для государственного сектора». Страны-члены могут использовать электронные подписи в государственном секторе, при необходимости устанавливая дополнительные требования. Однако данные требования должны быть объективными, прозрачными, соразмерными, не носить дискриминационного характера и относиться лишь к конкретным характеристикам данной сферы применения.

Существуют расхождения как в трактовке, так и в реализации этого положения.

Очевидно, что во многих странах применение электронных подписей в государственном секторе связано с дополнительными требованиями (к безопасности). Обмен электронными сообщениями с государственными органами во многих европейских странах возможен лишь при использовании электронных подписей на основе квалифицированных сертификатов, выданных аккредитованным ПСУ.

Например, нам сообщили диапазон цен от 50 000 до 200 000 за одну экспертизу Директива не налагает на это строгого запрета, если это требование оправдано объективными причинами и относится только к особым характеристикам конкретной области применения. Более того, мера, по которой вводятся такие требования, должна быть соразмерной, прозрачной и недискриминационной. Следовательно, будет запрещено принятие закона, который, например, предпишет использовать квалифицированные электронные подписи для всех электронных связей между гражданами и правительством.

Такой закон будет противоречить Статье 5.2 Директивы, так как отказывает электронной подписи в юридической силе на том лишь основании, что подпись не является квалифицированной.

Даже предписание использовать квалифицированные электронные подписи для единственного приложения электронного правительства, например, для заполнения электронных налоговых деклараций, без объективного обоснования необходимости таких мер, явно будет противоречить Директиве.

Вводя электронные подписи для применения в государственно секторе, страны-члены должны также принимать во внимание другие правила. Например, навязывание ПСУ аккредитации как условия участия в программах электронного правительства также противоречит Декларации факта (11) Директивы, поскольку результатом такой меры будет невозможность для ПСУ свободно выбирать, будут они проходить аккредитацию или нет. Эта мера также приведет к непропорциональному снижению конкуренцию в сфере сертификационных услуг.