электронная подпись, как реально сделать это в Ярославле

Привет:) Я работаю в Центре правовой информации, куда ярославцы обращаются с самыми различными запросами и иногда наших информационных возможностей бывает недостаточно, чтоб дать исчерпывающий ответ. Например, есть ли в Ярославле удостоверяющий центр, выдающий сертификаты ключей для электронной подписи, согласно ФЗ от 10 января 2002 г. "1-ФЗ"Об электронной цифровой подписи"? Заранее благодарна.

Супер! Кому-то в Яре понадобился сертификат ЭЦП.
Вообще-то с конца 2001 года работаю с ЭЦП как пользователь, и могу сказать - вопросы ЭЦП в данном моем конкретном случае регулируются соглашением между мной и контрагентом, никакой центр не задействован, но используемый софт лицензирован и сертифицирован. Тем более, на 99,9999999% такого центра в Яре нет.
ЗЫ Я не юрист ;(

Если ключи получены не через удостоверяющий центр, статуса электронной цифровой подписи они не имеют.
Необходимо, чтобы закрытые ключи были отражены на бумажном носителе, 1 экземпляр как раз у центра и должен находиться.

Хрюн Моржов
А как же вы ключики сгенерировали?

Интересно, сколько это удовольствие стоит

Народ, да забейте вы на эту ЭЦП и закон об ней... Ибо то, как это делается согласно закону - это лечение гланд через анальное отверстие! Идиотизм еще тот, и данный закон был принят для того, чтобы РФ пустили в ВТО - типа вот закон об ЭЦП есть, а что в нем написано - никого там не интересует...

2 alt

Ключик генерировала случайным образом софтина (имеет ГОСТ, лицензии ФАПСИ и проч.), установленная на моем компе. Публичный ключ передался серверу контрагента, а секретный записался мне на дискетку с надписью "KEY", которая лежит теперь на системном блоке.
Я публичный ключ распечатал на бумажке вместе с моими паспортными данными, подписал бумажку в присутствии нотариуса, который заверил, что подпись на бумажке моя. Бумажку передал контрагенту. Кроме того, я подписал с контрагентом договор, по которому мы обязались соблюдать регламент, в котором содержатся условия использования ЭЦП.
Кроме того, дело было, как уже сказано, до соответствующего закона в 2001 году.
Статуса цифровой подписи по ФЗ-1 это может и не имеет, да и не нужно: отношения урегулированы договором, который не противоречит законодательству.

--
Экземпляр ЗАКРЫТОГО ключа у центра сертификации!?!? Вы не ошиблись? На *** такую криптографию по-кагэбэшному! Защита ноль. Да еще на бумажном носителе! Может сразу на дверь повесить?

Ну просто одно сплошное очарование!! Такого уровня правового "сервиса" я никак не ожидала! Всем огромное спасибо за проявленное внимание и конечно, за квалифицированные ответы. И за шпильки в наш адрес- Яндекс мы любим, но видимо, попытки разыскать информацию были слишком уж хилыми:) QUOTE- ну просто снимаю перед вами шляпу:)

Хрюну Моржову:

Софтина ГОСТ может какой и может иметь (их вагон и маленькая тележка), но только не по Закону об ЭЦП.
ИМХО (на вскидку), в вашем случае может иметь место несоблюдение простой письменной формы при отсутствии электронного документа полученного в соответствии с ФЗ об ЭЦП.

Статья 9. Деятельность удостоверяющего центра (ФЗ Об ЭЦП)
1. Удостоверяющий центр:
изготавливает сертификаты ключей подписей;
создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;
приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;
ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;
проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;
выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;
осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;
...

2 alt

Софтина может иметь любые гос. бумажки, это не сделает ее лучше. Несоблюдение простой письменной формы места, скорее всего, не имеет, т.к. договор заключен в письменной форме, а ЭЦП используется для подписания заявок (приказов) на исполнение действий в рамках договора. Заявок может быть много штук в день, скорость их исполнения - очень важная сторона качества сервиса. Другие аналогичные сервисы обходятся без ЭЦП, одним HTTPS.

Я просмотрел закон. Там не указано, что закрытый ключ хранится в центре сертификации. Да и просто это противоречит идеологии криптографии с открытым ключом и возможно только при полной материальной ответственности центра сертификации перед клиентами. Создает ключи ЭЦП "с гарантией сохранения в тайне закрытого ключа" - должно было иметься в виду, что закрытый ключ не остается в распоряжении центра. В противном случае в здравом уме НИКТО, кроме подневольных госучреждений, не будет пользоваться этим законом для серьезных дел. Если вы знакомы с криптографией, то должны видеть, что для выполнения функций центра не нужно знать закрытый ключ клиента.
В общем скажу, что закон довольно сыроват и недостаточно хорошо соответствует теории и практике использования криптографии с открытым ключом.
То, что закрытый ключ не должен оставаться в распоряжении центра, должно быть прописано явно.

Хрюн Моржов
В распоряжении ключи и не остаются, они там хранятся.

Вы видимо закон "смотрели" мимо ст. 9

alt2

Для выполнения всех функций центра достаточно хранить там ОТКРЫТЫЕ ключи. Хранение в центре ЗАКРЫТЫХ ключей делает всю схему бесполезной и потенциально опасной.
Вы, видимо, не знакомы с основами криптографии.

Хрюн Моржов
Объясните, плз, как по одному открытому ключу можно проверить подлинность неопределенного круга открытых ключей?

Alt2 Не очень понял, в чем ваш вопрос.

Система криптографии, о которой идет речь в ФЗ, называется криптографией с открытым ключом. Это асимметричный способ шифрования и подписывания элекронных документов. Подписывание электронных документов позволяет гарантировать защиту от изменений и принадлежность к определенному отправителю. Т.е. вы заводите себе пару ключей (взаимосвязанных числовых последовательностей) - закрытый (private, ЗК) и открытый (public, ОК). Первый храните в тайне. Последний раздаете всем, кому надо (рассылаете вместе с подписанными вами документами). Вывести один ключ из другого крайне трудно.

Если вы подписываете (зашифровываете) документ с помощью своего ЗК, то проверить валидность подписи (расшифровать) можно только с использованием вашего ОК (с использованием ЗК - нельзя). Т.е. тот факт, что проверить/расшифровать ваш документ можно только вашим ОК гарантирует, что документ пришел от вас. Именно поэтому необходимо хранить ЗК в тайне ото всех. Если документ подписан не вашим ЗК, или изменен после подписывания, или проверяется не вашим ОК, то результат проверки будет отрицательным. Откуда народу знать что данный ОК - ваш? Удостоверить это - задача центра сертификации, см. ниже.
Аналогично идет процесс в обратном направлении. Документ, зашифрованный/подписанный вашим ОК сможете расшифровать/проверить только вы со своим ЗК, держатели вашего ОК документ посмотреть/проверить не смогут.

Для полноценной коммуникации по паре ключей должно быть у каждой стороны.

В центре сертификации (ЦС) хранятся ОК всех его клиентов. Этого достаточо, чтобы удостоверить принадлежность цифровых подписей клиентов, сделанных с помощью их ЗК на документах.
Кроме того, ЦС имеет свою пару ключей. При регистрации ОК клиента, ЦС подписывает его своим ЗК вместе с дополнительной информацией (наименование клиента, сроки действия, цели использования, сведения о ЦС - см. закон). Полученный документ - сертификат ключа ЭЦП. Таким образом, вы можете распространять не свой ОК, а его сертификат (он все равно содержит ваш ОК), и получатели будут уверены, что он ваш (там указано ваше наименование) и действителен, будут знать, как это проверить (там есть сведения о ЦС). Чтобы убедиться не отходя от кассы, им достаточно взять ОК ЦС и проверить подпись на вашем сертификате, либо обратиться в ЦС.
Таким образом, даже открытые ключи клиентов хранить в ЦС не обязательно. Достаточно, чтобы сертификаты их ОК были подписаны с помощью ЗК ЦС. Так что минимально для выполнения всех своих функций ЦС достаточно иметь лишь одну пару своих ключей.

Сертификат ОК ЦС, очевидно, подписывается с помощью ЗК регулирующего органа и хранится там.

Хрюн Моржов
В общем, вопрос, похоже, был не к месту, потому что в отличие от прочего ассиметричного шифрования в ЭПЦ не практикуется создание более одного открытых ключей. Но при этом содержание документа не может быть одновременно зашифровано с использованием того же ключа.

Впрочем, это мало что меняет, потому что пары ключей изготавливаются именно лицензированным центром и никем иным.

В проекте Закона (эта норма была исключена из-за неисполнимости, но ее смысл понятен) предусматривалось, что организация при оформлении лицензии должна обосновать способность нести гражданскую ответственность в размере, не менее чем в 1 тысячу раз превышающем максимальный предел цены сделки, который данный удостоверяющий центр может указывать в сертификате ключа подписи. Таким образом, предполагалось обеспечить гарантии пользователей через гражданскую ответственность центра в случае, если сохранность или подлинность ключей не будет обеспечена.

Теоретически, в Законе нет прямого запрета на генерацию пары ключей кем-то, кроме УЦ, хотя прямого разрешения вроде бы нету тоже.
При этом обязанность Центра сохранять закрытый ключ подразумевает его наличие у центра.