Закон "Об электронной цифровой подписи"
13 декабря 2001 года Государственной Думой принят в третьем, окончательном чтении закон "Об электронной цифровой подписи".
Без электронной подписи невозможно организовать безбумажный оборот информации и электронную торговлю. Электронная подпись, так же, как и обычная, придает документам законную силу, и подписывающие стороны несут ответственность по принятым обязательствам. Для развития цифровых технологий в России это безусловно знаменательное событие, но, к сожалению, знаменательное скорее символически. Закон несет в себе столько недоработок и подводных течений, что вместо ускорителя новой цифровой экономики он может стать если не тормозом, то серьезной помехой для ее развития.
Формально закон представлен Правительством Российской Федерации, но в самом правительстве, мягко говоря, не было единства по поводу законопроекта. Хотя к разработке данного варианта имели отношение несколько ведомств, специалисты указывают на ключевую роль Министерства связи и, конечно, ФАПСИ - Федерального агентства правительственной связи и информации, отвечающего за обеспечение безопасности и качественных коммуникаций для важнейших государственных учреждений. Образованное на базе аналогичного по функциям подразделения КГБ, сейчас ФАПСИ - одно из влиятельных силовых ведомств.
По поводу закона об электронной подписи не было единства и в Государственной Думе. Вначале к рассмотрению приняли несколько законопроектов, подготовленных разными комитетами. Они были далеки от совершенства и требовали серьезной доработки. Но вариант, представленный правительством, значительно уступал даже им. Он был подвергнут серьезной и аргументированной критике, потому что не опирался на международный опыт, содержал слабые и откровенно курьезные места. Несмотря на это, альтернативные версии были отозваны и был принят правительственный вариант закона об электронной цифровой подписи. Все изменения и дополнения свелись к косметической правке.
Что же вызывает такое неприятие специалистов?
Во-первых, заложенный в закон изоляционизм. Это тем более странно, что именно стремительное развитие цифровых технологий и всемирной компьютерной сети Интернет сделало необходимым принятие закона об электронной подписи. Глобализация бизнес-процессов, согласование усилий партнеров в разных странах, практически мгновенный обмен файлами с помощью сетевых технологий остро поставили вопрос о юридической силе электронных документов. Безусловно, до сих пор ключевые договоры заключаются очно, под одобрительный гул и хлопки шампанского, но кроме этого есть еще множество согласований, дополнений, изменений в технических заданиях, пролонгаций и так далее, которые гораздо быстрее и дешевле при современных средствах связи осуществить на расстоянии. Особенно это касается компаний, относящихся к малому и среднему бизнесу. Когда суммы затрат на товары и услуги невелики, что снижает риски, договора могут заключаться заочно, резко снижая издержки как покупателя, так и продавца.
В чем же именно выражается изоляционизм российского закона "Об электронной цифровой подписи"? Он виден уже в названии.
Дело в том, что почти синонимы "электронная подпись" и "электронная цифровая подпись" на самом деле имеют существенное различие. Большинство мировых нормативных актов в этой области, например, Типовой закон Комиссии ООН по праву в международной торговле ЮНСИТРАЛ оперируют понятием "электронная подпись". Оно объединяет целый спектр электронных технологий, не только математические алгоритмы, реализованные в цифре на компьютерах, но и такие биометрические, как сканирование отпечатков пальцев, сетчатки глаза, спектральных характеристик голоса, а в перспективе и молекул ДНК. В подлинности электронного сообщения можно убедиться, используя также специальные ПИН-коды, смарт-карты, маркеры, принадлежащие подписывающему лицу. Такое расширенное толкование понятно, оправдано и дальновидно, ведь сейчас невозможно надежно предсказать, какая именно технология электронной подписи будет доминирующей. Современные электронные и программные средства развиваются так быстро, что делать ставку на какой-то один вариант электронной подписи крайне рискованно. Быстрый прогресс может внезапно свести на нет длительные законотворческие усилия и большие затраты на внедрение, тем более, если внедрение будет тотально-принудительным.
Но российские законодатели пошли своим путем. Весь текст закона жестко привязан к единственной технологии "электронной цифровой подписи", создаваемой по технологии шифрования с помощью открытых ключей. Сама по себе эта методика сейчас одна из самых развитых и у нее есть серьезные достоинства.
Суть шифрования с открытым ключом, частью которого является электронная цифровая подпись, такова. Участники переписки должны иметь одинаковый инструмент шифрования-дешифрования. Обычно это компьютер, снабженный соответствующей программой, самая известная из них - открыто распространяемая PGP. В начале программа автоматически создает два специальных файла, в криптографии говорят - два ключа, применяющиеся исключительно в паре. Открытый ключ можно послать по почте друзьям, разместить в Интернете, отправить в местное отделение ФАПСИ. Этим ключом партнеры и знакомые могут зашифровывать послания на ваш адрес, но после этого они уже не смогут расшифровать своё собственное сообщение вам, так как открытый ключ может только зашифровывать. Расшифровывать же и читать письма сможете лишь вы, обладатель парного секретного ключа. В случае цифровой подписи все наоборот. Вы подписываете послание с помощью закрытого секретного ключа, а проверить авторство документа может любой, кому вы пошлёте или кто не поленится скачать из базы данных в Интернете ваш открытый ключ.
Степень защиты цифровой подписи от подделки так же высока, как степень стойкости при шифровании. Важно, что можно подписывать сообщение, не шифруя его, оставляя открытым. В технологии цифровой подписи обычно содержится механизм проверки целостности сообщения. То есть проверки того, что никто не внес в текст изменений. Математические алгоритмы шифрования с открытым ключом при длине ключа в несколько килобит делают при нынешних знаниях задачу взлома практически неразрешимой. Такие алгоритмы реализованы практически всеми современными системами. Обычно пытаются найти ошибки в программном коде, реализующем математический алгоритм или используют неряшливость и неосторожность пользователей, которые ленятся запомнить пароли и хранят их в записной книжке, на бумажке, прилепленной к монитору, или беспечно передают их другим людям.
Если эта технология так хороша, то, может, законодатели правильно поступили, сделав ставку именно на нее? К сожалению, не все так просто. Во-первых, если везде будет внедряться только один механизм создания электронной подписи, то ущерб в случае уязвимости математического алгоритма трудно даже оценить. Ведь вся страна, во всяком случае, государственные учреждения, для которых исполнение закона обязательно, будут в один момент лишены защиты своих подписей. Никто сейчас не может гарантировать, что нельзя найти алгоритм быстрого разложения большого числа на простые множители. А именно на этом или на подобных свойствах целых чисел построены современные алгоритмы. Или, быть может, в ФАПСИ строго доказали невозможность найти подобный алгоритм? С другой стороны, в последнее время быстро развиваются так называемые квантовые вычисления, которые могут революционно увеличить скорость счета. При этом время расшифровки ключа традиционными способами может резко сократиться, что также сделает алгоритм электронной цифровой подписи достоянием истории.
Во-вторых, как справедливо заметила в своей статье консультант Комитета государственной думы по безопасности Елена Волчинская: "В целом предлагаемая законопроектом система правового регулирования представляется исключительно жесткой (в смысле не гибкой, не предусматривающей альтернативные механизмы) и, как следствие, жестокой, так как уровень требований одинаков для любых правоотношений. Это противоречит в корне международной тенденции, предусматривающей гибкую систему, в которой субъект, использующий электронную подпись, сам решает, какая степень защиты ему необходима. Хотя для отдельных сфер использования электронной подписи (например, в государственном управлении) требования могут быть установлены законом".
Далее Елена Волчинская обращает внимание на то, что: "Законопроект в качестве гарантии надежности цифровой подписи рассматривает сертификацию. Причем вне корпоративных систем должны применяться только сертифицированные средства электронной цифровой подписи. Напрашивается аналогия с требованием установить во всех квартирах металлические двери и кодовые замки, вне зависимости от состоятельности жильцов. Не говоря уж о том, что стороны договора должны иметь возможность использовать несертифицированные средства электронной подписи по их желанию и нести соответствующие риски, а при желании обеспечить более высокий уровень защиты стороны вправе договориться об обязательном использовании сертифицированных средств".
Здесь точно обращено внимание на другую важную особенность закона - уравниловку. Все должны использовать одну технологию, независимо от степени защиты, которую они считают достаточной для своих электронных сообщений. При этом пользователя лишают возможности сопоставлять свои риски с издержками на защиту электронной подписи. Даже если положения закона касаются только государственных чиновников, то это очень похоже на предложение пересадить всех бюджетников на танки и бронетранспортеры, ввиду криминогенной ситуации в стране. Это ведь гораздо безопаснее. Подобное предложение вызывает улыбку, так как здесь как раз не учтены финансовые издержки и последствия для дорожного покрытия. Однако во время военных действий ездить на бронированных, вооруженных транспортных средствах разумно, так как оправдано резко возросшей опасностью.
Кроме того, через весь текст закона красной нитью проходит идея сертификации, как будто сертификация - это синоним надежности. Как будто сертификат на замок и дверь, как некое шаманское заклинание убережет их от отмычек и газосварочных резаков взломщиков.
Сам по себе сертификат - полезный инструмент, он может служить шлюзом между бумажным и электронным видом представления информации. Но длительность самой процедуры сертифицирования и требование собственноручной подписи значительно ограничивает применение сертифицированных средств для международных отношений. Люди из разных концов мира должны приехать и собственноручно подписать сертификат электронного ключа вместо того, чтобы переслать его по Интернету. Дело в том, что сама концепция шифрования с открытым ключом возникла из проблемы безопасного обмена ключами на расстоянии. Открытый ключ можно безопасно переслать всем желающим, потому что он только шифрует сообщения, а для расшифровки нужен парный ему закрытый, который все время находится у хозяина на компьютере под паролем. Если есть возможность личной встречи, то можно просто передать партнеру и менее сложные, и более специальные электронные шифровальные таблицы, взломать которые, в силу уникальности, практически невозможно. И все это делается без посредников из удостоверяющего центра.
Другой вопрос, будет ли сделка, скрепленная такими подписями иметь юридическую силу. В международных отношениях будет, так как в отличие от российского закона, европейское законодательство не отрицает юридическую силу электронной подписи только на том основании, что она не имеет особого сертификата и не создана сертифицированным устройством электронной подписи. Россия, вообще говоря, не обязана следовать международному законодательству, но в области глобальных технологий отказ от общего стандарта приведет к выпадению из современного международного хозяйственного оборота тех организаций, которые будут строго следовать российскому закону "Об электронно-цифровой подписи".
Кроме достаточно узкого подхода в законе, несмотря на многочисленные замечания, были оставлены довольно странные фрагменты. Например, в статье 12: "Владелец сертификата ключа подписи обязан: не использовать для электронной цифровой подписи открытые и закрытые ключи электронно-цифровой подписи, если ему известно, что эти ключи используются или использовались ранее".
Этот фрагмент буквально означает, что для каждой новой подписи должен создаваться новый ключ, ведь после однократного проведения операции каким-нибудь ключом им уже ранее пользовались, и владельцу сертификата это известно. Поэтому он обязан или просить новый ключ, или отказаться от электронной подписи.
Странно выглядит требование законодателей включать в электронную подпись: "сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение".
Если электронная подпись, как утверждается в законе, есть эквивалент собственноручной подписи, то даже очень крупное должностное лицо вряд ли имеет разные подписи для разных юридических отношений. Это все равно, как если бы организация, которая изготавливает печати, требовала, чтобы ей предоставили не только копии учредительных документов и справок из регистрирующих органов, но и сообщили, для чего эта печать будет использоваться.
Таких моментов в законе немало. И это заставляет задуматься, почему из трех представленных на рассмотрение законопроектов прошел самый слабо подготовленный.
Очевидно, что закон, призванный обеспечить глобальные контакты в электронной форме, не учитывающий мировые стандарты, ориентируется на ведомственные интересы. Ведомство это легко определить. На протяжении последних лет ФАПСИ настойчиво пыталось провести свою политику в области шифрования и электронной подписи. По мнению президента независимой ассоциации "РусКрипто" Алексея Волчкова: "Позиция ФАПСИ базировалась на трех основных мало реалистичных пунктах. Первое, реализоваться должны только национальные стандарты (что, конечно, невозможно, когда банки давно и успешно работают с международной системой SWIFT, обращаются самые разные виды кредитных карточек, где личность удостоверяется, например ПИН-кодом и так далее). Второе, ФАПСИ добивается, чтобы любая связанная с электронными подписями деятельность, включая деятельность удостоверяющих центров, лицензировалась ими. И третье, технические средства, используемые для создания и проверки подписи, должны лицензироваться опять же ФАПСИ".
В законе головное ведомство сертификационной пирамиды прямо не прописано, но трудно себе представить, что "уполномоченный федеральный орган" - это не ФАПСИ. Чтобы случайно в удостоверяющие подпись центры не пробрались независимые коммерческие организации, введен пункт: "Услуги по выдаче участникам информационных систем сертификатов ключей подписей, зарегистрированных удостоверяющим центром, одновременно с информацией об их действии в форме электронных документов оказываются безвозмездно".
Но для того, чтобы центр мог отвечать по своим обязательствам перед клиентами, он, несмотря на некоммерческий характер услуг, "должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей".
Требования к этим возможностям будут определяться Правительством Российской Федерации по представлению опять же "уполномоченного федерального органа исполнительной власти". То есть, видимо, ФАПСИ. Таким образом, значительные средства предполагается сосредоточить на счетах удостоверяющих центров, лицензируемых, а следовательно, подконтрольных ФАПСИ. Какие именно, можно оценить по первой, непричесанной версии закона. Там предполагалось, что удостоверяющий центр должен иметь в тысячу раз больше средств, чем максимальная цена сделки, скрепленной электронной подписью. Чтобы было понятно, приведем цифры. Если подпись годна для сделок в миллион долларов, что весьма скромно по коммерческим масштабам, то удостоверяющий центр должен иметь миллиард, если же сделка в сто миллионов долларов (не большая редкость), то сумма на счетах этой организации должна в несколько раз превысить весь бюджет России. Чем в этом случае будет заниматься Центральный банк, непонятно.
Требование закона об Электронной цифровой подписи пытаются распространить на все глобальные компьютерные сети. "В информационной системе общего пользования (к которым, естественно относится и Интернет и ФИДО - А.К.), по закону должны применяться только сертифицированные средства электронной цифровой подписи". Далее вообще следует странный пассаж:
"Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации".
Может быть, законодатели хотят привлечь к ответственности Фила Зиммермана, как создателя PGP - самой распространенной в стране несертифицированной системы электронных подписей и тех, на чьих сайтах находятся дистрибутивы этой программы?
Скорее всего, конечно, это не так. Задачи сил, лобировавших закон, более прозаические. Им, видимо хочется заставить все государственные учреждения, включая налоговые инспекции, Центральный банк, другие правоохранительные организации, перейти на лицензируемые ими системы. Так как с этими организациями тесно связаны коммерческие фирмы, включая банки и крупнейшие корпорации, то они будут вынуждены, пусть ограниченно, пользоваться теми же лицензируемыми технологиями.
Если этот план удастся, то ФАПСИ, которому принадлежат еще и многие важнейшие каналы связи, может пытаться контролировать информацию практически всех государственных ведомств, а возможно, и связанных с ними коммерческих структур, которые будут использовать аналогичные программы. Раз одна и та же организация лицензирует и технические средства, и программы, то ей легко, к примеру, принудить фирмы, которые от нее зависят, встроить в оборудование так называемые закладки, позволяющие без всяких санкций суда контролировать информацию на удаленных компьютерах. Тем более, что часто в этих фирмах работают бывшие сотрудники ФАПСИ. Их и принуждать не надо. Не стоит забывать, что в функции ФАПСИ входит обеспечение правительства не только связью, но и информацией. Сможет ли уполномоченный федеральный орган эффективно собирать данные с подведомственных сетей - неизвестно, но скорость прохождения через Думу явно ущербного законопроекта говорит о том, что надежды на такой исход не оставляют некоторых крупных руководителей.
Конечно, "построить" всех будет трудно. Коммерческие предприятия давно пользуются несертифицированными средствами. Рассчитывать на полную лояльность крупных государственных организаций тоже наивно. По свидетельству специалистов, нелицензированные в ФАПСИ средства электронной подписи и шифрования стоят не только в других силовых ведомствах, например, в ФСБ, но и в Центробанке. Зная о тесном и причудливом переплетении в наше время интересов бизнеса, политики и силовых структур, каждый игрок рынка старается получше оградить от любопытных коллег свои секреты. Обязательная сертификация ключей для цифровых электронных подписей крайне похожа на обязательную сдачу ключа от квартиры или офиса в ЖЭК, допустим, в целях противопожарной безопасности граждан. Никто, естественно, не сомневается в кристальной честности работников ЖЭКа, но желающих найдется немного.
Итак, несмотря на принятие Думой закона об электронной цифровой подписи, считать это серьезным шагом вперед, к сожалению, нельзя. Структура закона подходит не столько для быстрого развития современных юридических отношений в Электронной России, сколько для контроля над этими отношениями.
Все ссылки в тексте программ ведут на страницы лиц и организаций, не связанных с радио "Свобода"; редакция не несет ответственности за содержание этих страниц.
