Сертификат СТ РК 1073 и библиотеки в SDK (от 28.07.2022)

Добрый день,

Вчера (28.07.2022) вышла новая версия SDK, судя по всему, обновленные библиотеки в ней можно считать релизными. По этой причине решили глянуть сертификат СТ РК 1073 (https://pki.gov.kz/docs/razrabotka/certificat_sootvetstviya.pdf) доступный со страницы (https://pki.gov.kz/developers/).

В основном интересовали С библиотеки для Linux, на сколько я понимаю, это:

2) libcrypto.a -статическая криптографическая библиотека для 64 битной ОС Linux (хэш значение:bJvw2ocZiaOJav7iU1hGMKNeDF1vdzYpTQMnE9esmTQ=);
6)libkalkancryptwr-64.so.2.0.2 - динамическая криптографическая библио-тека для 64битной ОС Linux (язык разработки – C, хэш значение: hia-qGZlls4/E0Mcqd8i5ZHeIbppA2ZRQ//E5ULKkNSY=).

Возникли следующие вопросы:

1. В SDK отсутствует libkalkancryptwr-64.so.2.0.2, но там есть libkalkancryptwr-64.so.2.0.0. libkalkancryptwr-64.so.2.0.2 была в предыдущей версии SDK. Причем контрольные суммы не совпадают ни у одной из них с тем, что прописано в сертификате.
2. В сертификате не фигурирует библиотека C/Linux/KalkanCrypt-OpenSSL/dynamic/x64/libkalkancrypto.so. Получается она не сертифицирована?

Добрый день!

1. Благодарю за замечание. Поместим релиз.
2. Да. Данная библиотека не сертифицирована.

Добрый день, Данил.

Да. Данная библиотека не сертифицирована.

Влияет ли это как-то на соответствие требованиям законодательства? То есть не получается ли так, что те информационные системы, которые используют библиотеку C/Linux/KalkanCrypt-OpenSSL/dynamic/x64/libkalkancrypto.so для проверки ЭЦП, не соответствуют требованиям Закона и электронные документы в них не равнозначны подписанным документам на бумажных носителях?

С чего это вдруг? То есть если я подпишу через самый обычный опенссл с помощью своего ключа физ лица какое-нибудь сообщение, хотите сказать что эта подпись будет недействительна?

Вроде как в Законе РК нет пунктов, которые обязывают использовать для подписи доков именно сертифицированное ПО, а никак иначе. Да и потом, где в подписи будет сказано, что я подписал именно обычным опенссл, а не калканом?

Речь идет не о постановке подписи, а о проверке подписи на стороне сервера информационной системы. В соответствии с Приказом о правилах проверки подписи (https://adilet.zan.kz/rus/docs/V1500012864) документ обладает юридической значимостью только в том случае, если проверки были выполнены в соответствии с Правилами. Я понимаю что несколько перестраховываюсь, но для меня важно чтобы не было ни одной возможности отказать в признании юридической значимости электронных документов.

А по поводу Вашего вопроса - это не раз вызывало дискуссии в том числе и на этом форуме. Дело в том, что в Законе об ЭЦП сказано (Статья 11): “Средства электронной цифровой подписи подлежат подтверждению соответствия в случаях и порядке, установленных законодательством Республики Казахстан в области технического регулирования.”. А в СТ РК 1073-2007 (к сожалению он платный, в интернете нет) сказано “Настоящий стандарт распространяется на средства криптографической защиты информации отечественного и зарубежного производства и устанавливает общие технические требования к ним”. Получается что чтобы соответствовать Закону об ЭЦП (то есть чтобы можно было утверждать что электронный документ “равнозначен подписанному документу на бумажном носителе”), нужно использовать сертифицированные СКЗИ.

Дело в том, что эта библиотека была выпущена после составления ТС на сертификацию СКЗИ НУЦ РК. Но так как данная библиотека была нужна некоторым организациям для перехода на Гост2015, мы разместили её в SDK. Чтобы не смущать “публику”, в следующем обновлении удалим её из SDK.

А вот с этим вопросом Вам лучше обратиться в КИБ официальным письмом, так как именно КИБ в случае возникновения споров будет (или не будет) осуществлять проверку ИС. И они (возможно) предоставят компетентный ответ.

От себя могу добавить, что в подписи действительно не указывается в каком ПО она сформирована. И при разбирательствах подписанный документ будет признан юридически значимым в случае, если он соответствует всем пунктам правил проверки (Глава 2).