НУЦ РК запустил выдачу ключей ЭЦП на алгоритме ГОСТ 34.10-2015 для физических лиц, что позволяет владельцам информационных систем, перед официальным (полным) переходом на данный стандарт, протестировать использование данных ключей ЭЦП в боевой среде, для более плавного обновления.
Полный переход на ГОСТ 34.10-2015 планируется произвести после утверждения Правил выдачи, хранения, отзыва регистрационных свидетельств и подтверждения принадлежности и действительности открытого ключа электронной цифровой подписи национальным удостоверяющим центром Республики Казахстан от 26 июня 2015 года № 727 и соответствующего поручения от уполномоченного органа (Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан).
Не могли бы Вы прояснить, электронные документы, подписанные с использованием этих сертификатов попадают под действие Закона об электронном документе и ЭЦП или нет? Если это тестовые сертификаты, то это одно, если боевые, то другое. В анонсе нигде не было сказано что это тестовые сертификаты, при их получении так же ни слова не сказано что они тестовые.
Я двумя руками поддерживаю инициативу предоставить разработчикам возможность доработать ИС до полноценного запуска и очень благодарен на такую возможность, но с другой стороны мы должны четко понимать юридическую составляющую.
1. Использование ключа (Key Usage).
Используемые поля Цифровая подпись, Неотрекаемость и Шифрование ключей не противоречит Законодательству Республики Казахстан. Так согласно СТ РК 1073-2007 запрещено использовать один ключ ЭЦП для подписания и шифрования данных. Хотим отметить, что при аутентификации не используется шифрование данных.
Но в Правилах проверки прописано (тот самый шаг 3 пункта 6 главы 2):
- проверка области использования ЭЦП регистрационного свидетельства. Проверка заключается в проверке значения поля регистрационного свидетельства “использование ключа” (KeyUsage). Значения “Цифровая подпись” и “Неотрекаемость”, содержащиеся в поле “использование ключа”, означают что, это регистрационное свидетельство используется для ЭЦП. Значения “Цифровая подпись” и “Шифрование ключей”, содержащиеся в поле “использование ключа”, означают что, это регистрационное свидетельство используется для аутентификации;
В моем текущем сертификате три значения, следовательно его нельзя однозначно отнести ни к одной из описанных категорий, а для обеспечения юридической значимости необходимо использовать сертификаты ЭЦП. Для нас очень важно полное соответствие требованиям законодательства иначе как можно переходить с бумажных документов на электронные?
Более того технически ключи ГОСТ 34.10-2015 нельзя использовать для “Шифрование ключей”, сам криптографический алгоритм этого не предусматривает. Зачем же тогда добавлять это значение в сертификат, если оно не оправдано ни юридически, ни технически?
2 Политика выпуска сертификата (Certificate Policies)
Настоящим сообщаем, что указание данного OID считается правильным, так как Правила (Политика) применения регистрационных свидетельств НУЦ РК, содержит описание всех видов выдаваемых регистрационных свидетельств, что соответствует подпункту 2-1) пункта 1 статьи 21 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи», где говориться, что удостоверяющий центр утверждает правила применения регистрационных свидетельств. Требование написания Правил/Политики применения регистрационных свидетельств на каждый вид регистрационных свидетельств является устаревшими.
То, что каждый УЦ самостоятельно определяет свои политики - это понятно. Так же понятно что политики прописываются в документации УЦ, как минимум в рамках прохождения процедуры аккредитации и очевидно что ее НУЦ так же проходит.
Но как тогда понять на основании какой именно политики был выпущен мой сертификат? Получается что с какой-то целью определены политики (в Правилах применения), определены их OIDы, но при этом понять какой политике соответствует какой сертификат невозможно?
Плюс это дополнительный механизм контроля для информационных систем - можно требовать чтобы подписи под определенными документами были сформированы с помощью сертификатов, выпущенных по определенным политикам.
Мне не понятен отказ от прописывания в сертификате информации о том, на основании какой политики он выпущен.