В Санкт-Петербурге прошла XXII Международная конференция по проблематике инфраструктуры открытых ключей и электронной подписи «PKI-Форум Россия 2024». Активное участие в ней принимали представители «АНО «Национальный технологический центр цифровой криптографии».
Стратегическая сессия
Участники Стратегической сессии «Итоги пяти лет реализации самой масштабной реформы 63-ФЗ» обсудили итоги реализации реформы Федерального закона «Об электронной подписи» (63-ФЗ), массовое использование электронной цифровой подписи (ЭЦП) физическими лицами, законотворческие инициативы и другие вопросы. Сессию провел генеральный директор АНО «НТЦ ЦК» И. Качалин. Он предложил экспертам оценить результаты реформы и рассмотреть направления дальнейшего развития закона.
За 5 лет сфера электронной подписи претерпела значительные изменения и динамично развивается, подчеркнул Ю. Шабанов (Минцифры). Он отметил активное развитие сферы электронных цифровых подписей (ЭП), динамику роста архитектуры отрасли и рост числа удостоверяющих центров (УЦ). Помимо органов, аккредитованных по закону (Банк России, Казначейство, ФНС), 43 организации получили аккредитацию как удостоверяющие центры (АУЦ). Ю. Шабанов отметил ключевые элементы реформы, в т.ч. запреты на выдачу сертификатов юрлиц в коммерческих АУЦ и получение сертификатов по доверенности, возможность использования облачной ЭП только при выполнении ряда требований, которые разрабатываются регуляторами, а также выдачу усиленной ЭП в дистанционном формате
.
Основные элементы реформы подтвердили ее значимость и необходимость развивать ЭП, машиночитаемые доверенности (МЧД) и пр., считает К. Дробаденко (ФСБ России). Однако существует несоответствие между нормативным регулированием и практической реализацией требований, и задача регуляторов — уменьшить его.
Ф. Новиков (ФНС России) полагает, что реформа не имеет обратного хода, она дала толчок для других изменений, в т.ч. в рамках трансграничного взаимодействия. Но есть области, в которых необходимо дальнейшее развитие.
Главным показателем реформы стало количество госуслуг, оказываемых населению, и снижение числа мошенничеств в этой сфере, считает В. Бражко (Федеральное казначейство). Он отметил рост числа сервисов и применений PKI, ЭП и МЧД и предложил подвести итоги через пять лет, если новые технологии, включая искусственный интеллект, не привнесут эволюционные изменения в существующие сервисы.
С. Смышляев (КриптоПро) считает реформу логичной с точки зрения нормативной базы и технологий. Появились новые задачи в области создания технических решений и стандартизации. Многие из них становятся работающими инструментами и технологиями. Различия между нормами и их реализацией позволяет отладить процессы. «Логика в реформе приземляется на реальные средства и процессы», — отметил С. Смышляев.
Спорные вопросы сессии
В процессе обсуждения итогов реформы, И. Качалин обратил внимание экспертов на вопросы, которые находятся вне правового поля и требуют отдельного решения регуляторов. В частности, это задачи, касающиеся сервисов проверки сроков действия сертификатов служб штампов времени и подписей, сертификатов аутентификации.
«Бытует мнение, что требуются правки, которые выводят эти сервисы из-под общего понятия автоматической электронной подписи от имени юридического лица. Сейчас найден некий промежуточный вариант, когда выдаются сертификаты на физических лиц — сотрудников удостоверяющего центра — для подписи этих сервисов. Очевидно, что это не совсем укладывается логику понятия электронной подписи физического лица», — отметил И. Качалин, предлагая участникам обсудить вопрос вывода сертификатов в особую категорию служб PKI.
Отвечая на вопрос модератора, эксперты подчеркнули, что протоколы TSP (Time-stamping Protocol, «штамп времени») и OCSP (Online Certificate Status Protocol, актуальный статус для данного сертификата) есть и функционируют, регулируются приказами ФСБ России. По данным вопросам найдены промежуточные решения, учитывающие специфику PKI-технологий и функционирование сервисов в легальном поле. Однако пока в сообществе ведется активная дискуссия, нет «золотой середины», которую можно выносить в закон. Возможно, требуется определить регулятора, который будет отвечать за данные вопросы. «Проблемы требуют обсуждения и нормативного регулирования», — подвел итог этой части дискуссии И. Качалин.
Мнения экспертов по вопросу возможности использования извлекаемого носителя для обезличенных сертификатов разошлись. С. Смышляев считает, что этот вопрос стоит на стыке ИБ и удобства пользователей и, по сути, представляет собой подпись информационной системы (ИС). Пользователи уже находят пути обхода существующих ограничений, поэтому практики видят возможность либерализации подхода к вопросу.
По мнению К. Дробаденко, извлекаемый носитель входит в согласованную модель угроз и действий нарушителя в отношении ИС. И рассматривать этот вопрос отдельно от общего контекста ИБ информационной системы не стоит.
МЧД
Вопросы машиночитаемых доверенностей и подтверждения полномочий — это насущные проблемы PKI и общего регулирования, подчеркнул глава АНО «НТЦ ЦК», переходя к следующему вопросу. Не все организации готовы использовать универсальный формат МЧД и задача регуляторов — вынудить всех перейти на единую форму МЧД, для чего необходимо внести изменения в 63-ФЗ и установить сроки перехода, составить классификатор полномочий, полагают эксперты. Ужесточение требований по использованию МЧД для тех сегментов, которые готовы перейти на новые технологии, позволит активнее развивать инструмент. В конечно итоге, он будет принят бизнесом и гражданами, считает В. Бражко, но доработка ИС по правилам, которые сильно размыты, — тяжелая и инвестиционно непривлекательная задача.
Ю. Шабанов считает, что для поиска общего решения необходим диалог ведомств и бизнеса. Минцифры не готов вводить нормативное регулирование, поскольку последствия могут быть непредсказуемыми.
Сертификаты физических лиц
Массовый переход на сертификаты физических лиц имеет как положительные аспекты, так и новые риски, которые мы, может быть, еще не распознали, отметил И. Качалин, открывая обсуждение следующего вопроса сессии. По мнению экспертов, сертификат физлица означает, что человек должен его беречь в паре с МЧД и ЭП. При этом возникают новые задачи, связанные повышением осведомленности граждан и технической подстраховкой пользователя. Переход на регулярное использование сертификатов и ЭП требует обновления части инструментария, усиления защиты систем, повышения грамотности физлиц и социальной ответственности АУЦ.
Массовая криптография
Продолжением темы сертификатов физлиц стал вопрос массового применения сертифицированных средств криптозащиты информации (СКЗИ). Это задел для массовой криптографии, который пригодится в рамках массового использования ЭЦП физлицами, считает С. Смышляев. При этом рассматриваются подходы, которые позволяют мобильным приложениям с СКЗИ жить и развиваться, не противореча требованиям регуляторов.
К. Дробаденко, в свою очередь, подчеркнул, что массовое применение СКЗИ — задача государственного суверенитета РФ. Ведётся работа с лицензиатами ФСБ, продукты востребованы, добавил он. Массовое проникновение СКЗИ должно происходить в составе предустановленных на устройства продуктов — отечественных ОС и браузеров с российской криптографией. Это облегчит массовому пользователю взаимодействие с органами власти и между собой. Задача регуляторов — предустанавливать такие продукты с СКЗИ на абонентские устройства, и этот вопрос потребует нормативного регулирования.
Законотворчество
Завершили стратегическую сессию вопросы законотворчества. В закон 63-ФЗ «Об электронной подписи» будет внесена норма, касающаяся сертификатов органов власти, не являющихся налоговыми агентами. Появится новый тип сертификатов для госструктур, взаимодействующих друг с другом. Сегодня такие организации получают сертификаты в УЦ Федерального Казначейства, который и ведет реестр таких учреждений.
В завершающей стадии готовности находится законопроект о национальном удостоверяющем центре, который призван легализовать сертификаты безопасности, подписей кода на основе ГОСТ. Этот законопроект станет продолжением PKI реформы.
На основе национального УЦ планируется создать единую инфраструктуру выдачи сертификатов как с отечественными, так и с иностранными СКЗИ с целью обеспечения национального суверенитета и противостояния иностранным УЦ, которые отзывают сертификаты безопасности в российском сегменте Интернета.
О проектах АНО «НТЦ ЦК»
В рамках первого дня мероприятия состоялось вручение дипломов победителям в ежегодных номинациях «PKI-Форума» за 2024 год. АНО «Национальный технологический центр цифровой криптографии» победила в номинации «Организация года».
О проектах, которые ведет АНО «НТЦ ЦК» рассказал заместитель руководителя проектной дирекции организации Андрей Пьянченко в докладе «Обеспечение аутентификации». Он прозвучал в рамках сессии «Системный подход в отрасли PKI: регулирование, комплексное использование, перспективные разработки».
Что нужно идентифицировать в рамках общих подходов к аутентификации? Волеизъявление, граждан/пользователей, сайты/порталы, информационные системы, программное обеспечение и устройства, включая IoT, пояснил спикер.
В части «Волеизъявление» работают положения 63-ФЗ и электронная подпись, подтверждающие юридическую значимость решения. Для аутентификации граждан АНО «НТЦ ЦК» ведёт проект «Адаптер-инфраструктура», в рамках которого разрабатываются сертификаты безопасности и порядок сертификации пользователей, а также сертификаты безопасности для информационных систем. Целями проекта стали разработка доверенной технологии единого входа (Single Sign On), обеспечение беспарольной криптографической аутентификации, упрощение подключения к ЕСИА информационных систем. Итогами реализации проекта станут модернизированный криптографический OpenID Connect 1.0 протокол, создание библиотек для встраивания в ядро системы идентификации, для встраивания в системы провайдеров идентификации и аутентификации, и библиотек для пользователей.
В части аутентификации веб-пространства традиционно используются разные подходы, которые не исключают реализацию атаки типа «человек посередине». В АНО «НТЦ ЦК» создаются сертификаты безопасности для веб-ресурсов в рамках проекта «Домен-Протокол», что включает создание инфраструктуры для выдачи сертификатов безопасности, реализацию криптографического протокола ACME на основе ГОСТ, клиент-серверной архитектуры и сертификатов. Андрей Пьянченко убежден, что отрасли необходим вывод вопросов сертификатов безопасности в правовое поле РФ, однако, пока такого законопроекта нет. АНО «НТЦ ЦК» создаёт удостоверяющий центр, который будет выдавать сертификаты на основе протокола ACME.
Аутентификация ПО ведётся на основе меток доверенного кода (CodeSign, МДК). В данном направлении НТЦ ЦК реализует проекты «Домен-Протокол» и «Репозиторий-Сертификат». Итогом работ стало создание инфраструктуры для выдачи МДК и управления жизненным циклом и библиотеки создания и проверки МДК. Это портальные решения, которые позволяют взаимодействовать с пользователями и УЦ для формирования меток.
В части сертификации оборудования на 2025 г. запланированы исследовательские работы по изучению криптопротоколов идентификации устройств.
Завершая выступление, докладчик отметил, что АНО «НТЦ ЦК» проводит работы почти по всем видам потребностей в части криптографической аутентификации. Однако по многим направлениям этой деятельности необходимо нормативное закрепление требований к криптографической аутентификации, в том числе со стороны регуляторов.
Еще один проект АНО «НТЦ ЦК» — НИР «Квант-2», в рамках которого организация ведет исследования по созданию механизма доказательства знания закрытого ключа для кодового KEM (Key Encapsulation Mechanism) — постквантового защищённого алгоритма шифрования с открытым ключом. Поскольку механизм долговременного ключа слишком мало исследован, чтобы встраивать его в другие решения, разработчики протокола выбрали промежуточный вариант кратковременного ключа с ограниченным сроком жизни.
О работах в данном направлении рассказал Евгений Алексеев. Его доклад был посвящен подходам к внедрению постквантовых криптографических алгоритмов в протокол TLS (transport layer security). Разработка алгоритма ведётся в ТК‑26 «Криптографическая защита информации». Параллельно на той же площадке ведутся работы по созданию постквантового протокола TLS. Разработанный протокол должен предъявлять чёткие требования к KEM, чтобы учесть их и обосновать то, что разработанный в будущем KEM им удовлетворяет.
Исследователи впервые разрабатывают протокол, который базируется на механизме, который разрабатывается другой группой на базе ТК-26, подчеркнул докладчик. По итогам проведенных работ потребуется полноценный криптографический анализ протокола и формирование требований к механизму KEM, а также прохождение экспертизы ТК‑26.