Проблемы инфраструктуры открытых ключей и электронной подписи волнуют многих участников рынка – банки, компании, удостоверяющие центры. Со своей стороны, Министерство связи и массовых коммуникаций Российской Федерации стремится создать для участников рынка легальную возможность дистанционного взаимодействия по понятным процедурам, что позволит обоснованно доверять своему удаленному контрагенту.

Замглавы Минкомсвязи России Олег Пак, выступая на «PKI-Forum Россия 2016», отметил, что в основе дистанционного взаимодействия лежит универсальность и простота использования электронной подписи, а также надежность процедуры первичной идентификации владельца электронной подписи и процедуры последующей конфиденциальности использования ключей подписи.
Для того чтобы достичь поставленных целей, Минкомсвязь вместе с заинтересованными участниками рынка должны реализовать ряд мер. Так, министерство подготовило законопроект об изменениях законодательства об электронной подписи, который вводит полномочные сертификаты. Изменения предполагают, что выдачу полномочных сертификатов будет осуществлять ряд ведомств, а также аккредитованные удостоверяющие центры (УЦ). Планируется, что этот документ будет внесен в Государственную Думу РФ в 2017 году.

Пока что прорабатывается необходимость централизованного хранения и предоставления информации о выданных полномочных сертификатах и об отраженных в них полномочиях.
В настоящее время перед Минком­связью стоит еще одна серьезная задача – обеспечить надежность процедуры первичной идентификации владельца квалифицированного сертификата.

Директор правового департамента Минкомсвязи России Роман Кузнецов, выступая перед участниками «PKI-Forum Россия 2016», отметил, что ситуация, при которой удостоверяющий центр фактически безнаказанно нарушает установленные требования, недопустима и может подорвать доверие к таким удостоверяющим центрам и к использованию квалифицированной подписи. «Для пресечения такой тенденции министерством разработан законопроект, предусматривающий административную ответственность за подобные правонарушения в виде штрафов от 5 тыс. рублей до 500 тыс. рублей. Мы надеемся, что законопроект, подготовленный ко второму чтению, будет принят в текущем году», – пояснил Роман Кузнецов. 

«Также планируется установить ответ­­ственность за нарушение конфиденциальности ключей квалифицированной подписи лицами, которые не относятся ни к аккредитованным удостоверяющим центрам, ни к владельцу квалифицированного сертификата, но участвуют в технической организации процесса подписания электронного документа», – сообщается в пресс-релизе Минкомсвязи.
Немного раньше, 8 июля 2016 года, вступил в силу ряд поправок, внесенных Федеральным законом от 30.12.2015  №445-ФЗ в Федеральный закон «Об электронной подписи». В основном поправки касаются деятельности удостоверяющих центров.

Например, аккредитованные УЦ теперь будут проверять информацию, представленную клиентом, с помощью системы межведомственного электронного взаимодействия (СМЭВ). Предполагается, что для этого удостоверяющим центрам будет необходимо ­подключиться к сервисам органов исполнительной власти, таким как Федеральная налоговая служба РФ, Пенсионный фонд РФ и др.  

Николай АФАНАСЬЕВ, 
менеджер по развитию продуктов компании «Аладдин Р.Д.»

Токен с неизвлекаемым ключом электронной подписи надежно защищает ключ от кражи. Однако киберпреступники с помощью вредоносного ПО научились подписывать поддельные документы без кражи ключей. Наиболее распространенными схемами подобного мошенничества являются следующие: подмена подписываемых документов и подписание посторонних документов на ключах легального пользователя с использованием заранее перехваченного PIN-кода или в состоянии «залогиненности» токена.

В связи с этим для надежной защиты от кражи денежных средств системы ДБО должны обеспечивать на клиентской стороне изоляцию программно-аппаратной среды, используемой клиентом для создания и подписания распоряжений на осуществление перевода денежных средств. Изолировать эту среду необходимо от среды, используемой клиентом для визуального контроля и подтверждения ключевых реквизитов таких распоряжений.

Среда для визуального контроля и подтверждения должна обеспечивать:

•  отображение реквизитов платежного распоряжения для их визуального контроля и подтверждения клиентом;
•  формирование аутентификатора от визуализированных и подтвержденных клиентом реквизитов распоряжения с использованием секрета, недоступного среде создания распоряжений.

Сервер ДБО должен с использованием полученного аутентификатора проверить, что:

•  аутентификатор был сформирован в среде для визуального контроля с подтверждением, принадлежащим именно этому клиенту;
•  значения подтвержденных реквизитов совпадают со значениями этих же реквизитов из подписанного клиентом распоряжения.

Если средой для создания и подписания распоряжений является обычный ПК, то среду для визуального контроля и подтверждения могут успешно реализовать устройства Trust Screen, подключаемые к ПК.