ДТС: третий — лишний?

Всем привет! Прежде всего: всех замечательных, милых, красивых, добрых и умных девушек с наступающим праздником! Чтоб все в вашей жизни менялось только к лучшему!

А теперь о насущном. В последнее время в наших кругах очень актуальна тема ДТС, т.н. «Доверенной третьей стороны».

ДТС – это организация, предоставляющая один или более сервисов в области безопасности, которой доверяют другие объекты как поставщику данных услуг.

Такое определение дает ей @distate_group. Вот собственно и их пост: http://distate-inc.livejournal.com/3719.html. Статья очень качественная и красивая, не поспоришь. Вот недавняя статья на портале iecp.ru. По ссылкам выше можно ознакомится с понятием ДТС и перспективами его использования. Кроме того, за воплощение ее в жизнь ратуют широко известные в узких кругах эксперты, имена которых не разглашаются))).

Я хочу сказать, что я никогда не был против чему-то новому и перспективному. И это было бы убийственно глупо в моей работе. Но все равно, самая смелая идея, если она имеет перспективы на реализацию, должна быть «основана на реальных событиях», быть полезна в реале, что-ли. Поэтому я позволю себе немного покритиковать, надеюсь мои коллеги присоединятся, ответят на мои риторические вопросы 🙂 и мы создадим качественно новое видение этого института.

Я позволю себе наглось базой взять чужой материал. Просто мне так легче сомневаться), а коллеги, думаю, смогут «понять и простить»)

Предпосылкой для создания ДТС, фактически, является то, что в мире, да и России, к счастью, очень много удостоверяющих центров. Выдают они сертификаты и выдают. А бедные потребители этих услуг вынуждены, обмениваясь подписанными электронными документами с контрагентами, решать вопрос доверия к этому многообразию УЦ. На практике это выглядит как единовременная установка корневого сертификата этого УЦ в соответствующий раздел хранилища операционной системы. На клиенте, на сервере, не суть. Главное, что это целых пять кликов мышкой. Ну, м.б. еще на клавиатуре что-то придется понажимать.

Другим пулом  «проблем» является хождения самого документа по внутри- и межкорпоративным просторам. Существуют, якобы, сложности с доставкой, контролем и, почему-то, юридической значимостью. С первыми двумя я еще могу согласится. Однако, мне на ум сразу приходит технология сдачи налоговой отчетности через специализированных операторов связи. Тут тебе и единое пространство доверия удостоверяющих центров (практически всех, имеющих даже небольшое значение для отрасли) и квитирование прохождения и получения документов, юридическая значимость, в конце концов. И все это работает уже почти 10 лет. Выходит, спецоператор связи и есть та самая ДТС. Остается растиражировать эту схему на остальные области применения ЭЦП и вот оно счастье? 🙂

К сожалению, следующий вопрос решить спецоператор не в силе. Это вопрос отзыва подписи на документе. На данный момент легитимного механизма для осуществления этой операции не существует. Ну, кроме временных показателей, конечно. Отправив контрагенту подписанное письмо, нельзя установить, допустим, срок действия подписи меньше срока действия сертификата ключа, которым оно было подписано. Можно отозвать сертификат, но нельзя отозвать подпись на документе. Но это проблема не спецоператора. И это даже не баг, это фича. Неотказуемость подписи называется. Хотя, иногда, так бы хотелось 🙂 Я вот, к примеру, только недавно с радостью узнал, что электронное письмо, если оно еще не было прочитано получателем, который является твоим соседом по почтовому серверу, можно отозвать. Еще бы смски, например, отзывать можно было 🙂

Предполагается. что сервис ДТС будет основан минимум на трех протоколах: DVCS, OSCP и TSP. Определения второго и третьего давать не буду, специалистам понятно, остальным скучно. А вот что такое DVCS, честно говоря, представляю, но академически объяснить не могу. Вот тут, кстати, интересная дискуссия была. На мой взгляд, оба участника в чем-то правы, но мне ближе позиция malotavr. Ну это наверное, и так понятно) Я никак не могу понять, почему УЦ должен привлекать стороннюю организацию, оказывающую мало кому понятный сервис DVCS, да еще и  OSCP и TSP, когда он и сам может это сделать. Ну п.2 и п.3 уж точно.

Допустим, речь идет об удобстве клиентов. Электронной торговой площадке нужно в секунду обратиться к 10 различным УЦ, чтоб проверить статус сертификата и проставить метку времени. Трафик, согласен. Но взамен, ей предлагается сделать тоже самое, но с одной ДТС. Получив от нее какие-то квитанции. Где юридическая сила этих квитанций? В ЭЦП ДТС на них? А что они вобще значат? С ЭЦП они, без ЭЦП.. Предполагается так же, что в силу ограниченности срока действия сертификата ЭЦП, электронный документ имеет юридическую силу только в период срока действия ЭЦП и соответствующего сертификата. Якобы, ДТС может решить эту проблему путем цикличного перезаверения выдаваемых квитанции все новыми и новыми ЭЦП, поверх старых.

Эту проблему я рассматривал в период своей работы в качестве дублера начальника управления архивами Ивановской области в молодежном правительстве. Архивы вещь долгохранящаяся, насколько вы понимаете, а перевести их в электронный вид с ЭЦП — проблема. Опять же по причине ограниченности срока действия сертификата. Так вот в нашем архивном деле этот вопрос так же пока не решен. Правда, в архивах деньги не водятся, поэтому там, сам по себе, он будет решаться еще не один десяток лет. Цикличное перезаверение — конечно решение, но очень уж корявое, на мои взгляд. Как я уже сказал, «квитанция на квитанцию» — это как изолента на изоленту вместо новой батареи).

Подводя промежуточный итог, я бы сказал, что ДТС — это дублирование функций УЦ сторонней организацией, с сомнительным юридическим фундаментом и непонятным статусом. Все службы, которые, на мой взгляд, действительно пригодились бы участникам документооборота с ЭЦП, УЦ может реализовать и без ДТС. То, что ДТС является единой точкой доступа к этим сервисам, вне зависимости от УЦ, выдавшего сертификат — тоже сомнительный плюс. Это вопрос надежности, юридических отношений, ответственности и т.д. Кроме того, все что было сказано выше, рассматривалось только в рамках правового поля РФ.

Некторыми сторонниками 🙂 внедрения ДТС предполагается. что таким образом можно будет установить единое пространство доверия ЭЦП в трансграничном масштабе. Не доверяет ЭТП, действующая в рамках российского законодательства, ЭЦП, например по технологии RSA — пусть обратится в ДТС и получит квитанцию о валидности этой подписи. А на каких правовых основаниях ЭТП будет доверять этой ЭЦП, так и не понятно. Т.е. мы не хотим доверять сувернной криптографии, допустим, Белоруссии, а ответам ДТС — пожалуйста 🙂 Кроме того, очень сомневаюсь, что какой-нибудь VeriSign, Inc с радостью подпишет договор с ООО «ДТС», по которому делегирует им свои функции. Я лично сторонник легализации иностранных алгоритмов на нашем рынке электронной коммерции. Подчеркну, не замены наших алгоритмов ихними, а именно совместного использования.

Вот таким у меня получилось впечатление о ДТС на данный момент. Возможно, уже через некоторое время я прочитаю этот пост и улыбнусь ему. Сейчас очень хочу продолжить обсуждение по этой теме с коллегами, к чему вас и приглашаю :).

 

 

 

 

Связанные записи

Метки: , , , , ,