Журнал "Information Security/ Информационная безопасность" #1, 2023

Проверка фамилии, имени, отчества и ИНН физического лица в СМЭВ не проводится, так как предоставление све- дений о документе, удостоверяющем личность физического лица, и сведений о физическом лице по фамилии, имени и отчеству может выполняться только федеральным и региональным органом исполнительной власти (а не УЦ или ДТС). Получение данных о юридических лицах иностранных государств из СМЭВ не выполняется ввиду невозможности получения таких данных из СМЭВ. Кроме того, существуют категории данных, по которым СМЭВ будет воз- вращать отрицательный результат про- верки: l данные судей не пройдут проверку в СМЭВ, так как в соответствии со ст. 2 ФЗ от 20.04.1995 г. № 45-ФЗ "О госу- дарственной защите судей, должностных лиц правоохранительных и контроли- рующих органов" их данные подлежат государственной защите; l данные юридических лиц, которые являются резидентами недружественных стран, могут быть скрыты в ЕГРЮЛ. Возможное решение: обновить (допол- нить) справочник СМЭВ, а также скор- ректировать список получателей сведе- ний СМЭВ, дополнив его ДТС. Еще одним препятствием при получе- нии сведений из СМЭВ является невоз- можность их запроса доверенной третьей стороной (если юридическое лицо, предоставляющее услуги ДТС, не является одновременно и аккредито- ванным УЦ), потому что ДТС как полу- чатель сведений СМЭВ отсутствует в перечне возможных получателей. Так, например, вышеперечисленные сведе- ния могут получить только УЦ и феде- ральные и региональные органы испол- нительной власти. Согласно принятому Постановлению Правительства РФ от 10.10.2022 г. № 1797, вносящему изменения в Пра- вила подключения организаций к СМЭВ, если необходимость взаимодействия информационных систем, подключае- мых организаций с инфраструктурой электронного правительства, пред- усмотрена федеральными законами, актами президента РФ или актами Пра- вительства РФ, решение о присоедине- нии информационной системы органи- зации к инфраструктуре принимается Минцифры в соответствии с регламен- том соответствующей информационной системы инфраструктуры электронного правительства, утвержденным прези- диумом Правительственной комиссии по цифровому развитию. Ввиду того, что не все изменения Постановления Правительства РФ всту- пили в силу, если ДТС не является одновременно аккредитованным УЦ, то при проверке данных владельца серти- фиката могут выполняться только про- верки без подключения к СМЭВ. Нюансы выдачи сертификатов некоторым службам УЦ и ДТС и возможные пути решения В соответствии с п. 2 ст. 10 63-ФЗ от 06.04.2011 г. "Об электронной подписи" "участники электронного взаимодействия не вправе устанавливать иные, за исклю- чением предусмотренных настоящим Федеральным законом, ограничения при- знания усиленной квалифицированной электронной подписи". В отношении сер- тификатов пользователей данное ограничение представляется способом избавиться от множества объектных иден- тификаторов (OID), которые по тем или иным причинам зачастую требовались для возможности применения в конкрет- ной информационной системе. Однако в отношении сертификатов ДТС и служб TSP, OCSP исключение OIDов является нарушением текущих технических специ- фикаций (RFC, МР, формуляров на сер- тифицированные службы УЦ). RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (п. 4.2.1.4) определяет OID как политику, согласно которой сертификат был выпущен, и цель, для которой сертификат может быть использован. На практике объ- ектные идентификаторы в назначении сертификата используются для опреде- ления степени доверия к сертификатам. А ДТС и службы УЦ являются службами, обеспечивающими высокий уровень доверия, а значит, их сертификаты долж- ны изготавливаться уполномоченными на это УЦ, а их назначение должно быть идентифицировано объектными иденти- фикаторами, как это и предполагается техническими спецификациями. Сертификат OCSP-сервера согласно RFC и МР должен содержать OID 1.3.6.1.5.5.7.3.9, расширение ExtendedKeyUsage (EKU) долж- но быть помечено как критическое и содер- жать назначение "подпись ответов службы OCSP" (id-kp-OCSPSigning). При этом для обеспечения доверия сертификат OCSP- серверу должен выдать УЦ, выдавший проверяемый сертификат. Согласно текущему законодательству сертификат OCSP-сервера является сер- тификатом для автоматического создания ЭП и в соответствии с п. 5 ст. 17.2 ФЗ от 06.04.2011 г. № 63-ФЗ "Об электронной подписи" должен выдаваться УЦ ФНС. К подобным сертификатам также отно- сятся сертификаты TSP-сервера и сер- вера проверки электронной подписи доверенной третьей стороны. Так, сертификат TSP-сервера согласно RFC 3161 Internet X.509 Public Key Infra- structure. Time-Stamp Protocol (TSP) с уче- том Р 1323565.1.044–2022 "Информа- ционная технология. Криптографическая защита информации. Использование россий- ских криптографических алгоритмов в протоколе штампов времени (TSP)" должен содержать OID 1.3.6.1.5.5.7.3.8, расширение EKU должно быть помечено как критическое и содер- жать назначение "подпись штампов вре- мени" (id-kp-timeStamping). Отсутствие OID повлечет некорректную обработку метки доверенного времени в клиентских приложениях. Сертификат сервера ДТС согласно RFC 3029 Internet X.509 Public Key Infra- structure. Data Validation and Certification Server Protocols с учетом проекта МР "Информационная технология. Крипто- графическая защита информации. Про- токол сервера проверки и удостоверения данных" должен содержать OID 1.3.6.1.5.5.7.3.10, расширение EKU долж- но быть помечено как критическое и содержать назначение "подпись отве- тов службы DVCS" (id-kp-dvcs). Отсут- ствие данного OID является несоответ- ствием международным рекомендациям, что крайне нежелательно для сервисов, позиционируемых для участия в транс- граничных процессах. Возможное решение: УЦ ФНС должен выдавать сертификаты серверу ДТС и службам TSP и OCSP, так как они являются сертификатами только для автоматиче- ского создания электронной подписи, но выдать такие сертификаты не может, пото- му что не поддерживает выдачу сертифи- катов с дополнительным OID, требующимся согласно техническим спецификациям. Для синхронизации законодательства с практикой применения "служебных" квалифицированных сертификатов мы предлагаем внести следующие измене- ния в ФЗ от 06.04.2011 г. № 63-ФЗ "Об электронной подписи": 1. В части сертификатов, используемых для автоматического подписания, исклю- чить из перечня сертификаты служб TSP и OCSP. Данные сертификаты должен выда- вать сам аккредитованный УЦ, в состав которого входят службы TSP и OCSP. 2. В части невозможности использо- вать специальные объектные иденти- фикаторы для ДТС и служб TSP и OCSP. Требования к наличию OID в сертифи- катах должны быть приведены в норма- тивно-технических документах (стандар- тах, рекомендациях по стандартизации) на соответствующий протокол. Опыт работы компании "Газинформ- сервис" и УЦ "ГИС" в области PKI пока- зывает, что сегодня существуют спорные моменты для признания проверки дей- ствительности цепочки квалифициро- ванных сертификатов в соответствии с требованиями отечественных норматив- ных документов корректной, однако также есть предложения по их решению, подготовленные в том числе с учетом мнения и практического опыта эксперт- ных организаций. l • 37 Электронная подпись www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ООО "Газинформсервис" см. стр. 48 NM Реклама