Get best of the week

俄罗斯联邦对数字信任服务的技术和法规支持

本系列文章的目的是回顾组织数字环境中建立信任的过程的法规,技术和法规条件。
确保和发展数字信任空间的问题与世界各地相关。自1980年代以来,以及至少在2000年代初通过关于电子数字签名的联邦法律1-以来,在俄罗斯联邦,它们就已在议程上,并在某种程度上得到了解决。在监管机构(俄罗斯通信部,俄罗斯联邦安全局,俄罗斯联邦税务局),用户和运营商级别上,在建立对数字环境的信任的过程中,讨论最多的问题是确保使用手写签名类似物(电子签名(E签名),电子数字签名(EDS))的监管框架。 ),以确保跨境电子文档管理的有效性。在2018-2020年间,这一讨论导致了数字环境信任领域中联邦立法的重大现代化,即27号第476-号联邦法律的出现。2019年12月12日,它对2011年4月6日“关于电子签名”的第63-号联邦法律进行了重大修改。在下文中,将主要考虑对信托服务的修改,并以“可信赖的第三方”(TPA)的概念统一在476-中。

在俄罗斯联邦立法中,这一概念随国际文件“欧亚经济联盟条约”(2014年5月29日在阿斯塔纳签署)的签署而出现,该文件定义了EAEU中的经济一体化问题。该协议包含附录3“欧亚经济联盟内部的信息和通信技术及信息交互协议”。该协议是解决使用TPA技术确保对具有电子签名的跨境文档信任的问题的法律基础。该协定的另一个特点是,它仅为当局之间的关系提供了解决这一问题的办法。(G2G)。根据EEC理事会2016年9月27日第105号决定(以下简称“战略”)批准的“发展跨界信任空间战略”:
“电子交互的主体还可以是第三国的政府机构(其官员和雇员),个人和法人实体(法人的代表),整合协会的官员和雇员,国际组织,但要缔结相关的国际条约。”
在跨界信任空间发展的第二阶段(到2020年),设想:
“当个人和法人在其领土内时,个人与法人之间以及与成员国的州当局之间进行电子交互的可能性”。

因此,根据《战略》,应在今年已经在EAEU中建立确保在EAEU跨界信任空间内的法人和个人的电子签名中信任的法律,组织和技术条件。

在欧亚经济联盟(EAEU)国家/地区的法律中,作为电子文档财产的法律效力的提供是基于对文档真实性和完整性的保证。在这种情况下,主要是*为了确保电子文档的真实性和完整性,使用了加密方法,并在国际和国内立法中奠定了法律基础。俄罗斯联邦许多国家/地区的经济伙伴基于2001年贸易法委员会“关于电子签名”的示范法,以电子文件的法律意义为基础制定法律,其技术基础规定了加密电子签名(数字签名)(表1)。

立法基于2001年《贸易法委员会电子签名示范法》* 2的国家/地区列表



因此,组织跨境受保护的具有合法法律意义的电子交互的任务被简化为参与国之间法律法规差异(例如,使用密码工具的条件要求)以及确保特定安全值的手段和方法之间的协调。

例如,在欧盟和EAEU国家,使用加密工具来组织安全的电子文档管理。

同时,许多国家/地区都在开发自己的加密技术,用于创建和验证电子签名(EDS)的加密算法标准以及用于实现这些算法的自身机制(电子签名工具及其类似物)。* 3

通常,这些解决方案彼此不兼容,即使用基于加密标准(例如白俄罗斯共和国)的电子签名签名的电子文档无法使用哈萨克斯坦共和国的电子签名和俄罗斯的电子签名进行验证。

让我们进一步考虑可能解决该问题的技术方案。

选择1:在这种情况下,最明显的解决方案似乎是对电子签名过程中的信息交互参与者使用通用的统一加密标准(图1)。



为了支持后苏联时代的这种方法,独联体国家制定了加密标准-GOST 34.310-2002。“信息技术。密码信息安全。电子数字签名的形成和验证过程”和GOST 34.311-95 “信息技术。加密信息安全。哈希函数。”同时,许多国家/地区根据美国密码技术的发展情况,将其嵌入操作系统解决方案中。

但这与国家主权原则相抵触,后者决定了使用根据国家标准认证的电子签名方式的合理性,也确定了在不同国家使用电子签名的法律依据的特殊性。从术语开始,以手写签名类似物的语义内容结束,这些差异可能非常明显。由于这些原因,“选项1”不能被视为确保承认外国电子签名的普遍解决方案,尤其是在俄罗斯联邦。

选项2:似乎另一个明显的解决方案应该是一种基于伙伴的电子签名工具(CIP)进出口/相互法律交换的方法,以装备国家信息系统和外国信息系统的国家用户(图2)。



但是此选项具有大量的组织和技术难题,并且不能解决所有问题。首先,电子签名是加密(加密)手段,其导出和导入有许多严重的限制,阻碍了该选项的实施。按照《海关联盟向海关领土进口和从海关联盟从海关领土出口(加密)手段的程序规定》:
“加密手段的进出口是根据国家授权机构(在申请人注册地的关税同盟成员)颁发的一次性许可证进行的。”
此外,与使用电子签名手段有关的许多问题需要由按照国家法律要求进行操作的认证服务提供商(例如,认证机构)进行定期维护,并且很难在存在的国家/地区获得此类服务。即使解决特定信息系统的电子签名工具的进出口问题,当系统规模扩大时,组织问题也会再次出现,因为它们需要对这些资金进行逐项核算,并且每种进出口情况都需要一次性许可证。

此选项的技术特征还包括需要为所有信息系统和所有供应商配备全套电子签名工具,目前,除了组织上的困难外,由于使用最常见的密码信息保护工具使用同一计算机工具时缺乏兼容性,这使情况更加复杂。

此选项的法律劣势包括以下事实:在这种情况下,双方没有机会获得书面证据证明使用签名验证密钥证书根据电子文档原产国的法律对特定类型的文档进行签名是合法的。结果,每个交易对手必须做出对电子文档信任的决定,而没有足够的法律依据。

因此,基于CIPF进出口的备选方案2不是技术性的,不适用于大规模使用,开发信息系统以及要求使用电子文档具有明确法律条件的信息系统。

为了实现基于密码工具的安全的,具有法律意义的跨境电子跨境文件流,建议使用其他方法,这些方法应允许对信息流进行基本等效的(在边界两侧)加密保护级别,并具有充分的法律依据以承认电子文件的法律效力,即足够的监管框架提供的方法。

选项3:这是“ 受信任的第三方”的选项,根据以下三个基本原则实施:

  1. « » , ;
  2. ;
  3. - « » , ()*4.

实施这些基本原则的各方之间的交互方案如图3所示。



根据联邦法律N476- (“关于对电子签名的联邦法修正案”和联邦法第1条(关于在实施国家控制(监督)和市政控制的过程中保护法人和个体企业家的权利)的修正案) )在第7条中:
«3. , , , , . , , , , ».

因此,考虑到这些规定,相互承认跨境电子签名的法律模型的基础应该是俄罗斯联邦的国际条约。这些修正案生效后(在撰写本文时,将于2020年7月1日确定生效),我们将监视此类国际条约的出现,并分析这些运营商在解决此问题方面的实践。

在本系列的以下文章中,我们将尝试考虑与电子签名相关的其他任务,根据俄罗斯联邦的现行法律,这些任务可以并且将分配给受信任的第三方。

* 特别是有例外,2011年4月6日的俄罗斯联邦第63-FZ号联邦法律规定了使用非加密简单电子签名的可能性,在本材料中不会认为该电子签名不适用于所应用的任务。

* 2 基于:

  • EP领域立法的一般准则:国家/地区立法和执法摘要/ Adob​​e Systems Incorporated 2016。
  • 全球网络安全指数和网络安全概况。报告。由国际电联网络安全小组委托的ABI研究。2015年4月
  • 公司研究组“ Gazyformservice”的研究报告,2018-2020年

* 3 EAEU国家/地区的标准基于共同的方法,但是目前,国家“迈向”实施是不兼容的。

* 4受信任的第三方(TPA)是提供一个或多个安全服务并在与这些安全服务有关的操作方面受到其他实体信任的组织或组织的代表。(ITU IT X.842建议书。信息技术-安全技术-受信任的第三方服务的使用和管理准则)。

Sergey Anatolyevich Kiryushkin
博士,Gazinformservice LLC总经理顾问

Vladimir Nikolaevich Kustov,
工程学博士,教授,UC GIS LLC总经理顾问

More articles:


All Articles