следующая тема »

[Николай Николаевич Федотов]

Там все-таки есть одна тонкость. ЕМНИП ФЗ Об ЭЦП требует наличия корневого удостоверяющего центра. Его, AFAIK, пока не существует. Хотя уже неоднократно были сообщения о том, что он вот-вот будет и он уже должен был отработать период тестовой эксплуатации.

Отсутствие корневого удостоверяющего центра =>
Несоблюдение обязательных требований закона =>
Априорная недействительность ЭЦП в силу закона (экспертиза бессмысленна)
ИМХО.

Отсутствие каких-либо технических знаний делает ваше сообщение для меня практически бессмысленным. Не могли бы подробнее. Заранее спасибо.

Все используемые в цитированном тексте понятия и термины содержатся в законе об ЭЦП. Считается, что понимание закона не требует специальных знаний.

Кстати, отсутствие корневого УЦ вовсе не делает сертификаты ключа подписи недействительными. Главное, чтобы выдавший их УЦ имел лицензию. А лицензии имеются.

[sanyock]

1) Могут ли УЦ быть разными?

2) И кроме того по словам КриптоПро нужно предварительное соглашение между пользователями. Может быть есть УЦ, у которого есть опция предварительного соглашения присоединения именно для заключения договоров, где УЦ на пару с судом мог бы выступать в качестве арбитра? Такое соглашение могло бы содержать алгоритм разбора конфликтных ситуаций. Могло бы такое соглашение с УЦ исключить необходимость заключения соглашения непосредственно между пользователями, если бы обе стороны получали сертификаты в этом УЦ?

[korsar]

Подниму тему.
имеется множество организаций с которыми нужно перезаключать или заключать дополнительные соглашения, касающиеся электронного документооборота.

Все эти организации имеют договорные отношения с УЦ и имеют необходимые ключи и серптификаты. УЦ этих абонентов имеет коссертификации с нашими доверенными УЦ (т.е у нашего УЦ есть доверенные УЦ) - т.е мы имеем возможность принимать (и принимаем) от них документы в электронном виде с ЭЦП.
Вопрос - достаточно ли всего этого ,чтобы заключать вышеупомянутые соглашения в электронном виде с ЭЦП?

[zver]

1) Могут ли УЦ быть разными?

Да могут быть, главное чтоб они выпускали сертификаты одного формата и по ГОСТ-вым алгоритмам. Для конечного пользователя наличие кросс-сертификации (доверительных отношений) между разными УЦ позволит незначительно упростить процесс проверки ЭЦП.

2) И кроме того по словам КриптоПро нужно предварительное соглашение между пользователями. Может быть есть УЦ, у которого есть опция предварительного соглашения присоединения именно для заключения договоров, где УЦ на пару с судом мог бы выступать в качестве арбитра? Такое соглашение могло бы содержать алгоритм разбора конфликтных ситуаций. Могло бы такое соглашение с УЦ исключить необходимость заключения соглашения непосредственно между пользователями, если бы обе стороны получали сертификаты в этом УЦ?

1. У каждого УЦ есть Регламент - основополагающий документ, по которому этот УЦ работает. В Регламенте прописывается порядок осуществления УЦ проверки ЭЦП по запросу пользователя. Такая проверка - одна из основных функций УЦ. В результате проверки УЦ выдает экспертное заключение, которое подтверждает, что ЭЦП на предоставленном для проверки документе действительна, и что сертификат пользователя, проставившего ЭЦП, был действителен на указанный в запросе момент времени. При этом бремя доказывания достоверности даты и времени формирования ЭЦП в документе возлагается на "владельца" ЭЦП! Последний момент очень важен, поскольку время простановки ЭЦП на документе задается "владельцем" ЭЦП и возможна махинация: сертификат на момент подписания был просрочен (или отозван), а пользователь поставил на компьютере более раннюю дату и в ЭЦП попало время, когда сертификат был еще действительным.
Существуют способы избежать подобных проблем, если интересует могу написать.
2. Получая сертификат в УЦ пользователь подписывает Соглашение о присоединении к Регламенту УЦ, тем самым принимая порядок работы, установленный Регламентом. Регламент содержит указания на т.н. области применения сертификата, каждая из которых определяет то, для чего сертификат может применяться (для электронного документооборота, электронной торговли, авторизации и т.д.). Каждая область применения имеет свой идентификатор, и этот идентификатор заноситься в сертификат. Помимо этого УЦ в качестве доп. услуги может разработать Политику применения сертификатов, которая будет конкретизировать взаимоотношения пользователей, в сертификатах которых проставлено указание на эту Политику. В Политике уже прописываются все нюансы разрешения конфликтных ситуаций. Получая сертификат, пользователь подписывает Соглашение о присоединении к Политике и дополнительных соглашений между присоединившихся к Политике пользователями не требуется.