В рамках европейской программы по интероперабельности IDABC в интересах «электронного правительства», опубликован отчет о ходе исследований, направленных на создание единой концепции услуг по проверке электронных подписей. Отчет называется «Общая модель решения. Завершение разработки концепции услуг проверки электронных подписей» (Common Solution Model. Completion of the framework for signature validation services), и его можно скачать по указанной в конце поста ссылке.В отчете анализируются основные препятствия для организации службы проверки подписей и их трансграничного использования, предложены два основных варианта решения проблемы.
Приведенный ниже фрагмент взят из резюме для руководства:
В предыдущих отчётах о ходе исследований по тематике «Европейской федеративной службы проверки подписей» (European Federated Validation Service, EFVS) мы изучали возможность создания в европейском масштабе службы проверки электронных подписей, основанной на федеративной модели, объединяющей местных (например, национальных) поставщиков соответствующих услуг. Выпущенная серия отчётов, однако, показала, что создание такой функциональности (и в целом служб проверки подписей) в настоящее время связано с большими проблемами на трансграничном уровне, поскольку между изученными решениями очень мало сходства по видам предоставляемых услуг.Второй фрагмент – из введения:
Кроме того, пока еще остаётся много открытых вопросов, - в том числе связанных с качеством сертификации, качеством подписей, политикой проверки подписей, проверкой в долгосрочной перспективе, семантикой, материальной ответственностью, взаимоотношениями между заинтересованными сторонами (поставщиками услуг проверки подписей, удостоверяющими центрами, полагающимися на подписи сторонами и подписантами), и т.д. На практике поставщикам услуг проверки подписей приходится решать эти вопросы самостоятельно, получая на европейском и международном уровне очень немного рекомендаций относительно выбора наиболее приемлемых решений. Это крайне осложняет задачу создания службы проверки подписи, способной работать на общеевропейском уровне.
В данном отчете рассматриваются возможности по такой ликвидации этих пробелов, которая бы позволила поставщикам соответствующих услуг работать на общеевропейском уровне, в рамках последовательной и всеобъемлющей концепции, решающей оставшиеся правовые, технические проблемы и проблемы обеспечения доверия.
Проведенный анализ показал, что для решений по проверке подписей в настоящее время есть две варианта создания доверия на трансграничном уровне. Первый вариант предусматривает использование возможностей, заложенных в существующей модели доверия, созданной Евродирективой об электронных подписях, которая ввела концепцию квалифицированного сертификата и передала этот вопрос под национальный контроль. Это означает, что квалифицированные сертификаты могут выиграть от придаваемого им по умолчанию доверия, основанного на едином правовом режиме (т.е. на Директиве и ее национальных адаптациях), который реализуется (по крайней мере, в теории) благодаря равноценным национальным режимам контроля.Источник: сайт ePractice.eu
Есть ряд практических трудностей, из-за которых такой подход сложно последовательно применять в европейском масштабе, - однако это большей частью сравнительно мелкие проблемы, которые можно урегулировать в рамках существующего права и концепции доверия. Ряд шагов, которые могут быть сделаны для решения этих проблем, в настоящее время предлагается в контексте проекта «Трансграничная интероперабельность электронных подписей» (Cross-Border Interoperability of eSignature, CROBIES), выполняемого компанией Siemens.
Второй вариант предусматривает ведение деятельности в основном на договорной основе, которая не зависит исключительно от европейской нормативной базы и её модели доверия. Путем заключения соответствующих контрактов, такие поставщики услуг также могут предложить полезные трансграничные услуги по проверке в отношении подписей, не основывающихся на квалифицированных сертификатах, - что потенциально обеспечивает им более широкую сферу применения.
В этом случае поставщик услуг устанавливает собственные нормы и стандарты, которые он применяет их к произвольному числу выбранных УЦ, и которые он предлагает своим клиентам в соответствии с их потребностями. У такого подхода есть преимущество применимости в международном масштабе (поскольку нет необходимости явно привязываться к европейским нормам и стандартам), но он одновременно требует намного больших усилий и ответственности от поставщика услуг проверки подписей как от единственного источника доверия (одновременно обеспечивающего технические и правовые гарантии).
С точки зрения интероперабельности, использование данного варианта создает риск того, что различные поставщики услуг будет применять различные нормы и стандарты, и в итоге им же будет сложно сопоставить гарантии, обеспечиваемые различными поставщиками услуг проверки подписей.
Таким образом, у существующей европейской концепции электронных подписей есть потенциал для поддержки интероперабельности подписей, основанных на квалифицированных сертификатах, поскольку Директива об электронных подписях содержит концептуально здравую основу для доверия к таким подписям, - хотя кое-какие важные вопросы (рассматриваемые в рамках проекта CROBIES) ещё предстоит решить.
Тем не менее, даже в отношении подписей, основанных на квалифицированных сертификатах, всё еще остаётся ряд сложных открытых вопросов, в том числе желательность разработки единого подхода к соответствующему надзору над деятельностью УЦ (в настоящее время такой надзор является чисто национальной компетенцией); урегулирование вопроса о том, необходимо ли получать заключение уполномоченного органа для того, чтобы устройство для создания подписи считалось «защищённым»; и сложность надежной проверки в долговременной перспективе в отсутствие законченной концепции услуг, связанных со временем (отметки времени, электронная архивация и т.д.).
Что касается электронных подписей, не основывающихся на квалифицированных сертификатах, то здесь проблемы еще сложнее, особенно в связи с тем, что Директива об электронных подписях не предоставляет убедительной основы для доверия к таким подписям. Надзор требуется только над поставщиками публичных сертификационных услуг; и хотя схемы добровольной аккредитации теоретически могут решить некоторые из вопросов о доверии к подписям других типов, однако подобные схемы могут достаточно вольно определяться на национальном уровне (т.е. схемы разных стран не будут эквивалентными), и они не являются обязательными. В этой связи в отчете сделан вывод о том, что проверка электронных подписей сталкивается с серьезными препятствиями, как на техническом, так и на правовом и оперативном уровне.
В проекте EFVS эти вопросы рассматриваются с точки зрения проверки подписей на европейском уровне. Проект CROBIES, с другой стороны, изучает проблему интероперабельности электронных подписей в целом, но особенно уделяет внимание этой проблеме в контексте трансграничного использования. Занимаясь проработкой возможных улучшений в рамках последовательного глобального и долгосрочного подхода, проект CROBIES одновременно ищет и возможности для получения быстрого эффекта, которые могли бы существенно улучшить интероперабельность электронных подписей. К их числу в первую очередь относятся: создание единой концепции национальных «списков доверенных поставщиков» (Trusted Lists), в которые включаются контролируемые / аккредитованные поставщики сертификационных услуг; усилия по стандартизации в области электронных подписей, - в частности, в связи с профилями сертификации, профилями защищённых устройств для создания подписи (SSCD) и форматами подписей; а также разработка критериев в плане надзора и контроля.
Однако, поскольку в проекте CROBIES ставится цель достижения быстрой отдачи, постольку ему приходится опираться на существующие рамки, определенные Директивой об электронных подписях. В итоге проект сталкивается с теми же, уже названными выше трудностями: существенной отдачи от него можно ожидать главным образом в отношении подписей, основанных на квалифицированных сертификатах, и куда меньшей – в отношении других видов усиленных подписей. Точно так же по-прежнему остаётся ряд открытых вопросов.
http://www.epractice.eu/files/Common%20Solution%20Model-%20Completion%20of%20the%20framework%20for%20Signature%20Validation%20Services%20-%20Final%20Report.pdf
Комментариев нет:
Отправить комментарий