Текст этого 81-страничного документа доступен по адресу
https://tc26.ru/upload/iblock/ca2/3m3tk7ct2sx2nnyxqclwpfwtgr7c8xt4/Project-UGOST-%D0%A0-TIO_02-04.pdf . Скачать форму отзыва и подать свои замечания можно на странице по адресу https://tc26.ru/discussions/proekt-1-red-gost-r-informatsionnaya-tekhnologiya-kriptograficheskaya-zashchita-informatsii-terminy-.html
Стандарт разработан «Академией криптографии Российской Федерации», и будет внесён Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации». Он содержит 195 основных и 36 дополнительных терминов.
К недостаткам проекта можно отнести придумывание новых терминов там, где их и без того больше чем нужно. Мало нам было «закрытого ключа» и «ключа электронной подписи» - теперь добавляется ещё и «личный ключ» (3.48) как предпочтительный (!) термин. Приведу статистику использования терминов по базе федеральных нормативно-правовых актов в справочно-правовой системы «Консультант+» (по действующим документам):
- «ключ электронной подписи» (как в Законе об электронной подписи) – 1004 документа;
- «закрытый ключ» - 141 документ;
- «личный ключ» - 11 нормативно-правовых актов (в основном это документы Евразийской экономической комиссии).
В стандарте предпочтительно используется термин «открытый ключ», что не соответствует терминологии действующего законодательства РФ.
Стандарт продвигает обитающий в переводных ГОСТах термин «цифровая подпись», в противовес предпочитаемому законодательством РФ и отраслевой литературой термину «усиленная электронная подпись», которому как раз соответствует международный термин digital signature. Само определение (изначально списанное с непопулярного определения в ISO 21188:2018, 3.30), на мой взгляд, очень странное и, с моей точки зрения. юридически безграмотное:
129. Цифровая подпись (digital signature): Результат зависящего от ключа подписи и параметров схемы цифровой подписи криптографического преобразования набора данных (сообщения), обеспечивающий возможность аутентификации (?) данных и невозможность отрицания факта создания (?!).
Для сравнения, в федеральном законе об электронной подписи от 28.12.2024 №521-ФЗ читаем:
Ст.2 (1): Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
Ст.5 (3): [Усиленной] электронной подписью является электронная подпись, которая:
- получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- позволяет определить лицо, подписавшее электронный документ;
- позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- создается с использованием средств электронной подписи.
Мне также не понравилось низкоуровневое ИТ-определение «штампа времени», совсем не отражающее правовую суть понятия (к тому же это очевидно неудачный перевод с английского):
56. Штамп времени (time-stamp token): Структура, криптографически связывающая набор данных со временем ее создания и применяемая для проверки того (?!), что данные были созданы до указанного момента времени.
На самом деле в рамка инфраструктуры открытых ключей штамп (отметка) времени – это юридически-значимый электронный документ, обычно выдаваемый и подписываемый доверенной третьей стороной и подтверждающий существование электронного объекта с конкретным хешем на указанный момент времени. Говоря иначе, штамп времени – это доказательство (а не инструмент проверки) существования электронного объекта на заданный момент времени.
В общем, хотелось бы, чтобы ГОСТ не противоречил законодательству РФ в части ключевой терминологии, поскольку в противном случае его публикация потенциально может принести больше вреда, чем пользы. А раз уж так много терминов связано с использованием усиленных электронных подписей, то неплохо было бы добавить термин «машиночитаемая доверенность» :)
«Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области криптографической защиты информации.
В целях унификации терминологии при разработке математического аппарата в области криптографической защиты информации, а также для исключения разночтений с терминологией смежных областей деятельности в настоящем стандарте приведены термины, введенные ГОСТ Р 7.0.8, ГОСТ Р 34.10, ГОСТ Р 34.11, ГОСТ Р 34.12, ГОСТ Р 34.13, ГОСТ Р 50922, ГОСТ Р 56205, ГОСТ Р 56498, ГОСТ Р ИСО/МЭК 27000, ГОСТ Р 57149».
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
- Общие термины и определения
- Термины и определения, относящиеся к ключевой системе
- Термины и определения, относящиеся к системе шифрования
- Термины и определения, относящиеся к системе цифровой подписи
- Термины и определения, относящиеся к системе имитозащиты
- Термины и определения, относящиеся к системе аутентификации сторон
- Термины и определения, относящиеся к средствам криптографической защиты информации
Алфавитный указатель терминов на русском языке
Алфавитный указатель терминов на английском языке
Приложение А (справочное): Вспомогательные термины и определения в области криптографической защиты информации, не включенные в раздел 3 настоящего стандарта
Приложение Б (справочное): Термины и определения, применяемые в областях деятельности, смежных с криптографической защитой информации
Библиография
Источник: Сайт ТК 26
https://tc26.ru/discussions/proekt-1-red-gost-r-informatsionnaya-tekhnologiya-kriptograficheskaya-zashchita-informatsii-terminy-.html
Комментариев нет:
Отправить комментарий