Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.
| Вид материала | Исследование |
- Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
- Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
- «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
- Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
- «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
- Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
- Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
- Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
- М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
- Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.
3.9 Выводы
В настоящее время не все страны-члены прямо сформулировали презумпцию соответствия стандартам, включенным в Официальный бюллетень.
Что касается стандартов безопасности, относящихся к квалифицированным электронным подписям в Директиве, то для них существует только один пакет стандартов, разработанный EESSI и основанный на технологии PKI, так как требования Статьи 5.1 предполагают использование решений на базе сертификатов. Это может создать препятствия для реализации квалифицированных электронных подписей на основе других технологий, и поставить од сомнение использование PKI для других электронных подписей.
Разработка стандартов EESSI и публикация их номеров в Официальном бюллетене потребовали гораздо больше времени, чем ожидалось. Это привело к ситуации, когда некоторые страны либо разработали собственные технические интерпретации Директивы (отсюда различие в требованиях разных стран), либо дожидались появления стандартов (отсюда отсутствие на рынке места для поставщиков продуктов и услуг). Ясности в том, какие стандарты следует применять, не было до самой публикации ссылок на стандарты в Официальном бюллетене в июле 2003 года.
Разработку единых спецификаций алгоритмов и параметров для электронных подписей следовало бы провести намного раньше на европейском уровне, например, через EESSI. Отсутствие в настоящее время общепризнанных спецификаций приведет к проблемам с совместимостью и с признанием продуктов и услуг за рубежом. Современная ситуация, когда существует несколько национальных спецификаций, чаще всего опубликованных только на национальном языке, также может рассматриваться как рыночный барьер.
Что касается стандартов совместимости, то отсутствие технической совместимости как на национальном, так и на международном уровне является серьезным препятствием для принятия и распространения электронных подписей на рынке. Это привело к появлению множества изолированных «островков» применения электронных подписей, где сертификаты только одного ЦС могут использоваться для одной области применения. Лишь в немногих случаях сертификаты нескольких ЦС действительно используются во многих сферах применения. На европейском уровне для обеспечения совместимости следовало сделать куда больше:
- Хотя EESSI работала над стандартами совместимости, эти стандарты неохотно принимались в ряде стран-членов и тем самым не привлекли к себе необходимого внимания на ранней стадии.
- Хотя Комиссия спонсировала ряд проектов по исследованию и разработке, связанных с обеспечением совместимости (pki Challenge, ESTIO, TIE), результаты этих проектов никак не проявились ни на рынке ни, конечно же, в сферах применения электронных подписей.
Разработку, развитие и применение стандартов совместимости сейчас необходимо осуществлять на европейском уровне. Если отдать это дело на откуп отдельным странам, в Европе будет избыток различных стандартов, что не только помешает применению продуктов и услуг за рубежом, но и вынудит национальных производителей ориентироваться на разные требования. Такой сценарий развития событий сведет на нет выполнение производителями европейских стандартов. Мы можем только надеяться на совместимость стандартных продуктов, если общеевропейские требования будут доведены до производителей.
Глава 4. Электронные подписи на практике
Целью Главы 4 является проведение анализа информации о практических и коммерческих применениях электронных подписей в различных странах, включенных в исследование. Исследователи попытались выявить по три значительных области применения электронных подписей в каждой из стран. Оценка практических применений проводилась с упором на коммерческий аспект, используемые технологии и связанные стандарты.
Практические применения также оценивались с точки зрения их соответствия Европейской директиве. Исследователи проверили, отвечают ли практические применения законным требованиям и рекомендациям Директивы, включая соответствие Приложениям (тип сертификата, тип ПСУ, типы устройств для создания и проверки подписей). Одним из вопросов исследования также был узаконенный вид подписи, который, скорее всего, будет использоваться в будущем в данной области применения (электронная подпись, усовершенствованная электронная подпись, квалифицированная электронная подпись).
Результатом исследования является подробный отчет о практическом выполнении Директивы 1999/93 в странах-членах, и юридический статус электронных подписей и связанных с ними услуг в странах ЕЭЗ и странах-кандидатах, а также помещенная в приложение информационная подборка, отражающая коммерческую и техническую ситуацию в национальных сферах применения электронных подписей и их соответствие Директиве 1999/93.
В данном исследовании был сделан акцент на электронные подписи, основанные на сертификатах и технологии PKI, так как это является требованием для квалифицированной электронной подписи. Один из следующих далее разделов посвящен обсуждению альтернативных технологий электронных подписей и аутентификации.
4.1 Рынок товаров и услуг для электронной подписи
4.1.1 Применяемые продукты
Сейчас в Европе применяется широкий ассортимент продуктов от различных поставщиков. Для работы ПСУ используются продукты от Baltimore, Entrust, IBM, SmartTrust, RSA и Verisign. Для клиентских и серверных приложений используются либо стандартные продукты от Microsoft, либо специализированные (нередко разработанные на национальном уровне) решения. Продукты, созданные на национальном уровне, используются практически исключительно для квалифицированных электронных подписей, там, где всегда приходится учитывать специальные требования.
4.1.2 Количество ПСУ и объемы выдачи сертификатов
В данной таблице приведено количество провайдеров сертификационных услуг в различных странах, а также приблизительное количество выданных сертификатов.
| | Количество аккредитованных ПСУ | Количество поднадзорных ПСУ | Сертификаты аккредитованных ПСУ | Сертификаты поднадзорных ПСУ | Прочие сертификаты (для граждан) |
| австрия | 2 | 6 (2 выдают КС) | 10 000 | - | 5 000 |
| бельгия | 0 | 2 | - | - | > 250 000 |
| дания | н/д | 3 | - | около 2 000 | 25 000 |
| финляндия | н/д | 1 | | | |
| франция | 0 | 0 | - | - | 800 000 |
| германия | 23 | 23 | 25 000 | - | 20 000 (прибл.) |
| греция | 0 | 5 (2 выдают КС) | 1 000 | - | 50 000 |
| ирландия | 0 (1) | 0 | < 100 | - | Несколько тысяч |
| италия | 14 | 14 | Около 1 млн. | - | 250 000 |
| люксембург | 0 | 0 | - | - | - |
| нидерланды | 1 | 1 | > 50 | - | Большое количество |
| португалия | 0 | 0 | | | |
| испания | 0 | 0 | - | 2 000 000 | 1 500 000 |
| швеция | 0 | 0 | - | - | около 100 000 |
| великобритания | 3 | 0 (3) | - | - | - |
| кипр | н/д | н/д | - | - | - |
| чешская респ. | 1 | 1 | | | |
| Эстония | 1 | 1 | 200 000 | - | - |
| венгрия | н/д | 6 (2 выдают КС) | - | < 10 | около 1 000 |
| латвия | 0 | 0 | - | - | - |
| литва | 0 | 0 | - | - | - |
| мальта | 0 | 0 | - | - | |
| польша | н/д | 4 | - | - | - |
| словакия | 4 | | | | |
| словения | 0 | 4 | - | более 85 000 | - |
| болгария | 0 (1 выдает универсальные сертификаты) | 1 | - | - | - |
| Румыния | 0 | 1 | - | около 20 000 | - |
| исландия | н/д | 1 | | | |
| лихтенштейн | 0 | 0 | - | - | - |
| норвегия | н/д | 1 | - | около 60 000 | Огр. количество |
| швейцария | 0 | 0 (1 временно) | - | - | > 10 000 |
Можно сделать следующие наблюдения:
- Особенно много аккредитованных и контролируемых ПСУ в Германии и в Италии. Все итальянские и некоторые из немецких ПСУ на самом деле уже работали по законодательству, принятому еще до Директивы. Требования этого законодательства были сравнимыми с обязательной аккредитацией. Говоря точнее, 7 ПСУ (3 физических и 4 виртуальных) были аккредитованы до вступления в силу немецкого закона о подписи и 15 — после. В Германии многие ПСУ являются «виртуальными», а их сервисы основываются на одном из восьми действующих «физических» ПСУ.
- Только в Австрии (6), Бельгии (2), Дании (3), Греции (2), Великобритании (3), Венгрии (4), Польше (4) и Словении (4) есть более одного контролируемого и/или аккредитованного центра сертификации.
- Контролируемых и/или аккредитованных ПСУ вообще нет только в Португалии, Литве и Швеции.
- Хотя в Великобритании три ПСУ прошли аккредитацию по промышленной некоммерческой схеме tScheme, ни один ПСУ пока не выдавал квалифицированных сертификатов.
- В Швейцарии правительство в качестве временной меры уполномочило немецкого ПСУ выдавать сертификаты, так как швейцарские ПСУ еще не начали работать.
- В Ирландии один ПСУ прошел аккредитацию, хотя официально никакие схемы аккредитации введены не были.
- В Болгарии один ПСУ был «зарегистрирован» соответствующим органом; это можно рассматривать как аналог аккредитации.
4.1.3 Объемы выдачи сертификатов
4.1.3.1 Сертификаты, выданные аккредитованными и поднадзорными ПСУ
В таблице (см. 4.1.2) приведены примерные объемы выдачи сертификатов в разных странах. Можно сделать следующие наблюдения:
- Очень много квалифицированных сертификатов было выдано аккредитованными ПСУ в Италии. Основной сферой применения этих сертификатов является доступ к регистрационным данным компаний (InfoCamera).
- В Эстонии большие объемы являются результатом широкомасштабного распространения электронных удостоверений.
- В Германии выдано достаточно большое количество квалифицированных сертификатов. Они регулярно применяются в различных сферах «электронного правительства».
- В Словении было выдано значительное количество квалифицированных сертификатов, главным образом для целей корпоративного банковского обслуживания и электронного правительства.
- Различия между сертификатами аккредитованных и контролируемых ПСУ, как правило, отражают то, что разные правительства содействуют/предписывают пользоваться услугами аккредитованных ПСУ.
4.1.3.2 Прочие сертификаты, выдаваемые гражданам
Как можно увидеть из таблицы, гражданам было выдано достаточно большое количество прочих сертификатов, главным образом для электронного правительства (основная область применения — заполнение налоговых деклараций). Тем не менее, многие из них также используются для целей авторизации/аутентификации, а не только для электронных подписей.
4.1.3.3 Прочие сертификаты, выдаваемые по договорам
Большое количество сертификатов было выдано в рамках договоров практически во всех странах-членах ЕС, главным образом для электронного банковского обслуживания, а также для внутрифирменного применения. Сообщают о цифрах, варьирующихся в пределах от 100 000 до 2 000 000. Более того, многие из этих сертификатов также использовались для целей аутентификации/авторизации, а не только для электронных подписей.
4.1.3.4 Отзыв сертификатов
В тех странах, где выдаются сертификаты, доля отозванных сертификатов обычно составляет около 1%.
4.1.4 Применение смарт-карт
Доля смарт-карт варьируется, даже применительно к квалифицированным сертификатам, в пределах от 100% (Германия, Эстония, Норвегия) до 50% (Ирландия, Словения). Для неквалифицированных сертификатов применение смарт-карт колеблется от 80% (в Германии, приблизительная оценка) до менее чем 5% (Дания, Ирландия).
4.1.5 Прочие услуги ПСУ
В некоторых странах (Дания, Германия, Нидерланды, Эстония, Венгрия, Болгария) в качестве дополнительной услуги ПСУ предлагается фиксация времени. В Латвии и Болгарии ПСУ, как правило, обязаны предлагать фиксацию времени. К числу услуг, предлагаемых в некоторых странах, можно отнести службы нотариата, валидации и архивирования.
4.1.6 Архивное хранение документов, подписанных электронным способом
Одна из причин ограниченного применения электронных подписей в настоящее время состоит в том, что архивное хранение документов, подписанных электронным способом, считается слишком сложным и ненадежным. При обычном установленном законом 30-летнем сроке архивного хранения (для правительственных документов — еще больше) многие организации не уверены, можно ли это обеспечить с помощью электронных документов и электронных подписей. Несомненно, потребуется создание добавочных технологий и процедур «миграции» электронных документов и подписей, а также сохранения их в читаемом и проверяемом состоянии в течение столь долгого срока.52
4.1.7 Проблемы безопасности
В ряде стран сообщалось о некоторых видах проблем, относящихся к безопасности. В Германии были опубликованы лишь подробности о проблемах с защищенными средствами просмотра.