Современное состояние отечественной инфраструктуры электронной коммерции

Мельников Дмитрий Анатольевич; Хоменок Анастасия Викторовна

СОВРЕМЕННОЕ СОСТОЯНИЕ ОТЕЧЕСТВЕННОЙ ИНФРАСТРУКТУРЫ ЭЛЕКТРОННОЙ КОММЕРЦИИ

УДК:004

Дмитрий Анатольевич Мельников,

к.т.н., снс, доцент кафедры КОИБАС ИКТ МЭСИ

Эл. почта: mda-17@yandex.ru

Анастасия Викторовна Хоменок,

Студентка ИКТ МЭСИ, 5 курс

Тел.: 8(917)569-48-18

Эл. почта: ana-khomenok@yandex.ru,

В мировом информационном пространстве возникла глобальная про-блема создания единой информационно-технологической основы междуна-родной электронной коммерции (ЭК). На сегодняшний день, в Российской Федерации существует целый комплекс нерешенных вопросов, связанных с этой проблемой. В данной работе описано современное состояние инф-ра-структуры электронной коммерции.

Кпючевые слова: электронная коммерция, электронная цифровая подпись, инфраструктура открытых ключей, удостоверяющие центры, информационное общество.

Dmitry A. Melnikov

Doctorate in Technological Science, Senior Fellow, Associate Professor, the Department of Computer Technology, the chair of Integrated Automated Security Systems Moscow State University of Economics, Statistics and Informatics (MESI) E-mail: mda-17@yandex.ru

Anastasia V. Khomenok,

Student, the Department of Computer Technology, course 5

Moscow State University of Economics, Statistics and Informatics (MESI) Tel. : 8(917)569-48-18, E-mail: ana-khomenok@yandex.ru,

MODERN E-COMMERCE INFRASTRUCTURE

In the global information space the global problem of creating single information and technological foundation of the international e-commerce has appeared. Today, the Russian Federation has a range of outstanding issues related to this problem. This paper work describes the current state of e-commerce infrastructure.

Keywords: e-commerce, e-signatures, Public Key Infrastructure (PKI), Certification Authority, information-oriented society, e-Government.

1. Введение

За последнее время произошли существенные изменения в мировой экономике и цивилизации в целом, во многом связанные со стремительным развитием информационный технологий, разработкой новых электронных средств связи, распространением сети Интернет и появлением на их основе современных информационно-технологических систем (ИТС). Экономически развитые страны осуществляют переход на новую стадию развития - стадию информационного общества. В бизнесе эти изменения существенно ускорили рост «новой экономики», основу которой составляет электронный способ ведения бизнеса, или - электронная коммерция (ЭК).

ЭК представляет собой широчайший спектр используемых в ней технологий, процессов и видов практической деятельности, которые автоматизируют коммерческие операции на основе безбумажных методов бизнеса. ЭК обыгчно представляет собой ЭДО с использованием электронный средств связи. ЭК включает электронные коммерческие операции в рамках и между частным и общественным секторами бизнеса, а также использует внутригосударственную инфраструктуру и международные телекоммуникации [1].

В обыгчном бумажном документообороте используются подписанные документы, которые имеют свойственные им атрибуты защиты, позволяющие обнаружить любую подделку или искажение. Как и бумажные, электронные документы могут быть достаточно легко модифицированы, если не использовать специально разработанные методы и способы защиты. В этой связи, для защиты электронных документов необходимо использовать специальные дополнительные технологические средства, решающие задачи:

• аутентификации взаимодействующих в ЭДО сторон и\или источника сообщения;

• обеспечения целостности сообщения;

• обеспечения неотказуемости в случае противоправных попыток отказа от тех или иных действий или участия в различных процедурах ЭДО (или их этапах), а также от авторства [2].

2. Электронная цифровая подпись в России

Для решения проблемы обеспечения защиты электронных документов было предложено использовать электронную цифровую подпись (ЭЦП), которая позволила бы подтверждать достоверность и юридическую силу электронного документа.

Электронная (цифровая) подпись (digital signature) — присоединённые в исходной последовательности символов данные или криптографически преобразованная исходная последовательность символов, которые позволяют получателю этой исходной последовательности символов удостовериться относительно отправителя этой последовательности и её целостности, а также защитить их от подделки, например, тем же самым получателем.

8 апреля 2011 года вступил в силу новый закон об «Электронной подписи», который регулирует отношения при оказании государственных услуг и совершении иных юридически значимых действий [3]. Новый закон заменяет действующий с 2002 года Закон «Об электронной цифровой подписи» и содержит целый ряд нововведений, наиболее значимые из которых:

• новое определение ЭЦП и разделение на три вида:

1. простая;

2. усиленная неквалифицированная;

3. усиленная квалифицированная;

• закрепление права участников электронного взаимодействия использовать ЭЦП любого вида по своему усмотрению при условии соответствия нормативным правовым актам и (или) соглашениям;

• признание ЭЦП, созданных в соответствии с нормами права иностранного государства, ЭЦП того вида, признакам которого они соответствуют на основании нового закона;

• необходимость прохождения аккредитации удостоверяющими центрами (УЦ), которые предоставляют услуги по выдаче квалифицированных сертификатов от-

крытых ключей ЭЦП.

В соответствии с новым законодательством, «простая» ЭЦП создается с помощью кодов, паролей и других инструментов. Эти средства защиты позволяют идентифицировать автора подписанного документа. Важным свойством простой ЭЦП является отсутствие возможности проверить документ на предмет наличия изменений с момента подписания

«Усиленная неквалифицированная» ЭЦП создается с использованием криптографических средств и позволяет определить не только автора документа, но проверить его на наличие изменений.

«Усиленная квалифицированная» ЭЦП также как и неквалифицированная ЭП создается с использованием криптографических средств. С тем отличием, что должна обязательно сопровождаться сертификатом аккредитованного УЦ (квалифицированный сертификат). Данная подпись может рассматриваться как аналог документа с печатью. Такая ЭЦП заменяет бумажные документы во всех случаях, за исключением тех, когда закон требует наличия исключительно документа на бумаге.

Ранее выданные сертификаты открытых ключей ЭЦП и подписанные с их помощью документы приравниваются к квалифицированным подписям, то есть этот вид подписи наиболее привычен для тех, кто уже пользовался ЭЦП.

По сути, усиленная ЭЦП соответствует термину, используемому в криптографии [3].

В настоящее время предложено несколько различных подходов к созданию схем формирования ЭЦП. На практике получило распространение схема на основе системы шифрования с открытыми ключами (основанная на технологии ассиметричных ключей подписи).

Основная идея систем с открытым ключом заключается в следующем: использовать для зашифрования и расшифрования разные ключи, причем один из них должен быть закрытым, а второй — открытым для всех. В таком случае отпадает необходимость в обмене закрытыми ключами. Важно отметить то, что, как правило, при использовании открытых ключей хранят не сами ключи, а их сертификаты. При информационном взаимодействии по каналу связи передается только открытый ключ, что делает возможным исполь-

зование для этой цели незащищённого канала и устраняет потребность в безопасном канале для передачи ключа. Зашифровывать и расшифровывать можно любым из ключей, но данные, зашифрованные одним ключом, могут быть расшифрованы только другим ключом (рис.1).

Для уменьшения размера ЭЦП (чтобы не зашифровывать, как указано выше, весь документ) было предложено использовать специальные однонаправленные (необратимые) криптографические функции (хэш-функции), которые позволяют преобразовать текст произвольной длины в строку фиксированного размера (иногда называемую «дайджестом» сообщения или сверткой), обычно 128 бит. При этом криптографическое преобразование выполняется таким образом, что практически невозможно подобрать документ к заданному результату хэш-функции. Следовательно, зашифровывая дайджест, сформированный из подписываемого файла, получаем короткую ЭЦП, уникальную для каждого документа (рис.1) [4].

ЭЦП документа обычно создается в следующей последовательности. Для документа вычисляется значение хэш-функции. Получившаяся строка далее зашифровывается секретным ключом подписывающего с использованием того или иного асимметричного алгоритма. Зашифрованный набор бит и представляет собой ЭЦП. К этой ЭЦП обычно прикладывается открытый ключ подписывающего, парный закрытому. Получатель сначала решает для себя: доверяет ли он тому, что открытый ключ принадлежит именно этому отправителю, и затем расшифровыва-

ет ЭЦП с помощью открытого ключа. В результате расшифрования ЭЦП получается значение хэш-функции, вычисленное отправителем. Далее получатель самостоятельно вычисляет значение той же хэш-функции для присланного документа. Если расшифрованное и вычисленное значения хэш-функции совпали, то целостность документа считается подтвержденной. Доверие же к подлинности и авторству документа основываются на доверии к открытому ключу.

С организационной точки зрения каждый пользователь прикладной системы, использующей ЭЦП, обладает своей собственной уникальной парой ключей, которая может быть сформирована, либо самим пользователем, либо службой формирования ключей, либо доверенной третьей стороной (ДТС). УЦ (Certification Authority) представляет собой доверенный орган сертификации ключей, который сертифицирует пару ключей пользователя и гарантирует связь открытого ключа с субъектом (пользователем), которая подтверждается выдаваемым УЦ сертификатом открытого ключа ЭЦП (далее — сертификат). При этом сертификат подписывается ЭЦП УЦ. Другими словами, УЦ устанавливает жёсткую взаимооднозначную криптографическую привязку пары ключей к владельцу этих ключей.

3. Инфраструктура открытых ключей. Проблема отсутствия единого пространства доверия

Основной и чрезвычайно сложной проблемой, возникающей при использовании ЭЦП на практике, является проблема создания и эксплуатации инфраструктуры открытых ключей (PKI —

Рис. 1. Схема алгоритма подписи-проверки документа с использованием методов ассиметричной криптографии (открытых ключей)

№1, 2012

170

Public Key Infrastructure). В основе PKI лежит понятие Службы единого каталога (The Directory). Служба единого каталога (далее — Каталог) представляет собой совокупность открытых систем, которые кооперируются друг с другом с целью формирования и последующей эксплуатации логической (виртуальной) базы данных (Directory Information Base), содержащей информацию о группах объектов реального мира. Пользователи Каталога, включая физические лица и компьютерные программы, имеют возможность читать или модифицировать информацию, или её отдельные части, если конечно они имеют на это разрешение. Каждый пользователь, представленный в доступном сегменте Каталога, имеет прикладной программный модуль пользователя Каталога (Directory User Agent, DUA) или прикладной программный модуль, реализующий протокол упрощенного доступа к Каталогу (Lightweight Directory Access Protocol (LDAP) Client).

Целевое предназначение PKI состоит в предоставлении услуг по обеспечению ключами и сертификатами, проверке подлинности ЭЦП и сертификатов, ведению реестра списков действующих, аннулированных, отозванных сертификатов, а также иных дополнительных услуг на основе Каталога.

Основными компонентами эффективной PKI являются:

• УЦ;

• центр или пункт регистрации (ЦР);

• репозитарий сертификатов;

• архив сертификатов;

• конечные субъекты (пользователи) [5] со своими DUA-модулями;

• LDAP-серверы.

На текущий момент число УЦ в России перевалило за 300 (а по некоторым оценкам приближается к 400). Этот список растет в связи с расширением сферы применения ЭЦП в соответствии с новым законом № 63-Ф3, но будущий владелец сертификата вправе выбирать любой УЦ. Все УЦ осуществляют свою деятельность на основании лицензий в соответствии с Законом РФ «Об электронной подписи», применяя в работе сертифицированные криптографические методы, способы и средства. Различными УЦ используются криптографические средства различных компаний-производителей криптографической продукции, которые зачастую не совместимы между собой по ряду выходных параметров. Такая реальная си-

туация говорит об отсутствии в России единого пространства доверия сертификатам, выданным различными УЦ, и ЭЦП, подписанных документов.

Это подтверждается и тем, что в составе отечественной очень медленно формирующейся PKI (порой просто не поддающейся какой-либо квалифицированной оценке) вообще отсутствует единая система проверки подлинности сертификатов и ЭЦП. Поэтому на текущий момент сложилась весьма странная ситуация с сертификатами, выданными различными УЦ, которая напоминает ситуацию с зарядными устройствами мобильных телефонов. Все они делают, в общем-то, одно и тоже, но зарядным устройством от компании Samsung не возможно зарядить телефон компании Nokia. Т.е. различными прикладными открытыми ИТС, включая электронные торговые площадки (ЭТП), принимаются сертификаты, выпущенные различными ограниченными группами УЦ (список которых обычно публикуется на официальном сайте конкретной ЭТП), что не позволяет российским гражданам и организациям использовать свои сертификаты на всём виртуальном отечественном пространстве.

До сегодняшнего дня организации (включая государственные федерального и регионального уровней), создававшиеся в целях решения этой проблемы и отвечавшие за координацию работ и выработку единых стандартов в области создания информационного общества (электронного правительства), не оправдали себя, т.е. не решили поставленных перед ними задач. Это относится, в частности, к федеральным целевым программам «Электронная Россия 2002-2010 годы» и её правопреемнице ««Информационное общество (2011-2020 годы)».

Вопиющим примером «цифрового неравенства» и начала коррумпирования информационного общества является деятельность отдельных организаций (различных форм собственности), которые, получая полный контроль за происходящим на ЭТП, вынуждали УЦ платить баснословные деньги (по некоторым оценкам до нескольких тысяч долларов США) за аккредитацию, либо отстраняли компании, владеющими сертификатами неаккредитованных УЦ, от участия в торгах (аукционах и т.п.), что резко снижало конкурентоспособность таких компаний. А с другой стороны, такая «лжеаккредитация» прино-

сила немалые убытки УЦ и косвенным образом компаниям-участницам ЭТП.

Выход из сложившейся ситуации есть только один: создание единого пространства доверия сертификатов и ЭЦП и федеральной системы проверки подлинности ЭЦП, а также создание федерального органа (или аккредитованной организации на основе частно-государственного партнёрства) для регулирования взаимоотношений между УЦ и пользователями (например, в США таким органом является Федеральный удостоверяющий центр кросс-сертификации (Federal Bridge Certification Authority), осуществляющий регулирование в сфере электронного государства). Модель Федеральной информационно-технологической инфраструктуры подтверждения подлинности сертификатов и проверки ЭЦП представлена на рис.2.

Обеспечение доверия к ЭЦП и ее правовое признание является обязательным элементом заключения договоров в электронной коммерции, передачи права собственности и обязательственных прав, а также совершение иных юридически значимых действий посредством электронной связи. Нормативная база РФ хоть и претерпела существенные изменения за 2010-2011 годы, но по прежнему не соответствует минимальному набору требований.

В числе недостатков можно выделить:

• отсутствие однозначно интерпретируемых регламентов взаимодействия органа исполнительной власти со всеми участниками ЭК, а также четко прописанными задачами и функциями, регламентами их исполнения;

• отсутствие регламентированных понятных и строгих правил и методов разбора конфликтных ситуаций;

• отсутствие уполномоченного органа, выполняющего функции третейского судьи при возникновении конфликтных ситуаций (включая систему электронного нотариата);

• идентификация предоставляемых УЦ услуг (как минимум, проверка подлинности сертификатов и проверка ЭЦП, и по возможности, семантические услуги и проверка исторической подлинности ЭЦП или другие востребованные услуги);

• нет требований к УЦ по включению услуг, связанных с качеством обслуживания ЭЦП, включая гарантии, касающиеся доступности (время доступа), приемлемых периодов льготного

Рис. 2. Модель Федеральной информационно-технологической инфраструктуры подтверждения подлинности

сертификатов и проверки ЭЦП

(ФЦПП — федеральный центр подтверждения подлинности, СОС — список отозванных сертификатов, ФСОС — федеральный СОС, ФУЦ — федеральный УЦ, ВУЦ — ведомственный УЦ, РУЦ — региональный УЦ, МУЦ — муниципальный УЦ)

обслуживания, гарантии, касающиеся поддержки УЦ;

• нет юридического определения таких базовых понятий как электронный документ, электронная торговля, электронная коммерция, электронная сделка, Интернет, Web-сайт.

Отсутствие этого минимума в Российском законодательстве приводит к неразберихе. Так на данный момент все споры с удостоверяющими центрами по обязательствам, связанным с сертификатами ключей ЭЦП, могут рассматриваться исключительно в судах общей юрисдикции. Как известно, в соответствии со ст. 25 ГПК РФ судам подведомственны дела по спорам, возникающим из гражданских правоотношений, если хотя бы одной из сторон в споре является гражданин.

Как поступить юридическому лицу, которое понесло убытки вследствие несвоевременного аннулирования УЦ сертификата, выданному руководителю данного юридического лица, закон умалчивает. В данной ситуации юриди-

ческое лицо не имеет возможности защитить свои интересы в арбитражном суде, поскольку закон об электронной цифровой подписи не допускает возникновения гражданско-правовых отношений по поводу сертификата ключа подписи между Удостоверяющим центром и юридическим лицом.

Аналогичная проблема возникнет и в случае убытков, понесенных юридическим лицом в результате доверия к тем данным, которые содержатся в сертификате, а также к результатам проверки ЭЦП, выполненной УЦ. Дело в том, что только физическим лицом может быть пользователь сертификата ключа подписи, использующий полученные в УЦ сведения о сертификате с целью проверки ЭЦП [6].

4. Заключение

Электронная коммерция становится стратегическим направлением совершенствования частного и общественного секторов бизнеса. Она нашла всеобщее признание, так как обеспечивает снижение затрат, конкурентоспособ-

ность и позволяет решать проблемы увеличения скорости и объемов платежей и обмена коммерческой информацией. Однако существует и "обратная сторона медали". Электронные системы (ИТС), которые являются основой электронного бизнеса, весьма чувствительны к разного рода технологическим "злоупотреблениям", техническим ошибкам и сбоям. А это в свою очередь может нанести колоссальный ущерб участникам электронной торговой сделки, а именно продавцам, финансовым организациям (включая банки), поставщикам услуг и покупателям.

Угрозы электронному бизнесу (и их источники) могут быть следующими:

• прямой финансовый урон вследствие обмана (мошенничества).

• кража важной конфиденциальной информации (данных).

• потеря благоприятных условий бизнеса вследствие разрушения службы.

• несанкционированное использование ресурсов.

№1, 2012

172

• потеря доверия или внимания со стороны покупателя.

• дополнительные затраты вследствие ненадежности [6].

Риски, связанные с ЭК, могут быть значительно снижены только путём использования соответствующих контрмер по защите бизнеса и создания необходимых жестких правил ведения электронной коммерции. С технологической точки зрения инфраструктура системы ЭК должна удовлетворять ряду фундаментальных требований. Таковыми являются:

• наличие надежной подсистемы безопасности:

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

- наличие унифицированной системы документирования процедур информационного обмена;

- использование надежных сертифицированных средств и способов идентификации участников и единых идентификационных элементов;

- использование процедур и технологий, обеспечивающих аутентичность, целостность, конфиденциальность электронных документов и транзакций, а также неотказуемость участников транзакций, включая пользователей и процессы, инициализированные пользователями;

- наличие единой системы синхронизации времени;

• создание единой национальной (федеральной) системы подтверждения подлинности сертификатов и проверки ЭЦП, в качестве прототипа ДТС, с последующим её функциональным расширением.

Литература

1. Мельников Д.А., "Internet: организация открытой электронной коммерции", Учебное пособие, Москва, 2002.

2. Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин A.B., "Основы криптографии", Гелиос-АРВ, Москва, 2002.

3. Федеральный закон от 06.04.2011 № 63-Ф3 "Об электронной подписи".

4. Hans Graux, Christian Staffe, "Study on European Federated Validation Service (EFVS): Analysis and Assessment September", ENTR/05/58-SECURITY, European Communities, September 2009.

5. Соловяненко НИ., "О проекте Федерального закона "Об электронной цифровой подписи", Сборник научных статей "Проблемы законодательства в сфере информатизации", Москва, 2000.

6. MeëbHHKOB Ä-A., "OpraHnçanHH n oöecneneHHe 6e30nacH0CTn nH^opMa-unoHHO-TexHOëOTHHecKHx ceTeé n cnc-TeM: yneáHnK. — M.", yHnBepcnTeTCKaa KHnra, MocKBa, 2012.

7. Spencer Judith, "X.509 Certificate Policy For The Federal Bridge Certification Authority (FBCA)", US Federal Public Key Infrastructure Policy Authority, Version 2.17, June 10, 2010.

8. ISO, «Information Processing Systems — Open Systems Interconnection Reference Model — Part 2: Security Architecture», ISO/IEC 7499-2.

9. ITU-T, «Information technology -Open Systems Interconnection - Security frameworks for open systems: Overview». Recommendation X.810, 1995.

10. ITU-T, «Information technology -Open Systems Interconnection - Security frameworks for open systems: Authentication framework». Recommendation X.811, 1995.

11. ITU-T, «Information technology -Open Systems Interconnection - Security frameworks for open systems: Access control framework». Recommendation X.812, 1995.

12. ITU-T, Information technology -Open Systems Interconnection - Security frameworks for open systems: Non-repudiation framework Recommendation X.813, 1995.

13. ITU-T, Information technology -Open Systems Interconnection - Security frameworks for open systems: Confidentiality framework Recommendation X.814, 1995.

14. ITU-T, Information technology -Open Systems Interconnection - Security frameworks for open systems: Integrity framework Recommendation X.815, 1995.

15. ITU-T, Information technology -Open Systems Interconnection - Security frameworks for open systems: Security audit and alarms framework Recommendation X.816, 1995.

16. ISO, «Information technology— Security techniques — Key management —Part 1: Framework». ISO/IEC 11770-1, 2010-12-01.

References

1. Melnikov D.A., "Internet: organizing an open e-commerce", Textbook, Moscow, 2002.

2. Alferov A.P., Zubov A.U., Kuzmin AS., Cheremushkin AV, "Foundations of Cryptography", Helios-APB, Moscow, 2002.

3. Federal Law of06.04.2011 № 63-FZ

"On electronic signature".

4. Hans Graux, Christian Staffe, "Study on European Federated Validation Service (EFVS): Analysis and Assessment September", ENTR/05/58-SECURITY, European Communities, September 2009.

5. Solovyanenko, N.I., "On the draft federal law" On electronic digital signature", Collected articles "Problems of legislation in the sphere of informatization", Moscow, 2000.

6. Melnikov D.A., "The organization and security of information technology networks and systems: Tutorial. - M.", University Book, Moscow, 2012.