Будущее ЭЦП в России: бесплатная подпись и переезд в облака?

Сергей Васильев, руководитель проектов, ООО «Сервионика» (ГК «Ай-Теко»)

Президент РФ в 2011 году подписал №63-ФЗ «Об электронной подписи», расширивший сферу применения электронной подписи (она допустима для юридических и физических лиц), а также обеспечивший «технологическую нейтральность».

То есть законными признаются различные виды электронных подписей, в том числе выданные по нормам иностранного права. Сейчас в России определено целых три вида «валидной» электронной подписи.

Первую из них - так называемую «простую» - обычно применяют в рамках одного юридического лица для внутреннего документооборота. Вторая - «неквалифицированная» - часто используется между юридическими лицами в рамках одного холдинга, а «квалифицированную» применяют в бизнес-процессах взаимодействия между компанией и внешними контрагентами.

Тем не менее, несмотря на этот прогрессивный шаг, на практике можно столкнуться со значительными препятствиями для проникновения ЭЦП в документооборот «во всей полноте» его функционала. Во многом это вопрос затрат: услуги аккредитованных удостоверяющих центров включают в себя изготовление квалифицированного сертификата ключа электронной подписи с различными областями действия: от взаимодействия с государственными и муниципальными порталами, участия в электронных торгах – до работы в системах ведомственного документооборота.

В зависимости от набора областей действия сертификата  стоимость его изготовления может составлять от 2500 до 5000 рублей. Наиболее распространенные ключевые носители обойдутся заказчику в следующие суммы: Rutoken – от 950 до 3000 рублей в зависимости от форм-фактора и дополнительных возможностей, eToken (JaCarta) –  от 1000  до 3000 рублей, ESMART –  950 рублей.

Для использования усиленной квалифицированной подписи необходимо приобрести еще и сертифицированное программное СКЗИ (средство криптографической защиты информации).

Это прибавит тысячу-другую к конечной стоимости: «КриптоПро CSP» обойдется в 1800 рублей (бессрочная лицензия) или 700-900 рублей (годовая лицензия). VipNET CSP  -  распространяется бесплатно (бессрочная лицензия), тогда как Validata CSP будет стоить 1500 рублей за «бессрочку».

В случае применения моделей токенов,  аппаратно выполняющих криптографические функции и повышающих безопасность хранения ключа электронной подписи, необходимы либо усилия разработчиков систем по встраиванию таких устройств, либо приобретение других программных СКЗИ типа «КриптоПро Rutoken CSP» (2350 рублей) или «КриптоПро eToken ГОСТ CSP» (1800 рублей).

Квалифицированный сертификат действует, как правило, один календарный год. Поэтому ежегодно придется тратить от 2500 до 5000 рублей на обновление сертификата. Если применить аппаратные СКЗИ, такие затраты необходимы  каждые 3 года – но не все публичные УЦ это поддерживают.

Периодически  меняются версии ПО, причем как у операционных систем, так и у СКЗИ. Переход на новую версию СКЗИ также не является бесплатным. Так, переход на новую версию «КриптоПро CSP» для пользователей, уже приобретавших лицензию на использование этого средства защиты,  обойдется в 900 рублей.

Итого в среднем: одноразовые затраты для юридического лица колеблются в пределах 3500-20 000 рублей. «Вилка» зависит от области действия сертификата, состава предоставляемой услуги по «изготовлению квалифицированной подписи» и тарифной политики УЦ.  Далее необходимо ежегодно тратить  2500-5000 рублей на обновление сертификата. И не будем забывать про количество необходимых сертификатов: даже в случае не самой большой компании это явно больше одной-двух единиц. А самое главное – все вышеперечисленные решения работают на платформе Windows. При желании пользователя работать, используя разные платформы, придется понести аналогичные затраты на каждую из них!

Для физического лица средняя стоимость квалифицированной подписи составляет  1200-1500 рублей в год: в нее входит готовая лицензия на СКЗИ в составе сертификата, сертифицированный ключевой носитель с ключами ЭП и сам квалифицированный сертификат.

Для автономной подписи документа (вне систем, обеспечивающих подпись и проверку подписи документов программными методами) потребуется еще и сертифицированное ПО типа «КриптоАрм» -  1600-3400 рублей (бессрочная лицензия в зависимости от возможностей) или 800 рублей (годовая лицензия на версию «Стандарт»), или же ViPNet CryptoFile (распространяется бесплатно и требует только регистрации).

В итоге можно сказать, что ценовая политика аккредитованных публичных УЦ настроена на обслуживание уже сложившейся клиентской базы крупных и средних компаний, где  квалифицированной электронной подписью постоянно пользуются специалисты для взаимодействия с государственными и муниципальными органами. Как правило, эта услуга востребована в сравнительно крупных городах. Для физических лиц ценовая политика также ориентирована на пользователей, постоянно взаимодействующих с государственными и муниципальными органами (например, для сдачи налоговых деклараций).

Вряд ли малой компании на старте бизнеса или индивидуальному предпринимателю, особенно в «глубинке», придет в голову мысль об электронном взаимодействии с государственными  органами, за которое нужно заплатить 20-30 тысяч рублей на приобретение компьютера и подключение к Интернету, плюс еще 5 тысяч на квалифицированный сертификат и программное обеспечение. И это затраты минимальные, а еще придется потратить время (не исключено, что и деньги) на то, чтобы обучиться работать со всем этим «хозяйством». 

Физическому лицу, которое раз в несколько лет обращается в государственный орган (например, для регистрации недвижимости) тоже вряд ли выгодно иметь личную квалифицированную электронную подпись: легче выбрать время и постоять в очереди с бумажным документом.

Снизить расходы в сегодняшней ситуации можно через установку бесплатного ПО (VipNet от Infotecs), но при этом надо понимать, что придется отказаться от поддержки удостоверяющего центра (80% УЦ предоставляют «КриптоПро» и услуги, связанные с его поддержкой). А при отказе от СКЗИ, включенного в состав продаваемого продукта «Квалифицированная подпись», надо будет умудриться настоять на этом, предъявив доказательства «сертифицированности» вашего СКЗИ (УЦ обязан включить в состав полученного у него сертификата пользователя сведения о применяемом СКЗИ, согласно требованиям 795 приказа ФСБ). Задача не самая простая даже по описанию.

Другой путь – применять в качестве ключевого носителя либо самый дешевый (купив его у производителя), либо уже бывший в употреблении.  При этом будет  необходимо доказывать, что данный носитель имеет непросроченный сертификат соответствия. Для обеспечения «повышенной» безопасности ключей подписи вместо дешевого ключевого носителя необходимо приобрести более дорогое аппаратное СКЗИ и программные средства, совместимые с ним: в этом случае по согласованию с УЦ экономятся средства на услугах по обновлению сертификата (вместо ежегодного обновления – раз в три года).

Для более широкого внедрения электронной подписи в практику работы юридических и физических лиц в России, на мой взгляд, необходимо решить  множество общих вопросов, связанных с предоставлением электронных услуг. С точки зрения же удобства и кардинального снижения стоимости «квалифицированной электронной подписи» можно было бы пойти разными путями. Начать можно с исключения из процесса получения квалифицированной  электронной подписи коммерческую составляющую: все участники создания инфраструктуры «квалифицированной электронной подписи» в РФ (аккредитованные удостоверяющие центры, разработчики сертифицированных СКЗИ и ключевых носителей,  программного обеспечения) являются коммерческими фирмами, для которых главная цель состоит в извлечении прибыли.

Ввиду того, что квалифицированная подпись в основном предназначена для получения государственных услуг для предприятий и населения, цена на нее должна регулироваться государством исходя из государственных интересов (допустим получение всех компонентов подписи в МВД с уплатой госпошлины). Пока такой практики нет и ее введение даже не планируется.

С точки зрения безопасности данных, все чаще можно встретить мнение о необходимости включения российских криптоалгоритмов  в состав операционных систем, используемых клиентами. Однако наиболее вероятный путь – применение средств удаленной простановки и проверки электронной подписи на серверах (т.н. «облачная подпись»). При этом владельцу квалифицированной электронной подписи нет нужды приобретать СКЗИ, ПО, ключевой носитель – достаточно приобрести лишь сертификат.

Схема предоставления электронной подписи в этом случае может быть реализована следующим образом. Пользователь загружает документ на веб-сервис или создает его на «облачной» площадке. Среда создания документа и канал связи могут быть незащищенными. Затем сервис передает документ или ключевую информацию из него, а также его хэш по GSM-каналу пользователю, предварительно зашифровав их открытым ключом пользователя. Полученное сообщение обрабатывается непосредственно на SIM-карте смартфона пользователя, поэтому приложения, установленные на мобильном устройстве, получить к ним доступ не могут.

Так снижается риск потери или кражи данных.

Пользователю предлагается ввести пин-код, после чего сообщение подписывается его закрытым ключом и отправляется сервису. С учетом повсеместного распространения смартфонов, планшетов и неплохого уровня проникновения услуг ШПД, в том числе беспроводных, это вполне рабочая схема. Причем, работы в этом направлении в России уже ведутся - технологию ЭП на мобильных устройствах развивает в РФ компания «Алладин Р.Д.» (технологический партнер ООО «Сервионика»). Проект реализуется совместно с мировым лидером в этой области, компанией Gemalto.

Подобные системы уже работают в Финляндии, Турции и в Прибалтике. В России выпуск SIM-карт со встроенной электронной подписью начался только в прошлом году – мы в самом начале этого пути! И, как представляется, этот путь может стать наиболее быстрым, надежным и низкозатратным для реального распространения услуг электронной подписи в России.