Новый закон «Об электронной подписи» вступает в жизнь. Комментарии старых предрассудков к новому закону.
В этом году свершилось знаковое событие — президент подписал закон «Об электронной подписи». Событие это не может не радовать, ведь новый закон уже гораздо более практичный, чем старый об ЭЦП. Однако как ни странно, предрассудки к новому закону остались все те же самые. И одним из старых предрассудков является мнение, что, мол, по закону ГОСТированные алгоритмы нельзя вывозить за рубеж, и поэтому человек с такой ЭП, выехав за рубеж, не сможет пользоваться ею на территории другой страны, например, для удаленного общения со своим банком. И соответственно, чтобы нормально применять ЭП, надо не диктовать свои условия, навязывая их зарубежным партнёрам, а разрешать использовать у нас в стране разные алгоритмы шифрования, как, мол, это делается в Европе.
Опять идет подмена понятий: криптография, используемая для закрытия (шифрации) информации и криптография, используемая для аутентификации и подтверждения подлинности документов — это суть разные вещи. Во-первых, закона, запрещающего вывозить алгоритмы ГОСТ — нет. Есть определенный порядок вывоза криптографических средств заграницу. Он определяется Постановлениями правительства и не противоречит международному Васеаанарскому соглашению по этому вопросу. И сейчас такие средства вывозят, но они должны пройти соответствующую экспертизу и иметь лицензию на вывоз. Во-вторых, никто не запрещает использовать иностранные алгоритмы для электронной подписи. Есть ограничения по применению квалифицированной или неквалифицированной подписи, которые определяются законом. Действительно, не все зарубежные алгоритмы могут претендовать на квалифицированную подпись, но далеко не везде требуется именно квалифицированная подпись. В-третьих, обратимся к ст. 12 законопроекта. Согласно части 4 этой статьи, подтверждение соответствия обязательным требованиям по защите (читай — сертификация) проходят ТОЛЬКО средства ЭП, предназначенные для документов, содержащих гостайну, но этот случай вряд ли касается трансграничной передачи. Для остальных средств такого обязательства законом не предусмотрено, так что можно использовать и зарубежные алгоритмы. Так что проблема, на мой взгляд, надуманная.
А насчет Европы, не нужно чересчур обольщаться. В свое время проводилось международное исследование законодательства разных стран по криптографии. Были выделены несколько зон: красная, где жёсткое законодательство по криптографии, предполагающее жёсткий контроль со стороны государства, жёлтая — законодательство имеет определенные послабления, и зелёная — лояльное (или вернее либеральное) законодательство. Могу сказать, что некоторые развитые европейские страны попали, наряду, кстати с Китаем, в красную зону.