@newvasyuki

С точки зрения закона РФ, правомерно ли использование openssl для ЭЦП и шифрования?

Не хочу приобретать КриптоПро. Насколько правомерно использование openssl с поддержкой алгоритмов ГОСТ для подписывания документов, обмена шифрованными файлами с юридическими лицами в РФ?

У openssl явно нет сертификатов ФСБ России на СКЗИ (правда, не проверял). Если их нет, не будет никаких вопросов (в плане "это нельзя, немедленно выкиньте/уберите")?
  • Вопрос задан
  • 257 просмотров
Пригласить эксперта
Ответы на вопрос 3
@Legal2019
Всё в имени моём... и радость и печаль...
В РФ:
Для целей настоящего Федерального закона используются следующие основные понятия:
1) электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
2) сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
3) квалифицированный сертификат ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки электронной подписи, соответствующий требованиям, установленным настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, созданный аккредитованным удостоверяющим центром либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (далее - уполномоченный федеральный орган), и являющийся в связи с этим официальным документом;
(в ред. Федеральных законов от 30.12.2015 N 445-ФЗ, от 27.12.2019 N 476-ФЗ)
(см. текст в предыдущей редакции)
4) владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи;
5) ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;
6) ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи);
7) удостоверяющий центр - юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;
(в ред. Федерального закона от 30.12.2015 N 445-ФЗ)
(см. текст в предыдущей редакции)
8) аккредитация удостоверяющего центра - признание соответствия удостоверяющего центра требованиям настоящего Федерального закона;
(в ред. Федерального закона от 27.12.2019 N 476-ФЗ)
(см. текст в предыдущей редакции)
КонсультантПлюс: примечание.
С 01.01.2021 ст. 2 дополняется п. 8.1 (ФЗ от 27.12.2019 N 476-ФЗ). См. будущую редакцию.
9) средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;
10) средства удостоверяющего центра - программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра;
11) участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, индивидуальные предприниматели, а также граждане;
(в ред. Федерального закона от 27.12.2019 N 476-ФЗ)
(см. текст в предыдущей редакции)
12) корпоративная информационная система - информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц;
13) информационная система общего пользования - информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано;
14) вручение сертификата ключа проверки электронной подписи - передача доверенным лицом удостоверяющего центра созданного этим удостоверяющим центром сертификата ключа проверки электронной подписи его владельцу;
(п. 14 введен Федеральным законом от 30.12.2015 N 445-ФЗ; в ред. Федерального закона от 27.12.2019 N 476-ФЗ)
(см. текст в предыдущей редакции)
15) подтверждение владения ключом электронной подписи - получение удостоверяющим центром, уполномоченным федеральным органом доказательств того, что лицо, обратившееся за получением сертификата ключа проверки электронной подписи, владеет ключом электронной подписи, который соответствует ключу проверки электронной подписи, указанному таким лицом для получения сертификата;
(п. 15 введен Федеральным законом от 30.12.2015 N 445-ФЗ)
16) заявитель - коммерческая организация, некоммерческая организация, индивидуальный предприниматель, физическое лицо, не зарегистрированное в качестве индивидуального предпринимателя, но осуществляющее профессиональную деятельность, приносящую доход, в соответствии с федеральными законами на основании государственной регистрации и (или) лицензии, в силу членства в саморегулируемой организации, а также любое иное физическое лицо, лица, замещающие государственные должности Российской Федерации или государственные должности субъектов Российской Федерации, должностные лица государственных органов, органов местного самоуправления, работники подведомственных таким органам организаций, нотариусы и уполномоченные на совершение нотариальных действий лица (далее - нотариусы), обращающиеся с соответствующим заявлением на выдачу сертификата ключа проверки электронной подписи в удостоверяющий центр за получением сертификата ключа проверки электронной подписи в качестве будущего владельца такого сертификата.

Статья 5. Виды электронных подписей

1. Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись).
2. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
3. Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
4. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
(в ред. Федерального закона от 30.12.2015 N 445-ФЗ)
(см. текст в предыдущей редакции)
5. При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.

Как то так...
По факту, во многих случаях без КриптоПро не получится сделать ничего. Сам когда-то пробовал...
Ответ написан
@res2001
Developer, ex-admin
На сколько я знаю существуют сертифицированные версии openssl с ГОСТовскими алгоритмами. На вскидку примеров не приведу, но в свое время находил в инете такую информацию. Гуглите.

Тут еще вопрос в другом - наша крипта, даже если реализует одни и те же алгоритмы не совместима друг с другом (по крайней мере несколько лет назад эта проблема была). Поэтому вам придется использовать то ПО, которое использует ЦС и ваш контрагент. Боюсь, что выбора практически нет. Хотя, возможно, что-то уже сдвинулось в этом отношении.
Ответ написан
Insaned
@Insaned
всё такие интересные - кинулись отвечать, хотя вопрос задан не до конца.
Автор, вы что потом с этой ЭП (ЭЦП - слово маркер чайника) делать собираетесь ? Ходить в суд и там доказывать свою правоту ? Если да, то суд будет рассматривать только сертифицированные СКЗИ. А если вы просто так договоритесь с партнерами что будете делать вот так, то никто вам этого не запрещает.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы