Цифровая рукописная подпись — второй гвоздь в гроб «электронного правительства»
8 августа из Национальной палаты предпринимателей Республики Казахстан «Атамекен» (далее — НПП) поступила на экспертизу концепция проекта Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий» (далее — Концепция).
Судя по сопроводительному письму, в НПП Концепция поступила из Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее — МЦРИАП) за подписью вице-министра Оспанова.
МЦРИАП эта Концепция досталась по наследству от Министерства информации и коммуникаций Республики Казахстан (МИК). Если мне не изменяет память, первая версия Концепции увидела свет в октябре 2018 года. С тех пор идёт невидимая обывателю борьба непонятных желаний со здравым смыслом.
По Концепции есть ряд вопросов, но мы в этой статье сконцентрируемся на одном: цифровая рукописная подпись (ЦРП).
Вот что говорится про ЦРП в Концепции:
Вместе с тем, для подтверждения подлинности и целостности документа, подписываемого в электронном виде также активно используется цифровая рукописная подписать (ЦРП), которая также соответствует определению электронной цифровой подписи. Однако реализация данного вида электронной цифровой подписи будет осуществляться путем ее проставления стилусом на планшетах и других цифровых устройствах.
При этом, динамическое распознавание рукописной подписи является примером поведенческой биометрии. Методы, основанные на поведенческой биометрии, считаются лучше защищёнными от подделки, чем отпечаток пальца, радужная оболочка глаза и т.д.
Сверимся с Законом Республики Казахстан от 7 января 2003 года №370 «Об электронном документе и электронной цифровой подписи»:
16) электронная цифровая подпись – набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания;
12) электронный документ – документ, в котором информация представлена в электронно-цифровой форме и удостоверена посредством электронной цифровой подписи;
Таким образом, электронная цифровая подпись (ЭЦП) подтверждает достоверность, принадлежность и неизменность содержания электронного документа.
Каким образом это достигается? В основе работы казахстанской ЭЦП лежит асимметричное шифрование. Желающие детально разобраться могут сходить по ссылке, а я скажу кратко: для подписи сообщения или файла используется закрытый (private) ключ того, кто подписывает, а для проверки любой желающий может использовать открытый (public) ключ того, кто подписал. Открытый ключ может безопасно распространяться по открытым каналам связи. Закрытый ключ, как вы понимаете, должен храниться в строжайшем секрете. В идеале, никогда, ни при каких обстоятельствах не покидать устройство, где он был создан и хранится.
ЭЦП, прежде всего, даёт нам вот это:
- целостность — подтверждение того, что информация не была изменена при передаче и/или хранении;
- идентифицируемость — подтверждение того, что информацию отправил именно этот субъект (человек) и предотвращение отказа отправителя информации от факта, что информация была отправлена именно им.
Другими словами, ЭЦП даёт возможность техническими средствами подтвердить, что именно данная информация была отправлена именно этим человеком и что данная информация не была изменена после формирования электронной подписи.
Может ли ЦРП подтвердить достоверность, принадлежность и неизменность содержания электронного документа? Нет!
Если принадлежность и достоверность, хоть и спорно, но можно хотя бы как-то притянуть к ЦРП (сильно зависит от конкретной реализации и правил проведения экспертизы), то неизменность содержания электронного документа ЦРП никак не подтвердит.
Хоть ЦРП и можно отнести к биометрии, но она уж точно не соответствует определению ЭЦП, как юридическому, так и техническому. А это значит, что Концепция содержит недостоверные сведения. Причём, по моему мнению, заведомо недостоверные. Получается, МЦРИАП хочет «проехаться по ушам» НПП, Правительства, обеих палат Парламента и Президента нашей страны?
Чем же грозит применение ЦРП всем нам? Например, появлением вашей подписи в виде ЦРП в протоколе ДТП со смертельным исходом, которое вы не совершали. Самое интересное, что эту же схему можно применить против чиновников, попавших в немилость. Возможно, и против тех, кто сейчас так ратует за её внедрение.
Как такое может случиться? Распишетесь вы однажды стилусом на планшете, и ваша ЦРП может быть сохранена для дальнейшего «применения». Конечно, представители МЦРИАП могут сказать, что будет использоваться только сертифицированное, лицензированное и т.п. аппаратное и программное обеспечение. Но мы помним, как «утекли» в интернет персональные данные 11 млн. наших граждан.
Я, конечно, подготовил и отправил в НПП свою позицию по Концепции. Отразил там и вопрос ЦРП. Кроме того, рекомендовал НПП обратиться в правоохранительные органы, т.к. ЦРП и ряд других вопросов пытаются «продавить» уже не в первый раз. Стало быть, делают это осознанно. Хватит ли смелости у НПП? Скоро узнаем.
Vladimir Turekhanov ・ August 17, 2019