25–26 марта в Подмосковье прошла XXVIII научно-практическая конференция «РусКрипто». Компания «Газинформсервис» стала официальным партнёром дискуссионной панели «ЭДО в России», которая состоялась в первый день мероприятия.
В обсуждении приняли участие эксперты отрасли:
— Федор Новиков, начальник управления электронного документооборота ФНС России;
— Павел Смирнов, директор по развитию компании «КриптоПро»;
— Анастасия Лабуцкая, советник генерального директора компании «СКБ Контур».
Модераторами сессии выступили президент Ассоциации «РОСЭУ» и директор «РусКрипто» Юрий Малинин, а также советник генерального директора, начальник удостоверяющего центра компании «Газинформсервис» Сергей Кирюшкин.
Участники сосредоточились на актуальных вопросах юридически значимого документооборота. В их числе:
— нормативное регулирование и стандарты длительного хранения электронных документов с ЭП;
— ведение списка доверенных сервисов (TSL) Минцифры России как основа доверия к отечественной инфраструктуре открытых ключей (PKI);
— последствия отсутствия единого национального стандарта построения цепочек сертификации.
Особое внимание Сергей Кирюшкин уделил проблеме минимизации рисков для добросовестных пользователей электронной подписи. Речь шла о критическом периоде между подачей заявления на отзыв сертификата и моментом публикации этой информации удостоверяющим центром. Согласно закону (ст. 14, ч. 7), у УЦ есть до 12 часов на проведение этой процедуры.
«За это время скомпрометированный ключ может быть использован злоумышленниками для использования скомпрометированного ключа подписи. Бизнесу необходимы инструменты, снижающие эти риски», — отметил Сергей Кирюшкин.
В качестве решения эксперт предложил использовать сервис фиксации времени подачи заявления на отзыв сертификата:
«Сегодня существует несколько эффективных решений. Одно из них — фиксация обращения об отзыве сертификата квитанцией доверенной третьей стороны. Протокол DVCS (RFC 3029), реализованный в программном комплексе Litoria.DVCS, позволяет подтвердить наличие документа у заявителя в конкретный момент времени. Мы рекомендуем пользователям, которые серьёзно оценивают подобные риски, внедрять такие сервисы в свою инфраструктуру».
