Минцифры России вынес на обсуждение проект приказа, вносящий существенные изменения в формат электронной подписи, обязательный для реализации всеми средствами ЭП утвержден приказом № 472 от 14.09.2020 Основные изменения 1️⃣ Уточнение структуры данных (п. 1, 6, 7) Приводится в точное соответствие со стандартом Cryptographic Message Syntax (CMS). Задача — формализовать и гармонизировать технологию с международной практикой. Например, явно прописывается обязательное поле signedAttrs в SignerInfo. 2️⃣ Работа с сертификатами (п. 2, 3, 4, 9-11) ▪️уточняется описание поля certificates — оно может содержать полную цепочку сертификатов; Важно: атрибутивные сертификаты версий 1 и 2 (v1AttrCert, v2AttrCert) прямо объявляются неприменимыми (п. 4). Соответствующий пункт 5.4.4 признается утратившим силу. ▪️корректируются объектные идентификаторы (OID) для атрибутов contentType, messageDigest и signingCertificateV2 в соответствии с актуальными стандартами. 3️⃣ Информация об аннулировании (п. 6) ▪️в поле crls теперь включаются данные не только об аннулированных, но и о досрочно прекративших действие сертификатах. Это должно закрыть потенциальную правовую неопределенность. 4️⃣ Метка доверенного времени (п. 8) ▪️явно разрешено включать в ЭП в качестве неподписываемого атрибута метку доверенного времени (согласно приказу № 580); ▪️указан конкретный OID (1.2.840.113549.1.9.16.2.14). Это важный шаг для юридически значимого документооборота и доказательства момента подписания. 5️⃣ Формат заявления на сертификат (п. 12-15) ▪️детализируется структура CertificationRequest (PKCS#10); ▪️вносятся редакционные правки для однозначности, включая ссылки на конкретные версии стандартов (ГОСТ Р ИСО/МЭК 9594-8-98, 8825-1-2003). Что это значит на практике? ◾️Для разработчиков СКЗИ и средств ЭП Необходимо актуализировать реализации, обеспечив строгое соответствие обновленным синтаксическим правилам и OID. Особое внимание — обязательности signedAttrs и обработке метки времени. ◾️Для удостоверяющих центров (УЦ) Требуется адаптировать процессы обработки запросов на сертификаты (CertificationRequest) и учитывать расширенное определение поля crls. ◾️Для интеграторов и потребителей После вступления приказа в силу все новые ЭП должны будут соответствовать обновленному формату. Совместимость со старыми подписями, вероятно, сохранится, но это требует уточнения. ◾️Для экспертов и аудиторов Появляются четкие, однозначные критерии для проверки формата ЭП. Устранена неопределенность с атрибутивными сертификатами. «Подводные камни» и критические замечания 1️⃣Риск нарушения обратной совместимости (главная проблема) Обязательность поля signedAttrs (п. 7) может сделать невалидными огромный массив ранее созданных ЭП, сформированных в соответствии с предыдущей редакцией формата (приказ №472 от 2020 г.) и отраслевой практикой, где это поле было опциональным. Это ставит под угрозу юридическую силу архивных документов. 2️⃣ Неопределенность ключевых терминов Понятие «досрочно прекративших действие» сертификатов (п. 6) не раскрыто. Что под этим подразумевается: расторжение договора, технический перевыпуск, самоотзыв? Разные трактовки УЦ приведут к неоднородности списков отзыва (CRL) и проблемам при проверке. 3️⃣ Скрытые затраты для бизнеса Объявление атрибутивных сертификатов неприменимыми (п. 4) может потребовать дорогостоящего перепроектирования корпоративных систем, где они использовались для управления правами. Реализация изменений (особенно по п. 1 и 7) потребует от вендоров СКЗИ и УЦ выпуска обновлений, а от интеграторов — доработки решений. Оценка регулирующего воздействия отсутствует. В проекте приказа пока не просматривается стратегическое видение. Приказ выглядит как точечная «заплатка» старого документа, а не часть дорожной карты развития инфраструктуры ЭП. Нет ответов на вопросы о поддержке будущих алгоритмов или интеграции с современными стандартами вроде CAdES #ЭП #ЭлектроннаяПодпись #СКЗИ #Минцифры #Криптография #ИнфраструктураДоверия #УЦ #Станда