Свердловская область
Это ваш регион?
Отдел продаж
Техподдержка 24/7

Переход на ГОСТ-2012: главное о новом стандарте электронной подписи

До конца 2018 года все аккредитованные удостоверяющие центры России должны перейти на формирование и проверку квалифицированных сертификатов в соответствии со стандартом ГОСТ Р 34.10-2012. Эксперты «Инфотекс Интернет Траст» рассказывают о процессе перехода на новый криптографический стандарт и о том, как мы сделали его комфортным для абонентов.
Елена Никонова
19 Ноября 2018
Руководитель направления развития услуг PKI «Инфотекс Интернет Траст»
Получить сертификат электронной подписи
Заполните заявку на выпуск сертификата
Заполнить заявку

ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» — российский криптографический стандарт, описывающий алгоритмы формирования и проверки электронной подписи, принятый и введённый в действие вместо ГОСТ Р 34.10-2001 Приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 года №215-ст.

Введение нового стандарта

В начале 2014 года ФСБ России известила разработчиков средств криптографической защиты информации о начале перехода на использование нового национального стандарта ГОСТ Р 34.10-2012 в средствах электронной подписи для информации, не содержащей сведений, составляющих государственную тайну.

Документ ФСБ России №149/7/1/3-58 от 31.01.2014 «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования», выписка из которого была опубликована на сайте ТК26, устанавливал следующие требования:

  • после 31 декабря 2013 года прекратить сертификацию средств электронной подписи на соответствие требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27.12.2011 г. №796, если в этих средствах не предусматривается реализация функций в соответствии с ГОСТ Р 34.10-2012;
  • после 31 декабря 2018 года запретить использование ГОСТ Р 34.10-2001 для формирования электронной подписи.

В октябре 2017 года Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации опубликовало на портале Федерального ситуационного центра электронного правительства Разъяснение по переходу на ГОСТ Р 34.10-2012, в котором подтверждалось, что использование схемы ГОСТ Р 34.10-2001 для формирования электронной подписи после 31 декабря 2018 года не допускается, в том числе и для формирования списка отзыва сертификатов, а после 31 декабря 2018 года формирование электронной подписи должно производиться по алгоритму ГОСТ Р 34.10-2012.

Также в разъяснении Минкомсвязи сообщалось о том, что выпуск сертификатов для подчиненных аккредитованных удостоверяющих центров с использованием схемы подписи, установленной стандартом ГОСТ Р 34.10-2012, планируется начать не позднее середины июля 2018 года.

Кроме того, в документе говорилось о том, что квалифицированный сертификат пользователя и квалифицированный сертификат аккредитованного удостоверяющего центра, выдавшего его пользователю, должны соответствовать одному стандарту: либо ГОСТ-2012, либо ГОСТ-2001. Если сертификаты будут сформированы в соответствии с разными стандартами, то есть будут иметь различную схему подписи, они не смогут пройти проверку на Едином портале государственных и муниципальных услуг.

В соответствии с разъяснением Минкомсвязи сценарий перевода пользователей на работу с квалифицированными сертификатами, выпущенными по ГОСТ-2012, предполагал, что все пользователи должны будут получить сертификаты, сформированные в соответствии с новым стандартом, несмотря на то, что удостоверяющие центры могли приступить к выпуску этих сертификатов только с августа 2018 года — после получения в Головном удостоверяющем центре квалифицированного сертификата подчинённого удостоверяющего центра, сформированного по ГОСТ-2012.

16 июля 2018 года Минкомсвязь опубликовала Уведомление о начале выпуска сертификатов ключей проверки электронных подписей подчинённых удостоверяющих центров на Головном удостоверяющем центре в соответствии с ГОСТ Р 34.10-2012, после чего аккредитованные удостоверяющие центры, запросившие в Головном удостоверяющем центре сертификат подчинённого удостоверяющего центра, сформированный по ГОСТ-2012, получили возможность выпускать сертификаты пользователей в соответствии с новым стандартом.

Чем вызвана необходимость перехода на новый ГОСТ?

В 2012 году было выпущено два новых стандарта — ГОСТ Р 34.10-2012 по формированию и проверке электронной подписи и ГОСТ Р 34.11-2012 по функции хэширования. Новые стандарты заменили ГОСТ по электронной подписи 2001 года и ГОСТ по функции хэширования 1994 года. В алгоритме формирования и проверки электронной подписи нового стандарта изменений не произошло, а вот функция хеширования существенно изменилась. Новая российская функция хеширования Стрибог с криптографической точки зрения существенно превосходит ту, что использовалась ранее и была описана в стандарте 1994 года.

Информационные технологии и методы криптографического анализ непрерывно развиваются, а стойкость криптографических примитивов должна поддерживаться на неизменно высоком уровне относительно доступных в настоящий момент противнику средств и методов криптоанализа. Для этого была разработана новая функция хэширования.

Антон Мелузов
Руководитель департамента развития услуг и продуктов «Инфотекс Интернет Траст»

Проблемы перехода на ГОСТ-2012

В октябре 2017 года, после того как Минкомсвязь объявила о том, что выпуск сертификатов для подчиненных удостоверяющих центров по схеме ГОСТ Р 34.10-2012 планируется начать не ранее июля 2018 года, стало ясно, что к установленному ФСБ России контрольному сроку, после которого запрещается использование ГОСТ-2001, — 31 декабря 2018 года, затруднительно обеспечить безболезненный перевод всех владельцев сертификатов ГОСТ-2001 на сертификаты ГОСТ-2012 без существенных дополнительных расходов со стороны удостоверяющих центров.

В связи с этим весной 2018 года Минкомсвязь инициировала ряд совещаний с представителями аккредитованных удостоверяющих центров по вопросу организации перехода на схему формирования электронной подписи по ГОСТ-2012. В ходе совещаний обсуждались проблемы удостоверяющих центров, связанные с жестким требованием обеспечить всех пользователей сертификатами ГОСТ-2012 до конца 2018 года, поскольку с начала 2019 года использование сертификатов ГОСТ-2001 запрещалось утвержденным ФСБ России порядком перехода на новый стандарт.

Обсуждения выявили главную проблему — неготовность перейти на использование нового стандарта электронной подписи ГОСТ-2012 многих государственных и муниципальных органов исполнительной власти, местного самоуправления муниципальных образований и других органов и организаций, включая ряд кредитных организаций и электронных торговых площадок, а также государственных и ведомственных порталов и информационных систем.

С какими сложностями сопряжён переход на новый ГОСТ?

Процесс перехода на новый ГОСТ достаточно длительный. Средства электронной подписи, в обязательном порядке поддерживающие новые ГОСТы, разрабатываются с конца 2013 года — с этого момента не принимаются технические задания на разработку средств электронной подписи без поддержки ГОСТ Р 34.10/11-2012. Соответственно, поскольку срок действия сертификата на средства электронной подписи и средства удостоверяющего центра обычно составляет 3 года, все такие сертифицированные средства уже давно поддерживают новые алгоритмы.

Сложность в настоящий момент заключается в том, что процесс замены алгоритмов дошёл до массового потребителя, которому аккредитованные Минкомсвязью удостоверяющие центры должны выпускать сертификаты нового образца. Для этого им необходимо оборудование, которое поддерживает новый ГОСТ, и сертификат Головного удостоверяющего центра, сформированный с использованием ГОСТ-2012. Удостоверяющие центры могут получить его с лета 2018 года.

Еще одно препятствие на пути к применению новых сертификатов — неготовность информационных систем к приёму и проверке электронной подписи, сформированной по новому ГОСТу.

Соответственно, для того чтобы переход на новый ГОСТ Р 34.10-2012 завершился, необходима совокупность факторов: удостоверяющие центры должны иметь возможность выпускать сертификаты по новому стандарту, а информационные системы — поддерживать работу с этими сертификатами.

На момент написания статьи (ноябрь 2018 года) проблема в большей степени заключается в готовности информационных систем, чем удостоверяющих центров. Не все информационные системы готовы принимать сертификаты по новому стандарту при том, что до конца года осталось менее двух месяцев. Будем надеяться, что к первому января процесс перехода полностью завершится.

Антон Мелузов
Руководитель департамента развития услуг и продуктов «Инфотекс Интернет Траст»

Продление срока действия ГОСТ Р 34.10-2001

Учитывая вышеуказанные обстоятельства, ФСБ продлила срок действия стандарта ГОСТ Р 34.10-2001 до 31 декабря 2019 года письмом от 07.09.2018 №149/7/6-363 после консультаций с исполнительными органами власти, представителями удостоверяющих центров, разработчиками СКЗИ, операторами ИС и порталов.

В связи с этим 12 сентября 2018 года Минкомсвязь опубликовала новое Уведомление об организации перехода на использование схемы электронной подписи по ГОСТ Р 34.10-2012 с подробным планом мероприятий по реализации перехода на новый стандарт, сроками перехода и рекомендациями производителям средств электронной подписи и удостоверяющих центров, аккредитованным удостоверяющим центрам, владельцам квалифицированных сертификатов и операторам информационных систем, в которых используется электронная подпись.

Основные положения уведомления Минкомсвязи, непосредственно касающиеся аккредитованных удостоверяющих центров:

  • срок действия стандарта ГОСТ Р 34.10-2001 продлевается до 31 декабря 2019 года;
  • до конца 2018 года производители средств электронной подписи должны продлить сроки действия сертификатов соответствия ФСБ России на средства электронной подписи, поддерживающие ГОСТ-2001, иначе электронные подписи, формируемые в 2019 году по ГОСТ-2001 с помощью средства ЭП со сроком действия сертификата ФСБ России до 31 декабря 2018 года, не будут считаться квалифицированными;
  • после 31 декабря 2018 года аккредитованные удостоверяющие центры должны прекратить выпуск квалифицированных сертификатов по схеме ГОСТ-2001;
  • владельцы квалифицированных сертификатов должны быть оповещены о том, что создание квалифицированной ЭП по схеме ГОСТ-2001 после 31 декабря 2019 года будет невозможным в связи с тем, что сертификаты соответствия ФСБ России на средства ЭП, поддерживающие ГОСТ-2001, прекратят свое действие 1 января 2020 года;
  • при выдаче квалифицированных сертификатов для ключей ГОСТ-2001 после 30 сентября 2018 года аккредитованные удостоверяющие центры должны ограничивать период их действия датой не позднее 31 декабря 2019 года (например, ограничением периода действия сертификата или включением в состав сертификата расширения Private Key Usage Period со значением, не превосходящим 31 декабря 2019 года);
  • мероприятия по встраиванию ГОСТ-2012 в информационные системы, использующие электронную подпись, и ввод их в эксплуатацию должны быть завершены до 31 декабря 2018 года;
  • информация о готовности ИС к работе с электронной подписью по ГОСТ-2012 будет публиковаться на портале Федерального ситуационного центра электронного правительства.

Переход к использованию сертификатов по ГОСТ-2012: что важно знать абонентам

На основании письма ФСБ РФ от 07.09.2018 №149/7/6-363 и Уведомления Минкомсвязи об организации перехода на использование схемы электронной подписи по ГОСТ Р 34.10-2012, использование стандарта ГОСТ Р 34.10-2001 для формирования электронной подписи продлевается до 31 декабря 2019 года. Начиная с 1 января 2020 года формировать электронную подпись можно будет только в соответствии с ГОСТ Р 34.10-2012.

Абоненты аккредитованных удостоверяющих центров могут использовать сертификаты электронной подписи, сформированные в соответствии с ГОСТ-2001, до конца периода их действия, но не позднее чем до 31 декабря 2019 года. При этом на протяжении всего 2019 года для подписания документов квалифицированной электронной подписью допускается использование как старых действующих сертификатов, сформированных по ГОСТ-2001, так и новых, созданных по стандарту ГОСТ-2012.

Переход на новый криптографический стандарт может вызвать сложности у абонентов удостоверяющих центров. Не все информационные системы, использующие электронную подпись, на сегодняшний день готовы к работе с сертификатами нового образца, по этой причине действие сертификатов по ГОСТ-2012 может быть временно ограничено.

Поэтому несмотря на готовность к переходу на новые стандарты электронной подписи, в интересах абонентов удостоверяющий центр «Инфотекс Интернет Траст» принял решение продолжать выпуск сертификатов в соответствии с ГОСТ-2001 вплоть до 31 декабря 2018 года. К этому времени завершится процесс перехода информационных систем, использующих ЭП, к обработке сертификатов нового образца. С 1 января 2019 года «Инфотекс Интернет Траст» будет выпускать сертификаты только по ГОСТ-2012.

До полного перехода на выпуск сертификатов по новому стандарту мы не рекомендуем абонентам приобретать одновременно два квалифицированных сертификата, выпущенных по ГОСТ-2012 и ГОСТ-2001, так как в этом нет необходимости ввиду продления действия ГОСТ-2001 до конца 2019 года. Кроме того, использование двух сертификатов может привести к путанице при выборе нужного в каждом конкретном случае и к ошибкам при работе в информационных системах, не поддерживающих ГОСТ-2012.

Если по какой-либо причине вам необходимо приобрести сертификат ГОСТ-2012 до конца 2018 года, обратитесь к сотруднику отдела продаж нашей компании, который поможет определить, поддерживает ли информационная система, в которой планируется использовать сертификат, стандарт электронной подписи ГОСТ-2012.

Внимание владельцам и пользователям информационных систем, не успевающих перейти на ГОСТ Р 34.10-2012 до конца 2018 года: Минкомсвязь опубликовала Уведомление о необходимости получения в аккредитованных удостоверяющих центрах в срок до 31.12.2018 г. квалифицированных сертификатов ключей проверки электронной подписи по ГОСТ Р 34.10-2001 для взаимодействия с такими информационными системами.

Эта статья была полезной?
Получить сертификат электронной подписи
Заполните заявку на выпуск сертификата