Одной подписью скомпрометировать Центр сертификации
Денис Бигус, журналист
Очень сложно написать просто о сложном. Но. В прошлую пятницу произошло крайне тяжкое преступление. Оно произошло публично, прошло во всех новостях. И при этом заметили его лишь несколько десятков человек. Остальные — просто не поняли. Хотя именно оно показывает колоссальный разрыв между Украиной и цивилизацией.
Итак, о доверии.
Именно на нем держится современная цивилизация. На доверии строятся финансовые операции и космические корабли. На доверии к судебной системе строятся общества. На доверии к процедурам – государства. Доверие выступает залогом кооперации и благотворительности. Даже границу, не смотря на прорву необходимых документов, вы пересекаете благодаря доверию. Доверию принимающей страны к этим документам.
Построение и развитие любой системы, от вашей личной карьеры до процветания государства, без доверия — невозможно.
Доверие это не абстрактная категория, это инструмент. Наглядно визуализирует его система Центров сертификации – организаций, которые (простите, криптографы) – заверяют правильность электронного документа или наделяют таким правом другие организации.
Пойман, но не коррупционерЦентром сертификации может быть кто угодно. Любая фирма выступает аналогом Центра, когда выдает электронный бейдж своему сотруднику. Этим бейджем она заверяет, что его носитель – работает в этой компании.
Такому «сертификату» обязан поверить вахтер на входе, но совсем не обязан верить пограничник на выезде из страны. Для органов государственной власти (полиция, погранслужба, налоговая) требуются «сертификаты» иного качества – загранпаспорт, паспорт гражданина, права. Все эти документы обладают важным отличием от бейджа – их выдали структуры, которым госорганы доверяют.
В электронной форме аналогами таких структур являются Аккредитованные центры сертификации ключей (АЦСК). В Украине они выстроены в короткую иерархию, вершина которой – Центральный заверяющий орган Министерства юстиции.
Давайте пока забудем про “электронные ключи”, поскольку совершенно неважно, что выдает АЦСК – электронный ключ или печать на бумаге. Важно лишь то, что если Министерство юстиции своим «сертификатом» заверило, что Иван Иванович Иванов – это Иван Иванович Иванов, значит так оно и есть. Это непреложный факт и точка. На этом держатся все государственные реестры, например.
Разумеется Минюст не может заверять всех Ивановых по каждому случаю. И тогда он выдает «верительную грамоту» налоговой, наделяя ее правом заверять Иванова. Такое же право Центральный заверяющий орган (ЦЗО) Минюста выдает и коммерческим компаниям, поскольку налоговая тоже всех Ивановых заверять не готова. Все участники, получившие Аккредитацию ЦЗО Минюста – АЦСК. Любой участник владеет официальным правом «заверять Иванова», это право публично и легко проверяется. И главное, заверенный любым участником Иванов – будет признан Ивановым на любом уровне. От райадминистрации до Администрации президента.
Судьи-взяточники будут драться за свои синекуры до последнегоПотому что все доверяют сертификату АЦСК. Это доверие держится на уверенности в том, что никто из участников цепочки не позволит себе заверить «Ивановым» — Петрова. Никогда и ни при каких обстоятельствах не отойдет от согласованного регламента действий.
И этот регламент не предполагает работу “по звонку”.
19 августа АЦСК государственное предприятие «Украинские специальные системы» заверило своим ключем несуществующую личность (Рябошапка Р.Г., идентификационный код 1234567892). Этот сертификат позволил внести данные «Рябошапки Р.Г.» в систему электронного декларирования. Систему, которая размещает данные на основании именно такого сертификата.
В дальнейшем народные депутаты Геращенко и Винник представили это размещение как компрометирующее систему (хотя она отработала как раз штатно).
На самом деле выдача такого сертификата компрометирует только и исключительно государственный авторизованный центр сертификации. Организацю, в самом определении которой обозначено – «сторона (отдел, организация), чья честность неоспорима».
Мне сложно представить, что может заставить АЦСК скомпрометировать свою собственную подпись. Вариант, при котором подпись АЦСК компрометируется путем подделки ее третьей стороной мы не рассматриваем, поскольку никаких заявлений о подобном от ГП УСС не поступало.
Компрометация подписи АЦСК ведет к утрате доверия к организации. Речь не о моральной стороне «мы не доверяем этим нехорошим людям». Если подпись скомпрометирована, то все действия, заверенные этой подписью, утрачивают доверие и должны рассматриваться как возможно неправомерные. Более того, если подпись скомпрометирована самой организацией, значит любая другая подпись этой организации также может быть поддельной.
Без драматизма — заверив подписью заведомо недостоверные данные ГП УСС само вычеркнуло себя из перечня АЦСК. Формально вычеркнуть его должно ЦЗО. В противном случае ЦЗО признает утративший доверия орган, что в свою очередь компрометирует сам ЦЗО. А его подписью, в конечном счете, заверено всё в Украине.
Метод Чауса и МВФДрама в том, что осознание доверия как ресурса и основы в Украине ничтожна. И даже участники систем, юридически, организационно и технологически построенных на доверии исключительно, ресурс этот ни в грош не ставят.
P.S. Оттенок безнадежности этой истории придают дополнительные моменты:
1. За надежностью АЦСК следит служба ДССЗИ. Скомпрометированное ГП УСС входит в сферу управления ДССЗИ, так что проверка будет «самих себя».
2. Благодаря публикации «ключа поддельного Рябошапки» любой смог убедиться, что он подписан ГП УСС. Не смотря на это ГП УСС делает несовместимые со здравым смыслом заявления о непричастности к инциденту.
3. Утрата доверия к сертификатам, выданным украинскими АЦСК на международном уровне. В данном случае — довольно виртуальная утрата, поскольку благодаря усилиям ДССЗИ украинские сертификаты технически и так не совместимы с мировыми стандартами. Однако с такой компрометацией — и не будут.