Одним підписом скомпрометувати Центр сертифікації
Дуже складно написати просто про складне. Але. Минулої п’ятниці стався надто тяжкий злочин. Він відбувся публічно, пролунав у всіх новинах. І при цьому помітили його лише кілька десятків людей. Решта – просто не зрозуміли. Хоча саме він показує колосальний розрив між Україною і цивілізацією.
Отже, про довіру.
Саме на ній тримається сучасна цивілізація. На довірі будуються фінансові операції і космічні кораблі. На довірі до судової системи будуються суспільства. На довірі до процедур – держави. Довіра є заставою кооперації та благодійності. Навіть кордон, незважаючи на прірву необхідних документів, ви перетинаєте завдяки довірі. Довірі приймаючої країни до цих документів.
Побудова і розвиток будь-якої системи, від вашої особистої кар’єри – до процвітання держави, без довіри неможливі.
Довіра це не абстрактна категорія, це інструмент. Наочно візуалізує його система Центрів сертифікації – організацій, які (вибачте, криптографи) – гарантують правильність електронного документа або наділяють таким правом інші організації.
Спійманий, але не корупціонерЦентром сертифікації може бути хто завгодно. Будь-яка фірма виступає аналогом Центру, коли видає електронний бейдж своєму співробітникові. Цим бейджем вона запевняє, що його носій – працює в цій компанії.
Такому «сертифікату» зобов’язаний повірити вахтер на вході, але зовсім не зобов’язаний вірити прикордонник на виїзді із країни. Для органів державної влади (поліція, прикордонна служба, податкова) потрібні «сертифікати» іншої якості – закордонний паспорт, паспорт громадянина, права. Усі ці документи мають важливу відмінність від бейджа – їх видали структури, з якими держоргани довіряють.
В електронній формі аналогами таких структур є Акредитовані центри сертифікації ключів (АЦСК). В Україні вони збудовані в коротку ієрархію, вершина якої – Центральний орган Міністерства юстиції, який це посвідчує.
Давайте поки забудемо про “електронні ключі”, оскільки зовсім неважливо, що видає АЦСК – електронний ключ або друк на папері. Важливо лише те, що якщо Міністерство юстиції своїм «сертифікатом» запевнило, що Іван Іванович Іванов – це Іван Іванович Іванов, отже – так воно і є. Це незаперечний факт, і крапка. На цьому тримаються всі державні реєстри, наприклад.
Зрозуміло Мін’юст не може ідентифікувати всіх Іванових у кожному випадку. І тоді він видає «вірчі грамоти» податковій, наділяючи її правом завіряти Іванова. Таке саме право Центральний орган Мін’юсту видає і комерційним компаніям, оскільки податкова теж усіх Іванових ідентифікувати не готова. Всі учасники, які отримали акредитацію ЦЗО Мін’юсту – АЦСК. Будь-який учасник має офіційне право «ідентифікувати Іванова», це право публічно і легко перевіряється. І головне, “завірений” будь-яким учасником Іванов – буде визнаний Івановим на будь-якому рівні. Від райадміністрації до Адміністрації президента.
Судді-хабарники битимуться за свої синекури до останньогоБо всі довіряють сертифікату АЦСК. Ця довіра тримається на переконаності в тому, що ніхто з учасників ланцюжка не дозволить собі назвати «Івановим» – Петрова. Ніколи і жодних обставин не відійде від узгодженого регламенту дій.
І цей регламент не передбачає роботу “за дзвінком”.
19 серпня АЦСК державне підприємство «Українські спеціальні системи» запевнило своїм ключем неіснуючу особу (Рябошапка Р.Г., ідентифікаційний код 1234567892). Цей сертифікат дозволив внести дані «Рябошапки Р.Г.» у систему електронного декларування. Систему, що розміщує дані на підставі саме такого сертифіката.
Надалі народні депутати Геращенко та Винник представили це розміщення як таке, що компрометує систему (хоча вона відпрацювала якраз штатно).
Насправді видача такого сертифіката компрометує лише й виключно державний авторизований центр сертифікації. Організація, в самому визначенні якої позначено – «сторона (відділ, організація), чия чесність незаперечна».
Мені складно уявити, що може змусити АЦСК скомпрометувати свій власний підпис. Варіант, за якого підпис АЦСК компрометується шляхом підробки його третьою стороною, ми не розглядаємо, оскільки жодних заяв про подібне від ДП УСС не надходило.
Компрометація підпису АЦСК веде до втрати довіри до організації. Мова не про моральний бік «ми не довіряємо цим нехорошим людям». Якщо підпис скомпрометовано – то всі дії, завірені цим підписом, втрачають довіру і мусять розглядатися як можливо неправомірні. Ба більше, якщо підпис скомпрометовано самою організацією, отже – будь-який інший підпис цієї організації також може бути підробленим.
Без драматизму – запевнивши підписом завідомо недостовірні дані, ДП УСС сам викреслив себе зі списку АЦСК. Формально викреслити його має ЦЗО. В іншому разі ЦЗО визнає втрату довіри, що зі свого боку компрометує сам ЦЗО. А його підписом, у підсумку, завірено все в Україні.
Метод Чауса і МВФДрама в тім, що усвідомлення довіри як ресурсу і основи в Україні незначна. І навіть учасники систем, юридично, організаційно і технологічно побудованих на довірі виключно, ресурс цей ні в гріш не ставлять.
P.S. Відтінок безнадійності цій історії надають додаткові моменти:
1. За надійністю АЦСК стежить служба ДССЗІ. Скомпрометоване ДП УСС належить до сфери управління ДССЗІ, тож перевірка буде «самих себе».
2. Завдяки публікації «ключа підробного Рябошапки» будь-хто зміг переконатися, що він підписаний ДП УСС. Незважаючи на це, ДП УСС робить несумісні зі здоровим глуздом заяви про непричетність до інциденту.
3. Втрата довіри до сертифікатів, виданих українськими АЦСК на міжнародному рівні. В цьому разі – досить віртуальна втрата, оскільки завдяки зусиллям ДССЗІ українські сертифікати технічно і так несумісні зі світовими стандартами.
Однак із такою компрометацією – і не будуть.