Форум казахстанского налогоплательщика

Настраивал Портал госзакупок, Портала электронного Правительства и другие порталы, электронные системы многие пользователи спотыкались на установке дополнительных программ. Больше всего нареканий на то, что надо ставить Tumar CSP.

Что такое Tumar CSP? Это криптопровайдер, который позволяет подписывать электронной с помощью специального алгоритма. В отличие от многих других систем, Tumar был разработан в Казахстане, компанией Гамма и был сертифицирован и лицензирован. Соответствующую лицензию им выдали в КНБ.

Тумар достаточно распространен. Он применяется почти на всех государственных сайтах, порталах, электронных системах, где требуется электронная подпись. Именно для использования с Tumar CSP выдаются сертификаты электронной подписи в ЦОН. И при настройке Портала госзакупок и других систем Электронного Правительства необходимо настроить и Tumar CSP.

Более того, многим коммерческим компаниям Тумар знаком. Именно алгоритмы Тумар использовались с самых первых версий СГДС, в т.ч. СГДС-2, СГДС-3. Даже многие банковские программы (банк-клиенты) используют алгоритмы Тумар. Просто одни используют систему Tumar CSP, другие нет.

Тумар хорошая, интересная система и приятно осознавать, что это отечественная разработка, но всё это вплоть до того, как начинаешь подсчитывать, сколько неудобств она доставляет конкретным пользователям. Во-первых, не все пользователи хорошо разбираются в компьютерах, программах, а инструкции по установке, настройке, переносу сертификатов в Tumar CSP пугают порой опытных пользователей. Во-вторых, система Tumar CSP совместима не со всеми программами, так например даже Кабинет налогоплательщиков работает немного иначе после установки Tumar CSP. Т.е. установив Тумар, пользователь может узнать, что у него "сломался" СГДС, Кабинет налогоплательщиков или еще что-то. Ну и наконец, все инструкции, как правило, описывают установку в Windows, а если Вы хотите использовать другую операционную систему.

Таким образом, самая большая проблема это сложность пользования данной системой обычными пользователями. Но если Казахстан хочет как можно больше использования систем Электронного правительства, то нужно его упростить. И это можно сделать, если отказаться от Tumar CSP.

Сейчас рассматривается вопрос полного отказа от Тумар. Вместо этого будет использоваться Электронная подпись на базе алгоритма RSA. Еще одно знакомое слово? Вы знаете, в чем отличие Тумар от RSA?

Всё просто. RSA это известный и распространенный в мире стандарт ЭЦП. И он уже и так встроен в Windows и в другие операционные системы. А значит, не надо будет больше ставить дополнительные программы. Ваш сертификат просто будет добавляться к списку Ваших сертификатов и всё.

Таким образом, если Казахстан откажется от Тумар, то от этого выиграют пользователи: в разы облегчится установка и настройка Портала госзакупок, Электронного правительства, ЭССО и т.п.

Но не всё так просто. Это сложное решение. Чтобы его принять нужно решение не одного человека, т.к. это элемент многих существующих электронных систем, в них надо будет внести изменения. Ну и наконец, это проблема национальной безопасности, т.к. RSA разработан за пределами РК, нужно разрешение соответствующих служб на принятие такого решения.

Ну а пользователи Кабинета налогоплательщиков уже и так пользуются ЭЦП RSA.

Решение откажется ли РК от Тумар будет принято в ближайшее время и если всё получится, то в 2011-2012 годах мы перейдем на более простой вариант использования электронных сертификатов. И новые сертификаты в ЦОН-е будут выдаваться в формате RSA.

А я пока добавил опрос, чтобы узнать как пользователи отнесутся к тому, что государственные электронные системы откажутся от RSA, проголосуйте пожалуйста (опрос в самом верху темы)

Проголосовал за второй пункт.
Положительно - потому, что будет проще. Не будет конфликтов с ПО, простота настройки и т.д.
Можно не торопиться - потому, что сейчас все работает, подписывается.
Даже странно не много. На примере гос закупок, только настроили подпись, загрузку файлов на сервер с ЭЦП, и тут решили отказаться. Не помню точно, но продолжительное время можно было не подписывать пользовательское соглашение на говкз, так как толком подпись не работала.
Для чего было столько трудностей изначально? Напрашивается только один ответ.

Тут такая ситуация: есть вопрос национальной безопасности. Каждая страна хочет обезопасить свои электронные системы. Не будем забывать, что ЦОН выдает не просто ключ для доступа к электронным госзакупкам или электронной стат.отчетности. Это единая система электронной подписи. Пример в будущем сотрудник КНБ, Правительства, Министерства сможет с таким же ключом, который он получил также как и Вы в ЦОН-е просто входит на какой-нибудь внутренний Портал, где возможно размещены секретные документы, он там сможет получать к ним доступ, сможет подписывать этим сертификатом документы.

И нужно быть уверенным, что подпись поставил именно он, что с сертификатом вошел именно он. Поэтому решение о каком алгоритме подписи использовать очень важно. Если использовать такой, что кто-то сможет его подобрать, то это потенциально опасно. Я Вам открою секрет: в мире есть немало хакеров которые охотятся на чужие электронные сертификаты. Это могут быть и сертификаты для доступа в Интернет-банки, и для внутренней системы документов, и других систем. А уж о том, что подобрав электронную подпись можно получить доступ к государственной системе - об этом можно мечтать.

В Тумар используется достаточной известный алгоритм, который часто называют просто ГОСТ, который был разработан в СССР. А алгоритм RSA разработан в США. Он тоже достаточно хорош, при использовании большой длины ключа. Так или иначе технические моменты это еще и моменты национальной безопасности.

Это все понятно, но ведь изначально было ясно на каком уровне должно быть шифрование. Ведь это не соно, где ПО обновляется раз вмесяц под нужды Налоговой.
А по поводу секретности, у нас безалаберность в этом плане. Не важно, гос орган или все остальные. Не так давно, мне в руки попал винчестер, который "полетел" на компьютере в гос учреждении. Так вот, не смотря на криптостойкость алгоритмов, пользоваться мог пользоваться сертификатами установленными в системе. Пароль были на c:\ пароли.txt

Кстати, возникла новая проблема с Тумаром. Висели на нем не закрытые ключи (не пришли на них сертификаты) и закрытые. Запросил новые ключи и при записи сертификата по ссылке, удалились все, кроме тех, на которые запрашивали. Вот это косяк! Оказывается, разработчики так сделали. А если мне одновременно на три фирмы надо запросить? Три профайла делать или как? Непонятно. Проголосовал несомненно за первый пункт.

Странно, что пока никто не отмечает пункт "Отрицательно, надоели постоянные изменения". Мое мнение, что без ТУмара будет удобнее. Но скорее всего если сейчас у Вас есть сертификат, то наверное его не получится продлить, придется менять. Хотя может и сделают замену. В любом случае разработчикам придется обновить и сайты, и программы (ИС ЭСО, депозитарий и т.п.). Тем кто уже много раз настраивал, тем немного необычно. А вот новичкам будет очень удобно. И наконец тот же Портал госакупок можно будет нормально использовать на одном компьютере с Кабинетом налогоплательщиков СГДС и т.д.

Кайрат-F2 писал(а):Странно, что пока никто не отмечает пункт "Отрицательно, надоели постоянные изменения". Мое мнение, что без ТУмара будет удобнее. Но скорее всего если сейчас у Вас есть сертификат, то наверное его не получится продлить, придется менять. Хотя может и сделают замену. В любом случае разработчикам придется обновить и сайты, и программы (ИС ЭСО, депозитарий и т.п.). Тем кто уже много раз настраивал, тем немного необычно. А вот новичкам будет очень удобно. И наконец тот же Портал госакупок можно будет нормально использовать на одном компьютере с Кабинетом налогоплательщиков СГДС и т.д.

Вот именно, сейчас, в фирмах, где нет программиста или сисадмина (штатного), стараюсь ставить госзакуп не на бухгалтерский компьютер, во избежание конфликтов, а то в одном мете шабашники сказали чуть ли не компьютер менять из-за того, что не могли настроить КН, т.к. там стоял Тумар.

Еще я пожалуй защищу разработчиков портала Электронного Правительства. В Казахстане есть требования и стандарты безопасности, так вот когда система Электронного Правительства разрабатывался, то использование ЭЦП на базе RSA было вне закона. Просто по стандартам безопасности он не проходил, он не был сертифицирован, проверен и т.п. В отличие от него Tumar был одним из первых кто имел все необходимые разрешения. Именно поэтому Тумар использовался во многих банковских системах, в СГДС, в системе межбанковского обмена и тому подобное.

Но время и идет и меняется. Так пару лет назад обновлен стандарт безопасности и теперь RSA как и некоторые другие уже разрешен к применению. И это кстати помогло Кабинету: когда Кабинет налогоплательщиков cabinet.salyk.kz разрабатывался, то уже можно было использовать RSA - и наверное поэтому его выбрали. Если бы Кабинет налогоплательщиков разрабатывали не в 2008-2009, а скажем в 2005, то нам бы с Вами пришлось при установке Кабинета налогоплательщиков ставить еще и Tumar.

Ну и чтобы путаницы не возникало: Тумар использует алгоритм шифрования ГОСТ 34.310-2004, который еще называют просто ГОСТ. Он сам по себе неплох. Просто его нужно дополнительно ставить.

Так что все вместе благодарим стандарт СТ РК 1073 – 2007, если бы его не приняли, то нам пришлось бы при установке Кабинета ставить Tumar или его аналоги. А теперь благодаря ему может быть государственный системы будут работать вообще без Tumar CSP

Ну и наконец, я плотно никогда не работал с юридической основой ЭЦП в Казахстане, просто для себя пытался разобраться. Поэтому написал достаточно упрощенно, надеюсь ничего не напутал. Если углубляться внутрь, то там много деталей, но в целом мне кажется понятно объяснил, почему Портал госзакупок, Электронное Правительство, СГДС, банковские программы используют Тумар, почему его нет в Кабинете - это всё мои предположения, я не участвовал в их разработках. И то, почему я считаю, что от Тумар многие системы откажутся в ближайшее время

Это все понятно, но почему бы тогда на законодательном уровне не принять нормальный стандарт, который бы устроил всех?

Стандарт СТ РК 1073 – 2007 описывает требования, которые необходимо соблюдать, чтобы организация имела права выпускать сертификаты. Там описывается не столько алгоритм, сколько требования в целом. Это же не просто сложность взлома алгоритма. Это еще и наличие специалистов, защита ПО и многое другое. Просто теперь при соблюдении прочих условий можно использовать не только в Тумар

Кайрат-F2 писал(а):Ну и наконец, я плотно никогда не работал с юридической основой ЭЦП в Казахстане, просто для себя пытался разобраться. Поэтому написал достаточно упрощенно, надеюсь ничего не напутал. Если углубляться внутрь, то там много деталей, но в целом мне кажется понятно объяснил, почему Портал госзакупок, Электронное Правительство, СГДС, банковские программы используют Тумар, почему его нет в Кабинете - это всё мои предположения, я не участвовал в их разработках. И то, почему я считаю, что от Тумар многие системы откажутся в ближайшее время

Это еще не факт.

Хорошая новость: скоро новые ключи будут выдаваться только в RSA и больше не нужно будет ставить Тумар для работы с ними. Кто уже получил старые, то дождаться пока не закончатся и заново получать. Плохая новость: возможны новые проблемы, софт на сервере сильно изменится

Ну вообще, работа только по RSA действительно хорошая новость.

Там только они как-то от одной идеи к другой мечутся. Изначально хотели отказаться от Тумар, но перейти на другую аналогичную систему. Т.е. помимо Java еще один криптопровайдер ставить с реализацией алгоритма ГОСТ, но в последний момент, когда многое для перехода было готово, от этой идеи отказались. И это хорошо, вот это замечательно. Ибо проблемы Тумара мы уже знаем, а проблемы новой системы нет. С RSA правда проще будет, он уже используется в Кабинете и нам уже хорошо знаком. Ну и наконец надеюсь госзакупки будут нормально работать в браузере IE

А вот вопрос, имеется ли возможность подписание запросов сертификатом RSA? В КН помнится так не получается.

Конечно можно будет. Просто апплет в Кабинете так устроен, что подписывает только с помощью алгоритма ГОСТ

Кайрат-F2 писал(а):Хорошая новость: скоро новые ключи будут выдаваться только в RSA и больше не нужно будет ставить Тумар для работы с ними.

Ещё одна хорошая новость. Со старым сертификатом (не просроченным) и не установленным Тумаром на компе, можно уже работать в госзакупаках через мозилу. Для этого достаточно импортировать в браузер сертификат RSA согласно инструкции и всё.

shurik_kz писал(а):Ещё одна хорошая новость. Со старым сертификатом (не просроченным) и не установленным Тумаром на компе, можно уже работать в госзакупаках через мозилу.

Надо попробовать!

Вот, кстати, хороший вопрос! Ключик на горстате заканчивается. А он единый и для госзакупа и для горстата. Продлять сейчас? Или подождать пока формат поменяется? Госзакуп второй день не работает толком. А интересно, Тумар удалять придется?