Готовимся к большим изменениям в НУЦ РК


Всем привет!

Летом 2021 года Национальный Удостоверяющий Центр РК объявил о том, что в 2022 году нас ждут новые криптографические алгоритмы и другие интересные изменения. Обсудим что известно на данный момент и как мы к готовимся к нововведениям.

Началось все с того, что в августе 2021 года на форуме НУЦ РК появилось объявление о предстоящих больших изменениях: https://forum.pki.gov.kz/t/planiruemye-izmeneniya-v-nucz-rk-na-2022-god/. Немного позже появилась отдельная страница посвященная изменениям: https://pki.gov.kz/plan2022/.

Изначально обновления информационных систем НУЦ РК были запланированы на 2-ой квартал 2022 года, а точнее на середину июня. Но в первой половине июня было объявлено о переносе сроков до 1 октября 2022 года в связи с тем, что информационные системы государственных органов несмотря на заблаговременные уведомления о планируемых изменениях НУЦ РК не успевают произвести соответствующие доработки в своих ИС.

Речь идет о следующих изменениях:

  1. переход на новый криптографический алгоритм формирования и проверки ЭЦП СТ РК ГОСТ Р 34.10-2015, регистрационные свидетельства и физическим и юридическим лицам будут выпускать теперь на одном и том же алгоритме;
  2. отказ от отдельных ключей ЭЦП для аутентификации, то есть вместо двух будут выпускать только одну ключевую пару (один файл), которую можно будет использовать и для входа в системы и для подписания документов;
  3. отказ от выпуска регистрационных свидетельств сотрудников юридических лиц с полномочиями “Сотрудник с правом подписи финансовых документов” и “Сотрудник отдела кадров”, то есть из 5 полномочий останется 3.

Что это значит для пользователей?

В теории, для пользователей обновления должны пройти незаметно. Для тех, кто будет продолжать использовать ключи и регистрационные свидетельства, выпущенные до обновления, просто ничего не изменится, эти ключи ЭЦП продолжат действовать до тех пор, пока не истечет срок их действия. Судьба тех, кто получит новые регистрационные свидетельства после обновления, будет сильно зависеть от разработчиков сайтов, порталов и систем которыми они пользуются - от того, на сколько быстро и качественно они доработают свои продукты.

Новые ключи ЭЦП можно будет получать на защищенные носители, заявлена поддержка устройств KAZTOKEN, aKey и eToken, обещают поддержку удостоверений личности.

Что может пойти не так? Это довольно сложно предугадать, но вот несколько вариантов:

  • проблемы с NCALayer - обновление систем НУЦ потребует так же обновления модулей NCALayer, а это может привести к неожиданным сбоям и странному поведению приложения, столкнувшись с подобными симптомами стоит попробовать удалить и установить NCALayer заново;
  • проблемы с некоторыми информационными системами - переход на новые криптографические алгоритмы требует обновления серверного программного обеспечения информационных систем, а это всегда означает возможность появления новых проблем и сбоев, в том случае, если какие-то информационные системы будут работать не так, как Вы от них этого ожидаете, рекомендуем обращаться в техническую поддержку этих систем, вероятно именно Вы первыми сообщите об ошибке и поможете разработчиками быстрее ее исправить;
  • проблемы с защищенными носителями - не все защищенные носители поддерживают новые алгоритмы, если Вам не удается получить новые ключи ЭЦП на свой токен или смарт-карту, стоит обратиться в техническую поддержку производителя, там Вас проконсультируют по возможным способам решения проблемы.

Что это значит для разработчиков и операторов информационных систем?

Разработчикам придется разбираться с обновлениями на обоих фронтах - и на стороне фронтенда (так как будут обновлены модули NCALayer) и на стороне бекенда (так как будут обновлены библиотеки из SDK НУЦ).

С фронтендом однозначности пока что нет, разработчики НУЦ упоминали о том, что предполагают добавить поддержку нового алгоритма в существующие вызовы NCALayer. Но так же речь шла о новом модуле с новым API. Так как все наработки все еще находятся в тестовой папке SDK, то все еще может измениться и остается только ждать публикации боевых сборок. Мы рекомендуем использовать для взаимодействия с NCALayer из браузера JS библиотеку ncalayer-js-client, которую будем обновлять и дополнять для удобной работы.

С бекендом все тоже довольно сложно. Новые С библиотеки собраны на базе новой версии OpenSSL и, соответственно, с использованием нового тулчейна. API выглядит похожим (но не идентичным, полной совместимости нет), но методы линковки меняются от одного предварительного релиза к другому. Обновление тулчейна может привести к тому, что новые библиотеки не получится загрузить на текущих Linux серверах из-за обновления glibc. С новыми Java библиотеками могут быть проблемы при работе в Java 7, так же разработчики сообщали о том, что примеры из SDK не работают с новыми библиотеками, так что, скорее всего, потребуется доработка систем.

Тем, кто пользуется нашим сервисом для проверки подписей, переживать не о чем бекенд не потребуется - наш API не изменится. В том случае, если система анализирует OIDы криптографических алгоритмов в регистрационных свидетельствах, нужно будет добавить поддержку новых OIDов, мы их уже опубликовали в перечне известных строк.

Планируем ли мы дорабатывать наш сервис SIGEX?

Конечно, мы будем дорабатывать наш сервис так, чтобы он непрерывно соответствовал законодательству Республики Казахстан в области обеспечения юридической значимости электронных документов и электронных подписей под ними.

Так как новые версии библиотек НУЦ все еще не объявлены релизными и не сертифицированы, то мы работаем с ними только в тестовых сборках. Соответственно заявить о поддержке новых алгоритмов мы пока что не можем, но основные работы по интеграции уже выполнены.

На данный момент доступны:

  • новые OIDы алгоритмов ЭЦП, мы их возвращаем в полях signAlgorithm и certSignAlgorithm объектов данных подписей, новые значения приведены в перечне известных строк;
  • OIDы типов хранилищ так же приведены в перечне известных строк, они будут доступны в поле keyStorage объектов данных подписей;
  • содержимое альтернативного имени субъекта сертификата (регистрационного свидетельства) - в новых сертификатах именно там будет указана электронная почта, приведено в полях subjectAltName и subjectAltNameStructure.

Хотите обсудить предстоящие нововведения НУЦ РК с нашими техническими и/или юридическими специалистами? Мы всегда рады, вот наши контакты.