Ваш вопрос несколько неккоректен и требует достаточно большого ответа. Постараюсь дать максимально развернутый ответ :-)
Во-первых: Сама постановка "УЦ должен быть обязательно ГОСТовым или можно это организовать на бесплатных доступных средствах (типа УЦ на базе Microsoft Windows). " неправильная. КОгда говорят ГОСТ, то имеют ввиду криптографический алгоритм реализованный в средстве ЭЦП (оно же СКЗИ, оно же криптосредство, оно же криптопровайдер и т.д.). А когда говорят УЦ на базе Microsoft Windows, то имеют ввиду службу сертификации СА из состава MS Windows Server. А эта служба может работать как с ГОСТом так с иными алгоритмами (RSA и т.д.).
Я трактовал Ваш вопрос так: "Подскажите, средство ЭЦП и средство автоматизации деятельности УЦ должны быть сертифицированы, всертификаты открытых ключей, изготавливаемых УЦ должн быть обязательно ГОСТовыми или можно это организовать на бесплатных доступных средствах (типа УЦ на базе Microsoft Windows) и на импортных алгоритмах?"
Сначала определимся с новеллами в новом федеральном законе от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
У нас появились три вида электронной подписи: простая, неквалифицированная и квалифицированная электронная подпись. Кратко дадим характеристики этих видов подписей.
Самая сложная в понимании и интерпретации – это простая электронная подпись. Простая электронная подпись имеет следующие основные характеристики:
1. она содержится в самом электронном документе;
2. она подтверждает факт формирования электронной подписи определенным лицом;
3. она сформирована с помощью конфиденциального ключа простой электронной подписи;
4. она используется в соответствии с правилами, установленными оператором информационной системы.
При этом простая электронная подпись фактически не используется для обнаружения факта внесения изменений в подписанный электронный документ. Как обеспечить применение простой электронной подписи – сейчас сказать нельзя. Пока готовых рецептов, технологий и обычаев деловой практике. Будем ждать пока всё это сложиться.
Применение простой подписи наиболее является рискованной процедурой. Т.е. наибольшая вероятность непринятия электронного документа, удостоверенного простой электронной подписью, в суде в качестве письменного доказательства.
Более привычна для нас - неквалифицированная электронная подпись. Она имеет следующие основные характеристики:
1. она содержится в самом электронном документе или иным образом связана с документом;
2. она подтверждает факт формирования электронной подписи определенным лицом;
3. она сформирована с помощью криптографического средства электронной подписи и ключа электронной подписи;
4. она проверяется с помощью криптографического средства электронной подписи и ключа проверки электронной подписи;
5. она используется в соответствии с правилами, установленными оператором информационной системы.
Неквалифицированная электронная подпись, в отличие от простой электронной подписи, обеспечивает обнаружение факта изменения электронного документа. Важно отметить, что неквалифицированная электронная подпись может использоваться как с сертификатом ключа проверки электронной подписи, созданным удостоверяющим центром, так и без него.
Требования по сертификации средств электронной подписи и сертификации средств удостоверяющего центра законом так же не определяются. Это определяется оператором информационной системы. Если неквалифицированная электронная подпись используется с сертификатом ключа проверки электронной подписи, созданным удостоверяющим центром, то ее применение практически идентично современной электронной цифровой подписи, определенной федеральным законом от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи».
Но вероятность непринятия электронного документа, удостоверенного неквалифицированной электронной подписью, в суде в качестве письменного доказательства, выше чем вероятность непринятия электронного документа, удостоверенного ЭЦП. Это связано с тем, что есть экспертная организация (ФСБ), которая подтвердит корректность реализации криптографических функций в средстве ЭЦП и средстве автоматизации УЦ путем прохождения процедуры сертифкации.
Особняком стоит квалифицированная электронная подпись. По характеристикам она такая же, как не квалифицированная электронная подпись, но обязательно используется с сертификатом ключа проверки электронной подписи, созданным аккредитованным (доверенным, удовлетворяющим установленным требованиям) удостоверяющим центром, с помощью средства электронной подписи, так же удовлетворяющим установленным требованиям. Но самое главное отличие квалифицированной электронной подписи от всех остальных видов электронной подписи – это то, что для ее применения не нужно превентивно (до начала её использования) устанавливать никаких правил ее применения. Т.е. это подпись прямого действия. Подписал квалифицированной подписью электронный документ, все обязаны принимать этот электронный документ к исполнению или к сведению, наравне с документом в бумажной форме.
Таким образом, Вам ничего не мешает и не мешало использовать в качестве средства автоматизации УЦ средства типа CA из состава Microsoft Windows (про бесплатность лучше не говорите, т.к. его Вы уже оплатили купив Windows Server :-) ), импортные алгоритмы и импортные средства ЭЦП. 1-ФЗ не отменял ст. 160 ГК РФ и иные аналоги собственноручной подписи. Только сложнее такие электронные подписи было предъявить в суде!
Если хотите минимизировать риск непринятия в суде электронного документа, удостоверенного электронной подписью, то используйте ЭЦП или квалифицированную электронную подпись. Если не хотите использовать - думайте как минимизировать этот риск :-) Тут мы не помощники!
