Понятие электронной цифровой подписи и ее техническое обеспечение

Понятие электронной цифровой подписи и ее техническое обеспечение

Собственноручная подпись под документом издавна считается доказательством того, что человек, подписавший этот документ, ознакомилась с ним и согласна с его содержанием есть рукописный подпись является одним из средств идентифицировать ификации лица, в основу которого положен гипотезу об уникальности личных биометрических параметров человека. Почему же подпись заслужил такое доверие? і:

подлинность подписи можно проверить (его наличие в документе позволяет убедиться, действительно ли он был подписан человеком, обладающим правом ставить эту подпись);

подпись нельзя подделать (настоящий подпись — доказательство того, что именно тот человек, которому он принадлежит, поставила эту подпись под документом);

подпись, уже стоит под одним документом, не может быть использован еще раз для подписания другого документа (подпись — неотъемлемая часть документа и его нельзя перенести в другой документ);

подписанный документ не подлежит никаким изменениям;

от подписи невозможно отречься (тот, кто поставил подпись, не может впоследствии заявить, что он не подписывал этот документ)

самом деле ни одна из перечисленных свойств подписи на все 100% не выполняется. В нашем современном криминализированном обществе подписи подделывают и копируют, от них отрекаются, а в уже подписан ни документы вносят произвольные изменения есть применение рукописной подписи не лишено недостатковв:

недостаточную степень защиты (когда необходима повышенная достоверность сведений, содержащихся в документе, используют дополнительные средства защиты: наличие дополнительных рукописных подписей, печати юры идичних лиц, удостоверение у нотариуса, специальные бланки и т.д.)

неразрывную физическую связь с материальным носителем (рукописный подпись возможен только на документах с материальной природой, поэтому лицо, которое подписывает документ, должен непосредственно контактировать с материал льным носителем этого документа)

разногласия между оригиналом и копиями, полученными средствами копировально-миожильнои техники (копии не имеют той юридической силы, которую имеет оригинал документа);

никоим образом не обеспечивает аутентификацию документа, т.е. его целостность и неизменность (без дополнительных средств защиты рукописный подпись не гарантирует неизменность содержания документа при его сохранит ения или транспортировки.

Особенности электронной цифровой подписи

Применение глобальных коммуникаций в экономической деятельности и повседневной жизни обусловило появление принципиально нового вида отношений, связанных с обменом информацией без использования бумажных носителей т.е. посредством электронных документов. Под электронным документом подразумевают документ, в котором информация представлена ??в электронной форме и содержащий необходимые реквизиты (в том числе электро й цифровой подписи).

Электронная цифровая подпись (ЭЦП) является реквизитом электронного документа и предназначен для его защиты от подделки. ЭЦП имеет не физическую, а логическую природу. При построении цифровой подписи вместо нравы айного связи между печатью или рукописной подписью и листом бумаги прослеживается сложная зависимость между документом в электронном виде, секретным и общедоступным (открытым) ключами, а также цифровой подписью. Сложность подделки. ЭЦП обусловлено очень большим объемом математических вычисленийень.

ЭЦП может иметь вполне»буквенный»вид, но чаще он представлен в виде последовательности произвольных символов. Цифровая подпись может храниться вместе с документом, например, стоять в его начале, в кон нци или в отдельном файле (естественно, что в последнем случае, проверяя подпись, необходимо располагать как сам документ, так и файл, содержащий подписьить підпис).

Электронная цифровая подпись — это средство, позволяющее на основе использования криптографических методов определить авторство и подлинность документа. При этом электронная цифровая подпись имеет следующие преимущества:

дематериализация документов (независимость. ЭЦП от носителя позволяет использовать его в электронном документообороте и устанавливать договорные взаимоотношения без непосредственного контакта между физ ческого или юридическими лицами)

равнозначность копий (логическая природа. ЭЦП позволяет не различать копии одного документа и сделать их равнозначными);

дополнительная функциональность: в основе механизма. ЭЦП лежит криптография, потому. ЭЦП является не только средством идентификации, но и средством аутентификации документа (в электронный документ, подписанный. ЭЦП, не мож жна внести изменения, не нарушив подписи)

автоматизация (создания, применения, заверения и проверка. ЭЦП выполняется с применением программных и аппаратных средств вычислительной техники, поэтому хорошо автоматизируется);

сопоставимость защитных свойств (объективная оценка сертифицированных программных и аппаратных средств вычислительной техники, предназначенных для создания. ЭЦП (далее — средств. ЭЦП), базируется на четком м математическом анализе, а не на гипотезе об уникальности биометрических параметров человека)

— масштабируемость (исходя из оценки защитных свойств. ЭЦП, в гражданском документооборота можно использовать простейшие средства. ЭЦП, в служебном — сертифицированные для секретной информации — специа альные средства. ЭЦП.

Все приведенные свойства. ЭЦП широко используются в электронной коммерции. Однако в использовании. ЭЦП есть и недостатки. Хотя электронный документооборот с электронной подписью способствует повышению производительности и труда, но выводит механизм подписи из-под контроля обычными методами (визуальными) и может создавать иллюзию благополучия. Поэтому для использования. ЭЦП необходимо специальное техническое, организационное и правового обеспеченияння.

Предыдущая СОДЕРЖАНИЕ Следующая

Электронная цифровая подпись

Тема «Электронная цифровая подпись»

1. Понятие электронной цифровой подписи и ее техническое обеспечение

2. Организационное и правовое обеспечение электронной цифровой подписи.

1.Понятие электронной цифровой подписи и ее техническое

В мире электронных документов подписание файла с помощью графических символов теряет смысл, так как подделать и скопировать графический символ можно бесконечное количество раз. Электронная Цифровая Подпись (ЭЦП) является полным электронным аналогом обычной подписи на бумаге, но реализуется не с помощью графических изображений, а с помощью математических преобразований над содержимым документа.

Особенности математического алгоритма создания и проверки ЭЦП гарантируют невозможность подделки такой подписи посторонними лицами,

чем достигается неопровержимость авторства.

ЭЦП – реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца ключа, а

также установить отсутствие искажения информации в электронном документе.

ЭЦП представляет собой определенную последовательность символов,

которая формируется в результате преобразования исходного документа (или любой другой информации) при помощи специального программного обеспечения. ЭЦП добавляется к исходному документу при пересылке. ЭЦП является уникальной для каждого документа и не может быть перенесена на другой документ. Невозможность подделки ЭЦП обеспечивается значительным количеством математических вычислений, необходимых для

её подбора. Таким образом, при получении документа, подписанного ЭЦП,

получатель может быть уверен в авторстве и неизменности текста данного документа.

Применение ЭЦП обеспечивает: простое разрешение спорных ситуаций (регистрация всех действий участника системы во времени),

невозможность изменения заявки участника до даты окончания закупки.

Кроме того, ЭЦП способствует: снижению затрат на пересылку документов, быстрому доступу к торгам, проходящим в любой точке России.

Пользоваться электронной подписью достаточно просто. Никаких специальных знаний, навыков и умений для этого не потребуется. Каждому пользователю ЭЦП, участвующему в обмене электронными документами,

генерируются уникальные открытый и закрытый (секретный)

Закрытый ключ – это закрытый уникальный набор информации объемом 256 бит, хранится в недоступном другим лицам месте на дискете,

смарт-карте, ru-token. Работает закрытый ключ только в паре с открытым

Открытый ключ — используется для проверки ЭЦП получаемых документов/файлов. Технически это набор информации объемом 1024 бита.

Открытый ключ передается вместе с Вашим письмом, подписанным ЭЦП.

Дубликат открытого ключа направляется в Удостоверяющий Центр, где создана библиотека открытых ключей ЭЦП. В библиотеке Удостоверяющего Центра обеспечивается регистрация и надежное хранение открытых ключей во избежание попыток подделки или внесения искажений.

Вы устанавливает под электронным документом свою электронную цифровую подпись. При этом на основе секретного закрытого ключа ЭЦП и содержимого документа путем криптографического преобразования вырабатывается некоторое большое число, которое и является электронно-

цифровой подписью данного пользователя под данным конкретным документом. Это число добавляется в конец электронного документа или сохраняется в отдельном файле.

В подпись, в том числе, записывается следующая информация: имя

файла открытого ключа подписи, информация о лице, сформировавшем подпись, дата формирования подписи.

Пользователь, получивший подписанный документ и имеющий открытый ключ ЭЦП отправителя на основании текста документа и открытого ключа отправителя выполняет обратное криптографическое преобразование, обеспечивающее проверку электронной цифровой подписи отправителя. Если ЭЦП под документом верна, то это значит, что документ действительно подписан отправителем и в текст документа не внесено никаких изменений. В противном случае будет выдаваться сообщение, что сертификат отправителя не является действительным.

Термины и Определения: Электронный документ — документ, в

котором информация представлена в электронно-цифровой форме.

Владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах

(подписывать электронные документы).

Средства электронной цифровой подписи — аппаратные и (или)

программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.

Сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.

Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Пользователь сертификата ключа подписи — физическое лицо,

использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.

Информационная система общего пользования — информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.

Корпоративная информационная система — информационная система, участниками которой может быть ограниченный круг лиц,

определенный ее владельцем или соглашением участников этой

Удостоверяющий центр — юридическое лицо, выполняющее функции по: изготовлению сертификатов ключей подписей, созданию ключей электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи, приостановлению и возобновлению действие сертификатов ключей подписей, а также аннулированию их,

ведению реестра сертификатов ключей подписей, обеспечению его актуальности и возможности свободного доступа к нему участников информационных систем, проверке уникальности открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра, выдаче сертификатов ключей подписей в форме документов на бумажных носителях и (или) в форме электронных

документов с информацией об их действии, осуществлению по обращениям пользователей сертификатов ключей подписей подтверждения подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей, предоставлению участникам информационных систем иных связанных с использованием электронных цифровых подписей услуг.

При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.

2. Организационное и правовое обеспечение электронной

Правовое обеспечение электронной цифровой подписи следует понимать не только как совокупность нормативно-правовых актов,

обеспечивающих правовой режим ЭЦП и средств ЭЦП. Это гораздо более широкое понятие. Оно лишь начинается с государственного закона об электронной цифровой подписи, но развивается далее и впоследствии охватывает все теоретические и практические вопросы, связанные с электронной коммерцией вообще.

Первый в мире закон об электронной цифровой подписи был принят в марте 1995 г. Законодательным собранием штата Юта (США) и утвержден Губернатором штата.

Закон получил название Utah Digital Signature Act. Ближайшими последователями штата Юта стали штаты Калифорния, Флорида, Вашингтон,

где вскоре тоже были приняты соответствующие законодательные акты.

В качестве основных целей первого закона об электронной подписи были провозглашены:

• минимизация ущерба от событий незаконного использования и подделки электронной цифровой подписи;

• обеспечение правовой базы для деятельности систем и органов сертификации и верификации документов, имеющих электронную природу;

• правовая поддержка электронной коммерции (коммерческих операций, совершаемых с использованием средств вычислительной техники);

• придание правового характера некоторым техническим стандартам,

ранее введенным Международным союзом связи (ITU — International Telecommunication Union) и Национальным институтом стандартизации США (ANSI — American National Standards Institute), а также рекомендациям Наблюдательного совета Интернета (IAB — Internet Activity Board),

выраженным в документах RFC 1421 — RFC 1424.

Закон состоит из пяти частей:

В первой части вводятся основные понятия и определения, связанные с использованием ЭЦП и функционированием средств ЭЦП. Здесь же рассматриваются формальные требования к содержательной части электронного сертификата, удостоверяющего принадлежность открытого ключа юридическому или физическому лицу.

Вторая часть закона посвящена лицензированию и правовому регулированию деятельности центров сертификации.

Прежде всего, здесь оговорены условия, которым должны удовлетворять физические и юридические лица для получения соответствующей лицензии, порядок ее получения, ограничения лицензии и условия ее отзыва. Важным моментом данного раздела являются условия признания действительности сертификатов, выданных нелицензированными удостоверителями, если участники электронной сделки выразили им совместное доверие и отразили его в своем договоре. Фактически здесь закрепляется правовой режим сетевой модели сертификации, рассмотренной нами выше.

В третьей части закона сформулированы обязанности центров сертификации и владельцев ключей. В частности, здесь рассмотрены:

• порядок выдачи сертификата;

• порядок предъявления сертификата и открытого ключа;

• условия хранения закрытого ключа;

• действия владельца сертификата при компрометации закрытого

• порядок отзыва сертификата;

• срок действия сертификата;

• условия освобождения центра сертификации от ответственности за неправомерное использование сертификата и средств ЭЦП;

• порядок создания и использования страховых фондов,

предназначенных для компенсации ущерба третьим лицам, возникшего в результате неправомочного применения ЭЦП.

Четвертая часть закона посвящена непосредственно цифровой подписи.

Ее основное положение заключается в том, что документ, подписанный цифровой подписью, имеет ту же силу, что и обычный документ,

подписанный рукописной подписью.

В пятой части закона рассмотрены вопросы взаимодействия центров сертификации с административными органами власти, а также порядок функционирования так называемых репозитариев — электронных баз данных, в которых хранятся сведения об изданных и отозванных сертификатах.

В целом закон об ЭЦП штата Юта отличается от других аналогичных правовых актов высокой подробностью.

Германский закон об электронной подписи (Signaturgesetz) был введен в действие в 1997 г. и стал первым европейским законодательным актом такого рода. Целью закона объявлено создание общих условий для такого применения электронной подписи, при котором ее подделка или фальсификация подписанных данных могут быть надежно установлены.

В Законе прослеживаются следующие основные направления:

• установление четких понятий и определений;

• подробное регулирование процедуры лицензирования органов сертификации и процедуры сертификации открытых ключей пользователей средств ЭЦП (правовой статус, порядок функционирования центров

сертификации, их взаимодействие с государственными органами и другими центрами сертификации, требования к сертификату открытого ключа электронной подписи);

• рассмотрение вопросов защищенности цифровой подписи и данных,

подписанных с ее помощью, от фальсификации;

• порядок признания действительности сертификатов открытых ключей.

По своему духу германский Закон об электронной подписи является регулирующим.

В отличие от аналогичного закона Германии, Федеральный Закон об электронной подписи США является координирующим правовым актом. Это связано с тем, что ко времени его принятия соответствующее регулирующее законодательство уже сложилось в большинстве отдельных штатов.

Как видно из названия Закона (Electronic Signatures in Global and National Commerce Act), его основное назначение состоит в обеспечении правового режима цифровой электронной подписи в электронной коммерции. Подписание Закона Президентом США состоялось в день национального праздника — 4 июля 2000 г. (День независимости), что должно придать этому законодательному акту особое значение. По мнению обозревателей принятие данного закона символизирует вступление человечества в новую эру — эру электронной коммерции.

По содержанию Закон отличается краткостью. Он вводит ограниченное число основных понятий, устанавливает правовой режим электронной подписи и определяет компетенцию государственных органов,

ответственных за функционирование ее инфраструктуры. Не сосредоточиваясь на конкретных правах и обязанностях центров сертификации, которым уделяется особое внимание в законодательствах других стран, Федеральный Закон США относит их к понятию инфраструктура ЭЦП и в самых общих чертах оговаривает взаимодействие элементов этой структуры с правительственными органами.

В России с основными положениями Федерального Закона об

электронной подписи можно познакомиться на примере проекта. Согласно проекту, Закон состоит из пяти глав и содержит более двадцати статей.

В первой главе рассмотрены общие положения, относящиеся к Закону.

Как и аналогичные законы других государств, российский законопроект опирается на несимметричную криптографию. Основной целью Закона провозглашается обеспечение правовых условий для применения ЭЦП в электронном документообороте и реализации услуг по удостоверению ЭЦП участников договорных отношений.

Во второй главе рассмотрены принципы и условия использования электронной подписи. Здесь, во-первых, выражена возможность, а во-вторых,

приведены условия равнозначности рукописной и электронной подписи.

Кроме того, особо акцентировано внимание на характерных преимуществах ЭЦП:

• лицо может иметь неограниченное количество закрытых ключей ЭЦП, то есть, создать себе разные электронные подписи и использовать их в разных условиях;

• все экземпляры документа, подписанные ЭЦП, имеют силу оригинала.

Проект российского Закона предусматривает возможность ограничения сферы применения ЭЦП. Эти ограничения могут накладываться федеральными законами, а также вводиться самими участниками электронных сделок и отражаться в договорах между ними.

Интересно положение статьи о средствах ЭЦП, в которой закрепляется утверждение о том, что «средства ЭЦП не относятся к средствам,

обеспечивающим конфиденциальность информации». На самом деле это не совсем так. По своей природе средства ЭЦП, основанные на механизмах несимметричной криптографии, конечно же, могут использоваться для защиты информации. Возможно, это положение включено для того, чтобы избежать коллизий с другими нормативными актами, ограничивающими применение средств криптографии в обществе.

Важным отличием от аналогичных законов других государств является

положение российского законопроекта о том, что владелец закрытого ключа несет ответственность перед пользователем соответствующего открытого ключа за убытки, возникающие в случае ненадлежащим образом организованной охраны закрытого ключа.

Еще одной отличительной чертой российского законопроекта является список требований к формату электронного сертификата. Наряду с общепринятыми полями, рассмотренными нами выше, российский законодатель требует обязательного включения в состав сертификата наименования средств ЭЦП, с которыми можно использовать данный открытый ключ, номер сертификата на это средство и срок его действия,

наименование и юридический адрес центра сертификации, выдавшего данный сертификат, номер лицензии этого центра и дату ее выдачи. В

зарубежном законодательстве и в международных стандартах мы не находим требований столь подробного описания программного средства ЭЦП, с

помощью которого генерировался открытый ключ. По-видимому, это требование российского законопроекта продиктовано интересами безопасности страны.

Массовое применение программного обеспечения, исходный код которого не опубликован и потому не может быть исследован специалистами, представляет общественную угрозу. Это относится не только к программным средствам ЭЦП, но и вообще к любому программному обеспечению, начиная с операционных систем и заканчивая прикладными программами.

В третьей главе рассмотрен правовой статус центров сертификации (в

терминологии законопроекта — удостоверяющих центров открытых ключей электротой подписи). В России оказание услуг по сертификации электронной подписи является лицензируемым видом деятельности, которым могут заниматься только юридические лица. Удостоверение электронной подписи государственных учреждений могут осуществлять только государственные удостоверяющие центры.

По своему характеру структура органов сертификации —

Понятие электронной цифровой подписи и ее техническое обеспечение

Попытки регламентировать электронный обмен информацией предпринимались еще в Советском Союзе. Общий подход здесь ясен и не вызывает практически ничьих возражений: это принцип аналогии права. Точнее говоря, нужно создать правовую конструкцию, которая бы могла исполнять все основные функции привычного бумажного документа.

В России 10 января 2002г. принят Закон об ЭЦП. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

В Законе дано определение электронного документа как документа, в котором информация представлена в электронно-цифровой форме (ст. 3).

В законодательстве определены условия, при соблюдении которых электронный документ приобретает статус письменного документа и может служить доказательством в судебном разбирательстве. Так, ГК РФ связывает признание за электронным документом статуса письменного документа с наличием электронной цифровой подписи. В п. 2 ст. 160 ГК РФ электронная цифровая подпись упоминается наряду с факсимильным воспроизведением подписи как один из аналогов собственноручной подписи. В ст. 75 АПК РФ указано, что наличие электронной цифровой подписи позволяет закрепить за электронным документом статус письменного доказательства. В Законе об информации электронная цифровая подпись (ЭЦП) называется реквизитом, закрепляющим за данным видом документа правовой статус документа.

Таким образом, данные законодательные акты связывали материально-правовое значение ЭЦП с приданием информации, представленной в электронно-цифровой форме, правового статуса документа или письменного документа (доказательства). Несмотря на то, что ГК РФ и АПК РФ рассматривают ЭЦП как аналог собственноручной подписи, они не допускали юридического отождествления ЭЦП с собственноручной (физической) подписью человека на бумажном документе. Акцент делался на закреплении одинакового правового статуса электронного документа и традиционного письменного документа с использованием для данной цели различных правовых и технических средств.

Электронная цифровая подпись — это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. 3 Закона об ЭЦП).

С юридической точки зрения электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при соблюдении определенных условий (ст. 4 Закона об ЭЦП).

Рассмотрим основные отличия этих двух видов подписи.

Рукописная подпись подтверждает факт взаимосвязи между сведениями, содержащимися в документе, и лицом, подписавшим документ, т.е. является одним из средств идентификации личности. В основу использования рукописной подписи как средства идентификации положена гипотеза об уникальности личных биометрических параметров человека. Механизм выполнения физической подписи непосредственно обусловлен психофизиологическими характеристиками организма человека, и в силу этого подпись неразрывно связана с личностью подписывающего. Поэтому и возможна идентификация лица по его подписи.

Характерной особенностью рукописной подписи является ее неразрывная физическая связь с носителем информации. То есть рукописная подпись возможна только на документах, имеющих материальную природу. Электронные документы, имеющие логическую природу, к этой категории не относятся. Таким образом, при совершении сделок, факт которых удостоверяется рукописной подписью, стороны-участники должны находиться либо в непосредственном контакте, либо в опосредованном через материальный носитель и услуги сторонних организаций (служб доставки).

Рассмотрим особенности электронной цифровой подписи. В отличие от рукописной подписи электронная цифровая подпись имеет не физическую, а логическую природу — это просто последовательность символов, которая позволяет однозначно связать лицо, подписавшее документ, содержание документа и владельца ЭЦП. Логический характер электронной подписи делает ее независимой от материальной природы документа. С ее помощью можно подписывать документы, имеющие электронную природу (исполненные на магнитных, оптических, кристаллических и иных носителях, распределенные в компьютерных сетях и т.п.).

Согласно Закону ЭЦП должна решать следующие задачи: защиту электронного документа от подделки, установление отсутствия искажений информации в электронном документе, идентификацию владельца сертификата ключа подписи (ст. 3).

Таким образом, ЭЦП должна обеспечить идентификацию (документ подписан определенным лицом) и аутентификацию (содержание не претерпело изменений с момента его подписания) электронного документа.

Следует отметить, что сущность же ЭЦП такова, что она не может непосредственно характеризовать владельца ЭЦП как личность. Связь же между ЭЦП и человеком, ее проставившим, носит не биологический, а социальный характер. Возникновение, существование и прекращение данной связи обусловлены совокупностью различных правовых, организационных и технических факторов.

Определение подлинности ЭЦП свидетельствует только о знании лицом, ее проставившим, закрытого ключа ЭЦП. Для того чтобы выяснить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо установить помимо факта подлинности ЭЦП и идентификацию человека, ее поставившего. Идентификация человека в традиционном понимании, как это происходит по личной подписи, непосредственно по ЭЦП невозможна. Доказать, что именно данное лицо заверило электронный документ ЭЦП, можно в результате процессуальной деятельности по доказыванию в ходе судебного разбирательства в соответствующем виде процесса.

Независимость ЭЦП от носителя позволяет использовать ее в электронном документообороте. При использовании ЭЦП возможны договорные отношения между удаленными юридическими и физическими лицами без прямого или опосредованного физического контакта. Это свойство ЭЦП лежит в основе электронной коммерции.

Механизм обслуживания ЭЦП основан на программных и аппаратных средствах вычислительной техники, поэтому он хорошо автоматизируется. Все стадии обслуживания (создание, применение, удостоверение и проверка ЭЦП) автоматизированы, что значительно повышает эффективность документооборота. Вместе с тем автоматизация хоть и способствует повышению производительности труда, она выводит механизм подписи из-под контроля естественными методами (например, визуальными) и может создавать иллюзию благополучия. Поэтому для использования ЭЦП необходимо специальное техническое, организационное и правовое обеспечение.

Техническое обеспечение электронной цифровой подписи основано на использовании методов криптографии.

Любой документ можно рассматривать как уникальную последовательность символов. Изменение хотя бы одного символа в последовательности будет означать, что в результате получится уже совсем другой документ, отличный от исходного.

Чтобы последовательность символов, представляющих документ, могла, во-первых, идентифицировать ее отправителя, а во-вторых, подтвердить ее неизменность с момента отправления, она должна обладать уникальными признаками, известными только отправителю и получателю сообщения. Для этого используются различные средства шифрования, создаваемые и изучаемые наукой криптографией.

Для шифрования и дешифрования информации необходимо знать метод и ключ шифрования.

Метод шифрования — это формальный алгоритм, описывающий порядок преобразования исходного сообщения в результирующее. Ключ шифрования — это набор параметров (данных), необходимых для применения метода. Так, например, буквы любой последовательности символов можно заменить на соответствующие комбинации цифр — это метод шифрования. А конкретное указание, какую букву заменить на какую последовательность цифр, является ключом.

Существуют симметричные и несимметричные методы шифрования.

Симметричный метод шифрования состоит в том, что партнер создает ключ шифрования, который передает другому партнеру. Сообщение шифруется и дешифруется одним ключом. Этот алгоритм трудно напрямую использовать, например, в электронной коммерции, так как возникает проблема идентификации удаленного партнера.

Несимметричная (асимметричная) криптография использует специальные математические методы. В результате применения этих методов создается пара ключей: то, что зашифровано одним ключом, может быть дешифровано другим, и наоборот. Владелец ключей один оставляет у себя, а другой может распространить, например, прямой рассылкой через Интернет. Ключ, оставленный у владельца, называется закрытым или личным, другой — открытым или публичным.

Закрытый ключ электронной цифровой подписи — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи (ст. 3 Закона об ЭЦП).

Открытый ключ электронной цифровой подписи — уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе (ст. 3 Закона об ЭЦП).

Закрытый ключ может быть скомпрометирован различными способами: хищение ключа путем копирования в результате несанкционированного доступа к оборудованию (прямого или удаленного), на котором он хранится; получение ключа путем ответа на запрос, использованный с признаками мошенничества или подлога; хищение ключа в результате хищения оборудования, на котором он хранится; хищение ключа в результате сговора с лицами, имеющими право на его использование (даже рядовой факт увольнения сотрудника, имевшего доступ к закрытому ключу организации, рассматривается как компрометация ключа).

Незаконность данных традиционных методов компрометации обеспечивает законодательство.

Это не относится к нетрадиционным методам реконструкции закрытого ключа по исходным данным, полученным вполне легально, в частности по открытому ключу. Возможность реконструкции определяется тем, что открытый и закрытый ключи связаны определенными математическими соотношениями. Теоретически знание открытого ключа дает возможность восстановить закрытый ключ. Однако на практике это связано с наличием специальных программных и аппаратных средств и огромными затратами вычислительного времени. Существует специальная отрасль науки, называемая криптоанализом, которая позволяет воспроизводить зашифрованную информацию и оценить степень защиты информации.

При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи (п. 2 ст. 5). Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается (п. 3 ст. 5).

Открытый ключ потому и называется открытым, что он доступен каждому из партнеров владельца закрытого ключа. Есть очень простой прием подмены открытого ключа с целью создания ложного канала связи. Допустим, сторона С желает перехватить чужие данные. В этом случае она может с помощью средств ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера В. Тогда все сообщения от партнера А к партнеру В будут легко перехватываться и читаться стороной С, причем ни А, ни В не будут даже догадываться о том, что С участвует в «договорных» отношениях.

Таким образом, одним из основополагающих моментов использования электронной цифровой подписи для установления подлинности, целостности и аутентичности документов, хранимых, обрабатываемых и передаваемых с помощью информационных и телекоммуникационных систем, является подтверждение принадлежности открытого ключа ЭЦП конкретному лицу посредством выдачи сертификата ключа подписи. Поэтому значительная часть Закона об ЭЦП посвящена механизму удостоверения личности владельца открытого ключа.

Лицо (юридическое или физическое), создавшее себе пару ключей (открытый и закрытый) с помощью средства ЭЦП, должно обратиться в орган, уполномоченный выполнить сертификацию. Этот орган называется удостоверяющим центром (Закон об ЭЦП). Удостоверяющий центр проверяет принадлежность открытого ключа заявителю и удостоверяет этот факт добавлением к открытому ключу своей подписи, завизированной собственным закрытым ключом.

Любой партнер, желающий вступить в контакт с владельцем открытого ключа, может прочитать удостоверяющую запись с помощью открытого ключа удостоверяющего центра. Если целостность этой записи не нарушена, то он может использовать открытый ключ партнера для связи с ним.

Следует четко понимать, что удостоверяющий центр заверяет только факт принадлежности открытого ключа конкретному лицу или организации. Наличие полноценного сертификата открытого ключа говорит о том, что ключ можно использовать для удостоверения личности партнера в договорных отношениях. Но законность этих отношений удостоверяющим центром не подтверждается.

В настоящее время в соответствии с рекомендациями Европейского Совета национальное законодательство стран Европы в части требований к удостоверяющим центрам должно содержать требования одобрения или лицензирования деятельности удостоверяющих центров, проверку соблюдения этими центрами необходимых для их деятельности условий, а также требование к уровню надежности технических и программных средств, используемых этими центрами, и т.д. В части экономического обоснования возможности удостоверяющего центра нести гражданскую ответственность за ненадлежащее исполнение своих обязанностей необходимо выделить три критерия: наличие собственного минимально установленного капитала, выраженного в абсолютной сумме; подтверждение этой суммы банковской гарантией; наличие страховки.

Значительно более трудной представляется задача практического создания в нашей стране инфраструктуры открытых ключей (PKI — Public Key Infrastructure) в системах электронного документооборота и электронной торговли.

Термин «инфраструктура открытых ключей» включает в себя полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования открытых ключей.

Основным компонентом инфраструктуры является собственно система удостоверяющих центров. Для создания целостной системы удостоверяющих центров необходимо определить модель и общую структуру системы; степень участия в ее построении различных государственных органов и коммерческих структур; используемые при создании информационные технологии.

Иерархический принцип построения государственного управления подразумевает достаточно естественную структуру построения в перспективе системы удостоверяющих центров системы электронного документооборота: от федерального уровня, через региональные центры и до ведомственных структур и конечных пользователей.

В данной модели определяющую роль выполняет совокупность удостоверяющих центров верхнего уровня, которые должны удовлетворять самым высоким требованиям по информационной безопасности. От надежности защиты этого уровня и доверия к нему в большой мере зависит надежность всей системы в целом и степень доверия к ней.

В настоящее время распространение получили две структурные модели системы сертификации — централизованная и децентрализованная.

Централизованная модель имеет иерархический характер и наиболее соответствует потребностям служебного документооборота. Децентрализованная модель имеет сетевой характер и может использоваться, например, в гражданском электронном документообороте.

В основе централизованной модели сертификации находится один уполномоченный орган сертификации. Такой орган называется корневым удостоверяющим центром (корневым центром сертификации).

Если чисто технически корневой центр не может обеспечить все запросы на выдачу и проверку сертификатов, поступающие от юридических и физических лиц, то он может сертифицировать другие дополнительные органы, называемые доверенными удостоверяющими центрами (доверенными центрами сертификации).

Доверенные центры тоже могут удостоверять чужие открытые ключи своими открытыми ключами, но при этом их открытые ключи тоже нуждаются в удостоверении. Их удостоверяет своим закрытым ключом вышестоящий центр сертификации.

Таким образом, участник электронного документооборота, получивший откуда-то открытый ключ неизвестного партнера, может: установить наличие сертификата, удостоверенного электронной подписью удостоверяющего центра; проверить действительность подписи центра сертификации в вышестоящем удостоверяющем центре; если вышестоящий центр тоже является не корневым, а доверенным, то и его подпись можно проверить в вышестоящем центре, и так далее, пока проверка не дойдет до корневого удостоверяющего центра.

Такую проверку надо выполнить только один раз. Убедившись в правомочности корневого удостоверяющего центра, можно настроить свое программное обеспечение так, чтобы в дальнейшем доверие ему выражалось автоматически. И лишь в случаях, когда цепочку сертификатов не удается проследить до ранее проверенного доверенного центра (или до корневого центра), программное обеспечение выдаст предупреждение о том, что открытый ключ не имеет удостоверенного сертификата и пользоваться им нельзя.

Сетевая модель сертификации основана на взаимных договоренностях сторон (в последнем случае они будут иметь правовое значение, только если прямо отражены в двусторонних договорах). Так, например, при отсутствии централизованной структуры доверенных удостоверяющих центров (или параллельно с ней, если законодательство это допускает) могут существовать сетевые модели сертификации. Такие модели охватывают группы юридических и физических лиц, например, по ведомственной принадлежности.

Еще по теме:

  • Кто может встать на очередь по улучшению жилищных условий 2018 в спб Как встать в очередь на квартиру в 2018 году Жилищный вопрос – один из самых тяжелых и наболевших в нашей стране. Большинство молодых семей не могут позволить себе собственное жилье сразу после заключения брака, а посему либо остаются […]
  • Регистрация ооо система налогообложения Налогообложение ООО Определиться с системой налогообложения ООО лучше всего непосредственно перед процедурой регистрации Общества с ограниченной ответственностью. Для этого нужно определиться с кругом предполагаемых клиентов будущей […]
  • Оформление дома на мужа и жену Переоформление дома с мужа на жену Здравствуйте и заранее спасибо за то что оказываете помощь. Мне нужно переоформить дом на 100% на жену. Не знаю как это делается и какие документы нужны. Земля дачная куплена в браке на меня. Дом […]
  • Договор доверительного управления на форекс Элитное банковское обслуживание и финансовые услуги для состоятельных клиентов Доверительное управление Форекс - что это? На международном валютном рынке Форекс ( Forex ) частным клиентам предлагают как самостоятельное инвестирование, так […]
  • Норма амортизации основных средств при линейном Норма амортизации основных средств при линейном 4.2.1. Линейный способ начисления амортизации В соответствии с п. 4 ст. 259 НК РФ линейный метод представляет собой равномерное списание стоимости амортизируемого имущества в течение срока […]
  • Просрочка по кредиту банк подает в суд Может ли банк подать в суд на меня, если я плачу по кредиту всего по 100 рублей? Оформить заявку и получить ответ из банка всего за 30 минут→ Нередко заемщики задаются вопросом: «Если я плачу только по 100 рублей по оформленному кредиту, […]