Электронная цифровая подпись, как элемент защиты информации

Электронная цифровая подпись, как элемент защиты информации

 

     Согласно определению электро́нная по́дпись (ЭП), электро́нная цифровая по́дпись (ЭЦП) — реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий установить отсутствие искажения информации в электронном документе с момента формирования подписи и проверить принадлежность подписи владельцу сертификата ключа подписи.

      Бурное развитие интернета и информационных технологий, наблюдающееся в течение последних лет, способствовало появлению электронной цифровой подписи (сокращённо – ЭЦП) – информации в цифровом виде, связанной с электронным документом. Эта информация может идентифицировать подписавшее его лицо – полноправного участника документооборота – и защитить этот документ от подделки. ЭЦП создается благодаря криптографическому преобразованию данных с использованием специального ключа, который является определенной последовательностью символов. Этот ключ – аналог собственноручной подписи на обычном бумажном носителе, имеющий такую же юридическую силу.

ЭЦП позволяет установить отсутствие каких-либо изменений информации в документе и трудно поддается подделке: чтобы подобрать искомую комбинацию символов криптографического ключа, злоумышленникам необходимо произвести большое количество сложных математических вычислений, что, без сомнения, потребует многих недель или даже месяцев кропотливой работы.

     Какими бывают электронные подписи?

Согласно закону №63-ФЗ «Об электронной подписи» ЭЦП бывает трех видов:

• Простая электронная подпись – последовательность символов, зашифрованная с помощью разных алгоритмов и защищенная паролем. Простая ЭЦП указывает на лицо, подписавшее документ, но не дает возможности определить неизменность подписи и подписанных данных. Она не предполагает использование сертификата ключа электронной подписи что повышает вероятность её подделки. Этот вид подписи прекрасно подойдет для подписания электронных сообщений, которые направляются должностным лицам, а также в органы федеральной, региональной или местной власти.
• Неквалифицированная ЭЦП – электронная подпись, ассоциируемая с владельцем и имеющая юридическую силу равную традиционной подписи. Она защищается специальным ключом и позволяет сохранить неизменность подписанной информации или обнаружить факт ее изменения. Данная подпись создаётся как при помощи сертификата неаккредитованного удостоверяющего центра, так и без него.
• Квалифицированная ЭЦП соответствует признакам неквалифицированной ЭЦП и при этом имеет специальный сертификат, выданный аккредитованным удостоверяющим центром – организацией, занимающейся выпуском сертификатов ключей идентификации электронных подписей. Квалифицированная ЭЦП создается при помощи программных средств, которые одобрила ФСБ. Это гарантирует ей высокую степень безопасности.

     Важно: квалифицированные и неквалифицированные электронные подписи заменяют собой подписанные и заверенные печатью бумажные документы во всех случаях (кроме тех, когда федеральный закон требует наличия бумажных документов).

     Преимущества ЭЦЦ

     В ближайшем будущем эра бумажных документов завершится, не сумев устоять под всесильным натиском передовых информационных технологий 21-го века. На смену ей придет совершенно иная эпоха – царство электронного документооборота в государственных и коммерческих структурах. Это изменит организацию рабочего процесса и наложит свой отпечаток на коммуникационное взаимодействие между сотрудниками, служащими государственных учреждений и обычными гражданами. Система электронного документооборота (или СЭД) на предприятии может предполагать использование ЭЦП.

     Целесообразно выделить ряд преимуществ электронной цифровой подписи:

• ЭЦП дает возможность сократить издержки фирмы благодаря удешевлению процедуры учета, доставки и хранения документов. При полном отказе от бумажного документооборота экономия денежных средств будет весьма ощутимой.
• Использование электронной подписи сокращает время оформления сделок и значительно увеличивает скорость обмена документацией между сотрудниками, что приводит к повышению эффективности их работы.
• ЭЦП минимизирует риск потери денежных средств, обусловленной кражей конфиденциальных данных.
• Электронная цифровая подпись гарантирует достоверность корпоративной документации.
• Все документы, имеющие ЭЦП, – это доказательства определенного соглашения, решения или факта. В случае возникновения спорной или конфликтной ситуации на основе документа, подписанного ЭЦП, можно провести объективное внутрикорпоративное расследование.

      Система электронного документооборота в компании, использующая электронные подписи, является полноценной заменой кипам бумажных документов – заявлениям, служебным запискам, распоряжениям, счетам-фактурам, налоговым декларациям и т.д. Она удобна, надежна и экономически выгодна, поэтому будущее корпоративного документооборота, бесспорно, принадлежит ей.

     Как внедрить ЭЦП?

     В последние годы компании чаще стали использовать системы электронного документооборота, поддерживающие ЭЦП. Это позволило им снизить операционные расходы, повысить информационную безопасность и увеличить скорость обмена данными между подразделениями.

     Чтобы внедрить ЭЦП в систему корпоративного электронного документооборота, им пришлось обзавестись программным обеспечением удостоверяющего центра и службы штампов времени, программно-аппаратным комплексом СЭД с интегрированной опцией «ЭЦП и шифрование», несколькими криптопровайдерами – независимыми модулями (программы или аппаратные комплексы), которые осуществляют криптографические операции в операционных системах Microsoft.

     Службы штампов времени удостоверяют точное время создания документов в цифровом виде, подписанных ЭЦП. Штампы времени – документы, имеющие ЭЦП, – выполняют весьма важную функцию: они доказывают факт существования документа в определенный момент времени.

     Службу штампов времени следует интегрировать в систему электронного документооборота, поскольку срок действия сертификата электронной подписи ограничен. Когда он заканчивается, ранее созданные документы теряют юридическую силу согласно закону №63-ФЗ «Об электронной подписи». Кроме того, становится невозможным определить, была ли ЭЦП создана, когда сертификат был еще действительным, или когда его срок действия закончился. Однако в случае интеграции СЭД со службой штампов времени можно легко проверить действительность сертификата на момент создания ЭЦП.

     Чтобы внедрить ЭЦП, необходимо:

• Получить сертификат и создать закрытый ключ.
• Заключить договорное соглашение с удостоверяющим центром или разработать собственное программное обеспечение, позволяющее создавать сертификаты ключей подписей, осуществлять их аннулирование, приостановление действия, возобновление, а также вести реестр.
• Разработать корпоративную нормативно-правовую базу, которая должна учитывать выбранную систему электронного документооборота и особенности делопроизводства в компании.

      Для эффективного внедрения ЭЦП следует создать доверенную информационную среду в компании с помощью различных программных средств: необходимо использовать надежные антивирусные программы и регулярно их обновлять, загружать ОС с помощью «электронного замка».

 

 

 

История возникновения

 

      В 1976 году Уитфилдом Диффи и Мартином Хеллманом было впервые предложено понятие «электронная цифровая подпись», хотя они всего лишь предполагали, что схемы ЭЦП могут существовать.

     В 1977 году Рональд Ривест, Ади Шамир и Леонард Адлеман разработали криптографический алгоритм RSA, который без дополнительных модификаций можно использовать для создания примитивных цифровых подписей.

    Вскоре после RSA были разработаны другие ЭЦП, такие, как алгоритмы цифровой подписи Рабина, Меркле.

    В 1984 году Шафи Гольдвассер, Сильвио Микали и Рональд Ривест первыми строго определили требования безопасности к алгоритмам цифровой подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям (Криптосистема Гольдвассер — Микали).

Россия

     В 1994 году Главным управлением безопасности связи ФАПСИ был разработан первый российский стандарт ЭЦП — ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

     В 2002 году для обеспечения большей криптостойкости алгоритма взамен ГОСТ Р 34.10-94 был введён одноимённый стандарт ГОСТ Р 34.10-2001, основанный на вычислениях в группе точек эллиптической кривой. В соответствии с этим стандартом, термины «электронная цифровая подпись» и «цифровая подпись» являются синонимами.

     1 января 2013 года ГОСТ Р 34.10-2001 заменён на ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

 

   Использование ЭП

   В России

    В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».

     После становления ЭП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного документооборота между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам РФ от 2 апреля 2002 г. № БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи». Он определяет общие принципы информационного обмена при представлении налоговой декларации в электронном виде по телекоммуникационным каналам связи.

     В законе РФ от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» описаны условия использования ЭП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.

     Благодаря ЭП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через системы электронной торговли, обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур. В силу требований Федерального закона от 5 апреля 2013 года № 44-ФЗ «О контрактной системе...», государственные контракты, заключаемые в электронном виде, должны быть подписаны усиленной электронной подписью.

     С 13 июля 2012 согласно Федеральному закону N 108-ФЗ официально вступила в действие правовая норма, продлевающая действие 1-ФЗ «Об электронной цифровой подписи» до 1 июля 2013 года. В частности решено в части 2 статьи 20 Федерального закона от 6 апреля 2011 года N 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036) слова «с 1 июля 2012 года» заменить словами «с 1 июля 2013 года».

     Однако Федеральным законом от 02.07.2013 № 171-ФЗ внесены изменения в статью 19 Федерального закона от 06.04.11 № 63-ФЗ «Об электронной подписи». В соответствии с этим электронный документ, подписанный электронной подписью, сертификат ключа проверки которой выдан в период действия федерального закона № 1-ФЗ, признаётся подписанным квалифицированной электронной подписью. При этом использовать старый сертификат можно до 31 декабря 2013 года включительно. Это значит, что в указанный период документы могут подписываться электронной цифровой подписью, сертификат ключа проверки которой выдан до 1 июля 2013 года.

     С 1 июля 2013 года Федеральный закон от 10 января 2002 г. № 1-ФЗ утратил силу, на смену ему пришёл Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

     С 1 января 2013 года гражданам выдаётся универсальная электронная карта, в которую встроена усиленная квалифицированная электронная подпись.

     В Эстонии

     Система электронных подписей широко используется в Эстонской Республике, где введена программа ID-карт, которыми снабжены 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент — Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Всё это осуществляется через центральный гражданский портал Eesti.ee. Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии.

 

Алгоритмы

     Существует несколько схем построения цифровой подписи:

• На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица — арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру.
• На основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭП наиболее распространены и находят широкое применение.

     Кроме этого, существуют другие разновидности цифровых подписей (групповая подпись, неоспоримая подпись, доверенная подпись), которые являются модификациями описанных выше схем. Их появление обусловлено разнообразием задач, решаемых с помощью ЭП.

     Использование хэш-функций

    Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хэш. Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хэш-функция.

     Использование хэш-функций даёт следующие преимущества:

• Вычислительная сложность. Обычно хэш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хэша являются более быстрыми, чем алгоритмы ЭП. Поэтому формировать хэш документа и подписывать его получается намного быстрее, чем подписывать сам документ.
• Совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хэш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат.
• Целостность. Без использования хэш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.