Электронная цифровая подпись

Министерство  образования и науки Российской Федерации

 

 

 

 

 

Реферат по дисциплине: «Защита информации»

 

На тему «Электронная цифровая подпись»

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Содержание

 

1. Введение
2. Назначение и применение электронной подписи
3. Общая схема
4. Защищенность
5. Этапы становления ЭЦП в России
6. Использование ЭЦП в России
7. Использование ЭЦП в других странах
8. Алгоритмы
9. Симметричная схема
10. Ассиметричная схема
11. Использование хэш-функций
12. Управление ключами
13. Заключение

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Введение

 

Информационные  технологии шагают по планете. Сейчас сложно найти организацию, предприятие или фирму, офис которой не освещали бы экраны мониторов. Печатные машинки ушли в прошлое, уступив место компьютерам. Секретари хранят подготовленные шаблоны документов и перед распечаткой лишь подставляют нужные данные вместо того, чтобы всякий раз «отстукивать» полный текст. В то же самое время исследования, которые были проведены в странах с развитой информационной инфраструктурой, показали не уменьшение, а, наоборот, увеличение расхода бумаги. И дело не только в том, что современные принтеры в случае небольшой опечатки, допущенной сотрудником в тексте договора или платежного документа, позволяют производить макулатуру со скоростью от 12 листов в минуту. Ведь документ можно было бы вообще не распечатывать, ошибку исправить прямо в файле и передать партнерам или банку файл с конкретным документом — и никакой бумаги. Прочитать документ можно и с экрана монитора. Однако, ведя дела таким образом, можно попасть в ситуацию, когда недобросовестный партнер исправит в подготовленном договоре сумму сделки и предъявит этот файл как исходный со всеми печатями и подписями.

Говорят, что  в старые времена разрубали монету и давали по одной половинке двум гонцам. Даже если они не были знакомы  между собой, при встрече они могли сложить имеющиеся у них части монеты и убедиться, что служат общему делу. Предположим, что кто-то хочет передать вам конфиденциальное сообщение таким образом, чтобы прочесть его мог только адресат. В этом случае ему достаточно узнать ваш открытый ключ, а потом выполнить шифрование сообщения с его помощью. Полученный шифротекст может быть передан вам по открытым каналам связи. В соответствии со свойствами криптографии по открытому ключу исходное сообщение может быть восстановлено из такого шифротекста только обладателем секретного ключа. Предположим, что файл имеет достаточно большой размер. Конечно, его можно расшифровать с помощью открытого ключа (заодно проверив целостность), но удобнее все-таки иметь перед глазами открытый текст. Для этих целей используются так называемые шифрующие преобразования, которые из текста произвольной длины позволяют получить текст фиксированной длины существенно меньше исходного текста. А основным свойством таких преобразований является то, что при небольших изменениях исходного текста результаты преобразования меняются очень сильно, так что практически невозможно для двух различных осмысленных исходных текстов получить одинаковые шифр - преобразования. Как этим воспользоваться? Выполняется шифрование исходного текста, а уже результат шифруется асимметричным алгоритмом с использованием секретного ключа. Для проверки подлинности предъявляются шифротекст, открытый ключ и исходный текст. Во-первых, по исходному тексту тем же самым способом вычисляется шифр - преобразование, во-вторых, шифротекст расшифровывается с помощью открытого ключа. Если оба результата идентичны — значит, текст не претерпел изменений. Никто, кроме владельца секретного ключа, не сможет создать такой шифротекст. Этот факт позволяет использовать его в качестве личной подписи владельца секретного ключа под файлом с текстом документа — электронной цифровой подписи.

 

Электронная цифровая подпись (ЭЦП)— реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося. Электронно-цифровая подпись (ЭЦП) — электронный аналог собственноручной подписи — используемый в системах электронного документооборота для придания электронному документу юридической силы, равной бумажному документу, подписанного собственноручной подписью правомочного лица и/или скрепленного печатью. Документ (файл), подписанный ЭЦП, гарантированно защищен от изменений — проверка подписи мгновенно выявит расхождение. ЭЦП обеспечивает проверку целостности документов, конфиденциальность, установление лица, отправившего документ. Это позволяет усовершенствовать процедуру подготовки, доставки, учета и хранения документов, гарантировать их достоверность. Главное преимущество использование ЭЦП — значительное сокращение временных и финансовых затрат на оформление и обмен документацией. Таким образом, по функциональности ЭЦП даже превосходит обычную подпись.

 

2. Назначение и применение цифровой электронной подписи

Электронная подпись предназначена для идентификации лица, подписавшего электронный документ. Кроме этого, использование электронной подписи позволяет осуществить:

• Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.
• Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.
• Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом.
• Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

Все эти свойства ЭП позволяют использовать её для следующих целей:

• Декларирование товаров и услуг (таможенные декларации)
• Регистрация сделок по объектам недвижимости
• Использование в банковских системах
• Электронная торговля и госзаказы
• Контроль исполнения государственного бюджета
• В системах обращения к органам власти
• Для обязательной отчетности перед государственными учреждениями
• Организация юридически значимого электронного документооборота
• В расчетных и трейдинговых системах

3. Общая схема

 

Схема электронной подписи обычно включает в себя:

1) алгоритм генерации ключевых пар пользователя;

2) функцию вычисления подписи;

3) функцию проверки подписи.

Функция вычисления подписи на основе документа и секретного ключа  пользователя вычисляет собственно подпись. В зависимости от алгоритма  функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным.Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.

В настоящее время детерминированные  схемы практически не используются. Даже в изначально детерминированные алгоритмы сейчас внесены модификации, превращающие их в вероятностные (так, в алгоритм подписи RSA вторая версия стандарта PKCS#1добавила предварительное преобразование данных (OAEP), включающее в себя, среди прочего, зашумление).

Функция проверки подписи проверяет, соответствует ли данная подпись  данному документу и открытому  ключу пользователя. Открытый ключ пользователя доступен всем, так что  любой может проверить подпись  под данным документом.

Поскольку подписываемые документы — переменной (и достаточно большой) длины, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш. Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.

Алгоритмы ЭЦП делятся на два  больших класса: обычные цифровые подписи и цифровые подписи с  восстановлением документа. Обычные  цифровые подписи необходимо пристыковывать к подписываемому документу. К этому классу относятся, например, алгоритмы, основанные на эллиптических кривых (ECDSA, ГОСТ Р 34.10-2001, ДСТУ 4145-2002).Цифровые подписи с восстановлением документа содержат в себе подписываемый документ: в процессе проверки подписи автоматически вычисляется и тело документа. К этому классу относится один из самых популярных алгоритмов — RSA.

Следует различать электронную  цифровую подпись и код аутентичности  сообщения, несмотря на схожесть решаемых задач (обеспечение целостности документа и неотказуемости авторства). Алгоритмы ЭЦП относятся к классу асимметричных алгоритмов, в то время как коды аутентичности вычисляются по симметричным схемам.

 

4. Защищенность

 

Цифровая подпись обеспечивает:

1)Удостоверение источника документа.  В зависимости от деталей определения  документа могут быть подписаны  такие поля, как «автор», «внесённые  изменения», «метка времени» и  т.д.

2)Защиту от изменений документа.  При любом случайном или преднамеренном  изменении документа(или подписи) изменится хэш, следовательно, подпись станет недействительной.

3) Невозможность отказа от авторства.  Так как создать корректную  подпись можно лишь, зная закрытый  ключ, а он известен только  владельцу, то владелец не может  отказаться от своей подписи под документом.

4)Предприятиям и коммерческим  организациям сдачу финансовой  отчетности в государственные  учреждения в электронном виде;

5)Организацию юридически значимого  электронного документооборота;

Возможны следующие угрозы цифровой подписи:

1) Злоумышленник может попытаться  подделать подпись для выбранного  им документа.

2)Злоумышленник может попытаться  подобрать документ к данной  подписи, чтобы подпись к нему  подходила. Однако в подавляющем  большинстве случаев такой документ  может быть только один. Причина в следующем:

Документ представляет собой осмысленный  текст; Текст документа оформлен по установленной форме.

3)Документы редко оформляют  в виде Plain Text — файла, чаще  всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

1)Случайный набор байт должен  подойти под сложно структурированный  формат файла.

2) То, что текстовый редактор  прочитает в случайном наборе  байт, должно образовывать текст, оформленный по установленной форме.

3) Текст должен быть осмысленным,  грамотным и соответствующий  теме документа.

Вполне понятно, что вероятность  такого происшествия ничтожно мала. Можно  считать, что на практике такого случиться  не может даже с ненадежными хеш-функциями, так как документы обычно большого объема — килобайты.

При использовании надёжной хэш-функции, вычислительно сложно создать поддельный документ с таким же хэшем, как  у подлинного. Однако, эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях.

Тем не менее, возможны ещё такие  угрозы системам цифровой подписи:

1) Злоумышленник, укравший закрытый  ключ, может подписать любой документ  от имени владельца ключа.

2) Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.

3) Злоумышленник может подменить  открытый ключ владельца (см. управление  ключами) на свой собственный,  выдавая себя за него.

 

      5. Этапы становления ЭЦП в России

 

Десять лет без закона

 

С того момента, как в 1976 г. Уитфрид  Диффи, один из основоположников криптографии с открытым ключом, высказал идею использования  электронно-цифровой подписи (ЭЦП), прошло уже больше 30 лет. Российский бизнес использует ЭЦП в том или ином виде с начала 90-х, то есть уже как минимум 15лет. На законодательном уровне ЭЦП была введена еще в далеком 1995 г. в первой главе Гражданского кодекса РФ, где рассматривалась в качестве одного из аналогов собственноручной подписи (АСП).

Первыми ЭЦП взяли на вооружение отечественные банки, в том числе  Банк России, и кредитные организации, которые использовали ее, в первую очередь, как инструмент информационной безопасности в своих корпоративных  информационных системах (ИС), а чуть позже и для безопасной работы в системах «банк-клиент».В хозяйствующих субъектах также применялась ЭЦП, но там она получила значительно меньшее распространение. Так или иначе, до 2002 г. основной задачей ЭЦП была защита информации.

По мере информатизации российского бизнеса, органов государственной власти страны и постепенного распространения ЭЦП все острее вставал вопрос принятия соответствующего закона, который бы значительно расширил области применения ЭЦП и позволил вести юридически значимый электронный документооборот. Дело в том, что Гражданский кодекс хоть и позволял применять ЭЦП в качестве аналога собственноручной подписи, однако ее использование либо ограничивалось корпоративными ИС, либо требовалось заключение двусторонних соглашений между участниками. Также, несмотря на наличие письма Высшего Арбитражного Суда РФ «Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике», разрешение спорных ситуаций было довольно затруднительным хотя бы только потому, что не было органов, отвечающих за подлинность ЭЦП. Однако самым главным результатом принятия такого закона должно было стать признание электронного документа равноправным бумажному.

Разговоры об этом начались еще в конце 90-х., и сначала предполагалось принятие соответствующего закона в 2000 г. Однако разработка, согласование и утверждение затянулись, и закон «Об ЭЦП» вышел в свет только в январе 2002 г.