Электронно-цифровая подпись

 

Рис. 3. Расшифровка электронного документа с использованием секретного ключа получателя

 

Расшифровав текст, его можно  прочитать, однако, чтобы убедиться  в том, что он передан именно стороной «A», нужно проверить цифровую подпись, пришедшую вместе с текстом электронного документа (рис. 4).

 

Рис. 4. Проверка ЭЦП с использованием открытого ключа отправителя.

 

 

Итак, порядок действий при передаче файла из пункта «А» в пункт «Б» выглядит следующим образом:

• формирование комплекса аппаратных и программных средств для осуществления создания и передачи электронного документа, а также для возможности использования ЭЦП;
• формирование электронной цифровой подписи, генерирование закрытого и открытого ключей;
• шифрование информации, передаваемой по телекоммуникационным каналам связи;
• проверку электронной цифровой подписи под получаемыми документами

 

Виды ЭЦП

Выделяют следующие виды ЭЦП:

1. Простая электронная подпись
2. Усиленная электронная подпись
1. Неквалифицированная электронная подпись
2. Квалифицированная электронная подпись

 

Простой электронной  подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Неквалифицированной электронной подписью является электронная подпись, которая:

1. получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2. позволяет определить лицо, подписавшее электронный документ;
3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4. создается с использованием средств электронной подписи.

 

Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

1. ключ проверки электронной подписи указан в квалифицированном сертификате;
2. для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ (ред. от 01.07.2011) «Об электронной подписи»

 

Преимущества  и недостатки ЭЦП

В отличие от собственноручной подписи, ЭЦП позволяет передавать подписанный  документ по каналам связи без  пересылки материального носителя документа и сохранять при  этом возможность проверки подлинности  документа. Это обусловлено тем, что ЭЦП связана с содержанием документа логически, а не посредством общего материального носителя. Если, например, записать документ и его ЭЦП на два разных носителя, то не возникнет никаких затруднений с проверкой того, соответствует ли данная ЭЦП данному документу. Средства проверки ЭЦП могут установить ее подлинность для электронного документа независимо от источника, из которого загружена необходимая для проверки информация.

В то же время очевидно, что документ на бумажном носителе с собственноручной подписью передать без самого носителя невозможно. Если переслать документ по факсу или в отсканированном виде по электронной почте, то потеряется не только часть информации о подписи (например, степень нажима). Прежде всего, нельзя будет установить связь между текстом документа и подписью, так как подпись могла быть переклеена с другого документа перед передачей по факсу или вставлена после сканирования с помощью редактора графических изображений.

Другим важным преимуществом ЭЦП  является сложность ее подделки. На данный момент автору неизвестно ни одного случая подделки ЭЦП, созданной в соответствии с действующими международными или российскими стандартами (под подделкой здесь понимается создание такой ЭЦП, которую не отличают от настоящей обычные средства проверки, доступные каждому пользователю, при условии их корректной работы). Что касается собственноручной подписи, то установить ее подлинность с высокой степенью достоверности можно только в результате специальной почерковедческой экспертизы. В реальных условиях при проверке подлинности собственноручной подписи возникают следующие проблемы.

Учитывая сказанное выше, можно  сделать вывод о том, что ЭЦП  не только применима в тех ситуациях, в которых в принципе невозможно использование собственноручной подписи для подтверждения подлинности документов, но и имеет ряд преимуществ, связанных с наличием четких (математических) критериев достоверности и отсутствием необходимости в образцах подписи для проверки. Криптографические алгоритмы цифровой подписи позволяют с высокой степенью достоверности проверить следующее утверждение: электронный документ подписан с помощью закрытого ключа, соответствующего используемому для проверки открытому ключу, и после простановки подписи в электронный документ не были внесены изменения. При этом закрытый ключ ЭЦП, используемый для подписания электронных документов, известен только его владельцу, а открытый ключ ЭЦП, предназначенный для проверки подлинности ЭЦП, доступен любому пользователю соответствующей информационной системы.

Однако, как и в любом  другом техническом средстве, в ЭЦП  существуют свои уязвимые места, связанные, в первую очередь, с подделкой подписи. Хотя, по сравнению с собственноручной подписью, возможность подделки ЭЦП очень низка, существует ряд способов сфальсифицировать либо саму подпись, либо подписываемый документ. Обычно такие попытки называют «атаками». Вот несколько моделей возможных атак:

• атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.
• атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.
• адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.

самой «опасной» атакой является адаптивная атака на основе выбранных  сообщений, и при анализе алгоритмов ЭП на криптостойкость нужно рассматривать именно её (если нет каких-либо особых условий)

При безошибочной реализации современных алгоритмов ЭП получение  закрытого ключа алгоритма является практически невозможной задачей  из-за вычислительной сложности задач, на которых ЭП построена

Также имеет место угроза так называемых «социальных атак». Примерами таких атак со стороны  злоумышленника могут послужить  кража закрытого ключа, каким  либо способом  принуждение владельца  ключа подписать нужный договор (обман, шантаж) и др.

В большинстве случаев  степень защищенности ЭЦП зависит  от сложности алгоритма и длины  хэш-функции. Также, для защиты ключей от компрометации используются сертификаты. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов.

Однако, немалое повышение безопасности могут обеспечить такие простые действия со стороны владельцев ключей, как ограничение доступа других лиц к компьютеру и документам (если закрытый ключ хранится там), использование для хранения закрытого ключа смарт-карты, диски, флешки и т.п. Преимущество данного способа хранения заключается в том, что потеря, либо кража такого предмета будет практически сразу же замечена пользователем, и он сможет в кратчайшие сроки отозвать соответствующий сертификат.

 

Юридические аспекты электронной цифровой подписи

Сегодня повсеместное использование  электронного документооборота является одной из важных задач экономического развития. Электронный документооборот позволяет более эффективно использовать накопленные знания, увеличить управляемость, и, соответственно, качество и рентабельность происходящих в экономике процессов. Применение электронного документа дает множество преимуществ участникам рынка, а потому он все более широко применяется в гражданских правоотношения. Растет число трансграничных сделок, совершаемых с использованием электронных средств, что, в свою очередь, также вызывает необходимость в закреплении юридических требований к их совершению и исполнению как на государственном, так и на частном уровне.

Активное внедрение в  предпринимательскую деятельность электронного документооборота обусловили необходимость следующих действий: определение правового режима электронного документа, условий его равнозначности документу на бумажном носителе; закрепление  требований к идентифицирующим реквизитам электронного документа, в том числе  к электронной цифровой подписи  и порядку их применения; установление методов правового регулирования  электронного документооборота.

Итак, на сегодняшний день огромное значение развития электронного сектора в праве и экономике  не вызывает никаких сомнений.

Первый в мире закон о цифровой подписи был принят американским штатом Юта 1 мая 1995 г. (Utah Digital Signature Act). В Европе первым государством, которое приняло закон об электронной подписи, стала Германия.

В российском законодательстве ЭЦП  была впервые упомянута в 2002 г. в  Федеральном законе «Об электронной  цифровой подписи». Следующим шагом  стало принятие Федеральной целевой  программы «Электронная Россия». Был  дан старт развитию электронного документооборота в стране. Однако, на этом активность в правой сфере данного вопроса закончилась. Состояние нормативно-правовой базы, регулирующей использование электронного документа, практически не менялось вплоть до весны прошлого года. В апреле 2011 г. был принят Федеральный закон «Об электронной подписи». Данный факт показывает, что  необходимость и актуальность усовершенствования системы регулирования отношений в области использования электронных подписей постоянно растут.

Основные положения ФЗ «Об электронной подписи» от 06.04.2011 №63-ФЗ, регулирующие отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий:

• участники электронного взаимодействия имеют право использовать электронную подпись любого вида по своему усмотрению (согласно п.1 ст. 4);
• участники электронного взаимодействия могут использовать по своему усмотрению любую информационную технологию и (или) технические средства, позволяющие выполнить требования настоящего Федерального закона применительно к использованию конкретных видов электронных подписей (согласно п.2 ст.4);
• признание электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе, недопустимо (согласно п.3 ст.4);
• согласно ст. 6 данного ФЗ, электронный документ, подписанный электронной подписью, признается равнозначным по юридической силе с документом на бумажном носителе, заверенном собственноручной подписью. То же самое касается и пакетов документов;
• электронные подписи, созданные в соответствии с нормами иностранного права и международных стандартов признаются действительными;

 

При использовании электронных  подписей участники электронного взаимодействия обязаны:

1) обеспечивать конфиденциальность  ключей электронных подписей, в  частности не допускать использование  принадлежащих им ключей электронных  подписей без их согласия;

2) уведомлять удостоверяющий  центр, выдавший сертификат ключа  проверки электронной подписи,  и иных участников электронного  взаимодействия о нарушении конфиденциальности  ключа электронной подписи в  течение не более чем одного  рабочего дня со дня получения  информации о таком нарушении;

3) не использовать ключ  электронной подписи при наличии  оснований полагать, что конфиденциальность  данного ключа нарушена;

4) использовать для создания  и проверки квалифицированных  электронных подписей, создания  ключей квалифицированных электронных  подписей и ключей их проверки  средства электронной подписи,  получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

При несоблюдении требований, возмещение причиненных убытков  возлагается на владельца сертификата  ключа подписи.