Цифровая подпись в России

 

 

ВВЕДЕНИЕ

Электронная цифровая подпись  – реквизит электронного документа, предназначенный для защиты данного  электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной  цифровой подписи и позволяющей  идентифицировать владельца сертификата  ключа подписи, а также установить отсутствие искажений информации в  электронном документе. Электронная  цифровая подпись в электронном  документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

1. сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
2. подтверждена подлинностью электронной цифровой подписи в электронном документе;
3. электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

При этом электронной документ с электронной цифровой подписью имеет юридическое значение при  осуществлении отношений, указанных  в сертификате ключа подписи.

В скором будущем заключение договора будет возможно в электронной  форме, который будет иметь такую  же юридическую силу, как и письменный документ. Для этого он должен иметь  механизм электронной цифровой подписи, подтверждаемый сертификатом. Владелец сертификата ключа подписи владеет  закрытым ключом электронной цифровой подписи, что позволяет ему с  помощью средств электронной  цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). Для того, чтобы электронный документ могли открыть и другие пользователи, разработана система открытого ключа электронной подписи.

Для того, чтобы иметь возможность скреплять электронный документ механизмом электронной цифровой подписи, необходимо обратиться в удостоверяющий центр за получением сертификата ключа подписи. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи. Первый в России такой удостоверяющий центр запущен в сентябре 2002 г. российским НИИ развития общих сетей (РосНИИРОС). Удостоверяющий центр по закону должен подтверждать подлинность открытого ключа электронной цифровой подписи.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. ОСНОВНЫЕ ПОЛОЖЕНИЯ

Общая суть электронной подписи  заключается в следующем. С помощью  криптографической хэш-функции вычисляется  относительно короткая строка символов фиксированной длины (хэш). Затем этот хэш шифруется закрытым ключом владельца - результатом является подпись документа. Подпись прикладывается к документу, таким образом получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным.

При ведении деловой переписки, при заключении контрактов подпись  ответственного лица является непременным  атрибутом документа, преследующим несколько целей:

1. гарантирование истинности письма путем сличения подписи с имеющимся образцом;
2. гарантирование авторства документа (с юридической точки зрения).

Выполнение данных требований основывается на следующих свойствах  подписи:

1. подпись аутентична, то есть с ее помощью получателю документа можно доказать, что она принадлежит подписывающему;
2. подпись неподделываема; то есть служит доказательством, что только тот человек, чей автограф стоит на документе, мог подписать данный документ, и никто иной;
3. подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно;
4. документ с подписью является неизменяемым;
5. подпись неоспорима;
6. любое лицо, владеющее образцом подписи может удостоверится, что документ подписан владельцем подписи.

Развитие современных  средств безбумажного документооборота, средств электронных платежей немыслимо  без развития средств доказательства подлинности и целостности документа. Таким средством является электронно-цифровая подпись (ЭЦП), которая сохранила  основные свойства обычной подписи.

Существует несколько  методов построения ЭЦП, а именно:

1. шифрование электронного документа (ЭД) на основе симметричных алгоритмов. Данная схема предусматривает наличие в системе третьего лица – арбитра, пользующегося доверием обеих сторон. Авторизацией документа в данной схеме является сам факт шифрования ЭД секретным ключом и передачи его арбитру;
2. использование ассиметричных алгоритмов шифрования. Фактом подписания документа является шифрование его на секретном ключе отправителя;
3. развитием предыдущей идеи стала наиболее распространенная схема ЭЦП – шифрование окончательного результата обработки ЭД хеш-функцией при помощи ассиметричного алгоритма.

Появление этих разновидностей обусловлено разнообразием задач, решаемых с помощью электронных  технологий передачи и обработки  электронных документов.

При генерации ЭЦП используются параметры трех групп:

1. общие параметры;
2. секретный ключ;
3. открытый ключ.

2. ЗАЩИЩЁННОСТЬ

Цифровая подпись обеспечивает:

1. удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.;
2. защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной;
3. невозможность отказа от авторства. Так как создать корректную подпись можно лишь, зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом;
4. предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;
5. организацию юридически значимого электронного документооборота.

Возможны следующие угрозы цифровой подписи:

1. злоумышленник может попытаться подделать подпись для выбранного им документа;
2. злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один;
3. документы редко оформляют в виде Plain Text — файла, чаще всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

1. случайный набор байт должен подойти под сложно структурированный формат файла;
2. то, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме;
3. текст должен быть осмысленным, грамотным и соответствующий теме документа.

Вполне понятно, что вероятность  такого происшествия ничтожно мала. Можно  считать, что на практике такого случиться  не может даже с ненадежными хеш-функциями, так как документы обычно большого объема — килобайты.

При использовании надёжной хэш-функции, вычислительно сложно создать поддельный документ с таким  же хэшем, как у подлинного. Однако, эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях.

Тем не менее, возможны ещё  такие угрозы системам цифровой подписи:

1. злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа;
2. злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи;
3. злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

 

 

 

 

 

 

3. СРЕДСТВА РАБОТЫ С ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСЬЮ

Наиболее известный - это  пакет PGP (Pretty Good Privacy) – без сомнений являющийся на сегодня самым распространенным программным продуктом, позволяющим использовать современные надежные криптографические алгоритмы для защиты информации в персональных компьютерах.

К основным преимуществам  данного пакета, выделяющим его среди  других аналогичных продуктов следует  отнести следующие:

1. открытость. Исходный код всех версий программ PGP доступен в открытом виде. Любой эксперт может убедиться в том, что в программе эффективно реализованы криптоалгоритмы. Так как сам способ реализации известных алгоритмов был доступен специалистам, то открытость повлекла за собой и другое преимущество - эффективность программного кода;
2. стойкость. Для реализации основных функций использованы лучшие (по крайней мере на начало 90-х) из известных алгоритмов, при этом допуская использование достаточно большой длины ключа для надежной защиты данных;
3. бесплатность. Готовые базовые продукты PGP (равно как и исходные тексты программ) доступны в Интернете в частности на официальном сайте PGP Inc.;
4. поддержка как централизованной (через серверы ключей) так и децентрализованной (через «сеть доверия») модели распределения открытых ключей;
5. удобство программного интерфейса. PGP изначально создавалась как продукт для широкого круга пользователей, поэтому освоение основных приемов работы отнимает всего несколько часов.

GnuPG - полная и свободно распространяемая замена для пакета PGP. Этот пакет не использует патентованный алгоритм IDEA, и поэтому может быть использован без каких-нибудь ограничений. GnuPG соответсвует стандарту RFC2440 (OpenPGP).

Пакет программ Криптон (www.ancud.ru) предназначен для использования  электронной цифровой подписи (ЭЦП) электронных документов.

В стандартной поставке для  хранения файлов открытых ключей используются дискеты. Помимо дискет, пакет Криптон  дает возможность использования  всех типов ключевых носителей (смарт-карт, электронных таблеток Touch Memory и др.).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. ПРАВОВОЕ РЕГУЛИРОВАНИЕ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ В РОСИИ

 

В развитых странах мира, в том числе и в Российской Федерации, электронная цифровая подпись  широко используется в хозяйственном  обороте. Банк России и другие банки  Российской Федерации эффективно используют ЭЦП для осуществления своих  операций путем пересылки банковских электронных документов по корпоративным  и общедоступным телекоммуникационным сетям.

Для преодоления всех существующих в данной области отношений препятствий  необходимо создание унифицированных  правил, при помощи которых страны могут в национальном законодательстве решить основные проблемы, связанные  с юридической значимостью записей  в памяти ЭВМ, письменной формой электронных  данных (в том числе и документов), подписью под такими данными, оригиналом и копиями электронных данных, а также признанием в качестве судебных доказательств электронных  данных, заверенных электронной подписью.

10 января 2002 года был принят  Федеральный Закон «Об электронной  цифровой подписи», вступивший в  силу с 22 января текущего года, который закладывает основы решения  проблемы обеспечения правовых  условий для использования электронной  цифровой подписи в процессах  обмена электронными документами,  при соблюдении которых электронная  цифровая подпись признается  юридически равнозначной собственноручной  подписи человека в документе  на бумажном носителе.

Федеральный Закон «Об  электронной цифровой подписи» определяет условия использования ЭЦП в  электронных документах органами государственной  власти и государственными организациями, а также юридическими и физическими  лицами, при соблюдении которых:

1. средства создания подписи признаются надежными;
2. сама ЭЦП признается достоверной, а ее подделка или фальсификация подписанных данных могут быть точно установлены;
3. предоставляются юридические гарантии безопасности передачи информации по открытым телекоммуникационным каналам;
4. соблюдаются правовые нормы, содержащие требования к письменной форме документа;
5. сохраняются все традиционные процессуальные функции подписи, в том числе удостоверение полномочий подписавшей стороны, установление подписавшего лица и содержания сообщения, а также роль подписи в качестве судебного доказательства;
6. обеспечивается охрана персональной информации.