Понятие электронной подписи

Оглавление

Введение

В начале апреля 2011 года вступил в силу Федеральный закон № 63-ФЗ «Об электронной подписи», который пришел на смену № 1-ФЗ от 10 января 2002 года «Об электронной цифровой подписи». Этот ФЗ допускал использование лишь одного вида сертифицированной электронной подписи, причем исключительно в гражданских правоотношениях. Данный принцип не только тормозил внедрение электронной подписи, но и противоречил международным стандартам.

В соответствии с новым законом общепринятый термин «электронная цифровая подпись» заменяется на «электронную подпись». Уже сейчас аббревиатура ЭЦП постепенно вытесняется новой ЭП. Тем не менее, потребуется достаточно много времени для полной замены понятия ЭЦП.

 

Понятие электронной подписи

Старый закон содержал следующее определение: электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Новый закон определяет электронную подпись как информацию в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Таким образом, электронная подпись приобретает иной статус: из реквизита документа она превращается в информацию, идентифицирующую лицо, которое подписывает документ. По смыслу определение нового закона то же, только более лаконично. Однако при этом оно теряет в юридическом плане. Слово «реквизит» означает, что конкретный элемент является обязательным для данного документа, другими словами, электронная подпись - это обязательный элемент электронного документа, однако в тексте закона об этом ничего не сказано, равно как отсутствует определение самого электронного документа.

 

Цели реализации закона «Об электронной цифровой подписи»

Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

 

 

Основные атрибуты сертификата ключа

В соответствии со статьями 14 и 17 Федерального закона квалифицированный сертификат должен содержать следующую информацию:

• уникальный номер квалифицированного сертификата;
• даты начала и окончания действия квалифицированного сертификата;
• фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата — для физического лица, либо наименование и местонахождения владельца квалифицированного сертификата — для юридического лица, а также в случаях, предусмотренных Федеральным законом, фамилия, имя и отчество (если имеется) физического лица, действующего от имени владельца квалифицированного сертификата — юридического лица на основании учредительных документов юридического лица или доверенности (далее — уполномоченный представитель юридического лица);
• страховой номер индивидуального лицевого счета (далее — СНИЛС) владельца квалифицированного сертификата — для физического лица; основной государственный регистрационный номер (далее — ОГРН) владельца квалифицированного сертификата — для юридического лица;
• идентификационный номер налогоплательщика (далее — ИНН) владельца квалифицированного сертификата — для юридического лица;
• ключ проверки ЭП;
• наименование используемого средства ЭП и (или) стандарты, требованиям которых соответствует ключ ЭП и ключ проверки ЭП;
• наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с Федеральным законом;
• наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат;
• номер квалифицированного сертификата аккредитованного УЦ;
• ограничения использования квалифицированного сертификата (если такие ограничения установлены).

 

Структура и регламент типового удостоверяющего центра

Центр сертификации (ЦС) предназначен для формирования, ведения базы данных и публикации электронных сертификатов подчиненных Центров сертификации и конечных пользователей. Кроме сертификатов ЦС формирует и публикует список отозванных сертификатов с периодичностью, определенной регламентом системы. При этом ЦС отвечает за формирование политики использования сертификатов для подчиненных ему центров.

Центр регистрации (ЦР) предназначен для обеспечения организационно-технических мероприятий, связанных с регистрацией и подтверждением идентичности конечных пользователей в СУЦ. Он может являться единственной точкой взаимодействия конечных пользователей с вышестоящими компонентами. Сам ЦР не должен выпускать сертификатов конечных пользователей. Он только подготавливает необходимую информацию для вышестоящего ЦС и обеспечивает взаимодействие с ним (в том числе по защищенному каналу). ЦР обеспечивает также получение и верификацию запросов на сертификаты от конечных пользователей, а также доставку им сформированных сертификатов. При этом ЦР обеспечивает получение и обработку сообщений о компрометации ключей конечных пользователей. ЦР отвечает также за оперативное оповещение пользователей обо всех изменениях, происходящих в УЦ (компрометация ключей, восстановление конфиденциальной связи после компрометации ключей, включение новых пользователей, плановая смена ключей и т.д.).

Под конечным пользователем УЦ (КП) понимается субъект (физическое лицо), являющийся владельцем и/или пользователем сертификата.

Сетевой справочник (СС) сертификатов предназначен для хранения и извлечения сертификатов и списков отозванных сертификатов. В качестве Сетевого справочника сертификатов в СУЦ в основном используется сервис, основанный на протоколе LDAP. Кроме этого в качестве справочников могут использоваться также службы с протоколами доступа HTTP, FTP.

К основным вспомогательным службам, которые могут входить в состав типового УЦ, относятся следующие: служба нотариата и архивирования; служба времени; служба имен; служба разбора конфликтных ситуаций; служба верификации сертификатов; служба депонирования ключей; служба аутентификации.

Регламент – это основной руководящий документ удостоверяющего центра, отражающий обязанности пользователей и членов группы администраторов, протоколы работы, принятые форматы данных, а также основные организационно-технические мероприятия, необходимые для безопасного функционирования УЦ.

 

Создание новой редакции государственного стандарта ЭЦП

ГОСТ Р 34.10-2012 (полное название: «ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи») — российский стандарт, описывающий алгоритмы формирования и проверки электронной цифровой подписи. Принят и введён в действие Приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 года.

Стандарт ГОСТ Р 34.10-2012 использует ту же схему формирования электронной цифровой подписи, что и ГОСТ Р 34.10-2001. Новый стандарт отличается наличием дополнительного варианта параметров схем (соответствующего длине секретного ключа порядка 512 бит) и требованием использования функций хэширования ГОСТ Р 34.11-2012: первый вариант требований к параметрам (такой же, как в ГОСТ Р 34.10-2001, соответствующий длине секретного ключа порядка 256 бит) предусматривает использование хэш-функции с длиной хэш-кода 256 бит, дополнительный вариант требований к параметрам предусматривает использование хэш-функции с длиной хэш-кода 512 бит.

 

Уполномоченный федеральный орган исполнительной власти

Уполномоченный федеральный орган определяется Правительством Российской Федерации.

Уполномоченный федеральный орган:

1) осуществляет аккредитацию  удостоверяющих центров, проводит  проверки соблюдения аккредитованными  удостоверяющими центрами требований, которые установлены настоящим Федеральным законом и на соответствие которым эти удостоверяющие центры были аккредитованы, и в случае выявления их несоблюдения выдает предписания об устранении выявленных нарушений;

2) осуществляет функции  головного удостоверяющего центра  в отношении аккредитованных  удостоверяющих центров.

 

Заключение

В целом проект № 63-ФЗ «Об электронной подписи» отвечает современным потребностям рынка. Дух Законопроекта соответствует западным аналогам, которые доказали свою эффективность. В первую очередь он значительно расширяет возможности применения ЭП, создает гибкость, которой раньше не было. Кроме того, устранены ограничения, которые ранее исключали саму возможность использования ЭЦП в целых отраслях.

Но, при всех очевидных плюсах у Законопроекта есть серьезные недостатки. К сожалению, он подразумевает дополнительную большую работу, как на уровне федеральных законов, так и на более низких уровнях для разъяснения целого ряда положений.

 

Литература

1. Завидов Б.Д. – «Электронная цифровая подпись. Правовое значение. Анализ законодательства и законопроектов», 2011.
2. Капустина А.Г. «Федеральный закон об электронной подписи – что нового?» // Защита информации INSIDE - 2011 — №3 —с. 20-22.
3. Кирилловых А.А.  «Постатейный комментарий к Федеральному Закону "Об электронной подписи"» - Изд. Юстицинформ, 2011.
4. «Электронная подпись — использование на практике» // [Электронный ресурс]. URL: http://www.directum.ru/672409.aspx.
5. Бушмелев С. «Чего ждать от электронной подписи?» // [Электронный ресурс]. URL: http://ecm-journal.ru/post/Chto-zhdat-ot-ehlektronnojj-podpisi.aspx.
6. http://iecp.ru/ - единый портал электронной подписи.
7. http://minsvyaz.ru – сайт Министерства связи и массовых коммуникаций РФ.