Тема «Электронная цифровая подпись»
1. Понятие электронной цифровой подписи и ее техническое обеспечение
2. Организационное и правовое обеспечение электронной цифровой подписи.
1.Понятие электронной цифровой подписи и ее техническое
обеспечение
В мире электронных документов подписание файла с помощью графических символов теряет смысл, так как подделать и скопировать графический символ можно бесконечное количество раз. Электронная Цифровая Подпись (ЭЦП) является полным электронным аналогом обычной подписи на бумаге, но реализуется не с помощью графических изображений, а с помощью математических преобразований над содержимым документа.
Особенности математического алгоритма создания и проверки ЭЦП гарантируют невозможность подделки такой подписи посторонними лицами,
ЭЦП – реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца ключа, а
также установить отсутствие искажения информации в электронном документе.
ЭЦП представляет собой определенную последовательность символов,
которая формируется в результате преобразования исходного документа (или любой другой информации) при помощи специального программного обеспечения. ЭЦП добавляется к исходному документу при пересылке. ЭЦП является уникальной для каждого документа и не может быть перенесена на другой документ. Невозможность подделки ЭЦП обеспечивается значительным количеством математических вычислений, необходимых для
её подбора. Таким образом, при получении документа, подписанного ЭЦП,
Применение ЭЦП обеспечивает: простое разрешение спорных ситуаций (регистрация всех действий участника системы во времени),
невозможность изменения заявки участника до даты окончания закупки.
Кроме того, ЭЦП способствует: снижению затрат на пересылку документов, быстрому доступу к торгам, проходящим в любой точке России.
Пользоваться электронной подписью достаточно просто. Никаких специальных знаний, навыков и умений для этого не потребуется. Каждому пользователю ЭЦП, участвующему в обмене электронными документами,
генерируются уникальные открытый и закрытый (секретный)
криптографические ключи.
Закрытый ключ – это закрытый уникальный набор информации объемом 256 бит, хранится в недоступном другим лицам месте на дискете,
смарт-карте, ru-token. Работает закрытый ключ только в паре с открытым
Открытый ключ - используется для проверки ЭЦП получаемых документов/файлов. Технически это набор информации объемом 1024 бита.
Открытый ключ передается вместе с Вашим письмом, подписанным ЭЦП.
Дубликат открытого ключа направляется в Удостоверяющий Центр, где создана библиотека открытых ключей ЭЦП. В библиотеке Удостоверяющего Центра обеспечивается регистрация и надежное хранение открытых ключей во избежание попыток подделки или внесения искажений.
Вы устанавливает под электронным документом свою электронную цифровую подпись. При этом на основе секретного закрытого ключа ЭЦП и содержимого документа путем криптографического преобразования вырабатывается некоторое большое число, которое и является электронно-
цифровой подписью данного пользователя под данным конкретным документом. Это число добавляется в конец электронного документа или сохраняется в отдельном файле.
В подпись, в том числе, записывается следующая информация: имя
файла открытого ключа подписи, информация о лице, сформировавшем подпись, дата формирования подписи.
Пользователь, получивший подписанный документ и имеющий открытый ключ ЭЦП отправителя на основании текста документа и открытого ключа отправителя выполняет обратное криптографическое преобразование, обеспечивающее проверку электронной цифровой подписи отправителя. Если ЭЦП под документом верна, то это значит, что документ действительно подписан отправителем и в текст документа не внесено никаких изменений. В противном случае будет выдаваться сообщение, что сертификат отправителя не является действительным.
Термины и Определения: Электронный документ - документ, в
котором информация представлена в электронно-цифровой форме.
Владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах
(подписывать электронные документы).
Средства электронной цифровой подписи - аппаратные и (или)
программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.
Сертификат средств электронной цифровой подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.
Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Пользователь сертификата ключа подписи - физическое лицо,
использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.
Информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.
Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц,
определенный ее владельцем или соглашением участников этой
информационной системы.
Удостоверяющий центр - юридическое лицо, выполняющее функции по: изготовлению сертификатов ключей подписей, созданию ключей электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи, приостановлению и возобновлению действие сертификатов ключей подписей, а также аннулированию их,
ведению реестра сертификатов ключей подписей, обеспечению его актуальности и возможности свободного доступа к нему участников информационных систем, проверке уникальности открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра, выдаче сертификатов ключей подписей в форме документов на бумажных носителях и (или) в форме электронных
документов с информацией об их действии, осуществлению по обращениям пользователей сертификатов ключей подписей подтверждения подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей, предоставлению участникам информационных систем иных связанных с использованием электронных цифровых подписей услуг.
При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.
2. Организационное и правовое обеспечение электронной
цифровой подписи.
Правовое обеспечение электронной цифровой подписи следует понимать не только как совокупность нормативно-правовых актов,
обеспечивающих правовой режим ЭЦП и средств ЭЦП. Это гораздо более широкое понятие. Оно лишь начинается с государственного закона об электронной цифровой подписи, но развивается далее и впоследствии охватывает все теоретические и практические вопросы, связанные с электронной коммерцией вообще.
Первый в мире закон об электронной цифровой подписи был принят в марте 1995 г. Законодательным собранием штата Юта (США) и утвержден Губернатором штата.
Закон получил название Utah Digital Signature Act. Ближайшими последователями штата Юта стали штаты Калифорния, Флорида, Вашингтон,
где вскоре тоже были приняты соответствующие законодательные акты.
В качестве основных целей первого закона об электронной подписи были провозглашены:
Минимизация ущерба от событий незаконного использования и подделки электронной цифровой подписи;
обеспечение правовой базы для деятельности систем и органов сертификации и верификации документов, имеющих электронную природу;
правовая поддержка электронной коммерции (коммерческих операций, совершаемых с использованием средств вычислительной техники);
придание правового характера некоторым техническим стандартам,
ранее введенным Международным союзом связи (ITU - International Telecommunication Union) и Национальным институтом стандартизации США (ANSI - American National Standards Institute), а также рекомендациям Наблюдательного совета Интернета (IAB - Internet Activity Board),
выраженным в документах RFC 1421 - RFC 1424.
Закон состоит из пяти частей:
В первой части вводятся основные понятия и определения, связанные с использованием ЭЦП и функционированием средств ЭЦП. Здесь же рассматриваются формальные требования к содержательной части электронного сертификата, удостоверяющего принадлежность открытого ключа юридическому или физическому лицу.
Вторая часть закона посвящена лицензированию и правовому регулированию деятельности центров сертификации.
Прежде всего, здесь оговорены условия, которым должны удовлетворять физические и юридические лица для получения соответствующей лицензии, порядок ее получения, ограничения лицензии и условия ее отзыва. Важным моментом данного раздела являются условия признания действительности сертификатов, выданных нелицензированными удостоверителями, если участники электронной сделки выразили им совместное доверие и отразили его в своем договоре. Фактически здесь закрепляется правовой режим сетевой модели сертификации, рассмотренной нами выше.
В третьей части закона сформулированы обязанности центров сертификации и владельцев ключей. В частности, здесь рассмотрены:
порядок выдачи сертификата;
порядок предъявления сертификата и открытого ключа;
условия хранения закрытого ключа;
действия владельца сертификата при компрометации закрытого
порядок отзыва сертификата;
срок действия сертификата;
условия освобождения центра сертификации от ответственности за неправомерное использование сертификата и средств ЭЦП;
порядок создания и использования страховых фондов,
предназначенных для компенсации ущерба третьим лицам, возникшего в результате неправомочного применения ЭЦП.
Четвертая часть закона посвящена непосредственно цифровой подписи.
Ее основное положение заключается в том, что документ, подписанный цифровой подписью, имеет ту же силу, что и обычный документ,
подписанный рукописной подписью.
В пятой части закона рассмотрены вопросы взаимодействия центров сертификации с административными органами власти, а также порядок функционирования так называемых репозитариев - электронных баз данных, в которых хранятся сведения об изданных и отозванных сертификатах.
В целом закон об ЭЦП штата Юта отличается от других аналогичных правовых актов высокой подробностью.
Германский закон об электронной подписи (Signaturgesetz) был введен в действие в 1997 г. и стал первым европейским законодательным актом такого рода. Целью закона объявлено создание общих условий для такого применения электронной подписи, при котором ее подделка или фальсификация подписанных данных могут быть надежно установлены.
В Законе прослеживаются следующие основные направления:
установление четких понятий и определений;
подробное регулирование процедуры лицензирования органов сертификации и процедуры сертификации открытых ключей пользователей средств ЭЦП (правовой статус, порядок функционирования центров
сертификации, их взаимодействие с государственными органами и другими центрами сертификации, требования к сертификату открытого ключа электронной подписи);
Рассмотрение вопросов защищенности цифровой подписи и данных,
подписанных с ее помощью, от фальсификации;
Порядок признания действительности сертификатов открытых ключей.
По своему духу германский Закон об электронной подписи является регулирующим.
В отличие от аналогичного закона Германии, Федеральный Закон об электронной подписи США является координирующим правовым актом. Это связано с тем, что ко времени его принятия соответствующее регулирующее законодательство уже сложилось в большинстве отдельных штатов.
Как видно из названия Закона (Electronic Signatures in Global and National Commerce Act), его основное назначение состоит в обеспечении правового режима цифровой электронной подписи в электронной коммерции. Подписание Закона Президентом США состоялось в день национального праздника - 4 июля 2000 г. (День независимости), что должно придать этому законодательному акту особое значение. По мнению обозревателей принятие данного закона символизирует вступление человечества в новую эру - эру электронной коммерции.
ответственных за функционирование ее инфраструктуры. Не сосредоточиваясь на конкретных правах и обязанностях центров сертификации, которым уделяется особое внимание в законодательствах других стран, Федеральный Закон США относит их к понятию инфраструктура ЭЦП и в самых общих чертах оговаривает взаимодействие элементов этой структуры с правительственными органами.
В России с основными положениями Федерального Закона об
электронной подписи можно познакомиться на примере проекта. Согласно проекту, Закон состоит из пяти глав и содержит более двадцати статей.
В первой главе рассмотрены общие положения, относящиеся к Закону.
Как и аналогичные законы других государств, российский законопроект опирается на несимметричную криптографию. Основной целью Закона провозглашается обеспечение правовых условий для применения ЭЦП в электронном документообороте и реализации услуг по удостоверению ЭЦП участников договорных отношений.
Во второй главе рассмотрены принципы и условия использования электронной подписи. Здесь, во-первых, выражена возможность, а во-вторых,
приведены условия равнозначности рукописной и электронной подписи.
Кроме того, особо акцентировано внимание на характерных преимуществах ЭЦП:
лицо может иметь неограниченное количество закрытых ключей ЭЦП, то есть, создать себе разные электронные подписи и использовать их в разных условиях;
все экземпляры документа, подписанные ЭЦП, имеют силу оригинала.
Проект российского Закона предусматривает возможность ограничения сферы применения ЭЦП. Эти ограничения могут накладываться федеральными законами, а также вводиться самими участниками электронных сделок и отражаться в договорах между ними.
Интересно положение статьи о средствах ЭЦП, в которой закрепляется утверждение о том, что «средства ЭЦП не относятся к средствам,
обеспечивающим конфиденциальность информации». На самом деле это не совсем так. По своей природе средства ЭЦП, основанные на механизмах несимметричной криптографии, конечно же, могут использоваться для защиты информации. Возможно, это положение включено для того, чтобы избежать коллизий с другими нормативными актами, ограничивающими применение средств криптографии в обществе.
Важным отличием от аналогичных законов других государств является
положение российского законопроекта о том, что владелец закрытого ключа несет ответственность перед пользователем соответствующего открытого ключа за убытки, возникающие в случае ненадлежащим образом организованной охраны закрытого ключа.
Еще одной отличительной чертой российского законопроекта является список требований к формату электронного сертификата. Наряду с общепринятыми полями, рассмотренными нами выше, российский законодатель требует обязательного включения в состав сертификата наименования средств ЭЦП, с которыми можно использовать данный открытый ключ, номер сертификата на это средство и срок его действия,
наименование и юридический адрес центра сертификации, выдавшего данный сертификат, номер лицензии этого центра и дату ее выдачи. В
зарубежном законодательстве и в международных стандартах мы не находим требований столь подробного описания программного средства ЭЦП, с
помощью которого генерировался открытый ключ. По-видимому, это требование российского законопроекта продиктовано интересами безопасности страны.
Массовое применение программного обеспечения, исходный код которого не опубликован и потому не может быть исследован специалистами, представляет общественную угрозу. Это относится не только к программным средствам ЭЦП, но и вообще к любому программному обеспечению, начиная с операционных систем и заканчивая прикладными программами.
В третьей главе рассмотрен правовой статус центров сертификации (в
терминологии законопроекта - удостоверяющих центров открытых ключей электротой подписи). В России оказание услуг по сертификации электронной подписи является лицензируемым видом деятельности, которым могут заниматься только юридические лица. Удостоверение электронной подписи государственных учреждений могут осуществлять только государственные удостоверяющие центры.
По своему характеру структура органов сертификации -
Что такое электронная цифровая подпись (ЭЦП)?
Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Насколько сложно научиться пользоваться электронной цифровой подписью (ЭЦП)?
Несмотря на чрезвычайную сложность математического аппарата двухключевой криптографии и программных средств, его реализующих, пользование ЭЦП для его владельца на удивление просто и доступно любому человеку, вне зависимости от уровня владения персональным компьютером, образования и рода занятий.
Для того, чтобы подписать подготовленный электронный документ, владельцу ЭЦП достаточно вставить в дисковод компьютера дискету, содержащую принадлежащий ему секретный ключ, и щелкнуть мышкой по кнопке на экране компьютера. Все остальное компьютер сделает сам.
Проверить истинность подписи любого человека под любым электронным документом еще проще. Вызванный на экран компьютера подписанный электронный документ проверяется автоматически и поэтому сразу содержит информацию о том, кто его подписал, и истинна ли подпись.
Вместе с тем мы предоставляем и более сложные средства проверки электронной подписи, предназначенные для экспертов на случай, если по каким-либо причинам понадобится по другой схеме проверить и еще раз убедиться в подлинности документа.
Равнозначна ли электронная цифровая подпись подписи на бумаге?
Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность электронной цифровой подписи в электронном документе;
электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Клиент может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.
Можно ли подделать ЭЦП?
При правильном хранении секретного ключа его владельцем - нет. Выполняйте рекомендации по хранению и использованию ключа, содержащиеся в документации к абонентскому рабочему месту - и вы будете гарантированы от подделки вашей ЭЦП. На сегодняшний день на Земле не существует вычислительных мощностей, способных в сколько-нибудь приемлемые сроки взломать криптографию ЭЦП, и в ближайшие десятилетия это будет также невозможно.
Можно ли незаметно подделать текст электронного документа, подписанного ЭЦП?
Это невозможно. Любое изменение, несанкционированно внесенное в текст документа, будет обнаружено, проверка ЭЦП покажет, что она искажена.
Документы на бумажных носителях с подписью и печатью можно хранить, а можно ли хранить электронный документ, подписанный ЭЦП?
Конечно, и неизмеримо более удобно. Для электронных документов не нужны шкафы, папки и дыроколы. Вам не придется тратить драгоценные часы своего рабочего времени на перелистывание скоросшивателей в поисках потерявшегося документа и дышать бумажной пылью архивов. Архив, который в бумажном виде занял бы несколько стеллажей, в электронном виде умещается на маленьком диске, который при желании можно спрятать в несгораемый сейф, поместить в депозитарий банка, скопировать для надежности, зашифровать и придумать с ним еще множество операций, позволяющих уберечь вашу информацию от случайностей и злого умысла. Просканировать такой архив и найти в нем любой нужный документ - дело нескольких секунд.
И при этом, конечно же, вместе с документом в архиве сохранится и ЭЦП, которая даже спустя десятки лет сможет подтвердить вам и кому угодно его подлинность.
Впрочем, ничто не мешает вам распечатать любой документ, заверенный ЭЦП, и пользоваться им как обычным бумажным документом.
Если возникли споры, и дело дошло до арбитражного суда, будут ли документы, подписанные ЭЦП, иметь юридическую силу?
Да, безусловно имеют юридическую силу.
Что делать, если секретный ключ ЭЦП оказался рассекреченным при каких-то обстоятельствах?
Ну что ж, это возможно, но только в том случае, если вы допустили отклонение от наших рекомендаций по хранению секретного ключа.
Основная ваша задача в момент компрометации - как можно быстрее оповестить администратора Удостоверяющего центра о произошедшем, чтобы он вывел скомпрометированный ключ из действия в системе. С этого момента подпись теряет юридическую силу и Вы можете быть спокойны. После этого можно будет решать вопрос о выдаче вам новых ключей ЭЦП взамен скомпрометированных. Более подробный ответ на этот вопрос можно найти в инструкции, передаваемой клиенту вместе с ключами ЭЦП.
Может ли человек, подписавший документ, отказаться от своей подписи?
Если вы внимательно прочитали ответ на вопрос "Как работает электронная цифровая подпись", то уже должны знать, что ЭЦП обладает свойством неотказуемости. Это означает, что никто не может отказаться от своей электронной подписи, потому что ее принадлежность легко, однозначно и неоспоримо доказывается.
Как нужно хранить ключи ЭЦП?
Подробные рекомендации, как хранить ключи ЭЦП, изложены в договоре между Оператором и клиентом и документации к абонентскому комплекту. Кратко можно сказать следующее: храните их таким образом, чтобы быть уверенным, что ваш секретный ключ ни при каких обстоятельствах не может оказаться в руках человека, которому вы не доверяете. Лучше всего, если ваш секретный ключ будет доступен только вам лично, либо только одному особо доверенному лицу.
На сколько времени выдается ЭЦП?
Ваши ключи ЭЦП будут действительны в течение 12 месяцев, считая с момента введения вашей ЭЦП в действие.
Заблаговременно до истечения этого срока вы сможете получить новые ключи ЭЦП таким образом, чтобы не произошло перерыва в действии вашей ЭЦП при смене ключей. Эти ключи будут действовать в течение следующих 12 месяцев, и так далее.
Нужно ли секретить открытый ключ?
Открытый ключ потому и называется открытым, что его не только не нужно секретить, но наоборот, его свободное распространение как раз и является основой для работы системы ЭЦП. Любой человек, который хочет убедиться в подлинности вашей ЭЦП, должен будет воспользоваться для этой цели вашим открытым ключом.
Может ли один человек иметь несколько ЭЦП?
Да, один человек может иметь несколько ЭЦП. Это право закреплено п.2 ст.4 Федерального закона. 1-ФЗ "Об электронной цифровой подписи".
Очевидно, что эти ЭЦП должны различаться между собой. Удостоверяющий центр не выдает двух идентичных по назначению ЭЦП одному и тому же лицу.
Как можно убедиться, что человек, подписавший документ от имени предприятия, имеет на то полномочия?
Легко можно убедиться, посмотрев сертификат открытого ключа владельца ЭЦП.
Для получения ключей ЭЦП на сотрудника предприятия руководитель (подписывая договор и заверяя заявление сотрудника) подтверждает должность и полномочия своего сотрудника (какие документы он имеет право подписывать).
На основании подписанных руководителем документов (которые хранятся в Удостоверяющем центре) в сертификате открытого ключа ЭЦП указывается должность и полномочия владельца ЭЦП. А сертификат открытого ключа ЭЦП доступен всем клиентам.
Могут ли руководитель и его заместители, а также главный бухгалтер, иметь свои индивидуальные ЭЦП и при этом подписывать документы, в пределах своих полномочий, от имени предприятия своей ЭЦП?
Может ли предприятие работать с одной ЭЦП?
Что делать если сотрудник на которого была оформлена ЭЦП уволился с предприятия и может ли он при желании продолжать подписывать документы от имени предприятия?
Руководитель предприятия или сам владелец ЭЦП должны немедленно заявить администратору об отзыве сертификата. Администратор системы немедленно приостанавливает действие сертификата, а после получения письменного подтверждения (можно в электронном виде, если подпись ЭЦП) отзывает сертификат. Таким образом, с момента получения администратором информации, подпись сотрудника будет считаться недействительной, и никто с ним работать не будет (так клиенты перед расшифровкой подписи обязательно просматривают список отозванных сертификатов).
Обычно печать предприятия хранится в бухгалтерии, или у секретаря, или в другой службе, и они же ставят печать на подпись руководителя. А можно ли ЭЦП доверять так же, как и печать?
Личное дело руководителя кому доверять, ответственность все равно остается за ним и поэтому желательно, чтобы он предусмотрел все меры предосторожности.
Чем гарантируется надежность криптографической защиты и то, что ЭЦП нельзя подделать?
Надежность криптографической защиты, в том числе ЭЦП, обеспечивается применением только средств криптографической защиты информации (СКЗИ), имеющих сертификаты ФАПСИ и обеспечивающих требования ГОСТ Р34.10-94, ГОСТ Р34-11-94 и ГОСТ 28147-83.
Для чего используется электронная цифровая подпись?
Для обеспечения конфиденциальности передаваемой информации, подтверждения авторства целостности электронных документов и неотрекаемости от передачи электронных документов используется криптографическая защита информации -электронная цифровая подпись.
Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Электронная цифровая подпись (ЭЦП) используется в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью и скрепленного печатью.
Каковы функции удостоверяющего центра?
Для обеспечения работы системы управления ключами и сертификатами функции удостоверяющего центра выполняет специализированный оператор связи. Основными функциями специализированный оператор связи являются:
Регистрация пользователей;
Изготовление сертификатов ключей подписей;
Создание ключей электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;
Приостановление и возобновление действия сертификатов ключей подписей, а также аннулирование их;
Ведение реестра сертификатов ключей подписей, обеспечение его актуальности и возможности свободного доступа к нему участников информационных систем;
Проверка уникальности открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;
Выдача сертификатов ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;
Осуществление по обращениям пользователей сертификатов ключей подписей подтверждения подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей.
Каковы обязательства удостоверяющего центра?
Специализированный оператор связи выполняющий функции удостоверяющего центра при изготовлении сертификата ключа подписи принимает на себя следующие обязательства по отношению к владельцу сертификата ключа подписи:
Вносить сертификат ключа подписи в реестр сертификатов ключей подписей;
Обеспечивать выдачу сертификата ключа подписи обратившимся к нему участникам информационных систем;
Приостанавливать действие сертификата ключа подписи по обращению его владельца;
Уведомлять владельца сертификата ключа подписи о фактах, которые стали известны удостоверяющему центру и которые существенным образом могут сказаться на возможности дальнейшего использования сертификата ключа подписи;
Иные установленные нормативными правовыми актами или соглашением сторон обязательства.
Каковы обязательства владельца ЭЦП?
Владелец сертификата ключа подписи обязан:
Не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;
Хранить в тайне закрытый ключ электронной цифровой подписи;
Немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.
При несоблюдении требований, изложенных в настоящей статье, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.
М.Г. Мошкович, юрист
Кто ответит за электронную подпись?
Изучаем последствия передачи своей ЭП другим сотрудникам
Рассмотренные в статье судебные решения можно найти: раздел «Судебная практика» системы КонсультантПлюсИспользование электронной подписи (ЭП) получило широкое распространение в хозяйственной практике. Однако ЭП воспринимается скорее как удобный инструмент документооборота, нежели как личная подпись конкретного лица. Ее получение стоит недешево, поэтому, вместо того чтобы оформить электронную подпись нескольким сотрудникам, ЭП одного лица нередко передают в пользование другому. И даже иногда оформляют этот факт приказом (к примеру, когда руководитель или главбух уходит в отпуск либо по иным причинам отсутствует в офисе).
Рассмотрим, насколько это законно и каковы могут быть последствия таких действий.
Что говорит закон
Согласно ГК РФ электронная подпись - это аналог собственноручной подпис ип. 2 ст. 160 ГК РФ . А руку свою вы передать никому не можете, равно как и право пользования ею. Таким образом, передача электронной подписи другому лицу - это нонсенс. Законно использовать ЭП может только тот, на кого она оформлена.
Именной характер ЭП исключает и оформление доверенности на ее использование. Можно уполномочить другого человека сделать что-то в ваших интересах, для чего ему понадобится подписываться за вас. Но представитель, конечно же, будет ставить свою подпись на документах, а не вашу.
Казалось бы, все очевидно, но у нас есть еще и Закон об электронной подписи. Его формулировки довольно противоречивы и многих ввели в заблуждение.
Так, Закон обязывает владельцев ключа ЭП сохранять его конфиденциальность и не использовать ключ в случае ее нарушени яподп. 2 п. 2 ст. 9 , пп. 1, 3 ст. 10 Закона от 06.04.2011 № 63-ФЗ (далее - Закон № 63-ФЗ) . Что такое конфиденциальность? Это сохранение секретности информации от других лиц, исключение ее утечки. Значит, никто, кроме вас, не должен иметь доступа к ключу.
Закон также говорит, что ЭП должна позволять определить конкретное лицо, подписывающее докумен тп. 1 ст. 2 Закона № 63-ФЗ . Если ЭП пользуется ее владелец, то это условие выполняется. А если иное лицо? Пользователь электронного документа все равно видит только данные владельца, понять, кто его «замещает», нет возможности. Следовательно, пользователь получит неверную информацию, проще говоря, будет обманут.
Однако прямого запрета на передачу ключа электронной подписи в Законе нет.
Больше того, в качестве разъяснения правила о конфиденциальности Закон об электронной подписи требует не допускать использование ключа усиленной ЭП без согласия его владельц ап. 1 ст. 10 Закона № 63-ФЗ . Что и порождает ошибочное мнение о законности передачи ЭП, если ее владелец не возражает против этого.
Что происходит на практике
Так, даже Минкомсвязи, уполномоченный орган в сфере использования ЭПп. 1 Положения, утв. Постановлением Правительства от 02.06.2008 № 418 , не видит проблемы в передаче электронной подписи, оформленной на одно лицо, другому лицу. Пресс-служба ведомства сообщила нам следующее.
ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ
Пресс-служба Минкомсвязи
“ Участники электронного взаимодействия обязаны не допускать использование принадлежащих им ключей электронной подписи без их согласи яст. 10 Закона № 63-ФЗ . То есть в принципе использование ключа ЭП, принадлежащего одному лицу, другим лицом допускается, прямого запрета на это в законе нет.
При этом передавать сертификат ключа проверки электронной подписи другому сотруднику организации можно исключительно в случае наделения его полномочиями действовать от имени компании в том же объеме, что и сотрудник - владелец квалифицированного сертификата. Предоставление полномочий оформляется приказом руководителя организации, также необходимо получить согласие владельца сертификата ключа проверки на использование этого сертификата другим лицо м” .
Аналогичное мнение высказал и специалист Федеральной налоговой службы.
ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ
Советник государственной гражданской службы РФ 2 класса
“ При использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей ЭП, в частности не допускать использование принадлежащих им ключей ЭП без их согласи яп. 1 ст. 10 Закона № 63-ФЗ . Таким образом, при наличии волеизъявления участник электронного взаимодействия может допустить использование ключа ЭП третьим лицо м” .
А вот разработчик программного обеспечения, к которому мы обратились за консультацией, сомневается в законности передачи ключа ЭП.
ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ
Ведущий разработчик программных продуктов компании «Бухсофт.ру»
“ Использование любого вида электронной подписи должно так или иначе говорить о том, что подпись сделана конкретным лицо мст. 5 Закона № 63-ФЗ . Для этого в Законе и прописана обязанность обеспечить конфиденциальность ключей. Поэтому смысл издания приказа о передаче ключа считаю спорны м” .
Возможные риски передачи ЭП
Поскольку нормативного запрета нет, люди часто рассуждают таким образом: ну да, использовать чужую ЭП неправильно, но мы же для дела, никому от этого хуже не будет, а пользователи нашей электронной документации ничего не узнают. Однако это не всегда так. Прежде всего, когда вы доверяете свою ЭП другим людям, контроль за конфиденциальностью ключей неизбежно снижается. Ваш «заместитель» может просто проявить невнимательность и допустить, чтобы ЭП воспользовался посторонний, либо неосторожно словить вирус, который скачает информацию. В результате ЭП попадет к жуликам и организация потеряет деньги или информацию. Но есть и другие опасности.
Рассмотрим судебную практику из различных сфер применения ЭП.
Банки
Как правило, сотрудники банков в курсе, что ЭП не всегда использует то лицо, на которое она оформлена. Что не означает, будто банк признает это законным. Просто риски, связанные с нарушением конфиденциальности ЭП, несет клиент. Это следует из Закон ап. 1 ст. 854 , п. 1 ст. 845 , п. 3 ст. 847 ГК РФ и всегда четко прописывается в договоре. Поэтому если со счета организации с помощью вашей ЭП незаконно спишут деньги, убытки с банка взыскать не получитс яПостановления АС ЗСО от 20.02.2015 № А27-5335/2013 ; ФАС МО от 05.08.2014 № А40-82734/2013 . Суды считают, что банк обязан исполнять платежное поручение, подписанное корректной ЭПп. 1 ст. 845 ГК РФ . Возмещение понесенного ущерба можно требовать только со злоумышленников, каким-либо образом получивших доступ к ЭП сотрудника. Но для этого их надо сначала установить.
Важно отметить, что выявляемые в суде факты передачи ЭП другим лицам всегда оцениваются как нарушение договора со стороны клиента банка.
Так, во время внезапного отключения компьютера, на котором стояла программа «Клиент-Банк», с расчетного счета ООО было списано более 1,7 млн руб. Спор с банком о взыскании убытков общество проиграло. Судьи указали, что платежное поручение было подписано действующей ЭП директора, а ООО нарушило условия договора с банком об обеспечении конфиденциальности. В частности, носитель с главным ключом и ЭП директора ООО был передан главному бухгалтеру, у которого он хранился в сейф еПостановление ФАС ЦО от 03.09.2013 № А35-10589/12 .
В другом случае 96 тыс. руб. «ушли» со счета ООО на основании платежного поручения, подписанного ЭП уже уволенного директора (о назначении нового в банк не сообщали). А пользовался этой ЭП, как установило следствие, вообще бухгалтер. Суд отметил, что ООО не обеспечило режим секретности ключа ЭП и передало его в пользование третьему лицу, чем нарушило требования Закона об ЭП. Во взыскании денег с банка было отказан оПостановление ФАС ЗСО от 05.12.2011 № А21-8586/2010 .
Контрагенты
Если документ, с которым не согласна организация, подписан действующей ЭП ее сотрудника, то отвертеться от документа вряд ли удастся. Так, суд принял решение о взыскании с ООО задолженности по договору поставки, хотя организация утверждала, что не получала спорного товара. При этом в наличии была товарная накладная, подписанная ЭП работника компании. По мнению организации, этой ЭП воспользовалось некое неуполномоченное лицо. В процессе разбирательства было установлено, что договор ООО с поставщиком предусматривал использование ЭП при составлении первички, в том числе и формы № ТОРГ-12. ЭП ответственного лица признали действительно йПостановление ФАС ВВО от 11.08.2010 № А43-5226/2010 .
Если спора нет, но контрагент узнал, что ЭП руководителя применил другой сотрудник, к примеру, при подписании контракта, это не так страшно. По правилам ГК РФ организация может направить письмо другой стороне о том, что она одобряет сделку, совершенную неуполномоченным лицом, и таким образом снять проблем уп. 1 ст. 183 ГК РФ .
Госзакупки
Довольно неприятные последствия использования чужой ЭП могут быть у организаций, участвующих в госзакупках. В судебной практике есть случай, когда ООО в результате на 2 года оказалось в реестре недобросовестных поставщиков. А дело было так: генеральный директор подписал госконтракт по результатам открытого аукциона электронной подписью своего предшественника (собственную ЭП на момент подписания ему не успели оформить). Когда сведения о дате назначения нового директора появились на сайте электронной торговой площадки, нестыковку заметил заказчик. Он направил жалобу в УФАС, указав, что контракт подписан неуполномоченным лицом. В результате антимонопольщики пришли к выводу о том, что ООО уклонялось от заключения госконтракта, и наказали организаци юПостановление ФАС ЦО от 05.03.2012 № А23-2637/2011 .
ИФНС
Как показывает практика, подписание деклараций неуполномоченным лицом иногда может создать проблемы для организации. К примеру, в Новосибирске налоговики заблокировали счет компании, случайно узнав из допроса директора, что его ЭП при подписании ранее поданной декларации использовал другой сотрудник. Инспекторы решили, что такую декларацию следует считать неподанной, однако за организацию заступился суд. Дело в том, что декларацию нельзя не принять по ТКС, если она соответствует формат уп. 4 ст. 80 НК РФ . А раз она была принята, значит, блокировка незаконн аПостановление ФАС ЗСО от 21.06.2011 № А45-20993/2010 .
Справедливости ради отметим, что инспекторы и сами не придают значения информации о том, кто пользовался ЭП руководителя, если это в их интересах. Так, они приняли декларации, подписанные ЭП бывшего директора (хотя данные о прекращении его полномочий уже были внесены в ЕГРЮЛ), и исчислили на их основании недоимку, пени и штрафы. В процессе по делу о банкротстве этой организации конкурсный кредитор пытался исключить требования ИФНС из реестра, доказывая, что такие декларации недействительны, но суд ему отказа лПостановление ФАС УО от 04.08.2014 № Ф09-6411/12 . Не смог оспорить действия налоговиков и сам бывший директор, заявивший в суде о применении его ЭП другими лицами. Суд решил, что ИФНС обязана была принять декларации, подписанные действующей ЭПАпелляционное определение Судебной коллегии по гражданским судам Челябинского облсуда от 07.04.2014 № 11-3065/2014 .
Как видим, суды не рассматривали вопрос о правомерности использования ЭП директора другим сотрудником, а просто исходили из оснований отказа в приеме декларации. Как будет решаться вопрос, если налоговики также случайно (к примеру, из приказа о передаче полномочий) узнают о том, что ЭП главбуха при подписании электронных счетов-фактур применял другой сотрудник, сказать сложно. По крайней мере, возможность отказа в возмещении НДС вашим контрагентам исключать нельз япп. 2 , 6 ст. 169 НК РФ .
Нужен ли приказ о передаче ЭП
РАССКАЗЫВАЕМ РАБОТНИКУ
Ответственным за использование ЭП, оформленной на имя работника, всегда остается он сам, даже при наличии приказа о передаче права пользования ЭП другому лицу.
Во-первых, организация в принципе не вправе решать, кто будет пользоваться ЭП. Владельцем ЭП является физическое лицо. Просто когда ЭП оформлена для сотрудника компании, то пользователь электронного документа видит его ф. и. о., должность и название организаци ип. 3 ст. 14 Закона № 63-ФЗ . Таким образом, ЭП всегда персонифицирована и принимать решение о том, кому ее доверить, может только сам сотрудник - владелец ЭП.
Неперсонифицированную ЭП может получить только госорган для использования при оказании госуслуг. При этом сертификат ключа проверки ЭП оформляется на имя госоргана, а пользователи ЭП определяются его распорядительным акто мп. 3 ст. 14 Закона № 63-ФЗ .
Во-вторых, ответственность за использование ЭП лежит на ее владельце, независимо от оформления приказов, доверенностей или каких-либо других документов. Электронные документы, подписанные вашей ЭП, признаются равными бумажным документам, подписанным вами лично своей руко йп. 2 ст. 6 Закона № 63-ФЗ . И в случае, к примеру, несанкционированного списания денег со счета именно вам придется пережить неприятные моменты: вызов к следователю, представление объяснений и т. д.
ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ
“ Непосредственно за передачу ключа ЭП другому лицу ответственности нет. Могут быть последствия нарушения конфиденциальности - в зависимости от того, какой документ, кем и для чего подписан. При этом электронный документ, подписанный ключом ЭП, по умолчанию признается подписанным лицом, за которым «числится» этот ключ. Поэтому в случае недоразумений или конфликтов доказывать факт несанкционированного использования ключа придется именно этому лицу” .
Конечно, приказ подтверждает, что передачу ЭП одного сотрудника другому санкционировало руководство. Так что, с одной стороны, он нужен сотрудникам для подстраховки:
- владельцу ЭП - чтобы в случае чего претензий к нему не возникло у самой компании;
- временному пользователю ЭП - чтобы компания не обвинила его в том, что он использует чужую ЭП самовольно.
С другой стороны, расписываясь в таком приказе, владелец ЭП допускает нарушение конфиденциальности ключа. А по Закону это обязывает вас немедленно обратиться в удостоверяющий центр для прекращения действия сертификат ап. 6 ст. 17 Закона № 63-ФЗ . Так что лучше просто не доверять вашу ЭП никому.
Использование ЭП работниками предпринимателя
Свою электронную подпись нередко передают работникам в пользование и индивидуальные предприниматели. Это связано не только с отсутствием прямого запрета на передачу ЭП, но и с другими причинами. Вот некоторые из них.
Не урегулировано получение ЭП работниками предпринимателя
Отдельных правил по оформлению ЭП для работников предпринимателя в Законе нет. В результате создается впечатление, что физическое лицо может получить ЭП только какпп. 2, 3 ст. 14 Закона № 63-ФЗ :
- <или> обычный гражданин;
- <или> работник организации.
Тем не менее предприниматель вправе оформить ЭП своему работнику. Это нам подтвердили и специалисты.
ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ
“ Если индивидуальный предприниматель хочет оформить ЭП для своего работника, то ему нужно представить в удостоверяющий центр документы, подтверждающие право этого физического лица действовать от имени предпринимателя (доверенность, договор). Из документов должны следовать также ограничения использования такого сертификата (то есть объем полномочий, в рамках которого будет действовать физическое лицо - владелец сертификата). Указанная информация будет внесена в сертификат ключа проверки ЭПп. 2 ст. 14 Закона № 63-ФЗ ” .
Пресс-служба Минкомсвязи
ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ
“ В квалифицированный сертификат можно включать дополнительную информацию о владельце сертификат ап. 17 Приказа ФСБ от 27.12.2011 № 795 . Не запрещается включать и сведения о должности работника индивидуального предпринимателя. Важно, чтобы система электронного документооборота, с которой предполагается использовать сертификат с дополнительными реквизитами, смогла правильно этот сертификат воспринять и не посчитать ошибочным из-за «лишней» информации, а также показать соответствующее поле для сертификата физического лица. Эти подробности может подсказать разработчик конкретной системы. Включение информации в тот или иной сертификат обсуждается с удостоверяющим центром, который будет этот сертификат формироват ь” .
Ведущий разработчик программных продуктов компании «Бухсофт.ру»
Электронный счет-фактура, подписанный ЭП представителя предпринимателя, может повлечь отказ в вычете НДС
С 1 июля 2014 г. в НК были внесены поправки: представителям ИП разрешили подписывать счета-фактуры по доверенност ип. 6 ст. 169 , п. 3 ст. 29 НК РФ . Однако специальные нормы в отношении электронных счетов-фактур остались прежними: тут требуется усиленная квалифицированная подпись самого ИП.
Скорее всего, это просто очередная недоработка законодателя. Тем более что подзаконный акт допускает подписание электронных счетов-фактур по доверенности от ИПподп. «а» п. 2.1 Порядка, утв. Приказом Минфина от 25.04.2011 № 50н , а судебная практика и ранее была в этом вопросе на стороне предпринимател яп. 24 Постановления Пленума ВАС от 30.05.2014 № 33 . Но мало кому хочется судиться.
Резюмируя, можно сказать так: для организации и ИП безопасней, чтобы ЭП была у каждого сотрудника, которому необходимо ею пользоваться. Если этот вариант по каким-то причинам не годится, то можно сделать незаменимому сотруднику удаленный доступ к сервису электронного документооборота с тем, чтобы он мог подписать документ откуда угодно.
Для работника же (директора или бухгалтера) лучше не соглашаться на передачу права пользования своей ЭП другим лицам - не придется отвечать за чужие ошибки или за что похуже. Это все равно что оставить коллегам стопку чистых листов со своей подписью. Главное, помните - передавать ЭП без вашего согласия организация не имеет права.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Введение
Основные положения
Виды алгоритмов
Подделка подписей
Управление ключами
Получение электронно-цифровой подписи (ЭЦП)
Список использованной литературы
Введение
Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющей идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажений информации в электронном документе. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
· сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
· подтверждена подлинностью электронной цифровой подписи в электронном документе;
· электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
При этом электронной документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.
В скором будущем заключение договора будет возможно в электронной форме, который будет иметь такую же юридическую силу, как и письменный документ. Для этого он должен иметь механизм электронной цифровой подписи, подтверждаемый сертификатом. Владелец сертификата ключа подписи владеет закрытым ключом электронной цифровой подписи, что позволяет ему с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). Для того, чтобы электронный документ могли открыть и другие пользователи, разработана система открытого ключа электронной подписи.
Для того, чтобы иметь возможность скреплять электронный документ механизмом электронной цифровой подписи, необходимо обратиться в удостоверяющий центр за получением сертификата ключа подписи. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи.
Первый в России такой удостоверяющий центр запущен в сентябре 2002 г. российским НИИ развития общих сетей (РосНИИРОС). Удостоверяющий центр по закону должен подтверждать подлинность открытого ключа электронной цифровой подписи.
Основные положения
Общая суть электронной подписи заключается в следующем. С помощью криптографической хэш-функции вычисляется относительно короткая строка символов фиксированной длины (хэш). Затем этот хэш шифруется закрытым ключом владельца - результатом является подпись документа. Подпись прикладывается к документу, таким образом получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным.
При ведении деловой переписки, при заключении контрактов подпись ответственного лица является непременным атрибутом документа, преследующим несколько целей:
· гарантирование истинности письма путем сличения подписи с имеющимся образцом;
· Выполнение данных требований основывается на следующих свойствах подписи:
· подпись аутентична, то есть с ее помощью получателю документа можно доказать, что она принадлежит подписывающему;
· подпись неподделываема; то есть служит доказательством, что только тот человек, чей автограф стоит на документе, мог подписать данный документ, и никто иной;
· подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно;
· документ с подписью является неизменяемым;
· подпись неоспорима;
· любое лицо, владеющее образцом подписи может удостоверится, что документ подписан владельцем подписи.
Развитие современных средств безбумажного документооборота, средств электронных платежей немыслимо без развития средств доказательства подлинности и целостности документа. Таким средством является электронно-цифровая подпись (ЭЦП), которая сохранила основные свойства обычной подписи.
ь Хеш-функция или Хеширование (англ. hashing) -- преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Такие преобразования также называются функциями свёртки, а их результаты называют хешем, хеш-кодом или дайджестом сообщения (англ. message digest).
Виды алгоритмов
1. Симметричная схема
Симметричные схемы ЭП менее распространены чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи, основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятия ЭП Диффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощью блочного шифра. Асимметричные схемы цифровой подписи опираются на вычислительно сложные задачи, сложность которых еще не доказана, поэтому невозможно определить, будут ли эти схемы сломаны в ближайшее время, как это произошло со схемой, основанной на задаче об укладке ранца. Также для увеличения криптостойкости нужно увеличивать длину ключей, что приводит к необходимости переписывать программы, реализующие асимметричные схемы, и в некоторых случаях перепроектировать аппаратуру. Симметричные схемы основаны на хорошо изученных блочных шифрах.
В связи с этим симметричные схемы имеют следующие преимущества:
· Стойкость симметричных схем ЭП вытекает из стойкости используемых блочных шифров, надежность которых также хорошо изучена.
· Если стойкость шифра окажется недостаточной, его легко можно будет заменить на более стойкий с минимальными изменениями в реализации.
Однако у симметричных ЭП есть и ряд недостатков:
Нужно подписывать отдельно каждый бит передаваемой информации, что приводит к значительному увеличению подписи. Подпись может превосходить сообщение по размеру на два порядка. Сгенерированные для подписи ключи могут быть использованы только один раз, так как после прописывания раскрывается половина секретного ключа.
Из-за рассмотренных недостатков симметричная схема ЭЦП Диффи-Хелмана не применяется, а используется её модификация, разработанная Березиным и Дорошкевичем, в которой подписывается сразу группа из нескольких бит. Это приводит к уменьшению размеров подписи, но к увеличению объема вычислений. Для преодоления проблемы «одноразовости» ключей используется генерация отдельных ключей из главного ключа.
2. Асимметричная схема
Схема, поясняющая алгоритмы подписи и проверки. Асимметричные схемы ЭП относятся к криптосистемам с открытым ключом. В отличие от асимметричных алгоритмов шифрования, в которых зашифровывание производится с помощью открытого ключа, а расшифровывание -- с помощью закрытого, в схемах цифровой подписи подписание производится с применением закрытого ключа, а проверка -- с применением открытого.
Общепризнанная схема цифровой подписи охватывает три процесса:
· Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.
· Формирование подписи. Для заданного электронного документа с помощью закрытого ключа вычисляется подпись.
· Проверка (верификация) подписи. Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.
Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:
· Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.
· Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.
Следует отличать электронную цифровую подпись от кода аутентичности сообщения (MAC).
3. Виды асимметричных алгоритмов ЭП
Как было сказано выше, чтобы применение ЭП имело смысл, необходимо, чтобы вычисление легитимной подписи без знания закрытого ключа было вычислительно сложным процессом.
Обеспечение этого во всех асимметричных алгоритмах цифровой подписи опирается на следующие вычислительные задачи:
· Задачу дискретного логарифмирования (EGSA)
· Задачу факторизации, то есть разложения числа на простые множители (RSA)
Вычисления тоже могут производиться двумя способами: на базе математического аппарата эллиптических кривых (ГОСТ Р 34.10-2001) и на базе полей Галуа (DSA). В настоящее время самые быстрые алгоритмы дискретного логарифмирования и факторизации являются субэкспоненциальными. Принадлежность самих задач к классу NP-полных не доказана.
Алгоритмы ЭП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением документа. При верификации цифровых подписей с восстановлением документа тело документа восстанавливается автоматически, его не нужно прикреплять к подписи. Обычные цифровые подписи требуют присоединение документа к подписи. Ясно, что все алгоритмы, подписывающие хеш документа, относятся к обычным ЭП. К ЭП с восстановлением документа относится, в частности, RSA.
Схемы электронной подписи могут быть одноразовыми и многоразовыми. В одноразовых схемах после проверки подлинности подписи необходимо провести замену ключей, в многоразовых схемах это делать не требуется.
Также алгоритмы ЭП делятся на детерминированные и вероятностные. Детерминированные ЭП при одинаковых входных данных вычисляют одинаковую подпись. Реализация вероятностных алгоритмов более сложна, так как требует надежный источник энтропии, но при одинаковых входных данных подписи могут быть различны, что увеличивает криптостойкость. В настоящее время многие детерминированные схемы модифицированы в вероятностные.
В некоторых случаях, таких как потоковая передача данных, алгоритмы ЭП могут оказаться слишком медленными. В таких случаях применяется быстрая цифровая подпись. Ускорение подписи достигается алгоритмами с меньшим количеством модульных вычислений и переходом к принципиально другим методам расчета.
Подделка подписей
электронный цифровой подпись криптографический
Анализ возможностей подделки подписей называется криптоанализ. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют «атака».
1. Модели атак и их возможные результаты
В своей работе Гольдвассер, Микали и Ривест описывают следующие модели атак, которые актуальны и в настоящее время:
· Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.
· Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.
· Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.
Также в работе описана классификация возможных результатов атак:
· Полный взлом цифровой подписи. Получение закрытого ключа, что означает полный взлом алгоритма.
· Универсальная подделка цифровой подписи. Нахождение алгоритма, аналогичного алгоритму подписи, что позволяет подделывать подписи для любого электронного документа.
· Выборочная подделка цифровой подписи. Возможность подделывать подписи для документов, выбранных криптоаналитиком.
· Экзистенциальная подделка цифровой подписи. Возможность получения допустимой подписи для какого-то документа, не выбираемого криптоаналитиком.
Ясно, что самой «опасной» атакой является адаптивная атака на основе выбранных сообщений, и при анализе алгоритмов ЭП на криптостойкость нужно рассматривать именно её (если нет каких-либо особых условий).
При безошибочной реализации современных алгоритмов ЭП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭП построена. Гораздо более вероятен поиск криптоаналитиком коллизий первого и второго рода. Коллизия первого рода эквивалентна экзистенциальной подделке, а коллизия второго рода -- выборочной. С учетом применения хеш-функций, нахождение коллизий для алгоритма подписи эквивалентно нахождению коллизий для самих хеш-функций.
1. Подделка документа (коллизия первого рода)
Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:
Документ представляет из себя осмысленный текст. Текст документа оформлен по установленной форме. Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML. Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:
· Случайный набор байт должен подойти под сложно структурированный формат файла.
· То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
· Текст должен быть осмысленным, грамотным и соответствующим теме документа.
Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.
Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма -- килобайты.
2. Получение двух документов с одинаковой подписью (коллизия второго рода)
Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования MD5.
3. Социальные атаки
Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключами.
Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.
Основная идея «слепых подписей» заключается в следующем. Отправитель А посылает документ стороне В, который В подписывает и возвращает А. Используя полученную подпись, сторона А может вычислить подпись стороны В на более важном для себя сообщении t. По завершении этого протокола сторона В ничего не знает ни о сообщении t, ни о подписи под этим сообщением.
Эту схему можно сравнить с конвертом, в котором размещён документ и копировальный лист. Если подписать конверт, то подпись отпечатается на документе, и при вскрытии конверта документ уже будет подписан.
Цель слепой подписи состоит в том, чтобы воспрепятствовать подписывающему лицу В ознакомиться с сообщением стороны А, которое он подписывает, и с соответствующей подписью под этим сообщением. Поэтому в дальнейшем подписанное сообщение невозможно связать со стороной А.
Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.
Использование протоколов обмена ключами и защита закрытого ключа от несанкционированного доступа позволяет снизить опасность социальных атак.
Управление ключами
1. Управление открытыми ключами
Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации.
Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.
Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.
2. Хранение закрытого ключа
Смарт-карта и USB-брелоки eToken.
Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищенность ключа полностью зависит от защищенности компьютера, и пользователь может подписывать документы только на этом компьютере.
В настоящее время существуют следующие устройства хранения закрытого ключа:
§ Дискеты
§ Смарт-карты
§ USB-брелоки
§ Таблетки Touch-Memory
Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван.
Наиболее защищенный способ хранения закрытого ключа -- хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хэш передается в карту, её процессор осуществляет подписание хэша и передает подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты сложнее, чем с других устройств хранения.
В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несет сам.
Получение электронно - цифровой подписи (ЭЦП)
ЭЦП выдается специальными организациями -- удостоверяющими центрами (УЦ), имеющими соответствующие лицензии ФСБ РФ. Процесс выдачи ЭЦП представляет собой проверку документов получателя ЭЦП (иначе говоря, идентификацию предполагаемого владельца ключа), генерацию пары ключей (открытого ключа, на который выпускается сертификат ЭЦП и который будет виден всем участникам документооборота, и закрытого ключа, известного только владельцу ЭЦП) и выпуск удостоверяющим центром сертификата открытого ключа в бумажном и электронном виде.
Бумажный сертификат заверяется печатью УЦ и подписывается уполномоченным лицом УЦ, а электронный сертификат (как правило, представляющий собой файл с расширением.cer) подписывается уполномоченным лицом УЦ с помощью собственной ЭЦП.
После этого сертификат и ключевая пара записываются на ключевой носитель. В качестве ключевого носителя лучше всего использовать защищенные носители типа ruToken или eToken, представляющие собой флеш-устройства с интегрированными в них средствами обеспечения безопасности и конфиденциальности (требование введения пин-кода, невозможность удаления или копирования ключевой пары). Внимание -- закрытый ключ является секретной информацией владельца ЭЦП и не должен никому передаваться. Рекомендуется крайне внимательно относиться к ключевому носителю, не оставлять его без присмотра и не передавать третьим лицам.
Для работы с ЭЦП необходимо установить на компьютер специальное программное обеспечение -- криптопровайдер. Как правило, криптопровайдер можно приобрести в удостоверяющем центре вместе с ЭЦП. Наиболее распространенными криптопровайдерами являются программы производства ООО «Лисси» (криптопровайдер «Lissi CSP») и ООО «Крипто-Про» (криптопровайдер «CryptoPro CSP»). После установки криптопровайдера необходимо вставить в компьютер ключевой носитель, после чего появляется возможность подписания документов.
Сертификат ЭЦП выпускается на конкретное физическое лицо, являющееся сотрудником организации Участника размещения заказа. Необходимо получить ЭЦП на сотрудника, уполномоченного на получение аккредитации на электронной площадке от имени Участника размещения заказа, и на сотрудников, уполномоченных на осуществление действий от имени Участника размещения заказа по участию в открытых аукционах в электронной форме (в том числе на регистрацию на открытых аукционах и на подписание государственного контракта).
Можно получить ЭЦП только на одного сотрудника при условии, что этот сотрудник уполномочен осуществлять все перечисленные действия от имени Участника размещения заказа. Таким сотрудником может быть, например, руководитель организации Участника размещения заказа или лицо, имеющее соответствующую доверенность. При этом все документы, подтверждающие полномочия таких сотрудников, предоставляются оператору при получении аккредитации на электронной торговой площадке.
Список использованной литературы
1. Статьи сайта «безопасность информационных систем» http://infobez.com/
2. Материал из Википедии -- свободной энциклопедии http://ru.wikipedia.org/wiki/%D0%AD%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%86%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%BF%D0%B8%D1%81%D1%8C#.D0.9F.D0.BE.D0.B4.D0.B4.D0.B5.D0.BB.D0.BA.D0.B0_.D0.BF.D0.BE.D0.B4.D0.BF.D0.B8.D1.81.D0.B5.D0.B9
3. Данные сайта компании «Электронные офисные системы» http://www.eos.ru/eos_products/eos_karma/
4. Материал из Википедии -- свободной энциклопедии http://ru.wikipedia.org/wiki/%D0%A5%D0%B5%D1%88%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5
5. Данные сайта компании «Крипто - про» http://cryptopro.ru/products/csp/overview
6. Данные сайта Тендер - закупки http://tender-zakupki.ru/ecp.html
Размещено на Allbest.ru
Подобные документы
Назначение электронной цифровой подписи как реквизита электронного документа, предназначенного для его защиты с помощью криптографического ключа. Асимметричные алгоритмы шифрования и атаки на электронную подпись. Средства работы с цифровой подписью.
реферат , добавлен 09.10.2014
Назначение и применение электронной цифровой подписи, история ее возникновения и основные признаки. Виды электронных подписей в Российской Федерации. Перечень алгоритмов электронной подписи. Подделка подписей, управление открытыми и закрытыми ключами.
курсовая работа , добавлен 13.12.2012
Правовое регулирование отношений в области использования электронной цифровой подписи. Понятие и сущность электронной цифровой подписи как электронного аналога собственноручной подписи, условия ее использования. Признаки и функции электронного документа.
контрольная работа , добавлен 30.09.2013
Понятие, история создания электронной цифровой подписи. Ее разновидности и сфера применения. Использование ЭЦП в России и в других странах, ее алгоритмы и управление ключами. Способы ее подделки. Модели атак и их возможные результаты. Социальные атаки.
реферат , добавлен 15.12.2013
Назначение и особенности применения электронной цифровой подписи, история ее возникновения, алгоритмы, схемы. Использование хэш-функций. Подделка подписей, модели атак и их возможные результаты. Управление ключами открытого типа. Хранение закрытого ключа.
презентация , добавлен 18.05.2017
Изучение истории развития электронной цифровой подписи. Исследование её назначения, принципов работы, основных функций. Виды электронных подписей в Российской Федерации. Асимметричные алгоритмы подписей. Использование хеш-функций. Управление ключами.
реферат , добавлен 04.06.2014
Сфера правоотношений по применению электронной подписи в новом федеральном законе. Шифрование электронного документа на основе симметричных алгоритмов. Формирование цифровой подписи, схема процесса проверки, ее равнозначность бумажным документам.
курсовая работа , добавлен 12.11.2013
Назначение электронной цифровой подписи. Использование хеш-функций. Симметричная и асимметричная схема. Виды асимметричных алгоритмов электронной подписи. Создание закрытого ключа и получение сертификата. Особенности электронного документооборота.
реферат , добавлен 20.12.2011
Общая схема цифровой подписи. Особенности криптографической системы с открытым ключом, этапы шифровки. Основные функции электронной цифровой подписи, ее преимущества и недостатки. Управление ключами от ЭЦП. Использование ЭЦП в России и других странах.
курсовая работа , добавлен 27.02.2011
Схема формирования электронной цифровой подписи, её виды, методы построения и функции. Атаки на электронную цифровую подпись и правовое регулирование в России. Средства работы с электронной цифровой подписью, наиболее известные пакеты и их преимущества.
