Традиционным инструментом подтверждения воли человека была его собственноручная подпись. Требования экономики и развитие технологий привело к созданию и применению различных аналогов собственноручной подписи (АСП). На сегодняшний день используется большой набор различных АСП - факсимильные подписи, PIN коды, биометрические (например, оттиск большого пальца правой руки, и т. д. В том числе широко используются системы цифровой подписи (ЦП), технологии которых разнообразны.
Среди всех возможных технологий ЦП выбрана одна, строго определенная в Федеральном законе «Об электронной цифровой подписи» (далее - Закон об электронной цифровой подписи), принятом в 2002 г. и названная электронной цифровой подписью (ЭЦП).
Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Таким образом, цифровая подпись (ЦП - устоявшийся международный термин digital signature) является частным случаем аналога собственноручной подписи (АСП). В свою очередь, электронная цифровая подпись (ЭЦП) является частным случаем цифровой подписи (ЦП).
Следует отметить, что ЭЦП не обеспечивает конфиденциальность электронного документа. Эту задачу решает шифрование, которое, в свою очередь, никакого отношения к обеспечению юридической значимости документа не имеет. В случае совместного использова ния ЭЦП и шифрования нужно учитывать, что для того, чтобы ЭЦП была юридически значимой, пользователь должен видеть и понимать, что он подписывает. Поэтому необходимо вначале создать ЭЦП, а уж затем зашифровать документ, который перед проверкой подписи должен быть расшифрован.
До принятия Закона об электронной цифровой подписи в соответствие с Гражданским кодексом Российской Федерации (ГК РФ) порядок использования АСП определяется соглашением сторон. По этой схеме действовали и продолжают действовать до настоящего времени все системы с использованием цифровой подписи (ЦП), которая в соглашении сторон признается АСП.
Закон об электронной цифровой подписи дает возможность вступать в полноправные гражданско-правовые отношения с использованием ЭЦП в качестве АСП без предварительного заключения соглашения сторон. Электронный документ, заверенный ЭЦП, допускается в арбитражный процесс в качестве письменного доказательства. Федеральный закон «Об информации, информатизации и защите информации» рассматривает ЭЦП как самостоятельный реквизит, который закрепляет за «документом, полученным из автоматизированной информационной системы», правовой статус документа.
15 января 2007 г. Минфин России и Росказна выпустили совместное письмо от 25 декабря 2006 г. № 02-14-11/3981, 42-7.1-15/5.1-516, в котором говорится, что при использовании электронных платежных документов и электронной цифровой подписи (ЭЦП), карточка с образцами подписей уполномоченных лиц не требуется. Если платежный документ подается в электронном виде, подписанный ЭЦП, то для проверки подлинности подписи используют не карточку образцов, а выданный в установленном порядке уполномоченному лицу организации сертификат ЭЦП. При положительном результате аутентификации ЭЦП и соответствующего сертификата документ признается подписанным надлежащим образом. То же самое касается и документов, заверенных несколькими ЭЦП. Каждая электронная подпись должна соответствовать своему сертификату.
ГК РФ и Арбитражный процессуальный кодекс РФ (АПК РФ), говоря об ЭЦП как об аналоге собственноручной подписи, тем не менее не допускают юридического отождествления ЭЦП с собственноручной подписью человека на бумажном документе. Они лишь закрепляют одинаковый правовой статус электронного и традиционного письменного документа.
Механизм выполнения собственноручной физической подписи непосредственно обусловлен психофизиологическими характерис тиками организма человека, в силу чего эта подпись неразрывно связана с биологической личностью подписывающего. Собственноручная подпись позволяет установить (идентифицировать) конкретного человека по признакам почерка.
ЭЦП, являясь криптографическим средством, не может рассматриваться в качестве свойства, присущего непосредственно владельцу ЭЦП как биологической личности. Между ЭЦП и человеком, ее поставившим, закон рассматривает в качестве такового владельца сертификата ключа, существует взаимосвязь не биологического, а социального характера. Возникновение, существование и прекращение данной связи обусловлено совокупностью различных правовых, организационных и технических факторов.
Отождествление человека по собственноручной подписи и подтверждение на этой основе подлинности документа, которой он заверен, достигается путем проведения судебно-почерковедческой экспертизы, решающей данную идентификационную задачу.
Определение подлинности ЭЦП, согласно ст. 3 Закона об электронной цифровой подписи под этим понимается техническая процедура, свидетельствует только о знании лицом, ее поставившим, закрытого ключа ЭЦП. Для того чтобы установить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо выяснить помимо подлинности ЭЦП и сопутствующие обстоятельства.
Как следует из закона, понятие ЭЦП неразрывно связывается с понятиями электронного документа, криптографического преобразования, и сертификата ключа.
Таким образом, к системам ЭЦП относятся только системы подтверждения подлинности электронных документов с использованием сертификатов и основанных на криптографических преобразованиях. Использование ЭЦП, согласно закону, возможно только для электронных документов и не распространяется на применение ЭЦП к другим типам документов.
Принято считать, что электронный документ должен иметь следующие реквизиты:
• обозначение и наименование документа;
• даты создания, утверждения и последнего изменения;
• сведения о создателях;
• сведения о защите электронного документа;
• сведения о средствах электронной цифровой подписи или средствах хэширования, необходимых для проверки электронной цифровой подписи или контрольной характеристики данного электронного документа;
• сведения о технических и программных средствах, необходимых для воспроизведения электронного документа;
• сведения о составе электронного документа.
Криптографическое преобразование - процедура преобразования информации с помощью СКЗИ (средства криптографической защиты информации) - комплекса аппаратно-программных средств, обеспечивающих защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.
В Законе об электронной цифровой подписи дано определение сертификата ключа для электронной цифровой подписи.
Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра (УЦ), которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Сертификат ключа подписи является документом, который выдается участнику электронного документооборота удостоверяющим центром. Данный документ содержит: установочные данные владельца сертификата ключа подписи; описание средств ЭЦП, отношений, в которых используется ЭЦП; период времени использования ЭЦП; сведения об удостоверяющем центре, выдавшем данный сертификат, а также открытый ключ ЭЦП.
Сертификат ключа подписи является ее своеобразным паспортом. При отсутствии сертификата у участников электронного документооборота применение ЭЦП невозможно.
Удостоверяющий центр (Certification authority, СА) - это. организация, которая выпускает сертификаты ключей электронной цифровой подписи отвечает за управление криптографическими ключами пользователей.
Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов, имеющих следующую структуру:
• порядковый номер сертификата;
• идентификатор алгоритма электронной подписи;
• имя удостоверяющего центра;
• срок годности;
• имя владельца сертификата;
• открытые ключи владельца сертификата (ключей может быть несколько);
• идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
• электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра Сертификаты не содержат в себе никакой конфиденциальной информации, могут распространяться в открытом виде по сетям передачи данных или присоединяться к подписываемым данным.
Сейчас в России на рынке услуг по ЭЦП около 200 действующих удостоверяющих центров (УЦ). Они зарабатывают на продаже сертификатов и ежегодном абонентском обслуживании и позволяют на законных основаниях использовать электронную цифровую подпись.
Работа удостоверяющего центра похожа на деятельность нотариуса, он сконцентрирован на выпуске и обслуживании сертификатов. Для него обязательны лицензии на обслуживание, распространение криптосредств.
Удостоверяющий центр в идеале не должен заниматься и продажей сертификатов ЭЦП. Для этого разворачивается сеть регистрационных центров. Особенность выдачи сертификата ЭЦП как услуги заключается в том, что потребитель должен представить определенный пакет документов в подлиннике, поскольку необходимо удостовериться, что человек, желающий получить подпись, - именно тот, за кого себя выдает. Процедура получения ЭЦП по важности и ответственности сравнима с выдачей паспорта. Поэтому удостоверяющий центр должен иметь представительства, точки, куда можно прийти и предъявить документы на получение ЭЦП. По расчетам, регистрационный центр должен приходиться на каждые 100 тыс. жителей.
Регистрационные центры после проверки документов подают заявку на выдачу ЭЦП в УЦ, подтверждая заявку собственной подписью. Регистрационные центры не выполняют работ, связанных с лицензируемой деятельностью.
По мнению специалистов, инвестиции в создание УЦ - 50- 100 тыс. долл., примерно 50% стоит его поддержание в течение года, кроме того, оплата разработчика ПО - не менее трети всех отчислений. Сам сертификат стоит около 20 долл., ежегодная абонентская плата - столько же. Таким образом, на точку безубыточности УЦ выходят, когда будет собрано около 5 тыс. пользователей, а окупить затраты - за 3-5 лет.
Регистрационный центр, как правило, получает половину от прибыли с каждой продажи сертификата.
Средства ЦП, построенные без использования системы сертификатов ключа подписи, а именно такие системы в большинстве используют потребители в РФ не являются системами ЭЦП, с точки зрения определения закона.
Системы с использованием сертификатов, но без создания удостоверяющих центров, а также системы в которых подписи зарегистрированы на юридическое лицо, с точки зрения рассматриваемого закона относятся к иным аналогам собственноручной подписи и законом не регулируются.
К системам ЭЦП не относятся системы в которых АСП, в том числе ЦП используются для подписи данных, не являющихся электронными документами.
Работа с ЭЦП включает три этапа:
1. Подготовка ключей 2. Подписывание документа 3. Проверка подлинности подписи на документе Подготовка ключей. ЭЦП реализуется с помощью системы с открытым ключом. Данная система подразумевает использование ключевой парой, состоящей из: открытого ключа и секретного ключа.
Секретный ключ (Private key) - ключ, известный только своему владельцу, представляет собой индивидуальное число, которое порождается при помощи генератора случайных чисел и сохраняется пользователем в секрете все время его действия.
Открытый ключ (Public key) - ключ, доступный всем пользователям системы, он по известному алгоритму вычисляется из индивидуального закрытого ключа и предоставляется всем, кому это необходимо для проверки подлинности цифровой подписи.
Главное свойство ключевой пары: по секретному ключу легко вычисляется открытый ключ, но по известному открытому ключу практически невозможно вычислить секретный. В алгоритмах ЭЦП подпись обычно ставится на секретном ключе пользователя, а проверяется на открытом. Таким образом, любой может проверить, действительно ли данный пользователь поставил данную подпись. Тем самым асимметричные алгоритмы обеспечивают не только целостность информации, но и ее аутентичность.
Ключевая пара может быть сгенерирована с помощью специальной программы подготовки ключей ЭЦП, установленной на соответствующем аппаратно-техническом комплексе в УЦ, при этом открытый ключ регистрируется, вносится в сертификат и выдается пользователю. Секретный ключ нигде не регистрируется и выдается пользователю. Возможна генерация ключевой пары самим пользова телем, при этом в УЦ направляется для регистрации и выдачи сертификата только открытый ключ.
Подписывание документа. В формирования подписи используется закрытый ключ пользователя. ЭЦП представляет собой математическую функцию от содержимого подписываемых данных и секретного ключа, вычисляемую по стандартизованному алгоритму, предусмотренному ГОСТ 34.10-2002.
В результате вычисления формируется пара чисел - префикс и суффикс электронно-цифровой подписи. Байтовые представления полученных чисел, записанные друг за другом, объявляются цифровой подписью.
Проверка подлинности подписи на документе. Для проверки подлинности подписей должны использоваться открытые ключи, которыми участники процесса совместной работы с данными должны обменяться друг с другом. Одним из возможных решений является использование сертификатов ключа.
Процедура проверки подлинности подписи включает в себя следующую последовательность шагов. Сначала из ЭЦП подписи выделяются ее префикс и суффикс. Затем с использованием специальной математической процедуры и открытого ключа вычисляется значение, которое должно быть префиксом ЭЦП. Затем оба полученных значения сравниваются. Если они совпадают, то данные считаются подлинными. Если полученные значения не совпадают, подпись считается недействительной.
Таким образом, для проверки подписи необходим открытый ключ или его сертификат. Использование сертификата предпочтительнее, поскольку он содержит не только открытый ключ, но и данные о владельце.
При использовании в качестве формы представления информации электронного документа в него помимо ЭЦП необходимо включить сертификат, поскольку в противном случае идентификация автора будет затруднена. Соответственно, корректно оформленный электронный документ должен содержать, помимо содержательной части, заголовок, одну или несколько ЭЦП и соответствующее число сертификатов.
⇐Cals-технологии | Информационные системы и технологии | Общий обзор технологий бесконтактной идентификации⇒