Средства работы с электронной цифровой подписью

         Отметка точного времени с помощью программно-технического комплекса ЦСК синхронизируется со Всемирным координированным временем (UTC) и проставляется с точностью до одной секунды.

         В обычном документообороте документ считается таковым, если есть дата его регистрации. При электронном документообороте дата становится одним из важнейших реквизитов. Допустим, что любой электронный документ, выходящий за пределы какой-либо замкнутой системы перед отправлением его в канал связи регистрируется и маркируется специальным атрибутом, в котором содержится точное время его отправки и сведения о том сервере, откуда он отправлен. Время прохождения сигнала электронного документа по каналам практически всегда заранее известно. Поэтому, получив сообщение с временной меткой всегда можно сверить время его прохождения. Если имеются различия во времени, например, задержка в его получении, то приемный сервер всегда может запросить у передающего подтверждение отправки документа. Если же сообщение, полученное после подтверждения, не совпадает с первоначально полученным, то можно с уверенностью говорить о несанкционированном вмешательстве.

3.6. Электронно-цифровой автограф.

        Самым существенным отличием автографа от факсимиле, является то, что факсимиле может существовать отдельно от подписанта, а автограф - нет. Все упирается в то, что при формировании последнего используется биометрические параметры самого человека (нажим, скорость письма, характерные росчерки и пр.), а факсимиле может ставить и автомат. Следует заметить, что электронно-цифровая подпись это не оцифрованный образ рукописной подписи, а результат математических преобразований, выполненных в соответствии с конкретным алгоритмом, свойства и результаты исполнения которого заранее определены и доказаны.

       Существует целый ряд методов, позволяющих сочень высокой степенью достоверности обеспечить привязку электронно-цифровой подписи к подписанту. Примером может служить технология цифровой обработки папиллярного узора отпечатка пальца, радужной оболочки глаза, автографа и других биометрических параметров. Только в этом случае можно говорить, что электронно-цифровая подпись стала аналогом автографа.

         Проблема отделимости электронно-цифровой подписи от подписанта или, что в принципе одно и то же, проблема сохранности «секретного ключа» может быть решена путем жесткой привязки процесса формирования и использования «секретного ключа» к какому-либо биометрическому параметру человека. Такая привязка должна обеспечить надежное закрытие собственно «секретного ключа» и включение образа биометрического параметра в состав электронного документа.

        Решение проблемы отделимости электронно-цифровой подписи играет важную роль для юридической поддержки обеспечения электронного документооборота. Вместе с тем необходимо отметить, что спрос на такие системы будет только в случае наличия достаточно дешевых аппаратных средств. Такая система, на наш взгляд, представляет собой программно-аппаратный комплекс, обеспечивающий защиту «секретного ключа» и его гарантированную привязку к владельцу, а также защиту от несанкционированного доступа к процессу подписания электронного документа на основе одного или нескольких биометрических параметров.

       Система должна обеспечить решение следующих основных задач:

• формирование собственно электронно-цифровой подписи;
• распознавание образа, созданного на основе биометрического параметра;
• включение этого параметра в электронный документ;
• закрытие «секретного ключа» на основе образа биометрического параметра;
• возможность совместного использования традиционного пароля и образа биометрического параметра;
• ведение базы данных биометрических параметров;
• обработку сообщения у получателя;
• обеспечение традиционных методов защиты от НСД к информации.

      Целесообразно было бы, чтобы такие комплексы дополняли уже созданные и активно применяемые системы защиты информации и формирования Электронной цифровой подписи. Это позволит получить комплексную систему защиты для создания различных автоматизированных рабочих мест систем электронного документооборота.

      Существующие стандарты, применяемые в электронных документообороте и торговле, к сожалению, не охватывают эту проблему, утверждая, что она выходит за рамки стандарта. С другой стороны, это позволяет разработчикам систем защиты информации начать активное применение таких способов формирования аналогов собственноручной подписи.

3.7. Электронно-цифровая подпись в системах электронного документооборота (СЭД).

      В последнее время электронно-цифровая подпись (ЭЦП) получает все большее распространение в отечественных корпоративных информационных системах. Однако однобокое, как правило, техническое освещение вопросов применения ЭЦП не позволяет увидеть картину в целом, в силу чего возникла необходимость рассмотреть эту область «с высоты птичьего полета». Не вдаваясь в детали, интересные только специалистам, рассмотрим, что позволяет и чего не позволяет реализовать ЭЦП и каково применение ЭЦП в системах электронного документооборота (СЭД), потребность в которых сегодня ощущается все сильнее.

     По общему мнению, собственноручная подпись на бумажном документе решает следующие задачи:

• убедить читателя в том, что человек, подписавший документ, сделал это сознательно (подпись достоверна);
• äîêàçàòü, ÷òî èìåííî ýòîò ÷åëîâåê, è íèêòî äðóãîé, ñîçíàòåëüíî ïîäïèñàë äîêóìåíò (ïîäïèñü íåïîääåëüíà);
• áóäó÷è ÷àñòüþ äîêóìåíòà, çàùèòèòü åå îò ìîøåííè÷åñêîãî ïåðåíîñà â äðóãîé äîêóìåíò (ïîäïèñü íåâîçìîæíî èñïîëüçîâàòü ïîâòîðíî);
• çàùèòèòü è ñàì äîêóìåíò (ïîäïèñàííûé äîêóìåíò íåâîçìîæíî èçìåíèòü);
• îáåñïå÷èòü ìàòåðèàëüíîñòü ïîäïèñè è äîêóìåíòà, ãàðàíòèðóþùóþ, ÷òî ÷åëîâåê, ïîäïèñàâøèé äîêóìåíò, íå ñìîæåò óòâåðæäàòü âïîñëåäñòâèè, ÷òî äîêóìåíò ïîäïèñàí íå èì (îò ïîäïèñè íåëüçÿ îòêàçàòüñÿ).

     Однако, как показывает практика, собственноручная подпись на бумажном документе по самой своей природе оставляет лазейки для мошенников. Недаром для затруднения их действий на бланки документов наносят специальные защитные знаки, применяют нумерацию и скрепление листов, а кроме того, наряду с самой подписью используют собственноручное написание фамилии, имени, отчества на документе и т. п. Одним словом, при всех ее достоинствах собственноручная подпись обладает и целым рядом недостатков.

     Как результат проникновения компьютерных технологий во все сферы человеческой деятельности возникла потребность реализовать аналог собственноручной подписи человека в электронном виде. Эта задача была успешно решена. В основе решения лежат разработанные в середине 1970-х гг. криптографические алгоритмы с открытым ключом, которые базируются на сложном математическом аппарате.

При этом ЭЦП устранила большинство проблем, свойственных подписи на бумажном документе, и обеспечила электронному документу следующие важнейшие характеристики:

• подлинность - подтверждение авторства документа;
• öåëîñòíîñòü - äîêóìåíò íå ìîæåò áûòü èçìåíåí ïîñëå ïîäïèñàíèÿ;
• неотрицание авторства (неотрекаемость) - автор впоследствии не сможет отказаться от своей подписи.

      Наиболее широкое применение сегодня ЭЦП находит в документационном обеспечении управления (ДОУ), в платежных системах, электронной торговле и бухгалтерии. Из перечисленных направлений наиболее востребованной и сложной является задача автоматизации ДОУ организаций - главная цель создания систем электронного документооборота (СЭД).

     Под использованием ЭЦП, имея в виду две основные его схемы, понимается:

• подписание электронного сообщения при его передаче и проверка подписи

отправителя после получения, то есть защищенная передача документа. Часто подобную схему воспринимают как юридически значимый документооборот, что является глубоким заблуждением. Защита электронного сообщения посредством ЭЦП - вещь, безусловно, полезная и нужная, но для обеспечения полноценного документооборота совершенно недостаточная;

• использование ЭЦП во всем жизненном цикле электронного документа - при его

создании, согласовании, утверждении, ознакомлении с ним и т. д. Только в том случае, когда автоматизируется полный жизненный цикл документа и ЭЦП является его неотъемлемой частью, можно говорить об использовании полноценной, т. е. юридически значимой системы электронного документооборота.

3.8. Действующие лица и исполнители.

Как следует из вышеизложенного, ЭЦП -- это аналог собственноручной подписи человека, применяемый в электронных документах. ЭЦП создается с помощью закрытого ключа - уникальной последовательности символов, которая известна его владельцу и предназначена для создания ЭЦП в электронных документах с использованием соответствующих средств.

     Получатели электронного документа, подписанного ЭЦП, имеют возможность проверить действительность подписи посредством открытого ключа и убедиться в том, что документ подлинный, а ЭЦП принадлежит именно тому лицу, которое в нем указано. Открытый ключ  - это уникальная последовательность символов, которая математически связана с закрытым ключом ЭЦП. Открытый и закрытый ключи образуют так называемую ключевую пару.

     Открытый ключ доступен любому пользователю информационной системы в составе сертификата ключа. Сертификат ключа является аналогом документа, удостоверяющего личность (например, паспорта). Это документ на бумажном носителе либо электронный документ с ЭЦП уполномоченного лица (сотрудника) удостоверяющего центра.       Сертификат ключа помимо открытого ключа ЭЦП содержит идентификационные данные владельца. Сертификат передается пользователю СЭД и выполняет две задачи: подтверждает подлинность ЭЦП и идентифицирует владельца сертификата ключа подписи.

      И в том, и в другом случае используются средства электронно-цифровой подписи  - программно-аппаратный комплекс, обеспечивающий реализацию хотя бы одной из следующих функций: создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП; подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе; создание закрытых и открытых ключей ЭЦП.

    Аналогом третейского судьи, которому доверяют все участники документооборота, является удостоверяющий центр -- организационная структура, осуществляющая деятельность по управлению сертификатами ключей и поддержке их использования в различных подсистемах корпоративной информационной системы. Удостоверяющий центр может быть внешней организацией или подразделением той или иной компании.

Еще один участник процесса -- криптопровайдер. Это программный или аппаратно-программный модуль, реализующий один или несколько криптографических алгоритмов и предоставляющий свои функции внешним системам.

      Аналогом даты на бумажном документе, которую собственноручно проставляет лицо, подписывающее документ, является штамп времени. Речь идет о свидетельстве третьей доверенной стороны -- организационной единицы, носящей название службы штампов времени. СЭД передает туда так называемое хеш-сообщение, которое получается в результате криптографического преобразования документа. На это сообщение служба ставит штамп (средствами своего программно-аппаратного обеспечения), удостоверяющий, что электронный документ существовал на данный момент времени. В результате к хеш-сообщению добавляется значение, указывающее, когда службой штампов времени был получен запрос на проставление штампа времени. Проставляемое значение служба штампов времени подписывает собственной ЭЦП и возвращает документ обратно в СЭД.

    Совокупность аппаратно-программного обеспечения, а также персонала, политик и процедур, необходимых для создания, хранения, распределения, управления жизненным циклом и использования сертификатов открытых и связанных закрытых ключей называется инфраструктурой открытых ключей (ИОК).

     Выбирая СЭД с поддержкой ЭЦП, следует обратить внимание на особенности реализации выбранной системы. Рассмотрим ключевые аспекты, которые необходимо учитывать.

     Во многих СЭД в качестве электронного документа рассматривается файл какого-либо типа (например, Microsoft Word или Adobe Acrobat), прилагаемый к регистрационной карточке. Хотелось бы обратить внимание на одно обстоятельство: подписание просто файлов (содержательной части документов) не представляет большого интереса для организации. Строго говоря, не вся информация в документе является «неструктурированной», документ кроме содержательной части содержит реквизиты, которые можно и нужно выделять в отдельную структуру, чтобы в дальнейшем осуществлять по ним поиск и классификацию документов. Во многих ситуациях полезно подписывать не только содержание, но и форму. В этом случае можно отображать на экране компьютера и распечатывать электронный документ в том виде, в котором он был подписан, что позволит избежать всяческих конфликтных ситуаций.

3.9. Делегирование полномочий.

      Отдельный вопрос  - делегирование должностных полномочий одного пользователя системы другому. Очень часто руководители передают свое право подписания электронного документа доверенному лицу, при этом параллельно подписывают бумажный экземпляр документа, который в данном случае и является оригиналом. Вопрос не простой. Следует получить квалифицированную консультацию у юриста, в каких случаях делегирование допустимо и не противоречит действующему законодательству и каким образом этот факт должен быть оформлен документально. Просто передавать другому сотруднику свой закрытый ключ для создания ЭЦП недопустимо, поскольку такая ситуация трактуется как компрометация ключа, а следовательно, полученная под документом ЭЦП не является легитимной.