Электронный документ и электронная подпись

 

 

Введение

 

Электронная цифровая подпись – реквизит электронного документа, предназначенный для  защиты данного электронного документа  от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа  электронной цифровой подписи и  позволяющей идентифицировать владельца  сертификата ключа подписи, а  также установить отсутствие искажений  информации в электронном документе. Электронная цифровая подпись в  электронном документе равнозначна  собственноручной подписи в документе  на бумажном носителе при одновременном  соблюдении следующих условий:

• ·сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
• ·подтверждена подлинностью электронной цифровой подписи в электронном документе;
• ·электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

При этом электронной  документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных  в сертификате ключа подписи.

В скором будущем  заключение договора будет возможно в электронной форме, который  будет иметь такую же юридическую  силу, как и письменный документ. Для этого он должен иметь механизм электронной цифровой подписи, подтверждаемый сертификатом. Владелец сертификата  ключа подписи владеет закрытым ключом электронной цифровой подписи, что позволяет ему с помощью  средств электронной цифровой подписи  создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). Для того, чтобы электронный документ могли открыть и другие пользователи, разработана система открытого ключа электронной подписи.

Для того, чтобы иметь возможность скреплять электронный документ механизмом электронной цифровой подписи, необходимо обратиться в удостоверяющий центр за получением сертификата ключа подписи. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи. Первый в России такой удостоверяющий центр запущен в сентябре 2002 г. российским НИИ развития общих сетей (РосНИИРОС). Удостоверяющий центр по закону должен подтверждать подлинность открытого ключа электронной цифровой подписи.

 

1. Основные положения

 

Общая суть электронной подписи заключается  в следующем. С помощью криптографической  хэш-функции вычисляется относительно короткая строка символов фиксированной  длины (хэш). Затем этот хэш шифруется закрытым ключом владельца - результатом является подпись документа. Подпись прикладывается к документу, таким образом получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным.

При ведении  деловой переписки, при заключении контрактов подпись ответственного лица является непременным атрибутом  документа, преследующим несколько  целей:

• гарантирование истинности письма путем сличения подписи с имеющимся образцом;
• гарантирование авторства документа (с юридической точки зрения).

Выполнение  данных требований основывается на следующих  свойствах подписи:

• подпись аутентична, то есть с ее помощью получателю документа можно доказать, что она принадлежит подписывающему;
• подпись неподделываема; то есть служит доказательством, что только тот человек, чей автограф стоит на документе, мог подписать данный документ, и никто иной;
• подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно;
• документ с подписью является неизменяемым;
• подпись неоспорима;
• любое лицо, владеющее образцом подписи может удостоверится, что документ подписан владельцем подписи.

Развитие  современных средств безбумажного документооборота, средств электронных  платежей немыслимо без развития средств доказательства подлинности  и целостности документа. Таким  средством является электронно-цифровая подпись (ЭЦП), которая сохранила  основные свойства обычной подписи.

Существует  несколько методов построения ЭЦП, а именно:

шифрование  электронного документа (ЭД) на основе симметричных алгоритмов. Данная схема  предусматривает наличие в системе  третьего лица – арбитра, пользующегося  доверием обеих сторон. Авторизацией документа в данной схеме является сам факт шифрования ЭД секретным  ключом и передачи его арбитру.

Использование ассиметричных алгоритмов шифрования. Фактом подписания документа является шифрование его на секретном ключе  отправителя.

Развитием предыдущей идеи стала наиболее распространенная схема ЭЦП – шифрование окончательного результата обработки ЭД хеш-функцией при помощи ассиметричного алгоритма.

Появление этих разновидностей обусловлено разнообразием  задач, решаемых с помощью электронных  технологий передачи и обработки  электронных документов.

При генерации  ЭЦП используются параметры трех групп:

-общие параметры

-секретный ключ

-открытый ключ

Отечественным стандартом на процедуры выработки  и проверки ЭЦП является ГОСТ Р 34.10-94.

 

2. Атаки на электронную  цифровую подпись

 

Стойкость большинства  схем ЭЦП зависит от стойкости  ассиметричных алгоритмов шифрования и хэш-функций.

Существует  следующая классификация атак на схемы ЭЦП:

• Атака с известным открытым ключом.
• Атака с известными подписанными сообщениями – противник, кроме открытого ключа имеет и набор подписанных сообщений.
• Простая атака с выбором подписанных сообщений – противник имеет возможность выбирать сообщения, при этом открытый ключ он получает после выбора сообщения.
• Направленная атака с выбором сообщения
• Адаптивная атака с выбором сообщения.

Каждая атака  преследует определенную цель, которые  можно разделить на несколько  классов:

• Полное раскрытие. Противник находит секретный ключ пользователя.
• Универсальная подделка. Противник находит алгоритм, функционально аналогичный алгоритму генерации ЭЦП.
• Селективная подделка. Подделка подписи под выбранным сообщением.
• Экзистенциальная подделка. Подделка подписи хотя бы для одного случайно выбранного сообщения.

На практике применение ЭЦП позволяет выявить  или предотвратить следующие  действия нарушителя:

• Отказ одного из участников авторства документа.
• Модификация принятого электронного документа.
• Подделка документа.

Навязывание сообщений в процессе передачи –  противник перехватывает обмен  сообщениями и модифицирует их.

Так же существуют нарушения, от которых невозможно оградить систему обмена сообщениями –  это повтор передачи сообщения и  фальсификация времени отправления  сообщения. Противодействие данным нарушениям может основываться на использовании  временных вставок и строгом  учете входящих сообщений.

 

3. Правовое регулирование электронной

цифровой подписи в России

 

В развитых странах мира, в том числе и  в Российской Федерации, электронная  цифровая подпись широко используется в хозяйственном обороте. Банк России и другие банки Российской Федерации  эффективно используют ЭЦП для осуществления  своих операций путем пересылки  банковских электронных документов по корпоративным и общедоступным  телекоммуникационным сетям.

Для преодоления  всех существующих в данной области  отношений препятствий необходимо создание унифицированных правил, при  помощи которых страны могут в  национальном законодательстве решить основные проблемы, связанные с юридической  значимостью записей в памяти ЭВМ, письменной формой электронных  данных (в том числе и документов), подписью под такими данными, оригиналом и копиями электронных данных, а также признанием в качестве судебных доказательств электронных  данных, заверенных электронной подписью.

10 января 2002 года был принят Федеральный  Закон «Об электронной цифровой  подписи», вступивший в силу с  22 января текущего года, который  закладывает основы решения проблемы  обеспечения правовых условий  для использования электронной  цифровой подписи в процессах  обмена электронными документами,  при соблюдении которых электронная  цифровая подпись признается  юридически равнозначной собственноручной  подписи человека в документе  на бумажном носителе.

Федеральный Закон «Об электронной цифровой подписи» определяет условия использования  ЭЦП в электронных документах органами государственной власти и  государственными организациями, а  также юридическими и физическими  лицами, при соблюдении которых:

• средства создания подписи признаются надежными;
• сама ЭЦП признается достоверной, а ее подделка или фальсификация подписанных данных могут быть точно установлены;
• предоставляются юридические гарантии безопасности передачи информации по открытым телекоммуникационным каналам;
• соблюдаются правовые нормы, содержащие требования к письменной форме документа;
• сохраняются все традиционные процессуальные функции подписи, в том числе удостоверение полномочий подписавшей стороны, установление подписавшего лица и содержания сообщения, а также роль подписи в качестве судебного доказательства;
• обеспечивается охрана персональной информации.

В Законе устанавливаются  права и обязанности обладателя электронной цифровой подписи.

В соответствии с законом владельцем сертификата  ключа подписи (обладателем электронной  цифровой подписи) является физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа  подписи и которое владеет  соответствующим закрытым ключом электронной  цифровой подписи, позволяющим с  помощью средств электронной  цифровой подписи создавать свою электронную цифровую подпись электронных  документах (подписывать электронные  документы).

Владелец  сертификата ключа подписи обязан:

• Хранить в тайне закрытый ключ электронной цифровой подписи;
• Не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;
• Немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.

Согласно  ст. 6 данного Закона сертификат ключа  подписи должен содержать следующие  сведения:

• Уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;
• Фамилия, имя, отчество владельца сертификата ключа подписи или псевдоним владельца;
• Открытый ключ электронной цифровой подписи;
• Наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи;
• Сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.

 

4.Средства работы с электронной  цифровой подписью

 

PGP

Наиболее  известный - это пакет PGP (Pretty Good Privacy) – (www.pgpi.org), без сомнений являющийся на сегодня самым распространенным программным продуктом, позволяющим использовать современные надежные криптографические алгоритмы для защиты информации в персональных компьютерах.

К основным преимуществам данного пакета, выделяющим его среди других аналогичных  продуктов следует отнести следующие:

ü Открытость. Исходный код всех версий программ PGP доступен в открытом виде. Любой эксперт может убедиться в том, что в программе эффективно реализованы криптоалгоритмы. Так как сам способ реализации известных алгоритмов был доступен специалистам, то открытость повлекла за собой и другое преимущество - эффективность программного кода.