Все об ЭП

В данной статье рассматривается такой способ защиты информации при организации юридически значимого документооборота как электронная подпись.

Терминология

Криптография (от др.-греч. κρυπτος — скрытый и γραφω — пишу) — наука, изучающая и разрабатывающая способы обеспечения конфиденциальности (недопущения прочтения текста посторонними лицами) и аутентичности (сохранения целостности данных, подтверждения и невозможности отказа от авторства) информации.

Электронная подпись (ЭП) — реквизит электронного документа, позволяющий обеспечить целостность и не допустить искажения информации в документе после его подписания. Также дает возможность установить принадлежность ЭП владельцу сертификата ключа. Электронная подпись формируется путем криптографического преобразования содержимого документа с использованием закрытого ключа.

Центр сертификации или Удостоверяющий центр (англ. Certification authority, CA) — отдельная компания или подразделение организации, занимающиеся выпуском сертификатов ключей электронной подписи. Одновременно является элементом глобальной службы каталогов, отвечающим за управление ключами пользователей. Хранение информации о пользователях осуществляется в виде цифровых сертификатов.

Служба штампов времени (англ. Time Stamping Authority, TSA) – специализированный сервис, обладающий точным и надёжным источником времени и оказывающий услуги по созданию штампов времени. Штамп времени является аналогом даты на подписываемом документе. Также он подтверждает, что сертификат был действителен на момент подписи документа. Значение хеш-функции от документа, на который получен штамп времени, служит для связи штампа с документом. При включении в штамп времени не самого документа, а значения хеш-функции, сохраняется конфиденциальность документа перед Службой штампов времени.

Сертификат ключа подписи - в соответствии с законодательством РФ – документ на бумажном носителе или в электронном виде содержащий в себе открытый ключ ЭП. Выдается УЦ владельцу электронной подписи после проверки предоставленных им документов. Используется для подтверждения подлинности ЭП и идентификации владельца сертификата. Электронный сертификат заверяется электронной подписью уполномоченного сотрудника УЦ.

Ключ — секретная информация (например, пара значений аргументов для подстановки в функцию), используемая криптографическим алгоритмом при шифровании/расшифровке информации. Также применяется для формирования и проверки электронной подписи, вычислении кодов аутентичности. Поскольку результат шифрования при использовании одного алгоритма зависит от ключа, его отсутствие влечет невозможность восстановления первоначальной информации.

Хеширование (иногда хэширование, англ. hashing) — процесс преобразования произвольного набора данных в строку фиксированного формата. Закон, по которому осуществляется данная операция, называется хеш-функцией или функцией свертки. Результат преобразования именуют хешем или хеш-кодом. Также используется термин «дайджест сообщения». Одним из примеров использования хеш-функций является вычисление контрольной суммы файла.

Введение

Достоверно установлено, что шифрование передаваемых сообщений осуществлялось уже в 3-м тысячелетии до нашей эры.

До середины 70-х годов прошлого века, несмотря на совершенствование технологии и оборудования, применявшегося для защиты информации, базовый принцип оставался неизменным: кодирование и расшифровка данных производилась с использованием одного и того же секретного ключа. В связи со спецификой данного направления, криптография долгое время оставалась исключительно прерогативой государства.

Развитие информационных технологий привело к необходимости предоставления доступа к достижениям данной науки для широкого круга лиц. В связи с этим потребовалась, и была успешно выполнена, разработка алгоритмов шифрования, позволяющая надежно защищать информацию, передаваемую по сетям общего пользования большому количеству адресатов.

Возникновение ЭП

В середине 70-х годов прошлого века пришло понимание, что в ряде случаев необходимо иметь инструмент, который был бы способен подтвердить авторство и сохранность в неизменном виде передаваемой в цифровом виде информации.

В 1976 году для него было предложено название: «электронная цифровая подпись». Однако сама ЭП появилась несколько позже, после того, как в 1977 году разработали алгоритм RSA, получивший свое название по первым буквам фамилий создателей: Рональд Райвест (Ronald Linn Rivest), Ади Шамир (Adi Shamir) и Леонард Адлеман (Leonard Adleman). Он стал первым, который подходил как для шифрования данных, так и для аутентификации.

Требования к алгоритмам электронной подписи, обеспечивающие безопасность ее использования, были четко сформулированы в 1984. Тогда же были предложены и схемы, устойчивые к основным моделям атак злоумышленников.

В России первый стандарт, определяющий создание и использование электронной подписи, был разработан в 1994 году (ГОСТ Р 34.10-94). В законодательство понятие ЭП было введено в 1995 году. Термин появился в первой главе гражданского кодекса как один из аналогов собственноручной подписи.

Что такое ЭП?

Подпись – это рукописное и иногда стилизованное графически имя или другой графический знак под документом, идентифицирующий подписанта и означающий его согласие с текстом документа. Проверяется обычная подпись визуально (сличаем оригинал с подписью, поставленной на документе).

В мире электронных документов подписание документа с помощью графических символов теряет смысл, т.к. подделать и скопировать графический символ можно бесконечное количество раз.

Электронная Цифровая Подпись (ЭП) является полным электронным аналогом обычной подписи на бумаге, но реализуется не с помощью графических изображений, а с помощью математических преобразований над содержимым документа. Специальные криптографические алгоритмы, используемые для создания и проверки ЭП, гарантируют невозможность подделки такой подписи посторонними лицами (неопровержимость авторства). Процедура проверки ЭП выполняется компьютерной программой, что позволяет избежать человеческого фактора.

ЭП дает информацию не только о лице, подписавшем документ, но и позволяет удостовериться, что сам документ не был изменен или подделан после подписания (целостность документа).

Одним из компонентов ЭП может являться штамп времени, который показывает реальное время подписания документа в отличие от даты, указанной в самом документе. Использование штампов времени в электронном документообороте позволит вам создавать официальное доказательство факта существования документа на определённый момент времени.

Штамп времени — это подписанный ЭП документ, которым Служба штампов времени удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции от документа. Само значение хэш-функции также указывается в метке.

Наличие штампа времени в подписанном документе позволяет продлевать срок действия электронной подписи. Такой штамп удостоверяет, например, что подпись была создана до того, как сертификат ключа подписи был аннулирован (отозван). Таким образом, для проверки подписи, созданной до момента отзыва сертификата, можно использовать уже отозванный сертификат.

Схемы и технологии ЭП

Как уже говорилось выше, в основе технологии ЭП лежит криптографическое преобразование информации, в том числе различные схемы, использующие симметричные и ассиметричные криптографические алгоритмы.

Схемы ЭП, использующие в своей основе симметричные алгоритмы, получили меньшее распространение, в виду того, что в симметричном алгоритме для зашифровывания и расшифровывания используется один и тот же секретный ключ и стойкость такой системы, зависит от стойкости этого ключа. Кроме этого, применение ЭП, выполненной на основе симметричных схем, требует наличие в цепочке передачи информации третьей доверенной стороны, способной подтвердить ее достоверность.

Наиболее широкое распространение получили схемы ЭП на основе ассиметричных алгоритмов. В асимметричной схеме применяется пара ключей: открытый ключ, который зашифровывает данные, и соответствующий ему закрытый ключ (или секретный ключ), который их расшифровывает . Владелец открытого ключа может его смело распространять. В то же время, закрытый ключ держится в тайне. Любой человек с копией открытого ключа может зашифровать информацию, которую сможет прочитать только владелец закрытого ключа. Хотя ключевая пара математически связана, вычисление закрытого ключа из открытого в практическом плане невыполнимо. Каждый, у кого есть открытый ключ, может зашифровать данные, но не может их расшифровывать. Только человек, обладающим соответствующим закрытым ключом может расшифровать информацию.

Таким образом, главное достижение асимметричного шифрования в том, что оно позволяет людям, не имеющим существующей договорённости о безопасности, обмениваться секретными сообщениями. Необходимость отправителю и получателю согласовывать тайный ключ по специальному защищённому каналу полностью отпадает. Все коммуникации затрагивают только открытые ключи, тогда как закрытые хранятся в безопасности.

Другой особенностью современной технологии ЭП, является использование хеш-функций.

Поскольку подписываемые документы, как правило, достаточно большого объёма, при формировании ЭП используется не сам документ, а его хэш, который имеет небольшую фиксированную длину. Для вычисления хэша используются хэш-функции (односторонние функции), что гарантирует выявление изменений документа при проверке подписи.

Стоит заметить, что использование хеш-функции не обязательно, а сама функция не является частью алгоритма ЭП, поэтому хеш-функция может не использоваться вообще.

Таким образом, общепризнанная схема ЭП, основанная на ассиметричном алгоритме охватывает три процесса:

Генерация ключевой пары: При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.

Формирование подписи: Для заданного электронного документа с помощью хеш-функции и закрытого ключа вычисляется подпись.

Проверка подписи: Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.

Для того, чтобы использование электронной подписи имело смысл, необходимо выполнение двух условий: во-первых, проверка подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании. Во-вторых, без обладания закрытым ключом должно быть вычислительно сложно создать легитимную электронную подпись.

Невыполнение второго условия, использование плохо подобранных ключевых пар или хеш-функций, все это ведет к снижению надежности ЭП и усиливает риск подделки электронной подписи.

В настоящее время наиболее распространены три типа попыток фальсификации с использованием: открытого ключа, известных случайных и выбранных сообщений, но из-за надежности современных алгоритмов, успешное осуществление попыток взлома и подмены электронной подписи является крайне сложной задачей. Поэтому чаще стараются подделать не саму ЭП, а защищаемый ею документ.

Здесь возможны два варианта: попытка подбора случайного документа, подходящего к подписи и формирование двух документов с одинаковой подписью и подмена одного другим в нужный момент. Обе задачи также чрезвычайно сложно реализуемы. При этом первая практически не имеет шансов на успех. Связано это с тем, что подобрать документ, хэш которого полностью совпал бы с тем, который планируется сфальсифицировать, и при этом его содержимое представляло собой связный и осмысленный текст – нереально.

Порядок формирования ЭП

Для успешного создания и использования ЭП электронного документа в современных условиях обмена электронными сообщениями и документами, в том числе в сетях общего пользования, необходимо, чтобы открытый ключ (в том числе и закрытый ключ) был соотнесен с лицом, создающим ЭП, а для его создания использовалось сертифицированное средство (специальное программное обеспечение).

Для выполнения первого условия необходимо обратиться в центр сертификации.

Удостоверяющий центр или центр сертификации - это организация или подразделение организации, которая выпускает сертификаты ключей электронной подписи.

Сертификат открытого ключа удостоверяет принадлежность открытого ключа некоторому лицу. Сертификат открытого ключа содержит имя субъекта, открытый ключ, имя удостоверяющего центра (или центра сертификации), политику использования соответствующего удостоверяемому открытому ключу закрытого ключа и другие параметры, заверенные подписью уполномоченного лица удостоверяющего центра.

Сертификат открытого ключа используется для идентификации субъекта и уточнения операций, которые субъекту разрешается совершать с использованием закрытого ключа, соответствующего открытому ключу, удостоверяемому данным сертификатом. Структура цифровых сертификатов, а также списков отозванных сертификатов (CRL), определяется стандартом X.509.

Заявитель обращается в удостоверяющий центр и представляет документы, необходимые для его идентификации (например, паспорт). Уполномоченный сотрудник УЦ выполняет проверку документов, после чего формируется пара ключей. Достоверность первого удостоверяется сертификатом, заверенным ЭП сотрудника УЦ. Секретный ключ на съемном носителе передается заявителю, который, расписываясь в получении сертификата и секретного ключа, обязуется никому не передавать секретный ключ, а в случае его утраты, обратиться в удостоверяющий центр для отзыва сертификата.

После получения закрытого ключа и сертификата открытого ключа, необходимо установить сертификат на компьютер, где будет создаваться электронная подпись. Процедура установки корневого сертификата удостоверяющего центра, а также личного сертификата с привязкой к секретному ключу, производиться с помощью средств операционной системы и специального программного обеспечения, обеспечивающего работу с сертификатом и закрытым ключом при выполнении операций шифрования и создания ЭП.

В операционных системах Microsoft Windows такое программное обеспечение получило название - криптопровайдер (Cryptography Service Provider, CSP). Криптопровайдер - это независимый модуль, позволяющий осуществлять криптографические операции, управление которым происходит с помощью функций CryptoAPI . Проще говоря, криптопровайдер – это посредник между операционной системой и клиентской программой, предназначенной для выполнения уже вполне конкретных действий, например, шифрования данных или создания ЭП документа. Криптопровайдер обычно устанавливается в систему в момент установки клиентской программы, поэтому этот сложный процесс не заметен для пользователя.

Также нужно отметить, что криптопровайдеры поддерживающие различные зарубежные криптографические алгоритмы, поставляются вместе с операционной системой и не требуют отдельной установки. В частности поэтому, для того чтобы подписать электронное сообщение в почтовой программ MS Outlook на сертификате выпущенном в вашей организации, Вам нужно только установить выпущенный сертификат на Ваш компьютер. Однако, полученную таким образом ЭП можно использовать только в рамках Вашей организации или группы компаний, имеющих внутреннее соглашение об использовании такой ЭП. Для обеспечения юридической значимости, т.е для того, чтобы полученная ЭП признавалась любыми другими гражданами и организациями, в том числе государственными органами, необходимо: во-первых, изготовить сертификат и получить секретный ключ в удостоверяющем центре (аккредитованном и имеющими необходимые лицензии ФСТЭК и ФСБ), во-вторых, использовать для изготовления ЭП специальное сертифицированное средство. Например, одним из таких средств является комплекс Крипто-АРМ производства ООО «Цифровые технологии», который должен использоваться вместе с сертифицированным криптопровайдером, производства ООО «КРИПТО-ПРО».

После того, как на компьютере установлены сертификат, соответствующее средство изготовления ЭП и произведены необходимые настройки, можно легитимно применять ЭП.

При использовании электронной подписи для защиты документов она может передаваться несколькими способами. Конкретный вариант выбирается исходя из того, какие задачи решаются с ее помощью.

Присоединенная

В случае создания присоединенной подписи создается новый файл ЭП, в который помимо данных ЭП помещаются данные подписываемого документа. Этот процесс аналогичен помещению документа в конверт и его запечатыванию. Перед извлечением документа следует убедиться в сохранности печати (для ЭП в ее правильности). К достоинствам присоединенной подписи следует отнести простоту дальнейшего манипулирования с подписанными данными, т.к. все они вместе с подписями содержатся в одном файле. Этот файл можно копировать, пересылать и т.п. К недостаткам следует отнести то, что без использования средств создания ЭП уже нельзя прочесть и использовать содержимое файла, точно так же, как нельзя извлечь содержимое конверта, не расклеив его.

Отсоединенная

При создании отсоединенной подписи файл подписи создается отдельно от подписываемого документа, при этом сам файл подписываемого документа никак не изменяется. Преимуществом отсоединенной подписи является то, что подписанный файл можно читать, не прибегая к средству создания ЭП. Недостаток отсоединенной подписи - необходимость хранения подписанной информации подписанного файла и одного или нескольких файлов с подписями.

Внутри данных

Применение ЭП этого вида существенно зависит от приложения, которое их использует, например ЭП внутри документа Acrobat Reader. Вне приложения, создавшего ЭП, без знания структуры его данных проверить подлинность частей данных, подписанных ЭП затруднительно.

Законодательство

Долгое время развитие электронной подписи в России сдерживало отсутствие закона, определяющего сферы и порядок применения этого инструмента. Создавалась ситуация, при которой использование ЭП практически никак не регламентировалось. Это приводило к тому, что она применялась только как один из инструментов информационной безопасности в корпоративных сетях. Прежде всего, ее внедряли у себя крупные банки. В дальнейшем они использовали ЭП для развития системы «банк-клиент». А за пределами корпоративных сетей применение электронной подписи тормозилось отсутствием надежных гарантов ее подлинности.

Закон об ЭП

Сегодня, порядок использования ЭП на территории РФ регулируется федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».

Действующий закон определяет правовые условия, при которых ЭП на электронном документе может признаваться аналогом собственноручной подписи на бумажном носителе. Оговаривается порядок ее создания, использования и срок действия.

Также регулируется деятельность удостоверяющих центров (УЦ), осуществляющих выдачу сертификатов ключей подписи и, по заявлению владельца, подтверждающих ее подлинность. Определяется порядок взаимодействия УЦ с государственными службами и органами власти, обязанности удостоверяющих центров и владельцев электронной подписи. Также в нем прописана процедура прекращения деятельности центров и аннулирования сертификата ЭП.

Отдельная глава закона оговаривает особые случаи использования электронной подписи, к которым, например, относится признание ЭП, полученной из-за пределов РФ или применение данного инструмента в качестве замены печати.

На сегодняшний день в России данный инструмент используют более 600 тысяч предприятий различных форм собственности. По мере того, как электронная подпись становится привычнее, расширяется и сфера ее применения.

Проблемы законодательства

В государственную думу весной 2010 года внесен законопроект, призванный заменить действующий, но пока он не принят.

Необходимость создания нового варианта законопроекта об ЭП вызвана тем, что в действующем документе не в полной мере отражены все аспекты, связанные с использованием электронной подписи. В частности, в разделе, регулирующем деятельность удостоверяющих центров, четко не прописана процедура признания подлинности сертификатов, выданных разными УЦ. Речь идет о ситуации, когда получателю приходит документ, подпись к которому удостоверяется сертификатом, в надежности которого тот не уверен. На данный момент в подобных случаях применяется процедура кросс-сертификации. Технологически она заключается в выпуске сертификата удостоверяющим центром по заявке другой подобной структуры.

В действующем законе данная процедура не является обязательной. Как нет положения о том, что сертификаты любого удостоверяющего центра должны в обязательном порядке приниматься всеми субъектами на территории РФ.

Основные изменения в новом законопроекте направлены на упрощение процедуры использования электронной подписи, а также устранение пробелов, имевшихся в предыдущем документе.

В частности, расширяется перечень допустимых видов электронных подписей, использующих различные технологии, в том числе не предусматривающие обязательной сертификации ключей.

Простая

Используется без сертификата подписи. Применяется только для установления лица передавшего информацию, но не гарантирует неизменность передаваемых данных или самой ЭП. Предполагается, что данный вариант будет предназначен для отправки гражданами сообщений в государственные органы по электронной почте. Однако местным властям предоставляется право самостоятельно определять, в каких случаях допускается использование простой электронной подписи.

Усиленная

Может использоваться как с сертификатом, так и без него. В обязательном порядке должна обеспечивать неизменность исходного документа или позволять обнаруживать факт его редактирования после подписания.

Квалифицированная

Используется только с сертификатом, выданным удостоверяющим центром. Предназначается для ведения переписки с государственными и муниципальными органами власти и в других случаях, при передаче сведений большой важности.

Также в проекте закона более детально прописаны процедуры аккредитации удостоверяющих центров, и уточнен перечень и порядок оказания ими услуг. Также для УЦ и владельцев сертификатов устанавливается ответственность за вред, причиненный иным лицам, в связи с неисполнением ими своих обязанностей в соответствии с законом.

Области применения ЭП

Из свойств ЭП вытекает возможность использования ее в следующих целях:

  • организация удаленного взаимодействия хозяйствующих субъектов и частных лиц с государственными органами (таможня, налоговая инспекция, обращение в органы исполнительной власти, постановка транспорта на учет в автоинспекцию и т.п.);
  • организация электронной торговли;
  • удаленный доступ к управлению счетами в финансовых учреждениях;
  • защита авторских прав на объекты интеллектуальной собственности;
  • применение в других сферах деятельности, где используется передача информации по незащищенным каналам связи.

Юридически значимый электронный документооборот

Сегодня возрастают требования к скорости передачи и степени защищенности документов. При этом бумажные носители все в меньшей степени способны обеспечивать необходимые параметры. Почта – не слишком оперативно, велик риск утери или несанкционированного доступа к содержимому третьих лиц. Факс – приемлемая скорость, очень слабая защищенность от подделки. Неизбежность перехода на электронный документооборот очевидна всем.

Цифровая подпись соответствует всем требованиям, чтобы сделать информацию, защищенную ею юридически значимой. Учитывая необходимость обеспечения конфиденциальности, наилучшим вариантом в этом случае следует считать квалифицированную присоединенную ЭП.

Организация электронной торговли

Интернет, первоначально организовывавшийся как информационная сеть, все шире используется в качестве бизнес-площадки, на которой совершаются сделки различного рода. К сожалению, часто возможности удаленной торговли используют недобросовестные люди и компании-однодневки, «продавцы воздуха».

Сделать эту область деятельности безопаснее и увеличить перечень доступных операций, позволяет использование электронной подписи. При этом конкретный вид, который будет применяться в том или ином случае, зависит от типа сделки. Если при проведении операций С2С (англ. customer-to-customer - торговля «из рук в руки», в сделке принимают участие только физические лица) можно обойтись простой отсоединенной, то взаимодействие В2В (англ. Business to Business – сделки между юридическими лицами) требует защиты на уровне квалифицированной присоединенной ЭП.

Решимость российского руководства обеспечить внедрение электронной формы документооборота при работе в различных сферах деятельности нашла свое отражение в том, что принятый в 2005 году федеральный закон «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» (№94-ФЗ), содержит отдельную главу, в которой подробно описана процедура проведения аукционов в электронной форме.

В ней особое место отведено назначению и порядку использования электронной подписи всеми сторонами, участвующими в проведении торгов. В разделе 5 статьи 41.2 отмечается, что ЭП служит удостоверением подлинности и достоверности документов, а также подтверждает, что они направлены от конкретного лица.

Электронный нотариат

Как и в случае с бумажными носителями, при электронном документообороте, в некоторых случаях, возникает необходимость дополнительного подтверждения достоверности ЭП. В обычной жизни легитимность того или иного документа и подлинность подписи удостоверяет нотариус. Очевидно, что в случае электронного способа обмена документами также должна существовать структура, выполняющая аналогичные функции.

Роль нотариата, в соответствии с федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи», может играть удостоверяющий центр. Однако, количество ситуаций, в которых могут потребоваться услуги третей стороны, и перечень сервисных функций, позволяют говорить о целесообразности организации отдельной структуры для их исполнения. Уже сегодня эксперты сходятся во мнении, что выполнение задачи по построению электронного государства, которую поставило нынешнее руководство РФ, невозможно без организации и законодательного оформления электронного нотариата.

Прогнозы развития

Динамика роста количества субъектов, использующих электронную подпись, позволяет говорить о том, что в ближайшее время стоит ожидать увеличения не только числа пользователей, но и сфер деятельности, в которых она будет применяться. Если в 2005 году в России было выдано 200 тыс. сертификатов ключей, то в 2010 году эта цифра составляет уже 600 тыс. На сегодняшний день наибольшее распространение ЭП находит при сдаче налоговых деклараций и пользовании системой «Банк-клиент».

Самыми перспективными направлениями, в которых, по мнению экспертов, будет идти развитие данного инструмента, является заключение договоров между предприятиями различных форм собственности. Кроме этого, массовое внедрение электронной подписи позволит в большой степени автоматизировать документооборот, исключив из процесса подготовки и передачи информации операционистов. Ответственным лицам в компаниях будет достаточно лишь ознакомиться с созданным системой документом и дать согласие на дальнейшие действия.

Повышенное внимание уделяется упрощению процедуры получения сертификатов и использования ЭП для того, чтобы сделать ее применение привлекательным для частных лиц. Этому должно также способствовать развитие системы электронного нотариата. Оформление доверенностей на автомобиль и другие подобные операции можно будет осуществлять, не тратя время на ожидание в очередях и перемещениях между различными организациями.

Можно говорить о том, что массовое использование электронной подписи, в конечном итоге приведет к тому, что пространство глобальной сети станет более безопасным и лучше защищенным от мошеннических действий.