Электронная цифровая подпись

Для того, чтобы  иметь возможность скреплять  электронный документ механизмом электронной  цифровой подписи, необходимо обратиться в удостоверяющий центр за получением сертификата ключа подписи. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи. Первый в России такой удостоверяющий центр запущен в сентябре 2002 г. российским НИИ развития общих сетей (РосНИИРОС). Удостоверяющий центр по закону должен подтверждать подлинность открытого ключа электронной цифровой подписи. 

1.Основные положения.

Общая суть электронной  подписи заключается в следующем. С помощью криптографической  хэш-функции вычисляется относительно короткая строка символов фиксированной длины (хэш). Затем этот хэш шифруется закрытым ключом владельца - результатом является подпись документа. Подпись прикладывается к документу, таким образом получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным.

При ведении  деловой переписки, при заключении контрактов подпись ответственного лица является непременным атрибутом  документа, преследующим несколько  целей:

·        гарантирование истинности письма путем  сличения подписи с имеющимся образцом;

·        гарантирование авторства документа (с юридической точки зрения).

Выполнение данных требований основывается на следующих  свойствах подписи:

·        подпись аутентична, то есть с ее помощью получателю документа можно  доказать, что она принадлежит подписывающему;

·        подпись неподделываема; то есть служит доказательством, что только тот  человек, чей автограф стоит на документе, мог подписать данный документ, и  никто иной;

·        подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно;

·        документ с подписью является неизменяемым;

·        подпись неоспорима;

·        любое лицо, владеющее образцом подписи  может удостоверится, что документ подписан владельцем подписи.

Развитие современных  средств безбумажного документооборота, средств электронных платежей немыслимо  без развития средств доказательства подлинности и целостности документа. Таким средством является электронно-цифровая подпись (ЭЦП), которая сохранила  основные свойства обычной подписи. 

Существует несколько  методов построения ЭЦП, а именно:

·        шифрование электронного документа (ЭД) на основе симметричных алгоритмов. Данная схема предусматривает наличие  в системе третьего лица – арбитра, пользующегося доверием обеих сторон. Авторизацией документа в данной схеме является сам факт шифрования ЭД секретным ключом и передачи его арбитру.

·        Использование ассиметричных алгоритмов шифрования. Фактом подписания документа  является шифрование его на секретном ключе отправителя.

·        Развитием предыдущей идеи стала  наиболее распространенная схема ЭЦП  – шифрование окончательного результата обработки ЭД хеш-функцией при помощи ассиметричного алгоритма.

Появление этих разновидностей обусловлено разнообразием задач, решаемых с помощью электронных технологий передачи и обработки электронных документов.

При генерации  ЭЦП используются параметры трех групп:

·        общие параметры

·        секретный ключ

·        открытый ключ

Отечественным стандартом на процедуры выработки и проверки ЭЦП является ГОСТ Р 34.10-94.  

2.Атаки на  электронную цифровую подпись

Стойкость большинства  схем ЭЦП зависит от стойкости  ассиметричных алгоритмов шифрования и хэш-функций.

Существует следующая  классификация атак на схемы ЭЦП:

·        атака с известным открытым ключом.

·        Атака с известными подписанными сообщениями – противник, кроме  открытого ключа имеет и набор  подписанных сообщений.

·        Простая атака с выбором подписанных  сообщений – противник имеет  возможность выбирать сообщения, при этом открытый ключ он получает после выбора сообщения.

·        Направленная атака с выбором  сообщения

·        Адаптивная атака с выбором сообщения.

Каждая атака  преследует определенную цель, которые  можно разделить на несколько  классов:

·        полное раскрытие. Противник находит  секретный ключ пользователя.

·        Универсальная подделка. Противник  находит алгоритм, функционально  аналогичный алгоритму генерации  ЭЦП.

·        Селективная подделка. Подделка подписи  под выбранным сообщением.

·        Экзистенциальная подделка. Подделка подписи хотя бы для одного случайно выбранного сообщения.

На практике применение ЭЦП позволяет выявить  или предотвратить следующие  действия нарушителя:

·        отказ одного из участников авторства документа.

·        Модификация принятого электронного документа.

·        Подделка документа.

·        Навязывание сообщений в процессе передачи – противник перехватывает  обмен сообщениями и модифицирует их.

Так же существуют нарушения, от которых невозможно оградить систему обмена сообщениями – это повтор передачи сообщения и фальсификация времени отправления сообщения. Противодействие данным нарушениям может основываться на использовании временных вставок и строгом учете входящих сообщений. 

3.Правовое регулирование  электронной цифровой подписи  в России

В развитых странах  мира, в том числе и в Российской Федерации, электронная цифровая подпись  широко используется в хозяйственном  обороте. Банк России и другие банки  Российской Федерации эффективно используют ЭЦП для осуществления своих операций путем пересылки банковских электронных документов по корпоративным и общедоступным телекоммуникационным сетям.

Для преодоления  всех существующих в данной области  отношений препятствий необходимо создание унифицированных правил, при помощи которых страны могут в национальном законодательстве решить основные проблемы, связанные с юридической значимостью записей в памяти ЭВМ, письменной формой электронных данных (в том числе и документов), подписью под такими данными, оригиналом и копиями электронных данных, а также признанием в качестве судебных доказательств электронных данных, заверенных электронной подписью.

10 января 2002 года  был принят Федеральный Закон  «Об электронной цифровой подписи», вступивший в силу с 22 января текущего года, который закладывает основы решения проблемы обеспечения правовых условий для использования электронной цифровой подписи в процессах обмена электронными документами, при соблюдении которых электронная цифровая подпись признается юридически равнозначной собственноручной подписи человека в документе на бумажном носителе.  

Федеральный Закон  «Об электронной цифровой подписи» определяет условия использования  ЭЦП в электронных документах органами государственной власти и государственными организациями, а также юридическими и физическими лицами, при соблюдении которых:

·        средства создания подписи признаются надежными;

·        сама ЭЦП признается достоверной, а  ее подделка или фальсификация подписанных  данных могут быть точно установлены;

·        предоставляются юридические гарантии безопасности передачи информации по открытым телекоммуникационным каналам;

·        соблюдаются правовые нормы, содержащие требования к письменной форме документа;

·        сохраняются все традиционные процессуальные функции подписи, в том числе удостоверение полномочий подписавшей стороны, установление подписавшего лица и содержания сообщения, а также роль подписи в качестве судебного доказательства;

·        обеспечивается охрана персональной информации.

В Законе устанавливаются  права и обязанности обладателя электронной цифровой подписи.

В соответствии с законом владельцем сертификата  ключа подписи (обладателем электронной  цифровой подписи) является физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись электронных документах (подписывать электронные документы).  

Владелец сертификата  ключа подписи обязан:

·        Хранить в тайне закрытый ключ электронной цифровой подписи;

·        Не использовать для электронной  цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;

·        Немедленно требовать приостановления  действия сертификата ключа подписи  при наличии оснований полагать, что тайна закрытого ключа  электронной цифровой подписи нарушена.

Согласно ст. 6 данного Закона сертификат ключа  подписи должен содержать следующие  сведения:

·        Уникальный регистрационный номер  сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;

·        Фамилия, имя, отчество владельца сертификата  ключа подписи или псевдоним  владельца;

·        Открытый ключ электронной цифровой подписи;

·        Наименование и место нахождения удостоверяющего центра, выдавшего  сертификат ключа подписи;

·        Сведения об отношениях, при осуществлении  которых электронный документ с  электронной цифровой подписью будет  иметь юридическое значение.  

4.Средства работы  с электронной цифровой подписью

4.1 PGP

Наиболее известный - это пакет PGP (Pretty Good Privacy) – (www.pgpi.org), без сомнений являющийся на сегодня самым распространенным программным продуктом, позволяющим использовать современные надежные криптографические алгоритмы для защиты информации в персональных компьютерах.

К основным преимуществам данного пакета, выделяющим его среди других аналогичных продуктов следует отнести следующие:

ü     Открытость. Исходный код всех версий программ PGP доступен в открытом виде. Любой эксперт может убедиться  в том, что в программе эффективно реализованы криптоалгоритмы. Так как сам способ реализации известных алгоритмов был доступен специалистам, то открытость повлекла за собой и другое преимущество - эффективность программного кода.

ü     Стойкость. Для реализации основных функций использованы лучшие (по крайней мере на начало 90-х) из известных алгоритмов, при этом допуская использование достаточно большой длины ключа для надежной защиты данных

ü     Бесплатность. Готовые базовые продукты PGP (равно как и исходные тексты программ) доступны в Интернете в частности на официальном сайте PGP Inc. ( www.pgpi.org ).

ü     Поддержка как централизованной (через серверы ключей) так и  децентрализованной (через «сеть  доверия») модели распределения открытых ключей.

ü     Удобство программного интерфейса. PGP изначально создавалась как продукт для широкого круга пользователей, поэтому освоение основных приемов работы отнимает всего несколько часов.

4.2 GNU Privacy Guard (GnuPG)

GnuPG (www.gnupg.org ) - полная  и свободно распространяемая  замена для пакета PGP. Этот пакет не использует патентованный алгоритм IDEA, и поэтому может быть использован без каких-нибудь ограничений. GnuPG соответсвует стандарту RFC2440 (OpenPGP).

4.3 Криптон

Пакет программ Криптон (www.ancud.ru) предназначен для использования  электронной цифровой подписи (ЭЦП) электронных документов.