Автор: Пользователь скрыл имя, 19 Февраля 2012 в 09:49, курсовая работа
Целью исследования, проводимого в данной курсовой работе, является получение характеристики ЭЦП и определение степени безопасности при передаче ценного материала по сети.
Задачи: изучить историю возникновения и применение электронно-цифровой подписи на предприятиях в организациях и управлениях, рассмотреть методы и способы внедрения электронно-цифровой подписи на предприятия, очертить круг проблем, с которыми сталкиваются руководители при использовании данного вида шифрования информации, оценить ситуацию с использование электронно-цифровой подписи в Приморском крае.
ВВЕДЕНИЕ 3
1. ГЛАВА ПОНЯТИЕ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ И ИСТОРИЯ ЕЕ СОЗДАНИЯ. 5
1.1 История создания электронной цифровой подписи 5
1.2 Понятие и использование ЭЦП 7
1.3 Законодательная платформа ЭЦП 13
1.4 Электронный документооборот в органах власти. 14
ГЛАВА 2 ОСОБЕННОСТИ ПРИМЕНЕНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ. 20
2.1 ЭЦП и юридическая значимость электронного документа 20
2.2 Защита целостности электронных данных и обеспечение его юридической силы 26
2.3 Корневые УЦ 28
2.4 Почему необходим корневой УЦ 31
2.5 Примеры действующих информационных систем 34
2.6 Технические аспекты применения ЭЦП 36
2.7 Методы построения цифровой подписи 40
2.8 Опыт внедрения системы электронного документооборота в исполнительных органах государственной власти 47
2.9 Особенности применения ЭЦП в органах власти 54
2.9 Алгоритмы кодирования и декодирования ЭЦП 59
2.9.1 DSA 59
2.9.2 ECDSA 63
ГЛАВА 3 РЕКОМЕНДАЦИИ ОТНОСИТЕЛЬНО СДАЧИ ОТЧЕТНОСТИ В ЭЛЕКТРОННОМ ВИДЕ 67
3.1 Сдача отчетности в электронном виде - Приморский край 67
3.2 Сложности, возникающие при использовании ЭЦП 70
3.3 Управление ключами 73
ВВЕДЕНИЕ 3
1. ГЛАВА ПОНЯТИЕ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ И ИСТОРИЯ ЕЕ СОЗДАНИЯ. 5
1.1 История создания электронной цифровой подписи 5
1.2 Понятие и использование ЭЦП 7
1.3 Законодательная платформа ЭЦП 13
1.4 Электронный документооборот в органах власти. 14
ГЛАВА 2 ОСОБЕННОСТИ ПРИМЕНЕНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ. 20
2.1 ЭЦП и юридическая значимость электронного документа 20
2.2 Защита целостности электронных данных и обеспечение его юридической силы 26
2.3 Корневые УЦ 28
2.4 Почему необходим корневой УЦ 31
2.5 Примеры действующих информационных систем 34
2.6 Технические аспекты применения ЭЦП 36
2.7 Методы построения цифровой подписи 40
2.8 Опыт внедрения системы электронного документооборота в исполнительных органах государственной власти 47
2.9 Особенности применения ЭЦП в органах власти 54
2.9 Алгоритмы кодирования и декодирования ЭЦП 59
2.9.1 DSA 59
2.9.2 ECDSA 63
ГЛАВА 3 РЕКОМЕНДАЦИИ ОТНОСИТЕЛЬНО СДАЧИ ОТЧЕТНОСТИ В ЭЛЕКТРОННОМ ВИДЕ 67
3.1 Сдача отчетности в электронном виде - Приморский край 67
3.2 Сложности, возникающие при использовании ЭЦП 70
3.3 Управление ключами 73
ЗАКЛЮЧЕНИЕ 78
СПИСОК ЛИТЕРАТУРЫ 80
Теоретически
принятие закона "О цифровой подписи"
несло потенциальные выгоды и потребителям
услуг, позволяя им вступать в правоотношения
без предварительного заключения договора
в бумажном виде. Но так ли гладко проходил
процесс внедрения ЭЦП, и какие сложности
и проблемы возникали, предлагаю рассмотреть
далее.
ГЛАВА 2 ОСОБЕННОСТИ ПРИМЕНЕНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ.
Существует
целый ряд мифов и заблуждений,
связанных с применением
Как показывает практика, незнание российских законов о применении ЭЦП порождает массу заблуждений. У нас, например, до сих пор бытует мнение, что если вы приобрели некоторое средство криптографии, позволяющее поставить цифровую подпись и защитить документ от искажения, то с этим документом вы сможете прийти в суд и доказать свое авторство на документ. Нередко можно услышать заявления о том, что закон об ЭЦП в России, принятый еще в 2002 году, до сих пор не действует или что ЭЦП в стране повсеместно не применяется, поскольку не введена система действия корневых удостоверяющих центров. Все это свидетельствует о незнании нормативно-правовой базы, обеспечивающей применение ЭЦП в России. 8
2.1 ЭЦП и юридическая значимость электронного документа
ЭЦП — один из реквизитов электронного документа. ЭЦП как таковая не может иметь юридической силы — можно говорить лишь о юридической силе электронного документа. Если электронный документ влечет правовые последствия, то в этом случае он имеет юридическую силу. При этом электронный документ может не иметь ЭЦП, но иметь юридическую силу, если стороны таким образом договорились между собой. Но если между участниками соглашения по договоренности или по закону определено, что документ должен исполняться только в электронной форме, удостоверенной ЭЦП, то данная ситуация однозначно подпадает под действие закона об электронной цифровой подписи.
В настоящее время применение ЭЦП регламентируется 11 федеральными законами. Целью Федерального закона от 10.01.2002 № 1-Ф3 «Об электронной цифровой подписи»9 является обеспечение правовых условий использования ЭЦП в электронных документах. Закон определяет, при выполнении каких условий ЭЦП будет признана равнозначной собственноручной подписи в документе на бумажном носителе. Сегодня насчитывается более 10 постановлений правительства, регламентирующих применение ЭЦП, и более 50 ведомственных федеральных актов. При этом, согласно Гражданскому кодексу, все, что не регламентируется законодательно, должно регулироваться соглашениями между участниками отношений.
Правовые конструкции применения ЭЦП определяет вышеупомянутый закон об ЭЦП, который, в частности, говорит о необходимости наличия удостоверяющего центра (УЦ). При этом в законе четко определено, что УЦ — это не аппаратно-программный комплекс, а организация. Деятельность УЦ автоматизируется с помощью программно-аппаратных средств как отечественного, так и импортного производства. ЭЦП нельзя купить — она каждый раз создается заново с использованием ключа подписи и сертификата ключа подписи, изготавливаемых этим УЦ.
Владельцем ключа и сертификата всегда является физическое лицо. Сегодня на территории Российской Федерации действует около 300 удостоверяющих центров, а правовые отношения с применением электронных документов, удостоверенных ЭЦП, в РФ поддерживают около 220 тыс. юридических лиц. Заверять ЭЦП может только конкретное физическое лицо, которое владеет ключом и сертификатом, то есть здесь просматривается полная аналогия с бумажными документами. В практике бумажного документооборота юридическое лицо (как небиологическая сущность) не имеет подписи, однако физическое лицо (имеющее подпись) может представлять юридическое лицо.
Закон
об ЭЦП определяет, что УЦ может
изготавливать ключи для
Рис. 1. Информационные системы КИС уже действуют, но системы ИСОП пока не имеют надлежащей законодательной базы
Согласно закону, ИСОП — это система открытого доступа, а это значит, что любому обратившемуся в данную систему не могут отказать в участии. Примерами таких ИСОП могут выступать электронные магазины или электронное правительство, принимающие документы, заверенные ЭЦП. Если электронное правительство принимает от граждан документы с ЭЦП, то оно не может отказать в подаче такого документа любому гражданину, подобно тому, как Интернет-магазин, принимающий документы, заверенные ЭЦП, не может отказать любому участнику, который акцептует ту или иную оферту.
В настоящий момент в России нет ни одной из вышеописанных ИСОП. Более того: в рамках существующего в России правового поля построить такую систему нельзя, ибо, в соответствии с законом, к УЦ, обеспечивающим своими услугами ИСОП, предъявляются особые требования. Эти требования должны регулироваться постановлениями правительства, однако пока этих подзаконных актов нет, а следовательно, не существует и подобных УЦ. Вернее, для таких УЦ еще нет правовой базы, в отличие от УЦ, обслуживающих КИС. Поэтому далее будем говорить именно о КИС и об УЦ для КИС.
Следует отметить, что КИС — это не всегда система, в которой работают сотрудники только одной корпорации, и в этом смысле важно прокомментировать еще одно заблуждение. Участниками КИС могут быть независимые юридические лица. По сути дела, система, в которой участники превентивно заключили соглашения о том, что они договариваются исполнять электронные документы, заверенные ЭЦП, и определяют условия исполнения этих документов, и называется КИС. В рамках КИС в России работают, как уже было сказано, порядка 220 тыс. юридических лиц.
Если в КИС участвуют независимые юридические лица, то для того, чтобы придать юридическую силу документам, заверяемым ЭЦП, у них должно быть соглашение, заключенное в традиционной бумажной форме. Предварительно они должны заключить соглашение о том, что договариваются принимать к исполнению электронные документы, удостоверенные ЭЦП, на условиях, определяемых конкретным соглашением. Это соглашение должно определять как средства ЭЦП, которые используются для формирования и проверки подписи, так и УЦ, сертификаты которых признаются участниками этой информационной системы. Чтобы сформировать ЭЦП, необходимы программные или аппаратные средства ЭЦП. Обычно применяют программные средства ЭЦП как более дешевые. Например, КриптоПро CSP реализует все функции (генерация ключей, создание подписи, проверка подписи), определенные законом об ЭЦП. В законе определено, что процедура подтверждения электронной цифровой подписи должна осуществляться с использованием сертифицированного средства ЭЦП, то есть программа должна быть сертифицирована, причем ФСБ РФ сертифицирует только отечественные разработки. Закон об ЭЦП говорит, что принятие сертификата, изданного нерезидентом Российской Федерации, то есть иностранной организацией, должно регулироваться межгосударственным соглашением.
Отсутствие
в настоящее время подобных соглашений
означает, что иностранные организации,
изготавливающие сертификаты
Следует отметить, что если физическое лицо, обладающее ЭЦП, представляет негосударственное предприятие, то оно имеет право употреблять несертифицированные средства создания цифровой подписи, но при этом в суде данные документы не будут учитываться, так как они получены с нарушением действующего законодательства РФ. С учетом того, что ЭЦП нужна именно на случай обеспечения правовой основы, в частности для того, чтобы документ был принят в суде, понятна необходимость использования сертифицированных средств.
Правда, до 2002 года имелась возможность принятия в суде документов, заверенных иностранным УЦ, и даже в 2003 году такие случаи имели место, но за последнее время квалификация юристов и судей консультантов повысилась и сегодня, чтобы доказать юридическую силу электронного документа, заверенного ЭЦП, требуется соблюдение всех вышеуказанных норм10.
В
настоящее время уже существует
достаточно обширная судебная практика,
связанная с вопросами
2.2 Защита целостности электронных данных и обеспечение его юридической силы
У нас до сих пор иногда путают понятия обеспечения целостности ЭД на базе цифровой подписи и обеспечения юридической силы ЭД, заверенного ЭЦП. Когда мы говорим о защите обеспечения целостности информации с помощью цифровой подписи, то правильнее пользоваться термином «цифровая подпись», причем цифровая подпись — это не реквизит ЭД в плане подтверждения равнозначности собственноручной подписи. Если вы получили по электронной почте документ, подписанный цифровой подписью и с приложенным сертификатом, и там будет указана фамилия того, кто прислал вам этот документ, этого еще недостаточно, чтобы в суде приняли эти документы и установили их авторство. Поскольку в данном случае вовсе не очевидно, что тот УЦ, который выдал этот сертификат, имеет полную доказательную базу авторства. Поэтому здесь важно, что независимые юридические лица (на рис. 1 они показаны как «юр. лицо А» и «юр. лицо Б») должны вступить в договорные отношения, присоединиться к так называемому регламенту услуг УЦ, в котором обеспечивается такой порядок оказания услуг, чтобы УЦ имел всю необходимую доказательную базу владения ключом и сертификатом (на рис. 1 это «УЦ1»). После этого юридические лица «А» и «Б» должны заключить соглашение, по которому стороны договариваются, например, о том, что они будут исполнять документы в электронной форме, если они изданы удостоверяющим центром «УЦ1». Письма, подписанные сертификатом от некоего другого центра (на рис. 1 — от центра «УЦ2»), не подпадают под действие данного соглашения.
Необходимо подчеркнуть, что для защиты целостности документа не нужно ни организационной составляющей, ни дополнительных договоров, однако для защиты в суде они требуются. Для защиты целостности документа не нужны сертифицированные средства, а для ЭЦП, принимаемой судом, сертифицированные средства необходимы. Для защиты целостности не нужен удостоверяющий центр (УЦ), а достаточно лишь центра сертификации, которым может быть и организация, и программно-аппаратный комплекс, а УЦ, согласно законодательству РФ, — это всегда организация, носитель определенных прав и обязанностей, отвечающий по закону за достоверность данных, записанных в сертификате. В сертификате указывается, имеет ли право данное лицо подписывать тот или иной документ12. Сертификат по закону должен содержать сведения об отношениях, при которых ЭД имеет юридическую силу. Обычно в сертификате указывается, какие именно документы можно подписывать данным сертификатом; например, там могут быть перечислены: договор оказания экспедиционных услуг; договор купли-продажи; акт сверки расчетов; акт зачета встречных требований и т.п.
2.3 Корневые УЦ
Теперь
опровергнем миф о том, что ЭЦП в России
не работает якобы потому, что не существует
системы с федеральным (корневым) УЦ. Закон
об ЭЦП не определяет, должен ли УЦ вступать
в какие-то взаимоотношения с другими
УЦ. Более того, УЦ всегда является организацией,
поэтому если «УЦ1» и «УЦ2» (рис. 2) вступили
в какие-то отношения в плане подчиненности
некоторому корневому центру, то, в соответствии
с нормами Гражданского кодекса РФ, это
не означает, что участник информационной
системы «ИС1» должен принимать к исполнению
документы, заверенные центром «УЦ2». Если
договор между «УЦ1» и «УЦ2» налагает обязательства
на третью сторону, то эта сторона должна
быть участником данного договора. Если
же третья сторона не является участником
данного договора, то такой договор не
имеет юридической силы в части обязательств,
налагаемых на третьих лиц.
Рис. 2. Если договор между УЦ1 и УЦ2 налагает обязательства на третью сторону, то она должна быть участником этого договора
Если
речь идет о системе органов