Автор: Пользователь скрыл имя, 19 Февраля 2012 в 09:49, курсовая работа
Целью исследования, проводимого в данной курсовой работе, является получение характеристики ЭЦП и определение степени безопасности при передаче ценного материала по сети.
Задачи: изучить историю возникновения и применение электронно-цифровой подписи на предприятиях в организациях и управлениях, рассмотреть методы и способы внедрения электронно-цифровой подписи на предприятия, очертить круг проблем, с которыми сталкиваются руководители при использовании данного вида шифрования информации, оценить ситуацию с использование электронно-цифровой подписи в Приморском крае.
ВВЕДЕНИЕ 3
1. ГЛАВА ПОНЯТИЕ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ И ИСТОРИЯ ЕЕ СОЗДАНИЯ. 5
1.1 История создания электронной цифровой подписи 5
1.2 Понятие и использование ЭЦП 7
1.3 Законодательная платформа ЭЦП 13
1.4 Электронный документооборот в органах власти. 14
ГЛАВА 2 ОСОБЕННОСТИ ПРИМЕНЕНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ. 20
2.1 ЭЦП и юридическая значимость электронного документа 20
2.2 Защита целостности электронных данных и обеспечение его юридической силы 26
2.3 Корневые УЦ 28
2.4 Почему необходим корневой УЦ 31
2.5 Примеры действующих информационных систем 34
2.6 Технические аспекты применения ЭЦП 36
2.7 Методы построения цифровой подписи 40
2.8 Опыт внедрения системы электронного документооборота в исполнительных органах государственной власти 47
2.9 Особенности применения ЭЦП в органах власти 54
2.9 Алгоритмы кодирования и декодирования ЭЦП 59
2.9.1 DSA 59
2.9.2 ECDSA 63
ГЛАВА 3 РЕКОМЕНДАЦИИ ОТНОСИТЕЛЬНО СДАЧИ ОТЧЕТНОСТИ В ЭЛЕКТРОННОМ ВИДЕ 67
3.1 Сдача отчетности в электронном виде - Приморский край 67
3.2 Сложности, возникающие при использовании ЭЦП 70
3.3 Управление ключами 73
ВВЕДЕНИЕ 3
1. ГЛАВА ПОНЯТИЕ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ И ИСТОРИЯ ЕЕ СОЗДАНИЯ. 5
1.1 История создания электронной цифровой подписи 5
1.2 Понятие и использование ЭЦП 7
1.3 Законодательная платформа ЭЦП 13
1.4 Электронный документооборот в органах власти. 14
ГЛАВА 2 ОСОБЕННОСТИ ПРИМЕНЕНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ. 20
2.1 ЭЦП и юридическая значимость электронного документа 20
2.2 Защита целостности электронных данных и обеспечение его юридической силы 26
2.3 Корневые УЦ 28
2.4 Почему необходим корневой УЦ 31
2.5 Примеры действующих информационных систем 34
2.6 Технические аспекты применения ЭЦП 36
2.7 Методы построения цифровой подписи 40
2.8 Опыт внедрения системы электронного документооборота в исполнительных органах государственной власти 47
2.9 Особенности применения ЭЦП в органах власти 54
2.9 Алгоритмы кодирования и декодирования ЭЦП 59
2.9.1 DSA 59
2.9.2 ECDSA 63
ГЛАВА 3 РЕКОМЕНДАЦИИ ОТНОСИТЕЛЬНО СДАЧИ ОТЧЕТНОСТИ В ЭЛЕКТРОННОМ ВИДЕ 67
3.1 Сдача отчетности в электронном виде - Приморский край 67
3.2 Сложности, возникающие при использовании ЭЦП 70
3.3 Управление ключами 73
ЗАКЛЮЧЕНИЕ 78
СПИСОК ЛИТЕРАТУРЫ 80
Выводы
Криптография сегодня - это важнейшая часть всех информационных систем: от электронной почты до сотовой связи, от доступа к сети Internet до электронной наличности. Исторически первой задачей криптографии была защита передаваемых текстовых сообщений от несанкционированного ознакомления с их содержанием, что нашло отражение в самом названии этой дисциплины. С усложнением информационных взаимодействий в человеческом обществе возникли и продолжают возникать новые задачи по их защите, некоторые из них были решены в рамках криптографии, что потребовало развития принципиально новых подходов и методов.
ГЛАВА 3 РЕКОМЕНДАЦИИ ОТНОСИТЕЛЬНО СДАЧИ ОТЧЕТНОСТИ В ЭЛЕКТРОННОМ ВИДЕ
3.1 Сдача отчетности в электронном виде - Приморский край
Министерство по налогам и сборам России начало активную работу по приёму налоговой и бухгалтерской отчётности от предприятий индивидуальных предпринимателей в электронном виде. Планируется, что к концу 2010 года 70 процентов налогоплательщиков будут подавать свои отчеты по телекоммуникационным каналам связи и на электронных носителях.
Сегодня любой налогоплательщик, осуществляющий свою деятельность в Приморском крае, может обратиться в районную налоговую инспекцию, где ему предоставят программы для заполнения необходимых документов. На официальном сайте Управления МНС России по Приморскому краю (www.r25.nalog.ru) размещены программные продукты, которые свободно можно использовать в формировании безбумажной сдачи налоговой отчётности: «Налогоплательщик ЮЛ», программный комплекс: «Возмещение НДС: налогоплательщик», налоговая декларация на доходы физических лиц, программа подготовки документов для государственной регистрации юридических лиц, программный комплекс «Подготовка платёжных документов» и т.д.
Переход на общепринятый в мире приём отчётности позволит значительно упростить взаимодействие между налоговыми инспекциями и налогоплательщиками и обеспечить построение деловых отношений в режиме реального времени.
В рамках этой системы налогоплательщик получает возможности заполнения форм бухгалтерской и налоговой отчетности, автоматического контроля за правильностью заполнения форм и доставки в налоговую инспекцию в виде зашифрованных файлов. Такой порядок работы исключает потерю времени на стояние в очередях в налоговой инспекции, а также расширяет временные рамки сдачи налоговой отчетности, поскольку бухгалтер может отправить файлы до 24 часов последнего дня сдачи отчетности. Присланные налогоплательщиком данные проходят входной контроль и разносятся на лицевые счета автоматически, что исключает технические ошибки и повышает оперативность обработки информации.
Немаловажным
преимуществом для
В настоящее время Управление МНС России по Приморскому краю решает проблему использования электронной цифровой подписи. Организация -специализированный оператор связи – в недалеком будущем будет присваивать налогоплательщикам, желающим предоставлять отчётность по телекоммуникационным каналам, электронную подпись. Документ в электронном виде, подписанный электронной цифровой подписью, приобретает статус оригинала, а организации и частные лица при этом освобождаются от необходимости готовить бумажный вариант документации.
Акцентирую
внимание на том, что в Приморье все
большее число
В начале текущего 2010 финансового года все бухгалтеры бюджетной сферы заняты подготовкой и сдачей бюджетной отчетности. И, естественно, им хотелось бы сдать отчеты с первого раза, без ошибок и исправлений. Порой это непросто, ведь наиболее существенные изменения в нормативные акты, регламентирующие порядок работы бухгалтеров, вносятся с переходом на новый отчетный финансовый год.
Приказом Минфина России от 09.11.2009 № 115н (далее - Приказ № 115н) были внесены изменения в Инструкцию по бюджетной отчетности, которые необходимо учесть при подготовке отчетности за 2009 г. 35
Часть корректировок Инструкции №128н связана с электронной формой обмена документами. По сути, представление отчетности только в электронном виде - нарушение законодательства, потому что есть разные понятия: "электронный документ" и "документ в электронной форме". Если осуществляется передача документа в электронной форме, то такой документ должен сопровождаться бумажным видом. С 2009 г.установлено требование о том, чтобы бюджетная отчетность на бумажном носителе представлялась исключительно главным бухгалтером субъекта отчетности или лицом, ответственным за ведение бюджетного учета.
Кроме того, начиная с годового отчета за 2009 г. для всех субъектов РФ введена обязательная процедура представления электронных документов в части отчетности. То есть отчетность должна представляться не просто в электронном виде, а с электронно-цифровой подписью. По результатам принятия годового отчета финансовые органы будут формировать соответствующее извещение и отсылать его СБО.
Переход на электронную форму обмена документами - очень актуальный вопрос. Тем более что Центробанк России принимает решение в части кассовых расходов только об электронной выписке со счета. Отмечу, что в связи с этим может последовать корректировка Инструкции №148н, в которой будут регламентированы вопросы работы с электронными выписками, вопросы обеспечения электронного хранения архивов этих выписок и т. п.
3.2 Сложности, возникающие при использовании ЭЦП
Существует вероятность подделки цифровой подписи. Анализ возможностей подделки подписей называется криптоанализ. Попытку фальсифицировать подпись или подписанный документ, криптоаналитики называют «атака».
Модели атак и их возможные результаты
В своей работе Гольдвассер, Микали и Ривест описывают следующие модели атак, которые актуальны и в настоящее время:
Также в работе описана классификация возможных результатов атак:
Ясно, что самой «опасной» атакой является адаптивная атака на основе выбранных сообщений, и при анализе алгоритмов ЭЦП на криптостойкость нужно рассматривать именно ее (если нет каких-либо особых условий).
При безошибочной реализации современных алгоритмов ЭЦП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭЦП построена. Гораздо более вероятен поиск криптоаналитиком коллизий первого и второго рода. Коллизия первого рода эквивалентна экзистенциальной подделке, а коллизия второго рода — выборочной. С учетом применения хеш-функций, нахождение коллизий для алгоритма подписи эквивалентно нахождению коллизий для самих хеш-функций.
Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:
Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:
Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.
Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма — килобайты.
Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования MD5.
Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключами.
Использование
протоколов обмена ключами и защита
закрытого ключа от несанкционированного
доступа позволяет снизить
3.3 Управление ключами
Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭЦП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации.
Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.
Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны (рис.8).
Рис. 8 Смарт-карта и USB-брелоки eToken
Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищенность ключа полностью зависит от защищенности компьютера, и пользователь может подписывать документы только на этом компьютере.