Вопрос 3. электронная цифровая подпись

 

Одной из форм материального носителя документированной информации могут быть электронные носители. Документированная информация, представленная на электронных носителях, активно распространяется. Однако данный процесс привел к тому, что информация, представленная в электронном виде, в большинстве случаев не считается достоверной. Это связано с тем, что не уточнен статус электронного документа, не решены проблемы его идентификации, не определен статус информационных ресурсов, представленных в электронном виде.

По мере развития современных средств безбумажного документооборота возникла проблема обеспечения доказательств подлинности и целостности документа. Эта проблема затронула как сферу бизнеса и электронных платежей, так и сферу государственного управления. Постоянно расширяющееся применение информационных технологий при создании, обработке, передаче и хранении документов требует в определенных случаях сохранения конфиденциальности их содержания. Невозможно использование каких-либо документов без гарантии их достоверности, которую обеспечивает для документов на материальных носителях подпись должностного лица и печать организации. ГОСТ Р 6.30-2003 определяет, что реквизиты подпись и печать, являются обязательными для обеспечения юридической силы документа[14].

Использование таких реквизитов, как подпись и печать, гарантирует истинность и авторство документа путем сличения подписи с имеющимся образцом. Подпись обладает следующими свойствами, которые позволяют использовать ее для подобных целей:[15]

· подпись аутентична, то есть с ее помощью получателю документа можно доказать, что она принадлежит подписывающему;

· подпись служит доказательством, что только тот человек, чей автограф стоит на документе, мог подписать данный документ, и никто иной;

· подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно;

· документ с подписью является неизменяемым;

· подпись неоспорима;

· любое лицо, владеющее образцом подписи, может удостовериться, что документ подписан владельцем подписи.

Однако в электронном документе невозможно использовать реквизиты подпись и печать. Поэтому для обеспечения подлинности и достоверности электронных документов применяются различные технические методы защиты информации. Одним из наиболее эффективных методов защиты является криптография, которая активно применяется в государственных и коммерческих структурах. На основе криптографического механизма построена и электронная цифровая подпись. Подобная подпись применяется в электронном документообороте с середины 1990-х годов.

Внедрение электронной цифровой подписи (ЭЦП) позволяет решить многие проблемы перехода с бумажного документооборота на электронный и повысить эффективность деятельности организации:

· повысить скорость прохождения документов, писем, договоров, а так же всех сопутствующих документов. ЭЦП позволяет сократить цикл обработки документов, исключив некоторые этапы работы, традиционно присутствующие при обмене бумажными документами;

· увеличить контроль над исполнением документов, поручений и указаний руководства;

· обеспечить целостность и защиту от несанкционированных изменений электронных документов;

· связать должностные полномочия физических лиц, участвующих в электронном документообороте, с электронным документом и ролевыми разграничениями, накладываемыми системой электронного документооборота;

· обеспечить защиту информации от несанкционированного доступа путем внедрения аутентификации на основе сертификатов открытых ключей;

· обеспечить защиту информации, передаваемой по открытым каналам связи, путем ее шифрования.

В 2002 году был принят Федеральный закон «Об электронной цифровой подписи»[16]. В Законе закреплены понятия и термины, имеющие определяющее значение для формирования электронного документооборота.

Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.

Электронная цифровая подпись – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронно-цифровой подписи и позволяющий идентифицировать владельца сертификата ключа электронно-цифровой подписи, а также установить отсутствие искажения информации в электронном документе.

Закон выдвигает детализированные требования к ЭЦП, в том числе к применяемой технологии. Упомянутое криптографическое преобразование представляет собой одну из разновидностей шифрования, при которой с помощью секретного параметра преобразования (закрытого ключа) устанавливается взаимно-однозначное соответствие между блоком открытой информации, представленной в цифровом виде, и блоком шифрованной информации, также представленной в цифровом виде.

Система криптографической защиты может обеспечивать конфиденциальность информации, контроль доступа к ней, возможность однозначной идентификации отправителя информации и исключает модификацию, незаметное для отправителя и получателя информации внесение изменений, отказ отправителя информации от своего авторства.

Различают два типа криптографических алгоритмов: симметричные и асимметричные. В первом случае оба абонента, участвующие в процессе передачи информации, используют одинаковые ключи, а во втором - разные, «секретный» и «открытый». Асимметричная криптография является более надежной и защищенной от подделки. Поэтому Закон признает только ЭЦП, построенные по принципу асимметричного шифрования. Алгоритм криптографического преобразования должен соответствовать ГОСТу 28147-89[17], ГОСТу Р 34.10-94[18] и ГОСТу Р 34.11-94[19]. ЭЦП, построенные по принципу симметричного кодирования, а также различные символы, пароли, персональные идентификационные номера не признаются в качестве электронной подписи. В то же время Гражданский кодекс РФ в статье 160 позволяет рассматривать их как разновидность электронной подписи. Это согласуется с международной практикой о «технологической нейтральности» электронной подписи.

Целями использования ЭЦП в соответствии с действующим законодательством являются защита электронного документа от подделки, идентификация владельца подписи, установление отсутствия искажения информации в электронном документе. Следует отметить, что сама по себе ЭЦП не может защитить от подделки, она лишь может выявить изменения в электронном документе[20]. Таким образом, электронный документ, а следовательно, и электронный документооборот не может существовать без ЭЦП, которая должна обеспечивать достоверность электронных документов.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. К средствам ЭЦП относятся аппаратные и программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей.

Идентификация подписи обеспечивается благодаря закрытому ключу электронной цифровой подписи – это уникальная последовательность символов, известная владельцу сертификата ключа подписей и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи. Фактически закрытый ключ представляет собой программу для зашифровывания информации, изложенной в электронном документе. Закрытый ключ хранится только у владельца ЭЦП, принимающего необходимые меры для ограничения доступа третьих лиц к закрытому ключу.

Цифровая подпись создается путем вычисления кода, выведенного из подписанного электронного документа и закрытого ключа. Для создания цифровой подписи используется так называемая «хэш-функция». Благодаря этой функции делается цифровой слепок с электронного документа в виде уникального кода. Потом программа подписывающей стороны преобразует полученный хэш-результат в цифровую подпись, соотнеся его с закрытым ключом подписывающих сторон[21]. В результате цифровая запись оригинальна как для электронного документа, так и для закрытого ключа, который использовался. Подлинность подписи можно проверить с помощью открытого ключа, благодаря которому идентифицируется подпись для третьих лиц.

Подтверждение подлинности электронной цифровой подписи осуществляется путем вычисления хэш-результата исходного электронного документа с помощью хэш-функции, которая используется при создании цифровой подписи. Лицо, получившее электронный документ с электронной цифровой подписью, проверяет, была ли цифровая подпись создана с помощью ключа, соответствующего открытому ключу, и соответствует ли вычисленный хэш-результат хэш-результату, выведенному из цифровой подписи. Для такой проверки лицо, получившее электронный документ с электронной цифровой подписью, должно обладать соответствующими аппаратными и программными средствами, которые называются открытым ключом.

Открытый ключ электронной цифровой подписи представляет собой уникальную последовательность символов, соответствующую закрытому ключу, доступную любому пользователю информационной системы и предназначенную для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе. Открытый ключ передается всем участникам защищенного обмена информации для проверки подлинности электронного документа и установления личности лица, создавшего его.

Открытый ключ оформляется в виде сертификата. Сертификат ключа подписи - совокупность данных, включающая в себя открытый ключ электронной цифровой подписи, сведения, идентифицирующие владельца сертификата, сведения о стандарте используемого криптографического алгоритма электронной цифровой подписи, а также уникальный номер (серийный номер сертификата). Сведения, зафиксированные в сертификате, также заверяются ЭЦП удостоверяющего центра для защиты сертификата от подмены или искажения и записываются в специальную базу данных[22].

Документ, подписанный электронной цифровой подписью, будет иметь юридическую силу или будет подлинным, если:

· лицо, подписавшее его, вправе подписывать этот документ;

· подписавшее лицо владеет сертификатом средств электронной цифровой подписи и подпись выполнена в пределах срока действия сертификата и в соответствии со сведениями, указанными в сертификате;

· лицо, получившее электронный документ, обладает аппаратными и программными средствами, обеспечивающими проверку подлинности подписи.

Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:[23]

· сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

· подтверждена подлинность электронной цифровой подписи в электронном документе;

· электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.