Рассмотрим более подробно два важнейших понятия, которые составляют основу современного электронного документооборота и, по существу, определяют инфраструктуру развитого общества.
В чем состоит проблема аутентификации данных?
В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие обычно преследует две цели. Во-первых, получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д.
Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами – техническая деталь, то с подписью электронной дело обстоит иначе. Подделать цепочку битов, просто ее скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь. Обнаружить же такую подделку удается не всегда.
С широким распространением в современном мире электронных форм документов (в том числе и конфиденциальных) и средств их обработки особо актуальной стала проблема установления подлинности и авторства безбумажной документации.
В разделе симметричных криптографических систем (с открытым ключом) было показано, что при всех преимуществах современных систем шифрования они не позволяют обеспечить аутентификацию данных. Поэтому средства аутентификации должны использоваться в комплексе и криптографическими алгоритмами.
Рис. 13.2. Применение электронной подписи
Цифровая подпись представляет собой зашифрованный хэш, который добавляется к документу. Она может использоваться для аутентификации отправителя и целостности документа.
Цифровой сертификат
Цифровым сертификатом называется сообщение с цифровой подписью, которое используется для подтверждения действительности общего ключа.
Закон РФ «Об электронной цифровой подписи»
В Российской Федерации основным документом, регулирующим правовые аспекты деятельности, связанной с задачами управления ключами и функционированием УЦ, является Федеральный закон Российской Федерации от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи». В связи с его важностью для построения информационной инфраструктуры государства рассмотрим его более подробно.
Целью этого закона является обеспечение правовых условий использования электронной цифровой подписи (ЭЦП) в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной (традиционной) подписи в документе на бумажном носителе. Его действие распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.
Закон определяет условия использования ЭЦП, давая юридическую трактовку понятий и условий, возникающих при ее использовании. Так, ЭЦП признается равнозначной собственноручной подписи при соблюдении следующих трех условий:
· сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
· подтверждена подлинность ЭЦП в электронном документе;
· ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Обязательным условием использования средств ЭЦП в информационных системах общего пользования в Российской Федерации является применение только сертифицированных средств ЭЦП. Возмещение убытков, причиненных в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации. Согласно закону, использование несертифицированных средств ЭЦП и созданных ими ключей ЭЦП в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается. Сертификация средств ЭЦП осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.
Закон определяет состав информации, которая в обязательном порядке должна заноситься в сертификат открытого ключа. Это уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре УЦ, фамилия, имя и отчество владельца сертификата ключа подписи или его псевдоним, открытый ключ электронной цифровой подписи, наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи, наименование и место нахождения УЦ, выдавшего сертификат ключа подписи, сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение. Определяются также порядок проверки сертификата, при котором он признается действительным, сроки архивного хранения сертификатов ключей подписи с целью разрешения возможных конфликтных ситуаций, связанных с принадлежностью ЭЦП.
В законе «Об электронной цифровой подписи» также изложены правовые основы деятельности удостоверяющих центров (УЦ). УЦ, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные законом «Об электронной цифровой подписи». При этом:
· УЦ должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.
· Статус УЦ, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы.
Деятельность УЦ подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности.
В законе «Об электронной цифровой подписи» детально изложены права и обязанности УЦ, порядок выдачи им сертификатов ключей подписи, отношения между УЦ и уполномоченными федеральными органами исполнительной власти РФ, обязательства УЦ по отношению к владельцу сертификата ключа подписи, обязательства владельца сертификата ключа подписи. Описаны порядок приостановления действия и аннулирования ключа цифровой подписи. Определяется возможность и описывается порядок прекращения действия УЦ на территории Российской Федерации.
Особая часть закона посвящена особенностям использования ЭЦП в Российской Федерации. Отдельные статьи закона посвящены использованию ЭЦП в сфере государственного управления, в корпоративных информационных системах, вопросам признания иностранных сертификатов ключей ЭЦП, а также случаям, когда ЭЦП может замещать собственноручные подписи на документах, заверенных печатями организаций.
Вопросы для самоконтроля:
1. Почему проблема использования криптографических методов в информационных системах (ИС) стала в настоящий момент особо актуальна?
2. Что такое «криптология» и «криптография»?
3. Какие разделы включает в себя современная криптография?
4. Как выглядит алгоритм обмена сообщениями?
5. Назовите общепринятые требования для современных криптографических систем защиты информации.
6. В чем суть симметричных криптосистем. Какие существуют проблемы, связанные с данным методом?
7. В чем суть асимметричных криптосистем?
8. В каких назначениях можно использовать алгоритмы криптосистемы с открытым ключом?
9. Назовите наиболее известный алгоритм общего ключа, который стал мировым стандартом де-факто для открытых систем.
10. В чем состоит проблема аутентификации данных?
11. Что такое электронная цифровая подпись и цифровой сертификат?
12. Расскажите суть Закона РФ «Об электронной цифровой подписи».
Список литературы:
1. Анин, Б. Защита компьютерной информации [Текст] / Б. Анин. - СПб.: Феникс, 2005. –376 с.
2. Белов, Е.Б. Основы информационной безопасности. Учебное пособие [Текст] / Е.Б. Белов, В.П. Лось. – М.: Бук-Пресс, 2007. – 157с.
3. Зегжда, П.Д. Безопасность информационных технологий [Текст] / П.Д. Зегджа, С.С. Корт. – СПб.: Феникс , 2005. – 174 с.
4. Мельников, В.П. Информационная безопасность и защита информации [Текст] / В.П. Мельников. - М.: Издательский центр «Академия», 2008. – 336 с.
5. Романец, Ю.В. Защита информации в компьютерных системах и сетях [Текст] / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин. - М.: радио и связь, 2001. – 149 с.
