Последние два десятилетия характерны тем, что бумажные технологии обработки информации постепенно заменяются ее электронными аналогами. Однако защитных атрибутов, присущих бумажным документам: подписей, печатей, штампов, водяных знаков, специальной фактуры бумажной поверхности и т.д., электронные аналоги не имеют. Поэтому возникает задача защиты электронных документов.
К настоящему времени такой механизм уже разработан и получил название электронной цифровой подписи (ЭЦП).
Чаще всего ЭЦП используется для аутентификации текстов, передаваемых по телекоммуникационным каналам. В общем случае ЭЦП аналогична обычной рукописной подписи и обладает ее основными свойствами: удостоверяет, что подписанный тест исходит именно от лица, поставившего подпись, и не дает самому этому лицу возможности отказаться от обязательств, связанных с подписанным текстом. Кроме этого, ЭЦП должна зависеть от содержания подписываемого документа и времени его подписания. Она должна однозначно подтверждать, что только подписывающее лицо, и только оно, подписало электронный документ.
ЭЦП представляет собой небольшое количество дополнительной информации, передаваемой вместе с подписываемым текстом. Естественно, ЭЦП формируется с применением описанных выше исключительно стойких к взлому (не менее 50 лет на решение методом тотального перебора с использованием всей самой современной вычислительной техники) криптографических алгоритмов. При этом для формирования ЭЦП используется секретный ключ, а при ее проверке – открытый ключ.
В настоящее время существует несколько методов построения ЭЦП:
1. Шифрование электронного документа (ЭД) на основе симметричных алгоритмов. В этой схеме кроме отправителя и получателя должен быть третий участник – арбитр, пользующийся доверием обеих сторон. Авторизацией документа в данной схеме является зашифрование документа секретным ключом и передача его арбитру.
2. Использование асимметричных алгоритмов шифрования. Фактом подписания документа является его зашифрование на секретном ключе отправителя.
3. Обработка электронного документа с использованием хэш‑функции и асимметричного алгоритма выработки подписи на секретном ключе отправителя.
4. Групповая подпись.
5. Неоспариваемая подпись.
6. Доверенная подпись.
Варианты 4-6 фактически повторяют предыдущие, их существование обусловлено разнообразием задач, решаемых с помощью технологий передачи и обработки ЭД. В частности, их можно использовать в тех случаях, когда не один, а несколько руководителей имеют право подписи тех или иных видов документов, или право подписи передано некоторому лицу.
Для подтверждения действительности открытого (несекретного, общего) ключа при использовании асимметричных схем применяют цифровые сертификаты. Так, цифровой сертификат в стандартном формате Х.509 должен включать следующие элементы:
1. Номер версии.
2. Серийный номер сертификата.
3. Эмитент информации об алгоритме.
4. Эмитент сертификата.
5. Дата начала и окончания действия сертификата.
6. Информацию об алгоритме общего ключа субъекта сертификата.
7. Подпись эмитирующей организации.
Несмотря на стойкость алгоритмов выработки и проверки ЭЦП с технической точки зрения в юридическом аспекте они нуждаются в нормативно-правовом закреплении. Для придания электронным документам, подписанным ЭЦП, той же юридической силы, что и бумажным, во многих странах принимаются специальные законы, закрепляющие как алгоритмы используемых криптографических преобразований, так и организационные и административные процедуры. В Российской Федерации таким нормативно-правовым актом стал Федеральный закон № 1-ФЗ от 10 января 2002 г. "Об электронной цифровой подписи".
6.2. Федеральный закон № 1-ФЗ от 10.01.2002 г. "Об электронной цифровой подписи"
Данный Закон обеспечивает правовые условия использования ЭЦП. В нем введены и описаны определения следующих терминов:
электронный документ (ЭД);
электронно-цифровая подпись (ЭЦП);
владелец сертификата ключа подписи;
средства ЭЦП;
сертификат ЭЦП;
закрытый ключ ЭЦП;
открытый ключ ЭЦП;
сертификат ключа подписи (СКП);
подтверждение подлинности ЭЦП в ЭД;
пользователь сертификата ключа подписи;
информационная система общего пользователя;
корпоративная ИС.
Здесь также определены условия, при которых ЭЦП в ЭД равнозначна собственноручной подписи в документе на бумажном носителе:
1. Сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу на момент проверки или на момент подписания ЭД (если дату подписания документа можно установить).
2. Подтверждена подлинность ЭЦП в ЭД.
3. ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Для создания ключей ЭЦП должны использоваться только сертифицированные средства, прошедшие сертификацию в соответствии с законодательством РФ.
В отличие от ранее рассмотренного сертификата X.509, по Закону сертификат ключа ЭЦП должен содержать следующие сведения:
1. Уникальный регистрационный номер сертификата ключи подписи (СКП), даты начала и окончания срока действия СКП, находящегося в реестре удостоверяющего центра (УЦ).
2. Фамилия, имя и отчество владельца СКП или псевдоним владельца.
3. Открытый ключ ЭЦП.
4. Наименование средств ЭЦП, с которыми используется данный ключ.
5. Наименование и местонахождение удостоверяющего центра, выдавшего СКП.
6. Сведения об отношениях, при осуществлении которых ЭД с ЭЦП будет иметь юридическое значение.
Кроме того, в СКП могут указываться должность и местонахождение организации, квалификация владельца, а по заявлению в письменной форме и иные сведения, подтверждаемые соответствующими документами.
Сертификат ключа ЭЦП может принадлежать и выдаваться только физическому лицу.
СКП может быть выдан в форме документа на бумажном носителе (на бланке удостоверяющего центра с подписями и печатью). Если СКП выдается в электронной форме, то и подписывается он ЭЦП уполномоченного лица удостоверяющего центра.
По истечении срока хранения СКП он исключается из реестра СКП и переводится в режим архивного хранения со сроком хранения не менее 5 лет.
В качестве удостоверяющего центра (УЦ), выдающего СКП, может выступать только юридическое лицо, обладающее необходимыми материальными и финансовыми возможностями. Эти требования определяются Правительством РФ. Деятельность УЦ подлежит лицензированию в соответствии с законодательством РФ.
Удостоверяющий центр выполняет следующие функции:
1. Изготавливает СКП.
2. Создает ключи ЭЦП с гарантией сохранения в тайне закрытого ключа ЭЦП.
3. Приостанавливает и возобновляет действие СКП, а также аннулирует их.
4. Ведет реестр СКП, обеспечивает его актуальность и возможность свободного доступа к нему пользователей ИС.
5. Проверяет уникальность открытых ключей ЭЦП в реестре СКП и архиве удостоверяющего центра.
6. Выдает СКП в форме документов на бумажных носителях и (или) в форме ЭД с информацией об их действии.
7. Осуществляет по обращениям пользователей СКП подтверждение подлинности ЭЦП в ЭД в отношении выданных им СКП.
8. Предоставляет пользователям ИС иные, связанные с ЭЦП, услуги.
Изготовление СКП осуществляется на основе заявления пользователя ИС, в котором должны быть указаны необходимые сведения, используемые для идентификации владельца СКП и передачи ему сообщений. Заявление подписывается владельцем СКП. Все сведения, содержащиеся в заявлении, должны быть подтверждены соответствующими документами.
После получения заявления, УЦ изготавливает 2 экземпляра СКП, оформляет их на бумажных носителях с собственноручными подписями владельца СКП и уполномоченного лица УЦ, которые потом скрепляются печатью УЦ. Один экземпляр СКП выдается владельцу, а второй – остается в УЦ. Эти же документы в виде ЭД оформляются и выдаются безвозмездно.
Уполномоченное лицо УЦ должно иметь соответствующие полномочия, оформленные федеральным органом исполнительной власти. Этот орган ведет единый государственный реестр СКП, которыми УЦ заверяют выдаваемые ими СКП.
Обязательства УЦ:
1. Вносить СКП в реестр.
2. Обеспечивать выдачу СКП обратившихся к ним пользователей ИС.
3. Приостанавливать действие СКП по обращению его владельца.
4. Уведомлять владельца СКП о фактах, которые стали известны УЦ и которые могут сказаться на возможности дальнейшего использования СКП.
5. Иные обязательства, установленные нормативными правовыми актами или соглашением сторон.
Обязательства владельца СКП:
1. Не использовать для ЭЦП открытые или закрытые ключи, если они используются или использовались ранее.
2. Хранить в тайне закрытый ключ ЭЦП.
3. Требовать приостановления действия СКП, если есть основания утверждать, что тайна закрытого ключа ЭЦП нарушена.
СКП аннулируется в следующих случаях:
1. По истечении срока его действия.
2. При утрате юридической силы сертификата ключа подписи.
3. По заявлению владельца СКП (в письменной форме).
4. В случае, если УЦ стало достоверно известно о прекращении действия документа, на основании которого был выдан СКП.
5. В иных, установленных нормативными актами случаях.
Деятельность УЦ, выдавшего СКП, может быть прекращена в порядке, установленном гражданским законодательством, а его функции, по согласованию с владельцами СКП, могут быть переданы другому УЦ, в противном случае, СКП аннулируются и передаются на хранение федеральному органу исполнительной власти.
