+7 (499) 322-30-47  Москва

+7 (812) 385-59-71  Санкт-Петербург

8 (800) 222-34-18  Остальные регионы

Бесплатная консультация с юристом!

Суть процесса сертификации эцп

Сертификат электронной подписи подтверждает принадлежность электронной подписи владельцу и содержит: -закрытый ключ — для генерации электронных подписей; -открытый ключ — для проверки подлинности подписи получателем; -сведения о владельце — для проверки получателем информации об авторе документа.

Для того чтобы начать пользоваться электронной подписью (сдавать отчетность, участвовать в электронных торгах, подписывать, зашифровывать и расшифровывать документы), необходимо получить сертификат электронной подписи в одном из удостоверяющих центров.

Функция удостоверяющего центра в этом случае заключается в том, чтобы подтвердить подлинность сведений о владельце и выдать сертификат нужного пользователю тарифного плана. Сертификат электронной подписи подтверждает принадлежность электронной подписи владельцу и содержит:

  • закрытый ключ — для генерации электронных подписей;
  • открытый ключ — для проверки подлинности подписи получателем;
  • сведения о владельце — для проверки получателем информации об авторе документа.

Для соблюдения правил информационной безопасности срок действия сертификата ограничен. Сертификат выдается владельцу на год, по истечении которого его необходимо продлевать.

Кроме того, при угрозе компрометации закрытого ключа (например, если владелец потерял или оставил без присмотра ключевой носитель), при утере пароля или смене реквизитов сертификат отзывается и взамен выдается новый.

Удостоверяющий центр СКБ Контур — единственный в России центр, который выдает сертификаты электронной подписи на 15 месяцев. А заказав услугу «Сопровождение сертификата», владелец может бесплатно перевыпускать сертификат в течение срока его действия в случае компрометации или смены требований электронной площадки к виду электронной подписи.

УЦ СКБ Контур выпускает все виды электронных подписей.

Суть процесса сертификации эцп

Организационное обеспечение электронной цифровой подписи (ЭЦП) осуществляется в соответствии с законодательством государства, на территории которого используется такое средство. ЭЦП. Если такого законодательства нет, пр равове регулирования в области применения средств. ЭЦП осуществляется на основе нормативных актов административных органев.

Необходимость сертификации средств ЭЦП

Средство. ЭЦП — это программное и / или аппаратное обеспечение для генерации пары ключей (закрытого и открытого) и их автоматизированного применения во время шифрования или дешифрования электронной подписи. Поскольку от алгоритмов, на основе которых средство. ЭЦП, зависит надежность и устойчивость документооборота, к средствам. ЭЦП существуют специальные требованияи.

Необходимость сертификации открытых ключей

Открытый ключ потому и называется открытым, что он доступен каждому из партнеров владельца закрытого ключа. Если в случае обращения от партнера Oksanlia к партнеру. Магу нужен защищенный канал связи в, то партнер Oksanka может воспользоваться открытым ключом партнера. Магу. Тогда он может быть относительно уверен, что в канале связи сообщение не перехватят. Но остается открытым вопрос, ведет этот канал действительно к партнеру. Маrу! она желает перехватить чужие данные. В этом случае она может с помощью средства. ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера. Маrу. Тогда все сообщения от партнера Oks sanka к партнеру. Маrу перехоплюватимуться и читаться стороной Artиrо, причем ни Oksanka, ни. Магу даже не догадываться о том, что Arturo участвует вдоговорных»отношений; відносинах.

Приведенный пример иллюстрирует лишь простейшую форму злоупотребления, потому что хотя в открытом ключе и приводятся данные о его владельце, в нем нет средств, которые удостоверяют подлинность этих данных без решения ния этого вопроса механизм. ЭЦП нельзя использовать в электронной коммерции, ни в электронном документооборотеу.

Значительная часть государственных законодательных актов, касающихся электронных цифровой подписи, коммерции и документооборота, посвященная механизма удостоверения личности владельца открытого ключа. Во всех случаях ц этот механизм основан на том, что вводится (назначается) дополнительная сторона подтверждает принадлежность открытого ключа конкретному юридическому или физическому лиці.

Кто именно имеет право удостоверять открытые ключи, когда и как, в законодательствах разных государств решается по-разному частности, это может быть государственный орган или организация, уполномоченная государством для ведения ния такой деятельности. Возможно, что для внутреннего документооборота предприятия эту функцию можно поручить лицу, назначенному руководством, а для документооборота внутри ведомства — уполномоченному шк здиллу.

Понятие электронного сертификата

На практике сертификация открытых ключей выполняется следующим образом

Лицо (юридическое или физическое), создавшая себе пару ключей (открытый и закрытый) с помощью средства. ЭЦП, должен обратиться в орган, уполномоченный выполнить сертификацию. Этот орган называется. Центром августа ртификации (Certification Authority,. СА).

Центр сертификации проверяет принадлежность открытого ключа заявителю и удостоверяет этот факт добавлением к открытому ключу своей подписи, зашифрованного собственным закрытым ключом

Любой партнер, желающий вступить в контакт с владельцем ключа, может прочитать удостоверяющий запись с помощью открытого ключа центра сертификации. Если целостность этой записи не пор рушена и он доверяет центра сертификации, то может использовать открытый ключ партнера для связи с ним.

Следует обратить внимание, что центр сертификации заверяет только факт принадлежности открытого ключа конкретному лицу или организации. В литературе существуют некорректные утверждения о том, что центр сертификации будто ито заверяет добросовестность владельца открытого ключа самом деле, сертификация открытого ключа не касается добросовестности, платежеспособности, усердия и любых других деловых качеств его владельца. При клад — общегражданский паспорт. Это средство удостоверения только лица его владельца. Паспорт не может и не должен содержать какие-либо данные, характеризующие своего владельца. Для этого есть другие средства. Наличие ь полноценного сертификата открытого ключа говорит о том, что ключ можно использовать для удостоверения личности партнера. Но целесообразность этих отношений центром сертификации не удостоверяетсядчується.

Электронная цифровая подпись простым языком

Электронная цифровая подпись простым языком

Преимущества оформления и обработки документов в электронной форме не требуют отдельного разъяснения. Они очевидны. Это и гибкость в создании, и оперативность в обработке и существенное снижение накладных расходов на документирование: бумага, почтовые расходы и т.д.

Общая технология применения ЭЦП

Для понимания технологии применения ЭЦП необходимо привести ряд основных терминов, их определений и разъяснений.

Ключ подписи (эквивалентные термины: закрытый ключ, секретный ключ) – число, записанное на носителе (дискета, флэшка, токен и т.д.) в виде группы файлов, с помощью которого создается ЭЦП.

Ключом подписи владеет физическое лицо (сотрудник организации) и владелец ключа подписи должен сохранять его в тайне. Ключ подписи имеет свой срок действия. Как правило, он устанавливается 1 год. Но не более 1 года и 3 месяцев, в соответствии с требованиями ФСБ России.

Сертификат ключа подписи (эквивалентные термины: сертификат открытого ключа, сертификат, СКП) – это своего рода электронная доверенность, изготавливаемая и выдаваемая удостоверяющим центром. Можно сказать, что это файл специальной структуры. Сертификат закрепляет факт владения физическим лицом (сотрудником организации) своим ключом подписи и правомочность данного лица по подписи определенных типов документов или совершения определенных действий. Сертификат не содержит никакой тайны и может быть передан кому угодно. С помощью сертификата проверяется ЭЦП в документе. Сертификат тоже имеет свой срок действия, и этот срок устанавливает удостоверяющим центром при его изготовлении.

Как правило, срок действия сертификатов колеблется от 1 года до 5 лет. Сертификат может быть действующим (срок действия его наступил и неокончен) или просроченным или отозванным (аннулированным).

Удостоверяющий центр (сокращенно: УЦ) – это организация или рабочая группа в организации, которая изготавливает, выдает и управляет (аннулирует, приостанавливает или возобновляет действие) сертификатами ключей подписи. Удостоверяющий центр является доверенной стороной для всех участников системы электронного документооборота.

Удостоверяющий центр изготавливает, выдает и управляет сертификатами ключей подписи в порядке, который он сам и определяет. Этот порядок деятельности Удостоверяющего центра обычно называют Регламентом деятельности УЦ. В УЦ есть уполномоченное лицо, которое подписывает изготовляемые сертификаты ключей подписей для участников системы электронного документооборота.

Средство электронной цифровой подписи (эквивалентные термины: средство криптографической защиты информации (СКЗИ), шифровальное (криптографическое) средство) – это чаще всего программа для ЭВМ, с помощью которого создается и проверяется ЭЦП. Средства ЭЦП сертифицируются ФСБ России.

Между ключом подписи и сертификатом ключа подписи есть математическая связь. Удостоверяющий центр обеспечивает, что одному сертификату ключа подписи соответствует свой один, уникальный, закрытый ключ.

ЭЦП создается с помощью средств ЭЦП только владельцем ключа подписи и соответствующего ему сертификата с помощью ключа подписи. ЭЦП может быть создана только в течение срока действия ключа подписи.

Все сформированные ЭЦП уникальны, нет повторяющихся ЭЦП. Даже один и тот же документ, многократно подписанный с помощью одного и того же ключа подписи, будет содержать отличающиеся по содержанию ЭЦП.

Документ может быть мультивизовым и содержать любое, неограниченное, число ЭЦП различных лиц.

Это интересно:  Код вида расходов на 2019 год

Проверяться ЭЦП может любым лицом, с помощью средства ЭЦП и сертификата ключа подписи. Изменение любого знака в документе или подписи даёт отрицательный результат проверки ЭЦП. Такой же результат проверки ЭЦП получается в том случае, если сертификат ключа подписи не является действующим.

Порядок использования электронных цифровых подписей в СЭД

Порядок использования электронных цифровых подписей в системе электронного документооборота устанавливается решением владельца (организатора) такой системы или соглашением между участниками этой системы. Обычно решение владельца системы или соглашение между участниками такой системы оформляется в виде письменного документа, обычно называемого Регламентом (соглашением) исполнения электронных документов, удостоверенных ЭЦП. Такой Регламент оформляется в виде решения владельца системы (в форме локального нормативного акта) или в форме соглашения участников системы (если участниками являются не сотрудники одной организации, а юридические лица) до начала работы системы электронного документооборота (до начала исполнения электронных документов), т.е. превентивно. Этого требует часть 2 статьи 17 Федерального закона от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи» и ст. 160 Гражданского кодекса РФ.

Как минимум, Регламент исполнения электронных документов, удостоверенных ЭЦП, включает следующие положения:

  • обязательство принимать к исполнению или к сведению электронные документы, удостоверенные ЭЦП, и удовлетворяющие условиям настоящего Регламента;
  • детализированные (по сравнению со ст. 4 Федерального закона от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи») условия равнозначности ЭЦП собственноручной подписи;
  • кто выступает в системе в качестве удостоверяющего центра;
  • какие средства ЭЦП используются в системе;
  • какие типы электронных документов удостоверяются ЭЦП и применяются к исполнению или к сведению;
  • порядок разрешения конфликтов/споров, связанных с применением ЭЦП.

Обычно устанавливается, что ЭЦП в электронном документе равнозначна собственноручной подписи владельца сертификата ключа подписи при одновременном соблюдении следующих условий:

  • сертификат ключа подписи, соответствующий электронной цифровой подписи, издан доверенным УЦ;
  • владелец сертификата ключа подписи идентифицирован по содержимому сертификата ключа подписи;
  • сертификат ключа подписи является действующим;
  • ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи и определяемые Регламентом деятельности УЦ в части отношений, при осуществлении которых электронный документ с ЭЦП будет иметь юридическое значение;
  • положительный результат проверки с использованием средства ЭЦП на предмет отсутствия искажений в подписанном данной ЭЦП электронном документе;
  • ключ подписи на момент подписания электронного документа действовал.

Удостоверяющие центры являются обязательным компонентом для применения ЭЦП.

Теоретически удостоверяющим центром может быть как юридическое, так и физическое лицо. Хотя конечно, в реальности услуги удостоверяющего центра предоставляют только юридические лица.

Различают две категории удостоверяющих центров:

  • внешние – организации, которые оказывают на договорной основе услуги по изготовлению и выдаче сертификатов ключей подписи для нескольких систем документооборота (такие удостоверяющие центры еще называют публичными);
  • собственные – подразделение или рабочая группа предприятия, которая обслуживает систему документооборота на предприятии (такие удостоверяющие центры ещё называют корпоративными). Статус такого УЦ определяется внутренним нормативным документов (приказом), утверждающим положение об удостоверяющем центре.

Поэтому при внедрении системы документооборота с ЭЦП необходимо решить вопрос с удостоверяющим центром – создать собственный или заключить договор с внешним удостоверяющим центром. Какой выбрать? Создание своего удостоверяющего центра – это достаточно хлопотное и затратное мероприятие. Затраты составят сумму свыше 2 миллионов руб. Также необходимо получение лицензий ФСБ России на деятельности связанные с шифровальными (криптографическими) средствами.

Экономически целесообразно создавать собственный удостоверяющий центр, если количество пользователей в системе документооборота превышает 500 человек. В противном случае, экономически целесообразно заключить договор с внешней организацией, предоставляющей подобные услуги.

В настоящий момент в России действуют свыше 300 удостоверяющих центров. Остается только выбрать среди них наиболее подходящий для вас.

Практика применения ЭЦП

Технология ЭЦП уже прочно вошла в отечественную практику работы с электронными документами и сложилась обширная практика применения ЭЦП.

Наиболее известными государственными системами с применением ЭЦП являются:

  1. системы сдачи отчетности в электронной форме по телекоммуникационным каналам связи в налоговые органы, ПФР, ФСС, Росстат, Росалкогольрегулирование.
  2. система электронного таможенного декларирования;
  3. система предоставления сведений, содержащихся в Едином государственном реестре прав на недвижимое имущество и сделок с ним.

Этими системами пользуются уже миллионы юридических и физических лиц.

Внедрены и активно используются системы обмена между организациями электронными документами, удостоверенными ЭЦП, документирующие факты финансово хозяйственной деятельности (договора, накладные, акты и т.д.).

В настоящее время сложилась достаточно обширная судебная практика по делам, в которых в качестве полноценных доказательств принимаются документы в электронной форме, удостоверенные ЭЦП. Эта практика существует и по уголовным делам, и по арбитражным, и по гражданским.

Таким образом, практика применения ЭЦП показывает, что обеспечение равнозначности ЭЦП собственноручной подписи и придание ЭЦП юридической силы не является инновационной, экстраординарной задачей. Количество систем электронного документооборота, в которых используется ЭЦП, неуклонно возрастает. Использование таких систем приносит ощутимую экономическую выгоду.

16.02.2011 Юрий Маслов, Эксперт НП «РОСЭУ», Коммерческий директор компании «КРИПТО-ПРО»

Электронная цифровая подпись

Попытки регламентировать электронный обмен информацией предпринимались еще в Советском Союзе. Общий подход здесь ясен и не вызывает практически ничьих возражений: это принцип аналогии права. Точнее говоря, нужно создать правовую конструкцию, которая бы могла исполнять все основные функции привычного бумажного документа.

В России 10 января 2002 г. принят Закон об ЭЦП. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

В Законе дано определение электронного документа как документа, в котором информация представлена в электронно-цифровой форме (ст. 3).

В законодательстве определены условия, при соблюдении которых электронный документ приобретает статус письменного документа и может служить доказательством в судебном разбирательстве. Так, ГК РФ связывает признание за электронным документом статуса письменного документа с наличием электронной цифровой подписи. В п. 2 ст. 160 ГК РФ электронная цифровая подпись упоминается наряду с факсимильным воспроизведением подписи как один из аналогов собственноручной подписи. В ст. 75 АПК РФ указано, что наличие электронной цифровой подписи позволяет закрепить за электронным документом статус письменного доказательства. В Законе об информации электронная цифровая подпись (ЭЦП) называется реквизитом, закрепляющим за данным видом документа правовой статус документа.

Таким образом, данные законодательные акты связывали материально-правовое значение ЭЦП с приданием информации, представленной в электронно-цифровой форме, правового статуса документа или письменного документа (доказательства). Несмотря на то, что ГК РФ и АПК РФ рассматривают ЭЦП как аналог собственноручной подписи, они не допускали юридического отождествления ЭЦП с собственноручной (физической) подписью человека на бумажном документе. Акцент делался на закреплении одинакового правового статуса электронного документа и традиционного письменного документа с использованием для данной цели различных правовых и технических средств*(114).

Электронная цифровая подпись — это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. Закона об ЭЦП).

С юридической точки зрения электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при соблюдении определенных условий (ст. 4).

Рассмотрим основные отличия этих двух видов подписи.

Рукописная подпись подтверждает факт взаимосвязи между сведениями, содержащимися в документе, и лицом, подписавшим документ, то есть является одним из средств идентификации личности. В основу использования рукописной подписи как средства идентификации положена гипотеза об уникальности личных биометрических параметров человека. Механизм выполнения физической подписи непосредственно обусловлен психофизиологическими характеристиками организма человека, и в силу этого подпись неразрывно связана с личностью подписывающего. Поэтому и возможна идентификация лица по его подписи.

Применение рукописной подписи имеет исторический и традиционный характер, хотя и не лишено известных недостатков*(115).

Характерной особенностью рукописной подписи является ее неразрывная физическая связь с носителем информации. То есть рукописная подпись возможна только на документах, имеющих материальную природу. Электронные документы, имеющие логическую природу, к этой категории не относятся. Таким образом, при совершении сделок, факт которых удостоверяется рукописной подписью, стороны-участники должны находиться либо в непосредственном контакте, либо в опосредованном через материальный носитель и услуги сторонних организаций (служб доставки).

Другой недостаток рукописной подписи является функциональным. Он связан с тем, что рукописная подпись обеспечивает только идентификацию документа, то есть подтверждает его отношение к лицу, поставившему подпись, но ни в коей мере не обеспечивает аутентификацию документа, то есть его целостность и неизменность. Без специальных дополнительных мер защиты рукописная подпись не гарантирует тот факт, что документ не подвергся содержательным изменениям в ходе хранения или транспортировки.

Это интересно:  Изменение сроков выплаты заработной платы как оформить

Рассмотрим особенности электронной цифровой подписи. В отличие от рукописной подписи электронная цифровая подпись имеет не физическую, а логическую природу — это просто последовательность символов, которая позволяет однозначно связать лицо, подписавшее документ, содержание документа и владельца ЭЦП. Логический характер электронной подписи делает ее независимой от материальной природы документа. С ее помощью можно подписывать документы, имеющие электронную природу (исполненные на магнитных, оптических, кристаллических и иных носителях, распределенные в компьютерных сетях и т.п.).

Согласно Закону ЭЦП должна решать следующие задачи: защиту электронного документа от подделки, установление отсутствия искажений информации в электронном документе, идентификацию владельца сертификата ключа подписи (ст. 3).

Таким образом, ЭЦП должна обеспечить идентификацию (документ подписан определенным лицом) и аутентификацию (содержание не претерпело изменений с момента его подписания) электронного документа.

Однако следует отметить, что сущность же ЭЦП такова, что она не может непосредственно характеризовать владельца ЭЦП как личность. Связь же между ЭЦП и человеком, ее проставившим, носит не биологический, а социальный характер. Возникновение, существование и прекращение данной связи обусловлены совокупностью различных правовых, организационных и технических факторов.

Определение подлинности ЭЦП свидетельствует только о знании лицом, ее проставившим, закрытого ключа ЭЦП. Для того чтобы выяснить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо установить помимо факта подлинности ЭЦП и идентификацию человека, ее поставившего. Идентификация человека в традиционном понимании, как это происходит по личной подписи, непосредственно по ЭЦП невозможна. Доказать, что именно данное лицо заверило электронный документ ЭЦП, можно в результате процессуальной деятельности по доказыванию в ходе судебного разбирательства в соответствующем виде процесса*(116).

Независимость ЭЦП от носителя позволяет использовать ее в электронном документообороте. При использовании ЭЦП возможны договорные отношения между удаленными юридическими и физическими лицами без прямого или опосредованного физического контакта. Это свойство ЭЦП лежит в основе электронной коммерции.

Логическая природа ЭЦП позволяет не различать копии одного документа и сделать их равнозначными. Снимается естественное различие между оригиналом документа и его копиями, полученными в результате тиражирования (размножения).

Механизм обслуживания ЭЦП основан на программных и аппаратных средствах вычислительной техники, поэтому он хорошо автоматизируется. Все стадии обслуживания (создание, применение, удостоверение и проверка ЭЦП) автоматизированы, что значительно повышает эффективность документооборота. Вместе с тем автоматизация хоть и способствует повышению производительности труда, она выводит механизм подписи из-под контроля естественными методами (например, визуальными) и может создавать иллюзию благополучия. Поэтому для использования ЭЦП необходимо специальное техническое, организационное и правовое обеспечение.

Техническое обеспечение электронной цифровой подписи основано на использовании методов криптографии.

Любой документ можно рассматривать как уникальную последовательность символов. Изменение хотя бы одного символа в последовательности будет означать, что в результате получится уже совсем другой документ, отличный от исходного.

Чтобы последовательность символов, представляющих документ, могла, во-первых, идентифицировать ее отправителя, а во-вторых, подтвердить ее неизменность с момента отправления, она должна обладать уникальными признаками, известными только отправителю и получателю сообщения. Для этого используются различные средства шифрования, создаваемые и изучаемые наукой криптографией.

Для шифрования и дешифрования информации необходимо знать метод и ключ шифрования.

Метод шифрования — это формальный алгоритм, описывающий порядок преобразования исходного сообщения в результирующее. Ключ шифрования — это набор параметров (данных), необходимых для применения метода. Так, например, буквы любой последовательности символов можно заменить на соответствующие комбинации цифр — это метод шифрования. А конкретное указание, какую букву заменить на какую последовательность цифр, является ключом.

Существуют симметричные и несимметричные методы шифрования.

Симметричный метод шифрования состоит в том, что партнер создает ключ шифрования, который передает другому партнеру. Сообщение шифруется и дешифруется одним ключом. Этот алгоритм трудно напрямую использовать, например, в электронной коммерции, так как возникает проблема идентификации удаленного партнера.

Несимметричная (асимметричная) криптография использует специальные математические методы. В результате применения этих методов создается пара ключей: то, что зашифровано одним ключом, может быть дешифровано другим, и наоборот. Владелец ключей один оставляет у себя, а другой может распространить, например, прямой рассылкой через Интернет. Ключ, оставленный у владельца, называется закрытым или личным, другой — открытым или публичным.

Закрытый ключ электронной цифровой подписи — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи (ст. 3 Закона об ЭЦП).

Открытый ключ электронной цифровой подписи — уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе (ст. 3 Закона об ЭЦП).

Закрытый ключ может быть скомпрометирован различными способами:

хищение ключа путем копирования в результате несанкционированного доступа к оборудованию (прямого или удаленного), на котором он хранится;

получение ключа путем ответа на запрос, использованный с признаками мошенничества или подлога;

хищение ключа в результате хищения оборудования, на котором он хранится;

хищение ключа в результате сговора с лицами, имеющими право на его использование (даже рядовой факт увольнения сотрудника, имевшего доступ к закрытому ключу организации, рассматривается как компрометация ключа).

Незаконность данных традиционных методов компрометации обеспечивает законодательство.

Это не относится к нетрадиционным методам реконструкции закрытого ключа по исходным данным, полученным вполне легально, в частности по открытому ключу. Возможность реконструкции определяется тем, что открытый и закрытый ключи связаны определенными математическими соотношениями. Теоретически знание открытого ключа дает возможность восстановить закрытый ключ. Однако на практике это связано с наличием специальных программных и аппаратных средств и огромными затратами вычислительного времени. Существует специальная отрасль науки, называемая криптоанализом, которая позволяет воспроизводить зашифрованную информацию и оценить степень защиты информации.

Поскольку от алгоритмов, на основе которых действует средство ЭЦП, зависит надежность и устойчивость документооборота, к средствам ЭЦП предъявляются специальные требования.

Средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.

При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи (п. 2 ст. 5). Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается (п. 3 ст. 5). В России деятельность по разработке средств ЭЦП относится к лицензируемым видам деятельности (Федеральный закон от 8 августа 2001 г. N 128-ФЗ «О лицензировании отдельных видов деятельности»*(117)).

Открытый ключ потому и называется открытым, что он доступен каждому из партнеров владельца закрытого ключа. Есть очень простой прием подмены открытого ключа с целью создания ложного канала связи. Допустим, сторона C желает перехватить чужие данные. В этом случае она может с помощью средств ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера B. Тогда все сообщения от партнера А к партнеру B будут легко перехватываться и читаться стороной C, причем ни A, ни B не будут даже догадываться о том, что C участвует в «договорных» отношениях.

Эта форма злоупотребления основана на том, что хотя в открытом ключе и приводятся данные о его владельце, в нем нет средств, удостоверяющих, что эти данные подлинные. Без разрешения этого вопроса механизм ЭЦП не может быть использован ни в электронной коммерции, ни в электронном документообороте.

Таким образом, одним из основополагающих моментов использования электронной цифровой подписи для установления подлинности, целостности и аутентичности документов, хранимых, обрабатываемых и передаваемых с помощью информационных и телекоммуникационных систем, является подтверждение принадлежности открытого ключа ЭЦП конкретному лицу посредством выдачи сертификата ключа подписи. Поэтому значительная часть Федерального закона «Об электронной цифровой подписи» посвящена механизму удостоверения личности владельца открытого ключа.

Это интересно:  Пособия и выплаты по социальному страхованию

Во всех случаях этот механизм основан на том, что вводится (назначается) дополнительная сторона, удостоверяющая принадлежность открытого ключа конкретному юридическому или физическому лицу. Вопросы: кто именно имеет право удостоверять открытые ключи, когда и как, — в законодательстве различных государств решаются по-разному. В частности, это может быть государственный орган или организация, уполномоченная государством для ведения данной деятельности. Возможно, что для внутреннего документооборота предприятия эту функцию можно поручить лицу, назначенному руководством, а для документооборота внутри ведомства — уполномоченному подразделению.

На практике сертификация открытых ключей выполняется следующим образом.

1. Лицо (юридическое или физическое), создавшее себе пару ключей (открытый и закрытый) с помощью средства ЭЦП, должно обратиться в орган, уполномоченный выполнить сертификацию. Этот орган называется удостоверяющим центром (Закон об ЭЦП).

2. Удостоверяющий центр проверяет принадлежность открытого ключа заявителю и удостоверяет этот факт добавлением к открытому ключу своей подписи, завизированной собственным закрытым ключом.

3. Любой партнер, желающий вступить в контакт с владельцем открытого ключа, может прочитать удостоверяющую запись с помощью открытого ключа удостоверяющего центра. Если целостность этой записи не нарушена, то он может использовать открытый ключ партнера для связи с ним.

Следует четко понимать, что удостоверяющий центр заверяет только факт принадлежности открытого ключа конкретному лицу или организации. Наличие полноценного сертификата открытого ключа говорит о том, что ключ можно использовать для удостоверения личности партнера в договорных отношениях. Но законность этих отношений удостоверяющим центром не подтверждается.

К удостоверяющим центрам предъявляются особые требования. Это обусловлено тем, что участники электронного документооборота не могут проверить корректность осуществления подобными организациями своих функций. Поэтому в целях защиты прав участников электронного документооборота государство берет на себя регулирование деятельности этих центров посредством выдачи лицензии на их работу со стороны соответствующего уполномоченного государственного органа.

Так, Закон об ЭЦП устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая организация, осуществляющая свою деятельность на основании лицензии. При оформлении лицензии организация, претендующая на ее получение, должна представить обоснование своей способности нести гражданскую ответственность (ст. 8).

В настоящее время в соответствии с рекомендациями Европейского Совета национальное законодательство стран Европы в части требований к удостоверяющим центрам должно содержать требования одобрения или лицензирования деятельности удостоверяющих центров, проверку соблюдения этими центрами необходимых для их деятельности условий, а также требование к уровню надежности технических и программных средств, используемых этими центрами, и т.д. В части экономического обоснования возможности удостоверяющего центра нести гражданскую ответственность за ненадлежащее исполнение своих обязанностей необходимо выделить три критерия:

наличие собственного минимально установленного капитала, выраженного в абсолютной сумме;

подтверждение этой суммы банковской гарантией;

Значительно более трудной представляется задача практического создания в нашей стране инфраструктуры открытых ключей (PKI — Public Key Infrastructure) в системах электронного документооборота и электронной торговли.

Термин «инфраструктура открытых ключей» включает в себя полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования открытых ключей.

Основным компонентом инфраструктуры является собственно система удостоверяющих центров.

Для создания целостной системы удостоверяющих центров необходимо определить модель и общую структуру системы; степень участия в ее построении различных государственных органов и коммерческих структур; используемые при создании информационные технологии.

Иерархический принцип построения государственного управления подразумевает достаточно естественную структуру построения в перспективе системы удостоверяющих центров системы электронного документооборота: от федерального уровня, через региональные центры и до ведомственных структур и конечных пользователей.

В данной модели определяющую роль выполняет совокупность удостоверяющих центров верхнего уровня, которые должны удовлетворять самым высоким требованиям по информационной безопасности. От надежности защиты этого уровня и доверия к нему в большой мере зависит надежность всей системы в целом и степень доверия к ней.

В настоящее время распространение получили две структурные модели системы сертификации — централизованная и децентрализованная.

Централизованная модель имеет иерархический характер и наиболее соответствует потребностям служебного документооборота. Децентрализованная модель имеет сетевой характер и может использоваться, например, в гражданском электронном документообороте.

В основе централизованной модели сертификации находится один уполномоченный орган сертификации. Такой орган называется корневым удостоверяющим центром (корневым центром сертификации).

Если чисто технически корневой центр не может обеспечить все запросы на выдачу и проверку сертификатов, поступающие от юридических и физических лиц, то он может сертифицировать другие дополнительные органы, называемые доверенными удостоверяющими центрами (доверенными центрами сертификации).

Доверенные центры тоже могут удостоверять чужие открытые ключи своими открытыми ключами, но при этом их открытые ключи тоже нуждаются в удостоверении. Их удостоверяет своим закрытым ключом вышестоящий центр сертификации.

Таким образом, участник электронного документооборота, получивший откуда-то открытый ключ неизвестного партнера, может:

установить наличие сертификата, удостоверенного электронной подписью удостоверяющего центра;

проверить действительность подписи центра сертификации в вышестоящем удостоверяющем центре;

если вышестоящий центр тоже является не корневым, а доверенным, то и его подпись можно проверить в вышестоящем центре, и так далее, пока проверка не дойдет до корневого удостоверяющего центра.

Такую проверку надо выполнить только один раз. Убедившись в правомочности корневого удостоверяющего центра, можно настроить свое программное обеспечение так, чтобы в дальнейшем доверие ему выражалось автоматически. И лишь в случаях, когда цепочку сертификатов не удается проследить до ранее проверенного доверенного центра (или до корневого центра), программное oбecпeчение выдаст предупреждение о том, что открытый ключ не имеет удостоверенного сертификата и пользоваться им нельзя.

Сетевая модель сертификации основана на взаимных договоренностях сторон (в последнем случае они будут иметь правовое значение, только если прямо отражены в двусторонних договоpax). Так, например, при отсутствии централизованной структуры доверенных удостоверяющих центров (или параллельно с ней, если законодательство это допускает) могут существовать сетевые модели сертификации. Такие модели охватывают группы юридических и физических лиц, например, по ведомственной принадлежности.

Два юридических или физических лица, вступающих в электронные коммерческие взаимоотношения, могут сами взаимно заверить друг другу открытые ключи, если обменяются ими при личной встрече с предъявлением друг другу учредительных документов или удостоверений личности (для физических лиц). В этом случае у них нет оснований сомневаться в истинной принадлежности открытых ключей.

Однако, например, электронная коммерция строится исходя из того факта, что участники не нуждаются в очной встрече. В этом случае две стороны могут договориться о том, что им взаимно заверит ключи третья сторона, которую они выберут сами. Так же могут договориться и прочие участники рынка. В результате возникает сложная структура, в которой все участники связаны, с одной стороны, двусторонними договорными отношениями, а с другой стороны, еще и выполняют функции заверителей для своих традиционных партнеров. С точки зрения отдельного коммерсанта доверие к его открытому ключу будет тем выше, чем больше количество сертификатов он получит от прочих участников рынка.

Контрольные вопросы

1. В чем отличие электронного документооборота от электронного обмена данными?

2. Раскройте содержание понятия «электронный документ».

3. В чем отличие электронного документа от традиционного бумажного документа?

4. Что такое электронная цифровая подпись?

5. Как соотносятся электронная цифровая подпись и собственноручная подпись на бумажном носителе?

6. Какие задачи должна решать электронная цифровая подпись?

7. В чем заключается техническое обеспечение электронной цифровой подписи?

8. Что такое закрытый и открытый ключи электронной цифровой подписи?

9. Каковы пути компрометации закрытого ключа электронной цифровой подписи?

10. Раскройте суть процесса сертификации электронной цифровой подписи.

11. Что такое удостоверяющий центр?

12. Какие требования предъявляются к удостоверяющим центрам?

Рекомендуемая литература:

1. Беззубцев О.А., Мартынов В.Н., Мартынов В.М. Некоторые вопросы правового обеспечения использования ЭЦП (http://www.cio-world.ru/offline/2002/6/21492/).

2. Информатика для юристов и экономистов/Под ред. С.В. Симоновича. СПб.: Питер, 2002.

3. А. Марченко. Электронный документ (http://www.libertarium.ru/libertarium/eldoc_mar).

4. Серго А. Интернет и право. М.: Бестселлер, 2003.

5. Ткачев А.В. Законодательное регулирование правового статуса ЭЦП. Основные положения (http://www.confident.ru/magazine/new/18.html).

Статья написана по материалам сайтов: uchebnikirus.com, roseu.org, lektsii.org.

»

Помогла статья? Оцените её
1 Star2 Stars3 Stars4 Stars5 Stars
Загрузка...
Добавить комментарий

Adblock detector