Электронно-цифровая подпись как институт информационного права

При использовании централизованной схемы обслуживания в Удостоверяющем центре регистрация и изготовление сертификатов ключей подписей осуществляется при личном прибытии пользователя (либо его уполномоченного представителя, действующего на основании соответствующей  доверенности) в Удостоверяющий центр. Генерация ключей подписей осуществляется в Удостоверяющем центре на предоставляемый  пользователем ключевой носитель.⁷

Распределенная схема  обслуживания (РС):

Данная схема обслуживания удобна для организаций, пользователи которых территориально удалены  от Удостоверяющего центра (например, в разных субъектах РФ). При использовании распределенной схемы обслуживания в Удостоверяющем центре регистрация и изготовление сертификатов ключей подписей осуществляется без личного прибытия пользователя в Удостоверяющий центр. Пользователи на своих рабочих местах формируют ключи и запросы на сертификаты и отправляют их в Удостоверяющий центр через сайт (Web-интерфейс) Центра регистрации.

Электронный документ –  форма подготовки, отправления, получения  или хранения информации с помощью  электронных технических средств, зафиксированная на магнитном диске, магнитной ленте, лазерном диске  и/или ином электронном материальном носителе.

Электронная подпись (ЭП) –  реквизит электронного документа, предназначенный  для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого  ключа электронной подписи и  позволяющий идентифицировать владельца  сертификата открытого ключа, а  также установить отсутствие искажения  информации в электронном документе.

Закрытый ключ – последовательность символов, известная владельцу сертификата  и не подлежащая разглашению. Закрыты ключ используется для формирования электронной подписи и/или расшифрования данных.

Открытый ключ – последовательность символов, свободно распространяемая в виде открытой информации всем участникам информационного взаимодействия (физическим лицам), связанная с закрытым (секретным) ключом с помощью особого математического  соотношения. Открытый ключ используется для проверки электронной подписи  в электронных документах и их зашифрования, при этом открытый ключ не позволяет вычислить значение закрытого (секретного) ключа.⁸

Сертификат открытого  ключа – документ на бумажном носителе или электронный документ с электронной  подписью уполномоченного лица Удостоверяющего  центра, содержащий открытый ключ электронной  подписи и шифрования, который  выдается Удостоверяющим центром пользователю для подтверждения подлинности электронной подписи, идентификации владельца сертификата и шифрования информации. Сертификат открытого ключа действует на определенный момент времени (действующий сертификат) если:

наступил момент времени начала действия сертификата открытого ключа;

срок действия сертификата  открытого ключа не истек;

сертификат открытого  ключа не аннулирован (отозван).

Владелец сертификата  открытого ключа – пользователь Удостоверяющего центра, на имя которого Удостоверяющим центром выдан сертификат открытого ключа и которое  владеет соответствующим закрытым ключом, позволяющим создавать свою электронную подпись в электронных документах (подписывать электронные документы) и расшифровывать электронные документы, зашифрованные с использованием данного сертификата.

Компрометация закрытого  ключа – результат действий физического  лица, повлекший за собой разглашение  закрытого (секретного) ключа.

Ключевой носитель – внешнее (съемное) устройство, используемое для  хранения ключевых контейнеров с  закрытыми (секретными) ключами. Один ключевой носитель может содержать один или  несколько ключевых контейнеров  с различными ключами.

Список отозванных сертификатов – электронный документ с электронной  цифровой подписью уполномоченного  лица Удостоверяющего центра, включающий в себя список серийных номеров сертификатов открытых ключей, которые на определенный момент времени были аннулированы (отозваны).  Сертификаты, чьи номера присутствуют в списке файла CRL, являются отозванными  из обращения Удостоверяющим центром.

Public Key Cryptography Standarts (PKCS) – стандарты криптографии с открытым ключом, разработанные компанией RSA Security. PKCS#7 – стандарт, определяющий формат и синтаксис криптографических сообщений.⁹

4. Использования электронной подписи

Перед тем как практически  начать применять электронную подпись  в своей работе, надо создать файлы  сертификата и закрытого ключа. Сертификат будет использоваться для  проверки подлинности данных подписанных  электронной подписью любым человеком, использующим эти данные. А закрытый ключ нужен человеку для формирования электронной подписи подписываемых  им данных. При создании сертификатов и ключей используется специальные  криптографические программы, которые  в принципе есть в составе операционной системы любого компьютера.

Однако, доверять полученному таким образом сертификатам могут только люди, работающие на этом компьютере. Для того чтобы создать и в дальнейшем использовать сертификат, которому будут доверять все, кто будет проверять подлинность электронной подписи, нужна определенная организация, которая обеспечит нормативную, организационную и правовую основу использования выпущенных ею сертификатов. Такой организацией является Удостоверяющий Центр. ¹⁰

4.1. Договор с Удостоверяющим центром.

Электронная подпись аналогична подписи человека, а для того чтобы  убедиться в подлинности документов, подписываемых человеком, любая  организация отправляет его сначала  к нотариусу, который проверив дееспособность человека удостоверяет его собственноручную подпись на самых различных документах.

 Конечно, организация,  установив соответствующее программное  обеспечение, может организовать  собственный Удостоверяющий центр,  но при этом следует иметь  ввиду, что электронная подпись, наносимые работниками организации, не смогут иметь юридическое значение за пределами этой организации.

Поэтому точно так же, как и при обращении к нотариусам, следует пользоваться услугами внешних  аттестованных удостоверяющих центров. Подписав договор с Удостоверяющим Центром организация может получать от него сертификаты для своих работников, которые будут пользоваться электронную подпись.

4.2. Создание закрытого ключа и получение сертификата.

В процессе создания сертификата  каждому из таких работников будет  сгенерирован закрытый ключ. Процедура  создания ключей может выполняться  по-разному. Ключи могут создаваться  в Удостоверяющем центре и передаваться пользователям вместе с сертификатом. Ключи могут создаваться и  на рабочем месте пользователя в  организации, а открытая часть ключа  пересылаться в Удостоверяющий центр  для последующего изготовления сертификата.

И ключ, и сертификат хранятся в файлах. Для того, чтобы никто, кроме владельца подписи, не мог воспользоваться закрытым ключом, его обычно записывают на съемный носитель ключа. Его также как банковскую карточку для дополнительной защиты снабжают PIN кодом. И точно также как при операциях с картой, перед тем как воспользоваться ключом для создания электронной подписи надо ввести правильное значение PIN кода.

Именно надежное сохранение пользователем своего закрытого  ключа гарантирует невозможность  подделки злоумышленником документа  и электронной подписи от имени  заверяющего документ подписанта.

Сертификат содержит всю  необходимую информацию для проверки электронной подписи. Данные сертификата  открыты и публичны. Поэтому обычно сертификаты хранятся в хранилище  операционной системы (в каждом компьютере, в общем сетевом хранилище, в  базе данных и т.п.). Конечно, все сертификаты  всегда хранятся и в Удостоверяющем центре, точно так же, как и  нотариус хранит всю необходимую  информацию о человеке, выполнившем у него нотариальное действие. ¹¹

 Получение работником  организации закрытого ключа,  обеспечение его сохранности  и действия с ним обычно  регламентируется приказом по  организации с утверждением инструктивных материалов. В них регламентируется порядок выпуска сертификатов, применение ключей для подписания документов, получение, замену, сдачу закрытого ключа работниками, и действия выполняемые при компрометации ключа. Последние аналогичны действиям выполняемым при потере банковской карты.¹²

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

Цифровая подпись обеспечивает:

• Удостоверение источника документа. В зависимости от деталей определения «документа» могут быть подписаны такие поля как автор, внесённые изменения, метка времени и т. д.
• Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно подпись станет недействительной.
• Невозможность отказа от авторства. Так как создать корректную подпись можно лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
• Возможны следующие угрозы цифровой подписи:
• Злоумышленник может попытаться подделать подпись для выбранного им документа.
• Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила.
• При использовании надёжной хэш-функции, вычислительно сложно создать поддельный документ с таким же хэшем, как у подлинного. Однако, эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях.

Тем не менее, возможны ещё  такие угрозы системам цифровой подписи:

• Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
• Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.
• Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

 

 

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

1. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
2. ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ  (в ред. Федерального закона от 08.11.2007 N 258-ФЗ)
3. Бачило И. Л. Информационное право Издательство: Высшее образование, Юрайт Серия: Магистр права 2009 г. 464 стр.
4. Бачило И. Л. Информационное право Издательство: Юрайт Серия: Магистр права 2010 г. 462 стр.
5. Богатова Л. Ю. Информационное право Издательство: Компания Спутник +  2009 г. 152 стр.
6. Завидов Б. Д. Электронная цифровая подпись. Правовое значение. Анализ законодательства и законопроектов Издательство: Экзамен 2001 г. 132 стр.
7. Килясханов И. Ш., Саранчук  Ю. М. Информационное право в терминах и понятиях Издательство: Юнити-Дана, Закон и право 2008 г. 136 стр.
8. Ковалева Н. Н. Информационное право России Издательство: Дашков и Ко 2009 г. 352 стр.
9. Электронный документ и документооборот: правовые аспекты Издательство: ИНИОН РАН 2003 г. 208 стр.
10. Якубенко Н. О.  Шпаргалка по информационному праву Издательство: Аллель Серия: Полный зачет 2009 г. 64 стр.

 

¹ Бачило И. Л. Информационное право Издательство: Высшее образование, Юрайт Серия: Магистр права 2009 г. 26стр.

² Бачило И. Л. Информационное право Издательство: Высшее образование, Юрайт Серия: Магистр права 2009 г. 28 стр.

³ Бачило И. Л. Информационное право Издательство: Высшее образование, Юрайт Серия: Магистр права 2009 г. 32 стр.

⁴ ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ  (в ред. Федерального закона от 08.11.2007 N 258-ФЗ)

⁵ Якубенко Н. О.  Шпаргалка по информационному праву Издательство: Аллель Серия: Полный зачет 2009 г. 56

⁶ Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации

⁷ Бачило И. Л. Информационное право Издательство: Юрайт Серия: Магистр права 2010 г. 333стр.

⁸ Килясханов И. Ш., Ю. М. Саранчук  Информационное право в терминах и понятиях Издательство: Юнити-Дана, Закон и право 2008 г. 100стр.

⁹ Завидов Б. Д. Электронная цифровая подпись. Правовое значение. Анализ законодательства и законопроектов Издательство: Экзамен 2001 г. 32 стр.

¹⁰ Богатова Л. Ю. Информационное право Издательство: Компания Спутник +  2009 г. 52 стр.

¹¹ Ковалева Н. Н. Информационное право России Издательство: Дашков и Ко 2009 г. 202 стр.

¹² Электронный документ и документооборот: правовые аспекты Издательство: ИНИОН РАН 2003 г. 100 стр.