Версия для печати 10944 Материалы по теме
борисенко
В настоящее время компьютерные технологии широко применяются практически во всех сферах человеческой деятельности. Сегодня уже трудно представить себе человека, работающего на пишущей машинке. Точно так же руководители многих компаний отказываются от пустой траты времени своих сотрудников, развозящих те или иные документы. Альтернативой этому послужил переход на электронный документооборот. Само собой, очень часто приходится пересылать важные документы, и обычное использование факса (или чего-нибудь в этом роде) не подходит.  Речь идет о возможном вмешательстве третьего лица на этапе пересылки сообщения но незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения.
Представим себе следующую ситуацию. Отправитель посылает некоторый финансовый документ и, возможно, предупреждает получателя об этом в телефонном разговоре. Злоумышленник, тем или иным образом узнавший о том, что такой документ будет отправлен, перехватывает его, изменяет в нем информацию (а зачастую даже незначительные исправления могут принести ощутимый вред) и отправляет дальше по тому адресу, куда, собственно, он и должен был попасть. Ничего не подозревающий получатель спокойно кладет этот документ в нужную папку, чтобы затем при надобности использовать. Когда подмена обнаружится — может быть уже поздно, а найти виноватого практически нереально. Потерянных финансовых ресурсов не вернешь, да и отношения между компаниями будут испорчены.
Что же делать? Один из выходов в такой ситуации — электронная цифровая подпись (ЭЦП), к которой прибегают все больше и больше различных организаций, работающих, в частности, с банками.
Электронная цифровая подпись — это реквизит электронного документа, предназначенный для защиты данного документа от подделки. Получается он в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяет идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Таким образом, если обычная подпись и печать заверяют бумажный документ, то ЭЦП, при соблюдении правовых условий, указанных в Федеральном законе от 10.01.2002 г. №1-ФЗ «Об электронной цифровой подписи», заверяет электронный документ.
Приведем некоторые основные термины, необходимые для понимания работы с ЭЦП.
Закрытый ключ электронной цифровой подписи — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи.
Открытый ключ электронной цифровой подписи — уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи ее подлинности в электронном документе.
Владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).
Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные упомянутым выше Федеральным законом. При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.
Таким образом, если вы хотите подписывать электронные документы с помощью ЭЦП, вам следует обратиться в любой удостоверяющий центр (УЦ) и предоставить соответствующую информацию, указанную в основном руководящем документе УЦ — регламенте УЦ. Обычно это нотариально заверенная копия свидетельства о постановке на налоговый учет; информация о почтовых и банковских реквизитах; подписанный договор купли-продажи программного обеспечения, работающего с ЭЦП (в Федеральном законе -средства ЭЦП); доверенность, в которой должно быть указано право на получение съемных носителей с «закрытыми ключами», право подписи акта приемки-передачи ЭЦП, а также указаны полномочия лиц, которые будут пользоваться «закрытыми ключами» для подписания документов в электронном виде; копия справки Госкомстата о присвоении кодов; платежное поручение, свидетельствующее об оплате ЭЦП (реквизиты для оплаты), либо можно оплатить ЭЦП наличными средствами.
После этого, если вся предоставленная информация верна, вам выдается служебный (временный) сертификат и служебный закрытый ключ. С помощью средств ЭЦП, которые у вас имеются, вы создаете свои постоянные закрытый и открытый ключи. Заполняете форму, указав в ней необходимую информацию, и вместе с открытым ключом, который вы создали, зашифровываете ее с помощью закрытого ключа.
Затем кодируете все это уже с помощью служебного закрытого ключа и пересылаете в удостоверяющий центр.
В центре полученные данные проверяют и выдают вам постоянный сертификат ключа подписи, где указаны уникальный регистрационный номер сертификата ключа подписи; даты начала и окончания срока действия сертификата ключа подписи; ФИО    владельца   сертификате ключа подписи или псевдоним владельца (в случае использования псевдонима удостоверяющим  центром вносится запись об этом в сертификат ключа подписи); открытый ключ электронной цифровой   подписи;   наименование  средств электронной цифровой  подписи, с которыми используется данный открытый ключ ЭЦП;  наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа под-1 «лиси; сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическую силу. С этого момента вы можете подписывать свои электронные документы с помощью ЭЦП, созданной на основе    известного    только    вам закрытого ключа. Закрытый ключ хранится в тайне от посторонних лиц — обычно на дискете, смарт-карте, USB-брелке eToken или на Touch Memory.
Надо сказать, что сейчас положение с собственноручной выработкой закрытого ключа гораздо лучше, чем было, скажем, года два назад. Тогда, например, в электронных расчетных системах типа «Банк—Клиент» для упрощения процедуры установки системы с ЭЦП некоторые банки присылали клиенту его закрытый и открытый ключи уже в готовом виде. Сами понимаете, это ставило клиента в крайне незащищенное положение, ибо банк мог в своих целях воспользоваться закрытым ключом клиента.
В том случае, когда вам необходимо подписать с помощью ЭЦП какой-либо электронный документ, вам следует с помощью средств ЭЦП, установленных на вашем компьютере, и на основе вашего закрытого ключа и содержимого самого документа создать электронную цифровую подпись для этого документа. Затем переслать получателю документ вместе с полученной ЭЦП (либо под документом, либо в отдельном файле) и вашим сертификатом ключа подписи для того, чтобы получатель смог на основе открытого ключа, находящегося в сертификате, идентифицировать отправителя, а также установить отсутствие искажения информации в документе. Дополнением к ЭЦП может быть, например, информация о субъекте, подписавшем документ, и временная метка (дата создания документа).
В случае же, когда вам прислали электронный документ с ЭЦП и вы хотите удостовериться в ее подлинности, вам следует с помощью средств ЭЦП и открытого ключа, указанного в присланном вам вместе с документом сертификате, провести проверку ЭЦП. Если проверка дала положительный результат, значит целостность документа сохранена и отправитель — действительно то лицо, за которое себя выдает.
Допустим, вы считаете, что присланный сертификат — подделка. Тогда вы можете обратиться в удостоверяющий центр и запросить сертификат ключа подписи отправителя.
Правовые нормы описанных выше действий определяются Федеральным законом «Об электронной цифровой подписи», о проблемах применения которого и по сей день ведется множество споров. Вкратце отметим некоторые из этих проблем.
Если отправитель и получатель зарегистрированы в удостоверяющих центрах, использующих различные параметры схемы ЭЦП, то для одного и того же документа при одном закрытом ключе будут получаться различные ЭЦП. Такая же ситуация возникает, если клиент работает с несколькими банками, использующими разные форматы ЭЦП. Единого федерального удостоверяющего центра пока нет, хотя разговоры о его создании идут уже давно. Да и если он появится, действовать будет только на территории России. То есть при документообороте с зарубежными компаниями будет возникать та же проблема, поскольку у нас в законе предусмотрено использование ГОСТ, а на Западе работают с RSA.
Владельцем ЭЦП может быть только физическое лицо, а это означает, что никто другой не сможет подписать никакой документ в отсутствие владельца. А в случае ухода владельца ЭЦП по какой-либо причине из компании получается, что надо регистрировать новую ЭЦП. И это уже не говоря о неоднозначности толкования некоторых терминов.
Но несмотря на эти недостатки, актуальность использования электронной цифровой подписи все-таки очевидна. Остается лишь надеяться на скорое появление доработанного варианта закона, который позволил бы пользователям ЭЦП сосредоточиться на работе, а не на юридических противоречиях.

ЛИТЕРАТУРА
Федеральный закон от 10.01.2002 г. М1-ФЗ «Об электронной цифровой подписи».
В.Н. Пономарев. Ситуация с использованием ЭЦП в российских коммерческих и государственных структурах: проблемы, риски, перспективы.
www.cryptography.ru. 2003.
А.В. Черемушкин. «Правовые проблемы применения Закона РФ «Об электронной цифровой подписи». Методы и технические средства обеспечения безопасности информации. Тезисы докладов. 24—27 сентября 2002 г., СПб., изд. СПбГТУ, 2002, с. 109-112.



Борис БОРИСЕНКО,
Институт криптографии, связи и информатики
Журнал «Бюджет» №5 май 2004 г.

Поделиться