Представим себе следующую ситуацию. Отправитель посылает некоторый финансовый документ и, возможно, предупреждает получателя об этом в телефонном разговоре. Злоумышленник, тем или иным образом узнавший о том, что такой документ будет отправлен, перехватывает его, изменяет в нем информацию (а зачастую даже незначительные исправления могут принести ощутимый вред) и отправляет дальше по тому адресу, куда, собственно, он и должен был попасть. Ничего не подозревающий получатель спокойно кладет этот документ в нужную папку, чтобы затем при надобности использовать. Когда подмена обнаружится — может быть уже поздно, а найти виноватого практически нереально. Потерянных финансовых ресурсов не вернешь, да и отношения между компаниями будут испорчены.
Что же делать? Один из выходов в такой ситуации — электронная цифровая подпись (ЭЦП), к которой прибегают все больше и больше различных организаций, работающих, в частности, с банками.
Электронная цифровая подпись — это реквизит электронного документа, предназначенный для защиты данного документа от подделки. Получается он в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяет идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Таким образом, если обычная подпись и печать заверяют бумажный документ, то ЭЦП, при соблюдении правовых условий, указанных в Федеральном законе от 10.01.2002 г. №1-ФЗ «Об электронной цифровой подписи», заверяет электронный документ.
Приведем некоторые основные термины, необходимые для понимания работы с ЭЦП.
Закрытый ключ электронной цифровой подписи — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи.
Открытый ключ электронной цифровой подписи — уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи ее подлинности в электронном документе.
Владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).
Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные упомянутым выше Федеральным законом. При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.
Таким образом, если вы хотите подписывать электронные документы с помощью ЭЦП, вам следует обратиться в любой удостоверяющий центр (УЦ) и предоставить соответствующую информацию, указанную в основном руководящем документе УЦ — регламенте УЦ. Обычно это нотариально заверенная копия свидетельства о постановке на налоговый учет; информация о почтовых и банковских реквизитах; подписанный договор купли-продажи программного обеспечения, работающего с ЭЦП (в Федеральном законе -средства ЭЦП); доверенность, в которой должно быть указано право на получение съемных носителей с «закрытыми ключами», право подписи акта приемки-передачи ЭЦП, а также указаны полномочия лиц, которые будут пользоваться «закрытыми ключами» для подписания документов в электронном виде; копия справки Госкомстата о присвоении кодов; платежное поручение, свидетельствующее об оплате ЭЦП (реквизиты для оплаты), либо можно оплатить ЭЦП наличными средствами.
После этого, если вся предоставленная информация верна, вам выдается служебный (временный) сертификат и служебный закрытый ключ. С помощью средств ЭЦП, которые у вас имеются, вы создаете свои постоянные закрытый и открытый ключи. Заполняете форму, указав в ней необходимую информацию, и вместе с открытым ключом, который вы создали, зашифровываете ее с помощью закрытого ключа.
Затем кодируете все это уже с помощью служебного закрытого ключа и пересылаете в удостоверяющий центр.
В центре полученные данные проверяют и выдают вам постоянный сертификат ключа подписи, где указаны уникальный регистрационный номер сертификата ключа подписи; даты начала и окончания срока действия сертификата ключа подписи; ФИО владельца сертификате ключа подписи или псевдоним владельца (в случае использования псевдонима удостоверяющим центром вносится запись об этом в сертификат ключа подписи); открытый ключ электронной цифровой подписи; наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ ЭЦП; наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа под-1 «лиси; сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическую силу. С этого момента вы можете подписывать свои электронные документы с помощью ЭЦП, созданной на основе известного только вам закрытого ключа. Закрытый ключ хранится в тайне от посторонних лиц — обычно на дискете, смарт-карте, USB-брелке eToken или на Touch Memory.
Надо сказать, что сейчас положение с собственноручной выработкой закрытого ключа гораздо лучше, чем было, скажем, года два назад. Тогда, например, в электронных расчетных системах типа «Банк—Клиент» для упрощения процедуры установки системы с ЭЦП некоторые банки присылали клиенту его закрытый и открытый ключи уже в готовом виде. Сами понимаете, это ставило клиента в крайне незащищенное положение, ибо банк мог в своих целях воспользоваться закрытым ключом клиента.
В том случае, когда вам необходимо подписать с помощью ЭЦП какой-либо электронный документ, вам следует с помощью средств ЭЦП, установленных на вашем компьютере, и на основе вашего закрытого ключа и содержимого самого документа создать электронную цифровую подпись для этого документа. Затем переслать получателю документ вместе с полученной ЭЦП (либо под документом, либо в отдельном файле) и вашим сертификатом ключа подписи для того, чтобы получатель смог на основе открытого ключа, находящегося в сертификате, идентифицировать отправителя, а также установить отсутствие искажения информации в документе. Дополнением к ЭЦП может быть, например, информация о субъекте, подписавшем документ, и временная метка (дата создания документа).
В случае же, когда вам прислали электронный документ с ЭЦП и вы хотите удостовериться в ее подлинности, вам следует с помощью средств ЭЦП и открытого ключа, указанного в присланном вам вместе с документом сертификате, провести проверку ЭЦП. Если проверка дала положительный результат, значит целостность документа сохранена и отправитель — действительно то лицо, за которое себя выдает.
Допустим, вы считаете, что присланный сертификат — подделка. Тогда вы можете обратиться в удостоверяющий центр и запросить сертификат ключа подписи отправителя.
Правовые нормы описанных выше действий определяются Федеральным законом «Об электронной цифровой подписи», о проблемах применения которого и по сей день ведется множество споров. Вкратце отметим некоторые из этих проблем.
Если отправитель и получатель зарегистрированы в удостоверяющих центрах, использующих различные параметры схемы ЭЦП, то для одного и того же документа при одном закрытом ключе будут получаться различные ЭЦП. Такая же ситуация возникает, если клиент работает с несколькими банками, использующими разные форматы ЭЦП. Единого федерального удостоверяющего центра пока нет, хотя разговоры о его создании идут уже давно. Да и если он появится, действовать будет только на территории России. То есть при документообороте с зарубежными компаниями будет возникать та же проблема, поскольку у нас в законе предусмотрено использование ГОСТ, а на Западе работают с RSA.
Владельцем ЭЦП может быть только физическое лицо, а это означает, что никто другой не сможет подписать никакой документ в отсутствие владельца. А в случае ухода владельца ЭЦП по какой-либо причине из компании получается, что надо регистрировать новую ЭЦП. И это уже не говоря о неоднозначности толкования некоторых терминов.
Но несмотря на эти недостатки, актуальность использования электронной цифровой подписи все-таки очевидна. Остается лишь надеяться на скорое появление доработанного варианта закона, который позволил бы пользователям ЭЦП сосредоточиться на работе, а не на юридических противоречиях.
ЛИТЕРАТУРА
Федеральный закон от 10.01.2002 г. М1-ФЗ «Об электронной цифровой подписи».
В.Н. Пономарев. Ситуация с использованием ЭЦП в российских коммерческих и государственных структурах: проблемы, риски, перспективы.
www.cryptography.ru. 2003.
А.В. Черемушкин. «Правовые проблемы применения Закона РФ «Об электронной цифровой подписи». Методы и технические средства обеспечения безопасности информации. Тезисы докладов. 24—27 сентября 2002 г., СПб., изд. СПбГТУ, 2002, с. 109-112.
Борис БОРИСЕНКО,
Институт криптографии, связи и информатики
Журнал «Бюджет» №5 май 2004 г.
