Uzyskanie EDS - plusy i minusy. Często zadawane pytania dotyczące podpisu cyfrowego. Zalety podpisu elektronicznego Tabela zalet i wad elektronicznego podpisu cyfrowego

Wielu z nas słyszało dziś o takim pojęciu jak podpis elektroniczny. Ale nie wszyscy rozumieją, co to jest i w jakim celu jest używane.

Spróbujmy to rozgryźć.

Co to jest podpis elektroniczny?

Podpis elektroniczny to atrybut formatu cyfrowego, który służy do potwierdzania autentyczności i integralności dokumentu elektronicznego.

Pojawienie się tego elementu to efekt szybkiego rozwoju elektronicznego zarządzania dokumentami. EDS (lub elektroniczny podpis cyfrowy) pojawił się dość dawno temu - w 1976 roku.

Oczywiście wraz z rozwojem technologii komputerowych i sieci sygnatura uległa zmianie i stała się bardziej skomplikowana. A dziś wielu polityków, biznesmenów i po prostu aktywnych internautów korzysta z tego elementu.

Podpis elektroniczny to atrybut dokumentu tworzony przy użyciu specjalnych metod szyfrowania kryptograficznego oraz tzw. klucza prywatnego.

Kryptografia służy zapewnieniu autentyczności podpisanych danych, a także gwarantuje wiarygodność źródła informacji o osobie, która użyła podpisu cyfrowego. Dodatkowo zastosowanie kryptografii gwarantuje poufność – osoba trzecia nie będzie mogła odczytać Twojego dokumentu.

Klucz prywatny jest używany przez właściciela podpisu elektronicznego do szyfrowania wiadomości. Ponadto istnieje również klucz publiczny - jest on dostarczany odbiorcy listu w celu jego odszyfrowania.

Podpis elektroniczny może zawierać minimalny zestaw informacji o jego właścicielu:

• Data wygenerowania podpisu.
• Informacje o osobie, która go utworzyła (najczęściej jest to stanowisko i stosunek do dokumentu).
• Nazwa pliku klucza publicznego.

Dodatkowo podpis cyfrowy może zawierać dodatkowe informacje dotyczące dokumentu, graficzny obraz podpisu nadawcy, komentarze i uwagi.

Jak powstaje podpis?

Aby utworzyć podpis elektroniczny, musisz mieć certyfikat i zainstalować jakieś oprogramowanie. Uzyskanie certyfikatu możliwe jest poprzez kontakt ze specjalnym centrum certyfikacji.

Tutaj musisz podać kilka informacji:

• Paszport.
• Notarialnie poświadczony dokument potwierdzający prawo do podpisania dokumentacji biznesowej (może to wymagać wniosku szefa firmy).
• Wniosek od odbiorcy podpisu.
• Otrzymanie zapłaty za usługi centrum certyfikacji.

Koszt certyfikatu i klucza prywatnego do tworzenia podpisu może wynosić od 10-17 tysięcy rubli.

Otrzymany certyfikat ma ograniczony okres ważności (od 1 miesiąca do 1 roku).

Podstawa prawna używania podpisu

Po raz pierwszy dekret określający zasady korzystania z EDS został wydany w 2002 roku.

Zgodnie z nim podpis elektroniczny mógł być używany wyłącznie w obrocie cywilnoprawnym. Jednak EDS nie był tak powszechny ze względu na występowanie pewnych trudności w pracy centrów certyfikacji.

W szczególności wielu użytkowników było nieufnych wobec EDS, ponieważ osoby z zewnątrz były zaangażowane w generowanie kluczy do jego tworzenia, które w razie potrzeby mogły uzyskać dostęp do dowolnych informacji.

Jednak stopniowo prawo zostało sfinalizowane. A w 2011 roku weszła w życie nowa ustawa federalna nr 63. Uregulował działalność centrów certyfikacji, a ponadto znacznie rozszerzył zakres podpisów elektronicznych.

Teraz może być używany podczas przygotowywania dokumentów biznesowych, podpisywania deklaracji podatkowych i zestawień przesyłanych przez Internet, transakcji bankowych i tak dalej. Dekret ten zrównuje podpis elektroniczny z podpisem zwykłym.

Jak korzystać z EDS?

Aby złożyć podpis elektroniczny na dokumencie, musi on zostać zaszyfrowany za pomocą tzw. klucza prywatnego.

Podczas szyfrowania generowany jest określony zestaw znaków. Jest to elektroniczny podpis cyfrowy nadany danemu dokumentowi przez danego użytkownika. Podpis jest zapisywany w osobnym pliku.

Odbiorca dokumentu odszyfrowuje go za pomocą klucza publicznego. W takim przypadku sprawdzany jest EDS nadawcy. Jeśli dokument nie został zmodyfikowany, otworzy się łatwo.

Jeśli jednak podczas próby zastosowania klucza publicznego otrzymasz komunikat informujący, że certyfikat nadawcy jest nieznany, najprawdopodobniej dokumenty zostały przechwycone i przejrzane przez osobę trzecią.

Główne rodzaje podpisu elektronicznego

Do chwili obecnej istnieją następujące główne rodzaje podpisu elektronicznego:

• Prosty.
• Niewykwalifikowany.
• Wykwalifikowany.

Prosty podpis elektroniczny jest dostępny dla każdego internauty. Obejmuje to loginy i hasła, których używamy do uzyskiwania dostępu do naszych kont.

Ponadto obejmuje to również hasła, których użytkownicy używają podczas wykonywania operacji bankowości internetowej lub systemów płatności.

Niekwalifikowany podpis elektroniczny służy do potwierdzenia tożsamości nadawcy i ustalenia, czy w dokumencie od momentu jego podpisania nastąpiły zmiany.

Ten rodzaj EDS może zrównać dokument elektroniczny z konwencjonalnym dokumentem papierowym, który jest podpisany i opieczętowany. Ważnym warunkiem korzystania z tego typu EDS jest istnienie umowy między nadawcą a odbiorcą dokumentu elektronicznego.

Najczęściej stosowany jest kwalifikowany podpis elektroniczny. To w celu jego stworzenia powinieneś skontaktować się z centrum certyfikacji.

EDS tego typu służy do podpisywania dokumentów, które mają moc prawną, a także do zarządzania dokumentami z niektórymi organizacjami rządowymi. Dodatkowo podpis kwalifikowany jest wymagany do udziału w wielu aukcjach elektronicznych.

Główny cel

Zakres EDS jest dość szeroki:

• Do zatwierdzania dokumentów elektronicznych. Jak wspomniano wcześniej, EDS jest dziś utożsamiany ze zwykłym podpisem.
• Potwierdzenie niezmienności dokumentu od momentu jego podpisania aż do otrzymania przez adresata.
• Do ustalenia autorstwa programów, plików tekstowych. Ponadto, ponieważ podpis ten jest unikalny, można go wykorzystać do ustalenia prawdziwego autora dokumentu (w przypadku, gdy złożył swój podpis, a następnie zaprzeczył autorstwa).
• Do tworzenia notatek, poprawek, komentarzy, które zostaną dołączone do dokumentu, ale nie zmienią jego treści.

Korzyści z używania

Można wyróżnić następujące zalety stosowania podpisu elektronicznego:

• Uproszczenie systemu zarządzania dokumentami. W przypadku korzystania z dokumentów elektronicznych poświadczonych przez EDS nie ma potrzeby przesyłania kopii papierowej do odbiorcy. W ten sposób przepływ dokumentów jest znacznie przyspieszony, mniej czasu poświęca się na papierkową robotę.
• Minimalizuje ryzyko zagubienia dokumentu w tranzycie.
• Gwarantowana jest wiarygodność informacji, ich nietykalność. Jeśli dokument został zmieniony, natychmiast staje się to zauważalne.
• Jest szansa na rozwój relacje biznesowe dookoła świata.
• Możliwość udziału w aukcjach elektronicznych, aukcjach, przetargach.

Wniosek

Podpis elektroniczny to dziś nie tylko fanaberia. To cecha nowoczesnego biznesmena, który potrzebuje szybkiego przepływu pracy i ceni sobie poufność. Zastosowanie EDS znacznie upraszcza prowadzenie biznesu.

Dlatego każdego dnia taki podpis staje się coraz bardziej poszukiwany.

Oczywiste jest również, że technologia EDS ma szerokie perspektywy wdrożenia we wszystkich sferach życia współczesnego społeczeństwa związanych z przesyłaniem i przetwarzaniem informacji – mówi dr Sergey Pazizin, szef grupy ochrony systemów bankowości automatycznej w VTB Bank SA, dr inż. . Fizyka-Matematyka. Nauki.

W przeciwieństwie do podpisu odręcznego, EDS umożliwia przekazanie podpisanego dokumentu kanałami komunikacji bez przesyłania materialnego nośnika dokumentu i jednocześnie zachowuje możliwość weryfikacji autentyczności dokumentu. Wynika to z faktu, że podpis cyfrowy łączy się z treścią dokumentu logicznie, a nie poprzez wspólny nośnik materialny. Jeśli na przykład dokument i jego EDS są zapisane na dwóch różnych nośnikach, nie będzie trudności ze sprawdzeniem, czy ten EDS odpowiada temu dokumentowi. Narzędzia weryfikacji EDS mogą ustalić jego autentyczność dla dokumentu elektronicznego, niezależnie od źródła, z którego ładowane są informacje niezbędne do weryfikacji.

Jednocześnie oczywiste jest, że dokument na papierze z odręcznym podpisem nie może być przekazany bez samego nośnika. Jeśli wyślesz dokument faksem lub zeskanujesz e-mailem, nie tylko część informacji o podpisie (na przykład stopień nacisku) zostanie utracona. Przede wszystkim nie będzie możliwe nawiązanie połączenia między tekstem dokumentu a podpisem, ponieważ podpis można wkleić z innego dokumentu przed wysłaniem faksem lub wstawić po zeskanowaniu za pomocą edytora obrazów.

Kolejną ważną zaletą EDS jest trudność w podrobieniu. W chwili obecnej autorowi nie jest znany ani jeden przypadek fałszerstwa EDS utworzonego zgodnie z obowiązującymi normami międzynarodowymi lub rosyjskimi (fałszerstwo oznacza tu stworzenie takiego EDS, który jest nie do odróżnienia od rzeczywistego za pomocą zwykłych narzędzi weryfikacyjnych dostępnych dla każdy użytkownik, pod warunkiem, że działa poprawnie). Jeśli chodzi o podpis odręczny, jego autentyczność można z dużą dozą pewności ustalić dopiero w wyniku specjalnego badania pisma odręcznego. W rzeczywistych warunkach przy weryfikacji autentyczności podpisu odręcznego pojawiają się następujące problemy.

1. Zdecydowana większość „użytkowników” dokumentów papierowych nie posiada niezbędnych kwalifikacji. Prawie każdy ma do czynienia z zawieraniem umów, uzyskiwaniem zaświadczeń i innych dokumentów na papierze, ale bardzo niewielu przechodzi specjalne szkolenie.

2. Niska jakość próbek podpisów i możliwość ich podmiany. Na przykład, jeśli klient banku może być obsługiwany w którymkolwiek z jego biur, to odpowiednio każdy urząd musi mieć próbkę jego podpisu. W konsekwencji bank jest zmuszony wysłać zeskanowane próbki podpisu, zabezpieczyć je przed podmianą i wykorzystać do weryfikacji jego obraz na ekranie monitora zamiast oryginalnego podpisu. Taka sytuacja utrudnia weryfikację autentyczności odręcznych podpisów klientów i stwarza warunki do kradzieży środków. Dlatego przy wydawaniu pieniędzy pracownicy banku nie tylko porównują podpis klienta z próbką, ale również wymagają okazania dokumentu tożsamości. Taka podwójna kontrola zmniejsza prawdopodobieństwo oszustwa, ale nie eliminuje go całkowicie, ponieważ atakujący może nie tylko sfałszować podpis, ale także użyć fałszywych dokumentów. Nie jest wykluczona możliwość zawarcia zmowy z pracownikiem banku i np. uzyskania pożyczki na cudze dane paszportowe.

3. Niedostępność przykładowych podpisów. W praktyce po otrzymaniu podpisanej umowy, faktury czy certyfikatu często nie ma możliwości porównania podpisów na tych dokumentach z wiarygodnymi próbkami. Ta sytuacja jest nie tylko wyjaśniona niski poziom kultura prawna, ale ma też obiektywne powody związane ze złożonością organizacji pracy z próbkami podpisów. W rezultacie strona pozbawiona skrupułów może następnie odmówić wykonania zobowiązań ze względu na to, że dokument został podpisany przez osobę nieuprawnioną.

4. Zmienność podpisu związana z podnieceniem, zmęczeniem, stanem upojenia alkoholowego, niedorozwój podpisu lub jego świadoma zmiana. Właściwość ta znacznie utrudnia ustalenie autentyczności podpisu i może z jednej strony prowadzić do nieuznania prawdziwego podpisu za ważny, a z drugiej może być wykorzystana przez atakującego jako podstawę do odmowy wywiązania się z obowiązków wynikających z dokumentu podpisanego celowo zmienionym podpisem.

Biorąc pod uwagę powyższe, możemy stwierdzić, że EDS ma zastosowanie nie tylko w tych sytuacjach, w których w zasadzie niemożliwe jest użycie odręcznego podpisu w celu potwierdzenia autentyczności dokumentów, ale ma również szereg zalet związanych z obecnością wyraźnych ( matematyczne) kryteria wiarygodności i brak potrzeby weryfikacji próbek podpisów. Algorytmy kryptograficznego podpisu cyfrowego pozwalają z dużą dozą pewności zweryfikować następujące oświadczenie: dokument elektroniczny został podpisany przy użyciu klucza prywatnego odpowiadającego kluczowi publicznemu użytemu do weryfikacji, a po podpisaniu nie dokonano żadnych zmian w dokumencie elektronicznym. Jednocześnie klucz prywatny EDS służący do podpisywania dokumentów elektronicznych jest znany tylko jego właścicielowi, a klucz publiczny EDS przeznaczony do uwierzytelniania EDS jest dostępny dla każdego użytkownika odpowiedniego systemu informatycznego.

Jednak EDS może zrealizować swoje zalety tylko dzięki wykwalifikowanej organizacji jego użytkowania i zgodności z szeregiem warunków.

Efektywne wykorzystanie EDS jest również utrudnione przez brak ugruntowanych ram prawnych i praktyki organów ścigania, co nie jest zaskakujące, biorąc pod uwagę, że minęło nie więcej niż 20 lat od jego pierwszych rzeczywistych zastosowań (wcześniej technologia komputerowa niezbędna do wdrożenia algorytmów EDS nie była wystarczająco rozpowszechniona, jak w Rosji i innych krajach). Pomimo tego, że ustawa o elektronicznym podpisie cyfrowym obowiązuje w Rosji od 2002 r., stosunki prawne przy korzystaniu z EDS nadal regulują głównie umowy dwustronne i umowy akcesyjne, które nie zawsze w pełni chronią interesy stron. Często też niewystarczająco rozwinięte są kwestie organizacyjne, techniczne i prawne wykorzystania EDS w wewnętrznym zarządzaniu dokumentami elektronicznymi organizacji.

Podczas wdrażania EDS zwykle stosuje się podejście uproszczone, oparte na powszechnym błędnym przekonaniu, że EDS dla dokumentu elektronicznego jest odpowiednikiem odręcznego podpisu dla dokumentu papierowego.

1. Zbywalność możliwości złożenia podpisu od właściciela podpisu. Jak wiadomo, możliwość złożenia odręcznego podpisu na papierowym dokumencie należy do konkretnej osoby i nie można jej przenieść ani ukraść. Jeśli chodzi o podpis cyfrowy, klucz prywatny, który umożliwia jego właścicielowi podpisywanie dokumentów elektronicznych, może zostać przeniesiony na inną osobę (lub kilka osób jednocześnie), a także zgubiony lub skradziony, a następnie nielegalnie wykorzystany. Tutaj jest pewna analogia EDS z drukowaniem. Istnieje jednak również zasadnicza różnica – możliwość zastosowania druku jest ściśle związana z jego nośnikiem materiałowym. Można go przekazać innej osobie do tymczasowego użytku, a następnie odebrać. W takim przypadku tymczasowy właściciel może wykonać kopię pieczęci, ale będzie to inna pieczęć i jej nadruki można odróżnić od rzeczywistych. Jeśli ktoś uzyska dostęp do klucza prywatnego, za pomocą którego obliczany jest podpis cyfrowy i wykona jego kopię, to w przyszłości będzie mógł obliczyć autentyczne podpisy cyfrowe dla dokumentów elektronicznych, całkowicie identyczne z tymi, które stworzył rzeczywisty właściciel klucz prywatny podpisu.

2. Brak nierozerwalnego połączenia z podpisaną kopią dokumentu elektronicznego. Na konkretnej kopii dokumentu składany jest odręczny podpis i nie jest możliwe, aby pojawiły się nowe kopie, które nie różnią się od podpisanego. Mogą istnieć tylko jego kopie, których autentyczność musi być z kolei poświadczona. W żadnym wypadku papierowy dokument podpisany w jednym egzemplarzu nie może znajdować się w dwóch miejscach jednocześnie. A jeśli papierowy dokument podpisany własnoręcznym podpisem zostanie zniszczony, to możesz być pewien, że nie ma drugiego dokładnie takiego samego.

Jeśli chodzi o podpis cyfrowy, jest on kojarzony tylko z podpisaną informacją (a nie z jej nośnikiem) i wraz z tą informacją może być powielany w dowolnej liczbie kopii. Kopie dokumentu elektronicznego i kopie z jego kopii nie różnią się od oryginału. EDS będzie poprawne dla wszystkich tych kopii.

3.Obecność pośredników. W przeciwieństwie do procesu podpisywania dokumentu papierowego, pomiędzy osobą składającą podpis cyfrowy a dokumentem elektronicznym istnieje pośrednik w postaci narzędzia sprzętowo-programowego, nad którego czynnościami właściciel podpisu cyfrowego może jedynie przypuszczalnie sprawować kontrolę.

Oczywiście dokument papierowy można podpisać bez czytania lub jeden dokument można zastąpić innym. Ale w przypadku podpisu odręcznego osoba ma wybór - podpisać wszystkie arkusze dokumentu lub tylko ostatnią ze szczegółami, przeczytać lub nie przeczytać dokument. W przypadku EDS właściciel podpisu nie ma takiego wyboru z następujących powodów.

Po pierwsze, człowiek potrzebuje środków do przeglądania (wizualizacji) dokumentu elektronicznego, ponieważ informacja w swojej oryginalnej (maszynowej) formie jest ciągiem zer i jedynek i nie jest dostępna do bezpośredniego odbioru. A osoba bez specjalnych urządzeń nie jest w stanie odczytać jej z nośników informacji, na których jest przechowywana w postaci obszarów o różnym namagnesowaniu lub różnym współczynniku odbicia. Dlatego możliwe jest, że na ekranie osoba przeczyta jeden dokument elektroniczny i podpisze inny. Podobna sytuacja jest możliwa przy sprawdzaniu EDS – podpis można sprawdzić dla jednego dokumentu elektronicznego, a inny dokument elektroniczny można wyświetlić na ekranie (na papierze).

Po drugie, człowiek potrzebuje narzędzi programowych, które obliczają podpis cyfrowy i go sprawdzają, ponieważ nie jest w stanie samodzielnie wykonać tak skomplikowanych obliczeń.

Konsekwencją nieuniknionej obecności tych „pośredników” jest potrzeba zaufania im, a zatem tych, którzy ich stworzyli, wybrali, zainstalowali, skonfigurowali, kto zapewnia im pracę, dostęp do komputerów zgodnie ze swoimi obowiązkami służbowymi.

W ten sposób powstaje kilka grup „zaufanych” osób. Rozważmy je bardziej szczegółowo.

Pierwsza grupa obejmuje producentów oprogramowania, aw szczególności programistów, którzy napisali kod do używanych programów.

Do tych, którzy tak myślą programy komputerowe zawsze rób to, co mówią twórcy, powinieneś zwracać uwagę na teksty umów licencyjnych na oprogramowanie. Często wyraźnie stwierdzają, że oprogramowanie jest dostarczane „tak jak jest” i że sprzedawca nie ponosi odpowiedzialności za jakiekolwiek bezpośrednie lub pośrednie szkody spowodowane nieprawidłowym działaniem oprogramowania. Jednocześnie należy wziąć pod uwagę, że jeśli takiej klauzuli nie ma w umowie licencyjnej, to wcale nie oznacza to, że takie straty komukolwiek zostaną zrekompensowane. Najprawdopodobniej twórcy po prostu nie chcą straszyć użytkowników i mają nadzieję, że w razie jakichkolwiek awarii ofiara nadal nie będzie w stanie uzyskać odszkodowania.

Druga grupa obejmuje pośredników, przez których ręce przechodzą dystrybucje oprogramowania, a także osoby, które bezpośrednio instalowały oprogramowanie. Warto zastanowić się, na czym polega zaufanie do tych wszystkich ludzi? Na każdym etapie podróży od programisty do komputera użytkownika oprogramowanie zajmujące się przetwarzaniem dokumentów elektronicznych może zostać zmienione lub całkowicie zastąpione fałszywym.

Trzecia grupa to specjaliści, którzy uzyskują oficjalny dostęp do komputerów innych osób - administratorów, przedstawicieli służb wsparcia itp. Nie wszyscy użytkownicy są na tyle wykwalifikowani, aby samodzielnie administrować swoimi komputerami i zagwarantować, że nie będą dostępni dla osób postronnych nawet przez minutę. Jednak nie jest to nawet kwestia kwalifikacji. W każdej dużej organizacji użytkownik nie ma uprawnień administracyjnych na swoim komputerze. Odpowiednie funkcje wykonują pracownicy działu automatyzacji i z reguły zdalnie, tak aby użytkownik nie tylko ich nie znał, ale często nawet nie wiedział, ile osób ma możliwość odczytania jego plików, uruchomienia jego programy, podpisują dla niego dokumenty elektroniczne za pomocą EDS. Biorąc pod uwagę, że utrzymaniem oprogramowania mogą zajmować się organizacje zewnętrzne, skład tej grupy często nie jest przez nikogo w ogóle kontrolowany. Znaczenie tego problemu ostatnie czasy wzrosty ze względu na upowszechnienie outsourcingu w zakresie technologii informatycznych oraz rosnącą popularność korzystania z komercyjnych centrów danych.

Oprócz wymienionych powyżej „uprawnionych” pośredników, na działanie narzędzi EDS mogą wpływać także tzw. hakerzy, którzy zapewniają nieautoryzowany dostęp do danych i zasobów innych osób. Co więcej, do tego nie muszą mieć fizycznego dostępu do komputera użytkownika. Za pomocą sieci komputerowych atak można przeprowadzić zarówno z sąsiedniego biura, jak iz innego oddziału organizacji, a jeśli jest połączenie z Internetem, z dowolnego kraju na świecie.

Ponieważ właściciel podpisu cyfrowego nie może samodzielnie kontrolować działań wymienionych grup, w celu zapewnienia ich względnego spokoju, on lub jego pracodawca są zmuszeni zwrócić się o pomoc do specjalistów ds. bezpieczeństwa komputerowego, którzy tworzą piątą grupę zaufania, ponieważ stopień zagrożenia ze strony ww. zależy od ich kwalifikacji i sumienności osób.

W ten sposób, indywidualny, nawet mając niezbędną wiedzę, w większości rzeczywistych systemów zarządzania dokumentami elektronicznymi nie można w pełni kontrolować korzystania z EDS.

4. Ograniczony okres, w którym utrzymuje się znaczenie prawne EDS. W przeciwieństwie do podpisu odręcznego dokumentu na papierze, który ma znaczenie prawne niezależnie od czasu, ważność EDS ma ograniczenia czasowe związane z okresem ważności certyfikatu klucza EDS, zagrożeniem kompromitacji i rozwojem technologii.

Podczas tworzenia klucza z reguły określa się okres jego ważności. Odbywa się to zwykle w certyfikacie klucza EDS - dokumencie potwierdzającym, że klucz EDS należy do określonej osoby. Formalnie, zgodnie z ustawą o EDS, wystarczy, że certyfikat jest ważny w momencie podpisania dokumentu elektronicznego, o ile istnieją dowody określające moment podpisania. Jednak ponieważ praktyka arbitrażowa w przypadku wydania dowodu momentu podpisania EDS dokumentów elektronicznych i metody dowodu nie są prawnie określone, znaczenie prawne jakiegokolwiek dokumentu elektronicznego po wygaśnięciu odpowiedniego certyfikatu może być kwestionowane. Tak więc, jeśli dokument elektroniczny zostanie podpisany z EDS na dzień przed wygaśnięciem certyfikatu, to z dnia na dzień może stracić znaczenie prawne. Fakt ten oczywiście nakłada znaczne ograniczenia na zakres EDS.

Kolejne zagrożenie utraty znaczenia prawnego dokumentu elektronicznego w czasie wiąże się z ewentualnym złamaniem klucza prywatnego EDS użytego do wygenerowania podpisu, czyli zdarzeniem, które może skutkować nieautoryzowanym przez właściciela użyciem klucza prywatnego EDS . W takim przypadku faktyczne nieautoryzowane użycie klucza może nie nastąpić. Wystarczy zdarzenie wskazujące na możliwy dostęp do klucza prywatnego EDS przez osobę nieuprawnioną, np. otwarcie plomby na sejfie, w którym przechowywane są nośniki kluczy EDS, lub utrata takiego nośnika.

Jeśli zostanie rozpoznane, że klucz został naruszony, nie tylko nie będzie można z niego korzystać w przyszłości, ale w przypadku dokumentów elektronicznych już podpisanych za pomocą EDS, konieczne będzie udowodnienie, że zostały one podpisane przed złamaniem, co jest nie zawsze możliwe. W końcu atakujący, jeśli wszedł w posiadanie klucza, może ustawić na swoim komputerze dowolną datę i godzinę, w tym te, dla których klucz nie został jeszcze skompromitowany, i podpisać potrzebny mu dokument elektroniczny datą przeszłą.

Jeśli chodzi o technologiczny aspekt ograniczeń czasowych, to ze względu na możliwość nowego Informatyka oraz nowe metody matematyczne, które można wykorzystać do podrabiania podpisów cyfrowych generowanych zgodnie z aktualnie obowiązującymi normami. Mówiąc obrazowo, w przyszłości mogą pojawić się pociski, przed którymi współczesna zbroja nie jest obroną.

Coś podobnego stało się z algorytmem szyfrowania danych DES, przyjętym w 1977 r. jako federalny standard USA. Obecnie ten szyfr nie jest niezawodny, ponieważ nowoczesne komputery umożliwiają sortowanie wszystkich opcji kluczy () w akceptowalnym czasie. Dla obiektywizmu należy zauważyć, że w 1977 roku, ze względu na małą długość klucza, wielu ekspertów przewidywało możliwość otwarcia tego szyfru w najbliższej przyszłości. W nowoczesnych standardach kryptograficznych EDS długości kluczy dobierane są ze znacznym marginesem, co jednak nie pozwala wykluczyć pojawienia się nowych metod matematycznych czy jakościowych przełomów w rozwoju technologii komputerowej, które mogą uczynić prawdziwą podróbkę EDS wykonanego w zgodnie z tymi normami.

Powyższe różnice między EDS a odręcznym podpisem dokumentu na papierze były znane już w czasie, gdy powstawało teoretyczne uzasadnienie możliwości zastosowania EDS. Opisano również główne sposoby rozwiązywania istniejących problemów (są znane specjalistom, łatwo jest znaleźć odpowiednią literaturę). Konieczne jest jedynie, aby przy opracowywaniu elektronicznych systemów zarządzania dokumentami i przygotowywaniu ram regulacyjnych dla korzystania z EDS, zgłaszane problemy były rozpoznawane i uwzględniane przez wszystkich uczestników procesu wdrażania, a także użytkowników tych systemów.

Wysyłanie dobrej pracy do bazy wiedzy jest proste. Skorzystaj z poniższego formularza

Studenci, doktoranci, młodzi naukowcy, którzy wykorzystują bazę wiedzy w swoich studiach i pracy będą Ci bardzo wdzięczni.

Hostowane na http://www.allbest.ru/

Ministerstwo Edukacji i Nauki Federacja Rosyjska

budżet państwa federalnego instytucja edukacyjna wyższe wykształcenie zawodowe

UNIWERSYTET PAŃSTWOWY AMUR

Wydział Prawa

Specjalność 030501. 65 - Orzecznictwo

PRACA PISEMNA

Na temat: Elektroniczny podpis cyfrowy

Błagowieszczeńsk 2014

Wstęp

Jednym z palących problemów dzisiejszego świata jest problem bezpieczeństwa informacji.

Wynika to z faktu, że technologia informacyjna radykalnie zmieniła nasze życie. Już teraz fakty pokazują, że większość obiegu informacji i dokumentów odbywa się obecnie w formie elektronicznej. Technologia podpisu elektronicznego jest w stanie dalej rozszerzać możliwości zarządzania dokumentami elektronicznymi, zabezpieczać je, rozszerzać na wszystkie dziedziny życia publicznego oraz promować rozwój dostępnych dla wszystkich możliwości elektronicznego biznesu. W krajach, w których koncepcja podpisu elektronicznego jest prawnie zapisana, możliwe jest bezpieczne i niezawodne dokonywanie wszelkich transakcji bez wychodzenia z domu lub biura; bronić swoich praw w organach ścigania poprzez korespondencję mailową; zadeklarować swoje dochody organom podatkowym.

Pojęcie elektronicznego podpisu cyfrowego

Elektroniczny podpis cyfrowy (Dalej -EDS)- wymóg dokumentu elektronicznego, który pozwala stwierdzić brak zniekształceń informacji w dokumencie elektronicznym od momentu utworzenia EDS oraz zweryfikować, czy podpis należy do właściciela certyfikatu klucza EDS. Wartość atrybutu jest uzyskiwana w wyniku kryptograficznej transformacji informacji przy użyciu klucza prywatnego EDS.

Historia rozwojui dystrybucjaelektroniczny podpis cyfrowy

Za granicą:

1976 Amerykańscy matematycy W. Diffie i M.E. Hellman opublikował artykuł zatytułowany „Nowe kierunki w kryptografii”, który znacząco wpłynął dalszy rozwój kryptografii, a w szczególności doprowadziły do ​​pojawienia się czegoś takiego jak „podpis cyfrowy”.

1977 Opracowano pierwszy algorytm kryptograficzny, RSA.

1981 Algorytm DSA został opracowany w 1981 roku i od tego czasu jest używany jako amerykański standard podpisu cyfrowego.

1984 Opracował kryptosystem - Schemat El-Gamala, który stanowi podstawę standardów elektronicznego podpisu cyfrowego w USA i Rosji.

1984 S. Goldwasser, S. Micali i R. Rivest jako pierwsi ściśle zdefiniowali wymagania bezpieczeństwa dla algorytmów podpisu cyfrowego. Opisali modele ataków na algorytmy EDS, a także zaproponowali schemat GMR spełniający opisane wymagania.

1991 Amerykański Narodowy Instytut Standardów i Technologii (NIST) opublikował standard podpisu cyfrowego DSS (Digital Signature Standard).

1993 Metoda RSA została opublikowana i zaakceptowana jako standard. RSA może być używany zarówno do szyfrowania/odszyfrowywania, jak i generowania/weryfikacji podpisu cyfrowego.

1997 W Niemczech uchwalono ustawę o elektronicznym podpisie cyfrowym.

2003 Rada Najwyższa Ukrainy przyjęła ustawy „O dokumentach elektronicznych i elektronicznym zarządzaniu dokumentami” oraz „O elektronicznym podpisie cyfrowym”.

W Rosji:

1993 Opracowanie prawa krajowego o elektronicznym podpisie elektronicznym (EDS).

1994 Przyjęto pierwszy krajowy standard w dziedzinie EDS - GOST R34.10 - 94 „Technologia informacyjna. Kryptograficzna ochrona informacji. Procedury generowania i weryfikacji elektronicznego podpisu cyfrowego w oparciu o asymetryczny algorytm kryptograficzny.

1999 Ministerstwo Komunikacji i Informatyzacji Federacji Rosyjskiej zorganizowało opracowanie projektu ustawy federalnej „O elektronicznym podpisie cyfrowym”, która tworzy podstawę prawną do tworzenia niezawodnej infrastruktury, w tym centrów certyfikacji.

2001 Rząd przyjął projekt ustawy „O elektronicznym podpisie cyfrowym”.

2002 Przyjęcie nowego standardu dla EDS: GOST R 34.10-2001 „Kryptograficzna ochrona informacji. Procesy tworzenia i weryfikacji elektronicznego podpisu cyfrowego.

2002 Przyjęto ustawę federalną „O elektronicznym podpisie cyfrowym”, która stworzyła podstawę do korzystania z dokumentu elektronicznego i elektronicznego podpisu cyfrowego.

6 kwietnia 2011 r. prezydent Rosji Dmitrij Miedwiediew podpisał ustawę „O podpisie elektronicznym” (ES), zatwierdzoną przez Dumę Państwową i Radę Federacji w marcu.

Na początku 2013 r. szef rosyjskiego rządu Dmitrij Miedwiediew podpisał dekret nr 33, który opisuje procedurę stosowania „prostego podpisu elektronicznego” w świadczeniu usług państwowych i komunalnych w uzupełnieniu do już stosowanego rozszerzonego ES.

Ramy prawne regulujące stosowanie elektronicznego podpisu cyfrowego w Rosji.

elektroniczny podpis cyfrowy legalny

Kodeks cywilny Federacji Rosyjskiej (część pierwsza, druga, trzecia i czwarta)

Ustawa federalna z dnia 27 lipca 2006 r. Nr 149-FZ „b informacja, technologie informacyjne i ochrona informacji”

Zarządzenie Federalnej Służby Bezpieczeństwa Federacji Rosyjskiej z 27 grudnia 2011 r. Nr 796 „W sprawie zatwierdzenia wymagań dotyczących narzędzi do podpisu elektronicznego i wymagań dla narzędzi centrum certyfikacji”

Zarządzenie Federalnej Służby Bezpieczeństwa Federacji Rosyjskiej z dnia 27 grudnia 2011 r. Nr 795 „W sprawie zatwierdzenia wymagań dotyczących formy kwalifikowanego certyfikatu klucza weryfikacji podpisu elektronicznego”

Rodzaje elektronicznego podpisu cyfrowego

Istnieją 3 rodzaje EDS:

1. Dołączony elektroniczny podpis cyfrowy. W przypadku tworzenia załączonego podpisu tworzony jest nowy plik EDS, w którym umieszczane są dane podpisanego pliku.

Zalety dołączonego podpisu: łatwość dalszej manipulacji z podpisanymi danymi, ponieważ wszystkie wraz z podpisami zawarte są w jednym pliku, plik można skopiować, wysłać itp.

Wada: bez użycia narzędzi CIPF (środków ochrony informacji kryptograficznej) nie jest już możliwe odczytywanie i korzystanie z zawartości pliku.

2. Odłączony elektroniczny podpis cyfrowy. Podczas tworzenia podpisu odłączonego plik podpisu jest tworzony oddzielnie od podpisanego pliku, a sam podpisany plik nie jest w żaden sposób modyfikowany.

Wada odłączonego podpisu: konieczność przechowywania podpisanych informacji w wielu plikach.

3. Elektroniczny podpis cyfrowy w danych (najczęściej). Stosowanie podpisów cyfrowych tego typu zasadniczo zależy od aplikacji, która z nich korzysta.

Wada: poza aplikacją, która utworzyła EDS, bez znajomości struktury jej danych, trudno jest zweryfikować autentyczność części danych podpisanych przez EDS.

Cel i zalety elektronicznego podpisu cyfrowego

Podpis cyfrowy służy do uwierzytelniania osoby, która podpisała dokument elektroniczny. Ponadto zastosowanie podpisu cyfrowego pozwala na:

Kontrola integralności przekazanego dokumentu: w przypadku jakiejkolwiek przypadkowej lub celowej zmiany dokumentu, podpis stanie się nieważny, ponieważ jest obliczany na podstawie stanu początkowego dokumentu i tylko mu odpowiada.

Ochrona przed zmianami (fałszerstwem) dokumentu: gwarancja wykrycia fałszerstwa podczas kontroli integralności sprawia, że ​​w większości przypadków fałszerstwo jest niepraktyczne.

Dowód autorstwa dokumentu. Ponieważ możesz utworzyć poprawny podpis tylko wtedy, gdy znasz klucz prywatny i powinien on być znany tylko właścicielowi, właściciel pary kluczy może udowodnić swoje autorstwo podpisu pod dokumentem. W zależności od szczegółów definicji dokumentu można podpisać pola takie jak „autor”, „wprowadzone zmiany”, „znacznik czasu” itp.

Znaczne skrócenie czasu poświęconego na obsługę transakcji i wymianę dokumentacji;

Usprawnienie i obniżenie kosztów procedury przygotowania, dostarczania, księgowania i przechowywania dokumentów;

Budowa systemu wymiany dokumentów korporacyjnych;

Wybór najkorzystniejszej oferty cenowej na towary i usługi na aukcjach elektronicznych, aukcjach i przetargach;

Współczesne relacje z ludnością, organizacjami i strukturami władzy, efektywniej, przy najniższych kosztach;

Poszerzanie geografii biznesu, dokonywanie zdalnych transakcji gospodarczych z partnerami z dowolnych regionów Rosji.

Zasada działania elektronicznego podpisu cyfrowego

1. Dla każdego użytkownika uczestniczącego w wymianie dokumentów elektronicznych generowane są unikalne tajne i publiczne klucze kryptograficzne. Klucz tajny (prywatny) to element służący do szyfrowania dokumentów i tworzenia podpisu cyfrowego. Klucz tajny jest własnością użytkownika i jest utrzymywany w tajemnicy przed innymi użytkownikami. Klucz publiczny służy do weryfikacji podpisu cyfrowego otrzymanych plików dokumentów. Właściciel musi upewnić się, że każdy, z kim zamierza wymieniać podpisane dokumenty, ma swój klucz publiczny. Dodatkowo duplikat klucza publicznego przesyłany jest do Centrum Certyfikacji, gdzie utworzona została biblioteka kluczy publicznych EDS. Biblioteka Ośrodka zapewnia rejestrację i bezpieczne przechowywanie otwartych książek.

2. Użytkownik generuje elektroniczny podpis elektroniczny dla dokumentu. Jednocześnie na podstawie tajnego klucza EDS i treści dokumentu generowana jest pewna sekwencja znaków poprzez transformację kryptograficzną, która jest podpisem cyfrowym danego użytkownika dla konkretnego dokumentu. Ta sekwencja znaków jest przechowywana w osobnym pliku. W podpisie odnotowuje się: datę złożenia podpisu; informacje o osobie, która złożyła podpis; nazwa pliku klucza publicznego podpisu.

3. Użytkownik, który odebrał podpisany dokument i posiada klucz publiczny EDS nadawcy, dokonuje odwrotnej transformacji kryptograficznej na podstawie tekstu dokumentu i klucza publicznego nadawcy, co zapewnia weryfikację elektronicznego podpisu elektronicznego nadawcy. Jeśli EDS pod dokumentem jest poprawny, oznacza to, że dokument jest rzeczywiście podpisany przez nadawcę i nie dokonano żadnych zmian w tekście dokumentu.

Wniosek

Z powyższego możemy wywnioskować, że elektroniczny podpis cyfrowy to skuteczne rozwiązanie dla każdego, kto nie chce czekać na przybycie przesyłki kurierskiej oddalonej o setki kilometrów w celu weryfikacji autentyczności otrzymanych informacji lub potwierdzenia zawarcia transakcja. Dokumenty mogą być podpisywane cyfrowo i przesyłane do miejsca docelowego w ciągu kilku sekund. Wszyscy uczestnicy elektronicznej wymiany dokumentów otrzymują równe szanse, niezależnie od odległości od siebie. Nie da się podrobić EDS - wymaga ogromnej ilości obliczeń, których nie można zrealizować na obecnym poziomie matematyki i technologii komputerowej w akceptowalnym czasie, to znaczy, gdy informacje zawarte w podpisanym dokumencie pozostają aktualne. Dodatkową ochronę przed fałszerstwem zapewnia poświadczenie klucza publicznego podpisu przez Urząd Certyfikacji. Za pomocą EDS praca według schematu „opracowanie projektu w formie elektronicznej – stworzenie papierowej kopii do podpisu – przekazanie papierowej kopii z podpisem – zbadanie papierowej kopii – przekazanie jej drogą elektroniczną do komputera” stając się przeszłością. Oznacza to, że korzystanie z elektronicznego podpisu cyfrowego jest przydatne, wygodne i bezpieczne.

Lista wykorzystanych źródeł

http://www.mtron.ru

http://www.ucnbs.ru/about/

http://www.documoborot.ru

http://www.digitalsign.ru

http://www.ekey.ru/

http://www.garant.ru/

Hostowane na Allbest.ru

Podobne dokumenty

Obsługa organizacyjno-prawna elektronicznego podpisu elektronicznego. Ustawa „O elektronicznym podpisie cyfrowym”. Funkcjonowanie EDS: klucze publiczne i prywatne, generowanie podpisów i wysyłanie wiadomości. Weryfikacja (weryfikacja) i zakres EDS.

praca semestralna, dodana 14.12.2011


Ogólna charakterystyka podpisu elektronicznego, jego cechy i komponenty, podstawowe zasady i korzyści z zastosowania. Stosowanie elektronicznego podpisu cyfrowego w Rosji i za granicą. Prawne uznanie jego ważności. Certyfikat klucza weryfikacyjnego EDS.

praca semestralna, dodana 12.11.2014


Schemat tworzenia elektronicznego podpisu cyfrowego, jego rodzaje, metody budowy i funkcje. Ataki na elektroniczny podpis cyfrowy i regulacje prawne w Rosji. Narzędzia do pracy z elektronicznym podpisem cyfrowym, najbardziej znane pakiety i ich zalety.

streszczenie, dodane 13.09.2011


Regulacja prawna stosunków w zakresie stosowania elektronicznego podpisu elektronicznego. Pojęcie i istota elektronicznego podpisu cyfrowego jako elektronicznego odpowiednika podpisu odręcznego, warunki jego stosowania. Cechy i funkcje dokumentu elektronicznego.

test, dodano 30.09.2013


Wyznaczenie elektronicznego podpisu cyfrowego. Korzystanie z funkcji skrótu. Schemat symetryczny i asymetryczny. Rodzaje algorytmów asymetrycznego podpisu elektronicznego. Generowanie klucza prywatnego i uzyskanie certyfikatu. Funkcje elektronicznego zarządzania dokumentami.

streszczenie, dodane 20.12.2011


Ogólny schemat podpisu cyfrowego. Cechy systemu kryptograficznego z kluczem publicznym, etapy szyfrowania. Główne funkcje elektronicznego podpisu cyfrowego, jego zalety i wady. Zarządzanie kluczami EDS. Korzystanie z EDS w Rosji i innych krajach.

praca semestralna, dodana 27.02.2011


Cel i zastosowanie elektronicznego podpisu cyfrowego, historia jego występowania i główne cechy. Rodzaje podpisów elektronicznych w Federacji Rosyjskiej. Lista algorytmów podpisu elektronicznego. Fałszerstwo podpisów, zarządzanie kluczami publicznymi i prywatnymi.

praca semestralna, dodana 13.12.2012


Podstawowe algorytmy realizacji elektronicznego podpisu cyfrowego. Pojęcie klucza tajnego i publicznego. Moduły oprogramowania, warunki ważności i działania podpisu elektronicznego. Technologia pracy z systemem informatycznym „EDS”, perspektywy rozwoju.

praca semestralna, dodana 12.07.2010


Wyjaśnienia dotyczące stosowania systemów podpisu cyfrowego w związku z wdrożeniem ustawy „O elektronicznym podpisie elektronicznym”. Przykład praktyczne zastosowanie mechanizm podpisu cyfrowego: program do kontroli autentyczności dokumentów przechowywanych w bazie danych.

test, dodano 29.11.2009


Zakres stosunków prawnych dotyczących stosowania podpisu elektronicznego w nowej ustawie federalnej. Szyfrowanie dokumentu elektronicznego w oparciu o algorytmy symetryczne. Formowanie podpisu cyfrowego, schemat procesu weryfikacji, jego równoważność z dokumentami papierowymi.

Artykuł zawiera odpowiedzi na pytania: „Jak wygląda podpis elektroniczny”, „Jak działa EDS”, brane są pod uwagę jego możliwości i główne komponenty oraz wizualny instrukcja krok po kroku proces podpisywania pliku podpisem elektronicznym.

Co to jest podpis elektroniczny?

Podpis elektroniczny nie jest przedmiotem, który można odebrać, ale dokumentem niezbędnym do potwierdzenia, że ​​EDS należy do jego właściciela, a także odnotować stan informacji / danych (obecność lub brak zmian) w dokument elektroniczny od momentu jego podpisania.

Odniesienie:

Nazwa skrócona (zgodnie z ustawą federalną nr 63) to ES, ale częściej używają przestarzałego skrótu EDS (elektroniczny podpis cyfrowy). Ułatwia to na przykład interakcję z wyszukiwarkami w Internecie, ponieważ ES może również oznaczać kuchenkę elektryczną, lokomotywę pasażerską itp.

Zgodnie z ustawodawstwem Federacji Rosyjskiej kwalifikowany podpis elektroniczny jest odpowiednikiem podpisu odręcznego z pełną mocą prawną. Oprócz wykwalifikowanych w Rosji istnieją jeszcze dwa rodzaje EDS:

- bez zastrzeżeń - zapewnia znaczenie prawne dokumentu, ale dopiero po zawarciu przez sygnatariuszy dodatkowych porozumień dotyczących zasad stosowania i uznawania EDS, umożliwia potwierdzenie autorstwa dokumentu i kontrolę jego niezmienności po podpisaniu,

- prosty - nie nadaje podpisanemu dokumentowi znaczenia prawnego do czasu zawarcia przez sygnatariuszy dodatkowych porozumień dotyczących zasad stosowania i uznawania EDS oraz bez zachowania prawnie utrwalonych warunków jego stosowania (prosty podpis elektroniczny musi być zawarty w sam dokument, jego klucz musi być stosowany zgodnie z wymaganiami systemu informacyjnego, w którym jest używany, i tak dalej zgodnie z ustawą federalną-63, art. 9), nie gwarantuje jego niezmienności od momentu podpisania, umożliwia potwierdzenie autorstwa. Jego użycie jest niedozwolone w sprawach związanych z tajemnicą państwową.

Możliwości podpisu elektronicznego

EDS zapewnia jednostkom zdalną interakcję z rządowymi, edukacyjnymi, medycznymi i innymi systemami informacyjnymi za pośrednictwem Internetu.

W przypadku osób prawnych podpis elektroniczny daje dostęp do udziału w obrocie elektronicznym, umożliwia organizowanie istotnego z prawnego punktu widzenia zarządzania dokumentami elektronicznymi (EDM) oraz składanie raportów elektronicznych do organów regulacyjnych.

Możliwości oferowane użytkownikom przez EDS sprawiły, że jest to ważny element Życie codzienne zarówno zwykłych obywateli, jak i przedstawicieli firm.

Co oznacza wyrażenie „klientowi wydano podpis elektroniczny”? Jak wygląda ECP?

Sam podpis nie jest przedmiotem, ale wynikiem przekształceń kryptograficznych podpisanego dokumentu i nie może być „fizycznie” wydany na żadnym nośniku (token, karta inteligentna itp.). Nie można go też zobaczyć w najprawdziwszym znaczeniu tego słowa; nie wygląda jak pociągnięcie długopisem ani odbitka cyfrowa. O, Jak wygląda podpis elektroniczny? powiemy poniżej.

Odniesienie:

Transformacja kryptograficzna to szyfrowanie oparte na algorytmie wykorzystującym tajny klucz. Proces przywracania oryginalnych danych po transformacji kryptograficznej bez tego klucza, zdaniem ekspertów, powinien potrwać dłużej niż okres ważności wyodrębnionych informacji.

Nośniki flash to kompaktowy nośnik danych, który zawiera pamięć flash i adapter (dysk flash USB).

Token to urządzenie, którego obudowa jest podobna do pamięci flash USB, ale karta pamięci jest chroniona hasłem. Informacje dotyczące tworzenia EDS są zapisywane na tokenie. Aby z nim pracować, musisz podłączyć się do złącza USB komputera i wprowadzić hasło.

Karta inteligentna to plastikowa karta, która umożliwia wykonywanie operacji kryptograficznych dzięki wbudowanemu w nią mikroukładowi.

Karta SIM z chipem to karta operatora telefonii komórkowej wyposażona w specjalny chip, na którym na etapie produkcji bezpiecznie instalowana jest aplikacja java, rozszerzająca jej funkcjonalność.

Jak rozumieć frazę „wystawiony podpis elektroniczny”, który mocno zakorzenił się w potocznej mowie uczestników rynku? Co to jest podpis elektroniczny?

Wystawiony podpis elektroniczny składa się z 3 elementów:

1 - środek podpisu elektronicznego, czyli narzędzie techniczne niezbędne do realizacji zestawu algorytmów i funkcji kryptograficznych. Może to być dostawca kryptograficzny zainstalowany na komputerze (CryptoPro CSP, ViPNet CSP) lub niezależny token z wbudowanym dostawcą kryptograficznym (Rutoken EDS, JaCarta GOST) lub „chmura elektroniczna”. Więcej o technologiach EDS związanych z wykorzystaniem „chmury elektronicznej” przeczytasz w kolejnym artykule Portalu Jednolitego Podpisu Elektronicznego.

Odniesienie:

Dostawca krypto jest niezależnym modułem, który działa jako „pośrednik” między systemem operacyjnym, który kontroluje go za pomocą określonego zestawu funkcji, a programem lub kompleksem sprzętowym, który wykonuje przekształcenia kryptograficzne.

Ważne: token i środki wykwalifikowanego EDS muszą być poświadczone przez Federalną Służbę Bezpieczeństwa Federacji Rosyjskiej zgodnie z wymogami ustawy federalnej nr 63.

2 - para kluczy, która składa się z dwóch bezosobowych zestawów bajtów utworzonych przez narzędzie do podpisu elektronicznego. Pierwszym z nich jest klucz podpisu elektronicznego, który nazywany jest „zamkniętym”. Jest używany do tworzenia samego podpisu i musi być utrzymywany w tajemnicy. Umieszczenie „prywatnego” klucza na komputerze i pendrive jest wyjątkowo niebezpieczne, na tokenie jest nieco niebezpieczne, na tokenie/karty inteligentnej/sim w formie nie do odzyskania jest najbezpieczniejsze. Drugi to klucz weryfikacji podpisu elektronicznego, który nazywa się „otwarty”. Nie jest utrzymywany w tajemnicy, jest jednoznacznie powiązany z „prywatnym” kluczem i jest niezbędny, aby każdy mógł sprawdzić poprawność podpisu elektronicznego.

3 - Certyfikat klucza weryfikacyjnego EDS wydany przez urząd certyfikacji (CA). Jego celem jest powiązanie bezosobowego zestawu bajtów klucza „publicznego” z tożsamością właściciela podpisu elektronicznego (osoby lub organizacji). W praktyce wygląda to tak: np. Iwan Iwanowicz Iwanow (osoba fizyczna) przychodzi do centrum certyfikacji, przedstawia swój paszport, a CA wydaje mu zaświadczenie potwierdzające, że zadeklarowany klucz „publiczny” należy do Iwana Iwanowicza Iwanowa. Jest to konieczne, aby zapobiec oszukańczemu schematowi, podczas którego atakujący, przesyłając „otwarty” kod, może go przechwycić i zastąpić własnym. W ten sposób sprawca będzie mógł podszywać się pod sygnatariusza. W przyszłości, przechwytując wiadomości i wprowadzając zmiany, będzie mógł je potwierdzać swoim EDS. Dlatego niezwykle ważna jest rola certyfikatu klucza weryfikacji podpisu elektronicznego, a za jego poprawność odpowiedzialność finansowa i administracyjna ponosi ośrodek certyfikacji.

Zgodnie z ustawodawstwem Federacji Rosyjskiej istnieją:

- „certyfikat klucza weryfikacji podpisu elektronicznego” jest generowany dla niekwalifikowanego podpisu elektronicznego i może być wystawiony przez centrum certyfikacji;

— „certyfikat kwalifikowanego klucza weryfikacji podpisu cyfrowego” jest generowany dla kwalifikowanego podpisu cyfrowego i może być wydany wyłącznie przez urząd certyfikacji akredytowany przez Ministerstwo Telekomunikacji i Komunikacji Masowej.

Umownie można wskazać, że klucze do weryfikacji podpisu elektronicznego (zestawy bajtów) są pojęciami technicznymi, a certyfikat klucza „publicznego” i centrum certyfikacji są pojęciami organizacyjnymi. W końcu CA jest jednostką strukturalną, która odpowiada za dopasowywanie „otwartych” kluczy i ich właścicieli w ramach ich działalności finansowej i gospodarczej.

Podsumowując powyższe, wyrażenie „klientowi wydano podpis elektroniczny” składa się z trzech pojęć:

1. Klient zakupił narzędzie do podpisu elektronicznego.
2. Otrzymał klucz „otwarty” i „prywatny”, za pomocą którego generowany jest i weryfikowany EDS.
3. CA wystawił klientowi certyfikat potwierdzający, że klucz „publiczny” z pary kluczy należy do tej konkretnej osoby.

Kwestia bezpieczeństwa

Wymagane właściwości podpisanych dokumentów:

• uczciwość;
• autentyczność;
• autentyczność (autentyczność; „niezaprzeczanie” autorstwa informacji).

Zapewniają je algorytmy i protokoły kryptograficzne, a także oparte na nich rozwiązania programowe i sprzętowo-programowe do składania podpisu elektronicznego.

Z pewnym uproszczeniem można powiedzieć, że bezpieczeństwo podpisu elektronicznego i świadczonych na jego podstawie usług opiera się na tym, że „prywatne” klucze podpisu elektronicznego są utrzymywane w tajemnicy, w chronionej formie, oraz że każdy użytkownik zachowuje je odpowiedzialnie i nie dopuszcza incydentów.

Uwaga: przy zakupie tokena ważna jest zmiana hasła fabrycznego, aby nikt poza jego właścicielem nie miał dostępu do mechanizmu EDS.

Jak podpisać plik podpisem elektronicznym?

Aby podpisać plik podpisu cyfrowego, musisz wykonać kilka kroków. Jako przykład rozważmy, jak umieścić kwalifikowany podpis elektroniczny na certyfikacie znaku towarowego Zunifikowanego Portalu Podpisu Elektronicznego w formacie .pdf. Potrzebować:

1. Kliknij dokument prawym przyciskiem myszy i wybierz dostawcę krypto (w tym przypadku CryptoARM) oraz kolumnę „Podpisz”.

2. Przekaż ścieżkę w oknach dialogowych dostawcy krypto:

Na tym etapie, jeśli to konieczne, możesz wybrać inny plik do podpisania lub pominąć ten krok i przejść bezpośrednio do następnego okna dialogowego.

Pola Kodowanie i Rozszerzenie nie wymagają edycji. Poniżej możesz wybrać, gdzie podpisany plik zostanie zapisany. W przykładzie dokument z podpisem cyfrowym zostanie umieszczony na pulpicie (Desktop).

W bloku "Właściwości podpisu" wybierz "Podpisany", jeśli to konieczne, możesz dodać komentarz. Inne pola można wykluczyć/wybrać zgodnie z potrzebami.

Z magazynu certyfikatów wybierz ten, którego potrzebujesz.

Po sprawdzeniu, czy pole „Właściciel certyfikatu” jest poprawne, kliknij przycisk „Dalej”.

W tym oknie następuje ostateczna weryfikacja danych wymaganych do złożenia podpisu elektronicznego, a następnie po kliknięciu na przycisk „Zakończ” powinien pojawić się komunikat:

Pomyślne zakończenie operacji oznacza, że ​​plik został przekonwertowany kryptograficznie i zawiera rekwizyt, który naprawia niezmienność dokumentu po jego podpisaniu i zapewnia jego znaczenie prawne.

Jak więc wygląda podpis elektroniczny na dokumencie?

Na przykład bierzemy plik podpisany podpisem elektronicznym (zapisany w formacie .sig) i otwieramy go za pośrednictwem dostawcy kryptograficznego.

Fragment pulpitu. Po lewej: plik podpisany ES, po prawej: dostawca usług kryptograficznych (np. CryptoARM).

Wizualizacja podpisu elektronicznego w samym dokumencie podczas jego otwierania nie jest zapewniona ze względu na to, że jest wymagana. Istnieją jednak wyjątki, na przykład podpis elektroniczny Federalnej Służby Podatkowej po otrzymaniu wyciągu z Jednolitego Państwowego Rejestru Osób Prawnych / EGRIP za pośrednictwem usługi online jest warunkowo wyświetlany na samym dokumencie. Zrzut ekranu można znaleźć na

Ale co w końcu? "wygląda" EDS, a raczej jak fakt podpisania jest wskazany w dokumencie?

Otwierając okno „Zarządzanie podpisanymi danymi” za pośrednictwem dostawcy krypto, możesz zobaczyć informacje o pliku i podpisie.

Po kliknięciu przycisku „Widok” pojawia się okno zawierające informacje o podpisie i certyfikacie.

Ostatni zrzut ekranu wyraźnie pokazuje jak wygląda podpis cyfrowy na dokumencie"z wewnątrz".

Podpis elektroniczny można kupić pod adresem .

Zadaj inne pytania na temat artykułu w komentarzach, eksperci Portalu Zunifikowanego Podpisu Elektronicznego na pewno Ci odpowiedzą.

Artykuł został przygotowany przez redakcję portalu Single Portal Podpisu Elektronicznego z wykorzystaniem materiałów firmy SafeTech.

Przy pełnym lub częściowym wykorzystaniu materiału hiperłącze do strony www..

Wada metody: choć wiadomość jest bezpiecznie zaszyfrowana, odbiorcę i nadawcę „podkreśla” sam fakt wysłania zaszyfrowanej wiadomości.

Ogólną ideą systemu kryptograficznego z kluczem publicznym jest użycie podczas szyfrowania wiadomości takiej funkcji z klucza publicznego i wiadomości (funkcja szyfrowania), która jest algorytmicznie bardzo trudna do odwrócenia, czyli do obliczyć jego argument z wartości funkcji, nawet znając wartość klucza.

Funkcje systemu

Przewaga szyfrów asymetrycznych nad symetrycznymi polega na tym, że nie ma potrzeby przesyłania tajnego klucza. Strona chcąca otrzymywać zaszyfrowane teksty, zgodnie z zastosowanym algorytmem, generuje parę klucz publiczny-prywatny. Kluczowe wartości są ze sobą powiązane, jednak przeliczenie jednej wartości z drugiej powinno być niemożliwe z praktycznego punktu widzenia. Klucz publiczny jest publikowany w publicznych katalogach i służy do szyfrowania informacji przez kontrahenta. Klucz prywatny jest utrzymywany w tajemnicy i służy do odszyfrowania wiadomości wysłanej do właściciela pary kluczy. Szyfry asymetryczne rozpoczęły się w 1976 roku w New Directions in Modern Cryptography autorstwa Whitfielda Diffie i Martina Hellmana. Zaproponowali wspólny system wymiany tajnych kluczy oparty na problemie logarytmów dyskretnych. Ogólnie rzecz biorąc, znane asymetryczne kryptosystemy opierają się na jednym ze złożonych problemów matematycznych, który umożliwia budowanie funkcji jednokierunkowych i funkcji pułapek. Na przykład kryptosystem Rivest-Shamir-Adelman wykorzystuje problem faktoryzacji duże liczby, a kryptosystemy Merkle-Hellman i Hoare-Rivest polegają na tzw. problemie plecakowym.

Wady - asymetryczne kryptosystemy wymagają znacznie więcej zasobów obliczeniowych. Ponadto konieczne jest zapewnienie autentyczności (autentyczności) samych kluczy publicznych, do których zwykle używa się certyfikatów.

Hybrydowy (lub połączony) kryptosystem to system szyfrowania, który posiada wszystkie zalety kryptosystemu z kluczem publicznym, ale jest pozbawiony swojej głównej wady - niskiej szybkości szyfrowania.

Zasada: Systemy kryptograficzne wykorzystują dwa główne systemy kryptograficzne: kryptografię symetryczną i asymetryczną. Programy takie jak PGP i GnuPG są zbudowane na tej zasadzie.

Główną wadą kryptografii asymetrycznej jest jej niska prędkość ze względu na złożone obliczenia wymagane przez jej algorytmy, podczas gdy kryptografia symetryczna tradycyjnie wykazała się znakomitą wydajnością. Symetryczne kryptosystemy mają jednak jedną istotną wadę – ich użycie wymaga bezpiecznego kanału do transmisji klucza. Aby przezwyciężyć tę wadę, stosuje się asymetryczne kryptosystemy, które wykorzystują parę kluczy: publiczny i prywatny.

Szyfrowanie: Większość systemów szyfrowania działa w następujący sposób. W przypadku algorytmu symetrycznego (3DES, IDEA, AES lub dowolny inny) generowany jest losowy klucz. Taki klucz z reguły ma rozmiar od 128 do 512 bitów (w zależności od algorytmu). Następnie do zaszyfrowania wiadomości używany jest algorytm symetryczny. W przypadku szyfrowania blokowego należy użyć trybu szyfrowania (na przykład CBC), który pozwoli na zaszyfrowanie wiadomości o długości większej niż długość bloku. Jeśli chodzi o sam klucz losowy, musi on być zaszyfrowany kluczem publicznym odbiorcy wiadomości i to na tym etapie stosowany jest kryptosystem klucza publicznego (RSA lub Algorytm Diffiego-Hellmana). Ponieważ losowy klucz jest krótki, zaszyfrowanie go zajmuje trochę czasu. Szyfrowanie zestawu wiadomości za pomocą algorytmu asymetrycznego jest bardziej złożonym obliczeniowo zadaniem, dlatego preferowane jest tutaj szyfrowanie symetryczne. Wtedy wystarczy wysłać wiadomość zaszyfrowaną algorytmem symetrycznym, a także odpowiedni klucz w postaci zaszyfrowanej. Odbiorca najpierw odszyfrowuje klucz za pomocą swojego klucza prywatnego, a następnie otrzymuje całą wiadomość za pomocą otrzymanego klucza.

Podpis cyfrowy zapewnia:

• - Identyfikacja źródła dokumentu. W zależności od szczegółów definicji dokumentu można podpisać pola takie jak „autor”, „wprowadzone zmiany”, „znacznik czasu” itp.
• -Ochrona przed zmianami w dokumencie. Każda przypadkowa lub celowa zmiana dokumentu (lub podpisu) spowoduje zmianę szyfru, a zatem podpis stanie się nieważny.
• -Niemożność odmowy autorstwa. Ponieważ możliwe jest złożenie poprawnego podpisu tylko wtedy, gdy klucz prywatny jest znany, a jest on znany tylko właścicielowi, właściciel nie może odmówić podpisu na dokumencie.

Możliwe są następujące zagrożenia związane z podpisem cyfrowym:

• — Atakujący może próbować sfałszować podpis pod wybrany przez siebie dokument.
• -Atakujący może próbować dopasować dokument do danego podpisu tak, aby podpis do niego pasował.

Korzystając z silnej funkcji szyfrowania, trudno jest pod względem obliczeniowym utworzyć fałszywy dokument z tym samym szyfrem, co oryginalny. Zagrożenia te można jednak zrealizować dzięki słabościom poszczególnych algorytmów buforowania, sygnatur lub błędów w ich implementacjach. Jednak nadal możliwe są następujące zagrożenia dla systemów podpisu cyfrowego:

• -Atakujący, który ukradł klucz prywatny, może podpisać dowolny dokument w imieniu właściciela klucza.
• - Atakujący może nakłonić właściciela do podpisania dokumentu, na przykład za pomocą protokołu ślepego podpisu.
• -Atakujący może zastąpić klucz publiczny właściciela swoim własnym, podszywając się pod niego.

Ważnym problemem całej kryptografii klucza publicznego, w tym systemów EDS, jest zarządzanie kluczami publicznymi. Konieczne jest upewnienie się, że każdy użytkownik ma dostęp do prawdziwego klucza publicznego dowolnego innego użytkownika, aby chronić te klucze przed podmianą przez atakującego oraz zorganizować odwołanie klucza w przypadku jego naruszenia.

Zadanie ochrony kluczy przed podmianą rozwiązuje się za pomocą certyfikatów. Certyfikat umożliwia poświadczenie zawartych w nim danych o właścicielu i jego kluczu publicznym podpisem osoby zaufanej. Scentralizowane systemy certyfikatów wykorzystują urzędy certyfikacji utrzymywane przez zaufane organizacje. W systemach zdecentralizowanych, poprzez podpisywanie certyfikatów znajomych i zaufanych osób, każdy użytkownik buduje sieć zaufania.

Kluczami zarządzają urzędy dystrybucji certyfikatów. Kontaktując się z takim centrum, użytkownik może uzyskać certyfikat dowolnego użytkownika, a także sprawdzić, czy ten lub inny klucz publiczny nie został jeszcze unieważniony.