Статья Электронная подпись. Электронная подпись статья. Электронная подпись и сертификаты
 Скачать 0.78 Mb.
|
|
УДК 004.056.53 ЭЛЕКТРОННАЯ ПОДПИСЬ И СЕРТИФИКАТЫ В.А. Шалаева студент А.В. Человечкова старший преподаватель Курган, Курганский государственный университет Аннотация. В статье рассматриваются понятия «электронная подпись» и «сертификат электронной подписи», описан принцип работы электронной подписи, ее виды и применение, рассмотрены основные угрозы, связанные с использованием электронной цифровой подписи. Ключевые слова: электронная подпись, сертификат электронной подписи, хэширование, электронный документооборот в России. DIGITAL SIGNATURE AND CERTIFICATES V.A. Shalaeva student A.V. Chelovechkova Senior Lecturer Kurgan, Kurgan State University Annotation. The paper describes definitions of digital signature and digital signature certificate, the methods of digital signature are considered. Kinds of signatures and applications are outlined, main notions of security are presented. Keywords: digital signature, digital signature certificate, hash-functions, electronic document management in Russia. Развитие цифровых технологий упростило многие моменты жизни человека, в том числе это коснулось и документооборот. Однако возник вопрос о подлинности электронных бумаг. Для электронных документов требовался более надежный метод подтверждения, чем рукописная подпись. Для этого была создана электронная цифровая подпись. Согласно Федеральному Закону №63 «Об электронной подписи», электронная подпись (далее ЭП) – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. [1] Электронная подпись используется физическими и юридическими лицами в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица и скрепленного печатью. Рассмотрим основные виды электронно-цифровой подписи (далее ЭЦП). Простая электронная подпись используется для подтверждения определенных действий. Другая сфера применения – идентификация конкретного пользователя и согласие на определенные условия. Например, короткие смс-пароли для входа в банковскую систему. У простой электронной подписи есть ограничения. Например, нельзя использовать этот вид ЭП при подписании документов, имеющих юридическую силу, то есть, после подписания которого появляются новые права и обязанности. Усиленная неквалифицированная подпись имеет большую юридическую силу по сравнению с простой подписью. Она создается с помощью закрытого ключа и шифрования. Неквалифицированная подпись может установить личность владельца и проверить, были ли внесены изменения в файл или документ. Закрытая часть усиленной подписи в компьютере пользователя или на специальном носителе под защитой пин-кода и/или других средств ограничения доступа. Открытая часть доступна всем участникам документооборота. [2] Неквалифицированная ЭЦП позволяет заключать договоры, участвовать закупках на некоторых (не всех) площадках электронной торговли, а также позволяет ставить реквизиты на подписанные документы. Однако, в этом случае между сторонами должно быть подписано особое соглашение о том, что ЭЦП признана равносильной рукописной. Усиленная квалифицированная электронная подпись регламентирована государством и может использоваться в качестве полноценного заменителя рукописной. Для использования такого вида подписи необходимо соблюсти условия: выдана только удостоверяющим центром с аккредитацией Министерства Связи; имеет квалифицированный сертификат в соответствии с приказом ФСБ России; для работы используется только специальное программное обеспечение, регламентированное ФСБ. Усиленную квалифицированную подпись допустимо использовать для составления и сдачи отчетности в контролирующие органы (например, Федеральную Налоговую Службу). Квалифицированная ЭЦП, в отличие от неквалифицированной, не требует никаких дополнительных соглашений, она автоматически приравнивается к обычной бумажной подписи. Срок действия ЭП зависит от вида подписи и сертификата. Но документы, подписанные с ее помощью, действуют и после завершения срока. Рассмотрим принцип работы электронной подписи. Существует несколько схем построения: на основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица — арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт шифрования его секретным ключом и передача его арбитру; на основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭП наиболее распространены и находят широкое применение. Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хеш-сумму. [3] Хеш-сумма файла — это уникальный идентификатор, который задаётся с помощью «перемешивания» и шифрования содержимого файла по специальному алгоритму с последующей конвертацией результата в обычную строчку символов. Для вычисления хеша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хеш-функция.  Использование хеш-функции не обязательно при электронной подписи, а сама функция не является частью алгоритма ЭП, поэтому хеш-функция может использоваться любая или не использоваться вообще.Рисунок 1 – Схема подписи и проверки документа с ЭЦП Как было сказано выше, электронная цифровая подпись состоит из закрытой части и открытой части – сертификата. Сертификат электронной подписи подтверждает принадлежность электронной подписи владельцу и содержит: номер, дату выдачи и срок действия сертификата; Ф. И. О. владельца ЭЦП, а также его местонахождение; уникальный ключ для проверки ЭЦП (открытый ключ); название используемого средства ЭЦП и перечисление стандартов соответствия (требований) для ключей (открытого и закрытого); название центра, выдавшего сертификат. Если сертификат выдается юридическому лицу, то указываются также Ф. И. О. физлица, которое может действовать от его имени согласно уставу или доверенности. Сертификат, как правило, действует 1 год (либо иной установленный срок) с момента его выдачи. Сертификат проверки ЭЦП может прекратить свое действие: по окончании установленного срока; при ликвидации центра, выдавшего ЭЦП; по заявлению владельца сертификата. Рассмотрим угрозы, связанные с электронной подписью. Стойкость большинства схем ЭЦП зависит от стойкости асимметричных алгоритмов шифрования и хэш-функций. Существует следующая классификация атак на схемы ЭЦП: атака с известным открытым ключом; атака и известными подписанными сообщениями - противник, кроме открытого ключа имеет и набор подписанных сообщений; простая атака с выбором подписанных сообщений - противник имеет возможность выбирать сообщения, при этом открытый ключ он получает после выбора сообщения. [5] Выше перечисленные атаки относятся к простым электронным подписям, и связаны с криптостойкостью алгоритма шифрования, который использовался при создании подписи. Главную угрозу для ЭЦП представляет человеческий фактор. [4] В России все удостоверяющие центры – это коммерческие организации, которые имею лицензию от ФСБ и Министерства связи, которые в целях получения прибыли могут передать персональные данные третьим лицам, игнорируя установленные государством правила выдачи сертификата электронной подписи. Например, возможно получить ЭП на другое лицо, пользуясь утечками персональных данных или некомпетентностью удостоверяющего центра. Это приводит к печальным последствиям – вплоть до переоформления квартиры или регистрации фиктивных организаций с целью взятия кредитов. Пример тому – инцидент 2018 года. Он показал, что действующий на тот момент закон имел уязвимость в отношении использования электронной подписью с доверенностью. В связи с этим, в 2021 году были приняты поправки в основной Закон об электронной цифровой подписи. Были приняты следующие изменения: электронная подпись для юридических лиц выдается только лично; электронную подпись для юридических лиц и нотариусов можно оформить в Федеральной налоговой службе или аккредитованном удостоверяющем центре; электронная подпись может использоваться только владельцем; доверенное лицо, действующее от лица организации или как представитель физического лица, для подписания документов обязан использовать личную электронную подпись, а также предъявить машиночитаемую доверенность, прописанную электронными подписями руководителя организации и нотариуса (в случае физических лиц – нотариуса и самого физического лица, от лица которого действует доверенное лицо); изменения в процедуре аккредитации удостоверяющих центров. В связи с этим на данный момент действует 42 аккредитованных центра (вместо 400 до внесения изменений). В заключение хочется отметить, что электронная цифровая подпись является одним из надежных способов защиты документов от несанкционированного изменения. Однако самое слабое место электронной подписи - человеческий фактор, оставляющий большой простор для действий злоумышленников. Список литературы 1 Федеральный закон от 06.04.2011 № 63-ФЗ (ред. от 02.07.2021) «Об электронной подписи». URL: http://www.consultant.ru/document/cons_doc_LAW_112701/ (дата обращения: 24.03.2022). 2 Петров А. А. «Компьютерная безопасность. Криптографические методы защиты// М.: ДМК Пресс – 2008. – С. 158-201. 3 Просто об электронной подписи. URL: https://ecm-journal.ru/e-sign (дата обращения 23.03.2022). 4 Рябко Б. Я., Фионов А. Н. «Основы современной криптографии для специалистов в информационных технологиях» // - М.: Научный мир – 2004. – С. 102-135. 5 Электронная подпись: надёжность и риски. URL: https://habr.com/ru/post/533814/ (дата обращения 23.03.2022). Приложение А. Пример сертификата электронной подписи  |