лекции. Лекции. Гост р исо 1548912007 Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования, принятом на основе международного стандарта iso 154891 2001
Скачать 109.8 Kb.
|
С 01.01.2021 вводится понятие метки доверенного времени и устанавливается механизм ее использования. Она представляет собой информацию в электронной форме о том, когда (дата, время) был подписан электронной подписью электронный документ. Эту метку будет создавать и проверять доверенная третья сторона, удостоверяющий центр или оператор информационной системы (пп. "е" п. 1 ст. 1 Федерального закона от 27.12.2019 N 476-ФЗ). Электронная подпись предназначена для защиты электронного документа, передаваемого посредством различных сред или хранящегося в цифровом виде, от подделки и является атрибутом электронного документа. Она получается в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяет идентифицировать владельца сертификата ключа подписи, установить отсутствие искажения информации в электронном документе. Электронная подпись (ЭП) - это программно-криптографическое средство, которое обеспечивает: проверку целостности документов; конфиденциальность документов; установление лица, отправившего документ Какие существуют виды электронных подписей Выделяют простые и усиленные электронные подписи. Простая электронная подпись - наименее защищенный вид подписи. Для подтверждения того, что такая подпись сформирована конкретным лицом, используются коды, пароли или аналогичные средства (ч. 2 ст. 5 Закона об электронной подписи). Например, это могут быть логин и пароль для входа на сайт или код, направленный в СМС-сообщении. Простая подпись приравнивается к собственноручной, только если это предусмотрено нормативным правовым актом, нормативным актом Банка России или соглашением лиц, которые собираются обмениваться электронными документами, в том числе правилами платежных систем (ч. 2 ст. 6 Закона об электронной подписи). Усиленные электронные подписи подразделяются на квалифицированные и неквалифицированные. Их получают в результате криптографического преобразования информации с использованием ключа электронной подписи (ч. 1, п. 1 ч. 3, ч. 4 ст. 5 Закона об электронной подписи). То есть эти подписи работают по принципу шифрования информации. Неквалифицированная подпись надежнее простой, однако, как и простая, она приравнивается к собственноручной, только если это предусмотрено нормативным правовым актом или соглашением. Ее вправе выдавать любой удостоверяющий центр. Квалифицированная подпись - самый надежный вид подписи. Она автоматически приравнивается к собственноручной. Такая подпись обязательно должна иметь квалифицированный сертификат, выданный аккредитованным удостоверяющим центром. Простые и неквалифицированные подписи заменяют подписанный бумажный документ в случаях, оговоренных законом или по согласию сторон. Например, простые подписи могут использовать граждане для отправки сообщений органам власти. Усиленная подпись также может рассматриваться как аналог документа с печатью. Квалифицированные подписи заменяют бумажные документы во всех случаях, за исключением тех, когда закон требует наличие исключительно документа на бумаге. Например, с помощью таких подписей граждане могут получать госуслуги в электронном виде, а органы государственной власти могут отправлять сообщения гражданам и взаимодействовать друг с другом через информационные системы. Ранее выданные сертификаты ЭЦП и подписанные с их помощью документы приравниваются к квалифицированным подписям. Иностранные электронные подписи приравниваются в России к тем видам подписей, которым они соответствуют. Простая электронная подпись, в отличие от прежней электронно-цифровой подписи, не предназначена для защиты документа от подделки. Она не позволяет обнаружить возможное искажение содержания документа. Единственная ее функция — подтверждение факта формирования электронной подписи (а не самого документа!) определенным лицом. Целям определения лица, подписавшего электронный документ, а также обнаружения факта внесения изменений в документ после его подписания служит усиленная электронная подпись. Именно эта подпись (в двух видах — неквалифицированная и квалифицированная) является аналогом прежней электронной цифровой подписи. Что такое удостоверяющий центр и для чего он нужен Удостоверяющий центр - это своего рода администратор, который выдает и обслуживает усиленные электронные подписи. В качестве него могут выступать как юрлица или ИП, так и госорганы или органы местного самоуправления (п. 7 ст. 2 Закона об электронной подписи). Прежде чем выдать подпись, удостоверяющий центр устанавливает личность обратившегося за ней. Если это представитель юрлица, центр проверяет также его полномочия. В дальнейшем такой центр обеспечивает конфиденциальность ключей электронной подписи. При получении соответствующего обращения он может осуществить проверку электронной подписи (п. п. 1, 9 ч. 1, п. 4 ч. 2 ст. 13 Закона об электронной подписи). Таким образом, удостоверяющий центр выступает в роли гаранта, который обеспечивает безопасность и надежность использования электронных подписей. Удостоверяющие центры бывают аккредитованные и неаккредитованные (ст. ст. 13, 15 Закона об электронной подписи). Выдавать квалифицированные сертификаты имеют право только аккредитованные удостоверяющие центры. К ним относятся удостоверяющие центры, получившие аккредитацию Минкомсвязи России, а также удостоверяющие центры ФНС России, Казначейства России, Банка России (п. 1 ч. 2 ст. 8, ч. 1 ст. 15 Закона об электронной подписи). Перечень аккредитованных удостоверяющих центров опубликован на сайте Минкомсвязи России: http://minsvyaz.ru/ru/activity/govservices/2. Как получить электронную подпись Порядок получения электронной подписи зависит от того, подпись какого вида вы хотите получить. Простую подпись получить несложно. Как правило, это бесплатно и не занимает много времени. Например, вам могут предложить заполнить регистрационную форму на сайте, а затем ввести код, направленный в СМС-сообщении. Чтобы получить усиленную подпись, нужно прежде всего выбрать удостоверяющий центр. Как правило, на сайтах таких центров есть форма заявления и перечень требуемых документов. Чтобы заказать подпись, достаточно заполнить заявление и приложить к нему документы по списку. Скорее всего, до выдачи подписи вас попросят оплатить услуги удостоверяющего центра. Когда электронная подпись будет готова, вам выдадут ключ электронной подписи, ключ проверки электронной подписи и сертификат ключа проверки электронной подписи. Чтобы получить ключи и/или сертификат ключа проверки электронной подписи, вам нужно: · для усиленной электронной подписи - обратиться в удостоверяющий центр и в согласованный с ним срок получить средства электронной подписи и документы. Учтите, что удостоверяющий центр выдаст их только тому лицу, на чье имя заказана подпись (владельцу сертификата). Если получать подпись будет другое лицо, у него должна быть соответствующая доверенность; · для простой электронной подписи - как правило, создать или получить у оператора соответствующего сервиса логин и пароль. Сертификат не создается. Рассмотрим некоторые технологические аспекты, связанные с применением закона об ЭЦП, и в первую очередь проблемы стандартизации и совместимости различных криптографических приложений и протоколов. В общем случае типовая структура системы с PKI (подразумеваемая законом об ЭЦП), включает: - удостоверяющий центр (УЦ), обеспечивающий формирование и публикацию цифровых сертификатов и списков отозванных сертификатов; - владельцев и конечных пользователей цифровых сертификатов; - организатора PKI, под чьим присмотром работают центр регистрации запросов на сертификацию и справочная служба на базе LDAP-совместимых протоколов, ведется архив электронных документов на случай возникновения споров, поддерживаются другие функции; - системы разрешения споров на основе действующего законодательства; - средства криптографической защиты информации (СКЗИ) для формирования и проверки ЭЦП. Подпись под электронным документом формируется на основе секретного ключа пользователя и служит для установления подлинности (целостности и авторства) документа, а ее проверка выполняется с помощью открытого ключа, парного секретному. Секретный ключ должен быть известен только владельцу, а открытый ключ может распространяться свободно в составе цифрового сертификата и должен быть доступен любому пользователю информационной системы. Следует отметить, что законом об ЭЦП допускается изготовление ключей как самим пользователем на его рабочем месте, так и в удостоверяющем центре. Цифровой сертификат открытого ключа представляет собой заверенный в УЦ набор данных, содержащий юридически значимую информацию о владельце ключа, имя издателя сертификата, собственно код открытого ключа, период действия сертификата, идентификаторы поддерживаемых криптографических алгоритмов и другую служебную информацию. В качестве алгоритмов формирования и проверки ЭЦП в законе предусматривается использование российских криптографических стандартов - ГОСТ Р 34.10-94, ГОСТ Р 34.11-94 и нового ГОСТ Р 34.10-2001 на основе эллиптических кривых. Разрешение споров, связанных с применением ЭЦП, основано на безусловном признании (“неотрекаемости”) пользователем своей электронной цифровой подписи под документом. Содержащиеся в законе требования к условиям использования ЭЦП, процедур сертификации открытых ключей, обязательств во взаимоотношениях удостоверяющих центров и владельцев сертификатов и пр., по существу, соответствуют описанию PKI, определенному международным стандартом X.509, хотя этот стандарт в законе и не упоминается. В связи с этим представляется нелогичным, что разработчики закона, определив технологию ЭЦП, не пошли дальше и не оговорили структуру и форматы представления данных в составе цифрового сертификата, а упомянули лишь его необходимые информационные составляющие. Отсутствие согласованных форматов может привести к тому, что поля сертификата будут неоднозначно толковаться, с одной стороны, формирующими их удостоверяющими центрами, а с другой - приложениями, которые их используют. Это может спровоцировать приложение на использование сертификата не по назначению или, наоборот, привести к неправомочному отказу в предоставлении определенной услуги владельцу либо пользователю сертификата. Так, вследствие неверной интерпретации криптографическим приложением значения флага “сертификат ключа подписи” (ограничивающего применение ключа) владельцу сертификата будет отказано в формировании ЭЦП, если указанное приложение использует для подписи только сертификаты с установленным флагом. Для реализации криптосистемы с открытым ключом каждым адресатом информационной системы генерируются два ключа, связанные между собой по определенному правилу. Один ключ объявляется открытым, а другой закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение корреспонденту. Секретный ключ сохраняется в тайне. Исходный текст шифруется, подписывается открытым ключом корреспондента и передается ему. Зашифрованный текст, в принципе, не может быть расшифрован тем же открытым ключом. Дешифрация сообщения возможна только с использованием закрытого ключа, который известен только самому корреспонденту. Надежность технологии с открытым ключом основана на математически доказанном факте практической невозможности вычисления секретного ключа с использованием современных вычислительных средств за обозримый интервал времени. Предлагаемые сегодня криптосистемы с открытым ключом опираются на один из следующих типов необратимых преобразований: * Разложение больших чисел на простые множители. * Вычисление логарифма в конечном поле. * Вычисление корней алгебраических уравнений. Алгоритмы криптосистемы с открытым ключом (СОК) можно использовать как: * самостоятельные средства защиты передаваемых и хранимых данных; * средства для распределения ключей. Алгоритмы СОК более трудоемки, чем традиционные криптосистемы. Поэтому часто на практике рационально с помощью СОК распределять ключи, объем которых как информации незначителен; * средства аутентификации пользователей в системах "электронная подпись". В последнее время ЭЦП все активнее используется для замены рукописной подписи, подтверждающей подлинность того или иного документа. Ею могут скрепляться всевозможные электронные документы, начиная с различных сообщений и кончая контрактами. ЭЦП может применяться также для контроля доступа к особо важной информации. К ЭЦП предъявляются два основных требования: * высокая сложность фальсификации; * простота проверки. Для реализации ЭЦП можно использовать как классические криптографические алгоритмы, так и асимметричные, причем именно последние обладают всеми свойствами, необходимыми для ЭЦП. В настоящее время в России действуют два стандарта, относящихся к ЭЦП: ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94. Использование средств шифрования и ЭЦП сделали возможным уравнять в правах бумажный и электронный документы в законодательном порядке. Российское законодательство (включая Гражданский кодекс) является очень гибким в отношении использования электронных средств заключения контрактов. Вполне возможно, что именно в России был создан правовой прецедент признания цифровой подписи в суде. В соответствии с ч. 2 ст. 160 Гражданского кодекса Российской Федерации при совершении сделок в письменной форме допускается использование аналогов собственноручной подписи. В то же время, как и в других государствах, использование цифровой подписи становится возможным лишь при заключении договоров, в которых предварительно оговариваются процедуры ее применения, проверки, и способы разрешения конфликтов. |