Главная страница
Навигация по странице:

  • ГЛАВА 1. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ 1.1 Проблема подтверждения подлинности

  • 1.2 Закон «Об электронной цифровой подписи»

  • ГЛАВА 2: ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ 2.1 Электронная цифровая подпись

  • 2.2 Функционирование ЭЦП

  • 2.2.1 Открытый и закрытый ключи

  • 2.2.2 Формирование подписи и отправка сообщения

  • 2.2.3 Проверка (верификация) подписи

  • 2.3 Использование ЭЦП

  • 2.4 Применение ЭЦП

  • Список литературы и нормативных документов

  • Закон Об электронной цифровой подписи


    Скачать 0.82 Mb.
    НазваниеЗакон Об электронной цифровой подписи
    Дата08.02.2023
    Размер0.82 Mb.
    Формат файлаdocx
    Имя файлаETsP.docx
    ТипЗакон
    #927002

    Электронная цифровая подпись
    Содержание:

    Введение
    ГЛАВА 1. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
    1.1 Проблема подтверждения подлинности
    1.2 Закон «Об электронной цифровой подписи»
    ГЛАВА 2: ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ
    2.1 Электронная цифровая подпись
    2.2 Функционирование ЭЦП
    2.2.1 Открытый и закрытый ключи
    2.2.2 Формирование подписи и отправка сообщения
    2.2.3 Проверка (верификация) подписи
    2.3 Использование ЭЦП
    2.4 Применение ЭЦП
    Список литературы и нормативных документов

    Введение

    В настоящее время многие предприятия используют те или иные методы безбумажной обработки и обмена документами. Использование подобных систем позволяет значительно сократить время, затрачиваемое на обмен документацией, усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов, построить корпоративную систему обмена документами. Однако при переходе на электронный документооборот встает вопрос авторства документа, достоверности и защиты от искажений.

    В данной работе будет рассмотрено наиболее удобное средство защиты электронных документов от искажений, позволяющее при этом однозначно идентифицировать отправителя сообщения, является электронная цифровая подпись (ЭЦП).

    ГЛАВА 1. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ

    1.1 Проблема подтверждения подлинности

    В наше время мгновенный обмен сообщениями играет немаловажную роль. Электронное сообщение имеет ряд неоспоримых преимуществ перед обычным бумажным носителем информации — это простота передачи, экономия средств, времени и ресурсов. Однако, решая одни проблемы мы неизбежно сталкиваемся с другими, решение которых часто гораздо сложнее и требуют специальных решений.

    В обычном «бумажном» документообороте эти проблемы решены. Имеются специальные стандарты, определяющие необходимые реквизиты, которые позволяют определить подлинность документа, предать ему официальный статус и, как следствие, придать ему юридическую значимость.

    Однако, как показывает практика, собственноручная подпись на бумажном документе по самой своей природе оставляет лазейки для мошенников. Недаром для затруднения их действий на бланки документов наносят специальные защитные знаки, применяют нумерацию и скрепление листов, а кроме того, наряду с самой подписью используют собственноручное написание фамилии, имени, отчества на документе и т. п.Одним словом, при всех ее достоинствах собственноручная подпись обладает и целым рядом недостатков.

    Как результат проникновения компьютерных технологий во все сферы человеческой деятельности возникла потребность реализовать необходимые реквизиты, подтверждающих подлинность документа, и аналог собственноручной подписи человека в электронном виде, а так же наделить электронный документ всеми достоинствами традиционного бумажного документа. С созданием электронной цифровой подписи эти задачи были успешно решены.

    ЭЦП устранила большинство проблем, свойственных подписи на бумажном документе, однако, с ее появлением появился ряд других проблем: 1) подтверждение личности того кто отправил документ; 2) подтверждение подлинности самого документа; 3) гарантия того, что документ не был искажен в процессе его передачи. Таким образом, появление электронного документооборота повлекло за собой проблему решения трех взаимосвязанных задач:

    * подтверждение авторства подписанта (идентификация);

    * подтверждение подлинности документа (аутентификация);

    * обеспечение целостности передаваемой информации.

    1.2 Закон «Об электронной цифровой подписи»

    Федеральный закон Российской Федерации от 10 января 2002 г. N 1-ФЗ «Об электронной цифровой подписи».

    В статье 3 даны основные понятия, используемые в настоящем Федеральном законе :

    * электронный документ — документ, в котором информация представлена в электронно-цифровой форме;

    * электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;

    * владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);

    * средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;

    * сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;

    * закрытый ключ электронной цифровой подписи — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;

    * открытый ключ электронной цифровой подписи — уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;

    * сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

    * подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;

    * пользователь сертификата ключа подписи — физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;

    * информационная система общего пользования — информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;

    * корпоративная информационная система — информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

    Закон уравнивает юридическую силу электронной цифровой подписи в электронном документе и традиционную собственноручную подпись на бумаге. При этом на информацию с электронной цифровой подписью распространяются все традиционные процессуальные функции подписи, в том числе удостоверение полномочий подписавшей стороны, а также роль подписи в качестве судебного доказательства.

    Закон определяет, что заверение электронного документа электронно-цифровой подписью и признания равнозначности электронной цифровой подписи и собственноручной подписи возможно только при соблюдении определенных условий:

    * сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

    * подтверждена подлинность электронной цифровой подписи в электронном документе;

    * электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

    Сертификат ключа подписи должен содержать следующие сведения:

    * уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;

    * фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима удостоверяющим центром вносится запись об этом в сертификат ключа подписи;

    * открытый ключ электронной цифровой подписи;

    * наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи;

    * наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи;

    * сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.

    Участник информационной системы может быть владельцем любого количества сертификатов ключей подписей. При этом электронный документ с ЭЦП имеет юридическое значение в рамках отношений, указанных в сертификате ключа подписи.

    Средства, используемые при создании ключей электронных цифровых подписей для информационных систем общего пользования, должны быть сертифицированы соответствующим федеральным органом, в противном случае они признаются недействительными.

    В качестве удостоверяющего центра с правом выдачи сертификатов ключей подписей должно выступать юридическое лицо, обладающее всеми необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей. В функции удостоверяющего центра входит:

    * изготовление сертификатов ключей подписей;

    * создание ключей электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;

    * приостановление и возобновление действия сертификатов ключей подписей, а также их аннулирование;

    * ведение реестра сертификатов ключей подписей, обеспечение его актуальности и возможности свободного доступа к нему участников информационных систем;

    * проверка уникальности открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и в архиве удостоверяющего центра;

    * выдача сертификатов ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;

    * подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей При изготовлении сертификатов ключей подписей удостоверяющим центром оформляются (в форме документов на бумажных носителях) два экземпляра сертификата ключа подписи, которые заверяются собственноручными подписями владельца сертификата ключа подписи и уполномоченного лица удостоверяющего центра, а также печатью удостоверяющего центра. Один экземпляр сертификата ключа подписи выдается владельцу сертификата ключа подписи, второй остается в удостоверяющем центре.

    Уполномоченный федеральный орган исполнительной власти ведет единый государственный реестр сертификатов ключей подписей, которыми удостоверяющие центры, работающие с участниками информационных систем общего пользования, заверяют выдаваемые ими сертификаты ключей подписей; обеспечивает возможность свободного доступа к этому реестру и выдает сертификаты ключей подписей соответствующих уполномоченных лиц удостоверяющих центров.

    Создание ключей электронных цифровых подписей осуществляется для использования в:

    * информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;

    * корпоративной информационной системе в порядке, установленном в этой системе.











    При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации.

    Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается.

    Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.

    ГЛАВА 2: ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ

    2.1 Электронная цифровая подпись

    Электронная цифровая подпись (ЭЦП)-- реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

    С точки зрения технологии ЭЦП — это программно-криптографическое (то есть соответствующим образом зашифрованное) средство, позволяющее подтвердить, что подпись, стоящая на том или ином электронном документе, поставлена именно его автором, а не каким-либо другим лицом. Представляет собой набор знаков, генерируемый по алгоритму, определенному отечественным стандартом ГОСТ 3410 или зарубежным DSS. Одновременно ЭЦП позволяет убедиться в том, что подписанная методом ЭЦП информация не была изменена в процессе пересылки и была подписана отправителем именно в том виде, в каком вы ее получили. Считается, что данная технология имеет 100-процентную защиту от взлома.

    Документы, подписанные ЭЦП, передаются через Интернет или локальную сеть в течение нескольких секунд. Все участники электронного обмена документами получают равные возможности, независимо от их удаленности друг от друга.

    Использование ЭЦП позволяет:

    * заменить при безбумажном документообороте традиционные печать и подпись;

    * усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов, гарантировать достоверность документации;

    * значительно сократить время движения документов, ускорить и облегчить процесс визирования одного документа несколькими лицами;

    * использовать одни и те же средства ЭЦП при обмене информацией со всеми министерствами, ведомствами, администрациями;

    * построить корпоративную систему обмена электронными документами;

    * обеспечить целостность — гарантию того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений;

    * минимизировать риск финансовых потерь за счет обеспечения конфиденциальности информационного обмена документами (при использовании функции шифрования).

    Для передачи конфиденциальных документов через сеть Интернет или локальную сеть, целесообразно использовать функцию шифрования.

    2.2 Функционирование ЭЦП

    Процесс подтверждения документа не возможен без наличия так называемого «секретного ключа», который хранится только у отправителя, и тесно связанного с ним «открытого ключа», которым должен владеть пользователь на другом конце. На основе «секретного ключа» передаваемый текст снабжается специальным атрибутом, а математические методы позволяют однозначно определить с использованием на другом конце «открытого ключа», откуда было отправлено сообщение.

    От сохранности «секретного ключа» напрямую зависит степень надежности любой системы, использующей электронно-цифровую подпись.

    Схема построения ЭЦП относится к криптосистемам с открытым ключом. В отличие от асимметричных алгоритмов шифрования, в которых зашифрование производится с помощью открытого ключа, а расшифрование — с помощью закрытого, в схемах цифровой подписи подписывание производится с применением закрытого ключа, а проверка — с применением открытого.

    Общепризнанная схема цифровой подписи охватывает три процесса:

    — Генерация открытого и закрытого ключей.

    — Формирование подписи и отправка сообщения.

    — Проверка (верификация) подписи.

    2.2.1 Открытый и закрытый ключи

    При помощи алгоритма генерации ключа на основе абсолютно случайных чисел вычисляется закрытый ключ длиной 256 бит. Открытый ключ, длиной 1024 бита, вычисляется из закрытого ключа ЭЦП, таким образом, чтобы получить второй из первого было невозможно. Закрытый ключ предназначен для создания Электронной цифровой подписи. Работает закрытый ключ только в паре с открытым ключом.

    Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. То есть мы сталкиваемся с проблемой отделимости подписи от владельца. Подпись от руки по понятным причинам неотделима от ее обладателя. Совсем по-другому обстоят дела при использовании электронно-цифровой подписи, точнее ее «секретного ключа». Последний, как правило, представляет собой определенный файл, который хранится в компьютере подписанта и, естественно, вполне отделим от него. Доступ к нему осуществляется на основе пароля, или устройства-идентификатора. Такой подход нельзя считать надежным и удобным, особенно при массовом использовании. Владелец может забыть свой пароль или передать другому лицу устройство-идентификатор. И, конечно, существует вероятность, что новый владелец воспользуется этим для подписи фиктивного документа. Поэтому, контроль за правомерным использованием «секретного ключа» является достаточно проблематичной задачей, особенно с доказательной точки зрения. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков. Пользователь может забыть пароль, либо пароль может быть взломан злоумышленником и пользователь может подписывать документы только на этом компьютере.

    В настоящее время существуют следующие устройства хранения закрытого ключа:

    — Дискеты

    — Смарт-карты

    — USB-брелоки

    — Таблетки Touch-Memory

    Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван. Наиболее защищенный способ хранения закрытого ключа — запись на смарт-карту. Для того, чтобы использовать смарт-карту, пользователю необходимо ввести PIN-код, то есть, провести двухфакторную аутентификацию. После этого, хэш подписываемого сообщения передается карте, чей процессор осуществляет подписывание хэша и передает подпись обратно. В процессе формирования подписи копирования закрытого ключа не происходит, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты сложнее, чем с других устройств хранения.

    В соответствии с законом «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» ответственность за хранение закрытого ключа владелец несет сам.

    Существует несколько методов, позволяющих с очень высокой степенью достоверности обеспечить привязку электронно-цифровой подписи к подписанту. Примером может служить технология цифровой обработки биометрических параметров: например, узора отпечатка пальца, радужной оболочки глаза. Только в этом случае можно говорить, что электронно-цифровая подпись стала аналогом автографа.

    Проблема отделимости электронно-цифровой подписи от подписанта или проблема сохранности «закрытого ключа» может быть решена путем жесткой привязки процесса формирования и использования «закрытого ключа» к какому-либо биометрическому параметру. Такая привязка должна обеспечить гарантированную защиту «закрытого ключа» от несанкционированного доступа и включение образа биометрического параметра в состав электронного документа. Решение этой проблемы электронно-цифровой подписи играет важную роль для юридической поддержки обеспечения электронного документооборота (28, "https://referat.bookap.info").

    Открытый ключ используется для проверки ЭЦП получаемых документов. Открытый ключ работает только в паре с закрытым ключом. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, предусмотреть механизм проверки того, что этот ключ принадлежит именно своему владельцу, а также организовать отзыв ключа в случае его компрометации. Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица.

    Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями. Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов.

    2.2.2 Формирование подписи и отправка сообщения

    Для заданного электронного документа по стандартному алгоритму вычисляется хэш-функция. Вычисленное значение хэш-функции представляет собой один короткий блок информации, характеризующий весь документ в целом и обладает чувствительностью даже к перестановке символов сообщения. Кроме того хэш-функция имеет следующие особенности: фиксируемую длину, независимо от длины сообщения, уникальность для каждого сообщения, необратимость.

    Далее полученный блок информации шифруется с помощью закрытого ключа автора и специального программного обеспечения. Получаемая при этом последовательность чисел представляет собой ЭЦП для данного документа. Расшифровать ЭЦП и получить исходный хэш-код, который будет соответствовать документу, можно только используя открытый ключ содержащийся в Сертификате открытого ключа автора. Таким образом, вычисление хэш-функции документа защищает его от модификации посторонними лицами после подписания, а шифрование личным ключом автора подтверждает авторство документа.

    2.2.3 Проверка (верификация) подписи

    При проверке документа получатель сообщения вычисляет хэш-функцию принятого документа. Расшифровывает подпись с помощью своего открытого ключа и специального программного обеспечения. После чего отправитель проверяет, соответствует ли хэш принятого документа расшифрованной подписи. Если они равны, то документ считается подлинным. Электронная цифровая подпись подтверждает достоверность и целостность документа. Если в него в процессе пересылки были внесены какие-либо изменения, пусть даже совсем незначительные, то подмена обнаружится. Сертификат открытого ключа содержит персональную информацию о владельце закрытого ключа, что позволяет однозначно идентифицировать автора документа.

    Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:

    - Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.

    - Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.

    Одной из дополнительных возможностей при работе с ЭЦП является услуга фиксирования точного времени подписания документа ЭЦП — отметка точного времени. Отметка точного времени позволяет точно определить момент наложения ЭЦП, причем изменить, впоследствии, его значение даже лицом, которое наложило подпись невозможно. Возможно лишь повторное подписание с фиксацией нового времени. Отметка точного времени синхронизируется со Всемирным координированным временем (UTC) и проставляется с точностью до одной секунды.

    В обычном документообороте документ считается таковым, если есть дата его регистрации. При электронном документообороте дата становится одним из важнейших реквизитов.

    Допустим, что любой электронный документ, выходящий за пределы какой-либо замкнутой системы перед отправлением его в канал связи регистрируется и маркируется специальным атрибутом, в котором содержится точное время его отправки и сведения о том сервере, откуда он отправлен. Время прохождения сигнала электронного документа по каналам практически всегда заранее известно. Поэтому, получив сообщение с временной меткой всегда можно сверить время его прохождения. Если имеются различия во времени, например, задержка в его получении, то приемный сервер всегда может запросить у передающего подтверждение отправки документа. Если же сообщение, полученное после подтверждения, не совпадает с первоначально полученным, то можно с уверенностью говорить о несанкционированном вмешательстве.

    2.3 Использование ЭЦП

    В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр.

    Электронная цифровая подпись аналогична подписи человека, а для того чтобы убедиться в подлинности документов, подписываемых человеком, любая организация отправляет его сначала к нотариусу, который проверив дееспособность человека удостоверяет его собственноручную подпись на самых различных документах.

    Организация, установив соответствующее программное обеспечение, может организовать собственный Удостоверяющий центр, но при этом следует иметь ввиду, что ЭЦП, наносимые работниками организации, не смогут иметь юридическое значение за пределами этой организации. Поэтому точно так же, как и при обращении к нотариусам, следует пользоваться услугами внешних аттестованных удостоверяющих центров. Подписав договор с Удостоверяющим Центром организация может получать от него сертификаты для своих работников, которые будут пользоваться ЭЦП.

    Удостоверяющий центр — это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.

    Центр сертификации ключей имеет право: предоставлять услуги по удостоверению сертификатов электронной цифровой подписи и обслуживать сертификаты открытых ключей, получать и проверять информацию, необходимую для создания соответствия информации указанной в сертификате ключа и предъявленными документами.

    Российские удостоверяющие центры:

    * Удостоверяющий Центр ЗАО «ПФ «СКБ Контур»

    * Удостоверяющий Центр ФГУП НИИ «Восход»

    * Удостоверяющий Центр DIP

    * ООО Межрегиональный Удостоверяющий Центр

    * НП «Национальный Удостоверяющий центр»

    * ЗАО «АНК»

    * ООО ПНК

    * ЗАО Удостоверяющий Центр (Нижний Новгород)

    * ЗАО Удостоверяющий Центр (Санкт-Петербург)

    * ООО «Компания «Тензор»

    * ОАО «Электронная Москва»

    * Центр сертификации «Стандарт Тест»

    * Всероссийский центр сертификации

    * Удостоверяющий центр ЗАО «Сервер-Центр» (Владивосток)

    * Удостоверяющий центр «ДСЦБИ «МАСКОМ» (Хабаровск) В процессе создания сертификата каждому из таких работников будет сгенерирован закрытый ключ. Процедура создания ключей может выполняться по-разному. Ключи могут создаваться в Удостоверяющем центре и передаваться пользователям вместе с сертификатом. Ключи могут создаваться и на рабочем месте пользователя в организации, а открытая часть ключа пересылаться в Удостоверяющий центр для последующего изготовления сертификата.

    Сертификат содержит всю необходимую информацию для проверки ЭЦП. Данные сертификата открыты и публичны. Поэтому обычно сертификаты хранятся в хранилище операционной системы (в каждом компьютере, в общем сетевом хранилище, в базе данных и т. п.). Конечно, все сертификаты всегда хранятся и в Удостоверяющем центре, точно так же, как и нотариус хранит всю необходимую информацию о человеке, выполнившем у него нотариальное действие.

    Получение работником организации закрытого ключа, обеспечение его сохранности и действия с ним обычно регламентируется приказом по организации с утверждением инструктивных материалов. В них регламентируется порядок выпуска сертификатов, применение ключей для подписания документов, получение, замену, сдачу закрытого ключа работниками, и действия выполняемые при компрометации ключа. Последние аналогичны действиям выполняемым при потере банковской карты.

    Создание ЭЦП представляет собой сложную математическую процедуру и ее выполняют специальные программы — криптопровайдеры. В современных операционных системах криптопровайдеры уже включены в их состав.

    Однако в ряде случае законодательство требует применение сертифицированных государственными органами криптопровайдеров. В этом случае их придется покупать и устанавливать на всех компьютерах, на которых будут подписываться или проверяться ЭЦП. Создание же ключей и получение сертификатов будет возможно только после установки соответствующих криптопровайдеров, так как они будут использоваться в процессе создания ключей и дальнейших процессов формирования и проверки электронной цифровой подписи.

    При самостоятельном выборе криптопровайдера следует учитывать, что не каждый удостоверяющий центр обслуживает всех возможных криптопровайдеров. Т. е. если партнерам, организующим электронный документооборот нужен конкретный криптопровайдер, следует выбирать удостоверяющий центр именно под него. Впрочем, большинство удостоверяющих центров работают со всеми наиболее популярными криптопровайдерами. Наиболее распространенные в России криптопровайдеры — это Microsoft Enchanced Provider и Microsoft Base Provider, «КриптоПРО» и Signal-COM.

    Обеспечение применения электронной цифровой подписи реализуется с помощью специальных программных средств:

    * «Крипто Банк» фирмы «Лан Крипто»

    * Серия программ «КРИПТОН фирмы «Анкад»

    * «КАРМА» компании «ЭОС»

    Основное назначение системы криптографического обеспечения «КАРМА» — обеспечение применения электронной цифровой подписи и шифрования, в том числе и в юридически значимом электронном документообороте.

    «КАРМА» может использоваться пользователем MS Windows для подписи, работы с ЭЦП файлов и шифрования файлов непосредственно в проводнике MS Windows.

    «КАРМА» не требует специфических знаний по криптографии не только от пользователя, но и от программиста или системного администратора. Это становится возможным благодаря тому, что в системе криптографической защиты «КАРМА» используется высокоуровневый интерфейс и для обычного пользователя, и для пользователя — программиста. Система позволяет быстро и надежно дополнить любую прикладную систему средствами электронной цифровой подписи и шифрования.

    2.4 Применение ЭЦП

    В последнее время электронно-цифровая подпись (ЭЦП) получает все большее распространение в отечественных корпоративных информационных системах. Наиболее широкое применение сегодня ЭЦП находит в системах электронного документооборота (СЭД), в платежных системах, электронной торговле, бухгалтерии и бизнесе.

    Применение ЭЦП с точки зрения бизнеса позволяет не только защитить информацию, но и достичь тактических и стратегических целей любого бизнеса, а именно: повышения рентабельности бизнеса и, как следствие, его конкурентоспособности.

    Повышение рентабельности и конкурентоспособности достигается за счет оптимизации целой группы бизнес-процессов современной организации: внутренних процессов, процессов взаимоотношения с клиентами и процессов взаимоотношений в холдинговых структурах, с инвесторами и акционерами.

    Оптимизация бизнес-процессов достигается за счет внедрения систем электронного документооборота и перехода на безбумажные технологии.

    Основная отличительная черта СЭД с поддержкой ЭЦП от СЭД без таковой поддержки состоит в том, что электронные документы, снабженные ЭЦП, являются доказательствами: они документируют решение или какой-либо факт. Если при возникновении конфликтной ситуации существует электронный документ, подписанный ЭЦП, то на его основе можно провести расследование внутри организации, а при необходимости — и с привлечением третьей стороны (например, в арбитражном суде). СЭД, не предусматривающие ЭЦП, такой возможности не предоставляют. Пользователи СЭД без ЭЦП вынуждены доверять системе, системным администраторам, другим участникам работы с документами, причем без каких-либо веских на то оснований. При наличии же ЭЦП основания для доверия есть — это криптографические алгоритмы и протоколы.

    ЭЦП нашла применение в деятельности государственных органов, о чем свидетельствуют принятые нормативные акты, например:

    * Распоряжение Администрации Санкт-Петербурга № 751-ра от 15.05.2002 «Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Санкт-Петербурга»;

    * Постановление Правительства Москвы № 299-ПП от 11.05.2004 «Об утверждении Положения о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти города Москвы»;

    * Приказ Федеральной налоговой службы №САЭ-3−09/7@ от 21.10.2004 «Об утверждении Порядка предоставления в электронном виде сведений, содержащихся в Едином государственном реестре юридических лиц и в Едином государственном реестре индивидуальных предпринимателей»;

    Электронный документ, заверенный ЭЦП получил свое значительное развитие в сфере банковских правоотношений. Значительная роль в этом принадлежит Центральному Банку России. ЦБ РФ, как ни один другой государственный орган, принял значительное число нормативных актов, определяющих особенности применения ЭЦП в сфере финансово-кредитных правоотношений. В настоящее время действуют нормативные правовые акты ЦБ РФ, которые регулируют порядок использования ЭЦП в банковской сфере, от традиционных отношений между коммерческими банками и его клиентами до осуществления ЦБ РФ контрольно — надзорной функции и предоставлении кредитными организациями отчетности в электронной форме. Общим началом является признание юридической силы ЭД, подписанных ЭЦП, при положительном результате проверки ЭЦП. При этом почти все нормативно-правовые акты ЦБ РФ, вопреки ФЗ «Об ЭЦП», признают в качестве владельца ЭЦП юридическое лицо — кредитную организацию или ее клиента.

    Не меньшее внимание уделяется вопросу применения ЭД при ведении бухгалтерского учета. ФЗ от 21.11.1996 г. «О бухгалтерском учете» позволяет составлять первичные и сводные учетные документы на бумажных и машинных носителях информации. В письме от 19.05.2006 г. Министерство Финансов Р Фразъяснило, что при ведении бюджетного учета допускается использованием ЭД с ЭЦП в порядке, аналогичном для документов на бумажных носителях информации при условии соблюдения действующего законодательства. При рассмотрении споров о легитимности ведения документов бухгалтерского учета в электронной форме суд, как правило, встает на сторону налогоплательщиков. Например, ФАС Северо-Западного округа постановлением от 6.06.2005г. признал недействительным решение ИМНС о привлечении налогоплательщика к ответственности на основании п. 2. ст. 120 НК РФ. Инспекция сделала ошибочный вывод об отсутствии у него книг покупок, продаж и учета счетов-фактур в связи с тем, что они составлялись сотрудниками бухгалтерии в электронном виде по формам, разработанным самим налогоплательщиком.

    Не все документы закон разрешает оформлять в электронном виде. Установленный Н К РФ порядок оформления и заполнения счетов-фактур не разрешает выставлять их в электронном виде при расчетах по налогу на добавленную стоимость. Это подчеркивает ФНС России в своем письме от 14.02.2005 г. «О налоге на добавленную стоимость».

    Заключение Использование методов безбумажной обработки и обмена документами позволяет значительно сократить время, затрачиваемое на оформление сделки и обмен документацией, усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов, построить корпоративную систему обмена документами. Однако при переходе на электронный документооборот встает вопрос авторства документа, достоверности и защиты от искажений.

    Электронная цифровая подпись — это эффективное средство защиты информации от модификации, искажений, позволяющее при этом однозначно идентифицировать отправителя сообщения и перенести свойства реальной подписи под документом в область электронного документа. Электронная цифровая подпись является наиболее перспективным и широко используемым в мире способом защиты электронных документов от подделки и обеспечивает высокую достоверность сообщения.

    Список литературы и нормативных документов

    1. Федеральный закон РФ «Об электронной цифровой подписи» от 10.01.2002 № 1-ФЗ

    2. Шнайер Б. Прикладная криптография.

    3. http://www.compress.ru

    4. http://www.lenust.ru/articles/8509/

    5. http://www.eos.ru/eos_products/eos_karma

    6. http://www.connect.ru/

    7. http://www.ekey.ru

    8. http://ru.wikipedia.org

    9. http://my-pki.com/ru/e_ecp.html


    написать администратору сайта