Цифровая подпись: описание, алгоритмы, сферы применения

Самая сложная  в понимании и интерпретации  - это простая электронная подпись.

Простая электронная подпись имеет следующие  основные характеристики:

1) она  содержится в самом электронном документе;

2) она  подтверждает факт формирования электронной подписи определённым лицом;

3) она  сформирована с помощью конфиденциального  ключа простой электронной подписи;

4) она  используется в соответствии  с правилами, установленными оператором  информационной системы.

При этом простая электронная подпись  фактически не используется для обнаружения  факта внесения изменений в подписанный  электронный документ. Как обеспечить применение простой электронной  подписи - время покажет.

Более привычна для нас - неквалифицированная электронная подпись.

Она имеет  следующие основные характеристики:

1) она  содержится в самом электронном  документе или иным образом  связана с документом;

2) она  подтверждает факт формирования электронной подписи определённым лицом;

3) она  сформирована с помощью криптографического  средства электронной подписи  и ключа электронной подписи;

4) она  проверяется с помощью криптографического  средства электронной подписи  и ключа проверки электронной  подписи;

5) она  используется в соответствии  с правилами, установленными оператором  информационной системы.

Неквалифицированная электронная подпись, в отличие от простой электронной подписи, обеспечивает обнаружение факта изменения электронного документа. Важно отметить, что неквалифицированная электронная подпись может использоваться как с сертификатом ключа проверки электронной подписи, созданным удостоверяющим центром, так и без него. Требования по сертификации средств электронной подписи законом так же не определяется. Это определяется оператором информационной системы. Если неквалифицированная электронная подпись используется с сертификатом ключа проверки электронной подписи, созданным удостоверяющим центром, то её применение практически идентично современной электронной цифровой подписи, определённой 1-ФЗ «Об электронной цифровой подписи».

Особняком стоит квалифицированная электронная  подпись. По характеристикам она  такая же, как не квалифицированная  электронная подпись, но обязательно  используется с сертификатом ключа  проверки электронной подписи, созданным  аккредитованным (доверенным, удовлетворяющим  установленным требованиям) удостоверяющим центром, с помощью средства электронной  подписи, так же удовлетворяющим  установленным требованиям. Но самое  главное отличие квалифицированной  электронной подписи от всех остальных  видов электронной подписи - это то, что для её применения не нужно превентивно устанавливать никаких правил её применения. Т.е. это подпись прямого действия. Подписал квалифицированной подписью электронный документ, все обязаны принимать этот электронный документ к исполнению или к сведению, наравне с документом в бумажной форме.

Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому  регулированию в сфере информационных технологий должен разработать и  утвердить нормативно-правовые акты, определяющие:

- порядок передачи реестров квалифицированных сертификатов и иной информации в уполномоченный федеральный орган в случае прекращения деятельности аккредитованного удостоверяющего центра;

- порядок формирования и ведения реестров квалифицированных сертификатов, а также предоставления информации из таких реестров;

- правила аккредитации удостоверяющих центров;

- порядок проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены настоящим Федеральным законом и на соответствие которым эти удостоверяющие центры были аккредитованы.

Федеральный орган исполнительной власти в области  обеспечения безопасности должен осуществлять подтверждение соответствия средств  электронной подписи и средств  удостоверяющего центра требованиям, которые он должен разработать и  утвердить, а именно:

- требования к форме квалифицированного сертификата;

- требования к средствам электронной подписи и средствам удостоверяющего центра.

Правительство Российской Федерации должно назначить уполномоченный федеральный орган в сфере использования электронной подписи, который будет осуществлять аккредитацию удостоверяющих центров, проводить проверки соблюдения аккредитованными удостоверяющими центрами установленным требованиям.

В настоящий  момент указанные выше правила, порядки  и требования отсутствуют. Сроков их появления объявлено не было.

Ответ на вопрос «Что делать с существующими  системами, в которых применяется  электронная цифровая подпись?»  зависит от того, в какой информационной системе применяется электронная  цифровая подписи. Если это информационная система органа исполнительной власти или органа местного самоуправления, то нужно дождаться решения Правительства  Российской Федерации, которое должно определить виды электронных подписей, используемых органами исполнительной власти и органами местного самоуправления, порядок их использования, а также  требования об обеспечении совместимости  средств электронных подписей при  организации электронного взаимодействия указанных органов между собой. И исходя из положений решения  Правительства Российской Федерации.

Операторы (или владельцы) остальных видов  информационных систем должны сами определиться с видами электронных подписей, которые  они будут применять в своей  информационной системе. Если иное (допустимый вид электронной подписи в  отдельных информационных системах) не будет установлен нормативно-правовыми  актами (законами, постановлениями, ведомственными приказами).

Максимальные  риски связаны с применением  простой электронной подписи. Это  связано с тем, что оператор системы  сам должен определить и как создавать  простую подпись, и как её проверять, и как обеспечить неотказуемость лица от факта подписания и т.д. Соответственно, возрастают и риски отказа от факта подписания электронного документа. А значит возрастают и риски непринятия электронного документа в качестве доказательства по делу. А принятие документа в качестве доказательства и есть цель обеспечения юридической значимости электронной подписи.

Минимальные риски связаны с применением  квалифицированной электронной  подписи. Применение квалифицированной  электронной подписи строго регламентировано, все процедуры создания и проверки подписи и обеспечения неотказуемости определены соответствующими требования, установленными уполномоченными федеральными органами. Вероятность принятия электронного документа, удостоверенного квалифицированной  электронной подписи, в качестве доказательства по делу равна единице. Это прямая норма нового закона.

Между этими  максимальными и минимальными оценками находятся риски, связанные с  применением неквалифицированной  электронной подписи. Риски уменьшаются  при применении традиционной технологии электронной цифровой подписи (с  сертификатами ключей подписей и  удостоверяющими центрами и сертифицированными средствами электронной цифровой подписи). И риски увеличиваются при  применении иных технологий. Это связано  с наличием обширной деловой практики и обычаев делового оборота по применению традиционной электронной цифровой подписи. И с отсутствием такового при применении иных технологий обеспечения применения неквалифицированной электронной подписи.

Если  оператор (или владелец) информационной системы посчитает, что квалифицированная  электронная подпись его более  всего устраивает, то проводить мероприятия  по переходу с применения электронной  цифровой подписи на применение квалифицированной  электронной подписи в настоящий  момент не представляется возможным. Это  связано с отсутствием установленных  законом нормативно-правовых актов  и невозможностью получения статуса  аккредитованного удостоверяющего  центра. После появления установленных  законом нормативно-правовых актов  нужно провести их оценку затрат на их выполнение и на основании результатов  анализа принимать решение по выбору вида электронной подписи.

Если  оператор (или владелец) информационной системы посчитает, что неквалифицированная  электронная подпись его более  всего устраивает, то достаточно во всех регламентах (документации) своей  информационной системы заменить «электронная цифровая подпись» на «неквалифицированная электронная подпись».

 

 

 

 

 

8. Правовое регулирование электронной цифровой подписи

в России

 

В развитых странах мира, в том числе и  в Российской Федерации, электронная  цифровая подпись широко используется в хозяйственном обороте. Банк России и другие банки Российской Федерации эффективно используют электронную цифровую подпись для осуществления своих операций путем пересылки банковских электронных документов по корпоративным и общедоступным телекоммуникационным сетям.

Для преодоления  всех существующих в данной области  отношений препятствий необходимо создание унифицированных правил, при  помощи которых страны могут в  национальном законодательстве решить основные проблемы, связанные с юридической  значимостью записей в памяти ЭВМ, письменной формой электронных  данных (в том числе и документов), подписью под такими данными, оригиналом и копиями электронных данных, а также признанием в качестве судебных доказательств электронных  данных, заверенных электронной подписью.

10 января 2002 года был принят Федеральный  Закон «Об электронной цифровой  подписи», вступивший в силу с  22 января текущего года, который  закладывает основы решения проблемы  обеспечения правовых условий  для использования электронной  цифровой подписи в процессах  обмена электронными документами,  при соблюдении которых электронная  цифровая подпись признается  юридически равнозначной собственноручной  подписи человека в документе  на бумажном носителе.

Федеральный Закон «Об электронной цифровой подписи» определяет условия использования  электронной цифровой подписи в электронных документах органами государственной власти и государственными организациями, а также юридическими и физическими лицами, при соблюдении которых:

- средства создания подписи признаются надёжными;

- сама электронная цифровая подпись признаётся достоверной, а её подделка или фальсификация подписанных данных могут быть точно установлены;

- предоставляются юридические гарантии безопасности передачи информации по открытым телекоммуникационным каналам;

- соблюдаются правовые нормы, содержащие требования к письменной форме документа;

- сохраняются все традиционные процессуальные функции подписи, в том числе удостоверение полномочий подписавшей стороны, установление подписавшего лица и содержания сообщения, а также роль подписи в качестве судебного доказательства;

- обеспечивается охрана персональной информации.

В Законе устанавливаются права и обязанности  обладателя электронной цифровой подписи.

В соответствии с законом владельцем сертификата  ключа подписи (обладателем электронной  цифровой подписи) является физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа  подписи и которое владеет  соответствующим закрытым ключом электронной  цифровой подписи, позволяющим с  помощью средств электронной  цифровой подписи создавать свою электронную цифровую подпись электронных документах (подписывать электронные документы).

Владелец  сертификата ключа подписи обязан:

- Хранить в тайне закрытый ключ электронной цифровой подписи;

- Не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;

- Немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.

Согласно  ст. 6 данного Закона сертификат ключа  подписи должен содержать следующие  сведения:

- Уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;

- Фамилия, имя, отчество владельца сертификата ключа подписи или псевдоним владельца;

- Открытый ключ электронной цифровой подписи;

- Наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи;

- Сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.

 

 

9. Список литературы

 

 

1. Copyright, 2003, Мариуполь, Николай Пономаренко Статья для Delphi Plus.

 

 2. ФЗ «Об Электронной цифровой подписи» № 1-ФЗ от 10.01.2002 г.

 

 3. Гражданский Кодекс РФ