Основы информационной безопасности

Задание 8 Простая электронная подпись

 

Электронная подпись

Электронная подпись – параметр электронного документа отвечающий за его достоверность. Электронный документ, подписанный ЭЦП имеет юридически значимую силу, такую же, как и бумажный документ подписанный собственноручной подписью.

ЭЦП представляет собой уникальную последовательность символов, которая  генерируется с помощью криптографического преобразования информации. Электронная  подпись идентифицирует владельца  сертификата ЭЦП, а также устанавливает  отсутствие несанкционированных изменений  информации в электронном документе.

Основные термины  ЭЦП

Сертификат ЭЦП - сертификат представляет собой документ, подтверждающий принадлежность открытого ключа и дополнительных атрибутов владельцу сертификата, выданный и заверенный Удостоверяющим Центром.

Владелец сертификата  ЭЦП - физическое лицо, получившее на свое имя в удостоверяющем центре сертификат ключа подписи вместе с соответствующим закрытым ключом ЭЦП. Закрытый ключ позволяет с помощью сертифицированных средств электронной подписи генерировать собственную электронную цифровую подпись и подписывать ею электронные документы.

Владелец сертификата ключа  должен хранить в тайне закрытый ключ ЭЦП, в случае если есть подозрения о нарушении тайны закрытого  ключа электронной подписи немедленно требовать приостановления действия сертификата ключа подписи.

Каждый абонент системы имеет  два ключа электронной подписи:

Закрытый ключ – уникальная последовательность символов, которая хранится в тайне у владельца сертификата ключа подписи на ключевых носителях: картах РИК и MPCOS-EMV, MPCOS-EMV, Touch-Memory, USB ключ eToken, Flash Drive. Закрыты ключ является ключевой парой открытого ключа и работает только с ним в паре.

Открытый ключ – соответствует закрытому ключу электронной цифровой подписи и вычисляется, как значение некоторой функции от закрытого ключа. Открытый ключ доступен любому пользователю информационной системы, но знание открытого ключа не дает возможности определить закрытый ключ. Открытый ключ используется для проверки подлинности подписанного документа.

Использование электронной  подписи ekey.ru позволяет:

• Сдавать налоговую отчетности через интернет
• Участвовать в электронных торгах государственного и корпоративного заказа
• Создавать юридически-значимый электронный документооборот
• Получить доступ к электронным услугам портала Росреестра (для кадастровых инженеров)
• Получить доступ к электронным услугам ряда ведомств
• Регистрировать индивидуальных предпринимателей через интернет
• Получить доступ к ведомственным системам (в том числе ЕИАС ФСТ России)

Где можно приобрести ЭЦП?

Для получения электронной подписи, отправьте, пожалуйста, заявку на выпуск сертификата ЭЦП, заполнив краткую форму в левой колонке. В течение часа менеджер регистрационного центра свяжется с Вами и объяснит детали оформления ЭЦП. Каждый месяц мы открываем совместно с нашими партнерами новые Регистрационные центры во всех регионах РФ.

Для юридических лиц. При получении сертификата электронной цифровой подписи ekey.ru необходимо представить:

• заявку на получение ЭЦП;
• нотариально заверенную копию паспорта заявителя;
• заверенную организацией копию устава организации;
• копию свидетельства о постановке на налоговый учет (заверенную нотариально);
• заверенную организацией копию приказа (протокола) о назначении руководителя организации.;
• платежное поручение, свидетельствующее об оплате (реквизиты для оплаты) либо оплатить наличными средствами;

Для физических лиц. При получении сертификата электронной цифровой подписи ekey.ru необходимо представить:

• заявку на получение ЭЦП;
• нотариально заверенную копию паспорта заявителя;
• платежное поручение, свидетельствующее об оплате (реквизиты для оплаты) либо оплатить наличными средствами;

Использование ЭЦП

Пользоваться подписью очень просто. Никаких специальных знаний, навыков  и умений для этого не потребуется. Каждому пользователю ЭЦП, участвующему в обмене электронными документами, генерируются уникальные открытый и закрытый (секретный) криптографические ключи.

Ключевым элементом является секретный  ключ, с помощью него производится шифрование электронных документов и формируется электронно-цифровая подпись. Также секретный ключ остается у пользователя, выдается ему на отдельном носителе это может быть дискета, смарт-карта или touch memory. Хранить его нужно в секрете от других пользователей сети.

Для проверки подлинности ЭЦП используется открытый ключ. В Удостоверяющем Центре находится дубликат открытого ключа, создана библиотека сертификатов открытых ключей. Удостоверяющий Центр обеспечивает регистрацию и надежное хранение открытых ключей во избежание внесения искажений или попыток подделки.

Вы устанавливает под электронным  документом свою электронную цифровую подпись. При этом на основе секретного ключа ЭЦП и содержимого документа путем криптографического преобразования вырабатывается некоторое большое число, которое и является электронно-цифровой подписью данного пользователя под данным конкретным документом. В конец электронного документа добавляется это число или сохраняется в отдельном файле. В подпись записывается следующая информация: имя файла открытого ключа подписи; информация о лице, сформировавшем подпись; дата формирования подписи.

Пользователь, получивший подписанный  документ и имеющий открытый ключ ЭЦП отправителя на основании  текста документа и открытого  ключа отправителя выполняет  обратное криптографическое преобразование, обеспечивающее проверку электронной  цифровой подписи отправителя. Если ЭЦП под документом верна, то это значит, что документ действительно подписан отправителем и в текст документа не внесено никаких изменений. В противном случае будет выдаваться сообщение, что сертификат отправителя не является действительным.

Требования  к созданию и проверке подписи

Требования к средствам электронной  подписи приведены в статье 12 Закона об электронной подписи. В  качестве таковых рассмотрены шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций: создание электронной  подписи, проверка электронной подписи, создание ключа электронной подписи и ключа ее проверки. 
Определено, что для создания и проверки электронной подписи, создания ключа электронной подписи и ключа ее проверки должны использоваться средства, которые: 
– позволяют установить факт изменения подписанного электронного документа после момента его подписания; 
– обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки. 
В свою очередь при создании электронной подписи средства электронной подписи должны: 
1) показывать лицу, подписывающему электронный документ, его содержание; 
2) создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи; 
3) однозначно показывать, что электронная подпись создана. 
Помимо этого, средства электронной подписи должны: 
– показывать содержание документа, подписанного электронной подписью; 
– показывать информацию о внесении изменений в документ, подписанный электронно; 
– указывать лицо, с использованием ключа электронной подписи которого подписаны документы. 
Обратите внимание: последние два требования не распространяются на средства электронной подписи, которые используются для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе. 
Кроме того, нормами закона оговорено, что документ, подписанный электронной цифровой подписью до даты признания утратившим силу Закона об электронной цифровой подписи (то есть до 1 июля 2012 года), признается подписанным квалифицированной электронной подписью. 

Удостоверяющие  центры и их обязанности

Для обеспечения участников информационных систем средствами и спецификациями для использования электронных  ключей создаются удостоверяющие центры. 
Причем новый закон предполагает возможным создание отдельных видов электронных подписей без использования услуг удостоверяющих центров.  
Особо подчеркивается, что удостоверяющий центр в соответствии с законодательством РФ несет ответственность за вред, причиненный третьим лицам в результате: 
– неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг удостоверяющим центром; 
– неисполнения или ненадлежащего исполнения обязанностей, предусмотренных Законом об электронной подписи. 
Удостоверяющие центры подразделяются на имеющие и не имеющие аккредитацию. Последние смогут выдавать только сертификаты ключа, а квалифицированные сертификаты будут выдавать исключительно аккредитованные удостоверяющие центры. 
Для получения квалифицированной электронной подписи все же необходимо обращаться в аккредитованный удостоверяющий центр. 
Соответственно в сфере деятельности удостоверяющих центров, не отвечающих подобным критериям или просто пока не прошедшим аккредитацию, остаются лишь создание и выдача обычных сертификатов ключей проверки электронной подписи. 

 

Федеральный закон Российской Федерации  от 6 апреля 2011 г. N 63-ФЗ

"Об электронной подписи" 

Простой электронной подписью является электронная подпись, которая посредством  использования кодов, паролей или  иных средств подтверждает факт формирования электронной подписи определенным лицом.1. Электронный документ считается подписанным простой электронной подписью при выполнении в том числе одного из следующих условий:

1) простая электронная подпись  содержится в самом электронном  документе;

2) ключ простой электронной подписи  применяется в соответствии с  правилами, установленными оператором  информационной системы, с использованием  которой осуществляются создание  и (или) отправка электронного  документа, и в созданном и  (или) отправленном электронном  документе содержится информация, указывающая на лицо, от имени  которого был создан и (или)  отправлен электронный документ.

2. Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:                   1) правила определения лица, подписывающего электронный документ, по его простой электронной подписи;                                                                                                                            2) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.                                                                                                    3. К отношениям, связанным с использованием простой электронной подписи, в том числе с созданием и использованием ключа простой электронной подписи, не применяются правила, установленные статьями 10 - 18 настоящего Федерального закона.                                                                  4. Использование простой электронной подписи для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается.

Задание 18 Неквалифицированная  электронная подпись.

Что такое неквалифицированная  электронная подпись? Пункт 3 статьи 5 Федерального закона Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи»утверждает, что неквалифицированной электронной подписью является электронная подпись, которая:

1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

2) позволяет определить  лицо, подписавшее электронный документ;

3) позволяет обнаружить  факт внесения изменений в  электронный документ после момента  его подписания;

4) создается с использованием  средств электронной подписи.

Сфера использования  неквалифицированной подписи Неквалифицированная электронная подпись широко применяется для заверки электронных документов. Она позволяет определить автора документа и проверить, были ли внесены в файл какие-либо изменения после его отправки. Основное различие между квалифицированной и неквалифицированной подписями состоит в том, что квалифицированную подпись обязан дополнительно подтвердить аккредитованный удостоверяющий центр. На первичных цифровых документах, которые планируется предоставить на налоговую проверку, как правило, ставят усиленную квалифицированную подпись. Тем не менее, представители ФНС РФ выражают уверенность, что первичную документацию можно заверять и неквалифицированной подписью. Такое право пока не фиксировано на законодательном уровне, однако его можно отдельно закрепить в договоре между участниками. Главное, чтобы при этом были выполнены все условия 252 статьи Налогового кодекса, а в соглашении был определен порядок проверки подписи.

В целом, неквалифицированная  подпись превосходно подходит для  внутреннего документооборота и  отправки электронных данных из одной  компании в другую. По мнению экспертов, вывод о том, что электронные  документы, подлежащие проверке налоговой  службы, можно удостоверять неквалифицированной  подписью, ошибочен. Цифровые документы, заверенные такой подписью, будут  равнозначны бумажным только при соблюдении всех условий пункта 2 статьи 6 Федерального закона № 63-ФЗ.

 

Задание 28 Электронная подпись при защите персональных данных

Применение электронной подписи

Электронная цифровая подпись (ЭЦП) –  средство, позволяющее на основе криптографических  методов установить авторство и  целостность электронного документа.

Секретный ключ (СК) генерируется абонентом  сети. ЭЦП формируется на основе СК и вычисленного с помощью хэш-функции  значения хэша документа. Хэш представляет собой некоторое значение, однозначно соответствующее содержимому документа-файла. При изменении хотя бы одного символа в документе, хэш документа изменится. Подобрать же изменения в документе таким образом, чтобы хэш документа не изменился, при использовании современных алгоритмов ЭЦП (например, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94) попросту невозможно. 
СК может быть зашифрован на пароле. Открытый ключ (ОК) вычисляется как значение некоторой функции из СК и используется для проверки ЭЦП. ОК может свободно распространяться по открытым каналам связи, таким образом, ОК должен быть передан всем абонентам сети, с которыми планируется обмен защищенной информацией. При проверке ЭЦП вычисляется значение хэша документа; таким образом, любые изменения документа приведут к другому значению хэша, и вычисленная ЭЦП измененного документа не совпадет с переданной, что явится сигналом нарушения его целостности. 
Как уже было сказано, для шифрования и ЭЦП может быть использована одна и та же пара ключей абонента.