Правовое признание
ЭЦП превращает этот реквизит в надежное
средство, обеспечивающее аутентичность
и целостность электронных документов,
однако только тех, которые находятся
в оперативном использовании, со
сроком хранения пять, максимум 10 лет.
Для аутентификации документов на протяжении
десятков лет ЭЦП не годится. Чтобы
понять, почему это происходит, нужно
несколько слов сказать о том,
что собой представляют технологии
криптографической аутентификации
и защиты информации, определяемые
законодательством как «аналог
собственноручной подписи».
Российский закон
об ЭЦП помогает раскрыть сущность
этой технологии. В нем ЭЦП определяется
как «реквизит электронного документа,
предназначенный для защиты данного
электронного документа от подделки,
полученный в результате криптографического
преобразования информации с использованием
закрытого ключа электронной
цифровой подписи и позволяющий
идентифицировать владельца сертификата
ключа подписи, а также установить
отсутствие искажения информации в
электронном документе».
ЭЦП выглядит как
последовательность цифр и других символов,
что, собственно, и позволяет говорить
о ней как о реквизите, обособленном
от других реквизитов электронного документа.
Технологически ЭЦП возникает в
результате выполнения системой криптозащиты
так называемого асимметричного
алгоритма шифрования, т.е. шифрования
с использованием ключа (опять же
последовательность цифр), который
отличается от ключа, применяемого потом
для расшифрования сообщений. Первый
ключ называется закрытым (тайным, личным)
ключом. Им может владеть только тот человек,
от лица которого документ подписывается.
Второй ключ - открытый, его значение может
узнать любой, кому необходимо удостовериться
в подлинности ЭЦП. Эта пара ключей взаимосвязана,
но при этом закрытый ключ не может быть
за обозримое время вычислен, исходя из
значения открытого ключа. Таким образом,
использование открытого ключа при аутентификации
надежно связывает подписанный документ
с обладателем закрытого ключа.
В то же время
особенностью ЭЦП, которая отличает
ее от собственноручной подписи человека,
является то, что идентифицирует она
не столько лицо, подписавшее электронный
документ, сколько конкретный документ:
два разных документа, подписанные
с использованием одного и того же
закрытого ключа, будут иметь
разные числовые выражения ЭЦП. Связано
это с тем, что, кроме закрытого
ключа, в алгоритм вычисления ЭЦП включены
и другие параметры, в первую очередь,
так называемый хэш-код файла с электронным
документом.
Алгоритмы хеширования
информации реализуются с помощью
хэш-функций, которые в криптографии
относятся к разряду однонаправленных,
т.е. таких, которые достаточно легко
высчитать, но очень непросто обратить.
При использовании качественной
хэш-функции вероятность получения
одного и того же хэш-кода для двух
различных файлов ничтожно мала. Именно
хэш-код электронного документа
гарантирует его целостность
то, что после подписания документа
можно будет легко установить,
вносились ли в него изменения
или нет. Удобство хэш-функций при вычислении
ЭЦП заключается также в том, что они преобразовывают
цифровые последовательности (файлы) разнообразной
длины в последовательности (хэш-коды)
фиксированной длины в 56, 64 и т.п. бит информации.
Этим самым экономятся вычислительные
ресурсы пользовательских компьютеров.
Существуют разные
технологии приложения ЭЦП к электронному
документу. Одни из них дописывают хэш-код,
подпись и другие, связанные с
ними реквизиты (например, отметку о
времени подписания), непосредственно
в файл с документом. Другие размещают
эту информацию в связанных с
документом файлах. Во многом именно по
этой причине ЭЦП, сгенерированную
в одной системе криптозащиты, невозможно
проверить в другой системе, даже если
они основаны на одних и тех же алгоритмах
шифрования. Кроме этого, российские средства
ЭЦП - «Верба», «Криптон», «Крипто-Про»,
«Корвет», «ЛАН Крипто» - часто реализуют
различные протоколы (правила) аутентификации,
что также не способствует их совместимости.
Таким образом, подлинность подписи лучше
проверять тем же средством ЭЦП, с помощью
которого она была сгенерирована.
Следует также
отметить, что подтверждение подлинности
ЭЦП - процесс технологически кратковременный.
Он зависит от жизненного цикла средства
ЭЦП конкретной системы криптографической
защиты данных. В частности, аутентификация
электронного документа становится невозможной
после смены технологической платформы
или бесполезной после утраты юридической
силы сертификата средства ЭЦП. Это значит,
что под вопросом оказывается подлинность
документов, подписанных ранее.
Но главная
проблема при аутентификации электронных
документов, подписанных ЭЦП, состоит
в том, что этот реквизит (как и
значение отдельного хэш-кода или контрольной
суммы, гарантирующих целостность
документа) неразрывно связан с форматом
документа. При переформатировании электронного
документа (что неизбежно при долговременном
хранении) проверка подлинности ЭЦП становится
бессмысленной.
Наиболее приемлемым
методом обеспечения аутентичности
электронных документов при долговременном
хранении (особенно заверенных ЭЦП)можно
было бы считать применение эмуляторов
или конверторов при их воспроизведении.
Но подобная практика пока мало изучена.
Проблемы здесь видятся как в ограниченном
наборе этих программных средств, так
и в возможных ошибках воспроизведения
документов, которые могут возникать при
эмуляции или конвертировании, что опять-таки
негативно сказывается на доказательной
силе электронных документов при долговременном
хранении. Инкапсуляция, вероятно, самый
перспективный способ. Именно способ решения
проблемы аутентичности электронных документов
видят в нем американские архивисты. Но
он требует долговременной апробации
и дальнейшего развития.
Необходимость переформатирования
электронных документов при долговременном
хранении приводит к тому, что, по существу,
появляется другой документ с измененными
реквизитами и контрольными характеристиками:
датой последнего сохранения, объемом,
контрольной суммой, хэш-кодом, ЭЦП
и т.п. Получается, что подлинник
электронного документа будет невозможно
прочитать и использовать, а его
миграционная копия не будет иметь
юридической силы.
Отмеченная проблема - обеспечение аутентичности
электронных документов в долговременной
перспективе - на сегодняшний день, пожалуй,
самая острая и сложная. Четких рекомендаций,
как ее решить, пока нет ни в нашей стране,
ни за рубежом. Сейчас выход видится в
одном: не стоит на этапе делопроизводства
создавать, а затем хранить исключительно
в электронном виде документы, предполагающие
длительный срок хранения и серьезную
ответственность сторон. Желательно одновременно
создавать и хранить этот официальный
документ также на бумажном носителе.
В условиях нерешенности
технологических проблем аутентификации
электронной информации на первое место
выходит «старый дедовский метод»:
удостоверение подлинности электронных
документов при передаче их на внешних
носителях в архив с помощью
документов на бумаге, оформленных
в соответствии с требованиями ГОСТ
6.10.4–84 и ГОСТ 28388–89. Указанные ГОСТ
технологически и концептуально
давно устарели, многие их положения
на практике просто не выполнимы[6]. Однако
они по-прежнему действуют и включают
в себя рациональное ядро, которое
можно использовать при разработке
формы удостоверяющего документа.
Подобный документ (удостоверяющий лист,
сопроводительное письмо, акт приема-передачи
документов или т.п.) должен включать идентификационные
характеристики файлов и электронного
носителя и быть заверенным подписями
должностных лиц и печатью.
ЗАКЛЮЧЕНИЕ
В результате проведённого
исследования по теме "Архивное хранение
электронных документов" можно
сделать ряд выводов:
1. В архив должны
приниматься и храниться «информационные
объекты» (файлы), включающие, главным
образом, содержательную и контекстную
информацию (данные). Прием на хранение
информационных ресурсов в комплекте
с исполняемыми программами (оболочками
прикладных информационных систем)
со временем может вызвать
правовые и технологические проблемы
их использования. Прием компьютерных
программ необходим в исключительных
случаях, когда без этого невозможно
воспроизведение принимаемых на
хранение электронных документов.
2. В краткосрочной
перспективе (5–10 лет) сохранность
документов обеспечивается созданием
резервного и рабочего экземпляров
электронных документов на отдельных
носителях.
3. В долговременной
перспективе (более 10 лет) необходимо
проведение миграции документов
в так называемые программно
независимые форматы (страховые
форматы), причем таким образом,
чтобы в дальнейшем полученное
поколение документов можно было
признать подлинниками.
4. Электронные
документы в страховых форматах
могут оказаться очень неудобными
в использовании и могут значительно
замедлять время доступа пользователей
к архивной информации. Оперативность
доступа к архивным электронным
документам может обеспечиваться
тем, что они будут приниматься,
храниться и/или своевременно
переводиться в форматы текущей
информационной системы организации/архива
— пользовательские форматы.
Процедура миграции в пользовательские
форматы также должна быть
ориентирована на возможное признание
полученных документов подлинниками.
Эта мера необходима в связи
с тем, что заранее трудно
определить, какие из форматов (страховые,
пользовательские или те, в которых
документы приняты на хранение)
могут стать основой для создания
миграционных страховых копий
последующих поколений.
5. При обеспечении
сохранности электронных документов
большое внимание следует также
уделять вопросам информационной
безопасности: обеспечению их аутентичности,
защите от вредоносных компьютерных
программ (вирусов) и от несанкционированного
доступа.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Алексеева, Е.В.
Архивоведческие аспекты в делопроизводстве:
обеспечение сохранности документов архива
и организация их хранения // Секретарское
дело. – 2003. - № 4. – 58-61 с.
2. Алексеева Е.В.
Архивоведческие аспекты в делопроизводстве:
обеспечение сохранности документов архива
и организация их хранения / Е.В. Алексеева
// Секретарское дело. - 2003 - №5. - 57-61 с.
3. Алексеева Е.В.
Архивоведческие аспекты в делопроизводстве:
обеспечение сохранности документов архива
и организация их хранения / Е.В. Алексеева
// Секретарское дело. - 2003 - №6. - 55-60 с.
4. Горфейн, Г.М. Архивоведение
/ Г.М. Горфейн, Л.Е. Шепелев. – Ленинград:
Издательство ленинградского университета,
1971. – 86 с.
5. Кудряева, А.В. Организация
работы с документами: Учебник, М.: ИНФРА-М,
2001. – 244 с.
6. Крайская, З.В. Архивоведение
/ З.В. Крайская, Э.В. Челлини. – М.: НОРМА,
2003. – 224 с.
7. Лагутина, М. Т. Деловое письмо:
Справочник, ИД «Герда», 2005. – 344 с.
8. Проблема сохранности документальных
материалов / Академия наук СССР. Лаборатория
консервации и реставрации документов.
- Ленинград: Наука, 2006. - 112 с.
9. Руководство по обеспечению
сохранности документов. - Ленинград: Наука,
2005. – 37 с.
10. Архивное хранение электронных
документов: проблемы и решения. http://www.mainjob.ru/publications/?print=6462
ПРИЛОЖЕНИЕ 1