Роль электронной подписи в обеспечении юридической значимости управленческого документа

2. Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.
3. Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

 

     Алгоритмы ЭЦП.

1. Американские стандарты электронной подписи: DSA, ECDSA
2. Российские стандарты электронной подписи: ГОСТ Р 34.10-2012.
3. Украинский стандарт электронной подписи: ДСТУ 4145-2002
4. Стандарт PKCS#1 описывает, в частности, схему электронной подписи на основе алгоритма RSA.
5. Схема Шнорра
6. ElGamal

 

Управление ключами.

     Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭЦП, является управление открытыми ключами. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации. 
     Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. В централизованных системах сертификатов (например PKI) используются центры сертификации, поддерживаемые доверенными организациями. В децентрализованных системах (например, PGP) путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия.

     Управлением ключами занимаются центры распространения сертификатов. Обратившись к такому центру пользователь может получить сертификат какого-либо пользователя, а также проверить, не отозван ли ещё тот или иной открытый ключ.

     После становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного ДОУ между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам Российской Федерации от 2 апреля 2002 г. N БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи». Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи определяет общие принципы организации информационного обмена при представлении налогоплательщиками налоговой декларации в электронном виде по телекоммуникационным каналам связи.

     В Законе РФ от 6.04.2011 № 63-ФЗ «Об электронной подписи» прописаны условия использования электронной цподписи, особенности ее использования в сферах государственного управления и в корпоративной информационной системе. Благодаря электронной подписи теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли», обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.

     В Москве в рамках реализации ГЦП (Городской целевой программы) "Электронная Москва" был образован Уполномоченный удостоверяющий Центр ОАО "Электронная Москва" (http://www.uc-em.ru) для решения задач координации работ и привлечения инвестиций при выполнении Городской целевой программы.

     Система электронных подписей широко используется в Эстонской Республике, где введена программа ID-карт, которыми снабжены 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент — Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Все это осуществляется через центральный гражданский портал Eesti.ee. Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии.

     В современном, оснащенном компьютерами предприятии документы создаются и перемещаются в электронном виде, при этом необходимость подписания документов остается. Ведь сам по себе перевод документов в другую форму не изменяет сложившихся методов управления организацией.

Федеральный закон "Об информации, информационных технологиях и о  защите информации" дает определение, какой документ признается электронным: "электронное сообщение, подписанное электронно-цифровой подписью (ЭЦП) или аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях если федеральными законами или иными нормативно-правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе". Главным атрибутом электронного документа, подтверждающим его подлинность, является электронная подпись.

     В принятом в 2002 г. Законе "Об электронной цифровой подписи" под электронной цифровой подписью понимается "реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе". В этом законе впервые в российском законодательстве предпринята попытка отказаться от реквизита "печать", заменив его определенным видом подписи, приемлемой для данного носителя, в частности электронной цифровой подписью. Такая подпись в соответствии с законом обладает уже свойствами двух реквизитов: "подпись" и "печать". Это соответствует отмеченной специалистами тенденции к слиянию в будущем реквизитов "подпись" и "печать" в один, который станет универсальным средством идентификации, как документа, так и личности. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

·  сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силы (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

·  подтверждена подлинность электронной цифровой подписи в электронном документе;

·  электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

     Согласно принятому 4 апреля 2011 года Закону «Об электронной подписи» № 63-ФЗ, определение электронной подписи несколько изменилось и теперь звучит, как «электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.»

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Проблемы использования электронной подписи

 

     Поскольку ЭЦП предназначена для обеспечения подлинности, целостности и авторства документов, обрабатываемых с помощью вычислительной техники, она жестко увязывает в одно целое содержание документа и секретный ключ подписывающего и делает невозможным изменение документа без нарушения подлинности этой подписи. Суть процедуры использования ЭЦП состоит в том, что каждый пользователь имеет возможность изготовить пару индивидуальных ключей: секретного – для формирования электронного аналога подписи под документом и парного с ним, открытого – для проверки достоверности электронных подписей, вычисленных с помощью данного конкретного ключа. Принадлежность секретного ключа ЭЦП определенному лицу удостоверяется сертификатом, выдаваемым удостоверяющим центром. Каждый участник информационной системы может владеть любым количеством сертификатов. Однако электронный документ с ЭЦП имеет юридическую силу лишь в рамках отношений, указанных в сертификате ключа подписи. Ключи электронных подписей создаются для использования:

·  в информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;

·  в корпоративной информационной системе в порядке, установленном в этой системе.

     При создании ключей электронных подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных подписей не сертифицированными средствами электронной подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством РФ.

     Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре определяется договором между удостоверяющим центром и владельцем сертификата ключа подписи. При этом обеспечивается доступ участников информационной системы в удостоверяющий центр для получения сертификата ключа подписи.

     В отсутствие законодательства, признающего в полной мере юридическую силу электронных документов, ряд организаций (особенно с большой сетью филиалов) успешно используют ЭЦП для оперативного согласования документов. Согласование проектов организационно-распорядительных документов и последующее ознакомление с утвержденными документами всегда представляло собой достаточно трудоемкую задачу. Традиционная процедура согласования бумажных документов не позволяла оперативно принимать необходимые деловые решения. При переходе на электронное согласование процедуры согласования и ознакомления ускоряются в десятки раз.

     Как показывает практика, ЭЦП получает все большее распространение в организациях, ее в основном используют для сдачи различного рода отчетности. Тем не менее в процессе применения ЭЦП в деятельности организаций возникает ряд проблем. Во-первых, несмотря на то, что ЭЦП является одним из надежных способов защиты целостности и аутентичности электронного документа, специалисты-криптографы считают, что вероятность взлома или компрометации современных ЭЦП спустя 10 лет высокая. И этот факт необходимо учитывать как в законодательстве, так и в правилах хранения документов с ЭЦП. Если ЭЦП скомпрометирована, то сами по себе положительные результаты проверки подписи недостаточны, и аутентичность документа придется доказывать иначе. Например, документируя факт успешной проверки подписи в период, когда она заведомо не была взломана или скомпрометирована, или постоянного хранения документа в защищенной системе, гарантирующей его целостность и аутентичность. Кроме того, небрежное обращение с ключом электронной подписи может обернуться значительными убытками для компании. Поскольку единственный недостаток электронной подписи по сравнению с обычной подписью в том, что нельзя с такой же степенью уверенности определить, кто именно подписал документ. Ключ ЭЦП могут украсть, к тому же нечистые на руку сотрудники могут использовать ЭЦП своего начальства в корыстных целях. Поэтому стопроцентной гарантии, что чьей-то сгенерированной ЭЦП не подпишется посторонний человек, не даст ни один специалист-криптограф. Но данное свойство электронной подписи не является непреодолимым препятствием для ее широкого использования в гражданском обороте.

     Рассматривая ЭЦП применительно к вопросам организации делопроизводства и архивного дела, необходимо отметить нерешенность проблемы долговременного хранения документов, подписанных ЭЦП. По правилам делопроизводства срок хранения устанавливается в зависимости от значимости документа и информации, которая в нем содержится, и не зависит от вида носителя и наличия ЭЦП. Хранение документов, подписанных ЭЦП, должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи, а удостоверяющий центр должен обеспечить такой срок хранения своих документов, оборудования и программного обеспечения в рабочем состоянии. Если организация сдает какую-либо отчетность в электронном виде, то необходимо определить порядок ее сохранения в организации, с тем чтобы обеспечить целостность, подлинность и аутентичность электронных документов. Только в некоторых документах министерств и ведомств содержатся требования к обеспечению сохранности электронных документов и определяются последствия неисполнения этих требований.

     Необходимо отметить, что создание документов, поддерживающих ЭЦП, – задача дорогостоящая и сложная. Если обратиться к зарубежному опыту, то американские архивисты рекомендуют для обеспечения сохранности такой документации:

·  обеспечивать миграцию документов на новые приложения и носители на протяжении срока хранения;

·  сохранять, где возможно, программное обеспечение и оборудование для поиска и извлечения документов;

·  предотвращать неавторизованный физический доступ к помещению, где хранятся документы;

·  использовать носители, ожидаемый срок жизни которых составляет как минимум 20 лет и которые выпускаются и поддерживаются несколькими производителями;

·  мигрировать документы со старых носителей на новые каждые 10 лет;

·  контролировать отсутствие изменений в документах;

·  осуществлять перевод документов на технологически нейтральные форматы, такие как XML и RTP,

·  ежегодно проводить статистические выборки и тестирование носителей, чтобы убедиться в сохранности документов;

·  протоколировать все действия с документами.

     Самой большой проблемой при организации долговременного хранения электронных документов с ЭЦП является необходимость обеспечения проверки подлинности ЭЦП. Это требование автоматически превращает любой электронный архив в музей компьютерного оборудования и программного обеспечения.

     Поскольку в отечественном законодательстве вопросы обеспечения сохранности отведены на второй план, к тому же отсутствуют соответствующие нормативные и методические материалы, то возникает необходимость обратиться к зарубежному опыту и методикам работы. Так, голландские специалисты во избежание проблем, связанных с устареванием оборудования, предлагают отказаться от требования сохранения в нетронутом виде оригинальной структуры и содержания документов при их постоянном хранении. Они делают упор на требовании о том, чтобы при постоянном хранении электронных подписей можно было бы удостоверить роль, которую подпись выполнила в прошлом, в отношении интересов создавшей документы организации, интересов третьих сторон, культурных и исторических интересов общества. Вместо оригинальной ЭЦП предлагается хранить некоторые сведения об ЭЦП и занести их в метаданные (данные о программных средах и форматах) документа.

     Если постоянное архивное хранение документов с ЭЦП осуществляется в системах электронного документооборота, которые по своим изначальным характеристикам обязаны обеспечить надежное хранение, то достаточным свидетельством целостности и аутентичности может служить как сам документ, так и его метаданные.