Технология использования электронной подписи

Технология  использования электронной подписи.

Электро́нная по́дпись (ЭП), Электро́нная цифровая по́дпись (ЭЦП) — информация в электронной форме, присоединенная к другой информации в электронной форме (электронный документ) или иным образом связанная с такой информацией. Используется для определения лица, подписавшего информацию (электронный документ).

По своему существу электронная  подпись представляет собой реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.

Использование электронной подписи  позволяет осуществить:

• Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому  что вычислена она на основании исходного состояния документа и соответствует лишь ему.
• Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.
• Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он не может отказаться от своей подписи под документом.
• Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

Федеральный закон РФ от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» устанавливает следующие виды ЭП:

• Простая электронная подпись (ПЭП).

Создаётся с помощью кодов, паролей и др. инструментов.  Эти  средства защиты позволяют идентифицировать автора подписанного документа. Важным свойством простой электронной  подписи является отсутствие возможности  проверить документ на предмет наличия  изменений с момента подписания.  Примером простой электронной подписи  является комбинация логина и пароля.

• Усиленная неквалифицированная электронная подпись (НЭП);

Создаётся с использованием криптографических средств и  позволяет определить не только автора документа, но и проверить его  на наличие изменений. Простые и  усиленные неквалифицированные  подписи заменяют подписанный бумажный документ в случаях, оговоренных  законом или по согласию сторон. Например, простые подписи могут  использовать граждане для отправки сообщений органам власти. Усиленная  подпись также может рассматриваться  как аналог документа с печатью.

• Усиленная квалифицированная электронная подпись (КЭП).

Ранее выданные сертификаты  ЭЦП и подписанные с их помощью  документы приравниваются к квалифицированным  подписям, то есть этот вид подписи  наиболее привычен для тех, кто уже  пользовался ЭЦП. Усиленная подпись  должна обязательно иметь сертификат аккредитованного Удостоверяющего  центра. Эта подпись заменяет бумажные документы во всех случаях, за исключением  тех, когда закон требует наличия  исключительно документа на бумаге. С помощью таких подписей вы сможете  организовать юридически значимый электронный  документооборот с партнёрскими компаниями, органами государственной  власти и внебюджетными фондами.

Существует несколько схем построения цифровой подписи:

• На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица — арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру. В этой методологии и для шифрования, и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договорились до начала взаимодействия. Если ключ не был скомпрометирован, то при расшифровке автоматически выполняется аутентификация отправителя, так как только отправитель имеет ключ, с помощью которого можно зашифровать информацию, и только получатель имеет ключ, с помощью которого можно расшифровать информацию. Алгоритмы симметричного шифрования используют ключи не очень большой длины и могут быстро шифровать большие объемы данных.
• На основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭП наиболее распространены и находят широкое применение. В этой методологии ключи для шифрования и расшифровки разные, хотя и создаются вместе. Один ключ делается известным всем, а другой держится в тайне. Все асимметричные криптосистемы являются объектом атак путем прямого перебора ключей, и поэтому в них должны использоваться гораздо более длинные ключи, чем те, которые используются в симметричных криптосистемах, для обеспечения эквивалентного уровня защиты. В этой методологии ключи для шифрования и расшифровки разные, хотя и создаются вместе. Один ключ делается известным всем, а другой держится в тайне. Все асимметричные криптосистемы являются объектом атак путем прямого перебора ключей, и поэтому в них должны использоваться гораздо более длинные ключи, чем те, которые используются в симметричных криптосистемах, для обеспечения эквивалентного уровня защиты.

Поскольку подписываемые  документы — переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хеш. Для вычисления хэша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хеш-функция.

Общепризнанная схема цифровой подписи охватывает три процесса:

• Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.
• Формирование подписи. Для заданного электронного документа с помощью закрытого ключа вычисляется подпись.
• Проверка (верификация) подписи. Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.

Электронная подпись предназначена  для идентификации лица, подписавшего электронный документ, и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных  законом.

Криптографическими средствами защиты называются специальные средства и  методы преобразования информации, в  результате которых маскируется  ее содержание. Основными видами криптографического закрытия являются шифрование и кодирование  защищаемых данных. При этом шифрование есть такой вид закрытия, при котором  самостоятельному преобразованию подвергается каждый символ закрываемых данных; при кодировании защищаемые данные делятся на блоки, имеющие смысловое значение, и каждый такой блок заменяется цифровым, буквенным или комбинированным кодом.

 Преимущества ЭЦП:

- значительно сокращает  время, затрачиваемое на оформление  сделки и обмен документацией;

- гарантирует достоверность  документации;

- минимизирует риск финансовых  потерь за счет повышения конфиденциальности  информационного обмена;

- помогает построить корпоративную  систему обмена документами;

- расширяет географию  бизнеса, совершая в удаленном  режиме экономические операции  с партнерами из любых регионов  России.

Недостатки  электронной цифровой подписи (далее  ЭЦП):

- прежде всего, это сложный и непонятный интерфейс процедур подписи и проверки подписи, отвергаемый большинством пользователей по психологическим мотивам.

- несовместимость ряда  алгоритмов и программных средств для ЭЦП существенно сужает круг обращения ЭЦП.

- необходимость запоминания  и надежного хранения секретной  информации (как правило, это обычный пароль), являющейся критически важной при подписании ответственных документов.

- запутанная система отзыва сертификатов и разбора конфликтных ситуаций, не дающая уверенности ни одной из сторон.

 Примеры использования ЭЦП

• Служебная записка. Это, пожалуй, самый распространенный элемент внутреннего документооборота предприятия. В ней может содержаться что угодно: от просьбы вставить новый замок в дверях до предложения об изменении оргструктуры предприятия.
• Согласование договора. Как правило, этот процесс в бумажном виде представляет собой подписание листа согласования, приложенного к документу. Про длительность данного процесса, когда документ нужно носить от одного исполнителя к другому "ногами" можно уже и не вспоминать.
• "Зеркало" бумажной подписи. Документы для общения с внешним миром, а также некоторые документы, регулирующие взаимоотношения между работником и работодателем, несмотря на электронное согласование в итоге требуют юридического (пока - бумажного) подтверждения. На практике часто бывает ситуация, когда несколько руководителей, имеющих равные полномочия, не могут определить, подписал ли коллега конкретный документ.
• Территориально-удаленные подразделения. Некоторые предприятия, имеющие удаленные подразделения и филиалы, уже используют электронную почту для передачи документов (приказов, распоряжений и т.п.).

Выполнила Буга Алёна, ИГХТУ, 2/38, 2013г