Файл: Защита информации в процессах управления контентом.pdf

Также нужно отметить, что крипто-провайдеры поддерживающие различные зарубежные криптографические алгоритмы, поставляются вместе с операционной системой и не требуют отдельной установки. В частности, поэтому, для того чтобы подписать электронное сообщение в почтовой программе MS Outlook на сертификате выпущенном в вашей организации, Вам нужно только установить выпущенный сертификат на Ваш компьютер. Однако, полученную таким образом ЭП можно использовать только в рамках Вашей организации или группы компаний, имеющих внутреннее соглашение об использовании такой ЭП. Для обеспечения юридической значимости, т.е для того, чтобы полученная ЭП признавалась любыми другими гражданами и организациями, в том числе государственными органами, необходимо: во-первых, изготовить сертификат и получить секретный ключ в удостоверяющем центре (аккредитованном и имеющими необходимые лицензии ФСТЭК и ФСБ), во-вторых, использовать для изготовления ЭП специальное сертифицированное средство. Например, одним из таких средств является комплекс Крипто-АРМ производства ООО «Цифровые технологии», который должен использоваться вместе с сертифицированным крипто-провайдером, производства ООО «КРИПТО-ПРО».

После того, как на компьютере установлены сертификат, соответствующее средство изготовления ЭП и произведены необходимые настройки, можно легитимно применять ЭП.

При использовании электронной подписи для защиты документов она может передаваться несколькими способами. Конкретный вариант выбирается исходя из того, какие задачи решаются с ее помощью.

Присоединенная

В случае создания присоединенной подписи создается новый файл ЭП, в который помимо данных ЭП помещаются данные подписываемого документа. Этот процесс аналогичен помещению документа в конверт и его запечатыванию. Перед извлечением документа следует убедиться в сохранности печати (для ЭП в ее правильности). К достоинствам присоединенной подписи следует отнести простоту дальнейшего манипулирования с подписанными данными, т.к. все они вместе с подписями содержатся в одном файле. Этот файл можно копировать, пересылать и т.п. К недостаткам следует отнести то, что без использования средств создания ЭП уже нельзя прочесть и использовать содержимое файла, точно так же, как нельзя извлечь содержимое конверта, не расклеив его.

Отсоединенная

При создании отсоединенной подписи файл подписи создается отдельно от подписываемого документа, при этом сам файл подписываемого документа никак не изменяется. Преимуществом отсоединенной подписи является то, что подписанный файл можно читать, не прибегая к средству создания ЭП. Недостаток отсоединенной подписи - необходимость хранения подписанной информации подписанного файла и одного или нескольких файлов с подписями.

Внутри данных

Применение ЭП этого вида существенно зависит от приложения, которое их использует, например, ЭП внутри документа Acrobat Reader. Вне приложения, создавшего ЭП, без знания структуры его данных проверить подлинность частей данных, подписанных ЭП затруднительно.

5.Правовые аспекты применения ЭП. 

Понятие «электронная цифровая подпись». Традиционно для документирования в качестве материального носителя применялась писчая бумага. Созданный на таком носителе документ, подтвержденный соответствующими реквизитами и снабженный подписями, широко используется в гражданских, экономических и иных отношениях, в том числе и как доказательственный материал при судебном разбирательстве. Доказательственная способность документированной информации основана на возможности установления с помощью почерковедческой экспертизы того факта, что О V

данный конкретный документ является оригиналом и что подпись на нем с большой степенью вероятности принадлежит конкретному лицу.

С внедрением новых информационных технологий вместо бумаги в качестве материальных носителей стали использоваться машиночитаемые носители - магнитные и оптические диски, память ЭВМ, электрические колебания, электромагнитные волны, и возникло понятие «электронный документ». К сожалению, в отличие от информации, зафиксированной на бумажном носителе, информация на машиночитаемом носителе может быть легко изменена или скопирована без желания ее автора в результате несанкционированного доступа к ней постороннего лица, причем без всяких следов такого вмешательства. Естественно, в этом случае документ на машиночитаемом носителе теряет свою доказательственную способность, его легко подделать и никакая экспертиза не в состоянии эту подделку выявить.

Возникла проблема установления доказательственной силы электронного документа. Необходимо было создать такой механизм записи информации на нем, который, с одной стороны, исключал бы возможность несанкционированного доступа постороннего лица к информации с целью ее искажения или подделки, а с другой - позволял бы конкретному лицу ставить на этом документе некоторую отметку, аналогично его подписи на бумаге, которую было бы невозможно подделать, а экспертиза могла бы надежно подтвердить принадлежность этой отметки-подписи данному лицу.

Отсюда возникло понятие «электронная цифровая подпись» (ЭЦП), которая посредством специального программно-информационного комплекса обеспечивает надежное подтверждение оригинальности сведений, реквизитов документа и факта его «электронного подписания» конкретным лицом. Таким образом, электронная цифровая подпись обеспечивает ввод и передачу документа по системе связи и телекоммуникации с предоставлением возможности в любой точке трафика и в любой момент времени вывести этот документ из системы и представить его для решения спора.

В Гражданском кодексе Российской Федерации (п. 2 ст. 160) впервые

KJ

в российском законодательстве допускается использование электронной цифровой подписи при совершении сделок, но лишь в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашениями сторон. В Федеральном законе «Об информации, информационных технологиях и о защите информации» введено понятие «электронное сообщение как информация, переданная или полученная пользователем информационно-телекоммуникационной сети» (ст. 2) и определяется его правовой статус. В соответствии с этим законом (ст. 11) электронное сообщение, подписанное электронной цифровой подписью (ЭЦП), признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными документами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.

В целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано ЭЦП или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами.

Закон также определяет право получателя электронного сообщения, находящегося на территории РФ, проводить проверку, позволяющую установить отправителя электронного сообщения, а в установленных федеральными законами или соглашениями сторон случаях получатель обязан проводить такую проверку.

Как видно из нормы этих статей, законодательство лишь подтверждает возможность использования ЭЦП, но не определяет правового режима ее использования (случаи и порядок ее использования). Поэтому необходимость принятия в Российской Федерации закона «Об электронной цифровой подписи» являлась очевидной и назревшей. Актуальность этого за- ключения подтверждается также работой, проводимой в странах Европейского Союза по созданию глобальной системы электронной коммерции. На совещании европейской комиссии по этим вопросам, состоявшемся в Брюсселе 29 июня 1998 г., были определены основные требования к национальному законодательству стран-участниц. В них, наряду с экономическими вопросами выделены законы о криптографической защите, об ЭЦП, о защите персональных данных и др.

30 ноября 1999 г. Еврокомиссия приняла законопроект о поддержке и применении ЭЦП во всех странах, входящих в Евросоюз. Министры по телекоммуникациям стран ЕС утвердили закон, который придает ЭЦП на контрактах, согласованных по Интернету, такой же юридический статус, как и их эквивалентам, сделанным от руки.

После довольно долгого обсуждения и доработки 10 января 2002 г. был подписан Федеральный Закон Российской Федерации «Об электронной цифровой подписи», положивший начало созданию правовой базы электронного документооборота в России.

Целью указанного Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых ЭЦП в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Его действие распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством РФ случаях.

Технология получения ЭЦП. Прежде чем рассмотреть суть закона, необходимо понять основные механизмы передачи электронных документов с использованием ЭЦП. В основе формирования ЭЦП лежит принцип шифрования передаваемого сообщения. При этом ключ, на котором шифруется информация, является «секретным» и известен только отправителю. Чтобы исключить возможность подделки, он, как и любой шифр-ключ, должен удовлетворять принятым в криптографии требованиям. В частности, должна быть исключена возможность подбора ключа. В современной криптографии для изготовления ключей используется специальное оборудование, позволяющее изготовить ключи, вероятность случайного подбора которых составляет величину порядка 10 70—10 80, т. е. практически подбор исключен. Каждому «секретному ключу» соответствует свой «открытый ключ», которым пользуются лица, принимающие сообщения. Открытый ключ, соответствующий конкретному секретному ключу, формируется отправителем сообщения с помощью специального программного обеспечения, заложенного в средства ЭЦП, и заранее рассылается другим абонентам сети (рис. 7.2). Процесс «подписания» сообщения происходит следующим образом. информации

бранного алгоритма ЭЦП шифрует передаваемую информацию, представленную в цифровом виде, или производную от этого сообщения, полученную путем сжатия информации в соответствии с определенными математическими преобразованиями (хеш-функцией). Полученная таким образом шифрованная последовательность и есть цифровая подпись. Далее отправитель информации по открытому каналу связи посылает незашифрованную информацию и

• Полученную получатель сообщения
• Алгоритм
• ЭЦП
• Отправитель сообщения
• Передаваемое сообщение
• Канал связи
• Хеш-функция
• Алгоритм ЭЦП
• Секретный ключ
• тг
• Открытый ключ
• Открытый Проверка ключ ЭЦП Информация о принадлежности открытого ключа
• Удостоверяющий центр

Рис. 5.1. Алгоритм формирования ЭЦП

Получатель сообщения с помощью открытого ключа и выбранного алгоритма ЭЦП расшифровывает цифровую подпись. Далее он сравнивает принятую незашифрованную информацию и информацию, полученную при расшифровании цифровой подписи. Если цифровая подпись не была подделана и передаваемая открытая информация не искажена, то их тексты должны полностью совпасть. Если подпись подделана, то принятая открытая информация и информация, полученная при расшифровании,

будут различаться.

Если пользователь ведет переписку с несколькими абонентами сети и использует открытые ключи ЭЦП, то он должен безошибочно определять, какой из открытых ключей какому пользователю принадлежит. В случае ошибок на этом этапе функционирования ЭЦП возможно неправильное определение источника сообщения со всеми вытекающими отсюда по- следствиями. Важно, чтобы информация о принадлежности открытого ключа определенному пользователю была документально оформлена, и >то оформление должно быть выполнено специально назначенным ответственным органом.

Сертификат подписи. Документ, удостоверяющий подпись, получил название сертификата открытого ключа ЭЦП (сертификат подписи). Он подтверждает принадлежность открытого ключа ЭЦП владельцу секретного ключа подписи. Такой документ должен выдаваться удостоверяющим центром открытых ключей подписи.

Наличие такого документа важно при разрешении споров о создании того или иного документа конкретным лицом. Чтобы исключить возможность внесения изменений в сертификаты ключей со стороны пользователей при передаче их по каналам связи, сертификат в виде электронных данных подписывается ЭЦП удостоверяющего центра.

Таким образом, удостоверяющий центр выполняет функции электронного нотариуса и подтверждает легитимность подписанного электронного документа. Поэтому такой нотариус, как и обычный государственный нотариус, должен исполнять свои функции на основании лицензии, выданной государственным органом.

Как было сказано выше, для узаконивания рассмотренных механизмов использования ЭЦП был принят Федеральный закон «Об электронной цифровой подписи». В законе уточнены некоторые понятия, определяющие основные принципы пользования электронными документами. Так, под ЭЦП понимается «реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе». При этом владельцем сертификата ключа подписи является «физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы)».