Добавлен: 06.07.2023
Просмотров: 12
Скачиваний: 1
Введение
Актуальность темы. Во многих сферах деятельности получили распространение электронные документы, которые используются не только вместе с традиционными бумажными документами, но и вместо них. Использование систем электронного документооборота дает огромный экономический эффект. В связи с этим одним из важнейших направлений развития украинского законодательства и правоприменительной практики в настоящее время является правовое регулирование отношений в сфере электронного документооборота и легализации электронных документов, а также их защиты.
Юридическая сила и доказательство придается электронному документу с помощью так называемой подписи. Согласно ст. 6 Закона об электронных документах электронная подпись является обязательным требованием электронного документа, служащим для идентификации автора или лица, подписавшего документ. Создание электронного документа завершается наложением электронной подписи.
Объект представляет собой электронный документ.
Предмет - электронная подпись как средство защиты электронного документа.
Цель данной работы - проанализировать, что такое цифровая подпись и как именно она защищает электронные документы. В зависимости от цели были определены следующие задачи:
- знать сущность электронного документа;
- знать назначение и применение электронной цифровой подписи;
- определить инструменты для работы с электронной цифровой подписи.
1. Сущность электронной подписи
Суть электронной подписи заключается в вычислении относительно короткой строки символов фиксированной длины с использованием криптографической хеш-функции.
Затем этот хеш шифруется закрытым ключом владельца, в результате чего документ подписывается [3]. К документу ставится подпись, в результате чего документ подписывается [4].
Человек, который хочет аутентифицировать документ, расшифровывает подпись с помощью открытого ключа владельца и вычисляет хеш-код документа [2]. Документ считается подлинным, если рассчитанный на документе хеш соответствует расшифровке подписи, в противном случае документ является фальсифицированным [4].
При ведении деловой переписки и заключении договора подпись ответственного лица является важным элементом документа, который служит нескольким целям:
- Обеспечение подлинности письма путем сравнения подписи с имеющимся образцом;
- Предоставление авторства документа (с юридической точки зрения).
Выполнение этих требований основано на следующих свойствах подписи:
- Подпись может использоваться, чтобы доказать получателю документа, что он пришел от подписавшего.
- Подпись не аутентифицирована, т.е. доказывает, что только лицо, поставившее подпись, могло подписать документ и никто другой.
- Подпись не подлежит передаче, т.е. является частью документа и поэтому не может быть перенесен в другой документ
- Подписанный документ нельзя изменить
- Несомненно, подпись
- Любой, у кого есть образец подписи, может убедиться, что документ подписан владельцем подписи [6].
Развитие современного безбумажного документооборота и электронных платежных средств невозможно без разработки средств подтверждения подлинности и целостности документов.
Одной из таких мер является электронная цифровая подпись (ЭЦП), которая сохраняет основные характеристики простой подписи [5].
Существует несколько методов создания ЭЦП, а именно:
- Шифрование электронных документов (ЭД) на основе симметричных алгоритмов. Эта схема предполагает присутствие в системе третьей стороны - арбитра, которому доверяют обе стороны [5]. Авторизация документа в этой схеме - это сам факт шифрования ЭД секретным ключом и передачи его арбитру;
- Использование асимметричных алгоритмов шифрования. Тот факт, что документ подписан, зашифрован секретным ключом отправителя;
- Развитием предыдущей идеи стала наиболее широко используемая схема EDS - шифрование конечного результата обработки EDS с помощью хеш-функции с использованием асимметричного алгоритма.
Появление этих вариантов связано с разнообразием задач, решаемых с помощью электронных технологий передачи и обработки электронных документов.
При формировании ЭЦП используются параметры из трех групп:
- общие параметры;
- личный ключ;
- публичный ключ.
Надежность большинства схем EDS зависит от надежности алгоритмов асимметричного шифрования и хэш-функций.
Имеется следующая классификация атак на схемы ЭЦП.
- Атака с известным публичным ключом.
- Атака с известными подписанными сообщениями - в дополнение к открытому ключу противник имеет набор подписанных сообщений.
- Простая атака с отбором подписанных сообщений - атакующий имеет возможность выбирать сообщения, получая открытый ключ после выбора сообщения.
- Целевая атака с выбором сообщения.
- Адаптивная атака с выбором сообщения [6].
У каждой атаки есть своя конкретная цель, которую можно разделить на несколько классов:
- Полное раскрытие. Противник находит секретный ключ пользователя.
- Универсальная подмена. Противник находит алгоритм, функционально сходный с алгоритмом генерации ЭЦП.
- Селективный спуфинг. Подделка подписи под выбранным сообщением.
- Экзистенциальная подделка. Подделка подписи хотя бы для одного случайно выбранного сообщения [6].
На практике использование ЭЦП позволяет выявить или предотвратить следующие действия правонарушителя:
- Отказ одного из участников от авторства документа;
- Изменение принятого электронного документа;
- Подделка документов;
- Принуждение к передаче сообщений - злоумышленник перехватывает и изменяет обмен сообщениями [6].
Также есть нарушения, от которых невозможно защитить систему обмена сообщениями - повторная передача сообщения и фальсификация времени передачи сообщения [5]. С этим нарушением можно бороться с помощью временных вставок и строгого учета полученных сообщений.
2. Инструменты для работы с электронной цифровой подписью
PGP. Самым известным из них является пакет PGP (Pretty Good Privacy) - (www.pgpi.org), без сомнения, на сегодняшний день это самый распространенный программный продукт, позволяющий использовать современные безопасные криптографические алгоритмы для защиты информации на персональных компьютерах [1].
Основные преимущества этой упаковки, отличающие ее от других аналогичных продуктов, заключаются в следующем.
Открытость. Исходный код для всех версий программного обеспечения PGP находится в открытом доступе [3]. Любой специалист может убедиться, что программа эффективно реализует криптоалгоритмы. Поскольку реализация известных алгоритмов была доступна специалистам, открытость принесла еще одно преимущество - эффективность программного кода.
Поддерживаются как централизованные (через серверы ключей), так и децентрализованные (через «сеть доверия») модели распространения открытых ключей.
Удобство программного интерфейса. PGP был разработан для широкого круга пользователей, поэтому изучение основ занимает всего несколько часов.
GNU Privacy Guard (GnuPG)
GnuPG - это полная замена пакета PGP с открытым исходным кодом. Этот пакет не использует собственный алгоритм IDEA и поэтому может использоваться без ограничений [3]. GnuPG соответствует стандарту RFC2440 (OpenPGP).