Файл: Электронная цифровая подпись (эцп) Назначение и применение эцп. Виды эцп и требования к ним. Стандарты. Управление ключами.pptx

Электронная цифровая подпись (ЭЦП)

Назначение и применение ЭЦП. Виды ЭЦП и требования к ним. Стандарты. Управление ключами.

Использование ЭЦП в России.

Определение Электронной цифровой подписи

«электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию»

Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи"

Порядок подписания электронного документа

Основные определения

ЭЦП – реквизит эл. документа, защищенный от подделки, полученный в результате криптографического* преобразования информации с использованием закрытого ключа.
Обладатель ЭЦП – лицо, на имя которого зарегистрировано право использования ЭЦП и который обладает закрытым ключом, позволяющим создавать свою ЭЦП в электронных документах
Средства ЭЦП – аппаратные и/или программные средства реализующие функции создания и проверки подлинности ЭЦП
*Криптогра́фия (от др.-греч. κρυπτός — скрытый и γράφω — пишу) — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных, о методах шифрования.

ЭЦП обеспечивает следующие функции:

Контроль целостности передаваемого документа
Защиту от изменений (подделки) документа
Невозможность отказа от авторства
Доказательное подтверждение авторства документа


Область

применения ЭЦП

защищенная

электронная

почта

Подтверждение

авторства

для подписи

программ

или отдельных

модулей

как ответственная

подпись на

электронном документе

средство идентификации

и аутентификации

в различных

Информационных

системах

Получение

государственных услуг в

электронном виде

Участие в электронных

торгах,

тендерах, аукционах

Сфера применения ЭЦП

Таможенное декларирование товаров и услуг
Электронная регистрация сделок по объектам недвижимости.
Использование в банковских платежных системах.

---

Электронная коммерция (торговля).
Управление государственными заказами.
В электронных системах обращения граждан к органам власти, в т.ч. и по экономическим вопросам (на сайте госуслуг).
Формирование обязательной налоговой (фискальной), бюджетной, статистической и прочей отчетности перед государственными учреждениями и внебюджетными фондами.
Применение ЭЦП в различных расчетных и трейдинговых системах.
Управление акционерным капиталом и долевым участием.
В глобальных системах межбанковского рынка обмена валют по определенному курсу (Forex).

ВИДЫ ЦИФРОВЫХ ПОДПИСЕЙ

Простая электронная подпись (ПЭП) – подтверждает, что электронное сообщение отправлено конкретным лицом. Предназначена для подписания электронных сообщений, направляемых в государственный орган, орган местного самоуправления или должностному лицу.
Создается с помощью кодов, паролей и других инструментов (комбинация логина и пароля).
Может рассматриваться как аналог собственноручной подписи.

ВИДЫ ЦИФРОВЫХ ПОДПИСЕЙ

Усиленная неквалифицированная ЭП - позволяет не только идентифицировать отправителя, но и подтвердить, что с момента подписания документ не менялся. Применяется во всех видах отношений, если иное не установлено нормативным правовым актом или соглашением участников отношений.
Создается с использованием криптографических средств.
Может рассматриваться как аналог документа с печатью.

ВИДЫ ЦИФРОВЫХ ПОДПИСЕЙ

Усиленная квалифицированная электронная подпись (КЭП)-предназначена для взаимодействия юридических лиц и госорганов с использованием государственных информационных систем.

Использует сертификат аккредитованного Удостоверяющего центра.

Цифровая подпись должна обладать следующими свойствами

Должна быть возможность проверить автора, дату и время создания подписи.
Должна быть возможность аутентифицировать содержимое во время создания подписи.
Подпись должна быть проверяема третьей стороной для разрешения споров.


Согласно ФЗ № 63 «Об электронной подписи» электронный документ, подписанный простой или усиленной неквалифицированной ЭП, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью. При этом обязательным является соблюдение следующего условия: между участниками электронного взаимодействия должно быть заключено соответствующее соглашение.

---

Усиленная квалифицированная подпись на электронном документе является аналогом собственноручной подписи и печати на бумажном документе. Контролирующие органы, такие как ФНС, ПФР, ФСС, признают юридическую силу только тех документов, которые подписаны квалифицированной ЭП.

требования к цифровой подписи

Подпись должна быть битовым образцом, который зависит от подписываемого сообщения.
Подпись должна использовать некоторую уникальную информацию отправителя для предотвращения подделки или отказа.
Создавать цифровую подпись должно быть относительно легко.
Должно быть вычислительно невозможно подделать цифровую подпись как созданием нового сообщения для существующей цифровой подписи, так и созданием ложной цифровой подписи для некоторого сообщения.
Цифровая подпись должна быть достаточно компактной и не занимать много памяти.

Правовые основы применения ЭП

· Федеральный закон No 32KФЗ «О внесении изменения и дополнения в Федеральный закон «О бухгалтерском учете» от 28 марта 2002 г.;
· Федеральный закон No 1KФЗ «Об электронной цифровой подписи» от 10 января 2002 г.;
· Федеральный закон No 180KФЗ «О внесении изменения в статью 80 части первой Налогового кодекса Российской Федерации» дополняет Налоговый кодекс положениями, касающимися пересылки налоговой декларации в налоговую инспекцию в электронном виде по каналам связи («безбумажная» технология) от 28 декабря 2001 г.;
· Федеральный закон No 128KФЗ «О лицензировании отдельных видов деятельности» от 8 августа 2001 г.;
· Федеральный закон No 85KФЗ «Об участии в международном информационном обмене» от 4 июля 1996 г.;
· Федеральный закон No 27KФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 1 апреля 1996 г.;
· Федеральный закон No 40KФ3 «Об органах Федеральной службы безопасности в Российской Федерации» от 03 апреля 1995г.;


· Федеральный закон No 24KФЗ «Об информации, информатизации и защите информации» (с комментариями) от 20 февраля 1995 г.;
· Федеральный закон No 15KФ3 «О связи» от 20 января 1995 г.;
· Федеральный закон No 4524K1 «О федеральных органах правительственной связи и информации» от 24 декабря 1993г.;
· Федеральный закон No 5485K1 «О Государственной тайне» от 21 июля 1993 г.;
· Федеральный закон No 5306K1 «О внесении изменений и дополнений в Закон Российской Федерации «О федеральных органах государственной безопасности» от 01 июля 1993 г.;
· Федеральный закон No 5154K1 «О стандартизации» от 10 июня 1993 г.;

---

· Федеральный закон No 5151K1 «О сертификации продуктов и услуг» от 10
июня 1993 г.;
· Федеральный закон No 3523K1 «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992г.;
Федерального закона N 63-ФЗ «Об электронной подписи» от 06.04.2011г., в котором «электронная цифровая подпись» заменена на «электронную подпись» трех видов

Схемы построения ЭЦП

Прямая ЭЦП

Взаимодействуют только отправитель и получатель. Получатель знает открытый ключ отправителя.  Основана на применении алгоритмов симметричного и ассиметричного шифрования.

Арбитражная ЭЦП
Предусматривает наличие в системе третьего лица — арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт шифрования его секретным ключом и передача его арбитру. Реализуется на основе алгоритмов симметричного шифрования.

Сертификат позволяет удостоверить заключенные в нем данные о владельце и его открытый ключ подписью какого-либо доверенного лица.

Существуют системы сертификатов двух типов: централизованные и децентрализованные

В децентрализованных системах путем перекрестного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия
В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.

Центры сертификации 

Выдают сертификаты - цифровые данные, подписанные цифровой подписью поручителя, подтверждающие соответствие открытого ключа и информации, идентифицирующей его владельца.
Сертификат содержит публичный ключ, информацию о владельце ключа, название сертификационного центра, время, в течение которого сертификат действителен, и т.д.
Каждая копия сертификата имеет цифровую подпись организации, выдавшей сертификат, так что каждый, кто получит сертификат, может удостовериться в его подлинности.

Пример сертификата на ЭЦП

Устройства хранения закрытого ключа

Дискеты
Смарт-карты
USB-брелоки
Таблетки Touch-Memory

- регистрирует электронные цифровые подписи; - создает по обращению пользователей закрытые и открытые ключи ЭЦП; - приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их; - ведет реестр сертификатов ключей подписей, обеспечивает актуальность реестра и возможность свободного доступа пользователей к реестру; - выдает сертификаты ключей подписей на

---

бумажных носителях и в виде электронных документов с информацией об их действительности; - проводит по обращениям пользователей подтверждение подлинности (действительности) электронной цифровой подписи в электронном документе в отношении зарегистрированных им электронных цифровых подписей; - может предоставлять пользователям информационных систем иные услуги, связанные с использованием электронных цифровых подписей

Строгая иерархия удостоверяющих центров

На сайте Минкомсвязи имеется список аккредитованных УЦ, а также тех, аккредитация которых приостановлена или прекращена

• по истечении срока его действия; • при утрате силы сертификата соответствующих средств ЭЦП; • в случае, если удостоверяющему центру стало достоверно известно о прекращении действия документа, на основе которого оформлен сертификат ключа подписи; • по письменному (на бумажном носителе) заявлению обладателя электронной цифровой подписи; • в иных случаях, установленных законом или договором. Жизненный цикл цифрового сертификата * PKI - инфраструктура управления открытыми ключами (public key infrustructure), современная система управления криптографической защитой, в том числе и в агрессивной среде

обычные - отображают нормальный жизненный цикл сертификата

пунктирные - показывают моменты вмешательства УЦ

Пример: в корпоративной системе, где владельцами сертификатов являются служащие организации, вмешательство УЦ в нормальный жизненный цикл сертификата требуется в случаях: - аннулирования сертификата при увольнении служащего, владеющего этим сертификатом; - аннулирования сертификата при утере служащим своего секретного ключа или пароля доступа к секретному ключу; - приостановления действия сертификата, выпущенного для служащего, который в данный момент времени увольняется или находится под следствием; - возобновления сертификата служащего при отказе от увольнения или после прояснения обстоятельств судебного дела и т.п. Сертификаты могут иметь различные сроки действия для служащих в зависимости от их статуса, например, служащие, работающие по контракту, могут иметь сертификаты на период их контракта Удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.

---