Файл: Руководство для профессиональных аналитиков москва 2009 rv удк 001. 51 Ббк72 с 40.pdf

иными государственными регулирующими органами.
393

О осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;
О может предоставлять участникам информационных систем иные связанные с использованием электронных цифровых подписей услуги.
Изготовление сертификатов ключей подписей осуществляется на основании заявления участника информационной системы, которое содержит сведения, указанные в ст. 6 Федерального Закона об электронной цифровой подписи и необходимые для идентификации владельца сертификата ключа подписи и передачи ему сообщений. Заявление подписывается собственноручно владельцем сертификата ключа подписи.
Содержащиеся в заявлении сведения подтверждаются предъявлением соответствующих документов. При изготовлении сертификатов ключей подписей УЦ в форме документов на бумажных носителях оформляются два экземпляра сертификата ключа подписи, которые заверяются собственноручными подписями владельца сертификата ключа подписи и уполномоченного лица удостоверяющего центра, а также печатью УЦ. Один экземпляр сертификата ключа подписи выдается владельцу сертификата ключа подписи, второй остается в УЦ. Услуги по выдаче участникам информационных систем сертификатов ключей подписей, зарегистрированных
УЦ, одновременно с информацией об их действии в форме электронных документов оказываются безвозмездно.
Кроме того, действующее законодательство регламентирует отношения между
УЦ и уполномоченным федеральным органом исполнительной власти. До начала использования электронной цифровой подписи уполномоченное лицо Удостоверяющего центра для заверения от имени УЦ сертификатов ключей подписей обязан представить в уполномоченный федеральный орган исполнительной власти сертификат ключа подписи в фор- ме электронного документа, а также этот сертификат в форме документа на бумажном носителе с собственноручной подписью указанного уполномоченного лица, заверенный подписью руководителя и печатью УЦ.
Уполномоченный федеральный орган исполнительной власти ведет единый государственный реестр сертификатов ключей подписей, которыми УЦ, работающие с участниками информационных систем общего пользования, заверяют выдаваемые ими сертификаты ключей подписей, обеспечивает возможность свободного доступа к этому реестру и выдает сертификаты ключей подписей соответствующих уполномоченных лиц
УЦ.
Электронные цифровые подписи уполномоченных лиц
УЦ могут использоваться только после включения их в единый государственный реестр сертификатов ключей подписей. Использование этих электронных цифровых подписей для целей, не связанных с заверением сертификатов ключей подписей, не допускается.
Уполномоченный федеральный орган исполнительной власти:
• осуществляет по обращениям физических лиц, орга низаций, федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления подтверждение подлинности электронных цифровых подписей уполномоченных лиц
УЦ в выданных ими сертификатах ключей подписей;
• осуществляет, в соответствии с положением об уполномоченном федеральном органе исполнительной власти, иные полномочия по обеспечению действия Фе дерального Закона об электронной цифровой подписи.
УЦ при изготовлении сертификата ключа подписи принимает на себя следующие обязательства по отношению к владельцу сертификата ключа подписи:
• вносить сертификат ключа подписи в реестр сер тификатов ключей подписей;
• обеспечивать выдачу сертификата ключа подпи си обратившимся к нему участникам информацион ных систем;
394 395

• приостанавливать действие сертификата ключа подписи по обращению его владельца;
• уведомлять владельца сертификата ключа подписи о фактах, которые стали известны УЦ и которые суще ственным образом могут сказаться на возможности даль нейшего использования сертификата ключа подписи;
• иные установленные нормативными правовыми актами или соглашением сторон обязательства.
Владелец сертификата ключа подписи обязан:
• не использовать для электронной цифровой подпи си открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;
• хранить в тайне закрытый ключ электронной циф ровой подписи;
• немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований по лагать, что тайна закрытого ключа электронной цифро вой подписи нарушена.
Для проверки ЭЦП под сертификатом используется сертификат уполномоченного органа, который должны иметь все участники.
Будем обозначать:
х - личный закрытый ключ,
а* - личный открытый ключ,
[а
х
] - личный цифровой сертификат.
Алгоритмы, в которых вместо открытого ключа используется личный цифровой сертификат, заверенный ЭЦП уполномоченного органа, образуют инфраструктуру открытых ключей.
Процесс синтеза и анализа криптографических алгоритмов отличается высокой сложностью и трудоемкостью. В связи с этим практически во всех странах, обладающих развитыми криптографическими технологиями, разработка и внедрение криптографических средств относится к сфере государственного регулирования. Государственное регулирование включает, как правило, лицензирование деятельности, свя- занной с разработкой и эксплуатацией криптографических средств, сертификацию криптографических средств и стандартизацию алгоритмов криптографических преобразований. В
России в настоящее время организационно-правовые и научно-технические проблемы синтеза и анализа средств криптографической защиты информации находятся в компетенции ФСБ РФ.
Правовая сторона разработки и использования криптографических средств регламентируется в основном указом Президента Российской Федерации от 03.04.95 № 334 с учетом принятых ранее законодательных и нормативных актов
РФ.
Дополнительно учитываемой законодательной базой являются законы
«О федеральных органах правительственной связи и информации»,
«О государственной тайне»,
«Об информации, информатизации и защите информации»,
«О сертификации продукции и услуг».
Порядок сертификации криптографических средств установлен
«Системой сертификации средств криптографической зашиты информации
РОСС.RU.0001.030001
Госстандарта России».
Стандартизация алгоритмов криптографических преобразований включает всесторонние исследования и публикацию в виде стандартов элементов криптографических процедур с целью использования разработчиками апробированных криптографическистойких преобразований, обеспечения возможности совместной работы различных криптографических средств, а также возможности тестирования и проверки соответствия реализации криптографических средств заданному стандартом алгоритму.
В России приняты и действуют следующие стандарты
- алгоритм криптографического преобразования 28147-89, алгоритмы хеширования, выработки и проверки цифровой подписи Р34.10 и
P34.ll. Из зарубежных стандартов широко известны и применяются алгоритмы шифрования DES, RC2, RC4,
алгоритмы хеширования MD2, МСА и MD5, алгоритмы простановки и проверки цифровой подписи DSS и RSA.

396 397

11.6ь Маркеры подлинности
Очевидно, что в аналитической компьютерной системе будут циркулировать не только электронные документы. Достаточно часто будет происходить преобразование их из электронного вида в твердую копию, распечатка для чтения, доклада заказчикам и руководителям, передачи в другие организации.
Уточним задачу защиты подлинности документов на любых носителях, особенно таких, которые имеют значение для принятия ответственных стратегических решений или для осуществления системного анализа проблем различной сложности, имеющих значение как для внутренней жизни организации, так и для ее взаимодействия с окружающей средой. В отличие от содержания структурированных документов типа банкнот, содержание документов произвольной формы может меняться. При этом речь идет не о подлинности того или иного носителя, а о подлинности документа, точности его содержания.
Поэтому сначала сформулируем, каким должен быть защитный признак бумажного документа.
Во-первых, защитный признак должен быть неразрывно связан с тремя факторами: с автором документа, его содержанием и с «основой» документа
(т.е. с листом бумаги, на котором он напечатан). В этом смысле признание подлинности и есть удостоверение авторства и содержания. Во-вторых, защитный признак должен быть проверяемым, т.е. практически любой человек, имеющий допуск к данному документу, должен иметь возможность убедиться в неизменности содержания.
Для электронных документов эту технологию обеспечивает «инфраструктура открытых ключей».
Электронный документ заверяется цифровой подписью, а проверка подлинности ведется при помощи сертификата, заверенного уполномоченным органом. Об этом мы подробно рассказали в предыдущем параграфе.
Естественно, что эта технология вполне применима не только к электронным, но и к бумажным документам.
Руководителям организации и аналитикам необходимо знать, в какой форме следует ставить цифровую подпись на документ.
398
Предположим, что имеется личный цифровой сертификат, который используется для заверения электронных документов электронной цифровой подписью (ЭЦП). Это означает, что пользователь обладает секретным ключом, которым он может подписывать сообщение или документ, и существует открытый ключ, заверенный уполномоченной организацией, которым возможно проверить подпись под электронным документом.
Теперь формируется образ бумажного документа и перед выводом его на печать создается маркер
подлинности
-
совокупность
архивированного
содержания документа, электронной цифровой
подписи под ним и сертификата, позволяющего
проверить электронную цифровую подпись, в виде
матричного кода. Матричный код обладает высокой информационной емкостью и устроен так, что может обнаруживать и исправлять ошибки при чтении, что важно для его практического применения (информация наносится на носитель в виде матрицы из черных и белых квадратов
- технология двумерного кодирования).
Маркер подлинности выводится на печать вместе с текстом документа в свободном от текста поле документа. Таким образом, каждый бумажный документ сопровождается своим маркером подлинности. Прочитав маркер подлинности при помощи обычного сканера или специализированного устройства
(функционально аналогичного тому, которым считывают штрих-коды с товаров), можно:
• быстро получить электронный образ документа, восстановив его из маркера подлинности;
• проверить цифровую подпись под ним;
• визуально сверить текстовое содержание документа с восстановленным из маркера подлинности и, следова тельно, убедиться в неизменности документа;
• сканировав бумажный документ, автоматически сверить текстовое содержание документа с восстанов ленным из маркера подлинности.
Кроме того, механизм цифровой подписи точно определяет автора документа. Таким образом, мы полу-
399

чаем ряд полезных и оригинальных свойств бумажных документов:
• возможность проверять подлинность ксерокопий документов (поскольку и текст, и маркер подлинности переносятся на копию);
• возможность передавать документы по факсу и проверять их подлинность на приеме.
Еще заметим, что в данном случае решается такая принципиальная проблема, как обеспечение непрерывности защиты электронного и бумажного документооборота. Электронная подпись под бумажным документом легко переходит в электронный документ и наоборот. Маркер подлинности обладает следующими достоинствами:
• имеет низкую стоимость (она равна стоимости красящего состава, потраченного на печать двумерного кода, либо стоимости ламинированной самоклеящейся этикетки, если маркер наносится на нее);
• позволяет восстановить и проверить подлинность всех данных документа автоматизированным способом
(при помощи обычного бытового сканера или фотокаме ры мобильного телефона);
• содержит в себе электронную цифровую подпись
(ЭЦП) всего заверенного документа, не может быть под делан лицом, не владеющим секретным ключом;
• его нельзя испортить скрытно (в отличие от радио меток и смарт-карт); любые намеренно внесенные иска жения визуально видны, но при этом они исправляются при чтении маркера за счет применения кода, исправ ляющего ошибки.
Описанная технология может быть применена при изготовлении пропусков (в том числе и содержащих фото- и биометрическую информацию), защите подлинности удостоверительных
(паспорт, удостоверение личности) и правоустанавливающих документов (доверенность, свидетельство о праве на собственность). После этого можно будет быстро
(автоматизированным способом) и безошибочно считать и проверять подлин- ность всех установочных данных владельца документа, что устранит необходимость ручного заполнения полей документа и позволит полностью исключить ошибки при вводе.
Весьма интересной является идея использования маркера для дистанционной продажи билетов или выдачи пропусков. Как уже говорилось, маркер легко воспроизводится на экранах мобильных устройств и может быть выведен на печать в домашних условиях.
Разумеется, все указанные здесь операции и процедуры могут выполняться специалистами в области информатики, но тогда им становится доступна и информация, содержащаяся в том или ином конфиденциальном документе, предназначенном для одного или для нескольких привилегированных читателей. Поэтому аналитикам, особенно работающим в крупных организациях, государственных, корпоративных и частных, желательно либо овладеть всеми указанными здесь операциями и процедурами, либо, по крайней мере, знать об их существовании, назначении и способах применения. Это особенно важно, если системный анализ опирается на изучение источников, содержание которых не подлежит оглашению, должно быть подлинным и оставаться сугубо конфиденциальным. И в экономике, и в узко финансовой деятельности крупномасштабных финансовых организаций, и в деятельности различных политических организаций и спецслужб аналитикам следует знать об основных свойствах и методах использования маркеров подлинности.
400 401