Назначение и применение электронной подписи.

Стр 1 из 3Следующая ⇒

Лекция 7.

Электронная подпись

Содержание

Введение

Учебные вопросы:

1. Назначение и применение электронной подписи.

2. Виды электронной подписи, ее юридическая правомочность.

3. Технология формирования электронной подписи.

4. Электронный обмен данными.

Заключение

Введение

При обмене электронными документами по сети связи существенно снижаются затраты на обработку и хранение документов, убыстряется их поиск. Но при этом возникает проблема аутентификации автора документа и самого документа, т.е. установления подлинности автора и отсутствия изменений в полученном документе. В обычной (бумажной) информатике эти проблемы решаются за счет того, что информация в документе и рукописная подпись автора жестко связаны с физическим носителем (бумагой). В электронных документах на машинных носителях такой связи нет.

При обработке документов в электронной форме совершенно непригодны традиционные способы установления подлинности по рукописной подписи и оттиску печати на бумажном документе. Принципиально новым решением является электронная цифровая подпись (ЭЦП).

Назначение и применение электронной подписи.

Электронная цифровая подпись - реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.

В России федеральным законом № 63-ФЗ от 6 апреля 2011 г. наименование «электронная цифровая подпись» заменено словами « электронная подпись » (аббревиатура — « ЭП »).

Электронная подпись предназначена для идентификации лица, подписавшего электронный документ. Кроме этого, использование электронной подписи позволяет осуществить:

- контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему;

- защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев;

- невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом;

- доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

Все эти свойства ЭП позволяют использовать её для следующих целей:

· Декларирование товаров и услуг (таможенные декларации).

· Регистрация сделок по объектам недвижимости.

· Использование в банковских системах.

· Электронная торговля и госзаказы.

· Контроль исполнения государственного бюджета.

· В системах обращения к органам власти.

· Для обязательной отчетности перед государственными учреждениями.

· Организация юридически значимого электронного документооборота.

· В расчетных и трейдинговых системах.

История возникновения

В 1976 году Уитфилдом Диффи и Мартином Хеллманом было впервые предложено понятие «электронная цифровая подпись», хотя они всего лишь предполагали, что схемы ЭЦП могут существовать.

В 1977 году, Рональд Ривест, Ади Шамир и Леонард Адлеман разработали криптографический алгоритм RSA, который без дополнительных модификаций можно использовать для создания примитивных цифровых подписей.

Вскоре после RSA были разработаны другие ЭЦП, такие как алгоритмы цифровой подписи Рабина, Меркле.

В 1984 году Шафи Гольдвассер, Сильвио Микали и Рональд Ривест первыми строго определили требования безопасности к алгоритмам цифровой подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям.

Россия

В 1994 году Главным управлением безопасности связи Федерального агентства правительственной связи и информации при Президенте Российской Федерации был разработан первый российский стандарт ЭЦП — ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

В 2002 году для обеспечения большей криптостойкости алгоритма взамен ГОСТ Р 34.10-94 был введен стандарт одноименный стандарт ГОСТ Р 34.10-2001, основанный на вычислениях в группе точек эллиптической кривой. В соответствии с этим стандартом, термины «электронная цифровая подпись» и « цифровая подпись » являются синонимами.

1 января 2013 года одноименный ГОСТ Р 34.10-2001 заменён на ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

Федеральным законом «Об электронной подписи» № 63-ФЗ от 06.04.2011 регулируются отношения в области:

использования электронных подписей при совершении гражданско-правовых сделок;

оказании государственных и муниципальных услуг;

исполнении государственных и муниципальных функций;

при совершении иных юридически значимых действий.

Федеральным законом определяется понятие электронной подписи:

1. Устанавливаются её виды, требования к средствам электронной подписи, с помощью которых создаются и проверяются:

электронная подпись,

ключ электронной подписи

и ключ проверки электронной подписи

2. Требования к удостоверяющим центрам, осуществляющим функции по созданию и выдаче сертификатов ключей проверки электронных подписей

В пояснительной записке к проекту закона об электронной подписи была приведена неутешительная статистика, свидетельствующая о слабой распространенности ЭЦП в российском деловом обороте.

По состоянию на февраль 2007 г. в России было выдано около 200 000 сертификатов ключа ЭЦП, что составляет лишь 0, 2 % от населения страны.

При этом отмечается, что в Европе за аналогичный период времени от введения в действие Директивы ЕС от 13.12.1999 N 1999/93/ЕС «Об общих принципах электронных подписей» усиленные электронные подписи использовало около 70 % населения.

Новый Федеральный закон «Об электронной подписи» (ЭП) призван смягчить слишком серьезные требования к ЭЦП, регламентированные Федеральным законом от 10 января 2002 года «Об электронно-цифровой подписи» (ЭЦП).

В частности, допускалось применение только одной технологии идентификации (асимметричных электронных ключей подписи), которая к тому же требовала обязательного наличия сертификата от удостоверяющего центра.

Согласно положениям нового закона от удостоверяющих центров не требуется лицензирования - они могут пройти аккредитацию и то лишь на добровольной основе. Аккредитацией будет заниматься назначенный правительством уполномоченный орган, он же организует работу корневого центра

Для аккредитации российское или иностранное юридическое лицо обязано обладать чистыми активами на сумму не менее 1 млн. руб. и финансовыми гарантиями для выплат компенсаций пострадавшим клиентам в размере 1, 5 млн. руб., иметь не менее двух IT-специалистов с высшим профессиональным образованием и пройти процедуру подтверждения в ФСБ.

Хранение закрытого ключа

Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищенность ключа полностью зависит от защищенности компьютера, и пользователь может подписывать документы только на этом компьютере.

В настоящее время существуют следующие устройства хранения закрытого ключа:

· Дискеты.

· Смарт-карты.

· USB-брелоки.

· Таблетки Touch-Memory.

Смарт-карта и USB-брелоки eToken

Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван.

Наиболее защищенный способ хранения закрытого ключа — хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хэш передается в карту, её процессор осуществляет подписывание хеша и передает подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты сложнее, чем с других устройств хранения.

В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несет сам.

Технология формирования ЭП

С древних времен известен криптографический метод, позднее названный шифрованием с помощью симметричного ключа, при использовании которого для зашифровки и расшифровки служит один и тот же ключ (шифр, способ).

Главной проблемой симметричного шифрования является конфиденциальность передачи ключа от отправителя к получателю.

Раскрытие ключа в процессе передачи равносильно раскрытию документа и предоставлению злоумышленнику возможности его подделать.

В 70-х гг. был изобретен алгоритм асимметричного шифрования.

Зашифровывается документ одним ключом, а расшифровывается другим, причем по первому из них практически невозможно вычислить второй, и наоборот.

Поэтому если отправитель зашифрует документ секретным ключом, а публичный (открытый) ключ предоставит адресатам, то они смогут расшифровать документ, зашифрованный отправителем, и только им.

Если получатель смог расшифровать значение хеш-функции, используя открытый ключ отправителя, то зашифровал это значение именно отправитель (аутентификация).

Если вычисленное и расшифрованное значения хеш-функции совпадают, то документ не был изменен (идентификация).

Любое искажение (умышленное или неумышленное) документа в процессе передачи даст новое значение вычисляемой получателем хеш-функции, и программа проверки подписи сообщит, что подпись под документом неверна.

Цифровая подпись представляет собой относительно небольшое количество дополнительной цифровой информации, передаваемой вместе с подписываемым текстом.

Система ЭП включает две процедуры: 1) процедуру постановки подписи; 2) процедуру проверки подписи. В процедуре постановки подписи используется секретный ключ отправителя сообщения, в процедуре проверки подписи - открытый ключ отправителя.

При формировании ЭП отправитель прежде всего вычисляет хэш-функцию h(М) подписываемого текста М. Вычисленное значение хэш-функции h(М) представляет собой один короткий блок информации m, характеризующий весь текст М в целом. Затем число m шифруется секретным ключом отправителя. Получаемая при этом пара чисел представляет собой ЭП для данного текста М.

При проверке ЭП получатель сообщения снова вычисляет хэш-функцию m = h(М) принятого по каналу текста М, после чего при помощи открытого ключа отправителя проверяет, соответствует ли полученная подпись вычисленному значению m хэш-функции.

Принципиальным моментом в системе ЭП является невозможность подделки ЭП пользователя без знания его секретного ключа подписывания.

Схематично процедуры постановки подписи и ее проверки можно представить следующим образом:

В качестве подписываемого документа может быть использован любой файл. Подписанный файл создается из неподписанного путем добавления в него одной или более электронных подписей.

Каждая подпись содержит следующую информацию:

дату подписи;

срок окончания действия ключа данной подписи;

информацию о лице, подписавшем файл (Ф.И.0., должность, краткое наименование фирмы);

идентификатор подписавшего (имя открытого ключа);

собственно цифровую подпись.

Электронный обмен данными

EDI (Electronic Data Interchange) – это технология автоматизированного обмена электронными сообщениями в стандартизированных форматах между бизнес-партнерами.

При этом документы, имеющие в изначальном («человеческом») виде удобную и специфическую для каждой фирмы форму, прозрачно передаются между различными партнерами в стандартном «электронном» формате (при помощи конвертора (на входе) и деконвертора (на выходе соответственно)). Технология гарантирует как правильность конвертации данных, так и саму доставку сообщений адресатам и последовательность доставки сообщений. При этом обеспечиваются достоверность и конфиденциальность передаваемой информации.

В классическом виде EDI предполагает полностью автоматизированное взаимодействие между информационными системами партнеров, исключая участие человека. Каждая сторона может выступать как отправитель, так и получатель сообщений. Такой вариант интеграции дает максимальный эффект при внедрении данной технологии.

На современном этапе развития технологии EDI позволяют не просто экономить деньги, но и упростить и оптимизировать процессы управления и принятия решений, а в целом оптимизировать и повысить эффективность бизнеса.

Практика электронной коммерции, основанной на системах EDI насчитывает уже более 30 лет и обобщается в стандартах выполнения торговых операций и представлении структурированных деловых документов.

При разработке стандартов электронного документооборота было проанализировано использование данных «бумажных» документов, применяемых в экономической деятельности.

Было предложено выделить наиболее повторяющиеся данные, и в них выделить соответствующие поля данных. В последствии для их заполнения была разработана система таблиц – глобальные справочники данных и технология их синхронизации.

Стандарты EDI

EDI базируется на следующих основных стандартах:

UN/EDIFACT – United Nations Electronic Data Interchange for Administration, Commerce and Transport - " Правила ООН электронного обмена документами для гос. управления, торговли и транспорта" – основополагающий глобальный избыточный стандарт, содержащий наиболее общие справочники международных кодов и форматов сообщений, расширенных для удовлетворения всех возможных запросов пользователей.

(UN/CEFACT) – адаптированный Центром ООН по упрощению процедур международной торговли и электронному бизнесу (CEFACT) стандарт UN/EDIFACT

GS1 EANCOM – подмножество EDIFACT для розничной торговли - разработан международной ассоциацией GS1 и дополнен использованием ключевых идентификаторов системы GS1,

GS1 XML – современный формат сообщений, используемых при обмене данными в цепях поставок в системе GS1.

Система GS1 – это международная глобальная многоотраслевая система стандартов, охватывающая более 100 стран. Система GS1 является самой широко используемой международной системой стандартов в цепях поставок. В настоящее время свыше миллиона компаний в мире используют стандарты GS1. Национальные ассоциации GS1 обеспечивают поддержку системы в своих странах и поддержку национальных языков в системе GS1.

В основе архитектуры системы GS1 лежат ключевые идентификаторы, основными из которых являются:

GTIN (Global Trade Item Number)– глобальный номер торговой единицы (предмета торговли) –уникальный идентификационный номер торговой единицы в системе GS1. Этот идентификатор представлен в виде символа штрихового кода на упаковке товара

GLN (Global Location Number) – глобальный номер места нахождения – уникальный номер в системе GS1 для идентификации участников цепи поставки и их материальных, функциональных или юридических объектов (подразделений) (филиалы/офисы/склады/рампы и т.д.). Используется главным образом в EDI для эффективной идентификации всех объектов, касающихся поставок.

SSCC (Serial Shiping Container Code) – серийный код транспортной упаковки (СКТУ) – уникальный идентификатор логистической (транспортной) единицы. SSCC очень удобен для маркировки грузов, подлежащих танспортировке.

Ключевые идентификаторы системы GS1 являются:

уникальными - способ формирования номеров обеспечивает уникальность каждого номера;

международными - данные номера являются уникальными во всем мире;

многоотраслевыми - не значимый характер номеров позволяет последовательно идентифицировать любой объект, независимо от вида предпринимательской деятельности;

Простая структура номеров позволяет автоматизировать обработку и передачу данных.

Номер GLN – это глобальный уникальный цифровой код, идентифицирующий участника в цепи поставок (контрагента или его структурное подразделение или объект).

Присвоение идентификационных номеров GLN регулируется стандартами системы GS1 для того, чтобы гарантировать уникальность каждого отдельного номера во всем мире. Для получения GLN-номера предприятие должно стать членом национальной ассоциации GS1( в РФ такой организацией является GS1 Russia – ГС1 РУС.).

Идентификационные номера GLN ежедневно широко используются более чем 200.000 компаний, занимающихся различными видами предпринимательской деятельности

Для перехода к использованию технологии EDI необходимо подключение партнеров к специализированной платформе обмена коммерческими сообщениями (платформа электронной коммерции), использование средств преобразования сообщений к стандартному формату и передачи «стандартизированных» сообщений адресату. Такая схема взаимодействия позволяет один раз подключиться к EDI и единообразно обмениваться сообщениями со всеми партнерами, а не создавать и настраивать способ обмена документами с каждым контрагентом.

Интеграцию систем, преобразование и передачу сообщений между партнерами осуществляют специализированные компании – авторизованные провайдеры EDI. Провайдер предоставляет своим клиентам надежный канал передачи сообщений всем контрагентам (доступ к своей платформе обмена коммерческими сообщениями) и поддерживает оговоренный уровень сервиса. Важно участие именно авторизованного провайдера, т.к. это гарантирует как высокий технический уровень предоставляемых услуг и уровень сервиса, так и соответствие услуг стандартам GS1, что в свою очередь дает возможность осуществлять роуминг с другими провайдерами (в том числе и с международными).

Практические рекомендации по внедрению.

Чтобы начать обмениваться документами по EDI необходимо:

· получить номер GLN;

· выбрать вариант подключения (полная интеграция или Web-EDI),

· выбрать авторизованного провайдера EDI,

· осуществить подключение,

· начать работать.

Популярные области применения:

· Дистрибуция,

· Ритейл,

· Управление складами,

· Транспорт,

· Банковская сфера и управление денежными потоками

Заключение

В отличие от рукописной подписи электронная цифровая подпись имеет не физическую, а логическую природу - это просто последовательность символов, которая позволяет однозначно связать лицо, подписавшее документ, содержание документа и владельца ЭП. Логический характер электронной подписи делает ее независимой от материальной природы документа. С ее помощью можно подписывать документы, имеющие электронную природу (исполненные на магнитных, оптических, кристаллических и иных носителях, распределенные в компьютерных сетях и т.п.).

Согласно Закону ЭП должна решать следующие задачи: защиту электронного документа от подделки, установление отсутствия искажений информации в электронном документе, идентификацию владельца сертификата ключа подписи (ст. 3).

Таким образом, ЭП должна обеспечить идентификацию (документ подписан определенным лицом) и аутентификацию (содержание не претерпело изменений с момента его подписания) электронного документа.

В настоящей лекции рассмотрены лишь основные понятия, принципы формирования, придания юридической правомочности электронной подписи. Более подробно об электронной подписи курсанты узнают в рамках изучения дисциплины «Основы информационной безопасности в ОВД».

Контрольные вопросы

1. Понятие электронной подписи (ЭП).

2. История возникновения понятия ЭП.

3. Нормативные документы, регламентирующие ЭП.

4. Виды ЭП.

5. Функции Удостоверяющего центра.

6. Сертификат ключа проверки ЭП.

7. Технология формирования ЭП.

8. Понятие хэш-функции.

9. Электронный обмен данными

Литература:

а) основная литература:

1. А. С. Давыдов, Т. В. Маслова. Информационные технологии в деятельности органов внутренних дел: учебное пособие. – М.: ЦОКР МВД России, 2009.

2. Информатика и математика для юристов: учебник для студентов вузов, обучающихся по юридическим специальностям / под редакцией С. Я. Казанцева, Н. М. Дубининой. – 2-е изд., перераб. и доп. – М.: ЮНИТИ-ДАНА, 2009.

3. Информационные технологии в юридической деятельности: учебник для бакалавров / под общей редакцией П. У. Кузнецова. – М.: Издательство Юрайт, 2012.

4. Симонович С. В. Информатика. Базовый курс. – СПб., Питер, 2011.

б) дополнительная литература:

1. Горнец Н. Н., Рощин А. Г., Соломенцев В. В. Организация ЭВМ и систем. Учебное пособие. – М., Академия, 2008.

2. Орлов С. А., Цилькер Б. Я. Организация ЭВМ и систем. Учебник для вузов. – СПб., Питер, 2011.

3. Бройдо В. Л., Ильина О. П. Вычислительные системы, сети и телекоммуникации. Учебник для вузов. – СПб., Питер, 2011.