Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Юридическая правомочность ЭП



Условия признания электронных документов, подписанных электронной подписью:

· Информация в электронной форме, подписанная квалифицированной, простой, неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.

· Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона.

Соблюдены два дополнительных требования, помимо тех, которые предусмотрены для неквалифицированной подписи. В соответствии со ст. 12 нового Закона это возможно, если:

1) получен квалифицированный сертификат, в котором указывается ключ проверки такой электронной подписи;

2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в Законе об электронной подписи.

Новый Закон допускает получение электронной подписи, в частности, юридическими лицами или государственными органами, что не допускалось Законом об ЭЦП

В связи с этим в п. 3 ст. 14 Закона об электронной подписи специально оговаривается, что при получении сертификата ключа проверки электронной подписи юридического лица необходимо указывать, помимо наименования юридического лица - владельца этого сертификата, и физическое лицо, действующее от его имени на основании учредительных документов или доверенности.

Однако в этой же норме предусмотрены случаи, когда такие лица могут
не указываться, и тогда единственным владельцем указанного сертификата будет юридическое лицо.

Такую подпись можно использовать при оказании государственных и муниципальных услуг, при исполнении государственных и муниципальных функций.

Квалифицированный сертификат должен содержать следующую информацию:

1) уникальный номер квалифицированного сертификата, даты начала и окончания его действия;

2) фамилия, имя и отчество владельца квалифицированного сертификата (для физического лица) либо наименование, место нахождения и основной государственный регистрационный номер владельца квалифицированного сертификата (для юридического лица);

3) страховой номер индивидуального лицевого счета владельца квалифицированного сертификата (для физического лица) либо идентификационный номер налогоплательщика (ИНН) владельца квалифицированного сертификата - для юридического лица;

4) ключ проверки электронной подписи;

5) наименования средств электронной подписи и средств аккредитованного удостоверяющего центра, которые использованы для создания ключа электронной подписи, ключа проверки электронной подписи, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в Законе об электронной подписи;

6) наименование и место нахождения аккредитованного удостоверяющего центра, который выдал квалифицированный сертификат, а также номер квалифицированного сертификата этого удостоверяющего центра;

7) ограничения использования квалифицированного сертификата (если установлены);

8) иная информация о владельце квалифицированного сертификата (по требованию заявителя).

В Законе об электронной подписи предусмотрено разделение удостоверяющих центров на имеющие и не имеющие аккредитацию.
Последние смогут выдавать только сертификаты ключа, а квалифицированные сертификаты будут выдавать исключительно аккредитованные удостоверяющие центры.

Для получения квалифицированной электронной подписи необходимо обращаться в аккредитованный удостоверяющий центр.

Удостоверяющим центром может быть юридическое лицо (в том числе и созданное по иностранному праву) или индивидуальный предприниматель.Ограничений относительно организационно-правовой формы такого юридического лица Закон об электронной подписи не содержит.

Удостоверяющий центр - это специализированная организация, осуществляющая следующие функции:

  • регистрация пользователей;
  • изготовление сертификатов ключей подписей;
  • создание ключей электронных цифровых подписей с гарантией сохранения в тайне закрытого ключа ЭП;
  • приостановление и возобновление действия сертификатов ключей подписей, а также их аннулирование;
  • ведение реестра сертификатов ключей подписей, обеспечение его актуальности и возможности свободного обращения к нему участников информационных систем;
  • проверка уникальности открытых ключей ЭП в реестре сертификатов ключей подписей;
  • выдача сертификатов ключей подписей с информацией об их действии;
  • осуществление по обращениям пользователей сертификатов ключей подписей подтверждения подлинности ЭП в электронном документе в отношении выданных им сертификатов ключей подписей.

Сертификат ключа проверки электронной подписи:

Удостоверяющий центр осуществляет создание и выдачу сертификата ключа проверки электронной подписи на основании соглашения между удостоверяющим центром и заявителем.

Сертификат ключа проверки электронной подписи должен содержать следующую информацию:

1) даты начала и окончания срока его действия;

2) фамилия, имя и отчество (если имеется) - для физических лиц, наименование и место нахождения - для юридических лиц или иная информация, позволяющая идентифицировать владельца сертификата ключа проверки электронной подписи;

3) ключ проверки электронной подписи;

4) наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;

5) наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи;

6) иная информация, предусмотренная частью 2 статьи 17 настоящего Федерального закона, - для квалифицированного сертификата.

Управление открытыми ключами

Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации.

Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.

Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.

Хранение закрытого ключа

Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищенность ключа полностью зависит от защищенности компьютера, и пользователь может подписывать документы только на этом компьютере.

В настоящее время существуют следующие устройства хранения закрытого ключа:

· Дискеты.

· Смарт-карты.

· USB-брелоки.

· Таблетки Touch-Memory.

Смарт-карта и USB-брелоки eToken  

Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван.

Наиболее защищенный способ хранения закрытого ключа — хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хэш передается в карту, её процессор осуществляет подписывание хеша и передает подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты сложнее, чем с других устройств хранения.

В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несет сам.

Технология формирования ЭП

С древних времен известен криптографический метод, позднее названный шифрованием с помощью симметричного ключа, при использовании которого для зашифровки и расшифровки служит один и тот же ключ (шифр, способ).

Главной проблемой симметричного шифрования является конфиденциальность передачи ключа от отправителя к получателю.

Раскрытие ключа в процессе передачи равносильно раскрытию документа и предоставлению злоумышленнику возможности его подделать.

В 70-х гг. был изобретен алгоритм асимметричного шифрования.

Зашифровывается документ одним ключом, а расшифровывается другим, причем по первому из них практически невозможно вычислить второй, и наоборот.

Поэтому если отправитель зашифрует документ секретным ключом, а публичный (открытый) ключ предоставит адресатам, то они смогут расшифровать документ, зашифрованный отправителем, и только им.

Если получатель смог расшифровать значение хеш-функции, используя открытый ключ отправителя, то зашифровал это значение именно отправитель (аутентификация).

Если вычисленное и расшифрованное значения хеш-функции совпадают, то документ не был изменен (идентификация).

Любое искажение (умышленное или неумышленное) документа в процессе передачи даст новое значение вычисляемой получателем хеш-функции, и программа проверки подписи сообщит, что подпись под документом неверна.

Цифровая подпись представляет собой относительно небольшое количество дополнительной цифровой информации, передаваемой вместе с подписываемым текстом.

Система ЭП включает две процедуры: 1) процедуру постановки подписи; 2) процедуру проверки подписи. В процедуре постановки подписи используется секретный ключ отправителя сообщения, в процедуре проверки подписи - открытый ключ отправителя.

При формировании ЭП отправитель прежде всего вычисляет хэш-функцию h(М) подписываемого текста М. Вычисленное значение хэш-функции h(М) представляет собой один короткий блок информации m, характеризующий весь текст М в целом. Затем число m шифруется секретным ключом отправителя. Получаемая при этом пара чисел представляет собой ЭП для данного текста М.

При проверке ЭП получатель сообщения снова вычисляет хэш-функцию m = h(М) принятого по каналу текста М, после чего при помощи открытого ключа отправителя проверяет, соответствует ли полученная подпись вычисленному значению m хэш-функции.

Принципиальным моментом в системе ЭП является невозможность подделки ЭП пользователя без знания его секретного ключа подписывания.

Схематично процедуры постановки подписи и ее проверки можно представить следующим образом:

 


В качестве подписываемого документа может быть использован любой файл. Подписанный файл создается из неподписанного путем добавления в него одной или более электронных подписей.

Каждая подпись содержит следующую информацию:

дату подписи;

срок окончания действия ключа данной подписи;

информацию о лице, подписавшем файл (Ф.И.0., должность, краткое наименование фирмы);

идентификатор подписавшего (имя открытого ключа);

собственно цифровую подпись.


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-04-11; Просмотров: 1016; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.021 с.)
Главная | Случайная страница | Обратная связь