Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Правовое обеспечение электронной цифровой подписи
Правовое обеспечение электронной цифровой подписи следует понимать не только как совокупность нормативно-правовых актов, обеспечивающих правовой режим ЭЦП и средств ЭЦП. Это гораздо более широкое понятие. Оно лишь начинается с государственного закона об электронной цифровой подписи, но развивается далее и впоследствии охватывает все теоретические и практические вопросы, связанные с электронной коммерцией вообще.
Становление законодательства об электронной подписи
Первый в мире закон об электронной цифровой подписи был принят в марте 1995 г. Законодательным собранием штата Юта (США) и утвержден Губернатором штата. Закон получил название Utah Digital Signature Act. Ближайшими последователями штата Юта стали штаты Калифорния, Флорида, Вашингтон, где вскоре тоже были приняты соответствующие законодательные акты. В качестве основных целей первого закона об электронной подписи были провозглашены: § минимизация ущерба от событий незаконного использования и подделки электронной цифровой подписи; § обеспечение правовой базы для деятельности систем и органов сертификации и верификации документов, имеющих электронную природу; § правовая поддержка электронной коммерции (коммерческих операций, совершаемых с использованием средств вычислительной техники); § придание правового характера некоторым техническим стандартам, ранее введенным Международным союзом связи (ITU — International Telecommunication Union) и Национальным институтом стандартизации США (ANSI — American National Standards Institute), а также рекомендациям Наблюдательного совета Интернета (IAB — Internet Activity Board), выраженным в документах RFC 1421 — RFC 1424. Закон состоит из пяти частей: 1. В первой части вводятся основные понятия и определения, связанные с использованием ЭЦП и функционированием средств ЭЦП. Здесь же рассматриваются формальные требования к содержательной части электронного сертификата, удостоверяющего принадлежность открытого ключа юридическому или физическому лицу. 2. Вторая часть закона посвящена лицензированию и правовому регулированию деятельности центров сертификации. Прежде всего, здесь оговорены условия, которым должны удовлетворять физические и юридические лица для получения соответствующей лицензии, порядок ее получения, ограничения лицензии и условия ее отзыва. Важным моментом данного раздела являются условия признания действительности сертификатов, выданных нелицензированными удостоверителями, если участники электронной сделки выразили им совместное доверие и отразили его в своем договоре. Фактически здесь закрепляется правовой режим сетевой модели сертификации, рассмотренной нами выше. Кроме того, во второй части закона определен порядок квалификации центров сертификации и контроля за их деятельностью посредством внешнего аудита. Здесь же рассмотрены практические вопросы, связанные с ведением регистров изданных сертификатов и порядком прекращения деятельности центра сертификации. 3. В третьей части закона сформулированы обязанности центров сертификации и владельцев ключей. В частности, здесь рассмотрены: • порядок выдачи сертификата; • порядок предъявления сертификата и открытого ключа; • условия хранения закрытого ключа; • действия владельца сертификата при компрометации закрытого ключа; • порядок отзыва сертификата; • срок действия сертификата; • условия освобождения центра сертификации от ответственности за неправомерное использование сертификата и средств ЭЦП; • порядок создания и использования страховых фондов, предназначенных для компенсации ущерба третьим лицам, возникшего в результате неправомочного применения ЭЦП. 4. Четвертая часть закона посвящена непосредственно цифровой подписи. Ее основное положение заключается в том, что документ, подписанный цифровой подписью, имеет ту же силу, что и обычный документ, подписанный рукописной подписью. 5. В пятой части закона рассмотрены вопросы взаимодействия центров сертификации с административными органами власти, а также порядок функционирования так называемых репозитариев — электронных баз данных, в которых хранятся сведения об изданных и отозванных сертификатах. В целом закон об ЭЦП штата Юта отличается от других аналогичных правовых актов высокой подробностью.
Закон об электронной подписи Германии
Германский закон об электронной подписи (Signaturgesetz) был введен в действие в 1997 г. и стал первым европейским законодательным актом такого рода. Целью закона объявлено создание общих условий для такого применения электронной подписи, при котором ее подделка или фальсификация подписанных данных могут быть надежно установлены. В Законе прослеживаются следующие основные направления: • установление четких понятий и определений; • подробное регулирование процедуры лицензирования органов сертификации и процедуры сертификации открытых ключей пользователей средств ЭЦП (правовой статус, порядок функционирования центров сертификации, их взаимодействие с государственными органами и другими центрами сертификации, требования к сертификату открытого ключа электронной подписи); • рассмотрение вопросов защищенности цифровой подписи и данных, подписанных с ее помощью, от фальсификации; • порядок признания действительности сертификатов открытых ключей. По своему духу германский Закон об электронной подписи является регулирующим.
Закон об электронной подписи США
К моменту написания данной книги Федеральный Закон США об электронной подписи принят Конгрессом, но еще не вступил в действие (он вступает в силу 1 октября 2000 г.). В отличие от аналогичного закона Германии, Федеральный Закон об электронной подписи США является координирующим правовым актом. Это связано с тем, что ко времени его принятия соответствующее регулирующее законодательство уже сложилось в большинстве отдельных штатов. Как видно из названия Закона (Electronic Signatures in Global and National Commerce Act), его основное назначение состоит в обеспечении правового режима цифровой электронной подписи в электронной коммерции. Подписание Закона Президентом США состоялось в день национального праздника — 4 июля 2000 г. (День независимости), что должно придать этому законодательному акту особое значение. По мнению обозревателей принятие данного закона символизирует вступление человечества в новую эру — эру электронной коммерции. По содержанию Закон отличается краткостью. Он вводит ограниченное число основных понятий, устанавливает правовой режим электронной подписи и определяет компетенцию государственных органов, ответственных за функционирование ее инфраструктуры. Не сосредоточиваясь на конкретных правах и обязанностях центров сертификации, которым уделяется особое внимание в законодательствах других стран, Федеральный Закон США относит их к понятию инфраструктура ЭЦП и в самых общих чертах оговаривает взаимодействие элементов этой структуры с правительственными органами.
Проект закона об электронной подписи Российской Федерации
В России Федеральный Закон об электронной подписи в настоящее время еще не принят, но с его основными положениями можно познакомиться на примере проекта. Согласно проекту, Закон состоит из пяти глав и содержит более двадцати статей. 1. В первой главе рассмотрены общие положения, относящиеся к Закону. Как и аналогичные законы других государств, российский законопроект опирается на несимметричную криптографию. Основной целью Закона провозглашается обеспечение правовых условий для применения ЭЦП в электронном документообороте и реализации услуг по удостоверению ЭЦП участников договорных отношений. 2. Во второй главе рассмотрены принципы и условия использования электронной подписи. Здесь, во-первых, выражена возможность, а во-вторых, приведены условия равнозначности рукописной и электронной подписи. Кроме того, особо акцентировано внимание на характерных преимуществах ЭЦП: • лицо может иметь неограниченное количество закрытых ключей ЭЦП, то есть, создать себе разные электронные подписи и использовать их в разных условиях; • все экземпляры документа, подписанные ЭЦП, имеют силу оригинала. Проект российского Закона предусматривает возможность ограничения сферы применения ЭЦП. Эти ограничения могут накладываться федеральными законами, а также вводиться самими участниками электронных сделок и отражаться в договорах между ними. Интересно положение статьи о средствах ЭЦП, в которой закрепляется утверждение о том, что «средства ЭЦП не относятся к средствам, обеспечивающим конфиденциальность информации». На самом деле это не совсем так. По своей природе средства ЭЦП, основанные на механизмах несимметричной криптографии, конечно же, могут использоваться для защиты информации. Возможно, это положение включено для того, чтобы избежать коллизий с другими нормативными актами, ограничивающими применение средств криптографии в обществе. Важным отличием от аналогичных законов других государств является положение российского законопроекта о том, что владелец закрытого ключа несет ответственность перед пользователем соответствующего открытого ключа за убытки, возникающие в случае ненадлежащим образом организованной охраны закрытого ключа. Еще одной отличительной чертой российского законопроекта является список требований к формату электронного сертификата. Наряду с общепринятыми полями, рассмотренными нами выше, российский законодатель требует обязательного включения в состав сертификата наименования средств ЭЦП, с которыми можно использовать данный открытый ключ, номер сертификата на это средство и срок его действия, наименование и юридический адрес центра сертификации, выдавшего данный сертификат, номер лицензии этого центра и дату ее выдачи. В зарубежном законодательстве и в международных стандартах мы не находим требований столь подробного описания программного средства ЭЦП, с помощью которого генерировался открытый ключ. По-видимому, это требование российского законопроекта продиктовано интересами безопасности страны.
► Массовое применение программного обеспечения, исходный код которого не опубликован и потому не может быть исследован специалистами, представляет общественную угрозу. Это относится не только к программным средствам ЭЦП, но и вообще к любому программному обеспечению, начиная с операционных систем и заканчивая прикладными программами.
Россия не единственная страна в мире, проявляющая осторожность в вопросе применения на своей территории закрытых программных средств с неопубликованным содержанием, не прошедшим всесторонней проверки в виде исходного кода. Беспечность в этом вопросе может приводить к стратегическому ущербу не только в смысле государственной, но и в смысле экономической безопасности. Такую же осторожность проявляют Франция, Китай и некоторые другие страны. 3. В третьей главе рассмотрен правовой статус центров сертификации (в терминологии законопроекта — удостоверяющих центров открытых ключей электронной подписи). В России оказание услуг по сертификации электронной подписи является лицензируемым видом деятельности, которым могут заниматься только юридические лица. Удостоверение электронной подписи государственных учреждений могут осуществлять только государственные удостоверяющие центры. Законопроект предусматривает материальную ответственность удостоверяющего центра за убытки лиц, пострадавших в результате доверия к сведениям, указанным в сертификате, которые центр был обязан проверить и подтвердить. Эта ответственность исчисляется в размере реального ущерба и не включает штрафные санкции, упущенную выгоду, возмещение морального вреда. По своему характеру структура органов сертификации — централизованная иерархическая. 4. Содержание четвертой главы российского законопроекта определяет самые общие черты порядка использования электронной цифровой подписи. Важным положением этой главы является то, что в корпоративных информационных системах использование ЭЦП может регламентироваться внутренними нормативными документами системы, соглашениями между участниками системы или между ее владельцами и пользователями. Указанные нормативные документы или соглашения должны содержать положения о правах, обязанностях и ответственности лиц, использующих ЭЦП, а также о распределении рисков убытков при использовании недостоверной ЭЦП между участниками системы. 5. Пятая глава законопроекта называется «Заключительные положения» и рассматривает: • вопросы признания иностранных сертификатов на открытые ключи электронной подписи; • вопросы использования документов, подписанных ЭЦП, в судебном разбирательстве; • ответственность за нарушение законодательства при использовании ЭЦП; • порядок разрешения споров.
Международное признание электронной подписи
Важный шаг в деле координации законодательств различных государств в области электронной цифровой подписи предприняла Комиссия Организации Объединенных Наций по международному торговому праву (UNCITRAL). Она разработала модельный закон, который предлагается использовать в качестве основы при разработке национальных законодательств. Этот закон был опубликован в 1995 г. Сегодня в большинстве национальных законодательных актов вопрос международного признания электронной подписи (и связанных с ней ключей и их сертификатов) обеспечивается включением соответствующих положений. В частности, обычно в них говорится, что электронная подпись, которая может быть проверена открытым ключом, имеющим иностранный сертификат, признается таковой, если с государством, орган которого выдал сертификат, имеется договор о признании таких свидетельств. Однако существуют и другие интересные правовые конструкции. Так, например, в Своде правительственных актов штата Калифорния (California Government Code) сказано, что «...цифровая подпись — это электронный идентификатор, созданный средствами вычислительной техники, обладающий всеми необходимым атрибутами полноценной общепризнанной подписи, как то: уникальностью и возможностью проверки; находящийся в нераздельном распоряжении своего владельца, связанный с документом таким образом, что при изменении документа подпись нарушается, а также признанный в качестве стандартного по крайней мере двумя из следующих организаций: • Международный союз связи ITU; • Национальный институт стандартизации США ANSI; • Наблюдательный совет Интернета IAB; • Национальный институт технологии и науки США NIST; • Международная организация по стандартизации ISO». Это пример гибкого подхода к признанию международных документов, подписанных электронной подписью.
Практическое занятие
На этом занятии мы отработаем приемы практической работы с программным средством ЭЦП. В качестве учебного средства используется программа Pretty Good Privacy (PGP), получить которую можно на одном из многочисленных серверов, поставляющих бесплатное и условно-бесплатное программное обеспечение. В России имеются нормативно-правовые акты, ограничивающие эксплуатацию нелицензированных программных средств, основанных на криптографии. В связи с этим правовой режим практической эксплуатации программы PGP на территории России в настоящее время не определен. В данном случае речь идет только об ее использовании в качестве наиболее доступной учебной модели.
Упражнение 9.1. Создание ключей в системе PGP 15 мин
Это и последующие упражнения предполагают, что на компьютере установлена программа PGP, автоматически стартующая при запуске операционной системы. 1. Щелкните на значке PGPtray на панели индикации правой кнопкой мыши и выберите в контекстном меню пункт PGPkeys. Откроется окно служебного средства PGPkeys. 2. Щелкните на кнопке Generate new keypair (Сгенерировать новую пару ключей). Произойдет запуск Мастера генерации ключей (Key Generation Wizard). Щелкните на кнопке Далее. 3. Введите свое полное имя в поле Full name (Полное имя) и свой адрес электронной почты в поле Email address (Адрес электронной почты). Открытые ключи, не содержащие полной и точной информации, не воспринимаются всерьез. Щелкните на кнопке Далее. 4. Установите переключатель Diffie-Hellman/DSS. Это более современный алгоритм генерации пары ключей. Щелкните на кнопке Далее. 5. Установите переключатель 2048 bits (2048 бит), определяющий длину ключа. Щелкните на кнопке Далее. (По надежности ключ такой длины соответствует примерно 128-битному ключу для симметричного шифрования.) 6. Для данного упражнения установите переключатель Key pair never expires (Пара ключей действует бессрочно). На практике рекомендуется задавать ограниченный срок действия ключей. Щелкните на кнопке Далее. 7. Дважды введите произвольную парольную фразу (Passphrase) в соответствующие поля. Так как в данном случае реальная секретность не существенна, можно сбросить флажок Hide Typing (Скрыть ввод), чтобы вводимый текст отображался на экране. Рекомендуется, чтобы парольная фраза легко запоминалась, но при этом содержала пробелы, буквы разного регистра, цифры, специальные символы. Качество (трудность подбора) ключевой фразы отображается с помощью индикатора Passphrase Quality (Качество ключевой фразы). Удобно использовать какую-нибудь известную цитату или пословицу на русском языке, но вводить ее в латинском регистре. После того как парольная фраза введена дважды, щелкните на кнопке Далее. 8. Просмотрите за процессом генерации пары ключей, что может занять до нескольких минут. После появления сообщения Complete (Готово) щелкните на кнопке Далее. Затем может потребоваться еще несколько щелчков на кнопках Далее и, в конце, Готово, чтобы завершить создание ключей (публикацию ключа на сервере выполнять не следует). 9. Посмотрите, как отображается только что созданный ключ в списке Keys (Ключи). Убедитесь, что этот ключ автоматически подписывается его создателем, который, как предполагается, абсолютно доверяет самому себе. 10. Щелкните на ключе правой кнопкой мыши и выберите в контекстном меню пункт Key Properties (Свойства ключа). Ознакомьтесь со свойствами ключа, в том числе с «отпечатком» (fingerprint), предназначенным для подтверждения правильности ключа, например по телефону. Убедитесь, что установлен флажок Implicit Trust (Полное доверие), указывающий, что вы доверяете владельцу данного ключа, то есть самому себе.
► В этом упражнении мы научились создавать пару ключей, используемых для несимметричного шифрования в системе PGP. Мы также познакомились с механизмом доверия, используемым для подтверждения подлинности ключей.
Упражнение 9.2. Передача открытого ключа PGP корреспондентам 20 мин 1. Щелкните на значке PGPtray на панели индикации правой кнопкой мыши и выберите в контекстном меню пункт PGPkeys. Откроется окно служебного средства PGPkeys. 2. Выберите в списке ключ, который планируется передать корреспонденту, и дайте команду Edit → Copy (Правка → Копировать). 3. Запустите используемую по умолчанию программу электронной почты. Далее мы будем предполагать, что это программа Outlook Express (Пуск → Программы → Outlook Express). 4. Щелкните на кнопке Создать сообщение. В окне создания нового сообщения введите условный адрес корреспондента, тему сообщения (например, Мой открытый ключ) и произвольный текст сообщения, объясняющий его назначение. 5. Поместите курсор в конец сообщения и щелкните на кнопке Вставить на панели инструментов. Убедитесь, что в текст сообщения был вставлен символьный блок, описывающий открытый ключ. Сохраните сообщение (отправлять его не обязательно). 6. Проверьте, можно ли перенести ключ в сообщение электронной почты методом перетаскивания. 7. Теперь предположим, что только что созданное сообщение на самом деле было получено по электронной почте. Порядок действий в этом случае очень похож на тот, который использовался для отправки ключа. 8. Выделите текст ключа, включая специальные строки, описывающие его начало и конец. 9. Скопируйте ключ в буфер обмена с помощью комбинации клавиш CTRL+C. 10. Переключитесь на программу PGPkeys. 11. Нажмите комбинацию клавиш CTRL+V. В открывшемся диалоговом окне щелкните на кнопке Select All (Выбрать все), а затем на кнопке Import (Импортировать). 12. В самом окне PGPkeys вы после этого никаких изменений не обнаружите, так как соответствующий ключ уже хранится на данном компьютере. 13. На самом деле, пересылать ключи по электронной почте не вполне корректно, так как в таком случае корреспондент имеет естественное право на сомнение: действительно ли ключ поступил от вас. Ключ можно сохранить в файле и передать корреспонденту лично, при встрече. 14. Чтобы экспортировать ключ в файл, выберите его и дайте команду Keys → Export (Ключи → Экспортировать). 15. Выберите каталог и укажите имя файла. Щелкните на кнопке Сохранить, чтобы записать ключ в текстовый файл. 16. Самостоятельно выполните импорт ключа, сохраненного в файле, как минимум двумя разными способами.
► В этом упражнении мы научились передавать открытые ключи системы PGP своим корреспондентам, а также получать ключи для расшифровки поступающих сообщений. Мы узнали, что ключ может передаваться по электронной почте или, что предпочтительнее, при личной встрече. Мы также выяснили, что ключ, фактически, представляет собой длинную последовательность алфавитно-цифровых символов.
Упражнение 9.3. Передача защищенных и подписанных сообщений с помощью системы PGP 20 мин 1. Запустите программу Outlook Express (Пуск → Программы → Outlook Express). 2. Щелкните на кнопке Создать сообщение. В окне создания нового сообщения введите адрес электронной почты, использованный при создании пары ключей, в качестве адреса отправителя, а также произвольные тему и текст сообщения. 3. Обратите внимание, что на панели инструментов в окне создания сообщения имеются кнопки Encrypt (PGP) (Зашифровать) и Sign (PGP) (Подписать), действующие в качестве переключателя. Щелкните на кнопке Sign (PGP) (Подписать), чтобы она была включена. Убедитесь, что шифрование отключено. 4. Щелкните на кнопке Отправить. Подключения к Интернету не требуется, так как мы будем анализировать получившееся сообщение в папке Исходящие. В открывшемся диалоговом окне введите парольную фразу, заданную при создании ключей, и щелкните на кнопке ОК. 5. Откройте папку Исходящие и выберите только что созданное сообщение. Просмотрите его текст. Обратите внимание на добавленные служебные строки и электронную подпись в виде последовательности символов, не имеющей видимой закономерности. 6. Выделите весь текст сообщения и нажмите комбинацию клавиш CTRL+C. Щелкните правой кнопкой мыши на значке PGPtray на панели индикации и выберите в контекстном меню команду Clipboard → Decrypt & Verify (Буфер обмена → Расшифровать и проверить). В открывшемся диалоговом окне обратите внимание на сообщение *** PGP Signature Status: good, указывающее на целостность сообщения. 7. Откройте это сообщение, внесите произвольные (большие или небольшие) изменения в текст сообщения или в саму подпись, после чего выполните повторную проверку, как описано в п. 6. Убедитесь, что программа PGP обнаружила нарушение целостности сообщения. 8. Создайте новое сообщение, как описано в п. 2. На этот раз включите обе кнопки: Encrypt (PGP) (Зашифровать) и Sign (PGP) (Подписать). Выполните отправку сообщения, как описано в п. 4. 9. Посмотрите, как выглядит отправленное сообщение в папке Исходящие. Убедитесь, что посторонний не может прочесть его. 10. Скопируйте текст зашифрованного сообщения в буфер обмена и выполните его расшифровку, как показано в п. 6. По запросу введите парольную фразу. Убедитесь, что при этом как отображается текст исходного сообщения, так и выдается информация о его целостности. 11. Щелкните на кнопке Copy to Clipboard (Копировать в буфер обмена), чтобы поместить расшифрованный текст в буфер обмена. 12. Вставьте расшифрованный текст в любом текстовом редакторе и сохраните его как файл.
► В этом упражнении мы научились отправлять по электронной почте сообщения, снабженные электронной цифровой подписью, а также зашифрованные сообщения. Мы узнали, что при шифровании сообщения используется открытый ключ получателя, а при создании цифровой подписи — закрытый ключ отправителя. Это гарантирует, что получатель сообщения сможет получить необходимую информацию, а никому постороннему она не будет доступна.
Упражнение 9.4. Шифрование данных на жестком диске при помощи системы PGP 20 мин
Система PGP может также использоваться для защищенного хранения файлов на жестком диске. Для шифрования и расшифровки файлов могут использоваться различные механизмы. 1. С помощью текстового процессора WordPad создайте произвольный документ и сохраните его под именем pgp-test.doc. Можно также скопировать под этим именем какой-либо из уже существующих файлов документов. 2. Откройте этот документ в программе WordPad и дайте команду Правка → Выделить все. Нажмите комбинацию клавиш CTRL+C. 3. Щелкните правой кнопкой мыши на значке PGPtray на панели индикации и выберите в контекстном меню команду Clipboard → Encrypt & Sign (Буфер обмена → Зашифровать и подписать). 4. В открывшемся диалоговом окне перетащите созданный вами ключ в список Recipients (Получатели) и щелкните на кнопке ОК. 5. Введите парольную фразу, используемую для электронной подписи, и щелкните на кнопке ОК. 6. Вернитесь в программу WordPad, нажмите клавишу DELETE и далее комбинацию CTRL+V. Сохраните документ под именем pgp-test-clp.doc. Закройте программу WordPad. 7. Любым способом запустите программу Проводник и откройте папку, в которой лежит файл pgp-test.doc. 8. Щелкните правой кнопкой мыши на значке файла и выберите в контекстном меню команду PGP → Encrypt & Sign (PGP → Зашифровать и подписать). Далее действуйте в соответствии с пп. 4-5. 9. Убедитесь, что в папке появился файл pgp-test.doc.pgp. 10. Теперь расшифруем созданные файлы. Запустите программу WordPad и откройте файл pgp-test-clp. doc. 11. Щелкните правой кнопкой мыши на значке PGPtray на панели индикации и выберите в контекстном меню команду Current Window → Decrypt & Verify (Текущее окно → Расшифровать и проверить). 12. Введите парольную фразу и щелкните на кнопке ОК. 13. В открывшемся диалоговом окне Text Viewer (Просмотр текста) щелкните на кнопке Copy to Clipboard (Скопировать в буфер обмена). 14. Вставьте текст в окно программы WordPad и сохраните полученный файл. 15. Откройте программу Проводник и разыщите файл pgp-test.doc.pgp. Дважды щелкните на его значке. 16. Введите парольную фразу и щелкните на кнопке ОК. 17. Так как оригинал файла не был уничтожен, программа предложит указать, под каким именем следует сохранить файл. Введите это имя по своему усмотрению.
► Мы научились отправлять файлы на защищенное хранение, шифруя их при помощи программы PGP. Мы выяснили, что для текстовых данных эту операцию можно применять непосредственно в текущем окне редактора или к данным, находящимся в буфере обмена. Для произвольных файлов выполнить шифрование можно через контекстное меню. Мы также узнали, как расшифровывать зашифрованные файлы, используя разные способы.
Популярное:
|
Последнее изменение этой страницы: 2017-03-09; Просмотров: 1694; Нарушение авторского права страницы