Цифровая подпись документооборот. Электронная цифровая подпись - верное решение проблем документооборота

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Российский новый университет

по дисциплине «Правовая информатика»

«Электронный документооборот и электронная цифровая подпись»

г. Воскресенск,

Введение

1. Электронный документооборот

2. Электронная цифровая подпись

Заключение

Список литературы

Введение

Электронный обмен данными - это реальность, с которой сегодня сталкивается практически каждый. Информационные системы, компьютерные сети, электронная почта - вот далеко не полный перечень тех средств, с помощью которых происходит обмен данными в электронном виде.

В последнее десятилетие появились и получили распространение новые инструментальные средства эффективного обеспечения управленческих процессов. В том числе речь идет о программном обеспечении, предназначенном для обработки управленческих документов. Здесь, прежде всего, следует упомянуть программное обеспечение классов «системы управления документами» и «системы управления деловыми процессами».

При написании работы предстоит:

раскрыть понятие электронного документа и электронного документооборота;

сформулировать цели и способы организации электронного документооборота;

сформулировать проблемы, возникающие с введением в практику электронного документооборота и электронной цифровой подписи.

1. Электронный документооборот

Системы электронного документооборота представляют собой программные комплексы, применимые для решения ряда задач, в том числе и для построения корпоративных систем электронного документооборота. В рамках автоматизации процесса обработки документа в организации с момента его создания или получения до момента отправки корреспонденту или завершения исполнения и списания в дело должно быть обеспечено решение следующих функций:

регистрация входящих в организацию документов, исходящих из организации документов и внутренних документов;

учет резолюций, выданных по документам руководством организации, и постановка документов на контроль;

централизованный контроль исполнения документов;

списание документов в дело;

ведение информационно-справочной работы;

формирование делопроизводственных отчетов по организации в целом.

Использование системы электронного документооборота позволяет организовать передачу данных о ходе исполнения документов в электронном виде, что качественно меняет организацию контроля исполнения документов. Карточки зарегистрированных централизованно документов с резолюциями руководства рассылаются в электронном виде сотрудникам соответствующих подразделений. Они дополняют их резолюциями по исполнению документов, выдаваемыми руководителями структурных подразделений. По мере появления данных о ходе исполнения документов эти данные вносятся в систему. При этом система автоматически отслеживает наступление даты предварительного уведомления о приближении срока исполнения и наступление самого этого срока. Заинтересованные пользователи системы информируются о названных сроках.

Также значительно видоизменяется процесс согласования проектов документов, в рамках которого сотрудники, участвующие в процессе согласования, получают возможность обмениваться электронными версиями согласуемых проектов. Такая технология позволяет сократить время, затрачиваемое на передачу проектов в бумажном виде.

Система электронного документооборота обязательно включает текущий электронный архив, который решает проблемы оперативного доступа к информации и наличия возможности одновременного использования документа несколькими сотрудниками. Такая форма организации хранения значительно снижает вероятность потери информации и повышает оперативность работы за счет сокращения времени поиска нужного документа. Хранение текстов документов в электронном виде позволяет реализовывать полнотекстовый поиск, что открывает принципиально новые возможности при ведении информационно-справочной работы, например, позволяет делать тематические подборки документов по их содержанию. Использование электронного архива избавляет от необходимости создавать фонд пользования архивных документов, так как по запросу в любой момент может быть выдана электронная копия документа.

С юридической точки зрения понятие электронного документооборота отличается от понятия электронного обмена данными. В основе первого лежит легитимность (процессуальная допустимость и доказательственная сила) электронных документов. Поэтому наряду с совершенствованием информационных технологий важную роль в процессе создания инфраструктуры электронного документооборота должна сыграть его законодательная поддержка, суть которой состоит в придании данным, создаваемым и передаваемым электронным способом, юридического статуса документа.

Основной функцией традиционного документа является удостоверение некоторой информации. При составлении и использовании документа присутствуют два аспекта: во-первых, некоторая информация, а во-вторых, сам документ как материальная вещь, которую можно предъявить или передать. Наличие этой материальной вещи позволяет подтвердить истинность информации, содержащейся в документе. Возможно, для подтверждения истинности необходимо проделать некую процедуру - экспертизу по проверке подлинности документа.

Саму информацию, содержащуюся в документе, тоже можно разделить на две части. Первая часть - непосредственно содержание, вторая - вспомогательная информация, которая дает возможность установить его аутентичность (подлинность). К ней относятся реквизиты типа исходящего номера, подписей и печатей.

В состав информации, как содержательной, так и о носителе, могут входить и данные о времени, условиях и месте составления документа.

Необходимо также отметить, что в случае бумажного документа оригинал существует в ограниченном, известном заранее количестве экземпляров. Например, может быть указано, что договор совершен в трех экземплярах, имеющих равную силу. Любой дополнительный экземпляр явится копией, что в принципе может быть проверено путем проведения соответствующей экспертизы.

В ряде случаев существенно наличие именно оригинала документа. Например, продажа акции, выпущенной в документарной форме, вовсе не равносильна продаже копии ее сертификата, даже заверенной нотариально.

Таким образом, документ выполняет следующие функции:

фиксация некоторой (содержательной) информации;

фиксация лица, подписавшего документ;

фиксация условий составления документа;

доказательство в судебном разбирательстве;

функция оригинала, обеспечиваемая его уникальностью.

2. Электронная цифровая подпись

Электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. 3 Закона об ЭЦП).

С юридической точки зрения электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при соблюдении определенных условий (ст. 4 Закона об ЭЦП).

Рассмотрим особенности электронной цифровой подписи. В отличие от рукописной подписи электронная цифровая подпись имеет не физическую, а логическую природу - это просто последовательность символов, которая позволяет однозначно связать лицо, подписавшее документ, содержание документа и владельца ЭЦП. Логический характер электронной подписи делает ее независимой от материальной природы документа. С ее помощью можно подписывать документы, имеющие электронную природу (исполненные на магнитных, оптических, кристаллических и иных носителях, распределенные в компьютерных сетях и т.п.).

Согласно Закону ЭЦП должна решать следующие задачи: защиту электронного документа от подделки, установление отсутствия искажений информации в электронном документе, идентификацию владельца сертификата ключа подписи (ст. 3).

Таким образом, ЭЦП должна обеспечить идентификацию (документ подписан определенным лицом) и аутентификацию (содержание не претерпело изменений с момента его подписания) электронного документа.

Однако следует отметить, что сущность же ЭЦП такова, что она не может непосредственно характеризовать владельца ЭЦП как личность. Связь же между ЭЦП и человеком, ее проставившим, носит не биологический, а социальный характер. Возникновение, существование и прекращение данной связи обусловлены совокупностью различных правовых, организационных и технических факторов.

Определение подлинности ЭЦП свидетельствует только о знании лицом, ее проставившим, закрытого ключа ЭЦП. Для того чтобы выяснить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо установить помимо факта подлинности ЭЦП и идентификацию человека, ее поставившего. Идентификация человека в традиционном понимании, как это происходит по личной подписи, непосредственно по ЭЦП невозможна. Доказать, что именно данное лицо заверило электронный документ ЭЦП, можно в результате процессуальной деятельности по доказыванию в ходе судебного разбирательства в соответствующем виде процесса.

Независимость ЭЦП от носителя позволяет использовать ее в электронном документообороте. При использовании ЭЦП возможны договорные отношения между удаленными юридическими и физическими лицами без прямого или опосредованного физического контакта. Это свойство ЭЦП лежит в основе электронной коммерции.

Логическая природа ЭЦП позволяет не различать копии одного документа и сделать их равнозначными. Снимается естественное различие между оригиналом документа и его копиями, полученными в результате тиражирования (размножения).

Механизм обслуживания ЭЦП основан на программных и аппаратных средствах вычислительной техники, поэтому он хорошо автоматизируется. Все стадии обслуживания (создание, применение, удостоверение и проверка ЭЦП) автоматизированы, что значительно повышает эффективность документооборота. Вместе с тем автоматизация хоть и способствует повышению производительности труда, она выводит механизм подписи из-под контроля естественными методами (например, визуальными) и может создавать иллюзию благополучия. Поэтому для использования ЭЦП необходимо специальное техническое, организационное и правовое обеспечение.

Техническое обеспечение электронной цифровой подписи основано на использовании методов криптографии.

Любой документ можно рассматривать как уникальную последовательность символов. Изменение хотя бы одного символа в последовательности будет означать, что в результате получится уже совсем другой документ, отличный от исходного.

Чтобы последовательность символов, представляющих документ, могла, во-первых, идентифицировать ее отправителя, а во-вторых, подтвердить ее неизменность с момента отправления, она должна обладать уникальными признаками, известными только отправителю и получателю сообщения. Для этого используются различные средства шифрования, создаваемые и изучаемые наукой криптографией.

Для шифрования и дешифрования информации необходимо знать метод и ключ шифрования.

Метод шифрования - это формальный алгоритм, описывающий порядок преобразования исходного сообщения в результирующее. Ключ шифрования - это набор параметров (данных), необходимых для применения метода. Так, например, буквы любой последовательности символов можно заменить на соответствующие комбинации цифр - это метод шифрования. А конкретное указание, какую букву заменить, на какую последовательность цифр, является ключом.

Существуют симметричные и несимметричные методы шифрования.

Симметричный метод шифрования состоит в том, что партнер создает ключ шифрования, который передает другому партнеру. Сообщение шифруется и дешифруется одним ключом. Этот алгоритм трудно напрямую использовать, например, в электронной коммерции, так как возникает проблема идентификации удаленного партнера.

Несимметричная (асимметричная) криптография использует специальные математические методы. В результате применения этих методов создается пара ключей: то, что зашифровано одним ключом, может быть дешифровано другим, и наоборот. Владелец ключей один оставляет у себя, а другой может распространить, например, прямой рассылкой через Интернет. Ключ, оставленный у владельца, называется закрытым или личным, другой - открытым или публичным.

Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи (ст. 3 Закона об ЭЦП).

Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе (ст. 3 Закона об ЭЦП).

Закрытый ключ может быть скомпрометирован различными способами:

хищение ключа путем копирования в результате несанкционированного доступа к оборудованию (прямого или удаленного), на котором он хранится;

получение ключа путем ответа на запрос, использованный с признаками мошенничества или подлога;

хищение ключа в результате хищения оборудования, на котором он хранится;

хищение ключа в результате сговора с лицами, имеющими право на его использование (даже рядовой факт увольнения сотрудника, имевшего доступ к закрытому ключу организации, рассматривается как компрометация ключа).

Незаконность данных традиционных методов компрометации обеспечивает законодательство.

Это не относится к нетрадиционным методам реконструкции закрытого ключа по исходным данным, полученным вполне легально, в частности по открытому ключу. Возможность реконструкции определяется тем, что открытый и закрытый ключи связаны определенными математическими соотношениями. Теоретически знание открытого ключа дает возможность восстановить закрытый ключ. Однако на практике это связано с наличием специальных программных и аппаратных средств и огромными затратами вычислительного времени. Существует специальная отрасль науки, называемая криптоанализом, которая позволяет воспроизводить зашифрованную информацию и оценить степень защиты информации.

Поскольку от алгоритмов, на основе которых действует средство ЭЦП, зависит надежность и устойчивость документооборота, к средствам ЭЦП предъявляются специальные требования.

Средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.

При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи (п. 2 ст. 5). Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается (п. 3 ст. 5).

Открытый ключ потому и называется открытым, что он доступен каждому из партнеров владельца закрытого ключа. Есть очень простой прием подмены открытого ключа с целью создания ложного канала связи. Допустим, сторона C желает перехватить чужие данные. В этом случае она может с помощью средств ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера B. Тогда все сообщения от партнера А к партнеру B будут легко перехватываться и читаться стороной C, причем ни A, ни B не будут даже догадываться о том, что C участвует в "договорных" отношениях.

Эта форма злоупотребления основана на том, что хотя в открытом ключе и приводятся данные о его владельце, в нем нет средств, удостоверяющих, что эти данные подлинные. Без разрешения этого вопроса механизм ЭЦП не может быть использован ни в электронной коммерции, ни в электронном документообороте.

Таким образом, одним из основополагающих моментов использования электронной цифровой подписи для установления подлинности, целостности и аутентичности документов, хранимых, обрабатываемых и передаваемых с помощью информационных и телекоммуникационных систем, является подтверждение принадлежности открытого ключа ЭЦП конкретному лицу посредством выдачи сертификата ключа подписи. Поэтому значительная часть Закона об ЭЦП посвящена механизму удостоверения личности владельца открытого ключа.

Во всех случаях этот механизм основан на том, что вводится (назначается) дополнительная сторона, удостоверяющая принадлежность открытого ключа конкретному юридическому или физическому лицу. Вопросы: кто именно имеет право удостоверять открытые ключи, когда и как, - в законодательстве различных государств решаются по-разному. В частности, это может быть государственный орган или организация, уполномоченная государством для ведения данной деятельности. Возможно, что для внутреннего документооборота предприятия эту функцию можно поручить лицу, назначенному руководством, а для документооборота внутри ведомства - уполномоченному подразделению.

На практике сертификация открытых ключей выполняется следующим образом.

1. Лицо (юридическое или физическое), создавшее себе пару ключей (открытый и закрытый) с помощью средства ЭЦП, должно обратиться в орган, уполномоченный выполнить сертификацию. Этот орган называется удостоверяющим центром (Закон об ЭЦП).

2. Удостоверяющий центр проверяет принадлежность открытого ключа заявителю и удостоверяет этот факт добавлением к открытому ключу своей подписи, завизированной собственным закрытым ключом.

3. Любой партнер, желающий вступить в контакт с владельцем открытого ключа, может прочитать удостоверяющую запись с помощью открытого ключа удостоверяющего центра. Если целостность этой записи не нарушена, то он может использовать открытый ключ партнера для связи с ним.

Следует четко понимать, что удостоверяющий центр заверяет только факт принадлежности открытого ключа конкретному лицу или организации. Наличие полноценного сертификата открытого ключа говорит о том, что ключ можно использовать для удостоверения личности партнера в договорных отношениях. Но законность этих отношений удостоверяющим центром не подтверждается.

К удостоверяющим центрам предъявляются особые требования. Это обусловлено тем, что участники электронного документооборота не могут проверить корректность осуществления подобными организациями своих функций.

В настоящее время в соответствии с рекомендациями Европейского Совета национальное законодательство стран Европы в части требований к удостоверяющим центрам должно содержать требования одобрения или лицензирования деятельности удостоверяющих центров, проверку соблюдения этими центрами необходимых для их деятельности условий, а также требование к уровню надежности технических и программных средств, используемых этими центрами, и т.д. В части экономического обоснования возможности удостоверяющего центра нести гражданскую ответственность за ненадлежащее исполнение своих обязанностей необходимо выделить три критерия:

наличие собственного минимально установленного капитала, выраженного в абсолютной сумме;

подтверждение этой суммы банковской гарантией;

наличие страховки.

Значительно более трудной представляется задача практического создания в нашей стране инфраструктуры открытых ключей (PKI - Public Key Infrastructure) в системах электронного документооборота и электронной торговли.

Термин "инфраструктура открытых ключей" включает в себя полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования открытых ключей.

Основным компонентом инфраструктуры является собственно система удостоверяющих центров.

Для создания целостной системы удостоверяющих центров необходимо определить модель и общую структуру системы; степень участия в ее построении различных государственных органов и коммерческих структур; используемые при создании информационные технологии.

Иерархический принцип построения государственного управления подразумевает достаточно естественную структуру построения в перспективе системы удостоверяющих центров системы электронного документооборота: от федерального уровня, через региональные центры и до ведомственных структур и конечных пользователей.

В данной модели определяющую роль выполняет совокупность удостоверяющих центров верхнего уровня, которые должны удовлетворять самым высоким требованиям по информационной безопасности. От надежности защиты этого уровня и доверия к нему в большой мере зависит надежность всей системы в целом и степень доверия к ней.

В настоящее время распространение получили две структурные модели системы сертификации - централизованная и децентрализованная.

Централизованная модель имеет иерархический характер и наиболее соответствует потребностям служебного документооборота. Децентрализованная модель имеет сетевой характер и может использоваться, например, в гражданском электронном документообороте.

В основе централизованной модели сертификации находится один уполномоченный орган сертификации. Такой орган называется корневым удостоверяющим центром (корневым центром сертификации).

Если чисто технически корневой центр не может обеспечить все запросы на выдачу и проверку сертификатов, поступающие от юридических и физических лиц, то он может сертифицировать другие дополнительные органы, называемые доверенными удостоверяющими центрами (доверенными центрами сертификации).

Доверенные центры тоже могут удостоверять чужие открытые ключи своими открытыми ключами, но при этом их открытые ключи тоже нуждаются в удостоверении. Их удостоверяет своим закрытым ключом вышестоящий центр сертификации.

Таким образом, участник электронного документооборота, получивший откуда-то открытый ключ неизвестного партнера, может:

установить наличие сертификата, удостоверенного электронной подписью удостоверяющего центра;

проверить действительность подписи центра сертификации в вышестоящем удостоверяющем центре;

если вышестоящий центр тоже является не корневым, а доверенным, то и его подпись можно проверить в вышестоящем центре, и так далее, пока проверка не дойдет до корневого удостоверяющего центра.

Такую проверку надо выполнить только один раз. Убедившись в правомочности корневого удостоверяющего центра, можно настроить свое программное обеспечение так, чтобы в дальнейшем доверие ему выражалось автоматически. И лишь в случаях, когда цепочку сертификатов не удается проследить до ранее проверенного доверенного центра (или до корневого центра), программное oбecпeчение выдаст предупреждение о том, что открытый ключ не имеет удостоверенного сертификата и пользоваться им нельзя.

Сетевая модель сертификации основана на взаимных договоренностях сторон (в последнем случае они будут иметь правовое значение, только если прямо отражены в двусторонних договоpax). Так, например, при отсутствии централизованной структуры доверенных удостоверяющих центров (или параллельно с ней, если законодательство это допускает) могут существовать сетевые модели сертификации. Такие модели охватывают группы юридических и физических лиц, например, по ведомственной принадлежности.

Два юридических или физических лица, вступающих в электронные коммерческие взаимоотношения, могут сами взаимно заверить друг другу открытые ключи, если обменяются ими при личной встрече с предъявлением друг другу учредительных документов или удостоверений личности (для физических лиц). В этом случае у них нет оснований сомневаться в истинной принадлежности открытых ключей.

Однако, например, электронная коммерция строится исходя из того факта, что участники не нуждаются в очной встрече. В этом случае две стороны могут договориться о том, что им взаимно заверит ключи третья сторона, которую они выберут сами. Также могут договориться и прочие участники рынка. В результате возникает сложная структура, в которой все участники связаны, с одной стороны, двусторонними договорными отношениями, а с другой стороны, еще и выполняют функции заверителей для своих традиционных партнеров. С точки зрения отдельного коммерсанта доверие к его открытому ключу будет тем выше, чем большее количество сертификатов он получит от прочих участников рынка.

Заключение

В результате рассмотрения вопроса электронного документооборота и электронной цифровой подписи было раскрыто следующее:

понятие электронного документа и электронного документооборота;

цели и способы организации электронного документооборота;

проблемы, возникающие с введением в практику электронного документооборота и электронной цифровой подписи.

Использование системы электронного документооборота позволяет организовать передачу данных о ходе исполнения документов в электронном виде, что качественно меняет организацию контроля исполнения документов. В тоже время электронная цифровая подпись способствует развитию электронного документооборота, повышается эффективность и скорость процесса документооборота.

Список литературы

1. Федеральный Закон РФ от 10.01.2002 № 1 - ФЗ "Об электронной цифровой подписи"

2. Беззубцев О.А., Мартынов В.Н., Мартынов В.М. Некоторые вопросы правового обеспечения использования ЭЦП // http://www.cio-world.ru/offline/2002/6/21492/.

3. Борохович Л., Монастырская А., Трохова М. Ваша интеллектуальная собственность. СПб.: Питер, 2007. С. 287.

4. Кристальный Б.В., Якушев М.В. Концепция российского законодательства в области Интернета // http://www.vic.spb.ru/law/doc/a84.htm.

5. Никитов В.А. и др. Информационное обеспечение государственного управления. М., 2008. С. 82-116.

6. Ткачев А.В. Законодательное регулирование правового статуса ЭЦП. Основные положения // http://www.confident.ru/magazine/new/18.html.

7. Чубукова С.Г., Элькин В.Д. Основы правовой информатики (юридические и математические вопросы информатики). Учебное пособие / Под ред. М.М. Рассолова. М.: Контракт, 2007.

Подобные документы

Цифровые способы обработки электрических сигналов, передачи и приема их в цифровой форме. Принцип работы автоколебательного мультивибратора. Разработка схемы электрической принципиальной устройства управления. Моделирование электронного коммутатора.

курсовая работа , добавлен 10.12.2012


Механика и принципы методов исследования поверхности твердого тела: вторичная электронная эмиссия; масс-спектрометрия. Принципы работы растрового электронного микроскопа. Разработка алгоритма расчетов секторных магнитов с однородным магнитным полем.

дипломная работа , добавлен 22.02.2012


Вычисление силовых трансформаторов с магнитопроводами типа ОЛ и Ш. Выбор размеров корпуса электронного блока с принудительным охлаждением. Расчет охлаждающей системы, площади радиатора проходного транзистора блока питания и параметров электронного блока.

курсовая работа , добавлен 01.04.2013


Функции микропроцессоров в измерительных приборах. Цифровые вольтметры постоянного тока с время - импульсным преобразованием. Назначение, принцип действия и устройство цифровых частотомера, спидометра, термометра электронного весового оборудования.

реферат , добавлен 10.06.2014


Методика разработки электронных устройств. Исследование основных принципов построения усилительных каскадов. Выбор и расчет электронного транзисторного усилителя с полосой рабочих частот 300Гц – 50кГц. Проведение макетирования и испытания усилителя.

курсовая работа , добавлен 22.01.2013


Проектирование элементов телекоммуникационных систем. Отличительные свойства и преимущества схем на коммутируемых конденсаторах. Расчет передаточной функции фильтра цифровой коррекции и коэффициента усиления. Схемы модуляции и выбор аналоговых ключей.

курсовая работа , добавлен 06.02.2013


Разработка структурной и принципиальной схем электронного тахометра. Изучение принципа работы датчика магнитного поля. Выбор микроконтроллера. Проектирование управляющей программы для микроконтроллера. Адаптация устройства к промышленному применению.

курсовая работа , добавлен 22.01.2015


Назначение электронного вольтметра, принцип его действия, технические характеристики, конструкция и структурная схема. Разработка схемы поверки вольтметра, составляющие погрешностей. Обработка результатов измерений. Безопасности при работе с прибором.

курсовая работа , добавлен 10.06.2013


Назначение основных блоков электронного трансформатора. Выбор входного выпрямителя и фильтра. Расчет трансформатора, мощности разрядного резистора и схемы силового инвертора. Разработка системы управления силовым инвертором. Проектирование блока защиты.

курсовая работа , добавлен 05.03.2015


Теоретические основы методов расчета корректирующих цепей САУ и исследование их устойчивости. Особенности модернизации электронного термометра с использованием корректирующей цепи последовательного типа. Исследование устойчивости типовых звеньев САУ.

Электронная цифровая подпись (ЭП)

Электронно-цифровая подпись в СЭД: что нужно знать?

Сергей Силин
31 января 2007 г. 13:13

Сергей Силин

В последнее время электронно-цифровая подпись (ЭЦП) получает все большее распространение в отечественных корпоративных информационных системах. Однако однобокое, как правило, техническое освещение вопросов применения ЭЦП не позволяет увидеть картину в целом, в силу чего возникла необходимость рассмотреть эту область “с высоты птичьего полета”. Не вдаваясь в детали, интересные только специалистам, мы постараемся рассказать о том, что позволяет и чего не позволяет реализовать электронно-цифровая подпись , а также дать практические рекомендации по применению ЭЦП в системах электронного документооборота, потребность в которых сегодня ощущается все сильнее.

По общему мнению собственноручная подпись на бумажном документе решает следующие задачи:

• убедить читателя в том, что человек, подписавший документ, сделал это сознательно ( подпись достоверна );
• доказать, что именно этот человек, и никто другой, сознательно подписал документ ( подпись неподдельна );
• будучи частью документа, защитить ее от мошеннического переноса в другой документ ( подпись невозможно использовать повторно );
• защитить и сам документ ( подписанный документ невозможно изменить );
• обеспечить материальность подписи и документа, гарантирующую, что человек, подписавший документ, не сможет утверждать впоследствии, что документ подписан не им ( от подписи нельзя отказаться ).

Однако, как показывает практика, собственноручная подпись на бумажном документе по самой своей природе оставляет лазейки для мошенников. Недаром для затруднения их действий на бланки документов наносят специальные защитные знаки, применяют нумерацию и скрепление листов, а кроме того, наряду с самой подписью используют собственноручное написание фамилии, имени, отчества на документе и т. п. Одним словом, при всех ее достоинствах собственноручная подпись обладает и целым рядом недостатков.

Как результат проникновения компьютерных технологий во все сферы человеческой деятельности возникла потребность реализовать аналог собственноручной подписи человека в электронном виде. Эта задача была успешно решена. В основе решения лежат разработанные в середине 1970-х гг. криптографические алгоритмы с открытым ключом, которые базируются на сложном математическом аппарате.

При этом ЭЦП устранила большинство проблем, свойственных подписи на бумажном документе, и обеспечила электронному документу следующие важнейшие характеристики:

• подлинность - подтверждение авторства документа;
• целостность - документ не может быть изменен после подписания;
• неотрицание авторства (неотрекаемость) - автор впоследствии не сможет отказаться от своей подписи. ·

Наиболее широкое применение сегодня ЭЦП находит в документационном обеспечении управления (ДОУ), в платежных системах, электронной торговле и бухгалтерии. Из перечисленных направлений наиболее востребованной и сложной является задача автоматизации ДОУ организаций - главная цель создания систем электронного документооборота (СЭД). Именно на нем мы и сосредоточим свое внимание в статье. Однако прежде необходимо уточнить, что понимается под использованием ЭЦП, имея в виду две основные его схемы:

• подписание электронного сообщения при его передаче и проверка подписи отправителя после получения, то есть защищенная передача документа . Часто подобную схему воспринимают как юридически значимый документооборот , что является глубоким заблуждением. Защита электронного сообщения посредством ЭЦП - вещь, безусловно, полезная и нужная, но для обеспечения полноценного документооборота совершенно недостаточная;
• использование ЭЦП во всем жизненном цикле электронного документа - при его создании, согласовании, утверждении, ознакомлении с ним и т. д. Только в том случае, когда автоматизируется полный жизненный цикл документа и ЭЦП является его неотъемлемой частью, можно говорить об использовании полноценной, т. е. юридически значимой системы электронного документооборота .

Далее будем рассматривать юридически значимые СЭД . Такие системы наиболее востребованы в крупных холдингах, государственных структурах управления, кредитных учреждениях, биржах, страховых компаниях - там, где необходимо в электронном виде документировать принятые решения и нести материальную ответственность в связи с ними.

СЭД с поддержкой ЭЦП: в чем выгоды

Основная отличительная черта СЭД с поддержкой ЭЦП от СЭД без таковой поддержки состоит в том, что электронные документы, снабженные ЭЦП, являются доказательствами: они документируют решение или какой-либо факт. Если при возникновении конфликтной ситуации существует электронный документ , подписанный ЭЦП, то на его основе можно провести расследование внутри организации, а при необходимости - и с привлечением третьей стороны (например, в арбитражном суде). СЭД, не предусматривающие ЭЦП, такой возможности не предоставляют.

Уже сегодня многие внутренние документы организации можно перевести в электронный вид (например, служебные записки, заявки на выделение денежных средств, различные внутренние отчеты, поручения и т. п.). Необходимо разработать нормативно-правовую базу организации, регламентирующую применение ЭЦП. Такой регламент обеспечит электронным документам юридическую силу - возможность представлять их в суде в качестве доказательства. Безусловно, небольшая правоприменительная практика вносит некоторые ограничения в применение ЭЦП, но не является принципиальным барьером для построения в отдельной компании внутреннего юридически значимого электронного документооборота. Действующие лица и исполнители Как следует из вышеизложенного, ЭЦП - это аналог собственноручной подписи человека, применяемый в электронных документах. Электронно-цифровая подпись создается с помощью закрытого ключа - уникальной последовательности символов, которая известна его владельцу и предназначена для создания ЭЦП в электронных документах с использованием соответствующих средств. Получатели электронного документа, подписанного ЭЦП, имеют возможность проверить действительность подписи посредством открытого ключа и убедиться в том, что документ подлинный, а ЭЦП принадлежит именно тому лицу, которое в нем указано. Открытый ключ - это уникальная последовательность символов, которая математически связана с закрытым ключом ЭЦП. Открытый и закрытый ключи образуют так называемую ключевую пару. Открытый ключ доступен любому пользователю информационной системы в составе сертификата ключа. Сертификат ключа является аналогом документа, удостоверяющего личность (например, паспорта). Это документ на бумажном носителе либо электронный документ с ЭЦП уполномоченного лица (сотрудника) удостоверяющего центра. Сертификат ключа помимо открытого ключа ЭЦП содержит идентификационные данные владельца. Сертификат передается пользователю СЭД и выполняет две задачи: подтверждает подлинность ЭЦП и идентифицирует владельца сертификата ключа подписи. И в том и в другом случае используются средства электронно-цифровой подписи - программно-аппаратный комплекс, обеспечивающий реализацию хотя бы одной из следующих функций: создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП; подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе; создание закрытых и открытых ключей ЭЦП. Аналогом третейского судьи, которому доверяют все участники документооборота, является удостоверяющий центр - организационная структура, осуществляющая деятельность по управлению сертификатами ключей и поддержке их использования в различных подсистемах корпоративной информационной системы. Удостоверяющий центр может быть внешней организацией или подразделением той или иной компании. Еще один участник процесса - криптопровайдер. Это программный или аппаратно-программный модуль, реализующий один или несколько криптографических алгоритмов и предоставляющий свои функции внешним системам. Аналогом даты на бумажном документе, которую собственноручно проставляет лицо, подписывающее документ, является штамп времени. Речь идет о свидетельстве третьей доверенной стороны - организационной единицы, носящей название службы штампов времени. СЭД передает туда так называемое хеш-сообщение, которое получается в результате криптографического преобразования документа. На это сообщение служба ставит штамп (средствами своего программно-аппаратного обеспечения), удостоверяющий, что электронный документ существовал на данный момент времени. В результате к хеш-сообщению добавляется значение, указывающее, когда службой штампов времени был получен запрос на проставление штампа времени. Проставляемое значение служба штампов времени подписывает собственной ЭЦП и возвращает документ обратно в СЭД. Совокупность аппаратно-программного обеспечения, а также персонала, политик и процедур, необходимых для создания, хранения, распределения, управления жизненным циклом и использования сертификатов открытых и связанных закрытых ключей называется инфраструктурой открытых ключей (ИОК). Как всегда, все дело в деталях реализации! Выбирая СЭД с поддержкой ЭЦП, следует обратить внимание на особенности реализации выбранной системы. Рассмотрим ключевые аспекты, которые необходимо учитывать. Не только содержание, но и форма Во многих СЭД в качестве электронного документа рассматривается файл какого-либо типа (например, Microsoft Word или Adobe Acrobat), прилагаемый к регистрационной карточке. Хотелось бы обратить внимание на одно обстоятельство: подписание просто файлов (содержательной части документов) не представляет большого интереса для организации. Строго говоря, не вся информация в документе является “неструктурированной”, документ кроме содержательной части содержит реквизиты, которые можно и нужно выделять в отдельную структуру, чтобы в дальнейшем осуществлять по ним поиск и классификацию документов. Во многих ситуациях полезно подписывать не только содержание, но и форму. В этом случае можно отображать на экране компьютера и распечатывать электронный документ в том виде, в котором он был подписан, что позволит избежать всяческих конфликтных ситуаций. Все нюансы бумажного документооборота ЭЦП должна быть равнозначна собственноручной подписи и учитывать все нюансы бумажного делопроизводства. А именно - необходимо, чтобы СЭД позволяла подписать часть документа, поставить подпись в электронном документе последовательно (подписывается документ и все имеющиеся ЭЦП), параллельно (подписывается документ и все ЭЦП нижележащих уровней). На рисунке 3 приведены примеры использования ЭЦП в документе. Подпись “заверяю” - последовательная подпись первого уровня - охватывает только содержательную часть документа (это подпись автора документа). Подписи “согласовано 1” и “согласовано 2” (визы согласующих) - это параллельные подписи второго уровня. Они охватывают содержательную часть документа и подпись первого уровня и при этом не зависят друг от друга. Подпись “утверждаю” (виза руководителя) - последовательная подпись третьего уровня - охватывает содержательную часть документа и все предыдущие подписи. Формат электронного документа Для полноценной реализации ЭЦП система электронного документооборота должна поддерживать формат документа, являющийся канонической формой, к которой будет приводиться любой “электронный документ” в СЭД. С точки зрения удобства работы и перспективы развития и интеграции предпочтительны СЭД, которые для описания формата документа используют язык XML. В настоящий момент международными организациями ведется работа по созданию стандарта формата электронного документа. Штамп времени Важно отметить, что при работе с ЭЦП неизбежно возникает проблема, обусловленная тем, что срок действия любого сертификата ограничен определенным промежутком времени. По истечении срока действия сертификата все созданные при его помощи ЭЦП теряют свое значение, поскольку невозможно определить, была ли ЭЦП создана, когда сертификат еще действовал или когда срок его действия уже закончился. А это, в соответствии с федеральным законом “Об электронно-цифровой подписи”, автоматически означает недействительность ЭЦП. Поэтому внимание заслуживают лишь СЭД, интегрированные со службой штампов времени, которая позволяет в один из атрибутов системы помещать штамп, фиксирующий момент создания ЭЦП. При таком решении имеется возможность проверять ЭЦП с учетом того, действовал ли сертификат в момент создания этой ЭЦП, а не в момент проверки. Однако и этот штамп заверяется ЭЦП службы штампов времени, сертификат которой также имеет ограниченный срок действия. Для нивелирования данной проблемы существует стандартизированная методика, которая должна быть реализована в СЭД. Ее суть заключается в том, что, когда срок действия сертификата службы штампов времени подходит к концу, СЭД запрашивает для старого сертификата и набора служебной информации штамп времени с ЭЦП на новом сертификате, срок действия которого только начинается. Таким образом, благодаря действительности нового сертификата можно доказать, что до момента заверения действовал и старый сертификат. Архивная копия электронного документа СЭД должна позволять участнику системы получить архивную копию подписанного электронного документа, которая может быть представлена в качестве доказательства в случае возникновения конфликтной ситуации. Разумеется, необходимо учитывать ограничения политики безопасности, касающиеся конфиденциальных документов. Создание ЭЦП под документом Это действие должно выполняться пользователем осознанно. Не допускается подписывать документ в автоматическом режиме. Система обязательно должна задать вопрос, будет ли пользователь подписывать документ. Во многих существующих СЭД этому не уделяется должное внимание. Более того, некоторые разработчики, увлекаясь автоматизацией, специально реализуют автоматическую простановку ЭЦП под документом, что является абсолютно неверным подходом. Делегирование полномочий Отдельный вопрос - делегирование должностных полномочий одного пользователя системы другому. Очень часто руководители передают свое право подписания электронного документа доверенному лицу, при этом параллельно подписывают бумажный экземпляр документа, который в данном случае и является оригиналом. Вопрос не простой. Следует получить квалифицированную консультацию у юриста, в каких случаях делегирование допустимо и не противоречит действующему законодательству и каким образом этот факт должен быть оформлен документально. Просто передавать другому сотруднику свой закрытый ключ для создания ЭЦП недопустимо, поскольку такая ситуация трактуется как компрометация ключа, а следовательно, полученная под документом ЭЦП не является легитимной. Если говорить о реализации СЭД, то технически делегирование реализуется как выпуск удостоверяющим центром специальных сертификатов, имеющих ограниченное применение (указывается в сведениях об отношениях) и срок действия; при этом в реквизитах ЭЦП указывается, от кого делегированы данные полномочия. Для многих читателей термин “сведения об отношениях” почти наверняка покажется странным. Этим термином обозначается свойство сертификата, позволяющее ограничить область его применения. Например, сотрудник имеет право поставить подпись под служебной запиской, но не имеет права подписать финансовый документ. Бизнес-логика СЭД должна различать сертификаты, выпущенные для делегирования полномочий. Проверьте, чтобы эти возможности поддерживала СЭД и обеспечивающая ее инфраструктура. Внедрение СЭД с ЭЦП в организации: факторы успеха Регламент Для обеспечения юридической значимости электронных документов в организации должен быть разработан и утвержден регламент применения ЭЦП. Разработку регламента следует поручить квалифицированным специалистам и привлечь (в качестве консультантов) юристов. При этом необходимо доработать внутреннюю нормативно-правовую базу компании с тем, чтобы регламент не противоречил другим нормативным актам. Для органов государственной власти кроме перечисленного требуется, чтобы средства ЭЦП и удостоверяющий центр были сертифицированы в установленном законом порядке. Осведомленность Участники системы электронного документооборота должны хорошо понимать, что такое ЭЦП, как ее использовать и что она им дает. Это может быть обеспечено проведением семинаров по применению ЭЦП для руководителей подразделений. А уже затем руководители должны довести до своих подчиненных, какие выгоды получает компания и каждый сотрудник от внедрения ЭЦП. “Свои” или “чужие”? При развертывании в организации СЭД с ЭЦП необходимо решить, какую инфраструктуру открытого ключа использовать: разворачивать ли собственную (внутренняя) или прибегнуть к услугам сторонней компании (внешняя). Как правило, крупные компании и холдинги реализуют ИОК собственными силами, т. е. службы являются внутренними. Это решение имеет ряд преимуществ, поскольку позволяет полностью контролировать процесс функционирования ИОК. Для средних организаций экономически целесообразным может оказаться использование услуг других компаний. При этом между организацией и компанией-поставщиком заключается договор на предоставление услуг удостоверяющего центра и службы штампов времени. Для территориально распределенных организаций может быть целесообразным использование собственной иерархической структуры удостоверяющих центров. В этом случае удостоверяющий центр будет иметь корневой и подчиненные центры регистрации. Технически центры регистрации оснащены аппаратно-программными комплексами, реализующими функции работы с сертификатами ключей. В иерархической структуре удостоверяющего центра каждый центр регистрации (узел, к которому подключаются конечные пользователи) имеет собственный сертификат ключа, выпущенный и подписанный вышестоящим центром регистрации. При этом корневой центр регистрации использует сертификат ключа, подписанный собственным закрытым ключом (так называемый самоподписанный сертификат), так как у него нет вышестоящего центра регистрации. Установка самоподписанного сертификата корневого центра регистрации должна осуществляться по процедуре, исключающей подмену этого сертификата. Факторы, влияющие на успех внедрения СЭД с ЭЦП Организационные · Понимание того, для чего необходима ЭЦП и какие выгоды можно получить от ее применения. · Политика информационной безопасности. · Регламент бумажного делопроизводства. · Нормативно-правовая база применения ЭЦП в СЭД. · Квалифицированные специалисты в области информационной безопасности. Технические · В организации развернута инфраструктура открытых ключей либо имеется договор о предоставлении услуг удостоверяющего центра сторонней организацией. · Развернута служба штампов времени. · Обеспечивается доверенная среда выполнения программного обеспечения СЭД на рабочих местах пользователей и серверах. · На рабочих местах развернуты необходимые средства криптографической защиты. Кроме того, необходимо учитывать количество запросов, поступающих в удостоверяющий центр в единицу времени, и рассчитывать производительность сетевого оборудования, с тем чтобы обеспечить приемлемое время обработки запроса. Выбор компонентов ИОК Важным этапом является определение критериев, по которым следует выбирать компоненты ИОК. Необходимо изучить предлагаемые инфраструктуры открытых ключей: программное обеспечение удостоверяющего центра, аппаратно-программные или программные реализации систем для служб штампов времени, аппаратно-программные или программные криптопровайдеры. Выбор компонентов не слишком широк, и получить профессиональную консультацию вполне возможно. При этом необходимо иметь в виду, что имеющиеся аппаратно-программные комплексы импортного производства не обеспечивают работу с российскими криптографическими алгоритмами. Поддержка этих алгоритмов будет нужна, если возникнет потребность в сертификации СЭД. Из практики внедрения СЭД следует отметить, что наиболее остро встает вопрос организации развертывания службы штампов времени, состоящей из двух частей: сервера штампов времени и доверенного источника времени. Конкретная реализация службы зависит от потребности организации в длительном хранении электронных документов, подписанных ЭЦП. Как правило, сервер штампов времени, с которым необходима периодическая синхронизация, является внешним по отношению к организации и, таким образом, становится “точкой отказа”. Необходимо проработать вопрос обеспечения доступа к резервному серверу доверенного времени. На данный момент вопрос с доверенным источником времени на уровне государства никак не решен. Выбор СЭД Определившись с инфраструктурой, нужно потратить значительные усилия на выбор СЭД, поскольку предложений очень много. Принципиальные требования к СЭД уже обсуждались выше. Здесь отметим следующее. Разработчики подавляющего большинства СЭД, представленных на рынке, заявляют, что поддерживают юридически значимый электронный документооборот, однако термин этот у каждого трактуется по-своему. Например, ЭЦП проставляется без использования штампов времени, но документ объявляется юридически значимым. Как правило, заявление о поддержке юридически значимого документооборота является преувеличением, поскольку многие важные вопросы использования ЭЦП остаются неразрешенными. В этой связи следует критически относиться к подобным заявлениям и уточнять: что же понимает под юридически значимым документооборотом конкретный производитель СЭД. Желательно выбрать поставщика СЭД, имеющего опыт разработки регламента применения ЭЦП. Во многих случаях в СЭД отсутствуют средства для разбора конфликтных ситуаций, связанных с действительностью ЭЦП или отрицанием авторства, что технически не позволяет представить доказательства в суде. В СЭД должна существовать четкая процедура разбора конфликтных ситуаций и представления доказательств третьей стороне. Не исключено, что будет принято решение заказать разработку системы или существенно доработать существующую в организации СЭД. Последний подход не многим отличается по трудоемкости от заказной разработки, но значительно уступает в эффективности решения. Управление внедрением Внедрению должна предшествовать разработка стратегии организации. В этом документе следует четко сформулировать цели внедрения СЭД, определить принципы построения и этапы внедрения СЭД в организации. Развертывание ЭЦП является составной частью процесса внедрения СЭД, и рассматривать этот процесс как независимый не рекомендуется. Внедрение же СЭД является ответственным делом, и подходить к нему следует с особой тщательностью. При внедрении СЭД очень важна разработка нормативно-правовой базы. Этот процесс выполняется поэтапно (параллельно с внедрением самой системы) с учетом особенностей делопроизводства в организации и выбранной СЭД. Как показывает практика, СЭД с ЭЦП можно внедрить безболезненно, если ЭЦП является составной частью архитектуры системы. Компания получит безусловную выгоду, если ЭЦП частично внедрена в СЭД, например, в таких подсистемах, как “ведение договоров”, “заявки на денежные средства” и т. п., но максимальную выгоду от применения СЭД можно извлечь только при полномасштабном развертывании ЭЦП. Доверие к инфраструктуре Обеспечение доверия к внешнему окружению СЭД является ключевым моментом развертывания ЭЦП в организации. Особое внимание следует обратить на доверенную (т. е. исключающую подмену) установку на рабочем месте пользователя самоподписанного сертификата корневого центра регистрации. Желательно также обеспечить доверенную среду, в которой будет работать СЭД. Для получения полностью доверенной среды необходимо использовать ряд аппаратно-программных компонентов, обеспечивающих (возможно их поэтапное подключение): доверенную загрузку операционной системы, например, с использованием “электронного замка”; регулярное обновление антивирусного ПО (как на серверах организации, так и на рабочих станциях); централизованную установку ПО на рабочих местах пользователя. Необходимо также получить гарантии от разработчиков СЭД на отсутствие недокументированных функций в системе. Если все эти вопросы тщательно проработаны, то организационные и технические сложности процесса внедрения ЭЦП будут минимальными. Заключение Изначально СЭД проектировались без учета применения ЭЦП, они моделировали работу с бумажными документами, от которых организации не собирались отказываться. По мере осознания того, что ЭЦП использовать нужно, разработчики стали встраивать в существующие СЭД функции ЭЦП, рассматривая их как дополнительные. Однако в результате получались решения с ограниченными возможностями, поскольку полноценное встраивание ЭЦП требовало слишком больших переделок в существующих системах. Сегодня, на очередном витке развития информационных технологий, разработчики вновь создаваемых СЭД уже не рассматривают ЭЦП как некое дополнение и учитывают необходимость ее применения уже на этапе разработки архитектуры системы. Мировой опыт развития СЭД показывает, что перспективы применения ЭЦП в электронном документообороте и смежных областях весьма впечатляющи. Наблюдается бурное развитие технологий потокового сканирования и распознавания графических образов, что позволяет перевести практически любые бумажные документы в электронный вид и обеспечить эффективный полнотекстовый поиск по ним. Развивается ИОК. В сочетании с общей тенденцией к ускорению принятия решений по документам и потребностью именно в юридически значимых электронных документах это приводит к тому, что электронная цифровая подпись становится востребованной как никогда ранее.

Электронный документооборот

Электронный документооборот -- система ведения документации, при которой весь массив создаваемых, передаваемых и хранимых документов поддерживается с помощью информационно-коммуникационных технологий на компьютерах, объединенных в сетевую структуру, предусматривающую возможность формирования и ведения распределенной базы данных. При этом не отрицается использование бумажных документов, но приоритетным признается электронный документ, создаваемый, корректируемый и хранимый в компьютере.

Кроме того, электронный документооборот -- высокотехнологичное решение проблемы повышения эффективности работы любых организаций, в первую очередь проектных, конструкторских, строительных, научных, ремонтных и обслуживающих.Автоматическое отслеживание перемещения потоков информации внутри предприятия, а также порядка передачи конфиденциальных сведений позволяет значительно снизить трудозатраты делопроизводителей. Сквозной контроль исполнения на всех этапах работы способствует своевременной подготовке документации и существенному повышению качества работы исполнителей.

Информационные компьютерные технологии образуют основу решений, обеспечивающих централизованный автоматизированный обмен знаниями и позволяющих извлекать из всех доступных источников лишь необходимую информацию.

Система автоматизации документооборота, система электронного документооборота (СЭДО) -- автоматизированная многопользовательская система, сопровождающая процесс управления работой иерархической организации с целью обеспечения выполнения этой организацией своих функций. При этом предполагается, что процесс управления опирается на читаемые человеком документы, содержащие инструкции для сотрудников организации, необходимые к исполнению.

Основные принципы электронного документооборота:

Однократная регистрация документа, позволяющая однозначно идентифицировать документ;

Возможность параллельного выполнения операций, позволяющая сократить время движения документов и повышения оперативности их исполнения;

Непрерывность движения документа, позволяющая идентифицировать ответственного за исполнение документа (задачи) в каждый момент времени жизни документа (процесса);

Единая (или согласованная распределённая) база документной информации, позволяющая исключить возможность дублирования документов;

Эффективно организованная система поиска документа, позволяющая находить документ, обладая минимальной информацией о нём.

Электронная цифровая подпись, электронная подпись и цифровая подпись (понятия, отличия). Электронная цифровая подпись (понятие, виды, особенности и пределы использования)

Электронная цифровая подпись (ЭЦП) - последовательность символов, полученная в результате криптографического преобразования электронных данных. ЭЦП добавляется к блоку данных и позволяет получателю блока проверить источник и целостность данных и защититься от подделки. ЭЦП используется в качестве аналога собственноручной подписи.

Документ, заверенный электронной цифровой подписью (ЭЦП), считается принадлежащим соответствующей Стороне, если он подписан ЭЦП.

ЭЦП предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:

Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему;

Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев;

Доказательное подтверждение авторства документа. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.;

Все эти свойства ЭЦП позволяют использовать её для участия в электронных аукционах, а также подписи документов для участия в торгах государственных закупок.

Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов.

Электронная подпись (ЭП) -- реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП. В России федеральным законом № 63-ФЗ от 6 апреля 2011 г. наименование «электронная цифровая подпись» заменено словами «электронная подпись» (аббревиатура -- «ЭП»).

Виды электронных подписей:

В ст. 5 Закона об электронной подписи установлены следующие виды электронных подписей, которые регулируются Законом: простая электронная подпись и усиленная электронная подпись. При этом усиленная электронная подпись может быть квалифицированной и неквалифицированной. Указанные виды идентификации участника правоотношений в сфере электронного документооборота отличаются по надежности и сложности получения.

В новом Законе установлено, что простой электронной подписью является такая подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт ее формирования определенным лицом (п. 2 ст. 5).

Для усиленных электронных подписей в Законе предусмотрены более строгие требования. Так, неквалифицированная электронная подпись должна отвечать следующим признакам:

1) получается в результате криптографического преобразования информации с использованием ключа электронной подписи;

2) позволяет определить лицо, подписавшее электронный документ;

3) позволяет обнаружить факт внесения изменений в электронный документ после его подписания;

4) создается с использованием средств электронной подписи.

Эти признаки разработчики Закона об электронной подписи взяли из Директивы ЕС N 1999/93/ЕС (п. 2 ст. 5).

1) получен квалифицированный сертификат, в котором указывается ключ проверки такой электронной подписи;

2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в Законе об электронной подписи.

Цифровая подпись -- это блок данных, сгенерированный с использованием некоторого секретного ключа. При этом с помощью открытого ключа можно проверить, что данные были действительно сгенерированы с помощью этого секретного ключа. Алгоритм генерации цифровой подписи должен обеспечивать, чтобы было невозможно без секретного ключа создать подпись, которая при проверке окажется правильной.

Цифровые подписи используются для того, чтобы подтвердить, что сообщение пришло действительно от данного отправителя (в предположении, что лишь отправитель обладает секретным ключом, соответствующим его открытому ключу). Также их можно использовать для удостоверения (сертификации - to certify) того, что документ принадлежит определенному лицу.

Цифровая подпись также включает в документ отметку времени; по сути это означает, что время подписания документа является частью этой подписи. Поэтому если кто-то попытается изменить документ, при проверке подписи это будет обнаружено. Некоторые почтовые программы, например Exmh или KMail, включенная в KDE, предоставляют возможность подписывать документы с помощью GnuPG прямо в интерфейсе программы. Используются два типа цифровых подписей: clearsigned (явно подписанные) документы и detached signatures (отдельно подписанные). Оба типа подписей включают одинаковую степень защиты подлинности, и не требуют от получателя расшифровывать всё сообщение.Цифровую подпись в цифровых документах ставят в тех же случаях, что и в бумажных.

Цифровые подписи помогают удостоверить следующее:

Подлинность - цифровая подпись помогает гарантировать, что поставивший подпись -- тот, кем он является в действительности.

Целостность - цифровая подпись помогает гарантировать, что содержимое документа не менялось и не подделывалось после ввода цифровой подписи.

Неотрекаемость - цифровая подпись помогает доказать любой из сторон авторство подписанного содержимого. «Отказ» означает, что владелец подписи отрицает свою связь с подписанным содержимым.

Для выполнения этих гарантий создатель документа должен заверить его содержимое цифровой подписью, которая удовлетворяет следующим требованиям:

Цифровая подпись является действующей.Это значит, что сертификат данной цифровой подписи является действующим (не просроченным).Лицо или организация, поставившая цифровую подпись, именуемая издателем, является законным владельцем цифровой подписи;

Сертификат цифровой подписи выдан издателю компетентным Удостоверяющим центром.

Правовой статус документов с ЭЦП по российскому законодательству

Принятый Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи" (далее - Закон об электронной подписи, новый Закон) существенным образом изменяет правовое регулирование отношений, связанных с подписанием электронных документов. Ранее данные отношения регулировались исключительно Федеральным законом от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи" (далее - Закон об ЭЦП), который перестанет действовать с 01.07.2012, однако сертификаты электронных цифровых подписей (далее - ЭЦП), выданные в соответствии с этим нормативным актом, можно будет использовать и далее.

Закон об ЭЦП в принципе не позволяет выдавать сертификаты ЭЦП юридическим лицам - при том, что именно эти участники оборота чаще используют электронные документы. Закон об электронной подписи устраняет это ограничение, что должно способствовать более широкому распространению электронных подписей в России.

Расширяется и сфера действия электронных подписей, которые теперь можно использовать не только при совершении гражданско-правовых сделок (п. 2 ст. 1 Закона об ЭЦП), но и при оказании государственных и муниципальных услуг, а также "при совершении иных юридически значимых действий" (ст. 1 Закона об электронной подписи).

Закон об электронной подписи вступил в силу 08.04.2011г.,допускает применение любой информационной технологии средств шифрования и любых криптографических технических устройств, если они соответствуют определенным требованиям надежности (п. 2 ст. 4 Закона).

Технический прогресс затронул все области профессиональной деятельности человека, предложив на смену старым методам работы новые современные подходы. Одними из таких универсальных открытий стал электронный документооборот, электронно цифровая подпись, позволяющие решать разнообразные задачи движения документов с момента их создания до завершения исполнения.

Что такое эцп?

Цифровое факсимиле представляет собой электронное подобие собственноручной подписи. Оно создается с помощью специальных математических алгоритмов и систем криптографического шифрования. Эта сложная конструкция на выходе трансформируется в закодированную строку, которую потребитель видит как стандартный реквизит. Эцп для электронного документооборота носит такой же юридический статус, что и оригинал. Правомерность цифровой подписи закреплена соответствующим Федеральным законом № 1 «Об электронной цифровой подписи».

Структура цифровой подписи

Электронное факсимиле обладает довольно специфической системой построения, состоящей из функциональных и защитных элементов программирования. Так, классическая эцп для эдо обязана содержать в себе:

• сертификат, подтверждающий соответствие открытого ключа электронной печати владельцу данного сертификата;
• открытый ключ, проверяющий подпись (тот же пароль);
• закрытый ключ, активизирующий ЭП и разрешающий заверять электронные документы.

Оба ключа работают только в тандеме, при двустороннем задействовании. Также оригинальная электронная подпись поддерживается специальным удостоверяющим центром, следящим за ее неизменностью и сохранностью.

Как и где использовать?

Эцп для документооборота разработана в целях защиты документа от подделывания и позволяет с легкостью устанавливать его авторство или легальность. Способ применения факсимиле несложный и выполняется в заданной последовательности. Чаще всего цифровая подпись применяется для:

• электронной отчетности в госорганах;
• актов выполненных работ;
• накладных;
• договоров и сделок на малые денежные суммы.

Используется активно и эцп счетов-фактур, способствуя оперативности пересылки оригинальных документов контрагенту, оптимизации работы с документооборотом и снижению расходов на его организацию. Исключением, где цифровая подпись не применяется, является свидетельство о праве наследования и акты, создаваемые только в единичных экземплярах.

Преимущества ЭЦП

• Защита документа от подделки и несанкционированного просмотра.
• Обеспечение целостности информации.
• Определение аутентичности документа и его автора.
• Сокращение время оформления бумаг.
• Полноценная замена рукописной подписи.
• Легальность.

Качественная электронная подпись для документооборота, купить которую можно в профильном центре регистрации, гарантирует безопасность и эффективность всего документационного вращения.

Информационные системы, компьютерные сети, электронная почта – вот далеко не полный перечень тех средств, с помощью которых происходит обмен данными в электронном виде. В последнее десятилетие появились и получили распространение новые инструментальные средства эффективного обеспечения управленческих процессов. В том числе речь идет о программном обеспечении, предназначенном для обработки управленческих документов. Здесь, прежде всего, следует упомянуть программное обеспечение классов «системы управления документами» и «системы управления деловыми процессами»sub_99112. Такие системы представляют собой программные комплексы, применимые для решения ряда задач, в том числе и для построения корпоративных систем электронного документооборота. В рамках автоматизации процесса обработки документа в организации с момента его создания или получения до момента отправки корреспонденту или завершения исполнения и списания в дело должно быть обеспечено решение следующих функций:

· регистрация входящих в организацию документов, исходящих из организации документов и внутренних документов;

· учет резолюций, выданных по документам руководством организации, и постановка документов на контроль;

· централизованный контроль исполнения документов;

· списание документов в дело;

· ведение информационно-справочной работы;

· формирование делопроизводственных отчетов по организации в целом.

Использование системы электронного документооборота позволяет организовать передачу данных о ходе исполнения документов в электронном виде, что качественно меняет организацию контроля исполнения документов. Карточки централизованно зарегистрированных документов с резолюциями руководства рассылаются в электронном виде сотрудникам соответствующих подразделений. Они дополняют их резолюциями по исполнению документов, выдаваемыми руководителями структурных подразделений. По мере появления данных о ходе исполнения документов эти данные вносятся в систему. При этом система автоматически отслеживает наступление даты предварительного уведомления о приближении срока исполнения и наступление самого этого срока. Заинтересованные пользователи системы информируются о названных сроках. Также значительно видоизменяется процесс согласования проектов документов, в рамках которого сотрудники, участвующие в процессе согласования, получают возможность обмениваться электронными версиями согласуемых проектов. Такая технология позволяет сократить время, затрачиваемое на передачу проектов в бумажном виде.

Система электронного документооборота обязательно включает текущий электронный архив, который решает проблемы оперативного доступа к информации и наличия возможности одновременного использования документа несколькими сотрудниками. Такая форма организации хранения значительно снижает вероятность потери информации и повышает оперативность работы за счет сокращения времени поиска нужного документа. Хранение текстов документов в электронном виде позволяет реализовать полнотекстовый поиск, что открывает принципиально новые возможности при ведении информационно-справочной работы, например, позволяет делать тематические подборки документов по их содержанию. Использование электронного архива избавляет от необходимости создавать фонд пользования архивными документами, так как по запросу в любой момент может быть выдана электронная копия документа.

С юридической точки зрения, понятие электронного документооборота отличается от понятия электронного обмена данными. В основе первого лежит легитимность (процессуальная допустимость и доказательственная сила) электронных документов. Поэтому наряду с совершенствованием информационных технологий важную роль в процессе создания инфраструктуры электронного документооборота должна сыграть его законодательная поддержка, суть которой состоит в придании данным, создаваемым и передаваемым электронным способом, юридического статуса документаsub_99113.

Основной функцией традиционного документа является удостоверение некоторой информации. При составлении и использовании документа присутствуют два аспекта: во-первых, некоторая информация, а во-вторых, сам документ как материальная вещь, которую можно предъявить или передать. Наличие этой материальной вещи позволяет подтвердить истинность информации, содержащейся в документе. Возможно, для подтверждения истинности необходимо проделать некую процедуру – экспертизу по проверке подлинности документа. Саму информацию, содержащуюся в документе, тоже можно разделить на две части. Первая часть – непосредственно содержание, вторая – вспомогательная информация, которая дает возможность установить его аутентичность (подлинность). К ней относятся реквизиты типа исходящего номера, подписей и печатей.

В состав информации, как содержательной, так и о носителе, могут входить и данные о времени, условиях и месте составления документа.

Необходимо также отметить, что в случае бумажного документа оригинал существует в ограниченном, известном заранее количестве экземпляров. Например, может быть указано, что договор совершен в трех экземплярах, имеющих равную силу. Любой дополнительный экземпляр явится копией, что в принципе, может быть проверено путем проведения соответствующей экспертизы. В ряде случаев существенно наличие именно оригинала документа. Например, продажа акции, выпущенной в документарной форме, вовсе не равносильна продаже копии ее сертификата, даже заверенной нотариально.

Таким образом, документ выполняет следующие функции:

– фиксация некоторой (содержательной) информации;

– фиксация лица, подписавшего документ;

– фиксация условий составления документа;

– доказательство в судебном разбирательстве;

– функция оригинала, обеспечиваемая его уникальностью.

В России 10 января 2002 г. принят Закон об ЭЦП (электронной цифровой подписи). Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. В Законе дано определение электронного документа как документа, в котором информация представлена в электронно-цифровой форме (ст. 3).

В законодательстве определены условия, при соблюдении которых электронный документ приобретает статус письменного документа и может служить доказательством в судебном разбирательстве. Так, ГК РФ связывает признание за электронным документом статуса письменного документа с наличием электронной цифровой подписи. В п. 2 ст. 160 ГК РФ электронная цифровая подпись упоминается наряду с факсимильным воспроизведением подписи как один из аналогов собственноручной подписи. В ст. 75 АПК РФ указано, что наличие электронной цифровой подписи позволяет закрепить за электронным документом статус письменного доказательства. В Законе об информации электронная цифровая подпись (ЭЦП) называется реквизитом, закрепляющим за данным видом документа правовой статус документа.

Таким образом, данные законодательные акты связывали материально-правовое значение ЭЦП с приданием информации, представленной в электронно-цифровой форме, правового статуса документа или письменного документа (доказательства). Несмотря на то, что ГК РФ и АПК РФ рассматривают ЭЦП как аналог собственноручной подписи, они не допускали юридического отождествления ЭЦП с собственноручной (физической) подписью человека на бумажном документе. Акцент делался на закреплении одинакового правового статуса электронного документа и традиционного письменного документа с использованием для данной цели различных правовых и технических средствsub_99114.

Электронная цифровая подпись – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. Закона об ЭЦП). С юридической точки зрения, электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при соблюдении определенных условий.

Рассмотрим основные отличия этих двух видов подписи. Рукописная подпись подтверждает факт взаимосвязи между сведениями, содержащимися в документе, и лицом, подписавшим документ, то есть является одним из средств идентификации личности. В основу использования рукописной подписи как средства идентификации положена гипотеза об уникальности личных биометрических параметров человека. Механизм выполнения физической подписи непосредственно обусловлен психофизиологическими характеристиками организма человека, и в силу этого подпись неразрывно связана с личностью подписывающего. Поэтому и возможна идентификация лица по его подписи.

Характерной особенностью рукописной подписи является ее неразрывная физическая связь с носителем информации. То есть рукописная подпись возможна только на документах, имеющих материальную природу. Электронные документы, имеющие логическую природу, к этой категории не относятся. Таким образом, при совершении сделок, факт которых удостоверяется рукописной подписью, стороны-участники должны находиться либо в непосредственном контакте, либо в опосредованном – через материальный носитель и услуги сторонних организаций. Другой недостаток рукописной подписи является функциональным. Он связан с тем, что рукописная подпись обеспечивает только идентификацию документа, то есть подтверждает его отношение к лицу, поставившему подпись, но ни в коей мере не обеспечивает аутентификации документа, то есть его целостности и неизменности. Без специальных дополнительных мер защиты рукописная подпись не гарантирует тот факт, что документ не подвергся содержательным изменениям в ходе хранения или транспортировки.

В отличие от рукописной подписи, электронная цифровая подпись имеет не физическую, а логическую природу – это просто последовательность символов, которая позволяет однозначно связать лицо, подписавшее документ, содержание документа и владельца ЭЦП. Логический характер электронной подписи делает ее независимой от материальной природы документа. С ее помощью можно подписывать документы, имеющие электронную природу (исполненные на магнитных, оптических, кристаллических и иных носителях, распределенные в компьютерных сетях и т. п.).

Согласно Закону, ЭЦП должна решать следующие задачи: защиту электронного документа от подделки, установление отсутствия искажений информации в электронном документе, идентификацию владельца сертификата ключа подписи (ст. 3).

Таким образом, ЭЦП должна обеспечить идентификацию (документ подписан определенным лицом) и аутентификацию (содержание не претерпело изменений с момента его подписания) электронного документа. Однако следует отметить, что сущность же ЭЦП такова, что она не может непосредственно характеризовать владельца ЭЦП как личность. Связь же между ЭЦП и человеком, ее проставившим, носит не биологический, а социальный характер. Возникновение, существование и прекращение данной связи обусловлены совокупностью различных правовых, организационных и технических факторов. Определение подлинности ЭЦП свидетельствует только о знании лицом, ее проставившим, закрытого ключа ЭЦП. Для того чтобы выяснить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо установить помимо факта подлинности ЭЦП и идентификацию человека, ее поставившего. Идентификация человека в традиционном понимании, как это происходит по личной подписи, непосредственно по ЭЦП невозможна. Независимость ЭЦП от носителя позволяет использовать ее в электронном документообороте. При использовании ЭЦП возможны договорные отношения между удаленными юридическими и физическими лицами без прямого или опосредованного физического контакта. Это свойство ЭЦП лежит в основе электронной коммерции.

Логическая природа ЭЦП позволяет не различать копии одного документа и сделать их равнозначными. Снимается естественное различие между оригиналом документа и его копиями, полученными в результате тиражирования (размножения). Механизм обслуживания ЭЦП основан на программных и аппаратных средствах вычислительной техники, поэтому он хорошо автоматизируется. Все стадии обслуживания (создание, применение, удостоверение и проверка ЭЦП) автоматизированы, что значительно повышает эффективность документооборота. Вместе с тем автоматизация хоть и способствует повышению производительности труда, она выводит механизм подписи из-под контроля естественными методами (например, визуальными) и может создавать иллюзию благополучия. Поэтому для использования ЭЦП необходимо специальное техническое, организационное и правовое обеспечение.

Техническое обеспечение электронной цифровой подписи основано на использовании методов криптографии. Любой документ можно рассматривать как уникальную последовательность символов. Изменение хотя бы одного символа в последовательности будет означать, что в результате получится уже совсем другой документ, отличный от исходного. Чтобы последовательность символов, представляющих документ, могла, во-первых, идентифицировать ее отправителя, а во-вторых, подтвердить ее неизменность с момента отправления, она должна обладать уникальными признаками, известными только отправителю и получателю сообщения. Для этого используются различные средства шифрования, создаваемые и изучаемые наукой криптографией.

Для шифрования и дешифрования информации необходимо знать метод и ключ шифрования. Метод шифрования – это формальный алгоритм, описывающий порядок преобразования исходного сообщения в результирующее. Ключ шифрования – это набор параметров (данных), необходимых для применения метода. Так, например, буквы любой последовательности символов можно заменить на соответствующую комбинацию цифр – это метод шифрования. А конкретное указание, какую букву заменить на какую последовательность цифр, является ключом.

Существуют симметричные и несимметричные методы шифрования. Симметричный метод шифрования состоит в том, что партнер создает ключ шифрования, который передает другому партнеру. Сообщение шифруется и дешифруется одним ключом. Этот алгоритм трудно напрямую использовать, например, в электронной коммерции, так как возникает проблема идентификации удаленного партнера.

Несимметричная (асимметричная) криптография использует специальные математические методы. В результате применения этих методов создается пара ключей: то, что зашифровано одним ключом, может быть дешифровано другим, и наоборот. Владелец ключей один оставляет у себя, а другой может распространить, например, прямой рассылкой через Интернет. Ключ, оставленный у владельца, называется закрытым или личным, другой – открытым или публичным. Закрытый ключ электронной цифровой подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи (ст. 3 Закона об ЭЦП). Открытый ключ электронной цифровой подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе (ст. 3 Закона об ЭЦП).

Закрытый ключ может быть скомпрометирован различными способами:

· хищение ключа путем копирования в результате несанкционированного доступа к оборудованию (прямого или удаленного), на котором он хранится;

· получение ключа путем ответа на запрос, использованный с признаками мошенничества или подлога;

· хищение ключа в результате хищения оборудования, на котором он хранится;

· хищение ключа в результате сговора с лицами, имеющими право на его использование (даже рядовой факт увольнения сотрудника, имевшего доступ к закрытому ключу организации, рассматривается как компрометация ключа).

Незаконность данных традиционных методов компрометации обеспечивает законодательство. Это не относится к нетрадиционным методам реконструкции закрытого ключа по исходным данным, полученным вполне легально, в частности по открытому ключу. Возможность реконструкции определяется тем, что открытый и закрытый ключи связаны определенными математическими соотношениями. Теоретически знание открытого ключа дает возможность восстановить закрытый ключ. Однако на практике это связано с наличием специальных программных и аппаратных средств и огромными затратами вычислительного времени. Существует специальная отрасль науки, называемая криптоанализом, которая позволяет воспроизводить зашифрованную информацию и оценивать степень защиты информации.

Поскольку от алгоритмов, на основе которых действует средство ЭЦП, зависят надежность и устойчивость документооборота, к средствам ЭЦП предъявляются специальные требования.

Средства электронной цифровой подписи – аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.

При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи (п. 2 ст. 5). Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается (п. 3 ст. 5). В России деятельность по разработке средств ЭЦП относится к лицензируемым видам деятельности (Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности».

Открытый ключ потому и называется открытым, что он доступен каждому из партнеров владельца закрытого ключа. Есть очень простой прием подмены открытого ключа с целью создания ложного канала связи. Допустим, сторона C желает перехватить чужие данные. В этом случае она может с помощью средств ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера B. Тогда все сообщения от партнера А к партнеру B будут легко перехватываться и читаться стороной C, причем ни A, ни B не будут даже догадываться о том, что C участвует в «договорных» отношениях.

Эта форма злоупотребления основана на том, что хотя в открытом ключе и приводятся данные о его владельце, в нем нет средств, удостоверяющих, что эти данные подлинные. Без разрешения этого вопроса механизм ЭЦП не может быть использован ни в электронной коммерции, ни в электронном документообороте.

Таким образом, одним из основополагающих моментов использования электронной цифровой подписи для установления подлинности, целостности и аутентичности документов, хранимых, обрабатываемых и передаваемых с помощью информационных и телекоммуникационных систем, является подтверждение принадлежности открытого ключа ЭЦП конкретному лицу посредством выдачи сертификата ключа подписи. Поэтому значительная часть Федерального закона «Об электронной цифровой подписи» посвящена механизму удостоверения личности владельца открытого ключа.

Во всех случаях этот механизм основан на том, что вводится (назначается) дополнительная сторона, удостоверяющая принадлежность открытого ключа конкретному юридическому или физическому лицу. Вопросы: кто именно имеет право удостоверять открытые ключи, когда и как – в законодательстве различных государств решаются по-разному. В частности, это может быть государственный орган или организация, уполномоченная государством для ведения данной деятельности. Возможно, что для внутреннего документооборота предприятия эту функцию можно поручить лицу, назначенному руководством, а для документооборота внутри ведомства – уполномоченному подразделению.

На практике сертификация открытых ключей выполняется следующим образом.

1. Лицо (юридическое или физическое), создавшее себе пару ключей (открытый и закрытый) с помощью средства ЭЦП, должно обратиться в орган, уполномоченный выполнить сертификацию. Этот орган называется удостоверяющим центром (Закон об ЭЦП).

2. Удостоверяющий центр проверяет принадлежность открытого ключа заявителю и удостоверяет этот факт добавлением к открытому ключу своей подписи, завизированной собственным закрытым ключом.

3. Любой партнер, желающий вступить в контакт с владельцем открытого ключа, может прочитать удостоверяющую запись с помощью открытого ключа удостоверяющего центра. Если целостность этой записи не нарушена, то он может использовать открытый ключ партнера для связи с ним.

Следует четко понимать, что удостоверяющий центр заверяет только факт принадлежности открытого ключа конкретному лицу или организации. Наличие полноценного сертификата открытого ключа говорит о том, что ключ можно использовать для удостоверения личности партнера в договорных отношениях. Но законность этих отношений удостоверяющим центром не подтверждается.

К удостоверяющим центрам предъявляются особые требования. Это обусловлено тем, что участники электронного документооборота не могут проверить корректность осуществления подобными организациями своих функций. Поэтому в целях защиты прав участников электронного документооборота государство берет на себя регулирование деятельности этих центров посредством выдачи лицензии на их работу со стороны соответствующего уполномоченного государственного органа.

Так, Закон об ЭЦП устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая организация, осуществляющая свою деятельность на основании лицензии. При оформлении лицензии организация, претендующая на ее получение, должна представить обоснование своей способности нести гражданскую ответственность (ст. 8).

В настоящее время, в соответствии с рекомендациями Европейского Совета, национальное законодательство стран Европы в части требований к удостоверяющим центрам должно содержать требования одобрения или лицензирования деятельности удостоверяющих центров, проверку соблюдения этими центрами необходимых для их деятельности условий, а также требование к уровню надежности технических и программных средств, используемых этими центрами, и т. д. В части экономического обоснования возможности удостоверяющего центра нести гражданскую ответственность за ненадлежащее исполнение своих обязанностей необходимо выделить три критерия:

1) наличие собственного минимально установленного капитала, выраженного в абсолютной сумме;

2) подтверждение этой суммы банковской гарантией;

3) наличие страховки.

Значительно более трудной представляется задача практического создания в нашей стране инфраструктуры открытых ключей (PKI – Public Key Infrastructure) в системах электронного документооборота и электронной торговли.

Термин «инфраструктура открытых ключей» включает в себя полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования открытых ключей. Основным компонентом инфраструктуры является собственно система удостоверяющих центров. Для создания целостной системы удостоверяющих центров необходимо определить модель и общую структуру системы, степень участия в ее построении различных государственных органов и коммерческих структур; используемые при создании информационные технологии.

Иерархический принцип построения государственного управления подразумевает достаточно естественную структуру построения в перспективе системы удостоверяющих центров системы электронного документооборота: от федерального уровня, через региональные центры и до ведомственных структур и конечных пользователей.

В данной модели определяющую роль выполняет совокупность удостоверяющих центров верхнего уровня, которые должны удовлетворять самым высоким требованиям по информационной безопасности. От надежности защиты этого уровня и доверия к нему в большой мере зависит надежность всей системы в целом и степень доверия к ней.

В настоящее время распространение получили две структурные модели системы сертификации – централизованная и децентрализованная. Централизованная модель имеет иерархический характер и наиболее соответствует потребностям служебного документооборота. Децентрализованная модель имеет сетевой характер и может использоваться, например, в гражданском электронном документообороте. В основе централизованной модели сертификации находится один уполномоченный орган сертификации. Такой орган называется корневым удостоверяющим центром (корневым центром сертификации). Если чисто технически корневой центр не может обеспечить все запросы на выдачу и проверку сертификатов, поступающие от юридических и физических лиц, то он может сертифицировать другие дополнительные органы, называемые доверенными удостоверяющими центрами (доверенными центрами сертификации). Доверенные центры тоже могут удостоверять чужие открытые ключи своими открытыми ключами, но при этом их открытые ключи тоже нуждаются в удостоверении. Их удостоверяет своим закрытым ключом вышестоящий центр сертификации.

Таким образом, участник электронного документооборота, получивший откуда-то открытый ключ неизвестного партнера, может:

· установить наличие сертификата, удостоверенного электронной подписью удостоверяющего центра;

· проверить действительность подписи центра сертификации в вышестоящем удостоверяющем центре;

· если вышестоящий центр тоже является не корневым, а доверенным, то и его подпись можно проверить в вышестоящем центре, и так далее, пока проверка не дойдет до корневого удостоверяющего центра.

Такую проверку надо выполнить только один раз. Убедившись в правомочности корневого удостоверяющего центра, можно настроить свое программное обеспечение так, чтобы в дальнейшем доверие ему выражалось автоматически. И лишь в случаях, когда цепочку сертификатов не удается проследить до ранее проверенного доверенного центра (или до корневого центра), программное обеспечение выдаст предупреждение о том, что открытый ключ не имеет удостоверенного сертификата и пользоваться им нельзя.

Сетевая модель сертификации основана на взаимных договоренностях сторон (в последнем случае они будут иметь правовое значение, только если прямо отражены в двусторонних договорах). Так, например, при отсутствии централизованной структуры доверенных удостоверяющих центров (или параллельно с ней, если законодательство это допускает) могут существовать сетевые модели сертификации. Такие модели охватывают группы юридических и физических лиц, например, по ведомственной принадлежности.

Два юридических или физических лица, вступающих в электронные коммерческие взаимоотношения, могут сами взаимно заверить друг другу открытые ключи, если обменяются ими при личной встрече с предъявлением друг другу учредительных документов или удостоверений личности (для физических лиц). В этом случае у них нет оснований сомневаться в истинной принадлежности открытых ключей.

Однако, например, электронная коммерция строится исходя из того факта, что участники не нуждаются в очной встрече. В этом случае две стороны могут договориться о том, что им взаимно заверит ключи третья сторона, которую они выберут сами. Так же могут договориться и прочие участники рынка. В результате возникает сложная структура, в которой все участники связаны, с одной стороны, двусторонними договорными отношениями, а с другой стороны, еще и выполняют функции заверителей для своих традиционных партнеров. С точки зрения отдельного коммерсанта, доверие к его открытому ключу будет тем выше, чем большее количество сертификатов он получит от прочих участников рынка.