Электронно-цифровая подпись
Электронно-цифровая подпись
13 Содержание: 1. Разъяснения по использованию систем цифровой подписи в связи с ведением закона "Об электронной цифровой подписи" 2. Пример практического применения механизма электронно-цифровой подписиСписок использованной литературы 1. Разъяснения по использованию систем цифровой подписи в связи с введением закона "Об электронной цифровой подписи" В связи с введением в действие федерального закона "Об электронной цифровой подписи" некоторые потребители средств защиты информации проявляют озабоченность в связи с легальностью использования систем цифровой подписи и иных аналогов собственноручной подписи. Цель настоящего документа разъяснить ситуацию, сложившуюся в связи с принятием закона, определить сферу его действия и порядок использования систем цифровой подписи, которые были введены в эксплуатацию до принятия закона. I. Цель принятия закона До момента принятия закона единственной правовой основой для применения аналогов собственноручной подписи (АСП), в том числе в электронном документообороте являлась первая часть Гражданского Кодекса РФ (Статья 160, п. 2, Статья 434, п.1, Статья 434, п.2) Статья 160 п. 2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон. Статья 434 п.п. 1,2. 1. Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма. Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась. 2. Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору. Дополнительные разъяснения, по порядку использования АСП давались в инструктивных материалах Высшего Арбитражного суда РФ. Из формулировок вышеупомянутых статей ГК, прямо следует, что в случае отсутствия закона или иного нормативного акта, предусматривающего порядок использования АСП, порядок использования АСП определяется соглашением сторон. Именно по этой схеме действовали и действуют до настоящего времени все системы с использованием цифровой подписи, которая в соглашении сторон признается АСП. Основной целью принятия закона "Об электронной цифровой подписи" являлось дополнение договорной схемы регулирования взаимоотношения сторон, предусмотренной ГК РФ законодательным регулированием, также предусмотренным ГК РФ. Таким образом, закон об ЭЦП, дает возможность вступать в полноправные гражданско-правовые отношения с использованием ЭЦП в качестве АСП без предварительного заключения соглашения сторон". II. Сфера действия закона и ГК РФ. Действие ГК РФ, как и конституционного закона, не может быть отменено или изменено иным нормативным актом, в том числе федеральным законом. В связи с этим федеральный закон "Об электронной цифровой подписи" лишь определяет порядок использования одного из АСП, а именно ЭЦП, строгое определение которого зафиксировано в законе. Поскольку среди всех возможных АСП закон регулирует применение одного - ЭЦП, постольку регулирование порядка применения иных АСП остается неизменным, а именно основывается на ГК РФ, предусматривающим заключение соглашения сторон. Таким образом, в связи с принятием закона изменился только порядок применения одного из АСП - ЭЦП. На этот факт прямо указывает пункт 2 статьи 1 закона "Об электронной цифровой подписи". Согласно п. 2. статьи 1. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи. III. Соотношение между АСП, Цифровой Подписью (ЦП) и ЭЦП На сегодняшний день используется большой набор различных АСП - биометрические, PIN коды, факсимильные и т.д. В том числе широко используются системы цифровой подписи - ЦП. Технологии ЦП разнообразны и дифференцированы. Среди всех возможных технологий ЦП выбрана одна, строго определенная в законе и названная ЭЦП. Следовательно, соотношение между АСП, ЦП и ЭЦП выглядит так. Цифровая подпись (ЦП) является частным случаем аналога собственноручной подписи (АСП). В свою очередь, электронная цифровая подпись (ЭЦП) является частным случаем цифровой подписи. IV. Что такое ЭЦП Дефиниция понятия ЭЦП приведена в законе "Об электронной цифровой подписи". Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе; Таким образом, понятие ЭЦП неразрывно связывается с понятием сертификата ключа, понятием криптографического преобразования и электронным документом. Следовательно, к системам ЭЦП следует относить только системы подтверждения подлинности электронных документов с использованием сертификатов и основанных на криптографических преобразованиях. Кроме того, использование ЭЦП согласно закону, возможно только для электронных документов. Закон не распространяет свое действие на применение ЭЦП к другим типам документов. Рассмотрим все признаки ЭЦП. Непосредственно в законе дано определение сертификата ключа, электронной цифровой подписи. Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи; Строгое определение электронного документа сегодня отсутствует, тем не менее, на практике используется понятие, введенное в законе "Об информации, информатизации и защите информации" Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать; Как видно определение расплывчатое. В подготовленном законопроекте "Об электронном документе" указывается, какие именно реквизиты должны быть обязательны для документа: · обозначение и наименование документа; · даты создания, утверждения и последнего изменения; · сведения о создателях; · сведения о защите электронного документа; · сведения о средствах электронной цифровой подписи или средствах хэширования, необходимых для проверки электронной цифровой подписи или контрольной характеристики данного электронного документа; · сведения о технических и программных средствах, необходимых для воспроизведения электронного документа; · сведения о составе электронного документа. Хотя пока руководствоваться данными положениями нельзя, тем не менее, основываясь на определении из закона "Об информации, информатизации и защите информации" можно однозначно сказать, блоки данных, передаваемые по каналам связи (т.к. они не фиксируются на носителях) к документам не относятся, также к документам не могут быть отнесены пакеты данных, возникающие при обмене данными по Интернету и др. Понятие криптографического преобразования в законе и иных нормативных документах, имеющих юридическую силу, отсутствует. С другой стороны, понятие средств криптографической защиты информации (СКЗИ) и шифровальных средств имеется в ведомственных документах ФАПСИ. Так же некоторые производители позиционируют свою продукцию, как СКЗИ, или как шифровальные средства. В связи с этим средства цифровой подписи (устоявшийся международный термин digital signature), построенные без использования системы сертификатов, а именно такие системы в большинстве используют Российские потребители не являются системами ЭЦП, с точки зрения определения закона. Более того, системы с использованием сертификатов, но без создания удостоверяющих центров, а также системы, в которых подписи зарегистрированы на юридическое лицо, с точки зрения рассматриваемого закона относятся к иным аналогам собственноручной подписи и законом не регулируются. Также к системам ЭЦП не относятся системы в которых АСП, в т.ч. ЦП используются для подписи данных, не являющихся электронными документами. К системам ЭЦП следует относить только те системы, которые: 1. Используют систему сертификатов, в соответствии с определением сертификата, и выполнением требованиям к сертификатам, данным в законе об ЭЦП. 2. Используются для заверения электронных документов в смысле определения данным в законе "Об информации, информатизации и защите информации" 3. Позиционируются разработчиками, как криптографическое средство. V. Классификация систем цифровой подписи. Особенности регулирования. Системы без использования сертификатов или УЦ Не регулируются законом "Об ЭЦП". Регулирование в них основано на следующих документах: 1. "Гражданский Кодекс Российской Федерации": Часть первая, Статья 160, п. 2, в котором говорится: Часть первая, Статья 434, п.1 Часть первая, Статья 434, п.2 2. Федеральный Закон "Об информации, информатизации и защите информации", 3. Официальные материалы Высшего Арбитражного Суда РФ: Письмо от 24 апреля 1992 г. № К-3/96 , согласно которого Письмо от 19 августа 1994 г. № С1-7 / оп-578 Письмо от 7 июня 1995 года № С1 / ОЗ-316 Системы с использованием сертификатов и УЦ Какое положение по отношению закона занимают системы, использующие сертификаты и удостоверяющие центры. Возможно несколько случаев: Корпоративная система без использования СКЗИ. Если Ваша система цифровой подписи не является СКЗИ или шифровальным средством , квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ. В этом случае регулирование ее использования находится вне сферы рассматриваемого закона, и регулируется аналогично случаю Системы без использования сертификатов или УЦ. Дополнительная информация. Как определить корпоративный статус системы. В случае если пользователи системы, подключены к единому поставщику услуг (группе поставщиков услуг, связанных между собой договорами), имеющему удостоверяющий центр, и работают на основе договора. Система является корпоративной. Для однозначного отнесения системы к корпоративной в договоре на оказание услуг необходимо: 1. Обязательно указать статус системы, как корпоративный. 2. Указать, что доступ к систем возможен только при получении специального абонентского комплекта (программно-аппаратного обеспечения), отсутствие которого не позволяет подключаться к системе. 3. Указать, что получить указанный абонентский комплект (скачать с сайта или получить иным, нежели при непосредственном контакте путем) пользователь может, только согласившись с правилами корпоративной системы, в т.ч. в электронном виде (путем акцепта предложения на сайте, направления письма или напрямую подписав договор). В этом случае система определяется как корпоративная в независимости от каналов доступа (Интернет, телефон и т.д.), поскольку в этом случае сети публичных провайдеров используются исключительно как транспортная среда и не служат для оказания публичной услуги. Квалифицирующим признаком "корпоративная система", служит отсутствие возможности подключения к системе пользователя публичных систем без предварительного заключения договора. Публичная система без использования СКЗИ. Поскольку, как и в предыдущем случае Ваша система цифровой подписи не является СКЗИ или шифровальным средством, квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ. Постольку регулирование ее использования находится вне сферы рассматриваемого закона, и регулируется аналогично случаю Системы без использования сертификатов или УЦ. Корпоративная система с использованием СКЗИ Если Ваша система основана на криптографических преобразованиях, квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ, В этом случае согласно закону, система является корпоративной системой ЭЦП и регулируется по Статье 17 закона "Об ЭЦП": Статья 17. 2. Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы. Дополнительно в этом случае, согласно закону о лицензировании отдельных видов деятельности Вам необходимо получить: 1. Лицензию на право ведения деятельности, связанной с оказанием услуг, связанных с использованием ЭЦП. 2. Лицензию на деятельность УЦ. Публичная система с использованием СКЗИ По сравнению с предыдущим вариантом, накладывается дополнительное ограничение, связанное с необходимостью использовать только, сертифицированное программное обеспечение. В случае использования внешнего УЦ, требование на получение лицензии на деятельность УЦ, снимается. VI. Выводы 1. Единственной основой для регулирования порядка применения АСП остается Гражданский Кодекс РФ, содержащий отсылочные нормы, либо к действующему закону, регулирующему порядок применения АСП, либо к договору сторон. 2. Регулирование порядка применения одного из видов АСП - ЭЦП осуществляется законом "Об электронной цифровой подписи". 3. Регулирование порядка применения иных АСП, в том числе цифровой подписи - ЦП остается предметом договорного права, что непосредственно следует из текста ГК и закона об ЭЦП. 4. Большинство технологии цифровой подписи (ЦП) не являются технологией, регулирование которой предусмотрено законом об ЭЦП. 5. Регулирование порядка использования основных типов ЦП выглядит следующим образом. |
Система без использования сертификатов | | Система без использования шифровальных средств | Система с использованием шифровальных средств | | Корпоративная | Публичная | Корпоративная | Публичная | | I | I | I | I | | Нет | Нет | №1 | №1 | | Система с использованием сертификатов | | Система без использования шифровальных средств | Система с использованием шифровальных средств | | Корпоративная | Публичная | Корпоративная | Публичная | | I | I | II | II | | Нет | Нет | №1, №2 | №1. | | |
I - регулирование на основе договорных отношений II - регулирование на основе закона об ЭЦП Лицензия №1 - лицензия на деятельность по оказанию услуг, связанных с использованием ЭЦП. Лицензия №2 - лицензия на деятельность УЦ. 2. Пример практического применения механизма электронно-цифровой подписиДля чего это нужноСтолкнувшись с проблемой обеспечения контроля подлинности документов хранимых в БД, я довольно долго искал способ ее решения. Та информация, что встречается, слабо полезна новичкам, ибо имеет уклон либо в теорию/математику асимметричных алгоритмов шифрования, либо в юриспруденцию (да да, те самые законы об электронно-цифровой подписи). Попытаюсь в меру своих сил исправить положение.Пример реализован в среде Delphi 6, СУБД Interbase/Firebird, компоненты доступа InterBase Express (IBX), шифрование - LockBox . Для получения хеша используется алгоритм MD5, шифрование RSA.В БД заведена таблица документов DOCUMENTS, подлинность которых нам и нужно контролировать, таблица DOCUMENT_SIGNS - подписи документов определенными пользователями из таблицы USERS.Логика работыПользователю генерируются/назначаются два ключа - открытый (публичный) и закрытый (приватный). Первый доступен всем (будет использоваться для проверки подлинности подписи и документа), а второй только пользователю. Для подписания документа вычисляется его хеш (шифрование всего полумегабайтного документа довольно ресурсоемко), этот хеш шифруется закрытым ключом (сделать это - т.е. сформировать собственно подпись может только владелец ключа и никто кроме него) и вносится в таблицу DOCUMENT_SIGNS, привязываясь конкретному пользователю и документу. Если кто-либо хочет проверить подписан ли документ пользователем, или пользователь хочет проконтролировать неизменность документа - он расшифровывает подпись открытым ключом и сравнивает с хешем документа - если они совпали - документ аутентичен Хеш документа вычисляется на сервере (что б не гонять зря данные) с помощью UDF. Для этого реализованы две функции - хеширование блоба (md5_blob) и хеширование строки (md5_string). Если документ хранится как блоб то все просто, а если как набор полей, то можно считать хеш от строки, состоящей из конкатенированных полей ( select md5_string(d.doc_f2||d.doc_f1) from documents d). В последнем случае помним: поля, на основании которых вычисляется хеш не должны быть nullable - null+value=null, сумма длин всех полей не более максимальной длинны строки СУБД.Расшифровка подписи выполняется в клиентском приложении, но никто не мешает вынести их в udf.Хеширование - в идеале необратимое преобразование позволяющее для данных переменной длинны вернуть однозначно соответствующее им данные фиксированного размера(дайджест, хеш), обычно 128 бит.ПримерПример состоит из двух приложений - клиентского и административного. Для его работы нужно иметь установленный сервер СУБД. Администраторский интерфейс.Генерация пар ключей, назначение публичного ключа пользователю, сохранение приватного ключа в файл. Важен размер ключа, для клиентского приложения он "зашит" в код (1024).Клиентский интерфейс.Подписание выбранного документа определенным пользователем, проверить подпись, снять подпись с документа.Практическое применение может быть довольно разнообразным: подписание ключевых элементов БД для последующего "разбора полетов" в случае конфликтных ситуаций, организация внутреннего безбумажного документооборота организации, авторизация в приложениях с помощью "ключевой" дискеты...Список использованной литературы:1. Copyright, 2003, Мариуполь, Николай Пономаренко Статья для Delphi Plus2. ФЗ «Об Электронной цифровой подписи» № 1-ФЗ от 10.01.2002 г.3. Гражданский Кодекс РФ4. Internet
|