- Согласно Закону ЭЦП:
- Защищает содержание документа.
- Идентифицирует владельца сертификата ключа подписи – лицо, которое правомерно обладает ЭЦП.
- Устанавливает отсутствие искажений информации в документе.
- В самом Законе «Об ЭЦП» природа ЭЦП не раскрывается, существует Модельный закон СНГ «Об ЭЦП», принятый еще в 2000 году.
Там ЭЦП определяется как электронные данные, полученные в результате преобразования с использованием закрытого ключа подписи. В нашей стране есть 3 ГОСТа по процедуре создания и проверки ЭЦП:
- ГОСТ 1989 года «Системы обработки информации. Защита криптографическая, алгоритмы криптографического преобразования»,
- ГОСТ 1994 года «Информационные технологии. Криптографическая защита информации. Процедуры выработки и проверки ЭЦП на базе криптографического алгоритма»,
- ГОСТ 1994 года «Информационные технологии. Криптографическая защита информации. Функция хеширование информации».
- Таким образом, природа ЭЦП – это код (совокупность символов), созданный на основе математических разделов криптографии. С математической точки зрения – кодовое средство, с точки зрения реализации – программа, а форма существования – это электромагнитный сигнал в виде физического поля.
ЭЦП нельзя рассматривать даже теоретически, как аналог личной подписи человека и вот почему:
- Отсутствует непосредственная связь между личностью человека и ЭЦП, которая существует между человеком и его собственной подписью.
- Механизм выполнения личной подписи непосредственно обусловлен психофизиологическими характеристиками организма человека, в силу этого подпись неразрывно связана с личностью подписывающего.
- Связь между ЭЦП и человеком, её проставившим носит не биологический, а социальный характер. её существование, возникновение и прекращение обусловлено правовыми (договор с держателем сертификата), организационными и техническими факторами. Следовательно, идентификация конкретного человека непосредственно по ЭЦП невозможна.
- Установление подлинности подписи человека свидетельствует об идентификации определенного человека. Установление же подлинности ЭЦП свидетельствует только о доступе лица, её поставившего, к средствам составления ЭЦП. Потому возможно, что лицо получило доступ к этим средствам неправомерно. Потому когда мы говорим, что надо доказать подлинность ЭЦП, надо установить – не было ли дополнительных факторов, что средства создания ЭЦП могли выйти из под контроля человека – владельца, но это сделать по большому счету невозможно. Потому отождествление в ФЗ «Об ЭЦП» ЭЦП и собственноручной подписи запутывает участников оборота.
Конечно, законодатель понимает, что она уязвима, потому есть дополнительные условия защиты, и условия использования в разных законах. Например, когда есть нарушение тайны закрытого ключа ЭЦП, в этом случае подписавшее лицо не несет ответственности. Факторами могут являться – взлом сейфа с дискетой, на которой закрытый ключ, или увольнение сотрудника – имеющего эту дискету, в этих случаях – ЭЦП будет проставлено по всем правилам, но компьютерный документ все равно будет неправомерный.
- Код, т.е. закрытый ключ подписи, эффективно используется, когда правила составления кода известны ограниченному персонально ответственному кругу лиц, знающему порядок составления такого кода. Благодаря этому защитная функция этого реквизита сильно возрастает. Законодатель предусмотрел в п. 4 ст. 5 ФЗ «Об информации», что удостоверение идентичности ЭЦП может осуществляться только лицами (организациями), имеющими лицензию на данный вид деятельности. Расшифровка ЭЦП может быть сделана в случае спора в суде при оценке документа, подготовленного ЭВМ, в качестве доказательства, так как этого требует принцип гласности. Расшифровка ЭЦП будет обязательна, если предметом разбирательства становится механизм защиты документа, например, спор о достоверности компьютерного документа. В случае, когда ЭЦП будет предметом анализа в суде можно предусмотреть проведение закрытого судебного заседания, так как порядок создания ЭЦП относится к охраняемой законом тайне (нужно ходатайство сторон).
- Как это работает?
1 - Есть закрытый ключ ЭЦП – т.е. программа для выработки самой ЭЦП + закрытый ключ – это код, выраженный в программном средстве, известный ограниченному кругу лиц. В РФ ЭЦП рассматривается как универсальный и надежный элемент защиты компьютерного документа.
Первая группа программных средств создает ЭЦП в документе с помощью закрытого ключа ЭЦП
Вторая группа программных средств подтверждает подлинность ЭЦП с помощью открытого ключа ЭЦП.
Третья группа программных средств, которые создают закрытые и открытые ключи ЭЦП.
Закрытый ключ у владельца сертификата ключа подписи – это секретный ключ, выраженный в программе – кодировщике. Закрытый ключ ЭЦП связан с количественными параметрами документа. Т.е. изменение символа меняет и ЭЦП, таким образом, можно отследить изменения документа. Это эффективный инструмент.
2 – Есть открытый ключ ЭЦП, которым обладает получатель документа. Это криптографическая программа, которая используется для расшифровки документа. Она также позволяет расшифровать хеш значения, который отправил отправитель и сравнить с тем, что получил адресат. При совпадении – считается, что документ подлинный. Открытый ключ подписи не является секретным и не позволяет использовать его для кодирования документов. Однако сама по себе проверка ЭЦП требует одновременное соблюдение условий:
- Сертификат ключа подписи должен действовать на момент проверки и подписания документа.
- Подтверждена подлинность ЭЦП, т.е. должна быть собственно эта проверка ЭЦП с использованием открытого ключа.
- ЭЦП должно использоваться в соответствии со сведениями, указанными в сертификате ключа подписи.
Таким образом, соблюдение технологии проверки ЭЦП – одно из условий придания силы документу, а конструкция в целом, как мы видим по вышесказанному, сложная. Законодатель предусмотрел механизмы создания, использования и аннулирования подписи.
3 - Есть особый субъект – удостоверяющий центр, который этим занимается. Это весьма важный участник. Из 21 статьи федерального закона 8 посвящены этим центрам. Полномочия удостоверяющего центра:
- Изготовления и выдача сертификатов ключей.
- Ведение реестра сертификатов ключей.
- Приостановление, возобновление, аннулирование сертификатов ключей ЭЦП.
- Создание ключей.
- Проверка уникальности открытых ключей.
- Подтверждение подлинности.
Деятельность удостоверяющих центров подлежит обязательному лицензированию.