Содержание:
1. Разъясненияпо использованию систем цифровой подписи в связи с ведением закона «Обэлектронной цифровой подписи»2. Пример практического применения механизмаэлектронно-цифровой подписи
Списокиспользованной литературы
1.Разъясненияпо использованию систем цифровой подписи в связи с введением закона «Об электроннойцифровой подписи»
В связи с введением вдействие федерального закона «Об электронной цифровой подписи»некоторые потребители средств защиты информации проявляют озабоченность в связис легальностью использования систем цифровой подписи и иных аналоговсобственноручной подписи.
Цель настоящего документаразъяснить ситуацию, сложившуюся в связи с принятием закона, определить сферуего действия и порядок использования систем цифровой подписи, которые быливведены в эксплуатацию до принятия закона.
I. Цель принятиязакона
До момента принятиязакона единственной правовой основой для применения аналогов собственноручнойподписи (АСП), в том числе в электронном документообороте являлась первая частьГражданского Кодекса РФ (Статья 160, п. 2, Статья 434, п.1, Статья 434, п.2)
Статья 160 п. 2.
Использование присовершении сделок факсимильного воспроизведения подписи с помощью средствмеханического или иного копирования, электронно-цифровой подписи либо иногоаналога собственноручной подписи допускается в случаях и в порядке,предусмотренных законом, иными правовыми актами или соглашением сторон.
Статья 434 п.п. 1,2.
1. Договор может бытьзаключен в любой форме, предусмотренной для совершения сделок, если законом длядоговоров данного вида не установлена определенная форма.
Если стороныдоговорились заключить договор в определенной форме, он считается заключеннымпосле придания ему условленной формы, хотя бы законом для договоров данноговида такая форма не требовалась.
2. Договор вписьменной форме может быть заключен путем составления одного документа,подписанного сторонами, а также путем обмена документами посредством почтовой,телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющейдостоверно установить, что документ исходит от стороны по договору.
Дополнительныеразъяснения, по порядку использования АСП давались в инструктивных материалахВысшего Арбитражного суда РФ.
Из формулировоквышеупомянутых статей ГК, прямо следует, что в случае отсутствия закона илииного нормативного акта, предусматривающего порядок использования АСП, порядокиспользования АСП определяется соглашением сторон. Именно по этой схемедействовали и действуют до настоящего времени все системы с использованием цифровойподписи, которая в соглашении сторон признается АСП.
Основной целью принятиязакона «Об электронной цифровой подписи» являлось дополнениедоговорной схемы регулирования взаимоотношения сторон, предусмотренной ГК РФзаконодательным регулированием, также предусмотренным ГК РФ.
Таким образом, закон обЭЦП, дает возможность вступать в полноправные гражданско-правовые отношения сиспользованием ЭЦП в качестве АСП без предварительного заключения соглашениясторон".
II. Сфера действиязакона и ГК РФ.
Действие ГК РФ, как иконституционного закона, не может быть отменено или изменено иным нормативнымактом, в том числе федеральным законом. В связи с этим федеральный закон«Об электронной цифровой подписи» лишь определяет порядокиспользования одного из АСП, а именно ЭЦП, строгое определение которогозафиксировано в законе.
Поскольку среди всехвозможных АСП закон регулирует применение одного — ЭЦП, постольку регулированиепорядка применения иных АСП остается неизменным, а именно основывается на ГКРФ, предусматривающим заключение соглашения сторон.
Таким образом, в связи спринятием закона изменился только порядок применения одного из АСП — ЭЦП.
На этот факт прямоуказывает пункт 2 статьи 1 закона «Об электронной цифровой подписи».
Согласно п. 2. статьи 1.
Действие настоящегоФедерального закона распространяется на отношения, возникающие при совершениигражданско-правовых сделок и в других предусмотренных законодательствомРоссийской Федерации случаях. Действие настоящего Федерального закона нераспространяется на отношения, возникающие при использовании иных аналоговсобственноручной подписи.
III. Соотношение междуАСП, Цифровой Подписью (ЦП) и ЭЦП
На сегодняшний деньиспользуется большой набор различных АСП — биометрические, PIN коды,факсимильные и т.д. В том числе широко используются системы цифровой подписи — ЦП. Технологии ЦП разнообразны и дифференцированы. Среди всех возможныхтехнологий ЦП выбрана одна, строго определенная в законе и названная ЭЦП.
Следовательно,соотношение между АСП, ЦП и ЭЦП выглядит так.
Цифровая подпись (ЦП) являетсячастным случаем аналога собственноручной подписи (АСП). В свою очередь,электронная цифровая подпись (ЭЦП) является частным случаем цифровой подписи.
IV. Что такое ЭЦП
Дефиниция понятия ЭЦПприведена в законе «Об электронной цифровой подписи».
Электроннаяцифровая подпись— реквизитэлектронного документа, предназначенный для защиты данного электронногодокумента от подделки, полученный в результате криптографическогопреобразования информации с использованием закрытого ключа электронной цифровойподписи и позволяющий идентифицировать владельца сертификата ключа подписи, атакже установить отсутствие искажения информации в электронном документе;
Таким образом, понятиеЭЦП неразрывно связывается с понятием сертификата ключа, понятиемкриптографического преобразования и электронным документом.
Следовательно, к системамЭЦП следует относить только системы подтверждения подлинности электронныхдокументов с использованием сертификатов и основанных на криптографическихпреобразованиях. Кроме того, использование ЭЦП согласно закону, возможнотолько для электронных документов. Закон не распространяет свое действие наприменение ЭЦП к другим типам документов.
Рассмотрим все признакиЭЦП.
Непосредственно в законедано определение сертификата ключа, электронной цифровой подписи.
Сертификат ключаподписи — документ на бумажном носителе или электронный документ с электронной цифровойподписью уполномоченного лица удостоверяющего центра, которые включают в себяоткрытый ключ электронной цифровой подписи и которые выдаются удостоверяющимцентром участнику информационной системы для подтверждения подлинностиэлектронной цифровой подписи и идентификации владельца сертификата ключаподписи;
Строгое определение электронногодокумента сегодня отсутствует, тем не менее, на практике используетсяпонятие, введенное в законе «Об информации, информатизации и защитеинформации»
Документированнаяинформация (документ) — зафиксированная на материальном носителе информация с реквизитами,позволяющими ее идентифицировать;
Как видно определениерасплывчатое. В подготовленном законопроекте «Об электронномдокументе» указывается, какие именно реквизиты должны быть обязательны длядокумента:
· обозначение инаименование документа;
· даты создания,утверждения и последнего изменения;
· сведения осоздателях;
· сведения о защитеэлектронного документа;
· сведения осредствах электронной цифровой подписи или средствах хэширования, необходимыхдля проверки электронной цифровой подписи или контрольной характеристикиданного электронного документа;
· сведения отехнических и программных средствах, необходимых для воспроизведенияэлектронного документа;
· сведения осоставе электронного документа.
Хотя покаруководствоваться данными положениями нельзя, тем не менее, основываясь наопределении из закона «Об информации, информатизации и защитеинформации» можно однозначно сказать, блоки данных, передаваемые поканалам связи (т.к. они не фиксируются на носителях) к документам не относятся,также к документам не могут быть отнесены пакеты данных, возникающие при обменеданными по Интернету и др.
Понятие криптографическогопреобразования в законе и иных нормативных документах, имеющих юридическуюсилу, отсутствует.
С другой стороны, понятиесредств криптографической защиты информации (СКЗИ) и шифровальных средствимеется в ведомственных документах ФАПСИ. Так же некоторые производителипозиционируют свою продукцию, как СКЗИ, или как шифровальные средства.
В связи с этим средствацифровой подписи (устоявшийся международный термин digital signature),построенные без использования системы сертификатов, а именно такие системы вбольшинстве используют Российские потребители не являются системами ЭЦП, сточки зрения определения закона.
Более того, системы сиспользованием сертификатов, но без создания удостоверяющих центров, а также системы,в которых подписи зарегистрированы на юридическое лицо, с точки зрениярассматриваемого закона относятся к иным аналогам собственноручной подписи изаконом не регулируются.
Также к системам ЭЦП неотносятся системы в которых АСП, в т.ч. ЦП используются для подписи данных, неявляющихся электронными документами.
К системам ЭЦП следуетотносить только те системы, которые:
1. Используютсистему сертификатов, в соответствии с определением сертификата, и выполнениемтребованиям к сертификатам, данным в законе об ЭЦП.
2. Используются длязаверения электронных документов в смысле определения данным в законе «Обинформации, информатизации и защите информации»
3. Позиционируютсяразработчиками, как криптографическое средство.
V. Классификациясистем цифровой подписи. Особенности регулирования.
Системы безиспользования сертификатов или УЦ
Не регулируются законом«Об ЭЦП». Регулирование в них основано на следующих документах:
1. «ГражданскийКодекс Российской Федерации»:
Часть первая, Статья 160,п. 2, в котором говорится:
Часть первая, Статья 434,п.1
Часть первая, Статья 434,п.2
2. Федеральный Закон«Об информации, информатизации и защите информации»,
3. Официальныематериалы Высшего Арбитражного Суда РФ:
Письмо от 24 апреля 1992 г. № К-3/96, согласно которого
Письмо от 19 августа 1994 г. № С1-7 / оп-578
Письмо от 7 июня 1995года № С1 / ОЗ-316
Системы сиспользованием сертификатов и УЦ
Какое положение поотношению закона занимают системы, использующие сертификаты и удостоверяющиецентры.
Возможно несколькослучаев:
Корпоративнаясистема без использования СКЗИ.
Если Ваша системацифровой подписи не является СКЗИ или шифровальным средством, квалифицирующимпризнаком чего является наличие сертификата ФАПСИ на используемые средства, илипозиционирование разработчиком своих разработок, как шифровальных средств илиСКЗИ. В этом случае регулирование ее использования находится вне сферы рассматриваемогозакона, и регулируется аналогично случаю Системы без использованиясертификатов или УЦ.
Дополнительнаяинформация.
Как определитькорпоративный статус системы.
В случае еслипользователи системы, подключены к единому поставщику услуг (группе поставщиковуслуг, связанных между собой договорами), имеющему удостоверяющий центр, иработают на основе договора. Система является корпоративной.
Для однозначногоотнесения системы к корпоративной в договоре на оказание услуг необходимо:
1. Обязательно указатьстатус системы, как корпоративный.
2. Указать, чтодоступ к систем возможен только при получении специального абонентскогокомплекта (программно-аппаратного обеспечения), отсутствие которого непозволяет подключаться к системе.
3. Указать, чтополучить указанный абонентский комплект (скачать с сайта или получить иным,нежели при непосредственном контакте путем) пользователь может, толькосогласившись с правилами корпоративной системы, в т.ч. в электронном виде(путем акцепта предложения на сайте, направления письма или напрямую подписавдоговор).
В этом случае системаопределяется как корпоративная в независимости от каналов доступа (Интернет,телефон и т.д.), поскольку в этом случае сети публичных провайдеровиспользуются исключительно как транспортная среда и не служат для оказанияпубличной услуги. Квалифицирующим признаком «корпоративная система»,служит отсутствие возможности подключения к системе пользователя публичныхсистем без предварительного заключения договора.
Публичная системабез использования СКЗИ.
Поскольку, как и впредыдущем случае Ваша система цифровой подписи не является СКЗИ илишифровальным средством, квалифицирующим признаком чего является наличиесертификата ФАПСИ на используемые средства, или позиционирование разработчикомсвоих разработок, как шифровальных средств или СКЗИ. Постольку регулирование ееиспользования находится вне сферы рассматриваемого закона, и регулируетсяаналогично случаю Системы без использования сертификатов или УЦ.
Корпоративнаясистема с использованием СКЗИ
Если Ваша системаоснована на криптографических преобразованиях, квалифицирующим признаком чегоявляется наличие сертификата ФАПСИ на используемые средства, илипозиционирование разработчиком своих разработок, как шифровальных средств илиСКЗИ,
В этом случае согласнозакону, система является корпоративной системой ЭЦП и регулируется по Статье 17закона «Об ЭЦП»:
Статья 17.
2. Порядокиспользования электронных цифровых подписей в корпоративной информационнойсистеме устанавливается решением владельца корпоративной информационной системыили соглашением участников этой системы.
Дополнительно в этомслучае, согласно закону о лицензировании отдельных видов деятельности Вамнеобходимо получить:
1. Лицензию на правоведения деятельности, связанной с оказанием услуг, связанных с использованиемЭЦП.
2. Лицензию надеятельность УЦ.
Публичная система сиспользованием СКЗИ
По сравнению с предыдущимвариантом, накладывается дополнительное ограничение, связанное с необходимостьюиспользовать только, сертифицированное программное обеспечение.
В случае использованиявнешнего УЦ, требование на получение лицензии на деятельность УЦ, снимается.
VI. Выводы
1. Единственнойосновой для регулирования порядка применения АСП остается Гражданский КодексРФ, содержащий отсылочные нормы, либо к действующему закону, регулирующемупорядок применения АСП, либо к договору сторон.
2. Регулированиепорядка применения одного из видов АСП — ЭЦП осуществляется законом «Обэлектронной цифровой подписи».
3. Регулированиепорядка применения иных АСП, в том числе цифровой подписи — ЦП остаетсяпредметом договорного права, что непосредственно следует из текста ГК и законаоб ЭЦП.
4. Большинствотехнологии цифровой подписи (ЦП) не являются технологией, регулирование которойпредусмотрено законом об ЭЦП.
5. Регулированиепорядка использования основных типов ЦП выглядит следующим образом.
Система без использования сертификатов
Система без использования шифровальных средств Система с использованием шифровальных средств
Корпоративная Публичная Корпоративная Публичная
I I I I
Нет Нет №1 №1
Система с использованием сертификатов
Система без использования шифровальных средств Система с использованием шифровальных средств
Корпоративная Публичная Корпоративная Публичная
I I II II
Нет Нет №1, №2 №1. /> /> /> /> /> /> /> /> />
I — регулирование наоснове договорных отношений
II — регулирование наоснове закона об ЭЦП
Лицензия №1 — лицензия надеятельность по оказанию услуг, связанных с использованием ЭЦП.
Лицензия №2 — лицензия надеятельность УЦ. 2. Примерпрактического применения механизма электронно-цифровой подписи
Для чего это нужно
Столкнувшись с проблемойобеспечения контроля подлинности документов хранимых в БД, я довольно долгоискал способ ее решения. Та информация, что встречается, слабо полезнановичкам, ибо имеет уклон либо в теорию/математику асимметричных алгоритмовшифрования, либо в юриспруденцию (да да, те самые законы об электронно-цифровойподписи). Попытаюсь в меру своих сил исправить положение.
Пример реализован в средеDelphi 6, СУБД Interbase/Firebird, компоненты доступа InterBase Express (IBX),шифрование — LockBox. Для получения хеша используется алгоритм MD5,шифрование RSA.
В БД заведена таблицадокументов DOCUMENTS, подлинность которых нам и нужно контролировать, таблицаDOCUMENT_SIGNS — подписи документов определенными пользователями из таблицы USERS.
/>
Логика работы
Пользователюгенерируются/назначаются два ключа — открытый (публичный) и закрытый(приватный). Первый доступен всем (будет использоваться для проверкиподлинности подписи и документа), а второй только пользователю. Для подписаниядокумента вычисляется его хеш (шифрование всего полумегабайтного документадовольно ресурсоемко), этот хеш шифруется закрытым ключом
/>
(сделать это — т.е.сформировать собственно подпись может только владелец ключа и никто кроме него)и вносится в таблицу DOCUMENT_SIGNS, привязываясь конкретному пользователю идокументу. Если кто-либо хочет проверить подписан ли документ пользователем,или пользователь хочет проконтролировать неизменность документа — онрасшифровывает подпись открытым ключом и сравнивает с хешем документа — еслиони совпали — документ аутентичен
/>
Хеш документа вычисляетсяна сервере (что б не гонять зря данные) с помощью UDF. Для этого реализованыдве функции — хеширование блоба (md5_blob) и хеширование строки (md5_string).Если документ хранится как блоб то все просто, а если как набор полей, то можносчитать хеш от строки, состоящей из конкатенированных полей ( selectmd5_string(d.doc_f2||d.doc_f1) from documents d). В последнем случае помним: поля,на основании которых вычисляется хеш не должны быть nullable — null+value=null,сумма длин всех полей не более максимальной длинны строки СУБД.
Расшифровка подписивыполняется в клиентском приложении, но никто не мешает вынести их в udf.
Хеширование — в идеаленеобратимое преобразование позволяющее для данных переменной длинны вернутьоднозначно соответствующее им данные фиксированного размера(дайджест, хеш),обычно 128 бит.
Пример
Пример состоит из двухприложений — клиентского и административного. Для его работы нужно иметьустановленный сервер СУБД.
/>
Администраторскийинтерфейс.
Генерация пар ключей,назначение публичного ключа пользователю, сохранение приватного ключа в файл.Важен размер ключа, для клиентского приложения он «зашит» в код(1024).
/>
Клиентский интерфейс.
Подписание выбранногодокумента определенным пользователем, проверить подпись, снять подпись сдокумента.
Практическое применениеможет быть довольно разнообразным: подписание ключевых элементов БД дляпоследующего «разбора полетов» в случае конфликтных ситуаций,организация внутреннего безбумажного документооборота организации, авторизацияв приложениях с помощью «ключевой» дискеты...
Списокиспользованной литературы:
1. Copyright, 2003,Мариуполь, Николай Пономаренко Статья для Delphi Plus
2. ФЗ «ОбЭлектронной цифровой подписи» № 1-ФЗ от 10.01.2002 г.
3. ГражданскийКодекс РФ
4. Internet