Преимущества электронной цифровой подписи и ее отличия от собственноручной подписи. Преимущества и недостатки электронной подписи


ПРЕИМУЩЕСТВА И ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ

ПРЕИМУЩЕСТВА  И  ПРОБЛЕМЫ  ИСПОЛЬЗОВАНИЯ  ЭЛЕКТРОННОЙ  ЦИФРОВОЙ  ПОДПИСИ

Рахматуллин  Артур  Ранильевич

студент  I  курса  магистратуры  экономического  факультета  ФГБОУ  ВПО  «Оренбургский  ГАУ»,  г.  Оренбург

E-mail:  [email protected]

Потапова  Алена  Николаевна

научный  руководитель,  канд.  ист.  наук,  доцент  кафедры  истории  Отечества  ФГБОУ  ВПО  «Оренбургский  ГАУ»,  г.  Оренбург

 

В  современном,  динамично  развивающемся  и  высокотехнологичном  мире  большое  внимание  уделяется  информационным  технологиям.  С  развитием  информационных  технологий  стали  активно  применяться  электронные  документы,  манипуляции  с  которым  можно  совершать  гораздо  быстрее,  нежели  с  бумажными  аналогами.  В  связи  с  этим  использование  электронных  документов  позволяет  большую  часть  общественных  отношений  перевести  на  качественно  иной  уровень  —  уровень  информационного  общества,  для  которого  характерны  мобильность,  эргономичность  и  экономия  времени.  Особое  место  в  электронном  документообороте  занимает  задача  идентификации  волеизъявителей,  решить  которую  призвана  электронная  подпись  (ЭП)  —  наиболее  удобный  современный  инструмент  для  совершения  сделок  в  удаленном  режиме  и  обмена  юридически  значимой  документацией.

Идея  использования  ЭП  нашла  свое  воплощение  в  реальной  жизни  —  6  апреля  2011  года  был  принят  новый  Федеральный  закон  «Об  электронной  подписи»  (ФЗ-№  63).  Принятие  закона  было  обусловлено  приведением  отечественного  законодательства  в  соответствие  с  международными  стандартами.  ФЗ-№  63  раскрывает  понятие  «электронная  подпись»  —  это  информация  в  электронной  форме,  которая  присоединена  к  другой  информации  в  электронной  форме  (подписываемой  информации)  или  иным  образом  связана  с  такой  информацией  и  которая  используется  для  определения  лица,  подписывающего  информацию.  Закон  значительно  расширил  сферу  использования  электронной  подписи,  разрешил  ее  получение  не  только  физическим,  но  и  юридическим  лицам,  закрепил  систему  аккредитации  удостоверяющих  центров  и  др.  Одним  из  главных  новшеств  стало  введение  нескольких  видов  ЭП,  тогда  как  предыдущий  Федеральный  закон  от  10  января  2002  года  «Об  электронной  цифровой  подписи»  (утративший  силу  с  1  июля  2013  года)  предусматривал  только  один  ее  вид.  Так,  согласно  действующему  законодательству,  выделяют  простую  и  усиленную  ЭП,  последняя,  в  свою  очередь,  подразделяется  на  неквалифицированную  и  квалифицированную  [4,  ст.  5]  Усиленная  квалифицированная  подпись  создана  лицом,  которое  в  соответствии  с  федеральными  законами  и  изданными  в  соответствии  с  ними  нормативными  правовыми  актами  наделено  полномочиями  на  создание  и  подписание  таких  документов.

Выбор  того  или  иного  вида  ЭП  зависит  от  сферы  ее  использования,  так  как  действующее  законодательство  предъявляет  требования  к  использованию  строго  определенного  вида  электронной  подписи  в  разных  случаях.  Также,  стоит  обратить  внимание  на  то,  что  универсальной  ЭП  (по  причине  существующих  пока  еще  технических  нестыковок),  разрешенной  к  использованию  при  взаимоотношениях  со  всеми  государственными  органами  и  во  всех  сферах  электронного  документооборота,  пока  не  существует.  Так,  в  случае  обращения  за  получением  муниципальных  и  государственных  услуг,  если  их  содержание  состоит  в  предоставлении  справочной  информации  и  не  предусматривает  выдачу  документов,  в  большинстве  случаев  может  использоваться  простая  ЭП  [1].

Если  простая  ЭП  подтверждает,  что  электронное  сообщение  отправлено  конкретным  лицом,  то  неквалифицированная  ЭП  позволяет  подтвердить,  что  с  момента  подписания  документ  не  менялся.  Но  законодательством  в  большинстве  случаев  (для  сдачи  налоговой  отчетности,  участия  в  электронных  торгах  и  т.  д.)  предусмотрено  использование  усиленной  квалифицированной  ЭП. 

Определяясь  с  выбором  того  или  иного  вида  электронной  подписи  следует  иметь  в  виду,  что  организацию  юридически  значимого  документооборота  на  предприятии  с  использованием  ЭП  можно  вести  как  внутри  организации,  так  и  между  разными  организациями  и  при  этом  необходимо  учитывать  разрешимые  сферы  использования  каждого  из  видов  подписей.  ФЗ  «Об  электронной  подписи»  установил  две  презумпции.  Первая  из  них  заключается  в  том,  что  документы,  подписанные  усиленной  квалифицированной  ЭП,  признаются  равнозначными  бумажному  документу,  подписанному  собственноручно  [4,  п.  1  ст.  6]  Исключения  предусмотрены  только  в  тех  случаях,  когда  закон  прямо  предусматривает  обязательность  соблюдения  письменной  формы  документа.

Обратная  презумпция  установлена  в  отношении  равнозначности  подписанным  вручную  бумажным  документам  простой  и  усиленной  неквалифицированной  подписей.  При  этом  признание  такой  равнозначности  должно  быть  закреплено  либо  в  соглашении  сторон,  либо  в  федеральном  законе  или  принятом  в  соответствии  с  ним  подзаконном  акте.  Если  использование  неквалифицированной  ЭП  согласовано  сторонами,  то  в  соглашении  между  ними  обязательно  должен  быть  установлен  порядок  проверки  подписи.  Если  же  участники  электронного  взаимодействия  договорились  об  использовании  простой  ЭП,  то  подобное  соглашение  должно  также  предусматривать  правила  определения  подписавшего  документ  лица  по  его  простой  ЭП  и  обязанность  сторон  по  соблюдению  конфиденциальности  ключа  подписи  [4,  п.  2  ст.  6]

Тем  не  менее,  не  смотря  на  кажущиеся  сложности  использования  ЭП,  нормативное  регулирование  сферы  ее  использования  позволяет  упростить  и  ускорить  некоторые  юридически  значимые  действия  хозяйствующих  субъектов  —  стало  возможным  сдавать  налоговую  отчетность  через  интернет,  участвовать  в  электронных  торгах  государственного  и  корпоративного  заказа,  получить  доступ  к  электронным  услугам  ряда  ведомств,  совершать  операции  по  счету  и  обмениваться  с  банком  документами  без  визита  в  офис  и  др.  То  есть  использование  ЭП  позволяет  значительно  сократить  временные  издержки,  а  также  обеспечивает  взаимодействие  тех  или  иных  структур  независимо  от  их  удаленности  друг  от  друга.

Также,  следует  отметить,  что  лица,  использующие  ЭП,  получают  гарантию  защиты  от  подделок  документов.  ЭП  подделать  фактически  невозможно,  нежели  ручную.  Сделки,  совершенные  в  виртуальном  пространстве  становятся  безопаснее  сделок  реальной  действительности.

Технологические  же  особенности  ЭП  определили  то,  что  авторство  документа  доказать  не  составляет  труда  —  владелец  не  может  отказаться  от  электронной  цифровой  подписи,  размещенной  под  документом,  так  как  для  создания  корректной  подписи  нужен  закрытый  ключ,  который  имеется  лишь  у  хозяина  подписи  [3].

Таким  образом,  среди  основных  преимуществ  использования  ЭП  следует  выделить  экономию  времени,  безопасность  использования  и  надежность  обеспечиваемых  ею  сделок.

На  сегодняшний  день  нормативное  регулирование  сферы  использования  ЭП  несовершенно  и  требует  доработок,  тем  не  менее,  активное  использование  достижений  научно-технического  прогресса  не  должно  откладываться  до  лучших  времен.  Электронная  подпись  —  это  продукт,  способный  решать  задачи,  стоящие  перед  хозяйствующими  субъектами.  Электронная  подпись  —  это  инструмент  современного  информационного  общества,  преимущество  от  использования  которого  можно  считать  в  качестве,  пусть  не  конкурентного,  но  как  минимум,  вспомогательного  к  нему. 

Наряду  с  преимуществами,  использование  ЭП  может  вызвать  и  некоторые  затруднения.  Если  говорить  об  основной  проблеме,  препятствующая  широкому  использованию  ЭП,  то  она  заключается  в  отсутствии  доверия  со  стороны  населения  инновационным,  высокотехнологичным  решениям  задач,  стоящих  перед  современным  человеком  [5].  На  наш  взгляд,  причины  отсутствия  доверия  кроятся  в  низком  уровне  информационной  культуры  большей  части  населения  страны.  К  тому  же,  обеспечение  электронного  документооборота  требует  наличия  определенных  технических  средств,  минимального  набора  знаний,  позволяющих  без  затруднений  использовать  продукт  информационного  общества  —  электронную  подпись.  Информация,  содержащаяся  в  электронных  документах,  требует  соответствующей  защиты  от  несанкционированных  изменений  [2].  Кроме  того,  активному  использованию  ЭП  большинства  хозяйствующих  субъектов  препятствуют  ее  цена  и  необходимость  оформления  разных  подписей  для  взаимодействия  с  разными  госорганами  и  доступа  к  различным  базам  данных.

Как  показывает  практика,  даже  при  наличии  названных  недостатков,  широкое  использование  информационных  продуктов  не  заставляет  долго  ждать.  Давний  тезис  «будущее  за  информационными  технологиями»  успел  себя  оправдать.  Ведь  главные  преимущества  от  использования  информационных  продуктов  —  экономия  времени,  мобильность,  надежность  и  эргономичность  на  сегодняшний  день  обеспечивают  выживаемость  на  конкурентном  рынке.  Использование  ЭП  выражает  названные  преимущества.  Электронная  подпись  —  это  краеугольный  камень  развитого  электронного  документооборота,  интенсивного  экономического  развития,  успешного  функционирования  корпоративных  отношений.  И  широкое  ее  использование,  следует  полагать,  дело  самого  ближайшего  будущего.

 

Список  литературы:

1.Горовцова  М.  Переходим  с  обычной  подписи  на  электронную:  преимущества  и  нюансы  //  Информационно-правовой  портал  Гарант.  —  09.07.2013  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.garant.ru/article/482896/

2.Пазизин  С.  Преимущества  электронной  цифровой  подписи  и  ее  отличия  от  собственноручной  подписи  //  Информационное  агентство  Bankir.Ru.  —  02.10.2013  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://bankir.ru/tehnologii/s/preimyschestva-elektronnoi-cifrovoi-podpis...

3.Туркин  Р.  Электронная  подпись:  опыт  комплексного  изучения  //  Первая  социальная  сеть  для  юристов.  —  29.03.2013  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://zakon.ru/blogs/elektronnaya_podpis_opyt_  kompleksnogo_izucheniya/6255

4.Федеральный  закон  от  6  апреля  2011  г.  №  63-ФЗ  «Об  электронной  подписи»  //  Информационно-правовой  портал  Консультант  плюс.  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.consultant.ru

5.Шадрина  Т.  Роскликом  пера.  Визировать  документы  теперь  можно  по  Интернету  //  Российская  газета.  —  08.04.2011  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.rg.ru/2011/04/08/sign.html#comments

sibac.info

Преимущества электронной цифровой подписи и ее отличия от собственноручной подписи

Очевидно также, что технология ЭЦП имеет широкие перспективы внедрения во всех сферах жизни современного общества, связанных с передачей и обработкой информации, считает Сергей Пазизин, руководитель группы защиты автоматизированных банковских систем ОАО «Банк ВТБ», канд. физ.-мат. наук.

В отличие от собственноручной подписи, ЭЦП позволяет передавать подписанный документ по каналам связи без пересылки материального носителя документа и сохранять при этом возможность проверки подлинности документа. Это обусловлено тем, что ЭЦП связана с содержанием документа логически, а не посредством общего материального носителя. Если, например, записать документ и его ЭЦП на два разных носителя, то не возникнет никаких затруднений с проверкой того, соответствует ли данная ЭЦП данному документу. Средства проверки ЭЦП могут установить ее подлинность для электронного документа независимо от источника, из которого загружена необходимая для проверки информация.

В то же время очевидно, что документ на бумажном носителе с собственноручной подписью передать без самого носителя невозможно. Если переслать документ по факсу или в отсканированном виде по электронной почте, то потеряется не только часть информации о подписи (например, степень нажима). Прежде всего, нельзя будет установить связь между текстом документа и подписью, так как подпись могла быть переклеена с другого документа перед передачей по факсу или вставлена после сканирования с помощью редактора графических изображений.

Другим важным преимуществом ЭЦП является сложность ее подделки. На данный момент автору неизвестно ни одного случая подделки ЭЦП, созданной в соответствии с действующими международными или российскими стандартами (под подделкой здесь понимается создание такой ЭЦП, которую не отличают от настоящей обычные средства проверки, доступные каждому пользователю, при условии их корректной работы). Что касается собственноручной подписи, то установить ее подлинность с высокой степенью достоверности можно только в результате специальной почерковедческой экспертизы. В реальных условиях при проверке подлинности собственноручной подписи возникают следующие проблемы.

1. Отсутствие необходимой квалификации у подавляющего большинства «пользователей» бумажных документов. С заключением договоров, получением справок и других документов на бумажных носителях сталкиваются практически все, однако специальную подготовку проходят очень немногие.

2. Низкое качество образцов подписи и возможность их подмены. Например, если клиент банка может обслуживаться в любом его офисе, то, соответственно, в каждом офисе должен иметься и образец его подписи. Следовательно, банк вынужден рассылать отсканированные образцы подписи, обеспечивать их защиту от подмены и для проверки вместо оригинала подписи использовать ее изображение на экране монитора. Такая ситуация затрудняет проверку подлинности собственноручной подписи клиентов и создает условия для хищения денежных средств. Поэтому при выдаче денег банковские служащие не только сличают подпись клиента с образцом, но и требуют предъявить документ, удостоверяющий личность. Такая двойная проверка снижает вероятность обмана, но не позволяет исключить его полностью, так как злоумышленник может не только подделать подпись, но и использовать фальшивые документы. Не исключается также возможность сговора с работником банка и, например, получения кредита по чужим паспортным данным.

3. Недоступность образцов подписи. На практике при получении подписанного договора, счета или справки возможность сравнить подписи в этих документах с достоверными образцами часто вообще отсутствует. Такая ситуация не только объясняется низким уровнем правовой культуры, но и имеет объективные причины, связанные со сложностью организации работы с образцами подписи. В результате недобросовестная сторона может в последующем отказаться от исполнения обязательств на том основании, что документ подписан неуполномоченным лицом.

4. Изменчивость подписи, связанная с волнением, усталостью, состоянием алкогольного опьянения, невыработанностью подписи либо сознательным ее изменением. Данное свойство значительно затрудняет установление подлинности подписи и может, с одной стороны, привести к непризнанию настоящей подписи действительной, а с другой – использоваться злоумышленником в качестве основания для отказа от исполнения своих обязательств по документу, подписанному сознательно измененной подписью.

Учитывая сказанное выше, можно сделать вывод о том, что ЭЦП не только применима в тех ситуациях, в которых в принципе невозможно использование собственноручной подписи для подтверждения подлинности документов, но и имеет ряд преимуществ, связанных с наличием четких (математических) критериев достоверности и отсутствием необходимости в образцах подписи для проверки. Криптографические алгоритмы цифровой подписи позволяют с высокой степенью достоверности проверить следующее утверждение: электронный документ подписан с помощью закрытого ключа, соответствующего используемому для проверки открытому ключу, и после простановки подписи в электронный документ не были внесены изменения. При этом закрытый ключ ЭЦП, используемый для подписания электронных документов, известен только его владельцу, а открытый ключ ЭЦП, предназначенный для проверки подлинности ЭЦП, доступен любому пользователю соответствующей информационной системы.

Однако реализовать свои преимущества ЭЦП может только при квалифицированной организации ее использования и соблюдении ряда условий .

Эффективному использованию ЭЦП препятствует также отсутствие сложившейся правовой базы и правоприменительной практики, что неудивительно, если учесть, что со времени первых реальных ее применений прошло не более 20 лет (ранее вычислительная техника, необходимая для реализации алгоритмов ЭЦП, не была в достаточной мере распространена как в России, так и в других странах). Несмотря на то что с 2002 г. в России действует Закон об электронной цифровой подписи, правовые отношения при использовании ЭЦП по-прежнему регламентируются в основном двусторонними соглашениями и договорами присоединения, не всегда в полной мере защищающими интересы сторон. Часто также не проработаны в достаточной степени организационно-технические и правовые вопросы применения ЭЦП во внутреннем электронном документообороте организаций.

При внедрении ЭЦП обычно используется упрощенный подход, основанный на широко распространенном заблуждении, состоящем в том, что ЭЦП для электронного документа является эквивалентом собственноручной подписи для бумажного документа.

Рассмотрим далее основные отличия ЭЦП от собственноручной подписи, которые необходимо учитывать как специалистам при организации систем электронного документооборота, так и обычным пользователям.

1. Отчуждаемость возможности простановки подписи от владельца подписи. Как известно, возможность постановки собственноручной подписи на бумажном документе принадлежит конкретному физическому лицу и не может быть передана или похищена. Что касается цифровой подписи, то закрытый ключ, позволяющий его владельцу подписывать электронные документы, может быть передан другому лицу (или сразу нескольким лицам), а также потерян или похищен и затем незаконно использован. Здесь наблюдается определенная аналогия ЭЦП с печатью. Однако имеется и принципиальное отличие – возможность использования печати жестко связана с ее материальным носителем. Ее можно передать другому лицу во временное пользование, а затем забрать обратно. При этом временный владелец может сделать копию печати, но это будет другая печать и ее оттиски можно будет отличить от настоящих. Если же кто-то получит доступ к закрытому ключу, с помощью которого вычисляется ЭЦП, и сделает его копию, то сможет в будущем вычислять для электронных документов подлинные ЭЦП, полностью идентичные тем, которые создает настоящий владелец закрытого ключа подписи.

2. Отсутствие неразрывной связи с подписанным экземпляром электронного документа. Собственноручная подпись ставится на конкретном экземпляре документа, и невозможно появление новых экземпляров, ничем не отличающихся от подписанного. Могут существовать лишь его копии, подлинность которых требуется в свою очередь заверять. Подписанный в единственном экземпляре бумажный документ ни при каких условиях не может оказаться одновременно в двух местах. И если подписанный собственноручной подписью бумажный документ будет уничтожен, то можно быть уверенным, что второго точно такого же нет.

Что же касается ЭЦП, то она связана только с подписываемой информацией (а не с ее носителем) и вместе с этой информацией может быть размножена в произвольном количестве экземпляров. Копии электронного документа и копии с его копий ничем не отличаются от исходного документа. ЭЦП будет верна у всех этих экземпляров.

3. Наличие посредников. В отличие от процесса подписания бумажного документа, между человеком, ставящим ЭЦП, и электронным документом имеется посредник в виде аппаратно-программного средства, действия которого владелец ЭЦП может контролировать лишь предположительно.

Конечно, и бумажный документ может быть подписан без прочтения или может быть произведена подмена одного документа другим. Но в случае с собственноручной подписью человек имеет выбор – подписывать все листы документа или только последний с реквизитами, читать или не читать документ. В случае ЭЦП такого выбора у владельца подписи нет по следующим причинам.

Во-первых, человеку необходимо средство для просмотра (визуализации) электронного документа в связи с тем, что информация в исходном (машинном) виде является последовательностью нулей и единиц и для непосредственного восприятия недоступна. Да и не способен человек без специальных приспособлений считать ее с носителей информации, на которых она хранится в виде областей с разной намагниченностью или разной отражающей способностью. Следовательно, возможно, что на экране человек прочитает один электронный документ, а подпишет другой. Аналогичная ситуация возможна и при проверке ЭЦП – подпись может быть проверена для одного электронного документа, а на экран (на бумагу) может быть выведен другой электронный документ.

Во-вторых, человек нуждается в программных средствах, вычисляющих ЭЦП и проверяющих ее, так как не способен производить настолько сложные вычисления самостоятельно.

Следствием неизбежного присутствия указанных «посредников» является необходимость доверять им, а следовательно, и тем, кто их создал, выбрал, установил, настроил, кто обеспечивает их работу, осуществляя доступ к компьютерам в соответствии со своими должностными обязанностями.

Таким образом, образуется несколько групп «доверенных» лиц. Рассмотрим их подробнее.

Первая группа включает поставщиков программного обеспечения и, в частности, программистов, писавших код используемых программ.

Тем, кто считает, что компьютерные программы всегда делают то, что заявлено разработчиками, стоит обратить внимание на тексты лицензионных соглашений программного обеспечения. Часто в них явно указывается, что программное обеспечение поставляется «как есть» и поставщик не несет ответственность за прямые или косвенные убытки, причиненные неправильной работой программы. При этом необходимо учесть, что если такого пункта нет в лицензионном соглашении, то это вовсе не означает, что такие убытки будут кому-либо компенсированы. Скорее всего, разработчики просто не хотят пугать пользователей и надеются, что в случае каких-либо сбоев потерпевшему все равно не удастся добиться компенсации.

Вторая группа включает посредников, через руки которых проходят дистрибутивы программ, а также лиц, осуществлявших непосредственную установку программного обеспечения. Стоит задуматься, на чем основана уверенность во всех этих людях? На любом этапе пути от разработчика до компьютера пользователя в программное обеспечение, участвующее в обработке электронных документов, могли быть внесены изменения, или оно целиком могло быть заменено поддельным.

Третья группа включает специалистов, получающих официальный доступ к чужим компьютерам – администраторов и представителей служб поддержки и т. п. Далеко не все пользователи имеют достаточную квалификацию, чтобы самостоятельно осуществлять администрирование своих компьютеров и гарантировать недоступность их ни на одну минуту посторонним. Впрочем, дело даже не в квалификации. В любой крупной организации пользователь не имеет административных полномочий на своем компьютере. Соответствующие функции выполняют работники подразделения автоматизации, причем, как правило, дистанционно, так что пользователь не только с ними не знаком, но часто даже не знает, сколько человек имеют возможность читать его файлы, запускать его программы, подписывать ЭЦП за него электронные документы. Учитывая, что сопровождение программного обеспечения могут осуществлять посторонние организации, состав данной группы зачастую вообще никем не контролируется. Актуальность данной проблемы последнее время возрастает в связи с распространением аутсорсинга в сфере информационных технологий и ростом популярности использования коммерческих ЦОД.

Кроме перечисленных выше «законных» посредников повлиять на работу средств ЭЦП могут и так называемые хакеры, осуществляющие несанкционированный доступ к чужим данным и ресурсам. Причем для этого им не обязательно иметь физический доступ к компьютеру пользователя. С применением компьютерных сетей атака может осуществляться и из соседнего кабинета, и из другого филиала организации, а при наличии соединения с Интернетом – из любой страны мира.

Поскольку владелец ЭЦП самостоятельно не может держать под контролем действия перечисленных групп, то для обеспечения своего относительного спокойствия он или его работодатель вынуждены обращаться к помощи специалистов по компьютерной безопасности, которые образуют пятую группу доверия, поскольку от их квалификации и добросовестности зависит степень угрозы от перечисленных выше лиц.

Таким образом, физическое лицо, даже при наличии необходимых знаний, в большинстве реальных систем электронного документооборота не может полностью контролировать использование своей ЭЦП.

4. Ограниченность периода времени, в течение которого сохраняется юридическая значимость ЭЦП. В отличие от собственноручной подписи документа на бумажном носителе, обеспечивающей юридическую значимость независимо от времени, действие ЭЦП имеет временнЫе ограничения, связанные со сроком действия сертификата ключа ЭЦП, угрозой компрометации и развитием технологий.

При изготовлении ключа, как правило, оговаривается период его действия. Обычно это делается в сертификате ключа ЭЦП – документе, подтверждающем принадлежность ключа ЭЦП определенному лицу. Формально согласно Закону об ЭЦП достаточно, чтобы сертификат действовал на момент подписания электронного документа при наличии доказательств, определяющих момент подписания. Однако поскольку судебная практика по вопросу доказательства момента подписания ЭЦП электронных документов отсутствует и методы доказательства законодательно не определены, юридическая значимость любого электронного документа после окончания действия соответствующего сертификата может быть поставлена под сомнение. Таким образом, если электронный документ подписан ЭЦП за сутки до окончания действия сертификата, то через сутки он может утратить свою юридическую значимость. Данный факт, очевидно, накладывает значительные ограничения на область применения ЭЦП.

Следующая угроза потери юридической значимости электронного документа с течением времени связана с возможной компрометацией закрытого ключа ЭЦП, используемого для выработки подписи, т. е. событием, в результате которого возможно не санкционированное владельцем использование закрытого ключа ЭЦП. При этом собственно несанкционированного использования ключа может и не произойти. Достаточно события, указывающего на возможный доступ к закрытому ключу ЭЦП постороннего лица, например вскрытия печати на сейфе, в котором хранятся носители ключей ЭЦП, или потери такого носителя.

В случае признания факта компрометации ключа его не только нельзя будет использовать в дальнейшем, но и для уже подписанных ЭЦП электронных документов необходимо будет доказать, что они подписаны до их компрометации, что не всегда возможно сделать. Ведь злоумышленник, если он завладел ключом, может установить на своем компьютере произвольные дату и время, в том числе те, на которые ключ еще не был скомпрометирован, и подписать нужный ему электронный документ прошедшей датой.

Что касается технологического аспекта временнЫх ограничений, то он обусловлен возможностью появления новой вычислительной техники и новых математических методов, которые могут быть использованы для подделки ЭЦП, вырабатываемой в соответствии с действующими в настоящее время стандартами. Образно говоря, в будущем могут появиться снаряды, от которых современная броня не является защитой.

Нечто подобное произошло с алгоритмом шифрования данных DES, принятым в 1977 г. в качестве федерального стандарта США. В настоящее время этот шифр не является надежным, так как современные ЭВМ позволяют перебрать для него все варианты ключей ( ) за приемлемое время. Для объективности следует отметить, что и в 1977 г. из-за малой длины ключа многими специалистами прогнозировалась возможность вскрытия этого шифра в ближайшем будущем. В современных криптографических стандартах ЭЦП длины ключей выбраны со значительным запасом, что, однако, не позволяет исключить появления новых математических методов или качественных прорывов в развитии вычислительной техники, способных сделать реальной подделку ЭЦП, изготовленных в соответствии с этими стандартами.

Перечисленные выше отличия ЭЦП от собственноручной подписи документа на бумажном носителе были известны еще в то время, когда формировалось теоретическое обоснование возможности применения ЭЦП. Описаны также основные пути решения имеющихся проблем (специалистам они известны, несложно найти и соответствующую литературу). Необходимо только, чтобы при разработке систем электронного документооборота и подготовке нормативной базы по применению ЭЦП поднятые проблемы осознавались и учитывались всеми участниками процесса внедрения, а также пользователями этих систем.

bankir.ru

Преимущества использования электронной цифровой подписи в условиях интенсивного экономического развития,электронного документооборота и развитых корпоративных отношений.

Современное информационное общество, вставшее на рельсы научно-технического прогресса и глобальной модернизации общественной жизни трудно представить без  эффективного электронного документооборота.  С развитием информационных технологий стали широко применяться так называемые электронные документы, использование которых значительно ускоряет процесс документооборота и позволяет экономить время. В связи с этим все большая часть информации хранится и распространяется в мире в электронном виде. Особое значение в данном случае начинает приобретать обеспечение юридической силы электронного документа. Решением этой проблемы выступает  его специальный реквизит  – электронная цифровая подпись (ЭЦП), которая является не только средством идентификации автора, но и важнейшим инструментом, позволяющий подтвердить целостность и неизменность документа. Очевидным становится то, что электронный документооборот между государствами, предприятиями и гражданами становится невозможен без использования ЭЦП.

     Использование ЭЦП обусловлено рядом существенных для современного электронного оборота преимуществ. Например, главное ее преимущество заключается в том, что подделать ее гораздо сложнее, чем собственноручную, подлинность которой можно установить только в результате специальной почерковедческой экспертизы. Несмотря на развитость информационных технологий, судебной практике неизвестно ни одного случая подделки ЭЦП, что в значительной степени оберегает участников электронного документооборота от различного рода злоупотреблений недобросовестных контрагентов. Сложность подделки ЭЦП обусловлена не только тем, что ее использование предполагает наличие сертификата, ключевой пары, а так же системы проверки статуса сертификата пользователей при каждой операции, что полностью блокирует вход в систему недобросовестному лицу с недействительным сертификатом, но и проставлением, так называемого сервера меток времени, которая проставляется при подписании документа. Такая система создана специально для предотвращения спорных ситуаций, а в случае их возникновения служит доказательством в суде. Таким образом, ЭЦП  применима не только тогда, когда в принципе невозможно использование собственноручной подписи для подтверждения подлинности документов, но и имеет ряд преимуществ, связанных с наличием четких критериев достоверности и отсутствием необходимости в образцах подписи для проверки.

     Кроме того ЭЦП связана с содержанием документа логически, что позволяет передавать подписанный документ по каналам связи без пересылки материального носителя документа. Если, например, записать документ и его электронную цифровую подпись на два разных носителя, то не возникнет никаких затруднений с проверкой того, соответствует ли данная подпись данному документу. Средства проверки могут установить ее подлинность для электронного документа независимо от источника, из которого загружена необходимая для проверки информация.

     Следующим заметным преимуществом, играющим важную роль при ведении современного бизнеса, является то, что документы, подписанные ЭЦП, могут быть переданы к месту назначения в течение нескольких секунд и в связи с этим участники электронного обмена документами получают равные возможности независимо от их удаленности друг от друга. Таким образом,  такой обмен позволяет усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов, минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена документами значительно сократить время движения документов.

     Справедливо будет так же признать и тот факт, что эффективному использованию ЭЦП на сегодняшний день препятствует несовершенное законодательство. Однако, несовершенство законодательного регулирования в области использования ЭЦП не значит, что мы должны откладывать практику ее использования на «лучшие времена» и отойти от тенденций модернизации и глобализации, которые нашли отражение в Концепции развития гражданского законодательства Российской Федерации, подготовленной на основании Указа Президента Российской Федерации от 18 июля 2008 года № 1108 «О совершенствовании Гражданского кодекса Российской Федерации». Понимать данную тенденцию необходимо в самом широком смысле и рассматривать не только применительно к Гражданскому Кодексу РФ, но и ко всему гражданскому законодательству. Как справедливо отмечено в тексте Концепции, в России произошли серьезные изменения, требующие адекватного их отражения в действующем законодательстве. В свете текущих изменений был принят Федеральный закон №63 от 6 апреля 2011 года  «Об электронной подписи», вступающий  в силу с 1 июля 2012 года и постепенно отменяющий действие федерального закона №1 « Об электронной цифровой подписи» от 10 января 2002 года, который окончательно завершит свое действие 30 июня 2012 года. Такое законодательное решение представляется целесообразным, так как, несмотря на то, что с 2002 г. в России действовал и все еще продолжает действовать  Закон об электронной цифровой подписи, правовые отношения при использовании такой подписи по-прежнему регламентировались в основном двусторонними соглашениями и договорами присоединения, не всегда в полной мере защищающими интересы сторон. Кроме того Федеральный закон № 1-ФЗ содержит концептуальные и техническо-юридические недостатки, которые не позволили обеспечить правовые условия, необходимые для широкого применения ЭЦП в РФ. Пояснительная  записка к проекту нового закона, к недостаткам старого закона относит то, что его положения не соответствуют основным принципам, реализуемым в иностранном законодательстве и международном праве при осуществлении правового регулирования электронных подписей, таким как «технологическая нейтральность» законодательства, правовое признание различных видов электронной подписи, недостаточна сфера регулирования закона, из нее исключены отношения, не являющиеся гражданско-правовыми сделками, не допускается ЭЦП  юридических лиц. Кроме того, в пояснительной записке отмечается на такой важный недостаток старого закона как несогласованность с иными законодательными актами РФ, в том числе о лицензировании отдельных видов деятельности и техническом регулировании. Именно с этим связано то, что одновременно с Федеральным законом № 63-ФЗ был принят Федеральный закон от 06.04.2011 № 65-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «Об электронной подписи», который приводит законодательные акты в соответствие с новым законодательством об ЭП. Новый закон об ЭП направлен на устранение недостатков и пробелов в правовом регулировании ЭП в России при сохранении уже сложившейся практики использования ЭЦП. В новом законе используются новые понятия, серьезно отличающиеся от существовавших ранее, заявлены новые принципы использования ЭП, такие как право участников электронного взаимодействия использовать ЭП любого вида по своему усмотрению, возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, недопустимость признания ЭП и (или) подписанного ею электронного документа не имеющими юридической силы, закреплены два вида ЭП простая и усиленная электронная подпись, а самое главное расширена сфера правового регулирования отношений в области использования электронных подписей.  Однако при всем этом усовершенствовании  мнения представителей юридического сообщества относительно нового закона не однозначны. Для того чтобы закон об ЭП дал максимальный эффект, государство должно способствовать формированию конкурентного рынка услуг и товаров, связанных с использованием ЭП. На этом пути пока есть как технические, так и организационные трудности.

Указанные недостатки при всем преимуществе использования ЭЦП, бесспорно, тормозят  процесс широкого использования ЭЦП в условиях интенсивного  экономического развития. Приходится делать вывод, что законодательство об ЭЦП лишь на пути к своему эволюционному становлению. Но примечательно то, что законодатель осознает важность использования ЭЦП для развития корпоративных отношений, которые согласно Концепции развития гражданского законодательства РФ вскоре будут включены в круг отношений, регулируемых гражданским законодательством. В связи с этим законодатель дает новое определение корпоративной  информационной  системы, несколько расширяя ее. Согласно новой редакции под корпоративной информационной системой теперь следует понимать информационную  систему, участники электронного взаимодействия в которой составляют определенный круг лиц, тогда как в ныне действующей редакции ее участниками могут быть лишь ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Таким образом, ЭЦП - это краеугольный камень развитого электронного документооборота, интенсивного экономического развития, успешного функционирования корпоративных отношений. ЭЦП обладает всеми необходимыми преимуществами по сравнению с собственноручной подписью и в скором времени  представить современные экономические отношения без использования ЭЦП будет невозможно.

 

 

 

 

 

 

Федеральный закон от 10.01.2002 N 1-ФЗ (ред. от 08.11.2007) "Об электронной цифровой подписи"

Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 01.07.2011) "Об электронной подписи"

Пояснительная записка "К проекту Федерального закона "Об электронной подписи" // СПС Консультант плюс

Постановление Правительства РФ от 28.11.2011 N 976 "О федеральном органе исполнительной власти, уполномоченном в сфере использования электронной подписи"

"Концепция развития гражданского законодательства Российской Федерации". // СПС Консультант плюс

Филенко Е.Н. Проблемы использования электронной цифровой подписи. // Делопроизводство. – 2007. – №4.

 

zakon.ru

что это, где сделать и как получить электронную подпись в 2018 году

Прогресс на месте не стоит, и то, что пару десятков лет назад считалось плодом воображения писателей-фантастов, ныне приобретает вполне реальные формы. Это касается и беспилотных летательных аппаратов, и видеосвязи, и, о чем в частности пойдет речь в статье, это электронная цифровая подпись (ЭЦП).

Что такое ЭЦП

П. 1 ст. 2 Федерального закона 06.04.2011 № 63-ФЗ «Об электронной подписи», раскрывает нам понятие электронной подписи следующим образом. Это информация в электронной форме, присоединенная к другой информации в электронной форме (подписываемой информации), или иным образом связана с этой информацией, и которая используется для определения (идентификации) лица, подписавшего эту информацию.

Иными словами, это зашифрованные данные, уникальные, защищенные от копирования и подделки, указывающие на лицо, владеющее этой электронной подписью. Кстати да, правильно ее называть именно «электронная подпись», а не «электронная цифровая подпись».

Электронная подпись состоит из двух ключей. Это собственно ключ самой электронной подписи (последовательность символов, алгоритм), и ключ проверки электронной подписи. Ключом проверки поверяется подлинность электронной подписи.

Также стоит рассказать о сертификатах электронной подписи. Это бумажный или электронный документ, доказывающий, что данная электронная подпись принадлежит именно ее владельцу.

Еще можно упомянуть о средствах электронной подписи. По сути, это выдаваемое удостоверяющим центром программное обеспечение на флешке, создающее электронную подпись. Но об этом ниже.

Преимущества и недостатки электронной цифровой подписи

Преимущества — это технический прогресс. ЭП удобна, ее можно применять в массе случаев. Но из этих преимуществ вытекают и недостатки — для ее использования нужно специальное программное обеспечение, а ее саму нужно получать в аккредитованном удостоверяющем центре. И она стоит денег, хотя не таких уж больших. По сравнению с ней, собственноручная подпись всегда «с собой», ее покупать не нужно. Правда, ЭЦП заменяет еще и нотариуса, когда как собственноручную подпись частенько нужно у него подтверждать.

Виды ЭЦП

Упомянутый закон разделяет электронную подпись на несколько видов по ее защищенности.

  1. Простая электронная подпись. Это простые коды и пароли, позволяющие подтвердить подписание документа определенным лицом. Не дает гарантии, что позволит отследить факт изменения документа. Просты для взлома злоумышленниками.
  2. Усиленная электронная подпись. Формируется при помощи криптографических алгоритмов, только владельцем ключа электронной подписи. Также позволяет установить факт внесения изменений в документ.

Вторая, в свою очередь, подразделяется на неквалифицированную и квалифицированную.

Сферы применения электронных подписей

Самые разные. С помощью ЭП можно сдавать отчетность, подписывать различные документы, даже вносить изменения в ЕГРЮЛ. Также электронная подпись нужна при участии в аукционах и тендерах, проводимых в электронном виде.

ФНС подписывает при помощи ЭЦП электронные выписки из ЕГРЮЛ:

Усиленная квалифицированная электронная подпись ФНС

Также активно используется нотариусами.

Где сделать ЭЦП, удостоверяющие центры

ЭЦП можно сделать в любом удостоверяющем центре, главное, чтобы у центра имелась лицензия ФСБ РФ. Только в таких центрах вы получите максимально защищенную электронную подпись (усиленная квалифицированная), пригодную для большинства действий.

Актуальный список аккредитованных удостоверяющих центров можно найти на сайте Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.

Как получить ЭЦП

Как таковой инструкции тут нет. Нужно определиться, для чего она вам нужна, а после обратиться в любой удостоверяющий центр. Для разных подписей цена может быть разная, они могут подразделяться на универсальную, для тендеров, для аукционов, для сдачи отчетности, для портала «Госуслуги», для подачи сведений в реестры ЕФРСБ или ЕФРСФДЮЛ, а также для внесения изменений в ЕГРЮЛ.

Подберите и получите сертификат электронной подписи для любых нужд в проверенном нами и временем удостоверяющем центре Контур.

Как подписать документ с помощью ЭЦП

При помощи выданного удостоверяющим центром программного обеспечения электронный документ обрабатывается шифровальными алгоритмами, создается последовательность символов, являющаяся электронной подписью. И заодно создается ключ проверки электронной подписи, с помощью которого удостоверяется подлинность этой подписи. По сути, «электронный нотариус».

Срок действия

Срок действия сертификата электронной подписи — 1 год. После нужно получать новый.

bizneszakon.ru

3. Преимущества использования эцп

Применение ЭЦП позволяет значительно сократить время движения документов в процессе оформления отчетов и обмена документацией. Документы, подписанные ЭЦП, передаются через Интернет или локальную сеть в течение нескольких секунд. Все участники электронного обмена документами получают равные возможности, независимо от их удаленности друг от друга.

Использование ЭЦП позволяет:

  • заменить при безбумажном документообороте традиционные печать и подпись;

  • усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов, гарантировать достоверность документации;

  • значительно сократить время движения документов, ускорить и облегчить процесс визирования одного документа несколькими лицами;

  • использовать одни и те же средства ЭЦП при обмене информацией со всеми министерствами, ведомствами, администрациями;

  • построить корпоративную систему обмена электронными документами;

  • обеспечить целостность - гарантию того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений;

  • минимизировать риск финансовых потерь за счет обеспечения конфиденциальности информационного обмена документами (при использовании функции шифрования).

Дополнительные возможности при работе с Электронной цифровой подписью.

Для передачи конфиденциальных документов через сеть Интернет или локальную сеть, целесообразно использовать функцию шифрования. Электронный документ шифруется с использованием Сертификата открытого ключа получателя и может быть расшифрован только личным ключом получателя. Следовательно, содержание такого документа может прочитать только тот, кому он адресован.

4. Электронно-цифровая подпись в сэд

В последнее время электронно-цифровая подпись (ЭЦП) получает все большее распространение в отечественных корпоративных информационных системах. Однако однобокое, как правило, техническое освещение вопросов применения ЭЦП не позволяет увидеть картину в целом, в силу чего возникла необходимость рассмотреть эту область “с высоты птичьего полета”. Не вдаваясь в детали, интересные только специалистам, мы постараемся рассказать о том, что позволяет и чего не позволяет реализовать электронно-цифровая подпись, а также дать практические рекомендации по применению ЭЦП в системах электронного документооборота, потребность в которых сегодня ощущается все сильнее.

По общему мнению, собственноручная подпись на бумажном документе решает следующие задачи:

  • убедить читателя в том, что человек, подписавший документ, сделал это сознательно (подпись достоверна);

  • доказать, что именно этот человек, и никто другой, сознательно подписал документ (подпись неподдельна);

  • будучи частью документа, защитить ее от мошеннического переноса в другой документ (подпись невозможно использовать повторно);

  • защитить и сам документ (подписанный документ невозможно изменить);

  • обеспечить материальность подписи и документа, гарантирующую, что человек, подписавший документ, не сможет утверждать впоследствии, что документ подписан не им (от подписи нельзя отказаться).

Однако, как показывает практика, собственноручная подпись на бумажном документе по самой своей природе оставляет лазейки для мошенников. Недаром для затруднения их действий на бланки документов наносят специальные защитные знаки, применяют нумерацию и скрепление листов, а кроме того, наряду с самой подписью используют собственноручное написание фамилии, имени, отчества на документе и т. п. Одним словом, при всех ее достоинствах собственноручная подпись обладает и целым рядом недостатков.

Как результат проникновения компьютерных технологий во все сферы человеческой деятельности возникла потребность реализовать аналог собственноручной подписи человека в электронном виде. Эта задача была успешно решена. В основе решения лежат разработанные в середине 1970-х гг. криптографические алгоритмы с открытым ключом, которые базируются на сложном математическом аппарате.

При этом ЭЦП устранила большинство проблем, свойственных подписи на бумажном документе, и обеспечила электронному документу следующие важнейшие характеристики:

studfiles.net

Преимущества электронной цифровой подписи и ее отличия от собственноручной подписи

Электронная цифровая подпись (ЭЦП) имеет широкие перспективы внедрения во всех сферах жизни современного общества, связанных с передачей и обработкой информации. 

В отличие от собственноручной подписи, ЭЦП позволяет передавать подписанный документ по каналам связи без пересылки материального носителя документа и сохранять при этом возможность проверки подлинности документа. Это обусловлено тем, что ЭЦП связана с содержанием документа логически, а не посредством общего материального носителя. Если, например, записать документ и его ЭЦП на два разных носителя, то не возникнет никаких затруднений с проверкой того, соответствует ли данная ЭЦП данному документу. Средства проверки ЭЦП могут установить ее подлинность для электронного документа независимо от источника, из которого загружена необходимая для проверки информация.

В то же время очевидно, что документ на бумажном носителе с собственноручной подписью передать без самого носителя невозможно. Если переслать документ по факсу или в отсканированном виде по электронной почте, то потеряется не только часть информации о подписи (например, степень нажима). Прежде всего, нельзя будет установить связь между текстом документа и подписью, так как подпись могла быть переклеена с другого документа перед передачей по факсу или вставлена после сканирования с помощью редактора графических изображений.

Другим важным преимуществом ЭЦП является сложность ее подделки. На данный момент автору неизвестно ни одного случая подделки ЭЦП, созданной в соответствии с действующими международными или российскими стандартами (под подделкой здесь понимается создание такой ЭЦП, которую не отличают от настоящей обычные средства проверки, доступные каждому пользователю, при условии их корректной работы). Что касается собственноручной подписи, то установить ее подлинность с высокой степенью достоверности можно только в результате специальной почерковедческой экспертизы. В реальных условиях при проверке подлинности собственноручной подписи возникают следующие проблемы.

1. Отсутствие необходимой квалификации у подавляющего большинства «пользователей» бумажных документов. С заключением договоров, получением справок и других документов на бумажных носителях сталкиваются практически все, однако специальную подготовку проходят очень немногие.

2. Низкое качество образцов подписи и возможность их подмены.

3. Недоступность образцов подписи. На практике при получении подписанного договора, счета или справки возможность сравнить подписи в этих документах с достоверными образцами часто вообще отсутствует. Такая ситуация не только объясняется низким уровнем правовой культуры, но и имеет объективные причины, связанные со сложностью организации работы с образцами подписи. В результате недобросовестная сторона может в последующем отказаться от исполнения обязательств на том основании, что документ подписан неуполномоченным лицом.

4. Изменчивость подписи, связанная с волнением, усталостью, состоянием алкогольного опьянения, невыработанностью подписи либо сознательным ее изменением. Данное свойство значительно затрудняет установление подлинности подписи и может, с одной стороны, привести к непризнанию настоящей подписи действительной, а с другой – использоваться злоумышленником в качестве основания для отказа от исполнения своих обязательств по документу, подписанному сознательно измененной подписью.

Учитывая сказанное выше, можно сделать вывод о том, что ЭЦП не только применима в тех ситуациях, в которых в принципе невозможно использование собственноручной подписи для подтверждения подлинности документов, но и имеет ряд преимуществ, связанных с наличием четких (математических) критериев достоверности и отсутствием необходимости в образцах подписи для проверки. Криптографические алгоритмы цифровой подписи позволяют с высокой степенью достоверности проверить следующее утверждение: электронный документ подписан с помощью закрытого ключа, соответствующего используемому для проверки открытому ключу, и после простановки подписи в электронный документ не были внесены изменения. При этом закрытый ключ ЭЦП, используемый для подписания электронных документов, известен только его владельцу, а открытый ключ ЭЦП, предназначенный для проверки подлинности ЭЦП, доступен любому пользователю соответствующей информационной системы.

Однако реализовать свои преимущества ЭЦП может только при квалифицированной организации ее использования и соблюдении ряда условий .

Эффективному использованию ЭЦП препятствует также отсутствие сложившейся правовой базы и правоприменительной практики, что неудивительно, если учесть, что со времени первых реальных ее применений прошло не более 20 лет (ранее вычислительная техника, необходимая для реализации алгоритмов ЭЦП, не была в достаточной мере распространена как в России, так и в других странах). Несмотря на то что с 2002 г. в России действует Закон об электронной цифровой подписи, правовые отношения при использовании ЭЦП по-прежнему регламентируются в основном двусторонними соглашениями и договорами присоединения, не всегда в полной мере защищающими интересы сторон. Часто также не проработаны в достаточной степени организационно-технические и правовые вопросы применения ЭЦП во внутреннем электронном документообороте организаций.

При внедрении ЭЦП обычно используется упрощенный подход, основанный на широко распространенном заблуждении, состоящем в том, что ЭЦП для электронного документа является эквивалентом собственноручной подписи для бумажного документа.

Рассмотрим далее основные отличия ЭЦП от собственноручной подписи, которые необходимо учитывать как специалистам при организации систем электронного документооборота, так и обычным пользователям.

1. Отчуждаемость возможности простановки подписи от владельца подписи. Как известно, возможность постановки собственноручной подписи на бумажном документе принадлежит конкретному физическому лицу и не может быть передана или похищена. Что касается цифровой подписи, то закрытый ключ, позволяющий его владельцу подписывать электронные документы, может быть передан другому лицу (или сразу нескольким лицам), а также потерян или похищен и затем незаконно использован. Здесь наблюдается определенная аналогия ЭЦП с печатью. Однако имеется и принципиальное отличие – возможность использования печати жестко связана с ее материальным носителем. Ее можно передать другому лицу во временное пользование, а затем забрать обратно. При этом временный владелец может сделать копию печати, но это будет другая печать и ее оттиски можно будет отличить от настоящих. Если же кто-то получит доступ к закрытому ключу, с помощью которого вычисляется ЭЦП, и сделает его копию, то сможет в будущем вычислять для электронных документов подлинные ЭЦП, полностью идентичные тем, которые создает настоящий владелец закрытого ключа подписи.

2. Отсутствие неразрывной связи с подписанным экземпляром электронного документа. Собственноручная подпись ставится на конкретном экземпляре документа, и невозможно появление новых экземпляров, ничем не отличающихся от подписанного. Могут существовать лишь его копии, подлинность которых требуется в свою очередь заверять. Подписанный в единственном экземпляре бумажный документ ни при каких условиях не может оказаться одновременно в двух местах. И если подписанный собственноручной подписью бумажный документ будет уничтожен, то можно быть уверенным, что второго точно такого же нет.

Что же касается ЭЦП, то она связана только с подписываемой информацией (а не с ее носителем) и вместе с этой информацией может быть размножена в произвольном количестве экземпляров. Копии электронного документа и копии с его копий ничем не отличаются от исходного документа. ЭЦП будет верна у всех этих экземпляров.

3. Наличие посредников. В отличие от процесса подписания бумажного документа, между человеком, ставящим ЭЦП, и электронным документом имеется посредник в виде аппаратно-программного средства, действия которого владелец ЭЦП может контролировать лишь предположительно.

Конечно, и бумажный документ может быть подписан без прочтения или может быть произведена подмена одного документа другим. Но в случае с собственноручной подписью человек имеет выбор – подписывать все листы документа или только последний с реквизитами, читать или не читать документ. В случае ЭЦП такого выбора у владельца подписи нет по следующим причинам.

Во-первых, человеку необходимо средство для просмотра (визуализации) электронного документа в связи с тем, что информация в исходном (машинном) виде является последовательностью нулей и единиц и для непосредственного восприятия недоступна. Да и не способен человек без специальных приспособлений считать ее с носителей информации, на которых она хранится в виде областей с разной намагниченностью или разной отражающей способностью. Следовательно, возможно, что на экране человек прочитает один электронный документ, а подпишет другой. Аналогичная ситуация возможна и при проверке ЭЦП – подпись может быть проверена для одного электронного документа, а на экран (на бумагу) может быть выведен другой электронный документ.

Во-вторых, человек нуждается в программных средствах, вычисляющих ЭЦП и проверяющих ее, так как не способен производить настолько сложные вычисления самостоятельно.

Следствием неизбежного присутствия указанных «посредников» является необходимость доверять им, а следовательно, и тем, кто их создал, выбрал, установил, настроил, кто обеспечивает их работу, осуществляя доступ к компьютерам в соответствии со своими должностными обязанностями.

Таким образом, образуется несколько групп «доверенных» лиц. Рассмотрим их подробнее.

Первая группа включает поставщиков программного обеспечения и, в частности, программистов, писавших код используемых программ.

Тем, кто считает, что компьютерные программы всегда делают то, что заявлено разработчиками, стоит обратить внимание на тексты лицензионных соглашений программного обеспечения. Часто в них явно указывается, что программное обеспечение поставляется «как есть» и поставщик не несет ответственность за прямые или косвенные убытки, причиненные неправильной работой программы. При этом необходимо учесть, что если такого пункта нет в лицензионном соглашении, то это вовсе не означает, что такие убытки будут кому-либо компенсированы. Скорее всего, разработчики просто не хотят пугать пользователей и надеются, что в случае каких-либо сбоев потерпевшему все равно не удастся добиться компенсации.

Вторая группа включает посредников, через руки которых проходят дистрибутивы программ, а также лиц, осуществлявших непосредственную установку программного обеспечения. Стоит задуматься, на чем основана уверенность во всех этих людях? На любом этапе пути от разработчика до компьютера пользователя в программное обеспечение, участвующее в обработке электронных документов, могли быть внесены изменения, или оно целиком могло быть заменено поддельным.

Третья группа включает специалистов, получающих официальный доступ к чужим компьютерам – администраторов и представителей служб поддержки и т. п. Далеко не все пользователи имеют достаточную квалификацию, чтобы самостоятельно осуществлять администрирование своих компьютеров и гарантировать недоступность их ни на одну минуту посторонним. Впрочем, дело даже не в квалификации. В любой крупной организации пользователь не имеет административных полномочий на своем компьютере. Соответствующие функции выполняют работники подразделения автоматизации, причем, как правило, дистанционно, так что пользователь не только с ними не знаком, но часто даже не знает, сколько человек имеют возможность читать его файлы, запускать его программы, подписывать ЭЦП за него электронные документы. Учитывая, что сопровождение программного обеспечения могут осуществлять посторонние организации, состав данной группы зачастую вообще никем не контролируется. Актуальность данной проблемы последнее время возрастает в связи с распространением аутсорсинга в сфере информационных технологий и ростом популярности использования коммерческих ЦОД.

Кроме перечисленных выше «законных» посредников повлиять на работу средств ЭЦП могут и так называемые хакеры, осуществляющие несанкционированный доступ к чужим данным и ресурсам. Причем для этого им не обязательно иметь физический доступ к компьютеру пользователя. С применением компьютерных сетей атака может осуществляться и из соседнего кабинета, и из другого филиала организации, а при наличии соединения с Интернетом – из любой страны мира.

Поскольку владелец ЭЦП самостоятельно не может держать под контролем действия перечисленных групп, то для обеспечения своего относительного спокойствия он или его работодатель вынуждены обращаться к помощи специалистов по компьютерной безопасности, которые образуют пятую группу доверия, поскольку от их квалификации и добросовестности зависит степень угрозы от перечисленных выше лиц.

Таким образом, лицо, даже при наличии необходимых знаний, в большинстве реальных систем электронного документооборота не может полностью контролировать использование своей ЭЦП.

4. Ограниченность периода времени, в течение которого сохраняется юридическая значимость ЭЦП. В отличие от собственноручной подписи документа на бумажном носителе, обеспечивающей юридическую значимость независимо от времени, действие ЭЦП имеет временнЫе ограничения, связанные со сроком действия сертификата ключа ЭЦП, угрозой компрометации и развитием технологий.

При изготовлении ключа, как правило, оговаривается период его действия. Обычно это делается в сертификате ключа ЭЦП – документе, подтверждающем принадлежность ключа ЭЦП определенному лицу. Формально согласно Закону об ЭЦП достаточно, чтобы сертификат действовал на момент подписания электронного документа при наличии доказательств, определяющих момент подписания. Однако поскольку судебная практика по вопросу доказательства момента подписания ЭЦП электронных документов отсутствует и методы доказательства законодательно не определены, юридическая значимость любого электронного документа после окончания действия соответствующего сертификата может быть поставлена под сомнение. Таким образом, если электронный документ подписан ЭЦП за сутки до окончания действия сертификата, то через сутки он может утратить свою юридическую значимость. Данный факт, очевидно, накладывает значительные ограничения на область применения ЭЦП.

Следующая угроза потери юридической значимости электронного документа с течением времени связана с возможной компрометацией закрытого ключа ЭЦП, используемого для выработки подписи, т. е. событием, в результате которого возможно не санкционированное владельцем использование закрытого ключа ЭЦП. При этом собственно несанкционированного использования ключа может и не произойти. Достаточно события, указывающего на возможный доступ к закрытому ключу ЭЦП постороннего лица, например вскрытия печати на сейфе, в котором хранятся носители ключей ЭЦП, или потери такого носителя.

В случае признания факта компрометации ключа его не только нельзя будет использовать в дальнейшем, но и для уже подписанных ЭЦП электронных документов необходимо будет доказать, что они подписаны до их компрометации, что не всегда возможно сделать. Ведь злоумышленник, если он завладел ключом, может установить на своем компьютере произвольные дату и время, в том числе те, на которые ключ еще не был скомпрометирован, и подписать нужный ему электронный документ прошедшей датой.

Что касается технологического аспекта временнЫх ограничений, то он обусловлен возможностью появления новой вычислительной техники и новых математических методов, которые могут быть использованы для подделки ЭЦП, вырабатываемой в соответствии с действующими в настоящее время стандартами. Образно говоря, в будущем могут появиться снаряды, от которых современная броня не является защитой.

Нечто подобное произошло с алгоритмом шифрования данных DES, принятым в 1977 г. в качестве федерального стандарта США. В настоящее время этот шифр не является надежным, так как современные ЭВМ позволяют перебрать для него все варианты ключей за приемлемое время. Для объективности следует отметить, что и в 1977 г. из-за малой длины ключа многими специалистами прогнозировалась возможность вскрытия этого шифра в ближайшем будущем. В современных криптографических стандартах ЭЦП длины ключей выбраны со значительным запасом, что, однако, не позволяет исключить появления новых математических методов или качественных прорывов в развитии вычислительной техники, способных сделать реальной подделку ЭЦП, изготовленных в соответствии с этими стандартами.

Перечисленные выше отличия ЭЦП от собственноручной подписи документа на бумажном носителе были известны еще в то время, когда формировалось теоретическое обоснование возможности применения ЭЦП. Описаны также основные пути решения имеющихся проблем (специалистам они известны, несложно найти и соответствующую литературу). Необходимо только, чтобы при разработке систем электронного документооборота и подготовке нормативной базы по применению ЭЦП поднятые проблемы осознавались и учитывались всеми участниками процесса внедрения, а также пользователями этих систем.

Сергей Пазизин, руководитель группы защиты автоматизированных банковских систем ОАО «Банк ВТБ», канд. физ.-мат. наук

Опубликовано 2.12.10.

bishelp.ru

Преимущества электронной подписи

Каждому человеку известно, что технологии в современном мире развиваются молниеносно. Так, например, ещё двадцать лет назад компьютер был роскошью, а об интернете люди могли только мечтать, а сейчас практически у каждого человека есть хотя бы один компьютер, не говоря уже о сотовых телефонах и интернете. Но сегодня хотелось бы поговорить об электронных документах. Вы наверняка не раз сталкивались с заключением договоров. Для этого нужно отстоять в очереди, прочитать документ, после чего поставить под ним собственную подпись. Согласитесь, что для современного человека, у которого наблюдается постоянный дефицит времени, такая работа с документами является не очень удобной. Именно поэтому была придумана электронная подпись, при помощи которой можно совершать сделки в удалённом режиме. Это позволяет человеку быть мобильным и эргономичным. На странице вы можете получить электронную подпись для совершения электронных торгов. Такая подпись является юридически значимой.

Стоит отметить, что электронную подпись внедрили в России только в 2011 году, но за прошедшее время она обрела довольно большую популярность. Это означает только одно, что современный человек готов работать с документами при помощи интернета.

Подобной подписью могут пользоваться не только физические, но и юридические лица. Специалисты выделяют простую и усиленную электронную подпись. Усиленная ЭП в свою очередь может быть квалифицированной и неквалифицированной.

Электронные подписи можно смело использовать для работы с договорами и другими документами. Причём эта подпись имеет те же юридические полномочия, что и обычная.

Каковы преимущества ЭП? При помощи этой подписи можно сдавать электронную отчётность, участвовать в торгах и просто обмениваться документами, без посещения офиса или другого государственного учреждения. То есть при помощи ЭП любая компания может сэкономить время и деньги, которые тратятся на курьерские службы.

Надеюсь, что вы воспользуетесь этим современным благом, которое поможет вам в работе с документами и сэкономит драгоценное время.

www.aiportal.ru