Лекция 3/2 Электронная цифровая подпись. Учебные вопросы: 1. Назначение и применение электронной подписи. 2. Виды электронной подписи, ее юридическая правомочность. 3. Технология формирования электронной подписи. 4. Электронный обмен данными.

Назначение и применение электронной подписи ФЕДЕРАЛЬНЫЙ ЗАКОН от ФЗ «ОБ ЭЛЕКТРОННОЙ ПОДПИСИ» (принят ГД ФС РФ ) вступил в силу

электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию 1. 1 Федеральный закон от ФЗ "Об электронной подписи" Федеральный закон 63-ФЗ «Об электронной подписи» регулирует отношения по вопросу использования электронных подписей при совершении гражданско - правовых сделок, исполнении государственных и муниципальных функций, оказании государственных и муниципальных услуг, совершении юридически значимых сделок.

Федеральный закон направлен на устранение недостатков Федерального закона от 10 января 2002 г. 1-ФЗ «Об электронной цифровой подписи», а также на расширение сферы использования электронных подписей.

Федеральным законом регулируются отношения в области: 1. Использования электронных подписей при совершении гражданско-правовых сделок; 2. Оказании государственных и муниципальных услуг; 3. Исполнении государственных и муниципальных функций; 4. При совершении иных юридически значимых действий.

Федеральным законом определяется 1. понятие электронной подписи, устанавливаются её виды, требования к средствам электронной подписи, с помощью которых создаются и проверяются: электронная подпись, ключ электронной подписи и ключ проверки электронной подписи 2. требования к удостоверяющим центрам, осуществляющим функции по созданию и выдаче сертификатов ключей проверки электронных подписей

В пояснительной записке к проекту закона об электронной подписи была приведена неутешительная статистика, свидетельствующая о слабой распространенности ЭЦП в российском деловом обороте. По состоянию на февраль 2007 г. в России было выдано около сертификатов ключа ЭЦП, что составляет лишь 0,2 % от населения страны.

При этом отмечается, что в Европе за аналогичный период времени от введения в действие Директивы ЕС от N 1999/93/ЕС «Об общих принципах электронных подписей» (DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 1999 on a Community framework for electronic signatures) усиленные электронные подписи использовало около 70 % населения

Федеральный закон «0 б электронной подписи» (ЭП) пришел на смену Федеральному закону от 10 января 2002 года «0 б электронно-цифровой подписи» (ЭЦП), который содержал слишком серьезные требования к ЭЦП

В частности, допускалось применение только одной технологии идентификации (асимметричных электронных ключей подписи), которая к тому же требовала обязательного наличия сертификата от удостоверяющего центра

Согласно положениям нового закона от удостоверяющих центров не требуется лицензирования - они могут пройти аккредитацию и то лишь на добровольной основе. Аккредитацией будет заниматься назначенный правительством уполномоченный орган, он же организует работу корневого центра

Понятие лицензии Лицензия (от лат. liсentia право, разрешение) разрешение на право, либо право на выполнение некоторых действий, которое может удостоверяться (подтверждаться) одноимённым документом. На практике лицензиями также сокращённо именуются лицензионные договоры (соглашения), предусматривающие выдачу частноправовых лицензий [1][2].лат.право лицензионные договоры частноправовых [1][2] Лицензирование процесс выдачи специального разрешения (лицензии). Лицензиар одна из сторон лицензионного соглашения, предоставляющая другой стороне лицензиату право на использование объекта лицензии (изобретения, технологии, технического опыта и прочих форм промышленной собственности).изобретения технологии промышленной собственности Лицензиат юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности.юридическое лицо индивидуальный предприниматель Лицензионные условия условия, при соблюдении которых лицензия действительна. Занятие лицензируемым видом деятельности без лицензии, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере наказывается в уголовном порядке (ст. 171, 180 УК РФ).УК РФ

Понятие аккредитации Аккредитация (лат. accredo, «доверять») процедура официального подтверждения соответствия объекта установленным критериям и показателям (стандарту). Наиболее распространена в сфере оказания профессиональных услуг, для оценки качества которых потребитель, как правило, не обладает достаточными компетенциями.лат.компетенциями Аккредитуются организации (ВУЗы, СМИ и др.) услуги, для оценки качества которых потребитель не обладает достаточной компетенцией К аккредитуемым услугам относят: услуги по образованию, услуги по проведению испытаний (испытательные лаборатории), услуги по клинической диагностике (медицинские лаборатории), услуги по калибровке (калибровочные лаборатории), услуги по сертификации (органы по сертификации) и т. п. Как правило, аккредитацию проводят органы по аккредитации, которые осуществляют свою деятельность по определённым правилам и процедурам.органы по аккредитации

Для аккредитации российское или иностранное юридическое лицо обязано обладать чистыми активами на сумму не менее 1 млн. руб. и финансовыми гарантиями для выплат компенсаций пострадавшим клиентам в размере 1,5 млн. руб., иметь не менее двух IT-специалистов с высшим профессиональным образованием и пройти процедуру подтверждения в ФСБ

2. Виды электронной подписи, ее юридическая правомочность

определение электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

виды электронных подписей усиленная электронная подпись квалифицированная неквалифицированная простая электронная подпись: логины, пароли, коды подтверждения, адреса электронной почты и прочие средства идентификации простая электронная подпись: логины, пароли, коды подтверждения, адреса электронной почты и прочие средства идентификации

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Использование простой электронной подписи для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается.

Неквалифицированной электронной подписью является электронная подпись, которая: получена в результате криптографического преобразования информации с использованием ключа электронной подписи; позволяет определить лицо, подписавшее электронный документ; позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания; создается с использованием средств электронной подписи.

Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам: ключ проверки электронной подписи указан в квалифицированном сертификате; для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

Усиленная квалифицированная подпись имеет сертификат от аккредитованного центра и создана с помощью подтвержденных ФСБ средств

При использовании усиленных электронных подписей участники электронного взаимодействия обязаны: 1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия; 2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;

При использовании усиленных электронных подписей участники электронного взаимодействия обязаны: 3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена; 4) использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

Условия признания электронных документов, подписанных электронной подписью Информация в электронной форме, подписанная квалифицированной, простой, неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью. Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона.

Соблюдены два дополнительных требования, помимо тех, которые предусмотрены для неквалифицированной подписи. В соответствии со ст. 12 нового Закона это возможно, если: 1) получен квалифицированный сертификат, в котором указывается ключ проверки такой электронной подписи; 2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в Законе об электронной подписи.

3. Технология формирования ЭП Содержимое любого документа (файла) представлено в компьютере как последовательность байтов и потому может быть однозначно описано определенным (очень длинным) числом или последовательностью нескольких более коротких чисел. Чтобы «укоротить» эту последовательность, не потеряв ее уникальности, применяют специальные математические алгоритмы, такие как контрольная сумма (control total) или хеш-функция (hash function). Контрольная сумма: если каждый байт файла умножить на его номер (позицию) в файле и полученные результаты суммировать, то получится более короткое, по сравнению с длиной файла, число. Изменение любого байта в исходном файле меняет итоговое число. Хеш-функция определяется как уникальное число, полученное из исходного файла путем его «обсчета» с помощью сложного, но известного (открытого) алгоритма.

Цифровая подпись предназначена для аутентификации лица, подписавшего электронное сообщение. Кроме того, использование ЭЦП предоставляет возможность обеспечить следующие свойства при передаче в системе подписанного сообщения: - осуществление контроля целостности передаваемого подписанного сообщения, - доказательное подтверждение авторства лица, подписавшего сообщение, - защита сообщения от возможной подделки.

Поле «Текст», показанное на данном рисунке и дополняющее поле «Цифровая подпись», может, например, содержать идентификаторы субъекта, подписавшего сообщение, и/или метку времени.

Как получается электронная цифровая подпись (ЭЦП)? С древних времен известен криптографический метод, позднее названный шифрованием с помощью симметричного ключа, при использовании которого для зашифровки и расшифровки служит один и тот же ключ (шифр, способ). Главной проблемой симметричного шифрования является конфиденциальность передачи ключа от отправителя к получателю. Раскрытие ключа в процессе передачи равносильно раскрытию документа и предоставлению злоумышленнику возможности его подделать.

В 70-х гг. был изобретен алгоритм асимметричного шифрования. Зашифровывается документ одним ключом, а расшифровывается другим, причем по первому из них практически невозможно вычислить второй, и наоборот. Поэтому если отправитель зашифрует документ секретным ключом, а публичный ключ предоставит адресатам, то они смогут расшифровать документ, зашифрованный отправителем, и только им.

Если получатель смог расшифровать значение хеш-функции, используя открытый ключ отправителя, то зашифровал это значение именно отправитель (аутентификация). Если вычисленное и расшифрованное значения хеш-функции совпадают, то документ не был изменен (идентификация). Любое искажение (умышленное или неумышленное) документа в процессе передачи даст новое значение вычисляемой получателем хеш-функции, и программа проверки подписи сообщит, что подпись под документом неверна.

передача подпись проверка Исходный текст Подпись Исходный текст Открытый ключ А Закрытый ключ А

Система ЭЦП включает две процедуры: 1) процедуру постановки подписи. Используется секретный ключ; 2) процедуру проверки подписи. Используется открытый ключ отправителя. Таким образом, отправитель формирует два ключа: секретный (хранит только у себя) и открытый (рассылает соответствующим получателям информации).

При формировании ЭЦП отправитель прежде всего вычисляет хэш-функцию h(М) подписываемого текста М. Вычисленное значение хэш-функции h(М) представляет собой один короткий блок информации m, характеризующий весь текст М в целом. Затем число m шифруется секретным ключом отправителя. Получаемая при этом пара чисел представляет собой ЭЦП для данного текста М.

При проверке ЭЦП получатель сообщения снова вычисляет хэш-функцию m = h(М) принятого по каналу текста М, после чего при помощи открытого ключа отправителя проверяет, соответствует ли полученная подпись вычисленному значению m хэш- функции.

Хэш-функция Хэш-функция (англ. hash - мелко измельчать и перемешивать) предназначена для сжатия подписываемого документа до нескольких десятков или сотен бит. Хэш-функция h(·) принимает в качестве аргумента сообщение (документ) М произвольной длины и возвращает хэш-значение h(М)=Н фиксированной длины. Обычно хэшированная информация является сжатым двоичным представлением основного сообщения произвольной длины. Следует отметить, что значение хэш-функции h(М) сложным образом зависит от документа М и не позволяет восстановить сам документ М.

Принципиальным моментом в системе ЭЦП является невозможность подделки ЭЦП пользователя без знания его секретного ключа подписывания. В качестве подписываемого документа может быть использован любой файл. Подписанный файл создается из неподписанного путем добавления в него одной или более электронных подписей.

Каждая подпись содержит следующую информацию: дату подписи; срок окончания действия ключа данной подписи; информацию о лице, подписавшем файл (Ф.И.0., должность, краткое наименование фирмы); идентификатор подписавшего (имя открытого ключа); собственно цифровую подпись.

Алгоритмы цифровой подписи 1. Российский стандарт ГОСТ Р определяет алгоритм и процедуру вычисления хэш-функции для любых последовательностей двоичных символов, применяемых в криптографических методах обработки и защиты информации (близок к алгоритму DSА). 2. Алгоритм цифровой подписи RSА (1977 г. в Массачуссетском технологическом институте США). 3. Алгоритм цифровой подписи Эль Гамаля (ЕGSА) 4. Алгоритм цифровой подписи DSА (1991 г. в НИСТ США для использования в стандарте цифровой подписи DSS (Digital Signature Standard). Алгоритм DSА является развитием алгоритмов цифровой подписи Эль Гамаля и К.Шнорра.

Носители электронного ключа

В настоящее время существуют следующие устройства хранения закрытого ключа : Дискеты Смарт-карты USB-брелоки Таблетки Touch-Memory Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван. Наиболее защищенный способ хранения закрытого ключа запись на смарт-карту.

Новый Закон допускает получение электронной подписи, в частности, юридическими лицами или государственными органами, что не допускалось Законом об ЭЦП

В связи с этим в п. 3 ст. 14 Закона об электронной подписи специально оговаривается, что при получении сертификата ключа проверки электронной подписи юридического лица необходимо указывать, помимо наименования юридического лица - владельца этого сертификата, и физическое лицо, действующее от его имени на основании учредительных документов или доверенности.

Однако в этой же норме предусмотрены случаи, когда такие лица могут не указываться, и тогда единственным владельцем указанного сертификата будет юридическое лицо. Такую подпись можно использовать при оказании государственных и муниципальных услуг, при исполнении государственных и муниципальных функций

Квалифицированный сертификат должен содержать следующую информацию: 1)уникальный номер квалифицированного сертификата, даты начала и окончания его действия; 2) фамилия, имя и отчество владельца квалифицированного сертификата (для физического лица) либо наименование, место нахождения и основной государственный регистрационный номер владельца квалифицированного сертификата (для юридического лица); 3) страховой номер индивидуального лицевого счета владельца квалифицированного сертификата (для физического лица) либо идентификационный номер налогоплательщика (ИНН) владельца квалифицированного сертификата - для юридического лица; 4) ключ проверки электронной подписи;

5) наименования средств электронной подписи и средств аккредитованного удостоверяющего центра, которые использованы для создания ключа электронной подписи, ключа проверки электронной подписи, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в Законе об электронной подписи; 6) наименование и место нахождения аккредитованного удостоверяющего центра, который выдал квалифицированный сертификат, а также номер квалифицированного сертификата этого удостоверяющего центра; 7) ограничения использования квалифицированного сертификата (если установлены); 8) иная информация о владельце квалифицированного сертификата (по требованию заявителя).

В Законе об электронной подписи предусмотрено разделение удостоверяющих центров на имеющие и не имеющие аккредитацию. Последние смогут выдавать только сертификаты ключа, а квалифицированные сертификаты будут выдавать исключительно аккредитованные удостоверяющие центры

Для получения квалифицированной электронной подписи необходимо обращаться в аккредитованный удостоверяющий центр

Удостоверяющим центром может быть юридическое лицо (в том числе и созданное по иностранному праву) или индивидуальный предприниматель. Ограничений относительно организационно-правовой формы такого юридического лица Закон об электронной подписи не содержит.

Сертификат ключа проверки электронной подписи Удостоверяющий центр осуществляет создание и выдачу сертификата ключа проверки электронной подписи на основании соглашения между удостоверяющим центром и заявителем. Сертификат ключа проверки электронной подписи должен содержать следующую информацию: 1) даты начала и окончания срока его действия; 2) фамилия, имя и отчество (если имеется) - для физических лиц, наименование и место нахождения - для юридических лиц или иная информация, позволяющая идентифицировать владельца сертификата ключа проверки электронной подписи; 3) ключ проверки электронной подписи; 4) наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи; 5) наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи; 6) иная информация, предусмотренная частью 2 статьи 17 настоящего Федерального закона, - для квалифицированного сертификата.

4. Электронный обмен данными EDI (Electronic Data Interchange) – это технология автоматизированного обмена электронными сообщениями в стандартизированных форматах между бизнес- партнерами. При этом документы, имеющие в изначальном («человеческом») виде удобную и специфическую для каждой фирмы форму, прозрачно передаются между различными партнерами в стандартном «электронном» формате (при помощи конвертора (на входе) и деконвертора (на выходе соответственно). Технология гарантирует как правильность конвертации данных, так и саму доставку сообщений адресатам и последовательность доставки сообщений. При этом обеспечиваются достоверность и конфиденциальность передаваемой информации.

В классическом виде EDI предполагает полностью автоматизированное взаимодействие между информационными системами партнеров, исключая участие человека. Каждая сторона может выступать как отправитель, так и получатель сообщений. Такой вариант интеграции дает максимальный эффект при внедрении данной технологии. На современном этапе развития технологии EDI позволяют не просто экономить деньги, но и упростить и оптимизировать процессы управления и принятия решений, а в целом оптимизировать и повысить эффективность бизнеса.

Для перехода к использованию технологии EDI необходимо подключение партнеров к специализированной платформе обмена коммерческими сообщениями (платформа электронной коммерции), использование средств преобразования сообщений к стандартному формату и передачи «стандартизированных» сообщений адресату. Такая схема взаимодействия позволяет один раз подключиться к EDI и единообразно обмениваться сообщениями со всеми партнерами, а не создавать и настраивать способ обмена документами с каждым контрагентом.

Интеграцию систем, преобразование и передачу сообщений между партнерами осуществляют специализированные компании – авторизованные провайдеры EDI. Провайдер предоставляет своим клиентам надежный канал передачи сообщений всем контрагентам (доступ к своей платформе обмена коммерческими сообщениями) и поддерживает оговоренный уровень сервиса. Важно участие именно авторизованного провайдера, т.к. это гарантирует как высокий технический уровень предоставляемых услуг и уровень сервиса, так и соответствие услуг стандартам GS1, что в свою очередь дает возможность осуществлять роуминг с другими провайдерами (в том числе и с международными).

Практические рекомендации по внедрению. Чтобы начать обмениваться документами по EDI необходимо: получить номер GLN; получить номер GLN выбрать вариант подключения (полная интеграция или Web-EDI), выбрать авторизованного провайдера EDI, осуществить подключение, начать работать.

Популярные области применения: Дистрибуция, Ритейл, Управление складами, Транспорт, Банковская сфера и управление денежными потоками