Федеральный закон об электронной подписи – что нового

 

Федеральное агентство по образованию

Государственное образовательное учреждение высшего профессионального образования

«Новосибирский государственный технический университет»

Факультет автоматики и вычислительной техники

Кафедра защиты информации

Индивидуальная работа

по дисциплине Теоретические основы компьютерной безопасности

на тему: «Федеральный закон об электронной подписи - что нового?»

Выполнил: Кнутов В.А.

Проверил: Абденов А.Ж. Группа: АБ-021

Новосибирск 2012

Оглавление

Введение

Аналогия ЭЦП и ЭП

Электронная подпись

Простая электронная подпись

Неквалифицированная электронная подпись

Квалифицированная электронная подпись

Суть электронной подписи

ГОСТ Р 34.10-2001

Равнозначность бумажным документам

Новшества закона

Использование ЭЦП в территориально-удаленных подразделениях

Возможные проблемы ЭЦП и пути их решения

Вывод

Список литературы

Введение

В начале апреля 2011 года вступил в силу Федеральный закон № 63-ФЗ «Об электронной подписи», который пришел на смену № 1-ФЗ от 10 января 2002 года «Об электронной цифровой подписи». Этот ФЗ допускал использование лишь одного вида сертифицированной электронной подписи, причем исключительно в гражданских правоотношениях. Данный принцип не только тормозил внедрение электронной подписи, но и противоречил международным стандартам.

В соответствии с новым законом общепринятый термин «электронная цифровая подпись» заменяется на «электронную подпись». Уже сейчас аббревиатура ЭЦП постепенно вытесняется новой ЭП. Тем не менее, потребуется достаточно много времени для полной замены понятия ЭЦП.

Аналогия ЭЦП и ЭП

На основании закона 2002 года ЭЦП широко применялась в таких сферах, как налоговые правоотношения (Приказ ФНС «Об организации сети доверенных удостоверяющих центров» от 13.06.2006), банковской и финансовой сферах (ФЗ «Об инвестиционных фондах» от 29.11.2001, Приказ Федеральной службы по финансовым рынкам от 10.11.2004 «Об утверждении требований к формату электронных документов с электронной цифровой подписью, предоставляемых в федеральную службу по финансовым рынкам» ), в избирательной сфере (ФЗ «О государственной автоматизированной системе РФ «Выборы» от 10.01.2003 ), в участии в конкурсе поставок для государственных нужд.

Сфера правоотношений по применению электронной подписи в новом федеральном законе практически не ограничена. «Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий», - говорится в первой статье закона.

В новый закон добавили правоотношения в сфере взаимодействия с госорганами, что является одним из этапов формирования электронного правительства в стране. А фраза «иные юридические значимые действия» предполагает неограниченный круг правоотношений использования электронной подписи. Предполагается, что в перспективе таковая будет применяться практически во всех сферах деятельности.

В новой редакции пароль для доступа приравнивается к простой подписи - это хорошо. В законе № 1-ФЗ не было четкого определения, что такое электронный документ, поэтому непонятно, к каким документам закон имеет отношение. В этом основная сложность. Согласно предыдущему закону, должен быть создан государственный корневой удостоверяющий центр, который раздавал бы «грамоты» доверия. В новом законе эту идею трансформировали.

По новому закону под понятие «электронная подпись» попадают одноразовые коды и пароли. Это хорошо, так как необязательно будет применять криптографию - чтобы удостоверить что-то, достаточно воспользоваться одноразовым кодом, полученным через SMS. Это удобно.

Изменилась трактовка самого понятия электронной подписи.

Старый закон содержал следующее определение: электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Новый закон определяет электронную подпись как информацию в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Таким образом, электронная подпись приобретает иной статус: из реквизита документа она превращается в информацию, идентифицирующую лицо, которое подписывает документ. По смыслу определение нового закона то же, только более лаконично. Однако при этом оно теряет в юридическом плане. Слово «реквизит» означает, что конкретный элемент является обязательным для данного документа, другими словами, электронная подпись - это обязательный элемент электронного документа, однако в тексте закона об этом ничего не сказано, равно как отсутствует определение самого электронного документа.

Электронная подпись

Как уже говорилось ранее, электронная подпись - это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию (ст. 2 Федерального закона № 63-ФЗ от 08.04.2011). Главное назначение электронной подписи - подтверждать авторство документов и гарантировать их неизменность после подписания.

Электронные подписи в области использования делятся на виды. Это простая электронная подпись и усиленная. Последнюю, в свою очередь, разделяют на усиленную неквалифицированную и усиленную квалифицированную. Причем участники правоотношений сами выбирают вид используемой электронной подписи.

Простая электронная подпись

В соответствии с Федеральным законом, простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Неквалифицированная электронная подпись

Неквалифицированной электронной подписью является электронная подпись, которая:

получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

позволяет определить лицо, подписавшее электронный документ;

позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

создается с использованием средств электронной подписи.

При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.

Квалифицированная электронная подпись

Квалифицированной электронной подписью признается электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

ключ проверки электронной подписи указан в квалифицированном сертификате;

для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

Суть электронной подписи

Общая суть электронной подписи заключается в следующем: с помощью криптографической хэш-функции вычисляется относительно короткая строка символов фиксированной длины (хэш). Затем этот хэш шифруется закрытым ключом владельца - результатом является подпись документа. Подпись прикладывается к документу. В результате этого получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным. При ведении деловой переписки, при заключении контрактов подпись ответственного лица является непременным атрибутом документа, преследующим несколько целей: гарантирование истинности письма путем сличения подписи с имеющимся образцом и гарантирование авторства документа (с юридической точки зрения). Выполнение данных требований основывается на следующих свойствах подписи:

подпись аутентична, то есть с ее помощью получателю документа можно доказать, что она принадлежит подписывающему;

подпись не подделываема, то есть служит доказательством, что только тот человек, чей автограф стоит на документе, мог подписать данный документ;

подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно;

документ с подписью является неизменяемым;

подпись неоспорима;

любое лицо, владеющее образцом подписи, может удостоверится, что документ подписан владельцем подписи.

Развитие современных средств безбумажного документооборота, средств электронных платежей немыслимо без развития средств доказательства подлинности и целостности документа. Таким средством является электронно-цифровая подпись (ЭЦП), которая сохранила основные свойства обычной подписи.

Методы построения ЭЦП

Шифрование электронного документа на основе симметричных алгоритмов. Данная схема предусматривает наличие в системе третьего лица - арбитра, пользующегося доверием обеих сторон. Авторизацией документа в данной схеме является сам факт шифрования электронного документа секретным ключом и передачи его арбитру.

Использование ассиметричных алгоритмов шифрования. Фактом подписания документа является шифрование его на секретном ключе отправителя.

Схема ЭЦП - шифрование окончательного результата обработки электронного документа хеш-функцией при помощи ассиметричного алгоритма.

Появление этих разновидностей обусловлено разнообразием задач, решаемых с помощью электронных технологий передачи и обработки электронных документов.

При генерации ЭЦП используются параметры трех групп:

общие параметры

секретный ключ

открытый ключ

Стандартом на процедуры выработки и проверки ЭЦП является ГОСТ Р 34.10-2001.

ГОСТ Р 34.10-2001

Схематическое представление подписанного сообщения

Формирование цифровой подписи

Для получения цифровой подписи под сообщением , необходимо выполнить следующие действия (шаги) по алгоритму I.

Шаг 1 - вычислить хэш-код сообщения

Шаг 2 - вычислить целое число , двоичным представлением которого является вектор , и определить

Если =0, то определить =1.

Шаг 3 - сгенерировать случайное (псевдослучайное) целое число , удовлетворяющее неравенству

Шаг 4 - вычислить точку эллиптической кривой и определить

где xc-x -координата точки C. Если r=0, то вернуться к шагу 3.

Шаг 5 - вычислить значение

Если s=0, то вернуться к шагу 3.

Шаг 6 - вычислить двоичные векторы и , соответствующие r и s, и определить цифровую подпись как конкатенацию двух двоичных векторов.

Исходными данными этого процесса являются ключ подписи d и подписываемое сообщение M , а выходным результатом - цифровая подпись .

Схема процесса формирования цифровой подписи

Проверка цифровой подписи

Для проверки цифровой подписи под полученным сообщением M необходимо выполнить следующие действия (шаги) по алгоритму II.

Шаг 1 - по полученной подписи , вычислить целые числа r и s. Если выполнены неравенства , , то перейти к следующему шагу. В противном случае подпись неверна.

Шаг 2 - вычислить хэш-код полученного сообщения M

Шаг 3 - вычислить целое число , двоичным представлением которого является вектор h, и определить

Если e=0, то определить e=1.

Шаг 4 - вычислить значение

Шаг 5 - вычислить значения

Шаг 6 - вычислить точку эллиптической кривой и определить

где xc -x -координата точки C.

Шаг 7 - если выполнено равенство R=r , то подпись принимается, в противном случае, подпись неверна.

Исходными данными этого процесса являются подписанное сообщение M, цифровая подпись и ключ проверки , а выходным результатом - свидетельство о достоверности или ошибочности данной подписи.

Схема процесса проверки цифровой подписи

Равнозначность бумажным документам

электронная цифровая подпись

Разная степень защиты простой, неквалифицированной и квалифицированной подписей обуславливает их неравнозначность.

Так, информация в электронной форме, подписанная квалифицированной подписью, признается электронным документом, равнозначным бумажному, подписанному собственноручной подписью. Если в соответствии с федеральным законом или иным актом, принятым в соответствии с законом, такой документ может существовать только в бумажной форме.

Если информация в электронной форме подписана простой или неквалифицированной электронной подписью, то такой электронный документ равнозначен бумажному, подписанному собственноручной подписью, только в случае, если это прямо предусмотрено федеральным законом, принятым на его основе нормативным актом или соглашением сторон.

Как мы видим, это две больших разницы, два разных подхода. Электронный документ, подписанный квалифицированной электронной подписью, будет обладать юридической значимостью во всех случаях, кроме тех, когда он должен быть составлен в бумажной форме. А если документ подписан простой или неквалифицированной подписью, то юридической значимостью он будет обладать, только если это прямо установлено законом или иным актом, или так договорились стороны.

Из этого не следует, что простая или неквалифицированная подпись - это «недоподписи». Они меньше защищены, но они дешевле, и вполне могут применяться там, где нет необходимости использовать «тяжелую артиллерию» - квалифицированную подпись.

Новшества закона

Новшеством закона являются требования к средствам электронной подписи. Средства электронной подписи закон определяет как шифровальные (криптографические) средства, которые используются для реализации хотя бы одной из следующих функций:

создание электронной подписи;

проверка электронной подписи;

создание ключа электронной подписи и ключа проверки электронной подписи.

При создании электронной подписи средства электронной подписи должны:

показывать лицу, подписавшему электронный документ, содержание информации, которую он подписывает;

создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;

однозначно показывать, что электронная подпись создана.

При проверке электронной подписи средства электронной подписи должны:

показывать содержание электронного документа, подписанного электронной подписью;

показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;

указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.

В новом законе более четко прописаны полномочия удостоверяющих центров.

Новацией закона также является то, что теперь владельцем электронной подписи может быть не только физическое, но и юридическое лицо. В качестве владельца сертификата ключа проверки электронной подписи, наряду с указанием юридического лица указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности. Эта новация потенциально может быть использована для злоупотреблений. Дискуссии о включении юридического лица в качестве владельца продолжаются с момента принятия закона об электронной цифровой подписи 2002 года.

Использование ЭЦП в территориально-удаленных подразделениях

Некоторые предприятия, имеющие удаленные подразделения и филиалы, уже используют электронную почту для передачи документов (приказов, распоряжений и т. п.). Как правило, это выглядит следующим образом:

документ создается в электронном виде;

печатается;

подписывается руководителем;

сканируется;

отправляется по электронной почте;

в удаленном подразделении вновь печатается.

При использовании системы электронного документооборота, имеющей средства распределенной работы и цифровой подписи, процесс можно существенно упростить, сократив количество переводов документов из одного формата в другой:

документ создается в электронном виде;

подписывается цифровой подписью;

отправляется средствами системы исполнителям;

исполнитель получает подписанный цифровой подписью документ.

Возможные проблемы ЭЦП и пути их решения

Цепочка «Руководитель - Секретарь - Компьютер»

Есть ситуации, нередкие для большинства предприятий, когда руководитель не использует в своей работе компьютер постоянно. Зачастую у руководителя просто нет времени на поиск документов, оформление заданий и анализ невыполненных поручений, даже если это оптимизировано в электронном виде. Для выполнения всех этих функций у него есть секретарь. Хотя в нужный момент руководитель при желании может обратиться к системе электронного документооборота и найти необходимый документ или задание.

Кроме того, есть такие документы, где нужна подпись на бумажном экземпляре. Этот процесс может занимать у руководителя некоторое время, а если добавить еще и функцию дублирования подписи на электронном документе - ЭЦП, то о рациональности использования времени руководителя можно и не говорить. Тем не менее, стоит заметить, что возможности Системы Электронного Документооборота намного превосходят эти затраты на дублирующие действия.

Не вижу подписи - значит ее нет

Конечно, психологический фактор сбросить со счетов нельзя. Человеку, привыкшему видеть на документе подпись руководителя, непросто будет привыкнуть только к информации об ЭЦП в СЭД. И вполне возможно, что первое время сотрудники будут требовать копии бумажных документов. Для устранения этой ситуации требуется только время.

Удостоверяющий центр ЭЦП

Если даже ЭЦП используется только внутри предприятия, должен быть создан удостоверяющий центр (или можно воспользоваться услугами внешних центров), т. е. орган, выдающий ключи (сертификаты) ЭЦП и обеспечивающий их достоверность.

Данную задачу можно решить просто. Для этого необходимо обучить администраторов работе со средствами ЭЦП, наделить их соответствующими полномочиями, определить порядок выдачи и отзыва ключей ЭЦП в соответствующих инструкциях.

Вывод

В целом проект № 63-ФЗ «Об электронной подписи» отвечает современным потребностям рынка. Дух Законопроекта соответствует западным аналогам, которые доказали свою эффективность. В первую очередь он значительно расширяет возможности применения ЭП, создает гибкость, которой раньше не было. Кроме того, устранены ограничения, которые ранее исключали саму возможность использования ЭЦП в целых отраслях. Но, при всех очевидных плюсах у Законопроекта есть серьезные недостатки. К сожалению, он подразумевает дополнительную большую работу, как на уровне федеральных законов, так и на более низких уровнях для разъяснения целого ряда положений.

Список литературы

А. Г. Капустина. «Федеральный закон об электронной подписи - что нового?» // Защита информации INSIDE - 2011 - №3 -с. 20-22.

«Электронная подпись - использование на практике» // [Электронный ресурс]. URL: <http://www.directum.ru/672409.aspx>.

С. Бушмелев. «Чего ждать от электронной подписи?» // [Электронный ресурс]. URL: <http://ecm-journal.ru/post/Chto-zhdat-ot-ehlektronnojj-podpisi.aspx>.

Федеральное агентство по образованию Государственное образовательное учреждение высшего профессионального образования «Новосибирский государственный

Больше работ по теме: