Como todas las personas, suscriptores. redes de datos Es posible que no confíen unos en otros o se comporten de manera deshonesta. Pueden falsificar mensajes de otras personas, negar su autoría o hacerse pasar por otra persona. Estos problemas están adquiriendo especial relevancia en relación con el desarrollo del comercio electrónico y la posibilidad de pagar servicios a través de Internet. Por lo tanto, en muchos sistemas de comunicación, el destinatario de la correspondencia debe poder verificar la autenticidad del documento y el creador del mensaje electrónico debe poder demostrar su autoría al destinatario o a un tercero. Por tanto, los documentos electrónicos deben tener el equivalente a una firma física normal. En este caso, la firma debe tener las siguientes propiedades:
- la firma es reproducida por una sola persona y su autenticidad puede ser certificada por muchas;
- la firma está indisolublemente ligada a este mensaje y no puede transferirse a otro documento;
- Una vez firmado un documento, no se puede modificar;
- es imposible rechazar la firma, es decir, la persona que firmó el documento no podrá afirmar posteriormente que no firmó.
Algoritmos asimétricos El cifrado se puede utilizar para formar firma digital (electrónica)(firma digital): una adición numérica única a la información transmitida, que permite verificar su autoría. firma digital electrónica(EDS) es una secuencia de bits de longitud fija, que se calcula de cierta manera utilizando el contenido de la información firmada y la clave secreta.
Al generar una firma digital, se cifra de forma especial todo el mensaje o el resultado del cálculo de la función hash del mensaje. Generalmente es preferible este último método, ya que el mensaje que se firma puede tener diferente tamaño, a veces bastante grande, y el código hash siempre tiene una longitud constante, no muy grande. Consideremos con más detalle ambas opciones para generar una firma electrónica.
El método más sencillo se basa, como ocurre con el cifrado abierto, en el uso de un par de claves interconectadas (pública y privada). Sin embargo, las funciones de las claves pública y privada cambian: la clave de firma se vuelve secreta y la clave de verificación se vuelve pública. Si al mismo tiempo se mantiene la propiedad de que es prácticamente imposible encontrar una clave privada utilizando una clave pública, entonces el mensaje en sí, cifrado con una clave secreta, puede actuar como firma. Así, sólo el propietario de la clave privada puede firmar un mensaje, pero cualquiera que tenga su clave pública puede verificar la firma.
Por ejemplo, supongamos que el usuario A quiere enviar un mensaje firmado al usuario B. El procedimiento para crear y verificar una firma consta de los siguientes pasos:
- El usuario A cifra el mensaje M con su clave privada R y recibe el mensaje cifrado C.
- El mensaje cifrado se envía al usuario B.
- El usuario B descifra el mensaje recibido C utilizando la clave pública del usuario A. Si el mensaje se descifra, lo firma el usuario A.
arroz. 9.2.
Arroz. 9.2.
Mientras el usuario A almacene de forma segura su clave privada, sus firmas serán válidas. Además, es imposible cambiar el mensaje sin tener acceso a la clave privada del suscriptor A; Esto garantiza la autenticidad e integridad de los datos.
La representación física de un par de claves depende del sistema específico que admite el uso de firma digital. La mayoría de las veces, la clave se escribe en un archivo que, además de la clave en sí, puede contener, por ejemplo, información sobre el usuario: el propietario de la clave, el período de validez de la clave, así como un determinado conjunto. de datos necesarios para el funcionamiento de un sistema concreto (para más información, consulte "Firma digital electrónica"). Los datos sobre el propietario de la clave permiten implementar otra función importante de la firma digital: establecer la autoría, ya que al verificar la firma queda inmediatamente claro quién firmó tal o cual mensaje. Normalmente, los productos de software que realizan la verificación de firmas digitales están configurados para que el resultado de la ejecución aparezca en la pantalla en un formato fácil de leer indicando el usuario que firmó, por ejemplo, así:
"La firma del archivo order.doc es correcta (
En la Fig. 9.2 muestra el diagrama de formación de los llamados firma digital con recuperación de documentos. Las firmas digitales con recuperación de documentos parecen contener el documento que se está firmando: en el proceso de verificación de la firma, el cuerpo del documento se calcula automáticamente. Si el mensaje se recuperó correctamente al descifrarlo, entonces la firma era correcta. Firma digital La recuperación de documentos se puede implementar, por ejemplo, utilizando uno de los algoritmos de generación de firmas digitales más populares: RSA.
Cuando se utiliza una firma digital con recuperación de documentos, todo el mensaje queda firmado, es decir, cifrado. Actualmente, esto no se suele hacer en la práctica. Algoritmos de cifrado con clave pública son bastante lentos, además, confirmar la integridad del mensaje requiere mucha memoria. Además, casi todos los algoritmos de cálculo de firmas digitales utilizados se utilizan para calcular un mensaje de una longitud estándar predeterminada. Por ejemplo, en el algoritmo ruso de generación de firmas digitales GOST R34.10-94, este tamaño se define como 32 bytes. Por lo tanto, para ahorrar tiempo y recursos informáticos, así como para facilitar la operación, se suele utilizar un algoritmo asimétrico junto con algún tipo de función hash unidireccional. En este caso, primero, utilizando una función hash, se calcula un código hash del tamaño requerido a partir de un mensaje de longitud arbitraria y luego, para calcular la firma digital, se cifra el código hash obtenido del mensaje en la etapa anterior.
Las firmas digitales calculadas utilizando el código hash del documento se denominan firmas digitales adjuntas. Estas firmas digitales representan un determinado código numérico que debe adjuntarse al documento que se firma. El mensaje en sí no está cifrado y se transmite en texto claro junto con la firma digital del remitente.
Si el usuario A desea enviar al usuario B un mensaje M, complementado con una firma digital adjunta, entonces el procedimiento para crear y verificar la firma debe consistir en los siguientes pasos:
- El usuario A envía al usuario B su clave pública U a través de cualquier canal de comunicación, por ejemplo, por correo electrónico.
- El usuario A, utilizando alguna función hash confiable H, calcula el código hash de su mensaje h = H(M).
- Luego, el usuario A cifra el código hash del mensaje h con su clave privada R y recibe una firma digital C.
- El mensaje original M junto con la firma digital C se envían al usuario B.
- El usuario B calcula el código hash h del mensaje recibido M y luego verifica la firma digital de C utilizando la clave pública del usuario A.
Este protocolo se puede representar en forma de diagrama, como en
La firma digital electrónica (EDS) es quizás la aplicación más interesante de la criptografía de clave pública. La base de una firma digital electrónica es la transformación matemática de los datos firmados utilizando la clave personal (secreta) del autor. Una firma digital electrónica, como cualquier otro dato, se puede transferir junto con los datos firmados, es decir, protegidos por ella. Es decir, por ejemplo, puedes escribir un correo electrónico, firmarlo con una clave secreta y reenviarlo a un amigo a través de comunicaciones abiertas (a través de Internet). La firma digital tiene propiedades tales que si se cambia solo un bit de información (deliberada o accidentalmente), la firma no será confiable (no será válida). Si la firma digital es auténtica, tu amigo puede estar seguro: la carta no está distorsionada y, además, el autor de la carta eres tú y no otra persona.
El 10 de enero de 2002, el Presidente de la Federación de Rusia aprobó la Ley federal "sobre firma digital electrónica". La aprobación de la ley proporcionó condiciones legales para el uso de firmas digitales electrónicas en documentos electrónicos, sujeto a las cuales la firma digital electrónica en documento electrónico se reconoce como equivalente a una firma manuscrita en un documento en papel y sentó las bases para la creación de una gestión de documentos electrónicos legalmente significativa.
Al final de una carta o documento en papel, el albacea o responsable suele poner su firma. Tal acción tiene dos propósitos. En primer lugar, el destinatario tiene la oportunidad de verificar la autenticidad de la carta comparando la firma con la muestra que tiene. En segundo lugar, una firma personal es una garantía legal de la autoría del documento. El último aspecto es especialmente importante a la hora de realizar diversos tipos de transacciones comerciales, redactar poderes, obligaciones, etc. EDS (firma digital electrónica) también persigue los mismos objetivos: en este caso sólo se supone que los documentos (cartas) y la propia firma están en formato electrónico.
Metas perseguidas
Entonces, haya dos usuarios "A" y "B". ¿Contra qué violaciones y acciones de un atacante debería proteger el sistema de autenticación?
Rechazo
"A" afirma que no envió el mensaje a "B", aunque en realidad sí lo hizo. Para eliminar esta infracción, se utiliza una firma electrónica (o digital).
Modificación
"B" modifica el mensaje y afirma que este mensaje (modificado) le fue enviado por "A".
Falso
"B" genera un mensaje y afirma que este mensaje (modificado) le fue enviado por "A".
Interceptación activa
"B" intercepta mensajes entre "A" y "B" con el fin de modificarlos encubiertamente.
Las firmas digitales se utilizan para proteger contra modificaciones, falsificaciones y disfraces.
Camuflaje (imitación)
"B" envía a "B" un mensaje en nombre de "A". En este caso, también se utiliza una firma electrónica como protección.
Repetir
"B" repite el mensaje previamente transmitido que "A" envió anteriormente a "B". A pesar de que se toman todas las medidas posibles para protegerse contra las repeticiones, es este método el que representa la mayoría de los casos de retiro ilegal y desperdicio de dinero en los sistemas de pago electrónico.
La esencia de una firma digital
Es bien sabido que la firma digital de archivos o mensajes de correo electrónico se realiza mediante algoritmos criptográficos que utilizan claves asimétricas: se utiliza una “clave secreta” para la firma misma y una “clave pública” para verificar la firma de otra persona. Las claves son números de longitud bastante grande (de 512 a 4096 bits), relacionados matemáticamente entre sí.
Una firma digital de un mensaje (archivo, correo electrónico, paquetes de red) es una secuencia de bits de longitud fija generada a partir del texto del mensaje utilizando la clave secreta de su creador. La exactitud de la firma se verifica mediante la clave pública (ver figura "Generación y verificación de firma digital"). Por lo general, junto con el mensaje, se firman algunos de sus "detalles": la fecha y hora de creación del mensaje, (posiblemente) el número de versión del mensaje, la "vida útil" del mensaje. Puede pensar en otros parámetros de mensajes "críticos para la aplicación". La firma digital se envía junto con el mensaje y suele convertirse en parte integrante del mismo. El destinatario del mensaje debe tener una copia de la clave pública del remitente. Los esquemas de distribución de claves públicas pueden variar desde un simple intercambio de claves privadas hasta una "infraestructura de claves públicas" (PKI) compleja y de múltiples capas. Si, al verificar una firma digital, el destinatario establece su exactitud, entonces puede estar seguro no solo de la inmutabilidad y la "relevancia" del mensaje, sino, lo más importante, de que el mensaje fue realmente "firmado" por su autor o remitente. . Un mensaje puede llevar varias firmas que sirven para diferentes propósitos. En este caso, cada firma posterior se "superpone" al mensaje junto con todas las firmas anteriores. Por ejemplo, en algunos sistemas cliente-banco orden de pago firmado por el “autor” (contador, cliente u otra persona autorizada para realizar el pago) y el “remitente” (operador, operador de turno u otra persona que realice el trabajo técnico de transferencia).
autoridad de certificación
Las palabras "clave secreta" y "clave pública" se mencionaron anteriormente. ¿De dónde vienen ellos? Deben ser generados por una autoridad de certificación. Una autoridad de certificación es una estructura (organización) que gestiona certificados. Un certificado de clave pública/privada representa el siguiente conjunto de datos:
El nombre del sujeto u objeto del sistema, que lo identifica de manera única en el sistema;
Clave pública/privada de un sujeto u objeto del sistema;
Atributos adicionales determinados por los requisitos para utilizar el certificado en el sistema;
Firma digital electrónica del Editor (Centro de Certificación), que acredita la totalidad de estos datos.
Así, por ejemplo, un certificado de clave privada contiene la propia clave privada e información adicional.
Para cada usuario registrado del sistema de información, el centro de certificación genera dos certificados: un certificado de clave privada y un certificado de clave pública. Además, la CA emite el primer certificado personalmente sólo al usuario registrado (por ejemplo, en un disquete) y a nadie más: esta es la "firma". El segundo certificado es abierto, la CA lo publica en un repositorio público para que cualquier usuario interesado pueda encontrarlo sin mucha dificultad.
Generación y verificación de firma digital.
El remitente de la información, utilizando una clave secreta y un algoritmo asimétrico (algoritmo de firma digital) preseleccionado por acuerdo entre suscriptores, cifra la información transmitida, presentada en formato digital, y así recibe una firma digital de los datos. A continuación, el remitente de la información envía la información no cifrada y la firma digital obtenida de la manera descrita anteriormente al destinatario a través de un canal de comunicación abierto.
El destinatario del mensaje, utilizando una clave pública (que está disponible públicamente) y un algoritmo de firma digital seleccionado por acuerdo entre suscriptores, desclasifica la firma digital. A continuación, compara la información no cifrada que recibió y la información obtenida al descifrar la firma digital. Si la firma digital no ha sido falsificada y la transmitida abrir información, entonces estas dos informaciones deben coincidir completamente. Si la firma es falsificada, la información clara recibida y la información obtenida durante el descifrado diferirán dramáticamente.
Se puede garantizar que se llegue a tal conclusión sólo si el algoritmo criptográfico elegido para la firma digital es altamente seguro, es decir, basándose en el conocimiento del mensaje transmitido y el conocimiento de la clave pública, es imposible recuperar la clave secreta (la clave utilizada por el firmante) por cualquier medio.
En los países más desarrollados, existe la práctica de especificar el algoritmo de firma digital en forma de estándares estatales. Estas normas también existen en Federación Rusa. El algoritmo de cifrado elegido en ellos es el resultado gran trabajo criptógrafos de diversas organizaciones.
Curvas elípticas
El algoritmo de curva elíptica es una mejora del esquema de El Gamal, utilizado anteriormente a menudo para trabajar con firmas digitales. Nueva opción El esquema de El Gamal utiliza el aparato de curvas elípticas sobre un campo finito de elementos p, que se definen como un conjunto de pares de números (x, y) (cada uno de los cuales se encuentra en el rango de 0 a p-1) que satisfacen la comparación (los números a y b son fijos y satisfacen alguna condición adicional): y^2 = x^3 + ax + b mod p.
La nueva ley de la Federación de Rusia "Sobre la firma digital electrónica" se basa precisamente en los procedimientos para generar y verificar una firma basada en el aparato matemático de curvas elípticas. Anteriormente se habían confirmado altas cualidades criptográficas que garantizaban, manteniendo en secreto la clave de la firma privada, la imposibilidad de falsificarla durante varias décadas, incluso teniendo en cuenta el desarrollo de la tecnología informática y los correspondientes algoritmos matemáticos.
Claves secretas y públicas.
Una firma digital electrónica puede realizar sus funciones sólo si el firmante tiene alguna información que sea inaccesible para extraños. Esta información es similar a una clave de cifrado y, por lo tanto, se denomina "clave privada de una firma digital electrónica". La tarea de mantener en secreto una clave privada es inherentemente similar a mantener en secreto una clave de cifrado, ya que el conocimiento de la clave de firma privada corresponde a una hoja de papel en blanco con la firma del propietario de la clave privada, en la que un atacante puede escribir cualquier texto que será atribuido al propietario de la clave privada. El propietario de la clave de firma debe mantener la clave privada en secreto y solicitar inmediatamente la suspensión del certificado de clave de firma si hay motivos para creer que el secreto de la clave de firma privada se ha visto comprometido.
Como cualquier clave de cifrado, la clave secreta debe satisfacer los requisitos aceptados en criptografía. En particular, debe excluirse la posibilidad de selección de claves. En la criptografía moderna, se utilizan equipos especiales para producir claves, lo que permite producir claves cuya probabilidad de selección aleatoria es de aproximadamente 10-70-10-80, es decir, la selección está prácticamente excluida.
Cada “clave secreta” tiene su propia “clave pública”, que utilizan las personas que reciben los mensajes. La clave pública correspondiente a una clave secreta específica es generada por el remitente del mensaje mediante un código especial. software, integrado en herramientas de firma digital y se envía por adelantado a otros suscriptores de la red, se incluye en un mensaje firmado o está disponible en algún servidor.
Un usuario que utiliza claves públicas de firma digital para verificar las firmas de otros suscriptores de la red debe poder determinar claramente qué clave pública pertenece a qué usuario. En caso de errores en esta etapa de la operación de firma digital, la fuente del mensaje puede determinarse incorrectamente con todas las consecuencias consiguientes. Es importante que la información sobre la propiedad de una clave pública de un usuario específico esté documentada, y este registro debe ser realizado por una autoridad responsable especialmente designada.
El documento que certifica la firma se denomina certificado de clave pública EDS (certificado de firma). Confirma que la clave de firma digital pública pertenece al propietario de la clave de firma privada. Dicho documento debe ser emitido por una autoridad certificadora de firmas de clave pública.
La presencia de dicho documento es importante a la hora de resolver disputas sobre la creación de un documento en particular por parte de una persona específica. Para excluir la posibilidad de cambios en los certificados de clave por parte de los usuarios al transmitirlos a través de canales de comunicación, el certificado en forma de datos electrónicos se firma con la firma digital del centro de certificación. Así, el centro de certificación desempeña las funciones de notario electrónico, debe confirmar la legitimidad del documento electrónico firmado. Por lo tanto, dicho notario, al igual que un notario estatal ordinario, debe desempeñar sus funciones sobre la base de una licencia emitida por una agencia gubernamental.
Buen algoritmo de firma digital.
En primer lugar, el algoritmo de firma digital debe ser "fuerte" en términos de nivel de protección contra la falsificación de firmas. En comparación con el cifrado de información, en el que los algoritmos "débiles" conducen a la lectura de la información, los algoritmos de firma digital "débiles" conducen a la falsificación de firmas. La falsificación de una firma electrónica puede tener consecuencias equivalentes a las de la falsificación de una firma manuscrita.
Entonces, para que un algoritmo de firma digital sea bueno, debe ser sólido. Los algoritmos "fuertes", por supuesto, incluyen algoritmos adoptados como estándares estatales. Satisfacen más plenamente una variedad de requisitos, incluido el de proporcionar su ayuda. nivel alto protección contra la falsificación de firmas.
El primer estándar ruso de firma digital fue aprobado por el Estándar Estatal de Rusia y entró en vigor en 1994.
Al comparar los algoritmos de firma digital de los estándares ruso y estadounidense, se puede observar su coincidencia en cuanto a las ideas subyacentes a estos algoritmos. Esto se aplica tanto a los estándares de firma antiguos como a los nuevos. Esta circunstancia puede considerarse como una confirmación indirecta de las altas cualidades especiales de los algoritmos de firma digital nacionales seleccionados y la imposibilidad de falsificar una firma en tiempo real.
Para que el algoritmo de firma digital sea bueno, también es necesario que sea convenientemente implementable en computadoras. El procedimiento de firma en sí debería llevar un tiempo mínimo y no retrasar el procesamiento de documentos en la gestión de documentos electrónicos. Los algoritmos adoptados como estándares estatales generalmente satisfacen este requisito.
Medios de firma digital
Algunas palabras sobre los medios técnicos que implementan las firmas digitales. Las complejas transformaciones matemáticas discutidas anteriormente (cifrar información, aplicar hash, confirmar la autenticidad de las firmas digitales, producir claves de firmas digitales) deben llevarse a cabo en un tiempo relativamente corto y, por regla general, se implementan mediante software o hardware, que se denominan herramientas de firma digital.
Anti-imitación
Como se mencionó anteriormente, el uso de una firma digital resuelve el problema de la imitación. La imitación de la protección de datos en los sistemas de tratamiento supone la protección contra la imposición de datos falsos. Casi siempre, en algunas etapas de su ciclo de vida, la información acaba fuera de la zona de control directo sobre ella. Esto sucede, por ejemplo, cuando se transmiten datos a través de canales de comunicación o cuando se almacenan en soportes informáticos magnéticos, a los que casi nunca es posible impedir el acceso físico de personas no autorizadas.
De este modo, se evita físicamente cambios no autorizados en los datos en la gran mayoría de los casos. sistemas reales no es posible su procesamiento, transmisión y almacenamiento. Por lo tanto, es extremadamente importante detectar rápidamente el hecho mismo de tales cambios: si se detectan a tiempo tales distorsiones accidentales o intencionales, las pérdidas para los usuarios del sistema serán mínimas y se limitarán únicamente al costo de la transmisión o almacenamiento "vacío" de información falsa. datos que, por supuesto, en todas las situaciones reales son muchísimo menores que los posibles daños derivados de su uso. El objetivo de un atacante que introduce información falsa en el sistema es hacerla pasar por genuina, y esto solo es posible si el hecho mismo de dicha imposición no se detecta a tiempo, por lo que simplemente registrar este hecho anula todos los esfuerzos del atacante. .
Funciones hash criptográficas
Las funciones hash criptográficas se utilizan comúnmente para generar un resumen de mensajes al crear una firma digital. Las funciones hash asignan un mensaje a un valor hash de tamaño fijo de modo que todo el conjunto de mensajes posibles se distribuya uniformemente entre el conjunto de valores hash. Sin embargo, la función hash criptográfica hace esto de tal manera que es casi imposible ajustar el documento a un valor hash determinado. Hoy en día se han inventado muchas buenas funciones hash criptográficas, como MD5 y SHA.
La función hash utilizada debe poder convertir un mensaje de cualquier longitud en una secuencia binaria de longitud fija. Además, requiere las siguientes propiedades:
El mensaje luego de aplicar la función hash debe depender de cada bit del mensaje original y del orden en que aparecen;
Al utilizar una versión hash de un mensaje, no hay forma de reconstruir el mensaje en sí.
Protección integral de mensajes
Dado que el cifrado protege los mensajes de la lectura y las firmas digitales de la sustitución, sería lógico utilizar firmas digitales y cifrado combinados para garantizar una seguridad más completa. Para hacer esto necesitas hacer lo siguiente.
En la etapa preparatoria, dos amigos, por ejemplo, crean dos pares de claves: una clave secreta y pública para cifrado asimétrico, así como una clave EDS secreta y pública. Intercambian claves públicas y luego uno envía al otro un mensaje firmado con su clave privada.
Luego, el primer amigo genera una clave de cifrado simétrica aleatoria K, que utiliza para cifrar el correo electrónico que envía, y sólo ese.
A continuación, para que el mensaje pueda ser descifrado, cifra la clave K (y en ningún caso es aceptable enviar una clave de cifrado simétrica en texto claro) con la clave pública de cifrado asimétrico de su amigo y la añade a la carta cifrada.
El segundo amigo, después de recibir el mensaje cifrado, descifra la clave K con su clave secreta de cifrado asimétrico, que luego descifra la carta misma.
Y finalmente, verifica su firma digital en esta carta usando la clave pública del amigo y se asegura de que provenga exactamente de su amigo y en forma inalterada.
Puede parecer inconveniente tener que crear demasiadas claves. Para solucionar este problema, se proporciona el algoritmo Diffie-Hellman (que lleva el nombre de sus autores Diffie y Hellman), que permite, en particular, utilizar el mismo par de claves de firma digital tanto para la propia firma digital como para el cifrado simétrico.
Formato XML y firma digital.
Actualmente, XML, o lenguaje de marcado extensible, se está convirtiendo en de forma estándar"transportar" información a la Web. El objetivo principal de XML es describir la estructura y la semántica de un documento. En él se separa la descripción de la presentación externa del documento de su estructura y contenido. XML es un lenguaje flexible que se puede utilizar para diversos propósitos y puede interactuar con muchos sistemas y bases de datos. Pero este formato también tiene problemas: están relacionados con cuestiones de seguridad.
Para utilizar XML plenamente, es necesario garantizar la protección de la información contra distorsiones involuntarias o intencionales tanto por parte de los usuarios de los sistemas de información como cuando se transmite a través de canales de comunicación. La protección debe basarse en las siguientes funciones:
Autenticación de partes interactuantes;
Confirmación de la autenticidad e integridad de la información;
Cierre criptográfico de los datos transmitidos.
Para garantizar esta protección de la información, es recomendable utilizar métodos de firma digital electrónica (EDS) y cifrado de datos. Además, por regla general, la firma digital proporciona autenticación, confirmación de autenticidad e integridad, y el cierre de datos proporciona cifrado. Estamos más interesados en la firma digital de documentos XML.
El W3C está desarrollando actualmente el XML: especificación de procesamiento y sintaxis de firma y otros documentos relacionados. Ahora tiene estado de recomendación (http://www.w3.org/TR/xmldsig-core/). Este documento permite firmar tanto el documento XML completo como parte del mismo. Otros documentos relacionados con la firma XML están disponibles en: http://www.w3.org/Signature/.
Seguridad XML (Apache)
Seguridad XML (Phaos): http://phaos.com/products/category/xml.html
Conclusión
Para concluir, quisiera señalar que hoy se han desarrollado condiciones favorables para una solución integral a los problemas de implementación y uso de sistemas basados en firmas digitales. Es importante enfatizar que un algoritmo de firma digital implementado correctamente es un medio poderoso para proteger los documentos electrónicos contra la falsificación y, cuando se utilizan mecanismos criptográficos adicionales, contra la destrucción no autorizada de estos documentos.
Literatura
ME Smead, DK Brunsted. Estándar de cifrado de datos: pasado y futuro. /Trans. Del inglés/ M., Mir, TIIER. - 1988. - T.76. - N5.
B.V. Berezin, P.V. Doroshkevich. Firma digital basada en criptografía tradicional//Protección de la información, edición 2., M.: MP "Irbis-II", 1992.
W. Diffie. Los primeros diez años de criptografía de clave pública. /Trans. Del inglés/ M., Mir, TIIER. - 1988. - T.76. - N5.
|
Las relaciones en el campo del uso de firmas electrónicas en la realización de transacciones civiles, la prestación de servicios estatales y municipales, el desempeño de funciones estatales y municipales, en la realización de otras acciones legalmente significativas, incluso en los casos establecidos por otras leyes federales, están reguladas por la Ley Federal de 06/04/2011 No. 63-FZ “Sobre Firmas Electrónicas” (en adelante, Ley No. 63-FZ).
Firma electrónica (ES)– se trata de información en formato electrónico que se adjunta a otra información en formato electrónico (información firmada) o está asociada de otro modo con dicha información y que se utiliza para determinar la persona que firma la información (cláusula 1 del artículo 2 de la Ley N° 63- FZ).
Es una firma electrónica que puede hacer que un documento electrónico sea equivalente a un documento en papel firmado con la propia mano, es decir. darle fuerza legal.
Recordemos que hasta el 1 de julio de 2013 relaciones similares estaban reguladas por la Ley Federal de 10 de enero de 2002 No. 1-FZ “Sobre Firma Digital Electrónica”.
El artículo proporciona respuestas a las preguntas: "¿Cómo es una firma electrónica", "Cómo funciona una firma electrónica", analiza sus capacidades y componentes principales, y también presenta una visión visual? instrucción paso a paso el proceso de firma de un expediente con firma electrónica.
¿Qué es una firma electrónica?
Una firma electrónica no es un objeto que se puede recoger, sino un requisito documental que permite confirmar que la firma digital pertenece a su propietario, así como registrar el estado de la información/datos (presencia o ausencia de cambios) en el documento electrónico desde el momento de su firma.
Para referencia:
El nombre abreviado (según la Ley Federal No. 63) es ED, pero con mayor frecuencia se utiliza la abreviatura obsoleta EDS (firma digital electrónica). Esto, por ejemplo, facilita la interacción con los buscadores en Internet, ya que EP también puede significar una estufa eléctrica, una locomotora eléctrica de pasajeros, etc.
Según la legislación de la Federación de Rusia, una firma electrónica cualificada equivale a una firma manuscrita que tiene plena fuerza legal. Además de las firmas digitales cualificadas, existen dos tipos más de firmas digitales disponibles en Rusia:
- sin reservas: garantiza la importancia jurídica del documento, pero solo después de la celebración de acuerdos adicionales entre los firmantes sobre las reglas para el uso y reconocimiento de firmas digitales, le permite confirmar la autoría del documento y controlar su inmutabilidad después de la firma,
- simple - no otorga significado legal al documento firmado hasta que se celebren acuerdos adicionales entre los firmantes sobre las reglas para el uso y reconocimiento de las firmas digitales y sin cumplir con las condiciones legalmente establecidas para su uso (una firma electrónica simple debe estar contenida en el documento en sí, su clave debe usarse de acuerdo con los requisitos del sistema de información, donde se usa, etc. de acuerdo con la Ley Federal-63, artículo 9), no garantiza su invariancia desde el momento de la firma, permite usted para confirmar la autoría. No se permite su uso en casos relacionados con secretos de estado.
Capacidades de firma electrónica
Para los individuos, la firma digital proporciona interacción remota con instituciones gubernamentales, educativas, médicas y de otro tipo. sistemas de información a través de Internet.
Una firma electrónica otorga a las personas jurídicas permiso para participar en el comercio electrónico y permite organizar organizaciones legalmente significativas. gestión de documentos electrónicos(EDI) y presentación de informes electrónicos a las autoridades reguladoras.
Las oportunidades que ofrece la firma digital a los usuarios la han convertido en un componente importante de la vida cotidiana tanto de los ciudadanos comunes como de los representantes de las empresas.
¿Qué significa la frase “se ha emitido una firma electrónica al cliente”? ¿Cómo es la firma digital?
La firma en sí no es un objeto, sino el resultado de transformaciones criptográficas del documento que se firma, y no puede emitirse “físicamente” en ningún soporte (token, tarjeta inteligente, etc.). Además, no se puede ver, en el sentido literal de la palabra; no parece un trazo de lápiz ni una huella figurativa. Acerca de, ¿Cómo se ve una firma electrónica? Te lo contamos un poco a continuación.
Para referencia:
Una transformación criptográfica es un cifrado que se basa en un algoritmo que utiliza una clave secreta. El proceso de restauración de los datos originales después de la transformación criptográfica sin esta clave, según los expertos, debería llevar más tiempo que el período de validez de la información extraída.
Los medios flash son un medio de almacenamiento compacto que incluye memoria flash y un adaptador (unidad flash USB).
Un token es un dispositivo cuyo cuerpo es similar al de una unidad flash USB, pero la tarjeta de memoria está protegida con contraseña. El token contiene información para crear una firma electrónica. Para trabajar con él, debe conectarse al conector USB de su computadora e ingresar una contraseña.
La tarjeta inteligente es una tarjeta de plastico, permitiendo realizar operaciones criptográficas mediante un chip incorporado.
Una tarjeta SIM con chip es una tarjeta operador móvil, equipado con un chip especial en el que se instala de forma segura una aplicación Java en la etapa de producción, ampliando su funcionalidad.
¿Cómo entender la frase “se ha emitido una firma electrónica”, que está firmemente arraigada en el discurso coloquial de los participantes del mercado? ¿En qué consiste una firma electrónica?
La firma electrónica emitida consta de 3 elementos:
1 - un medio de firma electrónica, es decir, necesario para la implementación de un conjunto de algoritmos y funciones criptográficos medios tecnicos. Puede ser un criptoproveedor instalado en una computadora (CryptoPro CSP, ViPNet CSP) o un token independiente con un criptoproveedor incorporado (EDS Rutoken, JaCarta GOST) o una "nube electrónica". Puedes leer más sobre las tecnologías de firma digital relacionadas con el uso de la “nube electrónica” en el siguiente artículo del Portal Unificado de Firma Electrónica.
Para referencia:
Un proveedor de cifrado es un módulo independiente que actúa como "intermediario" entre Sistema operativo, que, mediante un determinado conjunto de funciones, lo controla, y un programa o complejo de hardware que realiza transformaciones criptográficas.
Importante: el token y la firma digital cualificada que contiene deben estar certificados por el FSB de la Federación de Rusia de acuerdo con los requisitos ley Federal № 63.
2 - un par de claves, que consta de dos conjuntos impersonales de bytes generados por una herramienta de firma electrónica. La primera de ellas es la clave de firma electrónica, que se denomina “privada”. Se utiliza para formar la propia firma y debe mantenerse en secreto. Colocar una clave “privada” en una computadora y un medio flash es extremadamente inseguro; en un token es algo inseguro; en un token/tarjeta inteligente/tarjeta SIM en forma no extraíble es lo más seguro. La segunda es la clave de verificación de firma electrónica, que se denomina “pública”. No se mantiene en secreto, está vinculado únicamente a la clave "privada" y es necesario para que cualquiera pueda verificar la exactitud de la firma electrónica.
3 - Certificado de clave de verificación EDS emitido por un centro de certificación (CA). Su finalidad es asociar un conjunto anonimizado de bytes de una clave “pública” con la identidad del propietario de la firma electrónica (persona u organización). En la práctica, se ve así: por ejemplo, Ivan Ivanovich Ivanov ( individual) llega al centro de certificación, presenta su pasaporte y la CA le emite un certificado que confirma que la clave "pública" declarada pertenece específicamente a Ivan Ivanovich Ivanov. Esto es necesario para evitar un esquema fraudulento, durante cuya implementación un atacante en el proceso de transmisión de código "abierto" puede interceptarlo y reemplazarlo por el suyo. Esto le dará al delincuente la oportunidad de hacerse pasar por el firmante. En el futuro, al interceptar mensajes y realizar cambios, podrá confirmarlos con su firma digital. Es por eso que el papel del certificado de clave de verificación de firma electrónica es extremadamente importante, y el centro de certificación asume la responsabilidad financiera y administrativa de su corrección.
De acuerdo con la legislación de la Federación de Rusia, existen:
— el “certificado de clave de verificación de firma electrónica” se genera para una firma digital no calificada y puede ser emitido por un centro de certificación;
— el “certificado de clave de verificación de firma electrónica calificada” se genera para una firma digital calificada y solo puede ser emitido por un Ministerio de Comunicaciones y Comunicaciones acreditado. comunicación de masas UC.
Convencionalmente, podemos indicar que las claves de verificación de firma electrónica (conjuntos de bytes) son conceptos técnicos, y un certificado de clave "pública" y una autoridad de certificación son conceptos organizativos. Después de todo, la CA es una unidad estructural que es responsable de hacer coincidir las claves "públicas" y sus propietarios en el marco de sus actividades económicas y financieras.
Para resumir lo anterior, la frase “se ha emitido una firma electrónica al cliente” consta de tres componentes:
- El cliente adquirió una herramienta de firma electrónica.
- Recibió una clave "pública" y "privada", con la ayuda de las cuales se genera y verifica la firma digital.
- La CA emitió al cliente un certificado que confirma que la clave "pública" del par de claves pertenece a esta persona en particular.
Problema de seguridad
Propiedades requeridas de los documentos firmados:
- integridad;
- fiabilidad;
- autenticidad (autenticidad; “no repudio” de la autoría de la información).
Se proporcionan mediante algoritmos y protocolos criptográficos, así como soluciones de software y hardware-software basadas en ellos para generar una firma electrónica.
Con cierto grado de simplificación, podemos decir que la seguridad de una firma electrónica y de los servicios prestados en base a ella se basa en que las claves “privadas” de la firma electrónica se mantienen en secreto, de forma protegida, y que cada usuario los almacena responsablemente y no permite incidencias.
Nota: al comprar un token, es importante cambiar la contraseña de fábrica, así nadie podrá acceder al mecanismo de firma digital excepto su propietario.
¿Cómo firmar un expediente con firma electrónica?
Para firmar un archivo de firma digital, debe completar varios pasos. Como ejemplo, veamos cómo poner una firma electrónica cualificada en un certificado de marca del Portal Unificado de Firma Electrónica en formato .pdf. Necesitar:
1. Haga clic derecho en el documento y seleccione el proveedor de cifrado (en este caso CryptoARM) y la columna "Firmar".
2. Siga la ruta en los cuadros de diálogo del proveedor de cifrado:
En este paso, si es necesario, puede seleccionar un archivo diferente para firmar u omitir este paso e ir directamente al siguiente cuadro de diálogo.
Los campos Codificación y Extensión no requieren edición. A continuación puede elegir dónde se guardará el archivo firmado. En el ejemplo, se colocará un documento con firma digital en el escritorio.
En el bloque "Propiedades de la firma", seleccione "Firmado", si es necesario, puede agregar un comentario. Los campos restantes se pueden excluir/seleccionar según se desee.
Seleccione el que necesita del almacén de certificados.
Después de comprobar que el campo "Propietario del certificado" es correcto, haga clic en el botón "Siguiente".
En este cuadro de diálogo se realiza la verificación final de los datos necesarios para crear una firma electrónica, y luego de hacer clic en el botón “Finalizar”, debería aparecer el siguiente mensaje:
La finalización exitosa de la operación significa que el archivo se ha convertido criptográficamente y contiene requisitos que registran la inmutabilidad del documento después de su firma y garantizan su significado legal.
Entonces, ¿cómo es una firma electrónica en un documento?
Por ejemplo, tomamos un archivo firmado con firma electrónica (guardado en formato .sig) y lo abrimos a través de un proveedor de cifrado.
Fragmento de escritorio. Izquierda: archivo firmado con firma digital, derecha: proveedor de cifrado (por ejemplo, CryptoARM).
No se prevé la visualización de la firma electrónica en el propio documento al abrirlo por ser un requisito. Pero hay excepciones, por ejemplo, una firma electrónica del Servicio de Impuestos Federales al recibir un extracto del Registro Estatal Unificado de Personas Jurídicas/Registro Estatal Unificado de Empresarios Individuales a través de Servicio en línea mostrado condicionalmente en el propio documento. La captura de pantalla se puede encontrar en
Pero como al final EDS “parece”, o mejor dicho, ¿cómo se indica en el documento el hecho de firmar?
Al abrir la ventana "Administrar datos firmados" a través del proveedor de cifrado, puede ver información sobre el archivo y la firma.
Al hacer clic en el botón "Ver", aparece una ventana que contiene información sobre la firma y el certificado.
La última captura de pantalla demuestra claramente ¿Cómo se ve la firma digital en un documento?"desde dentro".
Puede adquirir una firma electrónica en.
Haga otras preguntas sobre el tema del artículo en los comentarios, los expertos del Portal Unificado de Firma Electrónica definitivamente le responderán.
El artículo fue preparado por los editores del sitio web del Portal Unificado de Firma Electrónica utilizando materiales de SafeTech.
Al utilizar el material total o parcialmente, se colocará un hipervínculo a www..
