Електронно- цифровий підпис(ЕЦП)- це реквізит електронного документа, призначений для захисту даного електронного документа від підробки, отриманий внаслідок криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису та що дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити відсутність спотворення інформації в електронному документі.
Електронно-цифровий підпис - це програмно-криптографічний засіб, який забезпечує:
перевірку цілісності документів;
конфіденційність документів;
встановлення особи, яка надіслала документ.
Переваги використання електронно-цифрового підпису
Використання електронно-цифрового підпису дозволяє:
значно скоротити час, що витрачається на оформлення правочину та обмін документацією;
удосконалити та здешевити процедуру підготовки, доставки, обліку та зберігання документів;
гарантувати достовірність документації;
мінімізувати ризик фінансових втрат за рахунок підвищення конфіденційності інформаційного обміну;
побудувати корпоративну систему обміну документами
Види електронно-цифрового підпису
Існує три види електронного цифрового підпису:
Простий електронно-цифровий підпис
За допомогою використання кодів, паролів чи інших засобів, простий електронно-цифровий підпис підтверджує факт формування електронного підписупевною особою.
Простий електронно-цифровий підпис має низький ступінь захисту. Вона дає змогу лише визначити автора документа.
Простий електронно-цифровий підпис не захищає документ від підробки.
Посилений некваліфікований електронно-цифровий підпис
1) отримана внаслідок криптографічного перетворення інформації з використанням ключа електронного підпису;
2) дозволяє визначити особу, яка підписала електронний документ;
3) дозволяє виявити факт внесення змін до електронного документа після його підписання;
4) створюється з використанням коштів електронного підпису.
Посилений некваліфікований електронно-цифровий підпис має середній ступінь захисту.
Щоб використовувати некваліфікований електронний підпис, потрібний сертифікат ключа його перевірки.
Посилений кваліфікований електронно-цифровий підпис
Для кваліфікованого електронного підпису характерні ознаки некваліфікованого електронного підпису.
Посилений кваліфікований електронно-цифровий підпис відповідає наступним додатковим ознакам підпису:
1) ключ перевірки електронного підпису вказано у кваліфікованому сертифікаті;
2) для створення та перевірки електронного підпису використовуються засоби електронного підпису, які отримали підтвердження відповідності вимогам законодавства.
Посилений кваліфікований електронно-цифровий підпис є найбільш універсальним та стандартизованим підписом з високим ступенем захисту.
Документ, візований таким підписом, аналогічний паперовому варіанту із власноручним підписом.
Використовувати такий підпис можна і без будь-яких додаткових угод та регламентів між учасниками електронного документообігу.
Якщо під документом стоїть кваліфікований підпис, можна точно визначити, який саме співробітник організації його поставив.
А також встановити, чи документ змінювався вже після того, як був підписаний.
Коли застосовуються різні види підпису
Простий електронно-цифровий підпис
Звернення заявників - юридичних осіб за отриманням державних та муніципальних послуг здійснюється шляхом підписання звернення уповноваженою особою з використанням простого електронного підпису.
Використання простого електронного підпису для отримання державної або муніципальної послуги допускається, якщо федеральними законамиабо іншими нормативними актами не встановлено заборону на звернення за отриманням державної чи муніципальної послуги в електронній формі, а також не встановлено використання з цією метою іншого виду електронного підпису
Посилений некваліфікований електронно-цифровий підпис
Випадки, у яких інформація в електронній формі, підписана некваліфікованим електронним підписом, визнається електронним документом, який є рівнозначним документу на паперовому носії, підписаному власноручним підписом, у Податковому кодексі не визначено.
На думку Мінфіну, для цілей податкового обліку документ, оформлений в електронному вигляді та підписаний некваліфікованим електронним підписом, не може бути документом, рівнозначним документу на паперовому носії, підписаному власноручним підписом.
Тому, хоча господарюючі сторони за наявності юридично дійсної угоди можуть організувати електронний документообіг, застосовуючи посилений некваліфікований електронний підпис, якщо є ймовірність виникнення суперечок з контролюючим органом, зміст таких документів втрачається.
Посилений кваліфікований електронно-цифровий підпис
Для деяких видів звітності використання кваліфікованого підпису прямо визначено нормативними документами.
Наприклад, такий порядок встановлений для:
річний бухгалтерської звітності, яку необхідно здати до Росстату;
форми РСВ-1 ПФР;
звітності до податкової інспекції – декларації.
Електронний рахунок-фактуру слід підписувати лише посиленим кваліфікованим електронним підписом керівника чи інших осіб, уповноважених цього наказом (іншим розпорядчим документом) чи довіреністю від імені організації, індивідуального підприємця.
Заява про постановку на облік (зняття з обліку) у податковому органі засвідчується лише посиленим кваліфікованим підписом.
Заяви про повернення або зарахування суми податку також приймаються лише у випадку, якщо їх візовано посиленим кваліфікованим електронним підписом.
Електронно-цифровий підпис (ЕЦП): подробиці для бухгалтера
- Чи можна застосовувати електронний цифровий підпис та факсимільний підпис під час оформлення бухгалтерських документів?
Угодою сторін. Електронний цифровий підпис (ЕЦП) В даний час відносини в... детально про порядок застосування видів ЕЦП під час підписання документів бухгалтерського та...
- Електронна взаємодія працівника та роботодавця при оформленні трудових відносин
Що електронний цифровий підпис (ЕЦП) на кадрових документахможна буде... обмежений перелік документів, що підписуються ЕЦП, з метою захисту прав... суттєвих інвестицій. Висока вартість випуску ЕЦП (з урахуванням випуску кваліфікованої... Складність "масового" отримання ЕЦП Неможливість підписання документів заднім числом... переходу до використання нових стандартів ЕЦП та функції хешування». Передбачалося, ... переходу до використання нових стандартів ЕЦП та функції хешування».
- Чим ризикує головбух: порівнюємо роботу з ТК РФ та ЦК РФ
Пам'ятає, на кого було оформлено електронний цифровий підпис. Головний бухгалтер пояснила, що...
- Формули для визначення нормативних значень ключових показників економічної цінності підприємств
Види: показники річної ЕЦП; показники періодної ЕЦП; показники загальної ЕЦП У свою... три підвиди: показники допрогнозної ЕЦП; очікувані показники прогнозної ЕЦП; передбачувані (можливі) ... підвидів) розрахункові нормативні показники ЕЦП. Прийняті вимірювачі ЕЦП – мільйони/тисячі фінансових... економічної одиниці, а фактичні показники ЕЦП – є обов'язковими звітними показниками... . Як зазначалося вище, показники ЕЦП характеризують товаропродуктивність та/або послугопродуктивність.
- Реєстрація бізнесу
Потрібно заздалегідь придбати. Вартість такої ЕЦП варіюється приблизно в межах від... засновником вигода суттєва. Якщо, наприклад, ЕЦП буде придбано за 1000 руб... спрямовано вам електронно, з посиленою ЕЦП податкового органу. Сайт держпослуг надає...
- До питання про визначення понять загальної, періодної та річної економічної цінності підприємства
Уявлення про економічну цінність підприємства (ЕЦП), то визначення цього поняття, виходячи з... вартості товарів, виглядає наступним чином: ЕЦП – ЦЕ РОЗРАХУНКОВА НОРМА ЧИСТОГО ДОХОДУ...
- Покрокова інструкція щодо отримання майнового відрахування
Порядку? Тоді вводимо пароль від ЕЦП (електронного цифрового підпису). Якщо раніше... пароль від ЕЦП не було отримано, то зберігаємо... шостому кроці вводимо пароль від ЕЦП, який вигадали при її створенні...
- Електронний лікарняний – право, а чи не обов'язок
Раніше знайденого лікарняного плагіну КриптоПро ЕЦП browser plug-in не бачить...
- Оформлення рахунків-фактур: перша половина 2017 року
Цією метою використовується посилена кваліфікована ЕЦП (п. 6). Відповідно до... електронного зразка, підписаного посиленою кваліфікованою ЕЦП керівника компанії, неправомірно. В загальному...
- Порядок сплати ПДВ при імпорті товарів з Білорусі
Яким є порядок сплати ПДВ при імпорті товарів з Беспубліки Білорусь (у тому числі терміни)? Яку звітність потрібно здати в Податковий органта митний орган? Яким є порядок сплати ПДВ при імпорті товарів з Беспубліки Білорусь (у тому числі терміни)? Яку звітність потрібно подати до податкового органу та митного органу? Розглянувши питання, ми дійшли наступного висновку: При імпорті товарів з Республіки Білорусь (далі - РБ) організація повинна сплатити ПДВ не пізніше 20 числа місяця, наступного за...
- Регістри бухгалтерського обліку у формі електронних документів
Якщо регістри бухгалтерського обліку(первинні облікові документи) формуються в електронному вигляді, які вимоги до їх заповнення висуваються? Якщо регістри бухгалтерського обліку (первинні облікові документи) формуються в електронному вигляді, які вимоги щодо їх заповнення висуваються? Відповідно до п. 11 Інструкції № 157н регістри бухгалтерського обліку складаються за уніфікованими формами, встановленими в рамках бюджетного законодавства. Нагадаємо, що наразі необхідні форми...
Заповнюється тільки заява (яка засвідчується ЕЦП кредитної організації), фотографія не потрібна.
- Зміни до Закону про контрактну систему: роз'яснення Мінфіну щодо перехідного періоду
З 01.07.2018 набувають чинності окремі положення федеральних законів від 31.12.2017 № 504-ФЗ «Про внесення змін до Федерального закону «Про контрактну систему у сфері закупівель товарів, робіт, послуг для забезпечення державних та муніципальних потреб» та від 31.12.2017 № 505-ФЗ «Про внесення змін до окремих законодавчих актів Російської Федерації». У Листі від 25.06.2018 № 24-06-08/43650 Мінфіном повідомляється позиція щодо перехідного періоду з 01.07.2018 до 01.01. ...
Тема «Електронний цифровий підпис»
1. Поняття електронного цифрового підпису та його технічне забезпечення
2. Організаційне та правове забезпечення електронного цифрового підпису.
1.Поняття електронного цифрового підпису та його технічне
забезпечення
У світі електронних документів підписання файлу за допомогою графічних символів втрачає сенс, тому що підробити та скопіювати графічний символ можна нескінченну кількість разів. Електронний Цифровий Підпис (ЕЦП)є повним електронним аналогом звичайного підпису на папері, але реалізується за допомогою графічних зображень, а з допомогою математичних перетворень над вмістом документа.
Особливості математичного алгоритму створення та перевірки ЕЦП гарантують неможливість підробки такого підпису сторонніми особами,
ЕЦП – реквізит електронного документа, призначений для захисту цього документавід підробки, отриманий в результаті криптографічного перетворення інформації з використанням закритого ключа ЕЦП, що дозволяє ідентифікувати власника ключа, а
також встановити відсутність спотворення інформації у електронному документі.
ЕЦП є певною послідовністю символів,
яка формується внаслідок перетворення вихідного документа (або будь-якої іншої інформації) за допомогою спеціального програмного забезпечення. ЕЦП додається до вихідного документа під час пересилання. ЕЦП є унікальним для кожного документа і не може бути перенесена на інший документ. Неможливість підробки ЕЦП забезпечується значною кількістю математичних обчислень, необхідних для
її добору. Таким чином, при отриманні документа, підписаного ЕЦП,
Застосування ЕЦП забезпечує: простий вирішення спірних ситуацій (реєстрація всіх дій учасника системи у часі),
неможливість зміни заявки учасника до дати закінчення закупівлі.
Крім того, ЕЦП сприяє: зниження витрат за пересилання документів, швидкого доступу до торгів, які у будь-якій точці Росії.
Користуватися електронним підписом досить просто. Жодних спеціальних знань, навичок та умінь для цього не потрібно. Кожному користувачеві ЕЦП, який бере участь в обміні електронними документами,
генеруються унікальні відкритий та закритий (секретний)
криптографічні ключі.
Закритий ключ – це закритий унікальний набірінформації об'ємом 256 біт, зберігається в недоступному для інших осіб місці на дискеті,
смарт-картки, ru-token. Працює закритий ключ лише у парі з відкритим
Відкритий ключ - використовується для перевірки ЕЦП одержуваних документів/файлів. Технічно це набір інформації обсягом 1024 біти.
Відкритий ключ передається разом із Вашим листом, підписаним ЕЦП.
Дублікат відкритого ключа надсилається в Центр, що засвідчує, де створена бібліотека відкритих ключів ЕЦП. У бібліотеці засвідчувального центру забезпечується реєстрація та надійне зберігання відкритих ключів, щоб уникнути спроб підробки або внесення спотворень.
Ви встановлюєте під електронним документом свій електронний цифровий підпис. При цьому на основі секретного закритого ключа ЕЦП та вмісту документа шляхом криптографічного перетворення виробляється деяке велике число, яке і є електронно-
цифровий підпис цього користувача під даним конкретним документом. Це число додається до кінця електронного документа або зберігається в окремому файлі.
У підпис, зокрема, записується така інформація: ім'я
файлу відкритого ключа підпису, інформація про особу, яка сформувала підпис, дата формування підпису.
Користувач, який отримав підписаний документ і має відкритий ключЕЦП відправника на основі тексту документа та відкритого ключа відправника виконує зворотне криптографічне перетворення, що забезпечує перевірку електронного цифрового підпису відправника. Якщо ЕЦП під документом вірна, це означає, що документ дійсно підписаний відправником і в текст документа не внесено жодних змін. В іншому випадку видаватиметься повідомлення, що сертифікат відправника не є дійсним.
Терміни та визначення: Електронний документ- Документ, в
якому інформація представлена в електронно-цифровій формі.
Власник сертифіката ключа підпису - фізична особа, на ім'я якої засвідчуючим центром видано сертифікат ключа підпису та яка володіє відповідним закритим ключем електронного цифрового підпису, що дозволяє за допомогою засобів електронного цифрового підпису створювати свій електронний цифровий підпис в електронних документах
(Підписувати електронні документи).
Засоби електронного цифрового підпису - апаратні та (або)
програмні засоби, що забезпечують реалізацію хоча б однієї з наступних функцій - створення електронного цифрового підпису в електронному документі з використанням закритого ключа електронного цифрового підпису, підтвердження з використанням відкритого ключа електронного цифрового підпису автентичності електронного цифрового підпису в електронному документі, створення закритих та відкритих ключів електронних цифрових підписів.
Сертифікат засобів електронного цифрового підпису - документ на паперовому носії, виданий відповідно до правил системи сертифікації для підтвердження відповідності коштів електронного цифрового підпису встановленим вимогам.
Сертифікат ключа підпису- документ на паперовому носії або електронний документ з електронним цифровим підписом уповноваженої особи засвідчувального центру, які включають відкритий ключ електронного цифрового підпису та які видаються засвідчувальним центром учаснику інформаційної системи для підтвердження справжності електронного цифрового підпису та ідентифікації власника сертифіката ключа підпису.
Користувач сертифіката ключа підпису - фізична особа,
використовує відомості про сертифікат ключа підпису, отримані в засвідчувальному центрі, для перевірки належності електронного цифрового підпису власнику сертифіката ключа підпису.
Інформаційна система загального користування - інформаційна система, яка відкрита для використання всіма фізичними та юридичними особами та у послугах якої цим особам не може бути відмовлено.
Корпоративна інформаційна система - інформаційна система, учасниками якої може бути обмежене коло осіб,
визначений її власником чи угодою учасників цієї
інформаційної системи
Посвідчувальний центр- юридична особа, що виконує функції з: виготовлення сертифікатів ключів підписів, створення ключів електронних цифрових підписів щодо звернення учасників інформаційної системи з гарантією збереження в таємниці закритого ключа електронного цифрового підпису, призупинення та відновлення дії сертифікатів ключів підписів, а також анулювання їх,
ведення реєстру сертифікатів ключів підписів, забезпечення його актуальності та можливості вільного доступу до нього учасників інформаційних систем, перевірці унікальності відкритих ключів електронних цифрових підписів у реєстрі сертифікатів ключів підписів та архіві засвідчувального центру, видачі сертифікатів ключів підписів у формі документів на паперових носіях та (або) у формі електронних
документів з інформацією про їх дію, здійснення за зверненнями користувачів сертифікатів ключів підписів підтвердження справжності електронного цифрового підпису в електронному документі щодо виданих ним сертифікатів ключів підписів, надання учасникам інформаційних систем інших пов'язаних з використанням електронних цифрових підписів послуг.
При цьому посвідчувальний центр повинен мати необхідні матеріальні та фінансові можливості, що дозволяють йому нести громадянську відповідальність перед користувачами сертифікатів ключів підписів за збитки, які можуть бути понесені ними внаслідок недостовірності відомостей, що містяться в сертифікатах ключів підписів.
2. Організаційне та правове забезпечення електронної
цифровий підпис.
Правове забезпечення електронного цифрового підпису слід розуміти не лише як сукупність нормативно-правових актів,
що забезпечують правовий режим ЕЦП та засобів ЕЦП. Це набагато ширше поняття. Воно лише починається з державного закону про електронний цифровий підпис, але розвивається далі й згодом охоплює всі теоретичні та практичні питання, пов'язані з електронною комерцією взагалі.
Перший у світі закон про електронний цифровий підпис був ухвалений у березні 1995 р. Законодавчими зборами штату Юта (США) та затверджений Губернатором штату.
Закон отримав назву Utah Digital Signature Act. Найближчими послідовниками штату Юта стали штати Каліфорнія, Флорида, Вашингтон,
де невдовзі також було прийнято відповідні законодавчі акти.
Як основні цілі першого закону про електронний підпис було проголошено:
Мінімізація збитків від подій незаконного використання та підробки електронного цифрового підпису;
забезпечення правової бази для діяльності систем та органів сертифікації та верифікації документів, що мають електронну природу;
правова підтримка електронної комерції (комерційних операцій, які здійснюються з використанням засобів обчислювальної техніки);
надання правового характеру деяким технічним стандартам,
раніше запровадженим Міжнародним союзом зв'язку (ITU – International Telecommunication Union) та Національним інститутом стандартизації США (ANSI – American National Standards Institute), а також рекомендаціям Наглядової ради Інтернету (IAB – Internet Activity Board),
вираженим у документах RFC 1421 – RFC 1424.
Закон складається із п'яти частин:
У першій частині вводяться основні поняття та визначення, пов'язані з використанням ЕЦП та функціонуванням засобів ЕЦП. Тут же розглядаються формальні вимоги до змістової частини електронного сертифіката, що засвідчує належність відкритого ключа юридичній чи фізичній особі.
Друга частина закону присвячена ліцензуванню та правового регулюваннядіяльність центрів сертифікації.
Насамперед тут обумовлено умови, яким повинні задовольняти фізичні та юридичні особи для отримання відповідної ліцензії, порядок її отримання, обмеження ліцензії та умови її відкликання. Важливим моментомцього розділу є умови визнання дійсності сертифікатів, виданих неліцензованими посвідчувачами, якщо учасники електронної угоди висловили їм спільну довіру та відобразили її у своєму договорі. Фактично, тут закріплюється правовий режим мережевої моделі сертифікації, розглянутої нами вище.
У третій частині закону сформульовано обов'язки центрів сертифікації та власників ключів. Зокрема, тут розглянуто:
порядок видачі сертифіката;
порядок пред'явлення сертифіката та відкритого ключа;
умови зберігання закритого ключа;
дії власника сертифіката під час компрометації закритого
порядок відкликання сертифіката;
термін дії сертифіката;
умови звільнення центру сертифікації від відповідальності за неправомірне використання сертифікату та засобів ЕЦП;
порядок створення та використання страхових фондів,
призначених для компенсації збитків третім особам, що виникли внаслідок неправомірного застосування ЕЦП.
Четверта частина закону присвячена безпосередньо цифровому підпису.
Її основне положення полягає в тому, що документ, підписаний цифровим підписом, має ту саму силу, що й звичайний документ,
підписаний рукописним підписом.
У п'ятій частині закону розглянуто питання взаємодії центрів сертифікації з адміністративними органами влади, а також порядок функціонування так званих репозитаріїв - електронних баз даних, у яких зберігаються відомості про видані та відкликані сертифікати.
У Загалом закон про ЕЦП штату Юта відрізняється від інших аналогічних правових актів високою подробицею.
Німецький закон про електронний підпис (Signaturgesetz) був введений у дію у 1997 р. і став першим європейським законодавчим актом такого роду. Метою закону оголошено створення загальних умов для такого застосування електронного підпису, за якого його підробка чи фальсифікація підписаних даних може бути надійно встановлена.
У Законі простежуються такі основні напрями:
встановлення чітких понять та визначень;
детальне регулювання процедури ліцензування органів сертифікації та процедури сертифікації відкритих ключів користувачів засобів ЕЦП ( правовий статус, порядок функціонування центрів
сертифікації, їхня взаємодія з державними органами та іншими центрами сертифікації, вимоги до сертифіката відкритого ключа електронного підпису);
Розгляд питань захищеності цифрового підпису та даних,
підписаних з її допомогою від фальсифікації;
Порядок визнання реальності сертифікатів відкритих ключів.
За своїм духом німецький Закон про електронний підпис є регулюючим.
На відміну від аналогічного закону Німеччини, Федеральний Закон про електронний підпис США є координуючим правовим актом. Це пов'язано з тим, що на час його прийняття відповідне законодавство вже склалося в більшості окремих штатів.
Як видно з назви Закону, його основне призначення полягає у забезпеченні правового режиму цифрового електронного підпису в електронній комерції. Підписання Закону Президентом США відбулося у день національного свята – 4 липня 2000 р. (День незалежності), що має надати цьому законодавчому акту особливого значення. На думку оглядачів, прийняття цього закону символізує вступ людства в нову еру - еру електронної комерції.
відповідальних за функціонування її інфраструктури Не зосереджуючись на конкретних правах та обов'язках центрів сертифікації, яким приділяється особлива увага в законодавствах інших країн, Федеральний Закон США відносить їх до поняття інфраструктура ЕЦП та до самих загальних рисахобговорює взаємодію елементів цієї структури з урядовими органами.
У Росії із основними положеннями Федерального Закону про
електронного підпису можна ознайомитись на прикладі проекту. Згідно із проектом, Закон складається з п'яти розділів і містить понад двадцять статей.
У першому розділі розглянуто загальні положення, що належать до Закону.
Як і аналогічні закони інших держав, російський законопроект спирається на несиметричну криптографію. Основною метою Закону проголошується забезпечення правових умов для застосування ЕЦП у електронному документообігута реалізації послуг із посвідчення ЕЦП учасників договірних відносин.
У другому розділі розглянуто принципи та умови використання електронного підпису. Тут, по-перше, висловлено можливість, а по-друге,
наведено умови рівнозначності рукописного та електронного підпису.
Крім того, особливо наголошено на характерних перевагах ЕЦП:
особа може мати необмежену кількість закритих ключів ЕЦП, тобто створити собі різні електронні підписи та використовувати їх у різних умовах;
всі екземпляри документа, підписані ЕЦП, мають чинність оригіналу.
Проект російського закону передбачає можливість обмеження сфери застосування ЕЦП. Ці обмеження можуть накладатися федеральними законами, і навіть вводитися самими учасниками електронних угод і відбиватися у між ними.
Цікавим є положення статті про засоби ЕЦП, в якій закріплюється твердження про те, що «засоби ЕЦП не належать до коштів,
що забезпечує конфіденційність інформації». Насправді, це не зовсім так. За своєю природою засоби ЕЦП, засновані на механізмах несиметричної криптографії, звичайно, можуть використовуватись для захисту інформації. Можливо, це положення включено для того, щоб уникнути колізій з іншими нормативними актами, що обмежують застосування засобів криптографії у суспільстві.
Важливою відмінністю від аналогічних законів інших держав є
положення російського законопроекту про те, що власник закритого ключа відповідає перед користувачем відповідного відкритого ключа за збитки, що виникають у разі неналежним чином організованої охорони закритого ключа.
Ще однією відмінною рисоюРосійського законопроекту є перелік вимог до формату електронного сертифіката. Поряд із загальноприйнятими полями, розглянутими нами вище, російський законодавець вимагає обов'язкового включення до складу сертифіката найменування коштів ЕЦП, з якими можна використовувати даний відкритий ключ, номер сертифіката на цей засіб та термін його дії
найменування та юридичну адресу центру сертифікації, що видав цей сертифікат, номер ліцензії цього центру та дату її видачі. У
закордонному законодавстві та в міжнародних стандартахми не знаходимо вимог настільки докладного описупрограмного засобу ЕЦП, з
допомогою якого генерувався відкритий ключ. Очевидно, цю вимогу російського законопроекту продиктовано інтересами безпеки країни.
Масове застосування програмного забезпечення, вихідний код якого не опубліковано і тому не може бути досліджений фахівцями, становить суспільну загрозу. Це стосується не тільки програмних засобів ЕЦП, але й взагалі будь-якого програмного забезпечення, починаючи з операційних системта закінчуючи прикладними програмами.
У третьому розділі розглянуто правовий статус центрів сертифікації (у
термінології законопроекту - засвідчувальних центрів відкритих ключів електронного підпису). У Росії надання послуг із сертифікації електронного підпису є видом діяльності, що ліцензується, яким можуть займатися тільки юридичні особи. Посвідчення електронного підпису державних установможуть здійснювати лише державні посвідчувальні центри.
За своїм характером структура органів сертифікації -
В даний час електронний цифровий підпис широко застосовується і використовується як у внутрішньому документообігу компаній, так і при передачі документів у державні органи, наприклад, у податкову. Крім того, електронний цифровий підпис активно застосовується у держзамовленні, як замовниками, так і постачальниками. у статтіознайомимося з історією їй виникнення електронного підпису,розглянемо, як виглядає електронний підпис, його застосування та практику використання.
1. Історія електронного підпису
Тридцять років тому у 1976 році Уітфрід Діффі та його співавтор, стенфордський професор Мартін Хеллман, започаткували криптографію з відкритим ключем, в основу якого входить алгоритм обміну ключами. Він виник основі ідеї передачі від одного суб'єкта іншому суб'єкту те щоб сторонні суб'єкти отримавши доступом до неї було неможливо її зрозуміти. До нашого часу технологія зазнала змін, навіть як виглядає електронний цифровий підпис. Але з моменту публікації їх досліджень розпочалося використання електронно-цифрового підпису (ЕЦП). У Росію електронний підпис як технологія прийшов на початку 90-х і був введений у 1995 році. Ці зміни було внесено до Цивільного кодексу РФ. Де статтею 160 пункту 2 передбачалося використання електронного підпису при оформленні угод як аналогів власноручного підпису (АСП).
Дана технологи захисту стала цікавою для наших вітчизняних банків. Серед перших був Центральний банк Росії, крім інших кредитних організацій. Електронний цифровий підпис знайшов застосування для захисту інформаційних систем у таких організаціях, що дозволяє безпечно передавати дані, наприклад, у системах «банк-клієнт». До 2002 року захист передачі був основною метою використання електронного підпису.
2. Юридична значимість електронного цифрового підпису.
У міру значного розширення проблеми захисту інформаційного простору та використання для цього електронного підпису було розроблено відповідний закон «Про електронний підпис» № 63-ФЗ від 06.04.2011 року, який би регулював роботу із шифруванням даних та розширив сферу застосування електронного підпису. Це дало можливість створення електронного документообігу.
Використання електронного підпису регулюється державою на федеральному рівніза допомогою двох законів ФЗ-№1 та ФЗ-№63, які допомагають вирішувати суперечки у цивільно-правових відносинах.
Законопроект був прийнятий, оскільки Цивільний кодекс лише давав дозвіл на використання електронного підпису як аналога власноручного підпису зі значними обмеженнями. Цей закон також регулював вирішення судових спорів, оскільки до цього це було важко через відсутність органів, які відповідають за справжність під час використання електронного підпису. Хоча раніше і були судові розгляди, в яких як доказ фігурував машинний документ (справа 1979 про комп'ютерне розкрадання 78 тис. 584 рублів у Вільнюсі). Потім був судовий процес у 1982 році у місті Горькому (справа про розкрадання у великому розмірі).
Найголовнішим зрушенням у прийнятті закону про ЕЦП стало юридичне ухвалення електронного документа як рівноправного паперового паперу. У США закон про застосування цифрового електронного підпису було прийнято 1995 року в штаті Юта.
Федеральний закон про ЕЦП має недоробки у формулюваннях. Вони збільшують ризик використання електронного підпису, тому необхідна деталізація та точніше розписані умови угод. Тому прикладом є стаття 4 закону про ЕЦП, яка призначає три умови рівнозначності власноручного підпису. Одне дуже суперечливо, оскільки вказує на те, що сертифікат діє на момент підпису або на момент перевірки. Така двозначність тлумачення потребує додаткових роз'яснень. Хоча будь-який закон викликає претензії, закон про ЕЦП не є винятком. Ці недоробки організатори ІС сьогодні успішно відшкодовують на рівні угод сторін. Основний недолік цього закону полягає в тому, що він не є законом прямої дії.
У Росії, коли ухвалювався закон про ЕЦП, у розробників були певні складнощі. Усі сертифіковані засоби криптографічного захисту були несумісні друг з одним. Причому дана проблемадо виникнення посвідчувальних центрів була настільки гостра, як після появи. Часто сертифікат, виданий одним центром, що засвідчує, не розпізнавався іншим центром, що засвідчує.
Цю проблему частково вирішили підписанням угоди, в якій говорилося, що формат зашифрованих повідомлень та відкритої частини ключа розроблятиметься ТОВ «Кріпто-Про». Угоду підписали безпосередньо ТОВ «Кріпто-Про», ФГУП НТЦ «Атлас», ТОВ «Фактор-ТС», ВАТ «Інфотекс» та ЗАТ «МО ПНДЕІ». Так проблема була вирішена частково, але вона не зникла повністю, хоча більшість розробників електронного підпису Росії формально або офіційно приєдналися до цієї угоди.
3. Поняття та визначення електронно-цифрового підпису. Використання електронного підпису
Електронний цифровий підпис (скорочено ЕП) - це особливий зразок атрибуту документа, що виключає деструкцію даних, що передаються в електронному документі, з моменту комплектації ЕП та підтверджує відношення ЕП такому власнику. Зміст атрибуту формується з допомогою криптографічного перетворення даних.
Сертифікат електронного цифрового підпису - атрибут, що доводить ставлення відкритого ключа (ключа, який перевіряється) ЕП власнику сертифіката.
Видаються сертифікати посвідчувальними центрами (УЦ) або їх довіреними представниками.
Власник сертифіката ЕП, як правило, фізична особа, на яку оформлено сертифікат ЕП у центрі, що засвідчує, незалежно від організаційно-правової форми організації. У такої фізичної особи на електронному носії сертифікат включає два ключі ЕП: закритий і відкритий.
Закритий ключ електронного цифрового підпису (ключ ЕП) здійснює саму генерацію електронного підпису, яким буде підписано електронний документ.
Електронно-цифровий підпис формується шляхом шифрування інформації, що міститься у документі. Вона представляє унікальну послідовність символів і знаходиться в тілі підписаного файлу, або додається до нього.
Організація або власник, купуючи сертифікат, повинні забезпечити його безпеку, і зобов'язаний оберігати від крадіжки закритий ключ.
Відкритий ключ електронного цифрового підпису (ключ перевірки ЕП) та закритий ключ ЕП між собою пов'язані. Закритий ключ призначений для автентифікації ЕП.
Для цього були розроблені носії для ЕЦП із зашифрованою файловою системою. Він має ключовий контейнер, який обмежує кількість спроб розшифрування файлової системи та самого контейнера. Для цього активно використовуються смарт-картки та USB-токени. Щоб почати користуватися таким пристроєм, потрібно підключити пристрій до комп'ютера та ввести особистий PIN-код. Введення такого PIN-коду має обмежену кількість введення (зазвичай три), після того як спроби вичерпані пристрій блокується.
Високий рівень захисту закритого ключа на даний момент забезпечують Aladdin e-Token та Rutoken. Взаємодія із закритим ключем відбувається на чипі сховища пристрою, тобто. ключ ніколи його не залишає. Це унеможливлює перехоплення ключа з оперативної пам'яті.
4. Кваліфікований та некваліфікований електронний цифровий підпис та їх різновиди
Простий електронний цифровий підпис- Належить фізичній особі для підтвердження підписання документів. Проте немає можливість визначення факту зміни самого електронного документа, тобто. його вмісту. Вона призначена для електронного документообігу усередині компанії.
Посилений електронний цифровий підпис- такий підпис після редакцій у законі про електронний підпис став мати різновиди.
Посилений некваліфікований електронний цифровий підпис- функція даного посиленого некваліфікованого електронного цифрового підпису ідентифікувати відправника. Такий електронний підпис можна отримати навіть у неакредитованих центрах. Документи, підписані з використанням електронного підпису, прирівнюються до документів у паперовій формі, підписаних власноруч.
Посилений кваліфікований підпис- цей підпис застосовує найвищу ступінь захисту, оскільки формується засобами криптозахисту, які можуть використовувати посвідчувальні центри з ліцензією ФСБ чи ФСБ.
|
Параметри підпису |
Простий електронний цифровий підпис |
Посилений некваліфікований підпис |
Посилений кваліфікований підпис |
|
Утворюється на основі кодів, паролів та ін. |
|||
|
Утворюється на основі криптографічної зміни даних документа з використанням ключа електронного цифрового підпису |
|||
|
Є можливість ідентифікації власника документа |
|||
|
Є можливість встановлення факту змін в електронних документах після їх підписання |
|||
|
Граничний ступінь захисту – ключ перевірки електронного цифрового підпису знаходиться у кваліфікованому сертифікаті |
5. Як виглядає електронний підпис та носії для нього?
Електронний ідентифікатор Rutoken – це пристрій, спрямований на авторизацію власника та захист електронного листування. Виглядає електронний підпис на такому носії як USB-брелок (флешка).
eToken - це захищений пристрій, що підтримує роботу та інтеграцію з усіма основними системами та програмами, смарт-карт або USB-ключа.
Сам цифровий підпис виглядає або як значок, або як зображення друку. Переглянути сертифікат і як виглядає електронний підпис можна у властивостях браузера.
Перед тим як підписати документ WORDабо лист поштового сервера необхідно встановити ЕЦП на комп'ютер. Після цього можна підписувати документ.
Наприклад, якщо є необхідність у надсиланні листа із застосуванням електронного підпису, то після встановлення необхідно зайти >файл > підготувати > додати цифровий підпис або > додати цифровий підпис (КРИПТО-ПРО)
Застосовуючи електронний підпис, для візуалізації можна додати зображення друку, або свого підпису.
Після підписання документа внизу з'явиться значок. Ось так виглядатиме електронний підпис у документі WORD.
Електронний підпис можна додати до поштових клієнтів та Adobe Acrobat Pro для підписання PDF-файлів.
У Microsoft Outlook - підписання електронним підписом виглядатиме так.
Для додавання електронного підпису до програм можна знадобитися інсталяція додаткового програмного забезпечення, наприклад, КриптоПро Office Signature. Це для версій WORD вище 7-ї та для Adobe Acrobat Pro. Підписання документа pdf з використанням електронного підпису виглядає так:
А ось так виглядає електронний підпис Податкової інспекції. Як правило, з нею можна зіткнутися, отримуючи виписки з ЄДРЮЛ в електронному вигляді. Банки використовують подібні електронні підписи.
6. Де можна застосувати електронний підпис?
На даний момент існує багато варіантів використання електронного підпису.
Наприклад, електронний підпис використовують при електронному документообігу як внутрішньому, так і зовнішньому. При внутрішньому документообіг документи мігрують всередині організації. Це, наприклад, накази та розпорядження, з якими співробітникам необхідно ознайомитися та завізувати своє ознайомлення.
За зовнішнього документообігу документи мігрують між компаніями. Наприклад, передаються документи з використанням електронного підпису у системах В2В або В2С.
Якщо необхідно надати звітність до контролюючих органів або для можливості користування Клієнт-Банком, також використовується електронний підпис. Фізичні особи для отримання повноцінної послуги на сайті Держпослуги також мають придбати ЕЦП.
Електронний підпис – це математична схема, призначена для відображення справжності електронних повідомленьчи документів. Справжній цифровий підпис надає всі підстави для одержувача вважати, що повідомлення було створено за допомогою відомого відправника, що воно дійсно відправлене (автентифікація та безвідмовність), а також те, що лист не змінили у процесі передачі (цілісність).
Відповідаючи на запитання: "ЕЦП - що це таке?" - слід зазначити, що є стандартним елементом більшості криптографічних наборів протоколів і зазвичай використовуються поширення ПЗ, здійснення фінансових операцій, соціальній та багатьох інших випадках, коли це важливо визначення підробки чи фальсифікації.
Цифрові підписи часто використовуються для реалізації електронних підписів. Це більш широкий термін, який стосується будь-яких даних електронного типу. Водночас не кожен електронний підпис є цифровим.
Цифрові підписи використовують асиметричну криптографію. У багатьох випадках вони забезпечують певний рівеньперевірки та безпеки для повідомлень, які були надіслані незахищеним каналом. Будучи правильно реалізованим, цифровий підпис дозволяє вважати, що повідомлення було надіслано за допомогою заявленого відправника. Цифрові печатки та підписи еквівалентні власноручним підписам та реальним печаткам.
ЕЦП – що це таке?
Цифрові підписи подібні до традиційних власноручних підписів у багатьох відношеннях, при цьому їх важче підробити, ніж рукописні. Цифрові схеми підпису мають криптографічні основи і мають бути виконані належним чином, ніж втратити ефективність. Як підписати документ ЕЦП? Потрібно використовувати 2 парних кріптоключа.
ЕЦП можуть реалізувати принцип безвідмовності. Це означає, що передплатник не може успішно стверджувати, що він не підписував повідомлення. Крім того, деякі схеми пропонують тимчасову мітку для цифрового підпису і навіть якщо закритий ключ піддається впливу, підпис залишається дійсним. ЕЦП можуть бути представлені у вигляді бітового рядка і можуть бути застосовані в електронній пошті, контракти або повідомлення, надісланому за допомогою будь-якого криптографічного протоколу.
Криптографія з відкритим ключем або структура ЕЦП
Що це таке? Цифрова схема підпису включає одночасно три алгоритми.
Алгоритм генерації ключа, який вибирає секретний ключ рівномірним і випадковим чином з безлічі можливих приватних. Він видає ключ секретний і відкритий, що йде з ним у парі.
Алгоритм підпису, який, враховуючи повідомлення та закритий ключ, власне і здійснює підпис.
Перевірочний алгоритм підпису, який враховує повідомлення, відкритий ключ і підпис і приймає або відхиляє відправлення листа, визначаючи справжність.
Як встановити ЕЦП?
Щоб використовувати цифровий підпис, необхідно наділити його двома основними властивостями. Що потрібно враховувати перед тим, як підписати документ ЕЦП?
По-перше, справжність підпису, що генерується з фіксованого повідомлення та секретного ключа, може бути перевірена за допомогою відповідної відкритої інформації.
По-друге, має бути обчислювально неможливим підібрати правильний підпис не знаючи секретного ключа. ЕЦП є механізмом аутентифікації, який дозволяє творцю повідомлення прикріпити код, який діє як підпис.
Застосування цифрових підписів
Оскільки сучасні організації поступово відходять від паперових документів із підписами, виконаними чорнилом, ЕЦП можуть забезпечити додаткове засвідчення справжності та доказ авторства, ідентичності та статусу документа. Крім того, цифровий підпис може бути засобом, що підтверджує поінформовану згоду та схвалення сторони, що підписала. Таким чином, ЕЦП для фізичних осіб- Реальність.
Аутентифікація
Незважаючи на те, що листи можуть включати в себе детальну інформацію, який завжди можна достовірно визначити відправника. Цифрові підписи можна використовувати для автентифікації джерела повідомлень. Коли секретний ключ ЕЦП прив'язаний до конкретного користувача, це підтверджує, що повідомлення надіслано саме їм. Значення впевненості в тому, що відправник справжній, особливо очевидний у фінансових сферах.
Цілісність
У багатьох сценаріях відправник та одержувач листа потребують точного підтвердження, що він не був змінений під час передачі. Хоча шифрування приховує вміст відправленого об'єкта, можна лише змінити зашифроване повідомлення, без розуміння його сенсу. Деякі здатні запобігти цьому, але не у всіх випадках. У будь-якому випадку перевірка ЕЦП під час розшифровки виявить порушення цілісності листа.
Однак, якщо повідомлення підписано цифровим підписом, будь-яка зміна після підписання дезавуює підпис. Крім того, не існує ефективного методузмінити повідомлення та зробити нове з дійсним підписом, тому що це вважається обчислювально неможливим.
Невідмовність
Незаперечність чи неможливість заперечення походження листа є важливим аспектом у розвитку ЕЦП. Що це таке? Це означає, що юридична особа, яка надіслала деяку інформацію, не може надалі заперечувати, що підписала її. Аналогічно доступ до відкритого ключа не дозволяє зловмисникам підробляти дійсний підпис. Такі ж наслідки несе застосування ЕЦП для фізичних осіб.
У цьому слід акцентувати у тому, що це властивості справжності, безвідмовності тощо. залежить від секретного ключа, який має бути відкликаний до його використання. Відкриті ключі також повинні бути анульовані в парі із секретними після використання. Перевірка ЕЦП щодо «відкликання» відбувається за певним запитом.
Введення секретного ключа на смарт-картці
Усі криптосистеми, що функціонують за принципами використання відкритого/закритого ключа, повністю залежить від змісту даних у секреті. Секретний ключ ЕЦП може зберігатися на комп'ютері користувача та захищений локальним паролем. Однак такий спосіб має два недоліки:
- користувач може підписувати документи виключно на цьому конкретному комп'ютері;
- Безпека секретного ключа залежить від безпеки комп'ютера.
Більш надійна альтернатива для зберігання секретного ключа – смарт-карта. Багато смарт-карток оснащені захистом від несанкціонованого втручання.
Як правило, користувач повинен активувати свою смарт-карту, ввівши персональний ідентифікаційний номер або PIN-код (у такий спосіб забезпечуючи це може бути влаштовано так, що закритий ключ ніколи не залишає смарт-карту, хоча це не завжди реалізується в криптопро ЕЦП).
Якщо смарт-картка вкрадена, зловмиснику, як і раніше, потрібен PIN-код для створення цифрового підпису. Це дещо знижує безпеку цієї схеми. Пом'якшуючим фактором є те, що згенеровані ключі, якщо вони зберігаються на смарт-картах, зазвичай важко скопіювати, передбачається, що вони існують тільки в одному екземплярі. Таким чином, коли втрата смарт-картки буде знайдена власником, відповідний сертифікат може бути негайно відкликаний. Закриті ключі, захищені лише програмним забезпеченням, Простіше скопіювати, і такі витоки набагато важче виявити. Тому використання ЕЦП без додаткового захисту є небезпечним.
Процедура формування цифрового підпису
На підготовчому етапі цієї процедури абонент А− відправник повідомлення − генерує пару ключів: секретний ключ k Aта відкритий ключ K A. Відкритий ключ K Aобчислюється з парного йому секретного ключа k A. Відкритий ключ K Aрозсилається іншим абонентам мережі (або робиться доступним, наприклад, на ресурсі, що розділяється) для використання при перевірці підпису.
Для формування цифрового підпису відправник Анасамперед обчислює значення хеш-функції h(М)підписуваного тексту М(Рис. 1). Хеш-функція служить для стиснення вихідного тексту, що підписується Му дайджест m− відносно коротке число, що складається з фіксованого невеликого числа бітів і характеризує весь текст Мв цілому. Далі відправник Ашифрує дайджест mсвоїм секретним ключем k A. Пара чисел, що отримується при цьому, є цифровим підписом для даного тексту. М. Повідомлення Мразом із цифровим підписом відправляється на адресу одержувача.
Рис.1. Схема формування електронного цифрового підпису
Абоненти мережі можуть перевірити цифровий підпис отриманого повідомлення Мза допомогою відкритого ключа відправника K Aцього повідомлення (рис. 2).
Під час перевірки ЕЦП абонент У− одержувач повідомлення М− розшифровує прийнятий дайджест mвідкритим ключем K Aвідправника А. Крім того, одержувач сам обчислює за допомогою хеш-функції h(М)дайджест m’прийнятого повідомлення Мі порівнює його із розшифрованим. Якщо ці два дайджести – mі m’− збігаються, то цифровий підпис є справжнім. В іншому випадку або підпис підроблено, або змінено зміст повідомлення.
Рис.2. Схема перевірки електронного цифрового підпису
Принциповим моментом у системі ЕЦП є неможливість підробки ЕЦП користувача без знання секретного ключа підписування. Тому необхідно захистити секретний ключ підписування від несанкціонованого доступу. Секретний ключ ЕЦП, аналогічно ключа симетричного шифрування, рекомендується зберігати на персональному ключовому носії в захищеному вигляді.
Електронний цифровий підпис є унікальним числом, що залежить від документа, що підписується, і секретного ключа абонента. Як підписуваний документ може бути використаний будь-який файл. Підписаний файл створюється з непідписаного шляхом додавання до нього одного або кількох електронних підписів.
Структура ЕЦП, що міститься в підписуваний файл (або в окремий файл електронного підпису) зазвичай містить додаткову інформацію, однозначно ідентифікує автора підписаного документа. Ця інформація додається до документа до обчислення ЕЦП, що забезпечує її цілісність. Кожен підпис містить таку інформацію:
· Дату підпису;
· Термін закінчення дії ключа даного підпису;
· інформацію про особу, яка підписала файл (П.І.Б., посада, коротке найменування фірми);
· Ідентифікатор підписав (ім'я відкритого ключа);
· Власне цифровий підпис.
Важливо, що, з точки зору кінцевого користувача, процес формування та перевірки цифрового підпису відрізняється від процесу криптографічного закриття даних, що передаються, наступними особливостями.
Під час формування цифрового підпису використовується закритий ключ відправника, тоді як зашифрування застосовується відкритий ключ одержувача. Під час перевірки цифрового підпису використовується відкритий ключ відправника, а під час розшифровування – закритий ключ одержувача.
Перевірити сформований підпис може будь-яка особа, оскільки ключ перевірки підпису є відкритим. При позитивному результаті перевірки підпису робиться висновок про справжність і цілісність отриманого повідомлення, тобто у тому, що це повідомлення справді відправлено тим чи іншим відправником і модифіковано під час передачі через мережу. Однак, якщо користувача цікавить, чи не є отримане повідомлення повторенням раніше відправленого, чи не було затримане на шляху прямування, то він повинен перевірити дату та час його відправлення, а за наявності порядковий номер.
Сьогодні існує велика кількість алгоритмів ЕЦП.
