Какие функции выполняет электронно цифровая подпись. Процедура проверки цифровой подписи. Как подписать файл электронной подписью

Подробно о том, что такое электронная цифровая подпись, зачем она нужна бизнесу и обычным граждан, где её используют, какими преимуществами обладает и в чём суть применения ЭЦП.

Электронная подпись (ЭП или ЭЦП) – это цифровой аналог подписи человека и особый реквизит документа, удостоверяющий его принадлежность владельцу подписи.

Электронный документ, подписанный ЭП, имеет такую же юридическую силу, как и традиционный бумажный вариант. Цифровой реквизит получают с помощью криптографического преобразования информации.

Криптографическое преобразование информации – это преобразование составных частей информации (букв, цифр, слов, символов) в неестественный вид. Осуществляется это с помощью специального алгоритма. Преобразованный текст невозможно прочитать, так как он напоминает набор несвязанных между собой букв и цифр.

Метод криптографического преобразования информации применяют для повышения уровня защиты передачи и хранения данных.

Электронную подпись используют для:

контроля целостности электронного документа;
подтверждения авторства документа;
защиты документа от его подделки или внесения изменений.

Если в документ вносятся изменения, то подпись становится недействительной, а документ теряет свою силу.

Владельца подписи определяет сертификат – документ, подтверждающий принадлежность ключа проверки подписи владельцу сертификата.

Владельцем сертификата может быть любой человек. Чтобы его получить, достаточно обратиться в удостоверяющий центр. Он выдаст 2 ключа – открытый и закрытый.

Открытый ключ необходим для проверки подлинности подписи, а закрытый – для генерации подписи и подписания электронного документа.

Виды электронной подписи

ЭП бывает трёх видов:

Простая – факт формирования подписи определяется через использование специальных паролей и кодов.
Усиленная неквалифицированная – ЭП создаётся с помощью криптографического преобразования информации и с использованием закрытого ключа.
Усиленная квалифицированная – отличается от неквалифицированной наличием криптозащиты.

По закону большинства стран, в том числе СНГ, электронная подпись имеет такую же юридическую силу, как и просто роспись человека с печатью.

Области применения электронной цифровой подписи

Электронный документооборот между юридическими и физическими лицами

ЭЦП используют в различных сферах бизнеса сегмента B2B и B2C для обмена документами. Электронная подпись позволяет подтверждать достоверность, юридическую силу документа и отправлять его, по средствам электронной почты или программы, клиенту, покупателю или подразделению компании, находящемуся в другом городе или стране.

Использование ЭП позволяет моментально подписывать и передавать готовые документы в проверяющие инстанции.

Физические лица могут использовать ЭП для заверения подлинности документов, удалённой подписи договоров или актов приёма-сдачи работ.

Электронная отчётность

ЭЦП используют для сдачи отчётности в электронном формате в налоговую, ФНС, ФСС и другие контролирующие органы. Например, в Беларуси с 2015 года индивидуальных предпринимателей активно переводят на электронное декларирование. Для этого налогоплательщику выдаётся специальное программное обеспечение и ключ на съёмном носителе.

Судебная практика

В процессе разногласий между компаниями в качестве доказательств в арбитражном суде могут использоваться документы, заверенные электронной подписью.

Интернет-торги

При оптовых закупках или продаже товаров поставщики и покупатели могут подписывать любые документы ЭП. Такую подпись сейчас активно используют на государственных и коммерческих торговых интернет-площадках.

Государственные услуги

Любой человек может получить электронную подпись для подписания заявлений, писем, документов и договоров.

При электронном обращении в государственный орган, путём подачи документа, подписанного ЭП, человек получает ответ о принятии обращения также с электронной подписью, что даёт определённые гарантии – документ официально принят и будет рассмотрен.

Преимущества электронного документооборота с ЭЦП

Электронный документооборот имеет массу преимуществ по сравнению с бумажным вариантом.

Главные преимущества, это:

Быстрая доставка документов.
Сокращение издержек на подготовку и отправку документов.
Ускорение бизнес-процессов.
Гарантии, что документ не затеряется на почте.
Возможность автоматизации обработки документации.

Электронные документы передаются между контрагентами практически моментально, ведь в основном задействуется электронная почта.

Организации намного быстрее обрабатывают электронные документы, соответственно в кратчайшие сроки получают деньги и имеют возможность увеличить заработок за счёт снижения временных затрат на подготовку и доставку документов.

Если организация постоянно сталкивается с большим потоком документов, то электронный документооборот позволяет автоматизировать большинство процессов по обработке договоров, актов, отчётов и др.

Применение электронной документации для сдачи отчётности упрощает жизнь компаний и предпринимателей. Нет необходимости лично ехать в контролирующую инстанцию – можно просто отправить документ через специальное ПО или электронной почтой.

«Ко мне на согласование, по системе электронного документооборота, приходит какой-то документ. Я вставляю в компьютер носитель (флешку – прим. автора) с моей электронной цифровой подписью. Предлагается ввести пароль. Ввожу его и подписываю документ. Всё, документ согласован.»

Валерий Сабатович – замначальника РУП «Национальный центр электронных услуг»

Электронная подпись упрощает ряд процедур связанных с документооборотом. Поэтому её уже активно используют в бизнесе и в государственных органах. Среди граждан она пока не пользуется популярностью. В основном из-за слабой осведомлённости людей о доступности и возможности использования такой подписи.

"Бюджетные учреждения: ревизии и проверки финансово-хозяйственной деятельности", 2011, N 8

На современном этапе развития российского общества в процессы повседневной деятельности активно внедряются новые высокопроизводительные информационно-телекоммуникационные технологии. Процесс обмена электронными документами значительно отличается от обмена документами на бумажных носителях, так как существует проблема подтверждения подлинности содержащейся в них информации и ее соответствия смыслу волеизъявления человека, которая решается с помощью использования электронной подписи. Электронная подпись достаточно широко применяется в деятельности государственных (муниципальных) учреждений как при предоставлении государственных (муниципальных) услуг, взаимодействии с органами Федерального казначейства, представлении отчетности, так и в ряде других случаев.

С 08.04.2011 вступил в силу Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон N 63-ФЗ), регулирующий отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, выполнении государственных и муниципальных функций, совершении иных юридически значимых действий. В связи с его изданием с 01.07.2012 перестанет действовать Федеральный закон от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи" (далее - Федеральный закон N 1-ФЗ).

Каковы причины принятия нового Закона?

Федеральный закон N 1-ФЗ имеет концептуальные и юридическо-технические недостатки, которые не позволили обеспечить правовые условия для широкого применения электронной цифровой подписи в РФ, в частности:

использование единственной технологии электронной цифровой подписи (основанной на так называемой технологии асимметричных ключей подписи) приводит к необходимости использования единой иерархической системы удостоверяющих центров и обязывает применять сертифицированные средства электронной цифровой подписи;
положения Закона не соответствуют основным принципам, реализуемым в иностранном законодательстве и международном праве при осуществлении правового регулирования электронных подписей, таким как "технологическая нейтральность" законодательства, правовое признание различных видов электронной подписи, свободное использование средств электронной подписи, аккредитация удостоверяющих центров;
сфера регулирования Закона недостаточна: из нее исключены отношения как по использованию иных видов электронной подписи, так и не являющиеся гражданско-правовыми сделками;
не допускается электронная цифровая подпись юридических лиц.

Данные недостатки не позволяют широко использовать положения Федерального закона N 1-ФЗ в правоприменительной практике. Принятый Федеральный закон N 63-ФЗ направлен на устранение указанных выше недостатков, расширение сферы использования и допустимых видов электронных подписей. В то же время он сохраняет имеющуюся практику использования электронной цифровой подписи.

Какие существуют виды электронной подписи?

Согласно ст. 2 Федерального закона N 63-ФЗ электронная подпись - это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом с ней связана и которая используется для определения лица, подписывающего информацию.

Для справки. Статья 3 Федерального закона N 1-ФЗ характеризует электронную подпись как реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

В соответствии со ст. 5 Федерального закона N 63-ФЗ электронная подпись может быть двух видов: простая и усиленная. В свою очередь, усиленная электронная подпись может быть неквалифицированной или квалифицированной. Необходимо отметить, что Федеральный закон N 1-ФЗ не предусматривает аналогичного разделения, о чем мы упоминали выше.

Простая электронная подпись. Простая электронная подпись - это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом (п. 2 ст. 5 Федерального закона N 63-ФЗ).

Электронный документ считается подписанным простой электронной подписью при выполнении одного из следующих условий (п. 1 ст. 9 Федерального закона N 63-ФЗ):

простая электронная подпись содержится в самом электронном документе;
ключ простой электронной подписи (уникальная последовательность символов, предназначенная для создания электронной подписи) применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.

Для использования простой электронной подписи, а также в целях признания электронных документов равнозначными документам на бумажных носителях соглашения между участниками электронного взаимодействия (нормативные правовые акты) в обязательном порядке должны предусматривать:

правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.

Напомним, что электронный документ - это документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронно-вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах (ст. 2 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации").

Обратите внимание! Не допускается использование простой электронной подписи для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну (п. 4 ст. 9 Федерального закона N 63-ФЗ).

Усиленная электронная подпись. В отличие от простой, усиленная электронная подпись применяется в случаях, когда в соответствии с действующим законодательством или обычаями делового оборота документ должен быть не только подписан руководителем государственного (муниципального) учреждения (лицом, им уполномоченным), но и заверен печатью (п. 3 ст. 6 Федерального закона N 63-ФЗ).

Как уже было отмечено, усиленная электронная подпись бывает неквалифицированной и квалифицированной.

Неквалифицированная подпись	Квалифицированная подпись
Получена в результате криптографического преобразования информации с использованием ключа электронной подписи	Соответствует всем признакам неквалифицированной электронной подписи
Позволяет определить лицо, подписавшее электронный документ	Ключ ее проверки указан в квалифицированном сертификате
Позволяет обнаружить факт внесения изменений в электронный документ после его подписания и создается с использованием средств электронной подписи	Для ее создания и проверки используются средства, получившие подтверждение соответствия требованиям, установленным согласно Федеральному закону N 63-ФЗ

В соответствии со ст. 10 Федерального закона N 63-ФЗ при использовании усиленных электронных подписей необходимо:

обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих учреждению ключей электронных подписей без его согласия;
уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;
не использовать ключ электронной подписи при наличии оснований полагать, что его конфиденциальность нарушена;
использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, получившие подтверждение соответствия требованиям.

Признаются ли электронные документы равнозначными документам на бумажном носителе?

Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, за исключением случаев, когда законодательством установлено требование о необходимости составления документа исключительно на бумажном носителе. Кроме того, нормативными актами или соглашением между участниками электронного взаимодействия могут быть предусмотрены дополнительные требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью.

Квалифицированная подпись признается действительной вплоть до установления иного судом при выполнении следующих условий (ст. 11 Федерального закона N 63-ФЗ):

квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;
квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений в этом документе после его подписания;
квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).

В соответствии с п. 2 ст. 6 Федерального закона N 63-ФЗ электронный документ, подписанный простой или неквалифицированной электронной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных законодательством или соглашением между участниками электронного взаимодействия. Причем указанные соглашения или нормативные акты должны предусматривать порядок проверки электронной подписи, а также соответствовать требованиям, установленным в ст. 9 Федерального закона N 63-ФЗ.

Как получить средства электронной подписи?

Для создания и проверки электронной подписи, создания ключа электронной подписи и ключа проверки электронной подписи должны использоваться средства электронной подписи, которые (п. 1 ст. 12 Федерального закона N 63-ФЗ):

позволяют установить факт изменения подписанного электронного документа после момента его подписания;
обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или ключа ее проверки.

Для получения средств электронной подписи и заключения договора на их обслуживание учреждению необходимо обратиться в один из удостоверяющих центров. Напомним, что удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции (ст. 2 Федерального закона N 63-ФЗ). Задачами удостоверяющего центра являются создание и выдача сертификатов на основании соглашения между удостоверяющим центром и заявителем. Кроме того, удостоверяющий центр (п. 1 ст. 13 Федерального закона N 63-ФЗ):

устанавливает сроки действия сертификатов ключей проверки электронных подписей;
аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей;
выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;
ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей, в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях такого прекращения или аннулирования;
устанавливает порядок ведения реестра сертификатов, не являющихся квалифицированными, и порядок доступа к нему, а также обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием Интернета;
создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
осуществляет иную связанную с использованием электронной подписи деятельность.

Например , предоставление средств электронной подписи в целях размещения информации о заказах на официальном сайте РФ в Интернете для размещения информации о заказах на поставки товаров, выполнение работ, оказание услуг осуществляется Федеральным казначейством. Порядок предоставления электронной подписи в данном случае регламентируется Приказом Минэкономразвития России N 647, Федерального казначейства N 22н от 14.12.2010 "Об утверждении Порядка регистрации пользователей на официальном сайте Российской Федерации в сети Интернет для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг" (далее - Порядок). Так, для получения сертификатов ключей необходимо представить в территориальный орган Федерального казначейства по месту нахождения учреждения на бумажном носителе (а при наличии технической возможности - в виде электронного документа) в одном экземпляре:

сведения об организации по форме, приведенной в Приложении 1 к Письму Казначейства РФ от 14.03.2011 N 42-7.4-05/10.0-160. Запрещается включать в указанную форму сведения, составляющие государственную тайну;
Карточку образцов подписей к лицевым счетам (по форме 0531753, утвержденной Приказом Федерального казначейства от 07.10.2008 N 7н "О порядке открытия и ведения лицевых счетов Федеральным казначейством и его территориальными органами" (далее - Приказ N 7н));
копию учредительного документа (устава), заверенную учредителем или нотариально. Ее представление не требуется от органов государственной власти (местного самоуправления) или их территориальных органов, федеральных казенных учреждений, не имеющих собственного положения (устава) и действующих на основании общего положения (устава), территориальных государственных внебюджетных фондов, государственной корпорации (государственной компании);
копию документа о государственной регистрации юридического лица, заверенную учредителем или нотариально либо органом, осуществившим государственную регистрацию;
копию свидетельства о постановке юридического лица на учет в налоговом органе, заверенную нотариально либо выдавшим ее налоговым органом;
копию нормативного правового акта субъекта РФ о создании соответствующего территориального государственного внебюджетного фонда (только для территориальных государственных внебюджетных фондов). Заверять указанную копию не требуется;
копию документа об открытии счета в кредитной организации, на который должны перечисляться средства участников размещения заказа, выданного соответствующей кредитной организацией, заверенную нотариально, в случае если соответствующей организации не открыт лицевой счет в органе Федерального казначейства (для государственной корпорации, государственной компании, унитарного предприятия, организации, имеющей долю государственного участия, субъекта естественной монополии).

Как используется электронная подпись при работе с органами Федерального казначейства?

Согласно п. 1.3 Порядка кассового обслуживания исполнения федерального бюджета, бюджетов субъектов Российской Федерации и местных бюджетов и порядка осуществления органами Федерального казначейства отдельных функций финансовых органов субъектов Российской Федерации и муниципальных образований по исполнению соответствующих бюджетов, утвержденного Приказом Федерального казначейства от 10.10.2008 N 8н, информационный обмен между государственными (муниципальными) учреждениями и Федеральным казначейством или органами Федерального казначейства осуществляется в электронном виде с применением средств электронной подписи в соответствии с законодательством РФ на основании договора (соглашения) об обмене электронными документами, заключенного между учреждениями и Федеральным казначейством, и требованиями, установленными законодательством РФ.

При заключении органами Федерального казначейства договоров об обмене электронными документами с главными распорядителями, распорядителями, получателями, администраторами поступлений, финансовыми органами всех уровней бюджетной системы РФ рекомендуется использовать прилагаемый примерный договор об обмене электронными документами (см. Письмо Федерального казначейства от 20.03.2007 N 42-7.1-17/10.1-102 "О примерном договоре об обмене электронными документами").

Органы Федерального казначейства при приеме платежных документов, представленных в электронном виде в соответствии с договором об обмене электронными документами, для сверки подписи лица, подписавшего электронный платежный документ, с ее образцом используют сертификат открытого ключа электронной подписи, выданный в установленном порядке подписывающему электронные платежные документы лицу. При этом электронный платежный документ может быть подписан одновременно несколькими электронными подписями лиц, получивших в установленном порядке сертификат в соответствии с договором.

Можно ли использовать электронную подпись при оказании государственных и муниципальных услуг?

Порядок использования информационно-телекоммуникационных технологий при оказании государственных и муниципальных услуг установлен ст. ст. 21.1, 21.2 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Федеральный закон N 210-ФЗ).

Государственные и муниципальные услуги предоставляются в электронной форме в том случае, если они включены в перечень, установленный Правительством РФ. Высший исполнительный орган государственной власти субъекта РФ вправе утвердить дополнительный перечень услуг, оказываемых в субъекте РФ государственными и муниципальными учреждениями и другими организациями, в которых размещается государственное задание (заказ) субъекта РФ или муниципальное задание (заказ), подлежащих включению в реестр государственных или муниципальных услуг и предоставляемых в электронной форме.

Обращение за получением и предоставление государственной или муниципальной услуги могут осуществляться с использованием электронных документов, подписанных электронной подписью в соответствии с требованиями Федерального закона N 63-ФЗ.

Правила использования простых электронных подписей при оказании государственных и муниципальных услуг, в том числе правила создания и выдачи ключей простых электронных подписей, и перечень органов и организаций, имеющих право на создание и выдачу ключей простых электронных подписей в целях оказания государственных и муниципальных услуг, устанавливаются Правительством РФ и должны предусматривать в том числе (ст. 21.2 Федерального закона N 210-ФЗ):

требования, которым должны соответствовать простые электронные подписи и (или) технологии их создания;
способы установления личности лица при выдаче ему ключа простой электронной подписи в целях получения государственных и муниципальных услуг.

Согласно п. 2 ст. 21.2 Федерального закона N 210-ФЗ при оказании государственных и муниципальных услуг с использованием простых электронных подписей должны обеспечиваться:

возможность бесплатного получения любыми лицами ключей простых электронных подписей для использования в целях получения государственных и муниципальных услуг;
отсутствие необходимости использования физическими и юридическими лицами программных и аппаратных средств, специально предназначенных для получения государственных и муниципальных услуг с использованием простых электронных подписей.

Заметим, что в настоящее время в тестовом порядке работает портал государственных услуг (www.gosuslugi.ru), на котором можно получить некоторые государственные услуги в электронном виде.

Ю.Васильев

генеральный директор

Процедура формирования цифровой подписи

На подготовительном этапе этой процедуры абонент А − отправитель сообщения − генерирует пару ключей: секретный ключ k A и открытый ключ K A . Открытый ключ K A вычисляется из парного ему секретного ключа k A . Открытый ключ K A рассылается остальным абонентам сети (или делается доступным, например, на разделяемом ресурсе) для использования при проверке подписи.

Для формирования цифровой подписи отправитель А прежде всего вычисляет значение хэш-функции h(М) подписываемого текста М (рис. 1). Хэш-функция служит для сжатия исходного подписываемого текста М в дайджест m − относительно короткое число, состоящее из фиксированного небольшого числа битов и характеризующее весь текст М в целом. Далее отправитель А шифрует дайджест m своим секретным ключом k A . Получаемая при этом пара чисел представляет собой цифровую подпись для данного текста М . Сообщение М вместе с цифровой подписью отправляется в адрес получателя.

Рис.1. Схема формирования электронной цифровой подписи

Абоненты сети могут проверить цифровую подпись полученного сообщения М с помощью открытого ключа отправителя K A этого сообщения (рис. 2).

При проверке ЭЦП абонент В − получатель сообщения М − расшифровывает принятый дайджест m открытым ключом K A отправителя А . Кроме того, получатель сам вычисляет с помощью хэш-функции h(М) дайджест m’ принятого сообщения М и сравнивает его с расшифрованным. Если эти два дайджеста − m и m’ − совпадают, то цифровая подпись является подлинной. В противном случае либо подпись подделана, либо изменено содержание сообщения.

Рис.2. Схема проверки электронной цифровой подписи

Принципиальным моментом в системе ЭЦП является невозможность подделки ЭЦП пользователя без знания его секретного ключа подписывания. Поэтому необходимо защитить секретный ключ подписывания от несанкционированного доступа. Секретный ключ ЭЦП, аналогично ключу симметричного шифрования, рекомендуется хранить на персональном ключевом носителе в защищенном виде.

Электронная цифровая подпись представляет собой уникальное число, зависящее от подписываемого документа и секретного ключа абонента. В качестве подписываемого документа может быть использован любой файл. Подписанный файл создается из неподписанного путем добавления в него одной или более электронных подписей.

Помещаемая в подписываемый файл (или в отдельный файл электронной подписи) структура ЭЦП обычно содержит дополнительную информацию, однозначно идентифицирующую автора подписанного документа. Эта информация добавляется к документу до вычисления ЭЦП, что обеспечивает и ее целостность. Каждая подпись содержит следующую информацию:

· дату подписи;

· срок окончания действия ключа данной подписи;

· информацию о лице, подписавшем файл (Ф.И.О., должность, краткое наименование фирмы);

· идентификатор подписавшего (имя открытого ключа);

· собственно цифровую подпись.

Важно отметить, что, с точки зрения конечного пользователя, процесс формирования и проверки цифровой подписи отличается от процесса криптографического закрытия передаваемых данных следующими особенностями.

При формировании цифровой подписи используется закрытый ключ отправителя, тогда как при зашифровании применяется открытый ключ получателя. При проверке цифровой подписи используется открытый ключ отправителя, а при расшифровывании − закрытый ключ получателя.

Проверить сформированную подпись может любое лицо, так как ключ проверки подписи является открытым. При положительном результате проверки подписи делается заключение о подлинности и целостности полученного сообщения, то есть о том, что это сообщение действительно отправлено тем или иным отправителем и не было модифицировано при передаче по сети. Однако, если пользователя интересует, не является ли полученное сообщение повторением ранее отправленного или не было ли оно задержано на пути следования, то он должен проверить дату и время его отправки, а при наличии − порядковый номер.

Сегодня существует большое количество алгоритмов ЭЦП.

Цифровая подпись

Электро́нная цифрова́я по́дпись (ЭЦП )- реквизит электронного документа , предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.

Общая схема

Схема электронной подписи обычно включает в себя:

алгоритм генерации ключевых пар пользователя;
функцию вычисления подписи;
функцию проверки подписи.

Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. В зависимости от алгоритма функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным. Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.
В настоящее время детерминированные схемы практически не используются. Даже в изначально детерминированные алгоритмы сейчас внесены модификации, превращающие их в вероятностные (так, в алгоритм подписи PKCS#1 добавила предварительное преобразование данных (OAEP), включающее в себя, среди прочего, зашумление).

Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.

Поскольку подписываемые документы - переменной (и достаточно большой) длины, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш . Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.

Алгоритмы ЭЦП делятся на два больших класса: обычные цифровые подписи и цифровые подписи с восстановлением документа. Обычные цифровые подписи необходимо пристыковывать к подписываемому документу. К этому классу относятся, например, алгоритмы, основанные на эллиптических кривых (ГОСТ Р 34.10-2001, ДСТУ 4145-2002). Цифровые подписи с восстановлением документа содержат в себе подписываемый документ: в процессе проверки подписи автоматически вычисляется и тело документа. К этому классу относится один из самых популярных алгоритмов - код аутентичности сообщения, несмотря на схожесть решаемых задач (обеспечение целостности документа и неотказуемости авторства). Алгоритмы ЭЦП относятся к классу асимметричных алгоритмов, в то время как коды аутентичности вычисляются по симметричным схемам.

Защищённость

Цифровая подпись обеспечивает:

Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.
Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;
Организацию юридически значимого электронного документооборота.

Возможные атаки на ЭЦП таковы…

Подделка подписи

Получение фальшивой подписи, не имея секретного ключа - задача практически нерешаемая даже для очень слабых шифров и хэшей.

Подделка документа (коллизия первого рода)

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

Документ представляет из себя осмысленный текст.
Текст документа оформлен по установленной форме.
Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

Случайный набор байт должен подойти под сложно структурированный формат файла.
То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
Текст должен быть осмысленным, грамотным и соответствующий теме документа.

Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.

Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма - килобайты.

Получение двух документов с одинаковой подписью (коллизия второго рода)

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования

Социальные атаки

Социальные атаки направлены на «слабое звено» криптосистемы - человека.

Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.
Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

Алгоритмы ЭЦП

Американские стандарты электронной цифровой подписи: ECDSA
Российские стандарты электронной цифровой подписи: ГОСТ Р 34.10-94 (в настоящее время не действует), ГОСТ Р 34.10-2001
Украинский стандарт электронной цифровой подписи: ДСТУ 4145-2002
Стандарт RSA
схема Шнорра

Управление ключами

Юридические аспекты

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр . Правовые условия использования электронной цифровой подписи в электронных документах регламентирует ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 10.01.2002 N 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

Использование ЭЦП в России

После становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного ДОУ между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам Российской Федерации от 2 апреля 2002 г. N БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи» . Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи определяет общие принципы организации информационного обмена при представлении налогоплательщиками налоговой декларации в электронном виде по телекоммуникационным каналам связи.

В Законе РФ от 10.01.2002 № 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» прописаны условия использования электронной цифровой подписи, особенности ее использования в сферах государственоого управления и в корпоративной информационной системе. Благодаря электронной цифровой подписи теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли» , обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.

В Москве в рамках реализации ГЦП (Городской целевой программы) "Электронная Москва" был образован Уполномоченный удостоверяющий Центр ОАО "Электронная Москва" (http://www.uc-em.ru) для решения задач координации работ и привлечения инвестиций при выполнении Городской целевой программы.

Использование ЭЦП в других странах

Система электронных подписей широко используется в Эстонской Республике , где введена программа ID-карт, которыми снабжены 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент - Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Все это осуществляется через центральный гражданский портал Eesti.ee . Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии.

Примечания

Федеральный закон №149 - ФЗ от 27 июля 2006г. "Об информации, информационных технологиях и о защите информации" - http://uc-em.ru/download/02.doc

Федеральный закон № 126 - ФЗ от 07 июля 2003г. "О связи" - http://uc-em.ru/download/03.doc

Постановление Правительства РФ №319 от 30 июня 2004г. "Об утверждении Положения о Федеральном агентстве по информационным технологиям" - http://uc-em.ru/download/05.doc

Постановление Правительства Москвы №495 - ПП от 19 июня 2007г. "Об утверждении Положения о Головном удостоверяющем центре города Москвы" - http://uc-em.ru/download/06.doc

Постановление Правительства Москвы №249 - ПП от 10 апреля 2007г. "Об утверждении порядка работы органов исполнительной власти города Москвы, государственных учреждений и государственных унитарных предприятий города Москвы с электронными документами, подписанными электронной цифровой подписью" - http://uc-em.ru/download/07.doc

Постановление Правительства Москвы №997 - ПП от 19 декабря 2006г. "Об утверждении порядка использования электронной цифровой подписи органами исполнительной власти города Москвы и государственными заказчиками при размещении государственного заказа города Москвы" - http://uc-em.ru/download/08.doc

Постановление Правительства Москвы №544 - ПП "Об утверждении Положения о Системе уполномоченных удостоверяющих центров органов исполнительной власти города Москвы" - http://uc-em.ru/download/09.doc

Постановление Правительства Москвы №450 - ПП от 6 июля 2004г. "О дополнительных мерах по обеспечению эффективного использования бюджетных средств при формировании, размещении и исполнении городского государственного заказа и создании Единого реестра контрактов и торгов города Москвы" - http://uc-em.ru/download/10.doc

Постановление Правительства Москвы №299-ПП от 11 мая 2004г. "Об утверждении Положения о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти города Москвы" - http://uc-em.ru/download/11.doc

Постановление Правительства Москвы №1079-ПП от 30 декабря 2003г. "Об уполномоченном органе в области использования электронной цифровой подписи в информационных системах органов исполнительной власти города Москвы" - http://uc-em.ru/download/12.doc

Об определении уполномоченных удостоверяющих центров - http://uc-em.ru/download/14.doc

Ссылки

www.ECM-Journal.ru - Блоги и статьи. Просто об электронном документообороте

См. также

Обычная подпись
Быстрая цифровая подпись

Wikimedia Foundation . 2010 .

Смотреть что такое "Цифровая подпись" в других словарях:

цифровая подпись - ЦПД Данные, добавленные к блоку данных, или криптографическое преобразование блока данных, которое позволяет получателю данных удостовериться в происхождении и целостности блока данных и обеспечить защиту от мошенничества, например, получателем.… … Справочник технического переводчика

цифровая подпись - 3.25 цифровая подпись (digital signature): Криптографическое преобразование, которое, будучи связано с элементом данных, обеспечивает услуги по аутентификации источника, целостности данных и неотказуемости подписавшей стороны. … … Словарь-справочник терминов нормативно-технической документации - числовое значение, вычисляемое по тексту сообщения с помощью секретного ключа отправителя, а проверяемое открытым ключом, соответствующим секретному ключу отправителя. Удостоверяет, что документ исходит от того лица, чья цифровая подпись… … Толковый словарь по информационному обществу и новой экономике

Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии. Электронная подпись (ЭП) информация в электронной форме, присоединенная к другой информации в электронной… … Википедия

- (ЭЦП, цифровая подпись, электронная подпись, англ. digital signature), криптографическое средство, аналог подписи, позволяющий подтвердить подлинность электронного документа, созданного с помощью компьютера (см. КОМПЬЮТЕР). ЭЦП представляет… … Энциклопедический словарь, О. Н. Герман, Ю. В. Нестеренко. Учебник создан в соответствии с Федеральным государственным образовательным стандартом по направлениям подготовки `Информационная безопасность` и `Математика` (квалификация `бакалавр`). В…

Директор информационной службы №07/2017 , Открытые системы. «Директор информационной службы» (CIO.ru) – журнал для менеджеров, отвечающих за идеологию, стратегию и реализацию информационной поддержки бизнеса, руководителей ИТ-подразделений предприятий… электронная книга

Цифровая подпись

Общая схема

Схема электронной подписи обычно включает в себя:

алгоритм генерации ключевых пар пользователя;
функцию вычисления подписи;
функцию проверки подписи.

Защищённость

Цифровая подпись обеспечивает:

Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.
Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;
Организацию юридически значимого электронного документооборота.

Возможные атаки на ЭЦП таковы…

Подделка подписи

Подделка документа (коллизия первого рода)

Документ представляет из себя осмысленный текст.
Текст документа оформлен по установленной форме.
Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML.

Случайный набор байт должен подойти под сложно структурированный формат файла.
То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
Текст должен быть осмысленным, грамотным и соответствующий теме документа.

Получение двух документов с одинаковой подписью (коллизия второго рода)

Социальные атаки

Социальные атаки направлены на «слабое звено» криптосистемы - человека.

Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.
Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

Алгоритмы ЭЦП

Американские стандарты электронной цифровой подписи: ECDSA
Российские стандарты электронной цифровой подписи: ГОСТ Р 34.10-94 (в настоящее время не действует), ГОСТ Р 34.10-2001
Украинский стандарт электронной цифровой подписи: ДСТУ 4145-2002
Стандарт RSA
схема Шнорра

Управление ключами

Юридические аспекты

Использование ЭЦП в России

Использование ЭЦП в других странах

Примечания

Федеральный закон № 126 - ФЗ от 07 июля 2003г. "О связи" - http://uc-em.ru/download/03.doc

Об определении уполномоченных удостоверяющих центров - http://uc-em.ru/download/14.doc

Ссылки

www.ECM-Journal.ru - Блоги и статьи. Просто об электронном документообороте

См. также

Обычная подпись
Быстрая цифровая подпись

Wikimedia Foundation . 2010 .

Цифровая пропасть
Цифран

Смотреть что такое "Цифровая подпись" в других словарях:

Электронная цифровая подпись - Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии. Электронная подпись (ЭП) информация в электронной форме, присоединенная к другой информации в электронной… … Википедия

ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ - (ЭЦП, цифровая подпись, электронная подпись, англ. digital signature), криптографическое средство, аналог подписи, позволяющий подтвердить подлинность электронного документа, созданного с помощью компьютера (см. КОМПЬЮТЕР). ЭЦП представляет… … Энциклопедический словарь, О. Н. Герман, Ю. В. Нестеренко. Учебник создан в соответствии с Федеральным государственным образовательным стандартом по направлениям подготовки `Информационная безопасность` и `Математика` (квалификация `бакалавр`). В…

Директор информационной службы №07/2017 , Открытые системы. «Директор информационной службы» (CIO.ru) – журнал для менеджеров, отвечающих за идеологию, стратегию и реализацию информационной поддержки бизнеса, руководителей ИТ-подразделений предприятий… Купить за 629 руб электронная книга