Электронная подпись и пространство доверия

 С 1 июля 2012 года утратил силу Федеральный закон «Об электронной цифровой подписи», действовавший немногим более 10 лет. Однако выданные ранее сертификаты будут продолжать действовать в соответствии с установленными для них сроками. Новый закон «Об электронной подписи» предусматривает три вида электронных подписей (ЭП): одну простую и две усиленные (квалифицированную и неквалифицированную), идентичные описанным в директиве Европейского Союза. Рассмотрим виды ЭП и приведем некоторые возможные примеры их построения и применения. Прежде всего поясним, что представляет собой ЭП. Это некоторая дополнительная к основной информации часть электронного документа, которая, как правило, добавляется в цифровом виде, хотя может иметь и различные формы графического представления. Как ожидается, наиболее распространенной подписью будет простая ЭП, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования ЭП определенным лицом. Примером простой ЭП, недостаток которой заключается в возможности несанкционированного повторения, может быть pin-код в карточке платежной системы или других идентифицирующих личность или услуги электронных картах. Надежность pin-кода обеспечивается защитой канала передачи документа, невозможностью его просмотра недоверенными лицами, а также сменой разового pin-кода или пароля. Вместе с тем подобные схемы громоздки в использовании, требуют дополнительного канала связи с центром выдачи разовых паролей, а также определенной подготовки клиентов. Более перспективной представляется схема выработки разового пароля на основе шифрования синхропосылки по известному только удостоверяющему центру (УЦ) и пользователю ключу подписи. Желающий проверить соответствие подписи пользователю может получить подтверждение в УЦ. Самым простым и наиболее уязвимым является графический образ реальной подписи, который, как печать, проставляется в конце графического (полученного из электронного) образа документа. Единожды получив подобный документ, получатель имеет возможность воспроизводить его многократно, в том числе без ведома легитимного владельца. Неквалифицированная усиленная подпись:

  • должна обеспечивать обнаружение факта внесения изменения в документ после его подписания;
  • позволяет определить личность подписанта;
  • является результатом криптографического преобразования с ключом подписи;
  • создается с использованием средств ЭП.

Наиболее распространенным видом неквалифицированной ЭП в нашей стране является электронная цифровая подпись (ЭЦП), реализованная в продуктах фирмы Microsoft, которая имеет, с одной стороны, все признаки ЭЦП и создана, как утверждают авторы, по одному из международно-признанных алгоритмов. С другой стороны, этот продукт не проходил соответствующей сертификации в ФСБ России, и его реализация не подтверждена заключениями экспертного сообщества. Ключ подписи от Microsoft выдается по Интернету пользователю, купившему легальную версию Windows от не сертифицированного в России удостоверяющего центра фирмы Microsoft. Таким образом, мы имеем все признаки усиленной неквалифицированной подписи, доверие к которой зиждется на уверенности в качественности программного продукта этой известной фирмы. Читать статью в формате PDF