ЭЦП

     Основной  целью принятия закона "Об электронной  цифровой подписи" являлось дополнение договорной схемы регулирования  взаимоотношения сторон, предусмотренной  ГК РФ законодательным регулированием, также предусмотренным ГК РФ.

     Таким образом, закон об ЭЦП, дает возможность  вступать в полноправные гражданско-правовые отношения с использованием ЭЦП  в качестве АСП без предварительного заключения соглашения сторон".

     Действие  ГК РФ, как и конституционного закона, не может быть отменено или изменено иным нормативным актом, в том числе федеральным законом. В связи с этим федеральный закон "Об электронной цифровой подписи" лишь определяет порядок использования одного из АСП, а именно ЭЦП, строгое определение которого зафиксировано в законе.

     Поскольку среди всех возможных АСП закон  регулирует применение одного - ЭЦП, постольку  регулирование порядка применения иных АСП остается неизменным, а  именно основывается на ГК РФ, предусматривающим заключение соглашения сторон.

     Таким образом, в связи с принятием  закона изменился только порядок  применения одного из АСП - ЭЦП.

     На  этот факт прямо указывает пункт 2 статьи 1 закона "Об электронной  цифровой подписи".

     Согласно  п. 2. статьи 1.

     Действие  настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

     Соотношение между АСП, Цифровой Подписью (ЦП) и  ЭЦП

     На  сегодняшний день используется большой  набор различных АСП - биометрические, PIN коды, факсимильные и т.д. В том  числе широко используются системы цифровой подписи - ЦП. Технологии ЦП разнообразны и дифференцированы. Среди всех возможных технологий ЦП выбрана одна, строго определенная в законе и названная ЭЦП.

     Следовательно, соотношение между АСП, ЦП и ЭЦП  выглядит так.

     Цифровая подпись (ЦП) является частным случаем аналога собственноручной подписи (АСП). В свою очередь, электронная цифровая подпись (ЭЦП) является частным случаем цифровой подписи.

     Понятие ЭЦП неразрывно связывается с понятием сертификата ключа, понятием криптографического преобразования и электронным документом.

     Следовательно, к системам ЭЦП следует относить только системы подтверждения подлинности  электронных документов с использованием сертификатов и основанных на криптографических преобразованиях. Кроме того, использование ЭЦП согласно закону, возможно только для электронных документов. Закон не распространяет свое действие на применение ЭЦП к другим типам документов.

     Рассмотрим  все признаки ЭЦП.

     Непосредственно в законе дано определение сертификата  ключа, электронной цифровой подписи.

     Сертификат  ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

     Строгое определение электронного документа сегодня отсутствует, тем не менее, на практике используется понятие, введенное в законе "Об информации, информатизации и защите информации"

     Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

     Как видно определение расплывчатое. В подготовленном законопроекте "Об электронном документе" указывается, какие именно реквизиты должны быть обязательны для документа:

      - обозначение и наименование документа;

      - даты  создания, утверждения и последнего изменения;

      - сведения  о создателях;

      - сведения  о защите электронного документа;

      - сведения  о средствах электронной цифровой подписи или средствах хэширования, необходимых для проверки электронной  цифровой подписи или контрольной  характеристики данного электронного документа;

      - сведения  о технических и программных  средствах, необходимых для воспроизведения  электронного документа;

      - сведения  о составе электронного документа.

     Хотя  пока руководствоваться данными  положениями нельзя, тем не менее, основываясь на определении из закона "Об информации, информатизации и защите информации" можно однозначно сказать, блоки данных, передаваемые по каналам связи (т.к. они не фиксируются на носителях) к документам не относятся, также к документам не могут быть отнесены пакеты данных, возникающие при обмене данными по Интернету и др.

     Понятие криптографического преобразования в законе и иных нормативных документах, имеющих юридическую силу, отсутствует.

     С другой стороны, понятие средств  криптографической защиты информации (СКЗИ) и шифровальных средств имеется в ведомственных документах ФАПСИ. Так же некоторые производители позиционируют свою продукцию, как СКЗИ, или как шифровальные средства.

     В связи с этим средства цифровой подписи (устоявшийся международный термин digital signature), построенные без использования системы сертификатов, а именно такие системы в большинстве используют Российские потребители не являются системами ЭЦП, с точки зрения определения закона.

     Более того, системы с использованием сертификатов, но без создания удостоверяющих центров, а также системы, в которых подписи зарегистрированы на юридическое лицо, с точки зрения рассматриваемого закона относятся к иным аналогам собственноручной подписи и законом не регулируются.

     Также к системам ЭЦП не относятся системы  в которых АСП, в т.ч. ЦП используются для подписи данных, не являющихся электронными документами.

     К системам ЭЦП следует относить только те системы, которые:

1. Используют систему сертификатов, в соответствии с определением сертификата, и выполнением требованиям к сертификатам, данным в законе об ЭЦП.
2. Используются для заверения электронных документов в смысле определения данным в законе "Об информации, информатизации и защите информации"
3. Позиционируются разработчиками, как криптографическое средство.

1.2  Аналоги информационной системы ЭЦП

     Входе изучения аналогов продукции можно  выделить следующие информационные системы:

     - Система «КриптоОфис»;

     Система «КриптоОфис» предназначена для  защит данных от несанкционированного доступа и неавторизованной модификации  при их хранении и обработки на персональном компьютере, а также при передаче по каналам связи.

     В системе реализованы наиболее эффективные  алгоритмы кодирования данных, управления ключами и цифровой подписи.

     После установки данная системы предлагает создание секретных ключей (см. рис. 1.1.1).

     Ключи можно устанавливать или заменять.

     Для создания ключа необходимо полное имя  пользователя после чего необходимо набрать на клавиатуре 128 случайных  символов, необходимых для генерации  ключа. Предусмотрена возможность  автоматического набора случайных чисел, но ввод с клавиатуры считается более надежным способом.

     

Рисунок 1.1.1 – Мастер создания ключей «КриптоОфис»

     Созданные ключи хранятся в хранилище (см. рис. 1.1.2).

     

Рисунок 1.1.2 – Хранилище ключей

     Пакет «КриптоОфис» состоит из следующих компонентов:

• EMC –Easy Mail Crypto – дополняет программы MS Outlook, MS Outlook Express функциями подписи и защиты сообщений ;
• EDC – Easy Document Crypto – позволяет подписывать и кодировать документы внутри редактора Microsoft Word;
• EFC – Easy File Crypto – позволяет подписывать и кодировать файлы одним нажатием клавиши.

     Программа EFC предназначена для защиты файлов и данных от несанкционированного доступа и гарантированного подтверждения личности абонента, предающего файл или данные.

     Она включает в себя следующие возможности:

• Кодирование файлов;
• Раскодирование файлов;
• Подпись файлов;
• Проверка подписи.

     Программа EFC использует различные алгоритмы кодирования, среди которых как алгоритмы наиболее распространенных в мине национальных стандартов, таки и собственная разработка фирмы «ЛАН Крипто» - надежный и быстрый алгоритм гарантированного закрытия данных Веста-2М и Викер98.

     Программа обеспечивает несколько уровне надежной защиты информации.

     EMC – Easy Mail Crypto – дополняет программы MS Outlook, MS Outlook Express следующими функциями:

• Кодирование сообщений;
• Раскодирование сообщений;
• Подпись сообщений;
• Проверка подписи под сообщениями.

     Easy Document Crypto позволяет:

• Сделать документ юридически законным;
• Проверять подлинность документа;
• Защитить из от несанкционированного просмотра;
• Кодировать и декодировать документ.

     Необходимо  отметить, что закодированный документ практически не увеличивается в  объеме. После кодирования вместо документа появляется просто одна страница, в которой сообщается, что данный документ закодирован.

     - «КриптоПро ЭЦП»;

     Компания  КРИПТО-ПРО предлагает стандарт применения усовершенствованной электронной цифровой подписи. Опыт КРИПТО-ПРО – ведущей российской компании в области технологии ЭЦП – свидетельствует, что при использовании "классической" ЭЦП в юридически значимом электронном документообороте, в случае возникновения спора достаточно трудно, а подчас и невозможно, доказать подлинность ЭЦП и момент подписи (создания) ЭЦП. Эти трудности могут привести к тому, что арбитр не примет электронный документ в качестве письменного доказательства. Данные трудности порождаются рядом проблем, присущих "классической" ЭЦП, а именно:

     -    нет доказательства момента подписи;

     - трудность доказывания статуса сертификата открытого ключа подписи на момент подписи (или действителен, или аннулирован, или приостановлен).

     Предлагаемый  КРИПТО-ПРО Стандарт применения усовершенствованной  подписи позволяет решить все  основные трудности, связанные с  применением ЭЦП, и обеспечить участников электронного документооборота всей необходимой  доказательной базой (причем собранной  в самой ЭЦП в качестве реквизитов электронного документа), связанной с установлением момента подписи и статуса сертификата открытого ключа подписи на момент подписи.

     Формат  усовершенствованной подписи основан  на европейском стандарте CAdES (ETSI TS 101 733). Версия этого стандарта опубликована в виде RFC 5126 "CMS Advanced Electronic Signatures (CAdES)". Новый формат подписи решает описанные выше и множество других потенциальных проблем, обеспечивая: