Автор: Пользователь скрыл имя, 12 Марта 2012 в 16:55, лекция
В рамках этого образовательного модуля предполагается познакомить специалистов в области государственного и муниципального управления с практическим применением информационных технологий в сфере управления.
Закрытый ключ известен только его владельцу и используется для создания ЭЦП под документами и сообщениями и для расшифровки сообщений, зашифрованных открытым ключом.
3.4. Что представляет собой электронная подпись?
Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки и полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи. С помощью ЭЦП можно идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Для формирования ЭЦП под документом владелец ключей, используя программное обеспечение, предоставленное удостоверяющим центром, создает свертку документа – его уникальный идентифицирующий код (синонимы – хэш, дайджест), а затем зашифрованная закрытым ключом свертка помещается в концец документа (все это и входит в понятие ЭЦП).
Хеш документа – это небольшой по объему цифровой дамп документа (около 256 байт), сгенерированный таким образом, что любое изменение документа приводит и к изменению хэша документа.
Рассмотрим принципиальную схему выработки и проверки ЭЦП с применением алгоритмов асимметричного шифрования.
Вы подписываете данные (открытый текст) с помощью своего закрытого ключа. После этого вы отправляете подписанные данные партнеру. Ваш партнер получает подписанные вами данные. С помощью вашего открытого ключа он проверяет корректность ЭЦП подписанных данных. Для этого заново создается хэш присланного документа, он сравнивается с тем дампом (хэшем) электронного документа, который был присоединен к посланию в момент создания ЭЦП. Если эти два дампа совпадают, то считается, что документ не подвергся изменениям (все эти процедуры производятся автоматически и пользователь лишь получает сообщение о том, корректна или нет электронная подпись). Ваш открытый ключ партнер по переписке получает либо от вас самого, либо в общедоступной базе данных, в которой хранятся открытые ключи пользователей. На рис. 7 приведена схема создания и проверки электронной подписи (рисунок взят из справки программного продукта КриптоАрм).
При проверке подписи проверяющий должен быть абсолютно уверен в подлинности открытого ключа, т. е. в том, что имеющийся у него открытый ключ принадлежит конкретному пользователю.
Рис. 7. Схема создания ЭЦП
Для заверения принадлежности открытого ключа конкретному пользователю используется сертификат открытого ключа, подписанный третьей доверенной стороной – Удостоверяющим центром.
3.5. Как хранить закрытый ключ?
Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа.
Закрытый (секретный) ключ ЭЦП в электронном виде передается Удостоверяющим центром пользователю на носителе. Носителем может быть дискета (в настоящее время этот метод не используется), смарт-карта или USВ-брелок (смарт-карта с USB-интерфейсом). Смарт-карта (от английского Smart – умный, интеллектуальный) представляет собой пластиковую карту со встроенной микросхемой. Большинство смарт-карт содержат микропроцессор, память и операционную систему, которая контролирует устройство и управляет доступом к объектам в памяти. Наиболее «продвинутые», смарт-карты обладают возможностью производить криптографические преобразования данных. Простейшим примером смарт-карты может служить sim-карта мобильного телефона.
В вашем присутствии сотрудник Удостоверяющего центра обязан после передачи вам закрытого ключа удалить его из своего компьютера, если, конечно, вы не подписали договор о депонировании и ответственном хранении закрытого ключа в защищенном хранилище Удостоверяющего центра. По определению, закрытый ключ всегда хранится у пользователя, и только пользователь отвечает за его сохранность.
Какие существуют угрозы компрометации ключей ЭЦП?
1. Использование слабых паролей для защиты ключевой информации.
2. Хранение ключей на жестких дисках ПК владельца;
3. Хранение ключей на ненадежных (в физическом плане) носителях (дискетах); передача ключевого носителя сторонним пользователям.
Основная проблема при этом заключается в том, что для подавляющего числа российских пользователей ЭЦП процесс формирования ключевой пары и условий хранения закрытого ключа в данное время никак не регламентирован. Соответствующие регламенты пишутся только на корпоративном уровне (уровне УЦ) на основе ведомственных концепций информационной безопасности и принятой на предприятии политики безопасности.
Большинство удостоверяющих центров в настоящее время предполагает, что для хранения закрытого ключа используется USВ-брелок eToken компании Alladin (подробности на сайте http://www.aladdin-rd.ru/
Доступ к информации, хранящейся в персональных идентификаторах такого класса, защищен РIN-кодом, параметры которого отвечают самым серьезным требованиям корпоративных политик безопасности по количеству символов, возможности противостояния атакам по подбору и т. д. Однако основное преимущество подобных устройств в том, что ключевая пара может быть сформирована самим пользователем, причем закрытый ключ, генерируемый микропроцессором устройства, никогда не покидает защищенного раздела памяти персонального идентификатора.
В идеале в защищенной памяти смарт-карты (токена) должны храниться несколько закрытых ключей (а при необходимости и соответствующих им сертификатов) для выполнения различных задач доступа к корпоративной сети, защищенным данным, защищенному документообороту, различным платежным системам.
3.6. Всегда ли ЭЦП равнозначна подписи на бумаге?
Как известно, согласно статье 4 ФЗ «Об электронной цифровой подписи» ЭЦП признаётся равнозначной собственноручной подписи в документе на бумажном носителе при условии, что сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания. Поэтому электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность электронной цифровой подписи в электронном документе;
лектронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Опыт КРИПТО-ПРО (электронный адрес http://www.CryptoPro.ru), ведущей российской компании в области технологии ЭЦП, свидетельствует, что при использовании «классической» (описанной выше) ЭЦП в юридически значимом электронном документообороте в случае возникновения спора достаточно трудно, а подчас и невозможно доказать подлинность ЭЦП и момент подписи (создания) ЭЦП.
Эти трудности могут привести к тому, что арбитр не примет электронный документ в качестве письменного доказательства из-за проблем, присущих «классической» ЭЦП, а именно:
нет доказательства момента подписи;
невозможно определить статус сертификата открытого ключа подписи на момент подписи (действителен, или аннулирован, или приостановлен).
Для того чтобы цифровая подпись была юридически значимой, требуется еще и дата подписания документа. Поэтому цифровая подпись снабжается еще и штампом времени, заверенным Удостоверяющим центром (для этой цели на клиентской машине устанавливается специальный программный модуль, позволяющий обмениваться информацией со Службой штампов времени).
Штамп времени – это подписанный электронной подписью документ, которым Служба штампов времени удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции подписываемого документа. Само значение хэш-функции также указывается в штампе. Штамп времени:
а. удостоверяет время создания документа;
б. исключает возможность совершения мошенничества путем установки локального времени, отличного от реального;
в. гарантируется действительность сертификата пользователя на момент подписания электронного документа.
Служба штампов времени – это доверенный субъект инфраструктуры открытых ключей, который обладает точным и надёжным источником времени и оказывает услуги по созданию штампов времени: например, Национальный удостоверяющий центр (http://www.nucrf.ru/) предлагает услуги по выпуску штампов времени с применением Службы штампов времени.
В обычной деловой практике пользователю, возможно, будет достаточно использовать сертификаты ЭЦП, в которых Служба штампов времени не используется (например, для коммерческих и для государственных электронных торгов достаточно использование сертификата ЭЦП класса «Усиленный 94» ЗАО «СКБ Контур», который выдается для участия в торгах на пяти электронных торговых площадках госзаказа и действует с 24 ноября 2010 г.
3.7. Можно ли использовать ЭЦП в международном сотрудничестве?
Одним из направлений использования ЭЦП являются международные отношения. Для межнационального электронного документооборота необходимы следующие условия:
а. соответствие технических решений юридическим законам стран-участниц электронного документооборота;
б. обоюдное доверие к используемым решениям;
в. согласованность и совместимость технических решений.
Проблема состоит в том, что в России в электронном документообороте должны применять только системы на основе алгоритмов шифрования ГОСТ, сертифицированных в ФСБ России (обычно это программный комплекс Удостоверяющего центра «КриптоПро УЦ http://www.cryptopro.ru/ ), в то время как за границей распространены решения на основе алгоритма RSA (аббревиатура, образована начальными буквами фамилий авторов алгоритма: Rivest, Shamir and Aldeman 1977 г). Это вызывает проблемы с обеспечением признания юридического значения электронных документов в России, подписанных за границей с помощью RSA.
Одним из возможных способов решения проблемы является развертывание служб DVCS (Data Validation and Certification Server). Службы DVCS являются третьей доверенной стороной и позволяют подтвердить действительность ЭЦП одной из сторон документооборота. Результаты проверки ЭЦП предоставляются в виде электронной квитанции, содержащей «штамп времени» и ЭЦП на легитимных криптографических алгоритмах в конкретной правовой зоне. Взаимодействующие стороны могут использовать:
различные правовые основы применения электронной цифровой подписи;
взаимно несовместимые криптографические алгоритмы;
взаимно несовместимые форматы электронных документов.
При этом документооборот между ними может иметь юридическую силу. Технологической основой решения является Узел международного взаимодействия в сфере электронной цифровой подписи, созданный в 2006 году в рамках Федеральной целевой программы «Электронная Россия» по заказу Федерального агентства по информационным технологиям (Росинформтехнологии http://www.ank-pki.ru/
2
Информация о работе Образовательный модуль 3. икт в профессиональной деятельности