Журнал о системах электронного документооборота (СЭД)
Электронная цифровая подпись (ЭП)

ЭЦП: между правом и технологией

  0 комментариев Добавить в закладки

Сергей Лосев

ЭЦП. DIRECTUM-Journal.ruПрименение ЭЦП в электронном документообороте предприятия позволяет не только контролировать и гарантировать целостность и подлинность электронных данных, но и обеспечивать возможность их хранения в течение пяти лет. Однако из-за пробелов в законодательстве и сегодняшней реализации этой технологии усложняется проверка подлинности ЭЦП и момента ее создания при возникновении конфликтных ситуаций.

Классическая ЭЦП гарантирует авторство

Классическая технология формирования электронной подписи в соответствии с ГОСТ 34.10-94 и 34.10-2001 сводится к написанию хэш-кода документа, его шифрованию закрытым ключом владельца подписи, подписанию документа и его передаче адресату вместе с открытым ключом владельца, который вычисляется из соответствующего секретного ключа; при проверке же подлинности в удостоверяющем центре проверяется сертификат открытого ключа. Содержимое этих ключей и сертификатов позволяет установить авторство электронного документа, однако в используемом сегодня формате ЭЦП не фиксируется время её создания и статус сертификата открытого ключа на момент подписи (действителен, аннулирован, приостановлен), что в конечном счете затрудняет юридически значимый электронный документооборот и процедуру доказательства подлинности ЭЦП.

«Мы проводили компьютерно-технические экспертизы, - рассказал Юрий Маслов, заместитель коммерческого директора компании «Крипто-Про», - участвовали вместе с юристами в различных судебных практиках, когда в доказательство вины использовались документы с ЭЦП. И столкнулись с такой проблемой: факт подписи доказать невозможно. Это приводит к тому, что арбитр или дознаватель не принимают электронный документ в качестве доказательства в судебных и досудебных процедурах».

Одна из причин невозможности обеспечить юридическую значимость электронных документов заключается в том, что формулировки федерального закона «Об электронной цифровой подписи» от 10 января 2002 года выглядят весьма расплывчато. Так, в статье № 4 этого закона говорится: «...электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий...». При этом первое условие такое: «…если сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания».

На пути к новому формату ЭЦП

В текущем формате ЭЦП, как уже отмечалось, отсутствуют данные о том, когда была сделана электронная цифровая подпись. «Классическая» ЭЦП умещается в 256 битах, которые однозначно идентифицируют документ, однако отсутствие сведений о времени создания и удостоверения подписи затрудняет проверку и определение статуса сертификата открытого ключа при долговременном хранении электронных документов.

При использовании так называемой улучшенной, или расширенной ЭЦП, опирающейся на европейские стандарты, можно разом решить все эти проблемы. Новый формат усовершенствованной подписи предложен компанией «Крипто-Про на базе стандарта «CMS Advanced Electronic Signatures» (CadES). В него включаются доказательства момента подписания документа и действительности сертификата в этот момент. С такой целью используются штампы времени в соответствии с рекомендациями RFC 3161 «Internet X.509 Public Key Infrastructure Time-Stamp Protocol» (TSP).

«При подписании документа, - говорит Юрий Маслов, - помимо владельца подписи в процессе участвует еще одна сторона - удостверяющий центр. При этом в цифровой документ вкладываются сведения о штампах времени и о статусах сертификатов доверенного удостоверяющего центра, промежуточные сертификаты и ответы доверенной службы актуальных статусов (OCSP. - Прим. ред.), также подписанные ЭЦП. В конечном итоге формируются два штампа времени: первый доказывает, что документ подписан не позднее указанного времени, второй фиксирует достоверность сертификата на момент подписи». Такая процедура позволяет доказать подлинность ЭЦП по прошествии длительного времени, причем даже в тех случаях, когда действие сертификата ключа подписи, ограниченное одним годом, прекращается. Как отмечает Юрий Маслов, в новом формате ЭЦП вся необходимая информация для проверки подлинности ЭЦП находится в реквизитах документа, поэтому для сохранения юридической значимости электронных документов при архивном хранении остается только обеспечить их целостность организационно-техническими мерами.

Усовершенствование ЭЦП в качестве стандарта

Для использования расширенного формата компания должна модернизировать инфраструктуру открытых ключей на базе сервисов - как собственных, так и внешних доверенных, которые объединяют удостоверяющий центр, службу актуальных статусов и службу штампов времени. Подобная инфраструктура пока еще не реализована в полном объеме, хотя сертифицированные ФСБ технологические решения для поддержки расширенных ЭЦП уже существуют. Их, в частности, бесплатно поставляют компании «Крипто-Про» и Digt. Поддержка усовершенствованной ЭЦП может быть встроена в любое приложение - при этом работа с подписью сводится к вызову двух функций: одна создает подпись, вторая проверяет ее.

«Новый формат, - резюмирует Юрий Маслов, - дает такие важные преимущества, как возможность доказать достоверность сертификата на момент подписи и правильности самой подписи, и решает проблему долговременного хранения документов». При этом вложение в реквизиты документа всех необходимых доказательств позволяет проверять подлинность ЭЦП в офлайн-режиме. Доступ к репозиторию сертификатов, службам OCSP и службам штампов времени необходим только в момент создания подписи.

 

Источник: Intelligent Enterprise № 11, 2006

Ещё материалы автора
Похожие записи
Комментарии (0)
Сейчас обсуждают
Исхаков Роберт 23 января 2017 г. 23:43  
Роберт, разумеется!

Вадим.  Пощупать и посмотреть УКЭП можно только в рамках системы с использованием средств ЭП. Я ровно тоже могу сказать и о простой электронной подписи). Простая электронная подпись работает в рамках системы, в которой мы договорились, что она может использоваться. Вопрос применения простой ЭП -  это не технологический вопрос, по-моему, это методологический вопрос. (Не знаю, смог ли я правильно сформулировать по-русски))) И простая электронная подпись в СЭД уже давно используется) Например, в "канцелярских сэд" уже давно можно нажимать на кнопочку "Согласовано" при работе с проектом документа. И при надобности можно получить информацию: кто, когда, с какого места нажимал эту кнопочку, и пользователю при запросе можно выдавать в удобном окошечке эту информацию) И привязать нажатие на кнопочку к ЭД в СЭД тоже можно. Но повторюсь, эта ПЭП будет работать в рамках конкретной СЭД, где средством ПЭП будут выступать компоненты СЭД. А вопрос про то, что кем-то вдруг в БД может быть записано про "Васю Пупкина" взамен Пети Уткина я отнесу к организации "доверенной среды". Я нечто подобное могу спросить и про систему где УКЭП используется.

Могут ли жить системы, где используется ПЭП? А почему нет? Вот пример аналогия. У нас в России более 100 млн жителей и у подавляющего большинства из них стоят дверные замки, которые вскрываются за минуты)))  И это -"вскрываются за минуты" совсем не мешает существовать этой системе). И еще пример. Да, действительно, мы иногда пользуемся услугами нотариуса, но в подавляющем большинстве случаев мы используем свою бесплатную рукописную подпись)

Вадим Майшев 23 января 2017 г. 14:31  
Под это определение вполне подпадает поле в базе данных о том, под каким логином заходил пользователь, создавший информацию (например, история в СЭД). Информация в нем получается без использования хэш-функции, но вполне "присоединена" к документу. Неизменность документа при этом не обеспечивает, конечно.

Т.е. если в таком поле БД будет написано "ПЭП=С приветом Вася", то ответственность "за все" будет нести Вася?

А если Вася против того, что в некотором поле БД некто напишет его логин? Он будет правовыми способами доказывать свою непричастность к ЭД. В конечном счете, в суд будете предъявлять запись поля БД? Как докажете связь содержимого поля БД с авторством Васи (для оценки доказательств используется почерковедческая экспертиза традиционных документов и экспертиза действительности электронной подписи для электронных документов)?

Не надо путать аутентификацию в информационных системах и обеспечение юридической силы электронных документов с применением электронной подписи...

Иван Чурбаков 23 января 2017 г. 12:24  
любая электронная подпись - это, прежде всего, "информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию"

Под это определение вполне подпадает поле в базе данных о том, под каким логином заходил пользователь, создавший информацию (например, история в СЭД). Информация в нем получается без использования хэш-функции, но вполне "присоединена" к документу. Неизменность документа при этом не обеспечивает, конечно.

Больше комментариев