Журнал о системах электронного документооборота (СЭД)
Электронная цифровая подпись (ЭП)

Простая электронная подпись при обмене документами через мессенджеры Skype и WhatsApp. Часть 1.

  8 комментариев Добавить в закладки

Технические предпосылки использования электронной подписи

Высокие темпы распространения интеллектуальных мобильных устройств (смартфонов, планшетов), а так же бурное развитие систем беспроводной связи (СБС) требуют нового отношения к их использованию в системах современного документооборота.

В настоящее время все без исключения СБС ориентированы не только на передачу голосового и мультимедийного контента, но и предусматривают передачу самого различного рода сообщений. Большая часть передаваемых сообщений представляет собой не что иное, как совокупность документов различных цифровых форматов. Или, говоря другими словами, совокупность электронных документов.

Естественно, что каждый документ имеет содержательную часть и включает в себя ряд реквизитов. К основным реквизитам документа относится время его создания и фамилия, имя, отчество автора документа.

 

Рассмотрим связь между содержательной частью документа и его реквизитами более подробно. В бумажном документе такая связь заверяется собственноручной подписью автора. В электронном - электронной подписью. Все остальные реквизиты несут информационную и подтверждающую нагрузку.

Для передачи оперативных сообщений по средствам мобильных устройств в сфере программного обеспечения было разработано целое семейство мессенджеров, наиболее яркими представителями из которых являются Skype и WhatsApp. Если первый является своего рода ветераном, то последний занимает лидирующие позиции среди молодежи и людей среднего возраста. Попытаемся оценить данные программы с точки зрения их целесообразности.

Skype имеет очень демократичный характер в рамках передачи информации. У отдельного пользователя может насчитываться несколько аккаунтов. Для подтверждения передаваемых данных есть возможность использования визуального образа переданного документа. В настоящее время данный мессенджер принадлежит фирме Microsoft и областью его использования является совместная работа над документами.

WhatsApp отличается большей конфиденциальностью. Его аккаунт предусматривает жесткую привязку к номеру мобильного телефона. Явное указание на источник передаваемой информации повышает уровень общего доверия к передаваемым данным. Последние изменения предусматривающие использование закрытых каналов связи только повышают значимость данного мессенджера.

Общим для обоих мессенджеров моментом является то, что информация может быть передана в виде чата или же прикреплена к сообщению отдельным файлом. Владелец мессенджера не может в полной мере нести ответственность за целостность и достоверность информации. Однако он однозначно отвечает за ее распространение.

Возвращаясь к понятию электронной подписи и ее дальнейшего использования на уровне мессенджеров обратимся к ее трактовкам с правовой точки зрения.

Законодательные особенности защиты информации с помощью ЭП

Сфера юридически значимого использования ЭП и её содержательные аспекты нашли свое отражение в Федеральном законе от 06.04.2011 (ред. от 23.06.2016) N63-ФЗ “Об электронной подписи”.

Так ст.2,п.1 гласит.

“Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (погдписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывющего информацию”.

 

Такое широкое правовое поле казалось бы открывает неограниченные возможности использования ЭП в практической сфере деятельности. Однако другие статьи этого же закона накладывают резкие ограничения, сужающие границы приведенного выше понятия. Так статья 5 “Виды электронной подписи” предусматривает разделение электронной подписи на простую усиленную.

Приведем трактовку простой электронной подписи (ПЭП) как она представлена в ст.5, п.2.

“Простой электронной подписью является электронная подпись, которая по средствам кодов, паролей или иных средств подтверждает факт формирования подписи определённым лицом”.

Здесь сразу же всплывают понятия системы удостоверяющих центров (УЦ) Минкомсвязи России создается впечатление, что уже не остаётся никакой свободы маневра. Такое положение дел подтверждается самим содержательным аспектом сертификата ЭП.

Приведём выдержку. Ст.2, п.2.

«Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.»

Вместе с тем, если расширить область регулирования правового отношения, а понятие простой электронной подписи взять за основу, то можно выделить некую область её реального использования. Такая возможность вытекает из Статьи 1. Федерального закона (с уточнениями N60-ФЗ от 05.04.2013).

Статья 1. Сфера действия настоящего Федерального закона

Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.

Для уточнения наших представлений об электронной подписи обратимся к практике её применения.

Практические аспекты реализации понятия ПЭП на государственном уровне

Наиболее ярким и значимым примером использования ЭП являет собой сфера оказания гражданам России необходимых государственных услуг. Такие услуги оказываются организациями различных отраслей и широкого круга направлений их деятельности. Обращение к ним осуществляется через «Единую систему идентификации и аутентификации (ЕСИА)».

Для рядового гражданина России достаточно войти в свой личный кабинет и совершить обращение по интересующим его вопросам. Вход в личный кабинет возможен как на основе использования совокупности цифровых характеристик квалифицированной электронной подписи (КЭП), так и с учетом применения параметров, присущих простой электронной подписи (ПЭП).

Логин и пароль (открытый и закрытий ключ ПЭП) входа в личный кабинет сайта Госуслуг выдаются при личном обращении через соответствующие Центры Ростелекома, систему Многофункциональных Центров (МФЦ) или отделений Почты России. При ограниченном использовании ресурсов весьма вероятно используются или предполагаются к использованию другие варианты регистрации. Для дальнейших рассуждений важно то, что использование понятия ПЭП является фактом достоверным и не подлежащим сомнению.

Суть наличия такой ПЭП у гражданина означает, что он прошел процедуры идентификации и аутентификации и его обращение признается весьма солидными государственными структурами.

 

Исходя из сказанного, возникает вполне резонный вопрос. Если два гражданина имеют такого рода простые электронные подписи и обладают достаточной степенью оснований для обращения к третьему лицу, то правомерным ли будет признание их обращения по отношению друг к другу?

По мнению автора данной статьи, такое обращение вполне правомерно и достаточно легко реализуется для организации документооборота между его субъектами на основе мессенджеров Skype и WhatsApp.

Практический подход к реализации сказанного будет рассмотрен в следующей части данной статьи.

Простая электронная подпись при обмене документами через мессенджеры Skype и WhatsApp. Часть 2.

Мнение редакции может не совпадать с мнением автора.

Ещё материалы автора
Похожие записи
Комментарии (8)
Сергей Бушмелев 06 апреля 2017 г. 23:19  
Большая часть передаваемых сообщений представляет собой не что иное, как совокупность документов различных цифровых форматов. Или, говоря другими словами, совокупность электронных документов.

Несколько спорное утверждение. Объясню, почему для меня это так.

Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" дает такое определение электронного сообщения и электронного документа:

электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах;

В свою очередь:

документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

Сообщения в мессенджерах, если пытаться определить их правовую природу, однозначно подходят под определение "электронное сообщение" из процитированного федерального закона. Каждое электронное сообщение называть электронным документом, а тем более совокупностью электронных документов, ИМХО, не стоит, так как оно не обязательно содержит документированную информацию, то есть устанавливает факт, отношения и т.д. Электронный документ может быть передан по информационно-телекоммуникационным сетям (ИТС) или обработан в информационных системах (ИС). Уже переданное сообщение мессенджера, ИМХО, трудно еще раз передать по ИТС или как-то обработать в ИС. А вот передачу электронного документа (тот же файл xml, pdf, docx) по ИТС как раз в виде электронного сообщения (например, email с вложением) очень даже просто себе представляю.

Мне все же кажется, что не сообщение в мессенджере является набором электронных документов, а как раз наоборот, электронный документ может быть передан в виде одного или нескольких электронных сообщений (в месенджере, email, социальных сетях и т.п.).

 

К основным реквизитам документа относится время его создания и фамилия, имя, отчество автора документа.

Если мы говорим о какой-то доверенной среде, где пользователи регистрируются под своими настоящими именами, и указывает о себе всю информацию, то да, такое возможно. Если же говорить о публичных социальных сетях, мессенджерах и т.п., то не всегда пользователи регистрируются под своими настоящими ФИО и указывают их в своем профиле. Как раз наоборот бывает сложно связать никнейм (профиль) с определенным человеком.

 

Такое широкое правовое поле казалось бы открывает неограниченные возможности использования ЭП в практической сфере деятельности. Однако другие статьи этого же закона накладывают резкие ограничения, сужающие границы приведенного выше понятия.

Все же право - это целостная область знаний преимущественно гуманитарного характера. Применение, комментирование нормативно-правовых актов требует профильных знаний, которые могут быть получены только при получение профессионального образования в сфере права. "Инженерный подход", когда пытаются вывести одно знание из другого, совершенно не подходит для правоприменительной деятельности. Мне импонирует ваше неравнодушие к правовым вопросам, но в вашем материале не увидел именно правового подхода.

Закон об электронной подписи содержит норму, которая определяет правоотношения, на которые он распространяется:

Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.

Т.е. сфера действия действия закона - это однозначно гражданско-правовые отношения, государственные и муниципальные услуги, административные  правоотношения (исполнение государственными и муниципальными органами своих функций), а также иные правоотношения. Что такое "иные юридически значимые действия", можно почитать в постатейных комментариях к закону. Будем считать это домашним заданием :)

Использование простой электронной подписи действительно ограничено, и эти ограничения так же прописаны в законе в ст. 6, 9. Простая электронная подпись может использоваться в случаях, когда это прямо предусмотрено федеральным законом или принятыми на его основе подзаконными актами или есть соглашения сторон. Разумеется, эти соглашения не должны противоречить законам и принятых на их основе подзаконных актах. Например, если законом установлено, что может использоваться только собственноручная подпись или квалифицированная электронная подпись, то документ, подписанный ПЭП, не будет признан равнозначным бумажному документу, подписанному собственноручно. Т.е, не будет иметь юридической силы.

 

Здесь сразу же всплывают понятия системы удостоверяющих центров (УЦ) Минкомсвязи России создается впечатление, что уже не остаётся никакой свободы маневра. Такое положение дел подтверждается самим содержательным аспектом сертификата ЭП.

К этому высказыванию можно применить мой предыдущий комментарий - не нужно пытаться выводить степень "свободы маневра" из определения сертификата - закон содержит статьи, где однозначно определяется, какая подпись в каком случае может быть использована.

 

Вместе с тем, если расширить область регулирования правового отношения, а понятие простой электронной подписи взять за основу, то можно выделить некую область её реального использования. Такая возможность вытекает из Статьи 1. Федерального закона (с уточнениями N60-ФЗ от 05.04.2013).

См. комментарий выше. Статья 6 закона содержит границы возможного использования простой электронной подписи. Разумеется, реальное использование может быть осуществлено только в этих границах.

 

Логин и пароль (открытый и закрытий ключ ПЭП)

Тоже, на мой взгляд, сложно называть логин открытым ключом, а пароль - закрытым. Закон об электронной подписи содержит определения ключа подписи (полагаю, что именно него называют в обиходе закрытым ключом) и ключа проверки подписи (соответственно, открытого ключа). Заметьте, что в определении не уточняется тип подписи (ПЭП, НКЭП, КЭП):

ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи; 

ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи);

Не могу себе представить, как логин может быть однозначно связан с паролем (т.е. в паре логин-пароль не может быть изменен отдельно пароль или отдельно логин), и по логину можно будет определить, что подпись была сделана именно при помощи данного пароля.

Все же для меня логин и пароль - это идентификационные данные, необходимые для аутентификации, на том же сайте госуслуг, но никак не ПЭП.

Если два гражданина имеют такого рода простые электронные подписи и обладают достаточной степенью оснований для обращения к третьему лицу, то правомерным ли будет признание их обращения по отношению друг к другу?

Гражданина и сайт госуслуг связывают административные правоотношения. Двух же граждан могут связывать самые разные правоотношения:

  • гражданско-правовые,  если граждане заключили сделку или имел место деликт
  • семейные, если граждане вступили в брак или находятся в определенном родстве
  • трудовые, административные, уголовные, уголовно-процессуальные и т.д. и т.п.

Во всех этих случаях совершенно не важно, как эти граждане по отдельности связаны с сайтом госуслуг.

Юрий Зерин 06 апреля 2017 г. 23:53  

Спасибо за внимательный подход к понятиям и их изложению. Все замечания принимаю и постараюсь осмыслить.

Да, представление материала приведено в достаточно вольной форме. Здесь представлена только концепция подхода к ПЭП.

Дальше будет еще хуже. Может это направление и не найдет свое место в реальной жизни. Все делается гораздо проще.

Постараемся за деревьями увидеть лес. Буду рад услышать последующие замечания.

Сергей Бушмелев 07 апреля 2017 г. 07:58  
Все делается гораздо проще.

Возможно. Для того, чтобы обмениваться документами или сообщениями, скажем, в рамках гражданско-правовых отношений, можно и достаточно заключить соглашение.  Это может быть как "обычное соглашение", так и договор присоединения.

Например вы заключили договор поставки, и через мессенджер поставщику отправляете заказы. Вы так даже можете отправить первичный документ, а вот ЭСФ или УПД (по крайней мере, с функциями СЧФ и СЧФДОП) - не сможете.

Возможно, что в этом соглашении даже лучше не использовать понятие "простая электронная подпись", ибо тогда придется в соглашении предусматривать следующее (п.2 ст.9 закона Об электронной подписи):

1) правила определения лица, подписывающего электронный документ, по его простой электронной подписи;

2) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.

Вадим Майшев 07 апреля 2017 г. 11:03  
WhatsApp отличается большей конфиденциальностью. Его аккаунт предусматривает жесткую привязку к номеру мобильного телефона. Явное указание на источник передаваемой информации повышает уровень общего доверия к передаваемым данным. Последние изменения предусматривающие использование закрытых каналов связи только повышают значимость данного мессенджера.

Весьма спорно. Конфиденциальность в распределенных информационных системах обеспечивается криптосредствами и жесткими условиями обращения с криптоключами к ним. Ни тот, ни другой продукт не проверялся на соблюдение этих требований. Да и криптоключей никто не видел в них... А привязка к номеру телефона лишь нарушает "анонимность" участников взаимодействия для "наблюдателей". Про какие закрытые каналы связи речь? Кем закрытые, от кого закрытые и с помощью чего закрытые?

Логин и пароль (открытый и закрытий ключ ПЭП) входа в личный кабинет сайта Госуслуг

У ПЭП нет открытых и закрытых ключей. Да и ПЭП еще никто живьем и не видел, т.к. нет пока таких технологий. А еще ПЭП не обеспечивает защиту от изменения документов (согласитесь, странно быть автором неизвестно кем измененного документа). Да и на ЕПГУ "как бы ПЭП" лишь выполняет функцию аутентификации по логину/паролю (по незащищенному согласно государственным требованиям каналу связи), а именно документы можно подписать только усиленной квалифицированной электронной подписью.

Юрий Зерин 07 апреля 2017 г. 12:56  

Уважаемый Вадим.

 Спасибо за свои соображения относительно использования ЭП.

Вместе с тем позвольте не согласиться с приведенными Вами доводами. По некоторым из них я имею прямо противоположное мнение. Значимость использования мессенджера WhatsApp и ПЭП подчеркивается доверием к ним со стороны такой мощной финансовой структуры, какой является Сбербанк России. Так для проведения процедур интернет эквайринга рекомендован именно этот мессенджер. Его упоминание можно найти в разделе безопасность.

Вадим Майшев 10 апреля 2017 г. 09:46  
Значимость использования мессенджера WhatsApp и ПЭП подчеркивается доверием к ним со стороны такой мощной финансовой структуры, какой является Сбербанк России.

Мы говорим про "значимость" или безопасность, подтвержденную уполномоченными организациями на соответствие определенным требованиям?

Юрий Зерин 10 апреля 2017 г. 12:55  

Уважаемый Вадим.

Спасибо за то, что вы задаете мне этот вопрос.

Поясняю. Вообще-то мы говорим о использовании простой электронной подписи при обмене документами через мессенджеры Skype и WhatsApp. Судя по предыдущему вашему высказываю я понимаю, что вы сторонник использования усиленной квалифицированной электронной подписи (УКЭП). И это имеет свое основание. В приведенном высказывании, на которое вы ссылаетесь, под словом значимость понимается не только понятие безопасности, но и многие другие аспекты. Я же хотел отметить лишь то, что банки, которые отвечают своими финансовыми активами  за надежность своих операций, используют как УКЭП, так и ПЭП. Причем они применяют при обращении к своим клиентам мессенджеры. Есть примеры, когда мессенджер WhatsApp используется  в некоторых странах для прямого денежного перевода. Например в Индии.

Исходя из заданного вами вопроса и я специально остановлюсь во второй части работы на понятии ПЭП для мессенджера. Прошу высказать свои  мнения и замечания.

Вадим Майшев 10 апреля 2017 г. 13:19  
Я же хотел отметить лишь то, что банки, которые отвечают своими финансовыми активами  за надежность своих операций, используют как УКЭП, так и ПЭП. Причем они применяют при обращении к своим клиентам мессенджеры. Есть примеры, когда мессенджер WhatsApp используется  в некоторых странах для прямого денежного перевода.

Согласно гражданскому законодательству стороны вправе договориться о любом аналоге собственноручной подписи. Банк может согласовать в договоре со своим клиентом вариант, по которому клиент ставит "крестик" в графе "списать со счета 100500 рублей" на странице сайта банка и этот крестик будет абсолютно легитимным АСП. Но не все же граждане согласятся с этим! А сколько будет судов на предмет "докажите, что это я ставил этот крестик"? Электронная подпись защищает обе стороны от существенных рисков (авторство, целостность, подлинность, неотказуемость). Но для этого она должна быть надежной с точки зрения безопасности, а не "значимой" (из-за значительного количества согласившихся пользователей).

Исходя из заданного вами вопроса и я специально остановлюсь во второй части работы на понятии ПЭП для мессенджера.

Думается, что когда Вы упоминали закрытые каналы связи, то подразумевали использование криптографических методов для их создания. Если криптосредства уже используются, то ничего не мешает сделать на них нормальную усиленную подпись, а не изобретать никому не нужное нечто со сомнительными свойствами.

Сейчас обсуждают
Больше комментариев