Наверх

ЭЦП VS ЭП

Архив
Время чтения: 7 минут
2
ЭЦП VS ЭП

ЭЦП VS ЭП

Вместо введения

В начале апреля 2011 года вступил в силу Федеральный закон №63-ФЗ «Об электронной подписи». И всё бы ничего, но ещё 10 января 2002 был принят закон с очень похожим названием – «Об электронной цифровой подписи». Вроде бы и сейчас всё хорошо, но вот только последний признаётся утратившим силу только с 1 июля 2012. А если учесть, что области действия законов очень близки (если не сказать, одинаковы), получаем 14 месяцев «двоевластия». Вот теперь картина во всей красе – попробуем разобраться, что же к чему, и как старое соотносится с новым.

Как было

Как говорится в первой статье первого закона далекого второго года третьего тысячелетия (ну и завернул), его целью является «обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе». Ни больше, ни меньше. Под электронным документом в данном случаем понимается «документ, в котором информация представлена в электронно-цифровой форме». Так же стоит отметить, что термин «электронная цифровая подпись», или «цифровая подпись», или «digitalsignature» является общепринятым и понимается везде одинаково – это некий набор данных, полученный в результате криптографического преобразования подписываемой информации с использованием закрытого ключа ЭЦП, который позволяет идентифицировать владельца сертификата и определить наличие изменений в документе (объекте информационной системы в общем случае) после подписания. Примерно так же он определяется и в «старом» законе (будем так называть закон 2002 года) с той лишь разницей, что там ЭЦП является реквизитом, предназначенным «для защиты данного электронного документа от подделки». Корректность этого утверждения можно оспорить, ведь сама подпись ничего не защищает – она лишь предоставляет средства контроля, но не будем заострять на  этом внимание. Не будем так же касаться юридических тонкостей – об этом за 10 лет написано немало. Закон разобран по косточкам, найдены и взвешены все его плюсы и минусы, недочёты и недостатки. В любом случае, он заполнял тот правовой вакуум, который царил в области электронного документооборота. Далее, в обязательном порядке должен присутствовать удостоверяющий центр, который будет гарантом действительности сертификатов ключей подписи. В зависимости от того, где будет использоваться ЭЦП (в системе общего пользования или корпоративной информационной системе), он должен соответствовать требованиям законодательства (Закон Об ЭЦП, О лицензировании отдельных видов деятельности и др.) или решению владельца корпоративной информационной системы (её участников).

Итак, что мы имеем в итоге на основании Закона «Об электронной цифровой подписи»? При соблюдении необходимых условий электронный документ с ЭЦП признаётся равнозначным бумажному документу с собственноручной подписью. Подпись формируется только на основе криптографических преобразований с использованием закрытого ключа (читай, на основе асимметричного шифрования, хотя строго это нигде не указано). В обязательном порядке необходим удостоверяющий центр; сертификация средств ЭЦП – в зависимости от того, является ли информационная система системой общего пользования. С технологической стороны – полное соответствие «классическому» понятию ЭЦП.

Как стало

Сферой действия «нового» закона является регулирование отношений в области использования электронных подписей (ЭП, но не ЭЦП) при совершении различных сделок и других юридически значимых действий. Чувствуете разницу? Ни слова об электронных документах, по крайней мере, пока. Так что же такое электронная подпись? Как гласит Закон, «электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию». Отныне, а точнее, с момента вступления «нового» закона в силу, с помощью ЭП мы можем подтверждать не только авторство документов, но и выражать своё согласие с чем-либо (например, документ создаётся автоматически после ввода нами данных, то есть подписать мы его не можем, а электронная подпись связывается именно с этими введёнными данными). Описанная ситуация, в частности, была одной из причин введения нового понятия. Кроме этого, вводятся виды электронной подписи – простая и две усиленных: квалифицированная и не квалифицированная.

Простая ЭП – это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Под этот вид можно подвести так же метки голосом, подпись с помощью светового пера, подпись чего – либо своим ник-неймом  и так далее. Вот уж действительно, свобода творчества и изобретательности. Из функций ЭЦП здесь выполняется лишь одна – подтверждение авторства. Следовательно, «старая» ЭЦП не может стать «новой» простой ЭП.

ЭП будет усиленной неквалифицированной, если она:

  • получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
  • позволяет определить лицо, подписавшее электронный документ;
  • позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
  • создается с использованием средств электронной подписи.

Технически, усиленная квалифицированная ЭП – тоже, что и неквалифицированная, но к ней дополнительно предъявляются следующие требования:

  • ключ проверки электронной подписи указан в квалифицированном сертификате;
  • для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

И вот здесь на лицах наших появляется улыбка, потому что видим мы уже знакомые нам признаки ЭЦП. Введённое требование на использование средств электронной подписи становится необходимым, так как ЭП (в отличии от ЭЦП) не подразумевает их использование по умолчанию, а требования к квалифицированной ЭП в терминах «старого» закона будут звучать как использование сертифицированных средств электронной цифровой подписи и соответствие удостоверяющего центра, выдавшего сертификат ключа, требованиям закона.

Кроме этого, в законе об ЭП гораздо шире описаны организационные вопросы (которые, в свою очередь, порождают новые вопросы), но мы посмотрим на заголовок статьи, и не будем их касаться.

Как теперь быть

Теперь стало более или менее понятно, как соотносить термины «старого» закона и «нового». Как выяснилось – ЭЦП теперь это усиленная ЭП. На данный момент, скорее всего, все, даже сформированные с помощью сертифицированных средств, подписи, на которые выданы сертификаты удостоверяющими центрами, соответствующими требованиям законодательства, будут являться неквалифицированными. Почему? Ну, например, давайте вспомним ГОСТ Р 34.10-2001. Ему должны соответствовать средства создания подписи. А называется он «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Подчеркну, Электронной Цифровой Подписи. Как минимум, нужен акт, предписывающий сертифицировать средства создания ЭП по ГОСТу для ЭЦП. Наверно, можно найти и другие проблемы. Именно поэтому сроки действия «нового» и «старого» законов «наложились» – новый механизм ещё не оформился в полной мере, а работать то как-то надо.

Но возвратимся к нашему вопросу. При правильном развитии событий все используемые сейчас в России механизмы ЭЦП разделятся на механизмы квалифицированных и неквалифицированных ЭП. Их можно будет использовать не только для подписания электронных документов, но и любой информации (с целью доказательства авторства в дальнейшем, например), причём это действие будет юридически значимым (естественно, при выполнении предписанных законодательством требований). Появление же простой ЭП наконец – то узаконивает использование паролей на различных порталах, выполнение различных действий по кодовым словам (как это делается у операторов сотовой связи, например) и снятие денег с карточки, с использованием пин-кода. Да-да, ввод последнего в банкомате тоже можно рассматривать как простую электронную подпись, а раз не было такого понятия, то и, с точки зрения закона, все деньги с вашей карты снимались без соответствующей юридической основы.

Вот такие дела… Надеюсь, что за оставшееся время все пробелы (ну или, хотя бы, самые критичные) в нормативной базе касаемо ЭП будут заполнены. И мы, пользуясь ей, будем чувствовать себя уверенно и защищённо.

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 2

Вадим Майшев 26 декабря 2011
сертификация средств ЭЦП – в зависимости от того, является ли информационная система системой общего пользования
Если Вы посмотрите определение "подтверждение подлинности ЭЦП в ЭД" в ст.3 из 1-ФЗ, (а это по сути вторая основная функция средства ЭЦП), то не будете так ставить вопрос.
На данный момент, скорее всего, все, даже сформированные с помощью сертифицированных средств, подписи, на которые выданы сертификаты удостоверяющими центрами, соответствующими требованиям законодательства, будут являться неквалифицированными.
Посмотрите ст.19 63-ФЗ!
Наверно, можно найти и другие проблемы.
Конечно, для этого и сделан переходный период (более половины которого уже прошла,  а ни одного нормативного акта еще нет!). Причем, указанная Вами сертификация средств ЭП представляется самой простой из них...
Да-да, ввод последнего в банкомате тоже можно рассматривать как простую электронную подпись, а раз не было такого понятия, то и, с точки зрения закона, все деньги с вашей карты снимались без соответствующей юридической основы.
С чего Вы так решили? Вы всерьез считаете, что банки побегут переделывать прописанную в договорах  (самая надежная юридическая основа!) идентификацию/аутентификацию/авторизацию на простую электронную подпись (которая НЕ обеспечивает подлинность подписанной информации, а позволяет определить (при соблюдении установленных условий) только автора :-))? Простая электронная подпись - сплошной риск. Она годится только для информационных игр гражданина с государством. Причем, весь риск на стороне доверчивого гражданина!
Сергей Рудин 11 января 2012
Посмотрите ст.19 63-ФЗ!
Конечно, Вадим, вы совершенно правы. На данном этапе все ЭЦП, соответствующие "старому" закону, признаются квалифицированными ЭП. Виноват. Но, тем не менее, прошло, как Вы отметили, уже половина переходного периода, а воз и ныне там. Так что, боюсь, мы так и придём к описанной мной ситуации. Ну либо действие закона продлят "ещё чуть-чуть".
С чего Вы так решили? Вы всерьез считаете, что банки побегут переделывать прописанную в договорах (самая надежная юридическая основа!) идентификацию/аутентификацию/авторизацию на простую электронную подпись
Конечно же нет, тут присутствует доля иронии. Но, тем не менее, в договоре я не встретил пункта о механизме аутентификации. Возможно, всё это скрывается под фразой "...соглашается с Правилами использования... карт..", но такая формулировка тоже вызывает вопросы - встречал где-то случай судебного разбирательства как-раз по подобному случаю (к сожалению, ссылку дать не могу).
Если Вы посмотрите определение "подтверждение подлинности ЭЦП в ЭД" в ст.3 из 1-ФЗ, (а это по сути вторая основная функция средства ЭЦП), то не будете так ставить вопрос.
Согласен. Но тут очередной пример словесной эквилибристики от наших законодателей. 
Чтобы прокомментировать, или зарегистрируйтесь