Журнал о системах электронного документооборота (СЭД)
Электронная цифровая подпись (ЭП)

Электронная цифровая печать

  5 комментариев Добавить в закладки

Да-да, ваши глаза вас не обманули. Именно печать, а не подпись. Прочитав материал о нелегкой судьбе физических лиц, совмещающих различные должности, поймал себя на мысли, что внедряя электронный документооборот электронную цифровую подпись, мы, как говаривал наш незабвенный премьер министр, как обычно «хотели сделать как лучше, а получилось как всегда». Вместо одной собственноручной подписи получили целый ворох цифровых. Понятно, что электронная цифровая подпись - это результат «скрещивания» подписи, как идентификатора физического лица, и «печати» юридического лица (название организации, должность, полномочия). Возможно, этот «компот» есть результат западного подхода к делопроизводству, когда большинство документов часто имеют только подпись и не имеют печати, и когда существует делегирование (или изначальное разделение) полномочий, и официальный документ подписывается тем сотрудником, который отвечает за данный вопрос, а не обязательно первым лицом.

Но применительно к отечественной практике, нельзя ли, чтобы все было отдельно, в смысле «мухи отдельно – котлеты отдельно»? Это я про подпись и печать. Давайте немного пофантазируем, что было бы в этом случае…

Электронная цифровая подпись. ЭЦП выдается гражданину тем же органом, что и паспорт или уполномоченным данным органом удостоверяющим центром. При этом в реквизитах ЭЦП присутствуют только реквизиты физического лица (фамилия, имя, отчество, дата рождения, адрес регистрации, возможно, некоторые биометрические данные). Гражданин может использовать эту ЭЦП для подписания любых электронных документов, вне зависимости, выступает он как физическое лицо или представитель юридического лица. Скажу сразу, что что-то подобное сейчас пытаются сделать в одной из прибалтийских стран, на базе цифрового идентификатора личности.

Электронная цифровая печать. Сознательно не использую термин «ЭЦП юридического лица», хотя правильнее сказать именно так. На мой взгляд, термин «ЭЦП юридического лица» себя немного дискредитировал: подобная конструкция использовалась в системах «банк-клиент» до принятия закона об ЭЦП. Были еще попытки возрождения данного «артефакта» в виде законопроектов - различных вариантов закона «Об ЭЦП», вызвавшие сразу бурю протеста со стороны юридической братии. Самым безобидным заголовком статей было «ЭЦП юридического лица – подарок рейдерам». Так вот, эта электронная цифровая печать выдается организации органом, регистрирующим данную организацию или кому данная организация (я говорю про государственные и муниципальные органы) подчиняется. Или уполномоченным данным органом удостоверяющим центром. Самое главное отличие цифровой печати от цифровой подписи юридического лица – цифровая печать не может существовать без цифровой подписи лица, подписавшего данный документ. Не понятно? Все же просто… Сидит себе такой директор целой группы компаний в одном лице в своем кабинете, «перебирает» на экране компьютера документы, подписывает их, прикладывая к считывателю свою пластиковую ID-карточку и  вводя пин-код. При этом он совершенно не задумывается, какую ЭЦП тут надо использовать, ибо ЭЦП у него всего одна. А уже секретарь или главный бухгалтер, что и так владеет всеми печатями и ключами от сейфов, ставит на документ нужную цифровую печать. Все, как говорится, в лучших традициях отечественного документооборота. Красота, да и только! Да и контрагенты данного юридического лица, видя на электронном документе знакомую «подпись» и «печать», не будут ломать голову, имело ли лицо право подписывать подобный документ.

Предвижу сразу вопрос: а как же совместимость с заграницей? А что, сейчас наши ГОСТовские ЭЦП сильно совместимы с их RCA аналогами? Тем более что есть идея развивать сервисы третьей доверенной стороны (ТДС) - службы, которая будет заниматься подтверждением ЭЦП в электронном документе при трансграничном обмене документами, что-то вроде «электронного нотариуса».

Если серьезно, данный подход, привнося призрачное удобство, имеет все же ряд недостатков. Сейчас, получив документ, подписанный ЭЦП, мы можем в режиме off-line, никуда не обращаясь, узнать хотя бы должность подписанта, посмотреть его полномочия (это я про OIDы). Естественно, если нам этой информации недостаточно, мы можем навести справки, равно как и поступили бы при получении бумажного документа. Также, при прекращении лицом своих полномочий его сертификат подписи по всем правилам должен быть отозван, и этот факт так же легко может быть проверен. Но главная, на мой взгляд, опасность, заключается в том, что при компрометации ключа злоумышленник получает доступ ко всем системам электронного документооборота своей жертвы. Нарушается базовый принцип безопасности – «не клади все яйца в одну корзину».

А вы как считаете?

Ещё материалы автора
Похожие записи
Комментарии (5)
Наталья Храмцовская 19 октября 2007 г. 00:58  
Для начала хочу отметить, что использование обычных печатей не очень хорошо регулируется законодательством. Во многих случаях применение печатей необязательно, как и их регистрация.

Приведенный пример использования цифровой печати неудачен - получается, что руководитель без секретаря не может оформить документ :) Есть, кстати, примеры эффективного практического применения цифровых печатей - ими можно считать используемые Центробанком "коды аутентификации".

Наконец, я считаю, что направо и налево использовать универсальную ЭЦП крайне опасно. Можно даже не красть закрытый ключ - можно "доработать" оборудование, и ничего не подозревающий "клиент" вместо служебной записки на выдачу карандашей подпишет дарственную на все свое имущество. Техническая возможность этого уже продемонстрирована.
Сергей Бушмелев 19 октября 2007 г. 08:51  

Да, Наталья, цель статьи была как раз обозначить преимущества используемого в настоящее время подхода (ЭЦП с определенными полномочиями для определенной системы электронного документооборота).  Как часто это бывает, безопасность и удобство находятся на разных концах качели :)

Сергей Стёпин 31 октября 2007 г. 17:59  

Я вот так до конца и не понял роль этой самой электронной цифровой печати.

Если Генеральный директор уже поставил свою ЭЦП, что именит добавление ещё одной ЭЦП в качестве электронно цифровой печати?

Что принципиально меняется от её добавления, если все равно без ЭЦП директора эта печать не ставиться.

И почему в этом случае «контрагенты данного юридического лица не будут ломать голову, имело ли лицо право подписывать подобный документ» - что для них меняется?

Сергей Бушмелев 01 ноября 2007 г. 09:56  

Сергей, идея использовать электронную цифровую печать появилась, как попытка облегчить участь директора (в холдинговых структурах нередко совмещающего несколько должностей) при подписании электронных документов (см. материал Елены Истоминой). Кроме того, как то была дисскусия на тему доверия цифровой подписи при обмене ЭД между организациями. Я в данном блоге старался показать, что простой перенос практики (подпись + печать) с бумажных документов на электронные не будет надежным и эффективным.

Вадим Майшев 02 ноября 2007 г. 10:34  

"опасность, заключается в том, что при компрометации ключа злоумышленник получает доступ ко всем системам электронного документооборота своей жертвы"

У Вас неверное представление в части аутентификации лица/документа и авторизации доспупа в систему.С помощью сертификата ключа подписи Вы можете лишь решить вопрос аутентификации, для авторизации предназначены атрибутные сертификаты (но до них пока в России далеко).

Технология реагирования на компрометации ключей (при ее использовании) вполне адекватна угрозам.

Ну а сама идея "электронной цифровой печати", IMHO, заблуждение.

Сейчас обсуждают
Больше комментариев