Наверх

О задаче защиты закрытого ключа ЭЦП от компрометации

Архив
Время чтения: 16 минут
11
О задаче защиты закрытого ключа ЭЦП от компрометации

Статья раскрывает понятие компрометации ключа цифровой подписи и объясняет, как снизить риски подобной компрометации.

Алексей Сабанов

Вопреки известным недостаткам «Закона об ЭЦП» и затянувшемуся вводу в эксплуатацию корневого Удостоверяющего центра УФО РФ, электронно-цифровая подпись уверенно шагает по России - применение ЭЦП постепенно становится массовым. По последним сведениям, количество валидных (действительных) сертификатов ЭЦП в России к настоящему времени превышает 200 тыс., а удостоверяющих центров - более 300. Особенно активно эти процессы идут в корпоративном сегменте экономики и ведомствах (таможенном, налоговом, транспортном и др.). Несмотря на то, что тема ЭЦП достаточно широко обсуждается, далеко не все потенциальные пользователи понимают, что такое ЭЦП, как происходит процесс формирования сертификата подписи, как и зачем ее применять. Тем более, мало кто знает, что такое компрометация ключа цифровой подписи и как снизить риски компрометации. Рассмотрению данного вопроса и посвящена данная статья.

Проблема защиты ключевого материала от компрометации

Рассмотрим сферы реального применения ЭЦП:

●     системы декларирования товаров и услуг (таможенные декларации);

●     системы: регистрации сделок по объектам, недвижимости и земле;

●     банковские системы («Интернет-банкинг» и «Клиент-банк»);

●     системы электронных госзаказов и электронной торговли (e-commerce);

●     системы контроля исполнения государственного бюджета;

●     системы обращения к органам власти (e-government);

●     обязательная отчетность (в частности, интенсивно развивающаяся безбумажная отчетность перед органами ФНС, ПФРФ, ФССР, Госкомстата);

●     различные расчетные и трейдинговые системы;

●     системы электронного документооборота и др.

Даже поверхностный анализ показывает, что возможность использования злоумышленником ЭЦП легального пользователя перечисленных систем может привести к ощутимым финансовым, потерям. Представьте, если: кто-то вместо вас отправит подписанный якобы вами финансовый документ и, например, снимет с вашего расчетного счета несколько миллионов долларов... Естественно, вам захочется как можно быстрее найти виновного и: вернуть деньги. Вы обратитесь в финансовый институт (например, банк) и попытаетесь найти виновного там. Вам в письменном виде ответят, что информационная система банка построена в соответствии с существующими нормативно-правовыми документами, сеть аттестована по соответствующему классу, а для формирования и проверки подписи используются только сертифицированные средства ЭЦП. И еще вам докажут, что при получении ключевого материала вам были предложены: альтернативные носители, из которых вы: выбрали самый дешевый. Например, дискету... А потом напомнят, что согласно статье 12 «Закона об ЭЦП» [1], хранение закрытого ключа электронной цифровой подписи входит в обязанности владельца. Круг замкнулся. Во всем, виноваты вы сами. Но все ли вы знали и предупреждали ли вас о возможности компрометации ключа до того, как произошла, материальная потеря? Впрочем, обо всем по порядку. Для начала рассмотрим, какие виды подписи бывают, затем, как генерируется ваша электронно-цифровая подпись.

Виды ЭЦП в Европе и России

Достаточно интересным в данном случае будет обращение к международному опыту. Чтобы понять некоторые тонкости видов подписи и способов их формирования, необходимо проанализировать подход к классификации электронных подписей в мире и у нас. Так уж исторически сложилось, что нам пришлось догонять многие страны по развитию ЭЦП как в части законов, технологий и т. д., так и в части, понимания и правильного восприятия.

Начнем с Европы. Согласно Директиве ЕС по применению электронной подписи (1999 г.) и последующим, соглашениям между странами-участницами, к настоящему времени четко описаны виды ЭЦП и механизмы ее формирования и проверки. В частности, в документе [CWA 14365] указаны три типа подписи:

●     Электронная подпись (Electronic Signature). В определение данного вида подписи включено понятие логической связи этой подписи с тем, кто пользуется данной подписью, возможности ее идентификации, контроля подписывающего за ее использованием, а также отслеживания изменения в подписанных ранее данных.

●     Улучшенная электронная подпись (Advanced Electronic Signature). Таковой считается электронная подпись с более жесткими требованиями. Первым требованием является уникальная связь с тем, кто пользуется данной подписью. Для этого рекомендуется использовать сертификат Х.509 в двух видах: квалифицированный сертификат, выпущенный доверенной третьей стороной (например, Удостоверяющим центром), или неквалифицированный сертификат, который может быть выпущен как доверенной третьей стороной, так и самим подписывающим. Второе требование - возможность идентификации подписывающего (того, кто пользуется данной подписью) по его электронной подписи. Другими словами, сертификат должен содержать персональные данные о владельце подписи, позволяющие его идентифицировать. Третье требование подразумевает, что подпись должна формироваться под жестким контролем ее будущего владельца. Например, если подпись формируется внутри устройства (Signature Creation Device), содержащего данные для выпуска ЭЦП, то ее владелец должен наблюдать за процессом формирования его подписи и использования устройства. И, наконец, четвертым требованием является использование хэш-функций, алгоритма подписи и длины ключей с параметрами, необходимыми для обеспечения должного уровня защиты от атак.

●     Квалифицированная электронная подпись (Qualified Electronic Signature). В понятие квалифицированной подписи входит применение улучшенной (Advanced Electronic Signature) подписи при использовании квалифицированного сертификата подписи и одновременном применении SSCD(Secure Signature Creation Device) - устройства для безопасного формирования ключевого материала подписи, к которому предъявлены следующие требования:

1) должны быть обеспечены уникальность и секретность ключа;

2) сама ЭЦП должна быть защищена от подделки с использованием доступной на сегодняшний день технологии;

3) закрытый ключ, используемый для создания подписи законным владельцем, должен быть надежно защищен от использования другими лицами.

Квалифицированный сертификат должен быть валидным в момент подписи и однозначно идентифицировать лицо, воспользовавшееся данным видом подписи. Ключевая пара должна генерироваться при личном участии будущего владельца внутри защищенной памяти SSCD (токена, смарт-карты), закрытый ключ не должен иметь технических возможностей экспортирования (копирования) закрытого ключа.

Таким образом, владелец подписи полностью контролирует жизненный цикл закрытого ключа подписи, и сам отвечает за его сохранность. В данном случае электронная подпись, согласно стандартам ЕС, полностью приравнена к собственноручной.

Заметим, что ФЗ-1 однозначно трактует электронно-цифровую подпись как квалифицированную, поскольку в статье 1 Закона сказано: «Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе». Давайте посмотрим, во что на практике выливается отличие российской ЭЦП от квалифицированной по требованиям ЕС.

Генерация ключей ЭЦП

Итак, в силу сложившихся обстоятельств вы решили, что вам нужна ЭЦП. Вы приходите в удостоверяющий центр и подписываете договор на приобретение сертификата ЭЦП и его годового обслуживания. Для формирования вашего сертификата ключа ЭЦП необходим только ваш открытый ключ. Если такового у вас не имеется, при вас генерируется ключевая пара. Закрытый (секретный) ключ и ключ вашей ЭЦП в электронном виде передается вам на носителе. Носителем может быть дискета, смарт-карта или USВ-ключ. В вашем присутствии сотрудник удостоверяющего центра обязан после передачи вам закрытого ключа удалить его из компьютера, если, конечно, вы не подписали договор о депонировании и ответственном хранении закрытого ключа в защищенном хранилище удостоверяющего центра. По определению закрытый ключ всегда хранится у пользователя, на основе открытого ключа формируется сертификат ключа ЭЦП, подписанный выдавшим его удостоверяющим центром. В последнее время «продвинутые» пользователи для получения сертификата ключа ЭЦП все чаще высылают в удостоверяющий центр свой открытый ключ по электронной почте.

Основная проблема при этом заключается в том, что для подавляющего числа российских пользователей ЭЦП процесс формирования ключевой пары и условий хранения закрытого ключа в данное время никак не регламентирован. Соответствующие регламенты пишутся только на корпоративном уровне на основе ведомственных концепций информационной безопасности и принятых на предприятии политик безопасности.

Угрозы компрометации ключей ЭЦП

Перечислим основные уязвимости:

●     использование слабых паролей для защиты ключевой информации;

●     хранение ключей на жестких дисках ПК владельца;

●     хранение ключей на ненадежных (в физическом плане) носителях (дискетах);

●     передача ключевого носителя сторонним пользователям.

Конечно, все зависит от состояния информационной системы вашего предприятия и/или вашего компьютера, если вы работаете дома. Все вероятные угрозы перечислить невозможно. Главный принцип защиты ключевого материала - он не должен попасть в чужие руки. Проще говоря, одно из основных условий гарантированного сохранения закрытого ключа в тайне (в соответствии с ФЗ) - сведение к минимуму риска (в идеале - исключение возможности) потери ключа, доступа к нему посторонних лиц и надежная защита ключа от копирования.

С другой стороны, очень важным аспектом является сокращение рисков не только возможности подделки, но и потери такого понятия, как неотказуемость автора электронной подписи от совершенных им сделок в электронном виде. Собственно, для исключения такой возможности должна быть оформлена жесткая связь владельца сертификата ключей подписи. Гораздо проще сформировать такую связь, если владельцу присваивается не только его личный сертификат, но и уникальный носитель закрытого ключа, никогда не покидающего защищенной памяти носителя. Однако для этого требуется реализация всех необходимых криптографических операций внутри носителя (токена, смарт-карты).

Правила хранения секретного ключа

Законодательно за хранение отвечает сам пользователь. Однако наша задача - рассказать о том, какие технические способы хранения существуют. Правила хранения ключа определяются востребованностью ЭЦП. Если ее приходится применять несколько раз в день, то все рабочие процессы должны быть технологичны и удобны. Идеально, если функции носителя ключевой информации и персонального идентификатора для доступа в помещения офиса, к компьютеру, корпоративной сети и защищенным ресурсам совмещены в едином устройстве. Такие устройства существуют и успешно используются. В качестве примера можно назвать сертифицированный ФСТЭК России USВ-ключ eToken PRO. Доступ к информации, хранящейся в персональных идентификаторах такого класса, защищен РIN-кодом, параметры которого отвечают самым серьезным требованиям корпоративных политик безопасности по количеству символов, возможности противостояния атакам по подбору и т. д. Однако основное преимущество подобных устройств для коммерческих предприятий состоит в том, что ключевая пара может быть сформирована самим пользователем, причем закрытый ключ, генерируемый микропроцессором устройства, никогда не покидает защищенного раздела памяти персонального идентификатора. На практике (кстати говоря, как и в Европе) в защищенной памяти персонального идентификатора хранится не один, а два закрытых ключа: один для аутентификации, второй - для применения ЭЦП. Причем в качестве первого в негосударственных (коммерческих) организациях чаще всего используется ключевой материал, полученный с применением международных алгоритмов (чаще всего RSA), второй - строго с применением сертифицированных реализаций ГОСТ. В идеале в защищенной памяти смарт-карты (токена) должны храниться несколько закрытых ключей (а при необходимости и соответствующих им сертификатов) для выполнения различных задач: доступа к корпоративной сети, защищенным данным, защищенному документообороту, различным платежным системам...

Заключение

ФЦП «Электронная Россия» набирает темпы развития и по охвату территории, и по наличию федеральных и территориальных прикладных информационных систем. Применение ненадежных носителей класса дискет или микроконтроллерных (не микропроцессорных) смарт-карт для хранения ключевой информации ЭЦП необходимо свести к нулю, учитывая высокий уровень рисков компрометации закрытого ключа. Реализация таких рисков, пусть даже в ограниченном объеме, может привести к утрате доверия как к информационным системам, применяющих ЭЦП, так и к самой идее замены собственноручной подписи ее электронным аналогом.

Итак, задача перед производителями персональных идентификаторов поставлена: необходимо устройство, которое генерирует ключи ЭЦП и не выпускает закрытый ключ наружу ни при каких обстоятельствах. Кто быстрее выполнит данную задачу для развития инфраструктуры открытых ключей и массового применения ЭЦП? Ответ на этот вопрос даст время.

Тема защиты закрытого ключа ЭЦП на конференции в Ташкенте

В мае 2006 г. в г. Ташкенте состоялась Международная научно-практическая конференция «Актуальные проблемы использования электронно-цифровой подписи», на которой тема защиты закрытого ключа ЭЦП была одной из основных. Так, в докладе эксперта Еврокомиссии по информационной безопасности Жоса Дюмартье в качестве надежного способа защиты закрытого ключа ЭЦП от компрометации рекомендовалось использование интеллектуальной смарт-карты как средства генерации и хранения ключа. В странах Европы в защищенной памяти смарт-карты, как правило, хранится не менее двух закрытых ключей - один используется для аутентификации пользователя при доступе к информационным ресурсам, второй - для подписи электронных документов.

По опыту работы одного из крупнейших в Польше удостоверяющего центра Unizeto (поддерживающего в настоящее время более 400 тыс. сертификатов ЭЦП), представленного Анджеем Бендиг-Веловейским, для формирования ключевой пары квалифицированной подписи используется чиповая смарт-карта. Смарт-карты и USВ-ключи для формирования ключей ЭЦП по международным стандартам уже не надо создавать, они успешно выполняют свою задачу. Как показала конференция, разработка устройств, поддерживающих российские криптоалгоритмы выработки и проверки ключевого материала, - задача не простая. Тем не менее, без ее успешного решения вряд ли стоит ожидать существенного расширения пространства доверия и массового применения ЭЦП.

Мнение специалиста

Дмитрий Горелов, коммерческий директор компании «Актив»

На сегодняшний день абсолютно все российские сертифицированные средства криптографической защиты информации (СКЗИ) в момент подписи извлекают секретный ключ из защищенного хранилища, и криптопреобразования осуществляются в оперативной памяти компьютера. Устройства, предназначенные для безопасного хранения ключей, независимо от их стоимости и возможностей, спокойно дадут прочитать секретный ключ, если предъявлен правильный РIN-код (пароль). Конечно, смарт-карты и USВ-токены значительно безопаснее дискет, с этим никто не спорит. Но если в устройстве есть аппаратная реализация RSA а хранятся ключи для ГОСТ Р 34.10-2001, то ничего кроме более высокой цены пользователь не получит. Если говорить об ЭЦП, основанной на российских алгоритмах ГОСТ Р 34.11-94, ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001, то появление «квалифицированной электронной подписи» - вопрос времени. Ни один специалист по информационной безопасности не будет спорить, что генерация ключевой пары внутри доверенного устройства - лучший вариант. Закрытый ключ никогда не покидает устройства, не может быть извлечен известными изданный момент тех. средствами и т.д. Что для этого нужно? Во-первых, должны появиться доступные по цене смарт-карты и/или USВ-токены с аппаратной поддержкой российских алгоритмов формирования ЭЦП, а, во-вторых, российские СКЗИ должны включать поддержку данных устройств.

Мнение специалиста

Валерий Конявский, доктор технических наук, действительный член РАЕН, АЭН, Европейской Академии естественных наук, директор Всероссийского научно-исследовательского института проблем вычислительной техники и информатизации (ВНИИПВТИ), член научного совета при Совете Безопасности РФ, заведующий кафедрой защиты информации МФТИ, заместитель Председателя Совета главных конструкторов информатизации регионов Российской Федерации

Чтобы убедить потенциального потребителя в необходимости сохранять в тайне закрытый ключ ЭЦП, действительно нужно популяризировать профессиональные знания. И здесь, как и всегда при взаимодействии с человеком, важнейшим становится правило: «Не навреди». Сегодня дискуссия по вопросу законодательного регулирования применения ЭЦП как раз проходит через плоскость - надо ли нам вводить все виды ЭЦП, предусмотренные Директивой ЕС, или достаточно использовать ЭЦП, определенную нашими нормативными документами. Наше изучение международного опыта подтверждает - догонять нужно не нам, а догонять нужно нас. Действительно, развитие системы PKI в мире происходило «снизу вверх», т. е. от потребностей бизнеса к государственному регулированию. Как результат - «зоопарк» различных видов ЭЦП, привести которые «к общему знаменателю» практически невозможно. При этом все же в государственной практике применяется только «квалифицированная» подпись. У нас же применение ЭЦП было инициировано государством, и поэтому «зоопарка» удалось избежать. Система удостоверяющих центров развивается медленнее, но правильнее, и уже сегодня многие европейские страны выразили желание освоить наш опыт.

Стоит ли при этом возобновлять дискуссию о применении различных видов слабых ЭЦП, слабых до такой степени, что необходимых функций не выполняют?

А вот создание мобильных средств генерации и хранения ключей - действительно важная задача. Уже понятно, что они будут массово использоваться в двух видах: в виде USВ-устройств и в виде смарт-карт. В частности, как средство технической поддержки национальной идентификационной системы, по нашему мнению, будет использоваться унифицированная социальная карта, в которой будет предусмотрено выполнение этих функций. Появились на рынке и первые USВ-устройства данного класса.

Мнение специалиста

Глеб Лукин, к.ф. - м.н., генеральный директор компании ЛЕТОГРАФ

Применение ЭЦП в системах электронного документооборота и автоматизации бизнес-процессов становится все более востребованным в деятельности как коммерческих, так и государственных структур. Дополнительный эффект удается получить за счет возможности применения ЭЦП не только к контенту (электронному файлу), но и к атрибутивной части соответствующих карточек документов.

Такой подход позволяет не только удостоверить собственно контент, но и обеспечить возможность последующей верификации значений различных значимых атрибутов соответствующих карточек документов. Современные технические средства защиты ключей от компрометации позволяют использовать соответствующие механизмы в автоматизированных системах и предлагать заказчику эффективные решения задач как автоматизации основных управленческих бизнес-процессов, так и верификации действий пользователя в соответствии с маршрутом движения и этапами обработки информации.

Источник: Мир связи. Connect!

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 11

Сергей Бушмелев 21 августа 2007

Заметим, что ФЗ-1 однозначно трактует электронно-цифровую подпись как квалифицированную, поскольку в статье 1 Закона сказано: «Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе».

В законе никогда ничего не пишется между строк. Нет там такого. Не трактует ФЗ-1 ЭЦП как квалифицированную. Директива ЕС разделяет электронный подписи на три вида, а наш закон вводит только одно понятие электронной подписи - ЭЦП. Параллели (умозрительно) проводить, конечно, можно, но из этого ровным счетом (в правовом смысле) не следует. Не стоит применять к нашей "самостийной" ЭЦП их европейские законодательные требования. И ссылка на ст.1 тут не поможет, ибо в ней ничего про "квалифицированную" электронную подпись ничего не сказано.  Была в Государственной Думе попытка протащить закон "Об электронной подписи" (код 159631-4), но она, похоже, с треском провалилась...

Вадим Майшев 15 ноября 2007

2 Сергей Бушмелев

Сравнение с квалифицированной ЭЦП IMHO происходит лишь по причине отсутствия в России "неквалифицированной подписи". А провал попытки провести другой закон как раз и говорит о том, что не нужна "неквалифицированная подпись" (ненадежная, несертифицированная) ровным счетом никому.

2 Вадим Майшев

"Неквалифицированная" электронная подпись, или просто электронная подпись в западном понимании, легализована в России Законом  "Об информации, информационных технологиях и о защите информации", ст.11 п.3:
3. Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.
В данном законе не сказано прямо "электронная подпись", есть только "иной аналог собственноручной подписи", что гораздо более емкий термин. И далее по тексту словосочетание "электронная подпись" будет использоваться, как более короткий с точки зрения количества букв вариант "иного аналога собственноручной подписи, отличного от ЭЦП". Закон об ЭЦП регламентирует только применение ЭЦП, его действие на "иные аналоги" не распространяется, что означает, что организовывать применение электронной подписи придется соглашением или локальным нормативно-правовым актом.
"Ненадежная" электронная подпись с успехом применяется в терминалах по оплате услуг связи и ЖКХ. Нажатие "Продолжить" на экране терминала является электронной подписью и, соответственно, аналогом собственноручной подписи. Вспомните, как вы "кладете деньги на счет" в салоне оператора или какой-нибудь "Евросети": оператор печатает чек (или вы заполняете бланк), на котором вы ставите свою собственноручную подпись. Так вот, нажатие кнопок "Согласен", "Продолжить", "I agree", "Continue" подтверждает электронное сообщение и придает этому сообщению силу бумажного документа, подписанного вашей собственноручной подписью. Другой пример электронной подписи - всевозможные галочки типа "Подтверждаю, что мне уже 18" и кнопочки "Продолжить", "Согласен" и т.п. на страницах интернет-магазинов и прочих сайтов. Например, http://www.microsoft.com/Rus/FreshStart/Form.aspx

А закон об электронной подписи провалился потому, что был он дюже сырой и недоработанный ;)

Вадим Майшев 15 ноября 2007

2 Сергей Бушмелев

СТОП. Давайте не будем валить все в одну кучу!
1. Начнем с того, что понятия "электронная подпись" в России нет. Соблюдайте терминологию! Или электронная цифровая подпись/ЭЦП (см. законы об ЭЦП и об И/ИТ/ЗИ - заметьте, она даже не "электронно-цифровая") или просто цифровая подпись (см. ГОСТ Р 34.10-2001).
2. ст.11 п.3 говорит именно про электронную цифровую подпись, а также иные аналоги собственноручной подписи (на которые не распростроняется закон об ЭЦП).
Т.е. как раз подразумевается именно "квалифицированная подпись" в нашем контексте.
3. ЭЦП, как ни странно, постепенно выделяется из группы аналогов собственноручной подписи в отдельную категорию.
4. Что касается аналогов собственноручной подписи. Вам известны иные, закрепленные законом,стандартом или нормативным документом компетентного органа, аналоги, окромя ЭЦП? Если да - в студию их!
5. Вы, мягко говоря, путаете понятие ЭЦП и задачу аутентификации субъекта.
Поясню..
Не забывайте, что ЭЦП - это реквизит электронного документа...и далее по тексту.
Считать ли электронные платежные транзакции электронным документом? - IMHO нет, т.к. это отдельная епархия/монастырь, и там нет средств ЭЦП.
Как Вы думаете, ради чего ЦБ РФ пренепременно на протяжении многих лет применяет конструкцию "код аутентификации" вместо ЭЦП по закону, который уже действует почти шесть лет?
А когда Вы жмете кнопки "ОК", "Продолжить" и даже "Оплатить" Вы не создаете электронных документов! И не убеждайте представительную аудиторию, что это тоже что и собственноручная подпись - трижды НЕТ.
Платежная система (в т.ч. через интернет) лишь аутентифицировала Вас как зарегистрированного пользователя, авторизовала и, в рамках дозволенных системой разграничения доступа полномочий, Вы осуществляете операции в соответствии с регламентом системы, причем НЕ создавая при этом электронных документов.
С другой стороны, когда Вы оплатили в супермаркете платежной картой, кассир усердно распечатывает чек и просит Вас поставить собственноручную подпись на нем, при этом сверяет Ваше ФИО на карте и в документе удостоверяющем личность (паспорт, водительское удостоверение и т.п.), а Вашу физиономию с фотографией в этом документе, да еще и подпись, которую Вы поставили на чеке с образцом подписи в документе и даже на карте. Ради чего все это?
6. "А закон об электронной подписи провалился потому, что был он дюже сырой и недоработанный ;)"
А "дюже сырой и недоработанный" он был по причине бесперспективности предлагаемого подхода.

P.S. ИТОГО: "Электронная подпись" (в смысле "неквалифицированная") никому не нужна и ее нет в России.
Если нужна гарантированность/надежность/сертифицированность - пользуйтесь ЭЦП (в смысле "квалифицированная") в рамках закона.
А не по силам - выбирай разные решения по аутентификации, в зависимости от имеющихся рисков. Но не надо говорить, что это тоже ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ!
Все это я в полной мере отношу и к СЭД с "тренировочными" ЭЦП.

>1. Почему-то вспомнилось одно из ток-шоу Владимира Познера на заре перестройки. Так там одна дама заявляла, что в СССР секса нет ;) В настоящее время законодательно применение электронной подписи (а не ЭЦП) не регламентировано, тут мы опять перескочили через два класса. Цивилизованный (в смысле европейский) подход - это принять закон об электронной подписи, где ввести градацию: электронная подпись (electronic signature), улучшенная электронная подпись (advanced electronic signature) и квалифицированная (или цифровая) электронная подпись (qualified or digital signature). Мы же, обойдя вниманием электронную подпись, сразу перешли к регламентации применения ЭЦП, причем сделали это так, что только ленивый не пнул этот закон.

ГОСТ Р 34.10-2001 был принят в 2001 году, до принятия Закона об ЭЦП, и полное название документа "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи". Цифровая подпись и электронная цифровая подпись (ЭЦП) в данном случае синонимы.

>2. не понял Вас... В законе говорится об ЭЦП и иных аналогах. Если мы проводим аналогию с европейским законодательством, то ЭЦП="квалифицированная электронная подпись", а "иной аналог" тогда - все что не есть "квалифицированная электронная подпись", в том числе advanced electronic signature и electronic signature.

>3. Да, она специально выделена из всех аналогов собственноручной подписи, как единственный на настоящий момент аналог, юридическая значимость которого гарантируется государством (при соблюдении установленных законом условий). Думаю, планировалось, что для применения ЭЦП достаточно будет закона, в смысле не нужно будет заключать предварительное соглашение, а применение иных аналогов должно быть возможно только в рамках предварительно заключенных соглашений. Увы, и сейчас для обмена электронными документами, подписанными ЭЦП надо заключать соглашение или выпускать локальный НПА.

>4. П.2 ст.434 ГК гласит, что для заключения соглашений может быть использован обмен электронными сообщениями, т.е. вместо одной бумаги с живыми подписями и печатями могут быть электронные сообщения.  За примером далеко ходить не надо: банки уже давно торгуют валютой и производят конверсионные операции, обмениваясь сообщениями по системе S.W.I.F.T. или REUTERS-DEALING. Предварительно заключив межбанковские соглашения, разумеется.

>5. комментировать не буду, сплошное IMHO, внимательно перечитайте Закон  "Об информации, информационных технологиях и о защите информации", ст.11 и ст.434 ГК.

Банк России применяет "код аутентификации" с 90-х годов. Скажу более, назвав ЭЦП "кодом аутентификации", можно не заботиться о соблюдении закона об ЭЦП, ибо закон об ЭЦП применение иных аналогов собстенноручной подписи не регламентирует. Достаточно все прописать в соглашении или внутренних документах.

Пример с оплатой товара при помощи банковской карты в супермаркете стоит рассматривать вкупе с оплатой товара или услуги в интернет-магазине. Заполненная на экране форма будет полным аналогом бумажного чека с вашей подписью.

>6. Насчет бесперспективности... Почему то ЮНИСТРАЛ сначала разработала типовой закон об электронной коммерции, а потом об электронной подписи.

> P.S. Не удержусь от цитаты из фильма "ДМБ": - Видишь суслика? - Нет. - И я не вижу. А он есть... :)

Вадим Майшев 16 ноября 2007

2 Сергей Бушмелев

1. Причем здесь "перескочили через два класса"? Просто никому в России не нужна "неквалифицированная" "электронная подпись".
ГОСТ я привел здесь как подтверждение факта, что и в сфере техрегулирования, так же как и в законе, закреплен термин ЭЦП.
"Электронная подпись" - нет пока в России такого понятия.
2. !?!
В моем понимании "аналог собственноручной подписи" (АСП) - это организационно-техническое решение, технология если хотите, которая и обеспечивает "собственноручность подписи". Сейчас есть технология инфраструктуры открытых ключей, которая на базе криптографических преобразований делает это надежным образом (при соблюдении установленных условий). Другие тождественно надежные методы мне не известны. По понятным причинам законодатель не хочет ограничивать АСП только технологией ЭЦП, т.к. теоретически могут существовать и другие технологии.
3. Увы, но хотя бы так сложно, но уже можно обеспечить юридическую значимость электронного взаимодействия, которое своей эффективностью покрывает затраты на создание решений с ЭЦП.
4. Ст.434 ГК "Форма договора" как и вся глава 28 регулирует заключение договоров. На мой взгляд договор это лишь один вид из множества существующих документов.
Причем говорится "путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору", не указывая как достоверно установить эту сторону. Может ЭЦП - Вам не кажется :-)?
Позвольте, а какая связь между "заключением договоров в электронной форме" и "торгуют валютой и производят конверсионные операции, обмениваясь сообщениями по системе S.W.I.F.T. или REUTERS-DEALING"?
5. Уважаемый коллега, а на что я должен обратить особое внимание при перечитывании указанных Вами законодательных актов?
Вы совершенно верно распознали позицию ЦБ с "кодами аутентификации". А что мешает разработчикам СЭД использовать "коды аутентификации" взамен "тренировочных ЭЦП"?  Правильно, хотят обеспечить юридическую значимость документационного обеспечения управления в своих СЭД. Почему предлагается внести для упрощения некую "электронную подпись"? Правильно, сложно обеспечить требования закона.
Еще раз, почувствуйте разницу: подпись документа и аутентификация субъекта.
"Заполненная на экране форма будет полным аналогом бумажного чека с вашей подписью" - весьма спорно! И заметьте, в платежных системах (в т.ч. в интернет) не произносят слов "ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ", и даже "электронная подпись" - организаторы лишь обеспечивают надежными (или псевдонадежными) методами аутентификацию субъекта, который участвует в транзакциях.
Кстати, ЭЦП (та которая по закону, "квалифицированная"), помимо придания юридической значимости электронному документу обеспечивает и требуемую надежную аутентификацию субъекта (только ее надо "оформить" как обмен подписанными документами).
6. Насчет бесперспективности закона об электронной подписи ... по-видимому это была инициатива, которую здравое сообщество по обсуждаемым нами здесь причинам не поддержало. Я не говорю, что надо быть безинициативными!

P.S.  :-) Дописав, прочитал имя уважаемого автора статьи из уважаемой компании, в комментариях к которой развернулась полемика...

2 Вадим Майшев. Вы пишете "В моем понимании "аналог собственноручной подписи" (АСП) - это организационно-техническое решение, технология если хотите, которая и обеспечивает "собственноручность подписи"."

Раз уж Вы сами настаиваете на том, чтобы придерживаться определений, данных законодательством, то понятие аналога собственноручной подписи - пусть и не самым красивым спосбом - определено в статье 160. "Письменная форма сделки" Гражданского кодекса, п 2:

"Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон."

Таким образом, аналогами собственноручной подписи являются: факсимиле, фото- и ксерокопии подписи, ЭЦП, а в даусторонних отношениях - то, о чем стороны договорятся.
Вадим Майшев 16 ноября 2007
2 Наталья Храмцовская
Вы считаете, что слова "факсимильного воспроизведения подписи с помощью средств механического или иного копирования" может относиться к электронным документам (ЭД) (одним из реквизитов которых является ЭЦП)? Или мы не в этом контексте здесь дискутируем?
Хотя, рисунок подписи и печати успешно помещается в нужное место в doc, xls, и даже pdf ;-)... А еще, заметая следы, его можно потом распечатать, а потом еще и скопировать, сканировать или отправить по факсу.
Но я не думаю, что кто-то доходит до абсурда - признает это в качестве АСП в ЭД.
Не удивлюсь, что опираясь на "иного копирования", наверное, можно при большом желании и это "подвести под эту статью"!
P.S. Конечно же, я не спорю, что в законодательстве есть, мягко говоря, "несогласованность" ;-)
P.S.2 Отойдя от ЭД: технологически, наверное, можно говорить лишь про факсимиле, т.к. копированием ("ксеро-", "ризо-", и тем более фото-) никто подпись на "традиционный" документ не ставит. А хотите copy/fax/scan ВЕСЬ уже подписанный документ - пожалуйста.
2 Вадим Майшев: Re "Но я не думаю, что кто-то доходит до абсурда - признает это в качестве АСП в ЭД"

Скажите, а Вас не удивляет, что во всех развитых капиталистических странах это давно уже призается в качестве подписей в ЭД? Вам разве не попадались новостийные заметки о том, как, например, в США сажают и штрафуют на основании сообщений электронной почты? Американцы уж точно "дошли до абсурда"!
Максим Галимов 16 ноября 2007
Да, в этом же контексте, просто немного опыта: им часто достаточно иметь Word'овский документ (счет, соглашение) с вставленным образом подписи. У них я ни разу не встречал печати на документах (вру, работал с документами с Мальдив, у них печать есть; а вот Канада, Голландия -- не видел). Но! однажды услышал в одной их организации: мы переходим на цветное сканирование всех входящих документов с тем, чтобы образ подписи был цветной: это позволит нам с большей уверенностью считать эти документы доказательством (в первую очередь, в фискальных органах).
Вадим Майшев 16 ноября 2007

Империалисты придумали цветной ксерокс, но только русские научились печатать на нем деньги (почти НАША РАША).

Поэтому и боремся за ЭЦП, и весьма успешно, причем на последнем PKI-форуме коллеги из Европы очень были удивлены размахам практического использования ЭЦП в России - у них лишь это все в теории.

Чтобы прокомментировать, или зарегистрируйтесь