Имеет ли право

Максим Галимов пишет: "...факт наличия права подписи именно этого сотрудника не может быть проверен"

Приличные удостоверяющие центры требуют предъявление нотариально заверенной доверенности на право совершения тех действий, которые планируется осуществлять с помощью ЭЦП (и информация о которых заносится в сертификат).

Максим Галимов пишет: "И так ли существенна эта проблема?"

У нас уже есть примеры нормативных актов, в которых устанавливается, что ЭЦП эквивалентна собственноручной подписи + печати. Проблема существует только тогда, когда закон или нормативный акт явно требует наличия печати на документе. Для многизх видов документов (даже для бумажных) печать не является обязательным реквизитом.

Да, для внешних удостоверяющий центров, не сомневаюсь, это должно быть просто обязательным - требовать доверенность. Только все равно, по-моему, проблема остается.

Просто моделирую ситуацию: вот приходит мне, ну скажем, какая-нибудь заявка, с помощью ЭЦП подписанная пользователем А из организации Б. Я уверен, что пользователь А имеет право подписывать какие-то документы организации Б, т.к. иначе ему не выдали бы ЭЦП. Но чтобы узнать, что он имеет право подписывать именно заявку, я должен либо запросить УЦ, либо вести собственный реестр (что плохо, т.к. люди меняются и за всеми изменениями не уследишь), либо в самом документе должна быть запись, на основании чего (доверенности, Устава) осуществлена подпись (чтобы как минимум позже можно было проверить).

Насколько я понимаю, Максим обеспокоен тем фактом, что без печати организации на документе трудно проверить полномочия лица, подписавшего документ. Действительно, мы привыкли думать, что печать - вещь сугубо официальная, представляет именно само "юридическое лицо", а не его представителей, действующих на основании устава или доверенности. Печать на подпись абы кого не поставят, ибо ставит ее либо сам директор, либо строгий и неподкупный бухгалтер, либо не менее строгий, неподкупный, ответственный секретарь, который в случае сомнений запросто слетает в кабинет "генерального",  чтоб узнать, стоит ли ставить печать на ту или иную бумажку. Понятно, что это всего лишь "стереотип", но все же...

Когда же по электронной почте приходит не менее электронный документ, подписанный ЭЦП, скажем, заявка от партнера, с которым установлен самый что ни на есть электронный документооборот, может возникнуть вопрос, имел ли подписавший его [электронный документ] человек права на подпись этого документа? Здесь мы не говорим о документах, подписанных первым лицом предприятия, имя которого заранее известно, а о документах более "низкого полета", скажем, различных заявках, заказах от партнеров и т.п. Да и документ, подписываемый первым лицом предприятия, может быть подписан кем-то другим, например, его замом. И даже если в сертификате и есть заветное слово "зам", у контрагентов могут появиться сомнения в правомочности такого "замещения".

Думается, проблема выходит за рамки собственно электронного документооборота, касаясь и самого "базового" правоотношения (партнерство, поставка, выполнение работ, оказание услуг и т.п.), на базе которого данный электронный документооборот и построен. Можно, конечно, в случае сомнения, позвонить контрагенту и спросить у "верного человечка", кто есть такой этот Сидоров, что подписал документ.

Но есть, как мне кажется, способ лучше. Можно в соглашении об электронном документе определить, что все действия сотрудников организации - участника документооборота  (а, значит, и подписывание ими электронных документов)  считаются исполненными ими в рамках их полномочий и с ведома самого участника (читай - руководства данного участника). Получается такая виртуальная "ЭЦП юридического лица". И пусть голова болит уже у руководства контрагента! ;)

Наталья, Вы пишете, что удостоверяющие центры при выдаче сертификата заносят в него информацию о том, какие действия можно выполнять с помощью закрытого ключа, связанного с этим сертификатом. Но можно ли в него занести информацию, что владелец может подписывать только финансовые или только технологические документы? Что для этого используется? Существуют некие OID для задания свойств улучшенного ключа (enhanced key usage) или для этого применяются иные свойства сертификата? Не можете поделиться информацией?

Конечно, в сертификате можно указать виды документов, которые сотрудник имеет право подписывать. Технические детали, честно говоря, я знаю "не очень". OID, если я не ошибаюсь, это глобальный идентификатор политики УЦ, в рамках которой выпускается сертификат - так что, наверное, его тоже можно использовать.

С моей точки зрения, как специалиста ДОУ, главная трудность состоит не в том, чтобы определить, как может использоваться ЭЦП - для этого средства найдутся. Труднее всего заставить пользователей после положительной проверки ЭЦП ещё и раскрыть и проверить сертификат. Там, где документы идут сплошным потоком, - это практически невозможно.

OID-это несколько больше. Это глобальный уникальный идентификатор классов объектов и атрибутов, используемых для построения ASN структур. Чтобы не углубляться в дебри, просто замечу, что цифровые сертификаты, криптографические сообщения, зашифрованные данные и еще многое, связанное с криптографией, в сущности своей являются ASN структурами. И, соответственно, как Вы правильно заметили, при описании политик УЦ без использования OID тоже не обходится. Я спросил Вас об информации про OID по простой причине. Свойства, описывающие назначение сертификата, представляют из себя атрибуты сертификата и задаются с использованием OID. Например, если Вы видите, что назначение сертификата "Проверка подлинности клиента", то в свойствах улучшенного ключа присутствует OID "1.3.6.1.5.5.7.3.2". Есть хорошо известный OID "1.3.6.1.4.1.311.10.3.12", соответсвующий назначению "Подписывание документа". Но вот хорошо известных OID для назначений использования сертификата, соответствующих, например, "Подписывание технологического документа" или "Подписывание финансового документа", мной, к сожалению не найдено. А вот, если бы они точно были, то уже можно говорить об автоматизации проверки полномочия подписания документа, т.к. при проверке подписи можно извлечь атрибуты сертификата и сопоставить назначение сертификата и вид документа.
Хотя это конечно только теория, т.к., как правило, цифровая подпись документа не защищает вид этого документа и подобная проверка ничего гарантировать не будет. Что же касается визуальной проверки человеком правомочности подписи, то, несомненно, подавляющее большинство взрослых людей отличит техническое задание смежному проектному институту от финансового отчета за текущий квартал, но не все виды документов так разительно отличаются. И, соответственно, и при такой проверке возможность манипуляции видами документами, согласитесь, возможна.

Судя по всему, перечень OID должен быть расширяемым.

Да, перечень расширяемый. Можно сказать, слишком легко расширяемый. Поэтому, скорее всего, различные УЦ для обозначения специфичных назначений сертификата используют различные OID. Таким образом, для автоматической обработки необходимо сначала определить кем выдан сертификат и только потом проверить остальные атрибуты сертификата. Однако, пытаться построить список всех УЦ на планете - бесперспективное занятие. А вот если бы нашелся список хорошо известных OID, к которым можно бы было привязаться, то задача бы значительно упростилась.

Интересный пример OID приведен здесь: http://www.signatura.ru/oid.html (последняя таблица).

Как видно, OID-ы у каждого УЦ свои, - что не облегчает их использование для автоматического определения прав подписанта.

Наталья! Огромное спасибо за ценное указание про последнюю таблицу.

Всем спасибо за интересную дискуссию. Думаю, что истину мы установили: проверять право подписи нужно и можно. В идеале человеческий фактор должен быть исключен. Только это трудный путь для разработчиков систем электронного документооборота, поэтому готовых решений мы в ближайшем будущем вряд ли увидим.

Но хотя бы мы сможем "вручную" посмотреть, предназначается ли сертификат для подписания этого типа документов. Хотя, по-моему, можно кое-что придумать и для автоматического распознавания. Ведь вероятнее всего, организация будет работать с одним УЦ, и настроиться на его политики как-то можно попытаться.