Технология электронной подписи

Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» закрепляет порядок получения и использования электронной подписи и обязанности участников обмена электронными документами. В законе приведено измененное понятие электронной подписи (отсутствует слово «цифровая»), установлены отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий. Основные понятия, используемые в федеральном законе «Об электронной подписи».

Электронная подпись является эквивалентом обыкновенной подписи и имеет статус правомочного реквизита. Она позволяет завизировать электронный документ, а также фиксирует состояние информации в нем в неизменном с момента подписания виде. Электронная подпись — результат криптографического шифрования и состоит из трех элементов: криптопровайдера, ключевой пары и сертификата ключа.

Криптопровайдер — это независимый модуль, позволяющий осуществлять криптографические операции (шифрование, электронная подпись и т. д.) в операционной системе. Криптопровайдер предназначен для авторизации, обеспечения конфиденциальности и юридической значимости электронных документов при обмене ими между пользователями, контроля целостности информации и др.

Электронная подпись — реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить:

• отсутствие искажения информации в электронном документе с момента формирования подписи (целостность),
• принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).

Сертификат ключа проверки электронной подписи — электронный документ или документ на бумажном носителе, выданный удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Квалифицированный сертификат ключа проверки электронной подписи — сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (далее — уполномоченный федеральный орган).

Владелец сертификата ключа проверки электронной подписи — лицо, которому в установленном федеральным законом порядке выдан сертификат ключа проверки электронной подписи. Ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи.

Удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные федеральным законом. Аккредитация удостоверяющего центра — признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям федерального закона. Средства электронной подписи — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций: создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Простая электронная подпись c помощью кодов, паролей или прочих средств признает факт формирования электронной подписи конкретным лицом.

При этом простая электронная подпись фактически не используется для обнаружения факта внесения изменений в подписанный электронный документ. Усиленную неквалифицированную электронную подпись получают при помощи криптографического преобразования информации c использованием закрытого ключа подписи. Такая электронная позволяет выявить лицо, подписавшее электронный документ, и установить наличие внесенных изменений после подписания электронных документов. Усиленная квалифицированная электронная подпись соответствует всем признакам неквалифицированной электронной подписи, но для создания и проверки электронной подписи используются средства криптозащиты, которые сертифицированы ФСБ России.

B соответствии с нормами рассматриваемого федерального закона электронные документы, подписанные квалифицированной электронной подписью, всегда признаются равнозначными документам, подписанным собственноручно, и могут применяться в любых правоотношениях в соответствии с законодательством Российской Федерации. Исключениями являются случаи, когда законодательство допускает составление документа только на бумажном носителе.

С 30.01.2016 в соответствии с пунктом 5 части 4 статьи 8 закона № 63-ФЗ (в ред. федерального закона от 30.12.2015 № 445-ФЗ) на Mинкoмсвязь России возложены полномочия по установлению формата электронной подписи, обязательного для реализации всеми средствами электронной подписи, по согласованию с ФСБ России. Электронные квалифицированная и неквалифицированная подписи представляют собой небольшое количество информации, передаваемой вместе с подписываемым электронным сообщением.

В процедуре подписания используется закрытый (секретный) ключ отправителя сообщения, в процедуре проверки — открытый ключ отправителя. Закрытый ключ формируется с помощью датчика случайных чисел и представляет собой последовательность символов конечной определенной длины. Открытый ключ вычисляется из соответствующего ему закрытого ключа.

Обратное преобразование невозможно. Сообщение, отправляемое отправителем, кодируется закрытым ключом отправителя и затем раскодируется у получателя открытым ключом отправителя. Закрытый ключ держится абонентом в тайне. Для проверки неизменности и целостности документа осуществляется подписание документа электронной подписью с последующей проверкой ее подлинности.

Хэш-функция — это процедура обработки сообщения, в результате которой формируется строка символов фиксированной длины. Малейшие изменения в тексте сообщения приводят к изменению вычисленного значения функции. Таким образом, любые искажения содержимого документа приведут к изменению результата хэш-функции, который и есть электронная подпись.

При проверке электронной подписи получателем сообщения сначала вычисляется хэш-функция полученного документа, затем расшифровывается электронная подпись с помощью открытого ключа лица, подписавшего документ. Полученные результаты сравниваются.

Если значения хэш-функции совпадают, то подпись считается верной, в противном случае признается, что при подписании или при передаче документа произошла ошибка. Электронная подпись обычно содержит дополнительную информацию, однозначно идентифицирующую автора документа. Эта информация добавляется к документу до его подписания.

Подпись нельзя использовать без знания закрытого ключа, поэтому закрытый ключ необходимо защитить от несанкционированного доступа. Это осуществляется с помощью введения пароля для обеспечения информационной безопасности. Электронная подпись сложным образом зависит от подписываемого документа и закрытого ключа подписывающего абонента.

Можно сделать заключение о том, что с каждым годом стремительно растет число пользователей технологии электронной подписи. При грамотном применении электронной подписи процессы коммуникаций становятся более эффективными, упрощаются пути подписания документов, процессы и стадии документооборота сокращаются по длительности, оптимизируются процессы предоставления услуг.

Таким образом, внедрение системы защищенного электронного документооборота позволяет приобрести огромную гибкость в обработке и хранении информации, в то же время создает предпосылки для возникновения угроз информационной безопасности. Поэтому обоснование требований к защите информации является первоочередной и основополагающей задачей при проектирования таких систем.