Признаки ЭП
Под ЭП понимают реквизит электронного документа, который предназначен для его защиты от подделок. Реквизит получают в итоге криптографического преобразования информации с закрытым ключом. Также подпись позволяет идентифицировать владельца сертификата ключа подписи и установить отсутствие искажения информации в электронном документе.
Согласно Федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи» использование ЭП возможно исключительно для электронных и никаких других документов.
ГОСТ Р 34.10-2012 определяет схему электронной подписи, процессы формирования и проверки подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения. Внедрение подписи на основе вышеуказанного стандарта повышает, по сравнению с ранее действовавшей схемой цифровой подписи, уровень защищенности передаваемых сообщений от подделок и искажений. Областью применения стандарта является создание, эксплуатация и модернизация систем обработки информации различного назначения.
В стандарте определение ЭП приводится далее. Определение 2. Элек-тронная цифровая подпись (signature); ЭЦП: строка бит, полученная в ре-зультате процесса формирования подписи.
Примечания:
1) строка бит, являющаяся подписью, может иметь внутреннюю структуру, зависящую от конкретного механизма формирования подписи;
2) в настоящем стандарте в целях сохранения терминологической пре-емственности с действующими отечественными нормативными документами и опубликованными научно-техническими изданиями установлено, что термины «электронная подпись», «цифровая подпись» и «электронная цифровая подпись» являются синонимами [8].
В соответствии со Статьей 2 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» вводится понятие сертификата ключа подписи:
Определение 3. Сертификат ключа подписи — бумажный или элек-тронный документ, содержащий открытый ключ, информацию о владельце ключа, области применения ключа, подписанный выдавшим его Удостове-ряющим центром и подтверждающий принадлежность открытого ключа владельцу [1].
В настоящее время единственное определение электронного докумен-та, используемое в юридических, производственных и технических целях установлено Федеральным законом от 27.07.2006 № 149-ФЗ «Об информа-ции, информационных технологиях и о защите информации»:
Определение 4. Документированная информация (документ) — зафик-сированная на материальном носителе информация с реквизитами, позволя-ющими ее идентифицировать [2].
Обязательными идентификационными реквизитами электронного до-кумента являются:
1) наименование и обозначение электронного документа;
2) даты создания, утверждения и последнего изменения;
3) сведения о создателях;
4) сведения о защите электронного документа;
5) сведения о средствах ЭП или средствах кэширования, необходимых для проверки подписи или контрольной характеристики данного электронного документа;
6) сведения о технических и программных средствах, необходимых для воспроизведения электронного документа;
7) сведения о составе электронного документа.
?
1 Организационно-правовые методы защиты информации
Самым важным документом, регламентирующим организационно-правовые методы защиты информации, является «Доктрина информационной безопасности».
1.1 Доктрина информационной безопасности
5 декабря 2016 года вступил в силу указ Президента РФ, утверждаю-щий новую Доктрину информационной безопасности, заменившую доку-мент, действовавший в России с 2000 года. Доктрина отражает национальные интересы, официальные взгляды на цели, задачи, принципы и основные направления обеспечения информационной безопасности в Российской Федерации.
Доктрина не только описывает стратегию действий по обеспечению информационной безопасности в нашей стране на следующий годы, но и объясняет существующие недостатки эффективности принимаемых мер.
Доктрина основана на Конституции, федеральных законах и норма-тивных правовых актах, что подтверждают используемые в документах формулировки и термины. Так, например, в основе понятия «информационная инфраструктура Российской федерации» используется термин «сайт в сети Интернет», который был введен в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в редакции 2012 года.
В доктрине учтена текущая ситуация в мире информационных техно-логий, в том числе проблема компьютерных атак, направленных на промышленную сферу. Государственные регулирующие органы, в свою очередь, уже разработали требования, направленные на повышение безопасности на критически важных и потенциально опасных объектах (к примеру, приказ ФСТЭК № 31 и руководящие документы ФСТЭК по защите ключевых систем информационной инфраструктуры). А теперь обеспечение безопасности промышленных систем стало одним из национальных интересов России в информационной сфере.
Залогом высокой эффективности мер по обеспечению информацион-ной безопасности является осведомленность граждан в вопросах обеспечения личной информационной безопасности. Доктрина позволяет акцентировать внимание людей на этой проблеме.
Нельзя не отметить нацеленность государства на «повышение конку-рентоспособности российских компаний, осуществляющих деятельность в отрасли информационных технологий и электронной промышленности, разработку, производство и эксплуатацию средств обеспечения информационной безопасности, в том числе за счет создания благоприятных условий для осуществления деятельности на территории Российской Федерации», на развитие кадрового потенциала.
Положения, отраженные в новой доктрине, действительно актуальны, поскольку отражают текущее состояние информационной безопасности в России и подчеркивают проблемы и информационные угрозы, направленные на все сферы деятельности общества. Новая доктрина учитывает реальные события, произошедшие в сфере информационной безопасности за последние 16 лет.
Государство ведет колоссальную работу по обеспечению информационной безопасности Российской Федерации на законодательном, исполнительном и судебном уровнях. И хотя доктрина сама по себе не является нормативно-правовым актом, она определяет стратегию Российской Федерации в информационной сфере на ближайшие годы и служит основой для совершенствования правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации.
1.2 Федеральный закон № 63-ФЗ «Об электронной подписи»
Базовыми Федеральными законами в области защиты информации яв-ляются:
1) Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
2) Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, ин-формационных технологиях и о защите информации»;
3) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
4) Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных».
Рассмотрим более подробно первый из них:
Принятый в 2011 году ФЗ № 63 «Об электронной подписи» - не первый закон об электронной подписи в Российской Федерации. Ранее правовые отношения в области подписания электронных документов регламентировались законом ФЗ №1 от 10.01.2002 «Об электронной цифровой подписи», утративший свою силу с 01.07.2012 года. Тем не менее, сертификаты ЭЦП, выданные в соответствии с этим нормативным актом по-прежнему действительны.
Принятие нового закона было обусловлено следующим фактором: старый закон об ЭЦП разрешал использовать в электронном документообороте лишь обозначенные в вышеупомянутом законе технологии подтверждения подлинности текста документа. Не базирующиеся на ассиметричном шифровании типы электронных подписей законом не регламентировались, что выводило их за рамки правового поля. Поэтому, существовала ненулевая вероятность аннулирования соглашения, если подтверждающий электронный документ был подписан отличным от ЭЦП видом электронной подписи.
Новый закон призван расширить аудиторию пользователей ЭП, так как прежний закон запрещал выдавать сертификаты ЭЦП юридическим лицам - по статистике, самым активным участникам электронного документооборота. За 5 лет действия Закона об ЭЦП в РФ сертификаты ЭЦП получили менее процента населения России, тогда как в ЕС за тот же срок, электронные подписи использовались 70 процентами населения. Также новый закон расширяет сферу применения ЭП. Теперь их разрешено использовать при оказании государственных услуг.
Закон об ЭП разрешает использовании любого вида ЭП, при условии их соответствия требованиям устойчивости ко взлому (п.2 ст.4 Закона).
Участники правоотношений вольны выбирать любой вид подписи, разрешенный Законом. В 7 статье нового Закона, ЭП, созданные по нормам и требованиям международного права признаются представителями того вида ЭП, признакам которых они удовлетворяют.
Согласно Закону об ЭП, сертификат ЭП могут получить как юридиче-ского лица, так и органы государственной власти. Примечательно, что для получения сертификата ключа проверки ЭЦП необходимо указать и физическое лицо, действующее от имени юридического лица, на основании каких-либо документов (учредительные документы, устав, доверенность). Однако, при использовании подписи для оказания государственных услуг, таковое лицо не потребуется.
К сожалению, Закон не дает инструкций в случае смерти физлица, ука-занного в сертификате ЭП юридического лица. Также не рассматривается случай, когда ответственное физлицо уже имеет свой сертификат ЭП, так как в случае возникает правовая неопределенность, потому что новый Закон разрешает использовать юридическим лицам и простую ЭП для заключения соглашений.
6 статья Закона об ЭП регламентирует соотношение между электрон-ными документами, заверенными ЭП и документами на бумажном носителе, заверенными печатью.
Если документ заверен квалифицированной ЭП, то Закон устанавлива-ет презумпцию соответствия документу в бумажной форме, то есть запреща-ет контрагенту отвергнуть соглашение только по причине отсутствия аналога на бумажном носителе. Исключениями являются ситуации, когда обстоятельства обязывают составить документ исключительно на бумаге, и они устанавливаются соответствующими федеральными законами и нормативными документами.
Электронные документы, заверенные иными видами ЭП имеют силу и признаются равнозначными документам на бумажных носителях только то-гда, когда это установлено федеральным законом или иным нормативным документом или установлено соглашением сторон. В частности, именно благодаря этому, получают юридическую силу договоренности на различных электронных торговых площадках, ведь при заключении сделок на подобных платформах контрагенты обязаны перед этим пройти регистрацию и принять правила персональной идентификации.
Если бумажный документ должен быть заверен печатью, то его анало-гом считается электронный документ, заверенный любым видом усиленной ЭП.
Чтобы подтвердить принадлежность ключа ЭП ее владельцу, старый Закон требовал сертификат ЭЦП. Новый закон смягчил эти требования, в частности, полностью отменив обязательное наличие сертификата у простых ЭП. В отношении неквалифицированной ЭП ситуация несколько иная: сертификат нужно получить по общим правилам, однако в статье 5 описываются исключительные случаи, когда можно этого не делать. И лишь для квалифицированной ЭП все также необходим сертификат ключа, и исключений здесь нет. Данный сертификат выдается удостоверяющим центром (УЦ) или его доверенными представителями. Форма сертификата значения не имеет (равно признаются и бумажная, и электронная).
Старый Закон об ЭЦП не предусматривал получение сертификата ключа ЭЦП без участия удостоверяющего центра (УЦ). Новый Закон разрешает использование некоторых видов подписей без разрешения УЦ, а сами УЦ делит на аккредитованные и неаккредитованные. Различие состоит в том, что только аккредитованные УЦ смогут выдавать сертификаты для квалифицированных ЭП.
УЦ может создать, как и юрлицо, так и индивидуальный предприниматель, никакие ограничения на организационно-правовую форму Законом не накладываются. Аккредитацию УЦ проходят добровольно, срок ее действия - пять лет.
Условия аккредитации УЦ:
1) наличие чистых активов не менее одного миллиона рублей;
2) наличие финансового обеспечения ответственности за убытки, при-чиненные третьим лицам, в размере не менее полутора миллионов рублей;
3) наличие средств электронной подписи и средств удостоверяющего центра, соответствующих требованиям ФСБ России;
4) наличие в штате не менее двух специалистов в области криптогра-фии и информационных технологий [1].
1.3 Перечень руководящих документов уполномоченных феде-ральных ведомств в области электронной подписи
Федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи, согласно Постановлению Правительства РФ от 28.11.2011 № 976 «О федеральном органе исполнительной власти, уполномоченном в сфере использования электронной подписи» [5] является Министерство связи и массовых коммуникаций Российской Федерации.
Федеральная служба безопасности РФ является уполномоченным фе-деральным органом в области криптографии и криптографических средств защиты информации.
По вопросам технической реализации криптографических преобразо-ваний основными руководящими документами являются Приказы ФСБ РФ:
1) Приказ ФСБ РФ от 27.12.2011 № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»;
2) Приказ ФСБ РФ от 27.12.2011 № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
2 Назначение и применение ЭП
Электронная подпись позволяет осуществить переход от бумажных носителей информации к электронному документообороту. Более того, ЭП предназначена для подтверждения авторства, иными словами для идентификации лица, подписавшего электронный документ, так как фактически является аналогом собственноручной подписи.
С помощью ЭП осуществляются следующие функции:
1) контроль целостности передаваемого документа: если документ с ЭП претерпит изменения случайные или преднамеренные, ЭП автоматически станет недействительной в связи с тем, что вычислена она на основании первоначального документа и соответствует только ему;
2) защита от изменений, фактически подделки, электронного докумен-та: ЭП гарантирует выявление подделок с помощью контроля целостности, что делает подделывание бессмысленным за исключением частных случаев;
3) невозможность отказа от авторства: создание исправной подписи требует знания закрытого ключа, который находится у владельца ЭП. Следовательно, наличие подписи под документом гарантирует авторство владельца ЭП;
4) доказательственное подтверждение авторства электронного доку-мента: создание исправной подписи возможно лишь с помощью закрытого ключа, который находится у владельца. Так, при необходимости подтвер-ждения владельцем подписи электронного документа, такому лицу достаточно предъявить открытый и закрытый ключи. В соответствии с особенностями документа подписываются различные поля. Например, автор, изменения, время и прочее.
Таким образом, ЭП используют в следующих целях:
1) банковские системы;
2) электронная торговля;
3) государственные закупки;
4) таможенные декларации;
5) регистрация сделок с недвижимостью;
6) контроль исполнения государственного бюджета;
7) контроль исполнения лимитов бюджетных обязательств и выделен-ных субсидий;
8) обращение к органам власти через электронные системы;
9) обязательная отчетность перед государственными учреждениями и внебюджетными фондами;
10) организация юридически весомого электронного документооборота;
11) в трейдинговых и расчетных системах;
12) межбанковского рынка обмена валют в глобальных системах;
13) управление акционерным капиталом и долевым участием.
3 История создания
В 1976 году в работе Уитфилда Диффи и Мартина Хеллмана «Новые направления в криптографии» впервые было предложено понятие «электронная цифровая подпись». Однако тогда они только предположили, что схемы ЭП могут существовать.
Самый первый криптографический алгоритм RSA был разработан в 1977 году группой ученых: Рональдом Ривестом, Ади Шамиром и Леонардом Адлеманом и запатентован в 1983 году. Этот алгоритм можно было использовать для создания примитивных подписей без дополнительных модификаций. Вскоре стали появляться и другие алгоритмы ЭП, например, Меркла, Рабина. А в 1981 году был создан алгоритм DSA, который используется и в действующем стандарте ЭП в США.
Схема Эль-Гамаля — криптосистема, лежащая в основе современных стандартов как России, так и США была создана в 1984 году. В этот же период Шафи Гольдвассер, Сильвио Микали и Рональд Ривест установили конкретные обязательные требования безопасности к алгоритмам подписи. Кроме того, были смоделированы атаки на алгоритмы ЭП и предложена схема GMR, отвечающая установленным обязательным требованиям безопасности.
В 1991 году Национальный институт стандартов и технологий США выпустил стандарт ЭП DSS.
В 1993 году алгоритм RSA был принят как основа национального стандарта США для шифрования (дешифрования), генерации (проверки) ЭП.
В этом же году в России впервые на рассмотрение Государственной Думы был представлен законопроект об ЭП.
3.1 Россия
В 1994 году Главным управлением безопасности связи Федерального агентства правительственной связи и информации при Президенте Россий-ской Федерации был принят первый российский стандарт в сфере электрон-ной подписи — ГОСТ Р 34.10-94.
Далее, в 1999 году Министерство РФ связи и информатизации дало толчок в создании Федерального закона «Об электронной цифровой подпи-си», в 2001 году законопроект был одобрен и принят в следующем году. Принятие указанного закона послужило правовой основой для возникнове-ния электронного документооборота в Российской Федерации.
Для обеспечения большей криптостойкости алгоритма ЭП, ГОСТ Р 34.10-94 в 2002 году был заменен на ГОСТ Р 34.10-2001, основанный на вычислениях в группе точек эллиптической кривой.
В апреле 2011 года Президент РФ, Дмитрий Медведев, подписал Федеральный закон «Об электронной подписи», пришедший на смену закону «Об электронно-цифровой подписи».
С 2012 года появилась легальная возможность подачи документов в государственные и муниципальные органы власти в электронном виде с применением ЭП.
1 января 2013 года ГОСТ Р 34.10-2001 заменён на ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». В том же году, в связи с принятием Постановления Правительства РФ «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг» от 25.01.2013 N 33, ЭП была упрощена.
4 Виды электронных подписей в Российской Федерации
Федеральный закон РФ 63-ФЗ от 6 апреля 2011г. выделяет следующие виды ЭП:
1) простая электронная подпись (ПЭП);
2) усиленная электронная подпись (УЭП).
В свою очередь УЭП подразделяется на:
1) усиленная неквалифицированная электронная подпись (НЭП);
2) усиленная квалифицированная электронная подпись (КЭП).
Так же в Федеральном законе РФ 63-ФЗ от 6 апреля 2011г. говорится о том, что:
ПЭП является ЭП, которая с помощью кодов, паролей или иных средств подтверждает факт формирования ЭП определенным лицом, то есть просто подтверждает авторство.
НЭП является ЭП, которая:
1) получена в результате криптографического преобразования инфор-мации с использованием ключа ЭП;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный до-кумент после момента его подписания;
4) создается с использованием средств ЭП.
КЭП является ЭП, которая соответствует всем признакам НЭП и сле-дующим дополнительным признакам:
1) ключ проверки ЭП указан в квалифицированном сертификате;
2) для создания и проверки ЭП используются средства ЭП, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим ФЗ.
При использовании НЭП сертификат ключа проверки ЭП может не создаваться, если соответствие ЭП признакам НЭП, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки ЭП [1].
?
5 Мобильная электронная подпись
Мобильная электронная подпись (далее МЭП) представляет собой ин-новационное решение в своей области.
Данное решение не только ново и не освоено на мировом рынке, но и является наиболее удобной и перспективной инновацией в области ЭП.
В России мобильная электронная подпись со встроенным сертифика-том подписи на SIM-карту была представлена только 10 апреля 2018 года компанией «Мегафон» совместно с «Крипто-ПРО».
Возможности МЭП:
1) подпись электронных документов;
2) авторизация в информационных системах;
3) идентификация граждан для получения цифровых услуг.
По функционалу МЭП не только ни в чём не уступает ЭП, но и боль-ше, подписывает юридически значимые документы прямо с мобильного устройства из любой точки мира, где есть сотовая связь. МЭП сертифицирована органами государственной власти и соответствует требованиям законодательства.
В состав услуги входит сертификат электронной подписи, зарегистрированный в государственных информационных системах идентификации, который выдает Удостоверяющий центр «МегаФона», и специальная SIM-карта с установленным на неё программным обеспечением, позволяющим использовать электронную подпись в информационных системах.
Благодаря партнерству компания «Крипто Про» обеспечивается должный уровень безопасности пользователей услуги. В частности, для подписания применяется зашифрованный SMS-канал, который защищает подпись от рисков неавторизованного применения.
Процесс подписания МЭП еще более прост, чем для ЭП, и происходит в «один клик»: на мобильный телефон или планшет владельцу подписи приходит всплывающее сообщение с краткой выдержкой из документа, который необходимо завизировать. Пользователю необходимо решить «отклонить» или «подписать» документ и подтвердить свое действие вводом PIN-кода.
Для того, чтобы начать пользоваться мобильной электронной подпи-сью, нет необходимости менять действующий номер телефона — как пояс-нили в компании, новую SIM-карту можно получить взамен действующей, при этом все обычные функции SIM-карты (возможность отправки SMS, совершения голосовых вызовов и пользования интернетом) сохраняются. Установка программ шифрования и покупка дополнительных устройств и носителей при этом также не понадобятся.
Учитывая новизну и неосвоенность технологии рынок МЭП открыт для конкурентоспособных предложений.
В частности, в рамках данной работы был разработан образец МЭП, отличающийся от выше описанного предложения. Особенность разработки, в том, что для подписания документа не требуется закупать специальное оборудование, подробнее см. в главе 11.
?
6 Алгоритмы
Алгоритмы шифрования электронной подписи делятся на несколько типов: симметричные, ассиметричные и комбинированные.
Алгоритм симметричного шифрования использует один ключ для шифрования и дешифрования. Ключ должен держаться в секрете владельцами, предполагается наличие третьего доверенного лица. Документ считается утвержденным после шифрования его секретным ключом и передаче третьей стороне.
Алгоритмов асимметричного шифрования наиболее распространен. Используется криптосистема с открытым ключом, пара открытый-закрытый ключи.
Комбинированное, оно же гибридное шифрование совмещается в себе преимущества вышеуказанных алгоритмов. В итоге получаем асимметрич-ную криптосистему, использующую открытые и закрытые ключи.
Более того, все вышеуказанные схемы модифицируются и появляются новые виды цифровых подписей: групповая, неоспоримая, доверенная и т.д. Причиной их возникновения являются нескончаемые потоки задач, решаемых с помощью ЭП.
6.1 Применение хеш-функций
Документы, подписываемые ЭП, обычно большого и переменного объема. В связи с чем ЭП стали ставить не на сам документа, а на его хэш. Хэш вычисляется с помощью криптографической хеш-функции, гарантирующей выявление изменений документа при проверке подписи. Так как частью схемы ЭП хеш-функции не являются, поэтому в алгоритме может использоваться любая криптостойкая функция хэширования или не использоваться в нем вовсе.
Однако её применение даёт некоторые преимущества:
1) подписывание самого документа занимает значительно больше вре-мени, чем формирование и подписывание его хэша. Это связано с тем, что объём хэша электронного документа в разы меньше, объема самого документа, следовательно и скорость вычисления прямопропорциональна объему используемых данных;
2) в основном алгоритмы оперируют со строками бит данных, но ино-гда применяются и другие представления. Например, для преобразования произвольного входного текста в подходящий формат;
3) без применения функции хэширования в некоторых алгоритмах электронный документ большого размера делят на небольшие блоки. Однако после невозможно проверить упорядоченность и наличие, полученных блоков.
Во многих системах ЭП, созданных ранее, применялись функции с секретом, схожие с односторонними функциями. Но эти системы были подвержены к атакам с использованием открытого ключа, так как можно было легко получить исходных текст, взяв любую ЭП с алгоритмом верификации.
