Электронно-цифровая подпись: юридические аспекты, возможности, практика применения
ЭЦП представляет собой набор байтов, который является результатом работы программы генерации цифровой подписи ЭЦП. ЭЦП является аналогом физической подписи и обладает двумя основными свойствами: воспроизводима только одним лицом, а подлинность ее может быть удостоверена многими; она неразрывно связана с конкретным документом и только с ним. ЭЦП предназначена для обеспечения подлинности, целостности и авторства документов, обрабатываемых с помощью вычислительной техники. ЭЦП жестко увязывает в одно целое содержание документа и секретный ключ подписывающего и делает невозможным изменение документа без нарушения подлинности этой подписи. Суть процедуры использования ЭЦП состоит в том, что каждый пользователь программного обеспечения имеет возможность изготовить пару индивидуальных ключей: секретного - для формирования цифрового аналога подписи под документом и парного с ним, открытого - для проверки достоверности цифровых подписей, вычисленных с помощью данного секретного ключа. С помощью открытого ключа пользователя можно гарантированно подтверждать подлинность и авторство электронных документов, что именно данная последовательность бит была передана и подписана обладателем секретного ключа, соответствующего открытому ключу проверки. Секретный ключ для электронной цифровой подписи может храниться в виде файла на дискете или на специальном устройстве - "таблетке" (Touch-Memory). Их называют носителями секретного ключа. Для обеспечения целостности и достоверности сообщений, циркулирующих в системе Центрального банка Российской Федерации, приказом ЦБ РФ от 21 сентября 1993 г. N 02-159 был введен в действие стандарт Центрального банка Российской Федерации "Подпись цифровая электронная". Для обеспечения безопасности электронных платежей наряду с использованием ЭЦП может дополнительно применяться шифрование электронных документов. Для этой цели используются специальные ключи для шифрования (дешифрования), изготавливаемые, как правило, банком. В начале апреля 2011 года вступил в силу Федеральный закон № 63-ФЗ «Об электронной подписи», который пришел на смену № 1-ФЗ от 10 января 2002 года «Об электронной цифровой подписи». В соответствии с новым законом общепринятый термин «электронная цифровая подпись» заменяется на «электронную подпись». Уже сейчас аббревиатура ЭЦП постепенно вытесняется новой ЭП. Тем не менее, потребуется достаточно много времени для полной замены понятия ЭЦП. Применение ЭЦП Цифровая подпись в служебных записках Это, пожалуй, самый распространенный элемент внутреннего документооборота предприятия. При бумажном документообороте автор служебной записки вынужден самостоятельно пройти всех заинтересованных лиц и собрать нужные подписи, возможно, вплоть до конкретного исполнителя. Служебные записки — одни из первых кандидатов на то, чтобы «исчезнуть» с бумаги. При использовании СЭД, инициатор может создать документ, подписать его цифровой подписью и отправить руководителю. В свою очередь, руководитель может отправить документ дальше на исполнение, либо выпустить и подписать отдельный документ, связанный со служебной запиской. Таким образом, инициатор в любой момент времени может отследить текущее состояние по своему документу. На первый взгляд может показаться, что цифровая подпись — лишний атрибут документа, и все можно отрегулировать правами доступа. Но в системе электронного документооборота всегда присутствует администратор, который имеет полные права на все документы (конечно, система отследит, что документ был изменен, но что именно изменили отследить практически невозможно). И если высшее руководство уверено в том, что текст написан инициатором, и утверждено именно это содержание документа, то от использования цифровой подписи можно и отказаться. Но в случае наличия данных рисков, цифровая подпись будет незаменима. Согласование цифровой подписью договора Как правило, этот процесс в бумажном виде представляет собой подписание листа согласования, приложенного к документу. При сложной цепочке согласований и большом количестве инстанций процесс подписания договорных документов будет сложным, длительным, а количество накладок и ошибок будет велико. Благодаря использованию возможностей workflow и типовых маршрутов, согласование договора в СЭД происходит в строго определенной последовательности (задается для каждой категории договорных документов) с контролем сроков этапов согласования. В процессе согласования используется ЭЦП, позволяющая визировать и утверждать договорные документы. Использование ЭЦП гарантирует как неизменность подписанного документа, так и авторство подписи на электронном документе. Использование ЭЦП в территориально-удаленных подразделениях Некоторые предприятия, имеющие удаленные подразделения и филиалы, уже используют электронную почту для передачи документов (приказов, распоряжений и т. п.). Как правило, это выглядит следующим образом: документ создается в электронном виде; печатается; подписывается руководителем; сканируется; отправляется по электронной почте; в удаленном подразделении вновь печатается.
При использовании системы электронного документооборота, имеющей средства распределенной работы и цифровой подписи, процесс можно существенно упростить, сократив количество переводов документов из одного формата в другой: документ создается в электронном виде; подписывается цифровой подписью; отправляется средствами системы исполнителям; исполнитель получает подписанный цифровой подписью документ. Возможные проблемы ЭЦП и пути их решения Рассмотрим ситуации, которые могут возникнуть на практике. Цепочка «Руководитель — Секретарь — Компьютер» Есть ситуации, нередкие для большинства предприятий, когда руководитель не использует в своей работе компьютер постоянно. Зачастую у руководителя просто нет времени на поиск документов, оформление заданий и анализ невыполненных поручений, даже если это оптимизировано в электронном виде. Для выполнения всех этих функций у него есть секретарь. Хотя в нужный момент руководитель при желании может обратиться к системе электронного документооборота и найти необходимый документ или задание.
Кроме того, есть такие документы, где нужна подпись на бумажном экземпляре. Этот процесс может занимать у руководителя некоторое время, а если добавить еще и функцию дублирования подписи на электронном документе — ЭЦП, то о рациональности использования времени руководителя можно и не говорить. Тем не менее, стоит заметить, что возможности СЭД намного превосходят эти затраты на дублирующие действия. Не вижу подписи — значит ее нет Конечно, психологический фактор сбросить со счетов нельзя. Человеку, привыкшему видеть на документе подпись руководителя, непросто будет привыкнуть только к информации об ЭЦП в СЭД. И вполне возможно, что первое время сотрудники будут требовать копии бумажных документов. Для устранения этой ситуации требуется только время и воля руководства. Удостоверяющий центр ЭЦП Если даже ЭЦП используется только внутри предприятия, должен быть создан удостоверяющий центр (или можно воспользоваться услугами внешних центров), т. е. орган, выдающий ключи (сертификаты) ЭЦП и обеспечивающий их достоверность. Данную задачу можно решить просто. Для этого необходимо обучить администраторов работе со средствами ЭЦП, наделить их соответствующими полномочиями, определить порядок выдачи и отзыва ключей ЭЦП в соответствующих инструкциях. Вопрос доверия Очень многое в СЭД основывается на доверии лицам, выполняющим определенные операции. Но это совершенно нормально, поскольку оно необходимо и при бумажном документообороте. Правда, в этом случае бумажный документооборот регулируется определенными общепринятыми правилами. Например, юридическую силу имеет только документ, скрепленный подписью и печатью. Подписывать документы могут только определенные лица, печати изготавливают специализированные фирмы, которые отвечают за их уникальность. Но подделать подпись и печать на бумаге гораздо проще, чем электронно-цифровую подпись. Для того, чтобы урегулировать их хотя бы внутри предприятия, необходимо принять «Положение об электронном документообороте предприятия» и разработать комплект инструкций для пользователей, администраторов и сотрудников удостоверяющего центра. Целью данного Положения будет являться регламентация по применению в организации документов в электронной форме с использованием корпоративной системы электронного документооборота. Другими словами — это принимаемые внутри предприятия правила работы с электронными документами. В Положении, например, некоторые внутренние документы, с электронно-цифровой подписью, могут быть приравнены к бумажным документам, подписанным руководителем и т. д. Сейчас для ряда видов документов, например, для счетов-фактур такое Положение с конкретными правилами ведения документооборота уже существует. А что касается межкорпоративного и межведомственного документооборота, то в большинстве случаев этот обмен регламентирован, в том числе оператором систем обмена электронными документами. Определенным шагом на пути повышения доверия к документам, подписанным электронно-цифровой подписью, может также стать использование сертифицированных средств. Содержание ЭП Электронная подпись – это формализованная структура, электронный документ, состоящий из набора обязательных и не обязательных реквизитов – атрибутов электронной подписи. В состав обязательных атрибутов как раз и входит криптографическая часть, обеспечивающая надёжную идентификацию подписываемых данных и гарантирует надёжность источника информации о подписавшем. Кроме криптографической части, электронная подпись обязательно содержит минимальную информацию о подписавшем и некоторую техническую информацию. Для прикладного использования, электронная подпись может содержать дату и время подписания, сведения для дополнительных механизмов проверки подписи, расширенную информацию о подписавшем, его полномочия и отношение к подписываемым данным, комментарии, файлы, графическое изображение собственноручной подписи и другие, функционально востребованные, данные.
В основе электронной подписи лежит криптография открытого ключа. С ее помощью формируется специальный сертификат пользователя. Он содержит данные о пользователе, открытый ключ и электронную подпись сертификата, ее можно проверить с помощью открытого ключа удостоверяющего центра. Алгоритм гарантирует, что произвести генерацию подписи может только удостоверяющий центр, который имеет секретный ключ шифрования и доверие к которому является основой для работы всей системы ЭЦП. Принцип работы ЭП КРАТКОПринцип работы электронной подписи достаточно прост. Каждому пользователю, желающему участвовать в электронном документообороте генерируются 2 ключа – открытый и закрытый. Подписант формирует документ, который необходимо отправить. Затем, на основе закрытого ключа, содержимого документа и специального программного обеспечения генерирует последовательность символов, которая и является электронной подписью, и отправляет подписанный документ получателю. Получатель документа при помощи открытого ключа подписанта выполняет обратное криптографическое преобразование, тем самым проверяет ЭЦП отправителя и удостоверяется в том, что текст документа не был искажен. ПОДРОБНО 1. Каждому пользователю, участвующему в обмене электронными документами, генерируются уникальные секретный и открытый криптографические ключи. Секретный (закрытый) ключ является элементом, с помощью которого производится шифрование документов и формируется электронно-цифровая подпись. Секретный ключ является собственностью пользователя, выдается ему на отдельном носителе и держится в секрете от других пользователей. Открытый (публичный) ключ используется для проверки ЭЦП получаемых документов-файлов. Владелец должен обеспечить наличие своего открытого ключа у всех, с кем он собирается обмениваться подписанными документами. Кроме того, дубликат открытого ключа направляется в Удостоверяющий Центр, где создана библиотека открытых ключей ЭЦП. В библиотеке Центра обеспечивается регистрация и надежное хранение открытых ключей во избежание попыток подделки или внесения искажений. 2. Пользователь генерирует для документа электронную цифровую подпись. При этом на основе секретного ключа ЭЦП и содержимого документа путем криптографического преобразования вырабатывается некоторая символьная последовательность, которая и является электронно-цифровой подписью данного пользователя для конкретного документа. Эта символьная последовательность сохраняется в отдельном файле. В подпись записывается следующая информация: - дата формирования подписи; - информация о лице, сформировавшем подпись; - имя файла открытого ключа подписи. 3. Пользователь, получивший подписанный документ и имеющий открытый ключ ЭЦП отправителя на основании текста документа и открытого ключа отправителя выполняет обратное криптографическое преобразование, обеспечивающее проверку электронной цифровой подписи отправителя. Если ЭЦП под документом верна, то это значит, что документ действительно подписан отправителем и в текст документа не внесено никаких изменений.
Для любознательных разберем подробнее принцип работы ЭЦП. Когда Вы подписываете свое письмо, происходит следующее: 1. Программа получает некий набор символов (иначе ее называют контрольной суммой, хэшем или дайджестом сообщения), который точно соответствуют тексту вашего письма. Если письмо будет изменено, то этот набор (контрольная сумма) тоже должен измениться. 2. Затем полученная контрольная сумма шифруются Вашим закрытым ключом. Теперь ее можно расшифровать только Вашим открытым ключом. 3. Вместе с письмом отправляются контрольная сумма и Ваш открытый ключ. Когда Ваше письмо получено, программа получателя берет ваш открытый ключ, присланный с письмом, и с его помощью расшифровывает полученную контрольную сумму. Затем она сама генерирует контрольную сумму для текста письма и сверяет обе контрольные суммы. Если присланная контрольная сумма и вторично полученная программой контрольная сумма совпадают, значит, письмо не изменялось. Предположим, кто-то перехватил ваше письмо и поменял его содержимое. Он должен сгенерировать новую контрольную сумму, соответствующие новому содержанию письма, но он не сможет зашифровать эту новую контрольную сумму Вашим закрытым ключом за его отсутствием. Если он зашифрует ее другим закрытым ключом, ему придется заменить и открытый ключ. При этом получатель получит не Ваш открытый ключ, выданный "чужим" центром сертификации. И если пользователь не установил сертификат этого центра в свой компьютер как доверенный центр, при получении "чужого" сертификата пользователь будет оповещен об этом. Когда Вы шифруете Ваше письмо, его содержание шифруется не вашими ключами, а открытым ключом того, с кем вы переписывались ранее и чей открытый ключ вы уже сохранили в своей адресной книге (см. раздел, посвященный настройке компьютера). К примеру, Вы переписываетесь с Николаем. У вас есть открытый ключ Николая. Вы нажимаете кнопку ШИФРОВАТЬ перед отправкой письма. Программа видит, что Вы отправляете письмо Николаю и ищет открытый ключ Николая в адресной книге. Текст шифруется открытым ключом Николая. При этом единственный способ расшифровать это письмо - использовать закрытый ключ Николая. Закрытый ключ Николая хранится на компьютере Николая и никому кроме него не доступен. Поэтому кроме Николая никто, даже перехватив письмо и имея открытый ключ Николая, не может его расшифровать. ©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.
|