Что это такое – компрометация ключа электронной подписи
Криптосистемы разделяются на симметричные и с открытым ключом.
В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ.
Моно- и многоалфавитные подстановки Ї это вид преобразований, заключающийся в замене символов исходного текста на другие (того же алфавита) по более или менее сложному правилу. Для обеспечения высокой криптостойкости требуется использование больших ключей. Многоалфавитная подстановка определяется ключом p=(p1, p2, …), содержащим не менее двух различных подстановок.
Гаммирование заключается в наложении на исходный текст некоторой псевдослучайной последовательности, генерируемой на основе ключа.
Наложение Ї это обычно позначное (побуквенное) сложение или вычитание по тому или иному модулю.
Шифрмашина (шифровальное устройство) Ї машина, реализующая какой-либо алгоритм шифрования
Криптография является методологической основой современных систем обеспечения безопасности информации в компьютерных системах и сетях. Исторически криптография (в переводе с греческого этот термин означает «тайнопись») зародилась как способ скрытой передачи сообщений.
Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы защитить эти данные, сделав их бесполезными для незаконных пользователей. Такие преобразования обеспечивают решение трех главных проблем защиты данных: обеспечение конфиденциальности, целостности и подлинности передаваемых или сохраняемых данных.
Для обеспечения безопасности данных необходимо поддерживать три основные функции:
* защиту конфиденциальности передаваемых или хранимых в памяти данных;
* подтверждение целостности и подлинности данных;
* аутентификацию абонентов при входе в систему и при установлении соединения;
Для реализации указанных функций используются криптографические технологии шифрования, цифровой подписи и аутентификации.
Конфиденциальность обеспечивается с помощью алгоритмов и методов симметричного и асимметричного шифрования, а также путем взаимной аутентификации абонентов на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт и т. п.
Целостность и подлинность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на односторонних функциях и асимметричных методах шифрования.
Аутентификация разрешает устанавливать соединения только между легальными пользователями и предотвращает доступ к средствам сети нежелательных лиц. Абонентам, доказавшим свою легальность (аутентичность), предоставляются разрешенные виды сетевого обслуживания.
Обеспечение конфиденциальности, целостности и подлинности передаваемых и сохраняемых данных осуществляется прежде всего правильным использованием криптографических способов и средств защиты информации. Основой большинства криптографических средств защиты информации является шифрование данных.
Под шифром понимают совокупность процедур и правил криптографических преобразований, используемых для зашиф-ровывания и расшифровывания информации по ключу шифрования. Под зашифровыванием информации понимается процесс преобразования открытой информации (исходный текст) в зашифрованный текст (шифртекст).
Обобщенная схема криптосистемы шифрования показана на рис. 5.1. Исходный текст передаваемого сообщения (или хранимой информации) М зашифровывается с помощью криптографического преобразования Ек с получением в результате шифр-текста С:
где — параметр функции Е, называемый ключом шифрования.
Шифр текст С, называемый также криптограммой, содержит исходную информацию М в полном объеме, однако последовательность знаков в нем внешне представляется случайной и не позволяет восстановить исходную информацию без знания ключа шифрования кх.
Ключ шифрования является тем элементом, с помощью которого можно варьировать результат криптографического преобразования. Данный элемент может принадлежать конкретному пользователю или группе пользователей и являться для них уникальным. Зашифрованная с использованием конкретного ключа информация может быть расшифрована только его владельцем (или владельцами).
Обратное преобразование информации выглядит следующим образом:
Функция D является обратной к функции Е и производит расшифровывание шифр текста. Она также имеет дополнительный параметр в виде ключа к2. Ключ расшифровывания к2 должен однозначно соответствовать ключу к1 в этом случае полученное в результате расшифровывания сообщение М’ будет эквивалентно М. При отсутствии верного ключа к2 получить исходное сообщение М’ = Мс помощью функции D невозможно.
Преобразование шифрования может быть симметричным или асимметричным относительно преобразования расшифровывания. Соответственно различают два класса криптосистем:
* симметричные криптосистемы (с единым ключом);
* асимметричные криптосистемы (с двумя ключами).
Очень часто через известную всем сеть Internet передается достаточно важная конфиденциальная информация. Потеря, подделка такой информации или несанкционированный доступ к ней может привести к самым серьезным последствиям; Популярный рекламный слоган «Интернет доступен всем» говорит о многом, и, к сожалению, не только о хорошем.
Ясно, что доступность этого ресурса именно всем й влечет за собой определенную опасность для всех. Действительно, открытость и прозрачность устройства сети является одним из необходимых условий ее роста и распространения. Однако глобальная сеть объединяет в настоящее время людей с самыми разными интересами и наклонностями.
Пользователями сети являются не только люди с кристально чистыми намерениями, но и те, кто использует информацию в корыстных целях, т. е. лица, которые хотят и, главное, могут это сделать, используя достаточно много существующих точек в сети, где информация может быть перехвачена или сфальсифицирована.
Мы живем в эпоху господства информационных технологий, когда обладание информацией является определяющей силой. И эта информация нуждается сегодня в серьезной защите.
Проблемой защиты информации путем ее преобразования занимается криптология (kryptos – тайный, logos – сообщение). Она имеет два направления: криптографию и криптоанализ. Цели этих направлений прямо противоположны.
Криптография занимается поиском, исследованием и разработкой математических методов преобразования информации, основой которых является шифрование.
Сфера интересов криптоанализа — исследование возможности расшифровки информации.
Для людей, не занимающихся вплотную проблемами информационной безопасности, криптография кажется сложным и непонятным делом, связанным с шифрами, кодами и секретными сообщениями. Действительно, ее практическая реализация требует достаточно серьезных знаний.
Используя более общее определение, можно сказать, что криптография – это наука об обеспечении безопасности данных. В основе криптографической защиты информации лежит ее шифрование, проще говоря, преобразование данных к такому виду, что они становятся нечитабельными для тех, для кого не предназначены.
контроль участников взаимодействия.
С конфиденциальностью и аутентификацией все ясно: не зная ключа, сообщение прочитать весьма затруднительно. То есть, управляя раздачей ключей, вы управляете и доступом к информации.
Для контроля целостности используется построение так называемого дайджеста сообщения или электронной подписи. При построении этой подписи используется специальная функция, схожая с известной функцией CRC (Control Cyclic Code). Результаты работы этой функции шифруются.
симметричные криптосистемы (с секретным ключом); несимметричные криптосистемы (с открытым ключом);
системы электронной подписи;
системы управления ключами.
Расширение практического применения криптографии в сетях, а также появление современных криптографических методов привело к необходимости введения понятий, определений и собственного математического аппарата в этой области.
Термин «криптография» далеко ушел от своего первоначального значения — «тайнопись, тайное письмо». Сегодня эта дисциплина объединяет методы защиты информационных взаимодействий совершенно различного характера, опирающихся на преобразование данных по секретным алгоритмам, включая и алгоритмы, использующие секретные параметры.
Основные направления использования криптографических методов — это передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.
Современные криптографические системы обеспечивают высокую стойкость зашифрованных данных за счет поддержания режима секретности криптографического ключа. Однако на практике любой шифр, используемый в той или другой криптосистеме, поддается раскрытию с определенной трудоемкостью. В связи с этим возникает необходимость оценки криптостойкости применяемых шифров в алгоритмах криптопреобразования.
При обращении в Удостоверяющий центр руководитель организации получает комплекс программных средств для создания ЭЦП, записанный на специальный носитель ключа электронной подписи. В настоящее время в этом качестве используются USB-устройство (eToken) и смарт-карта.
Система заверки и защиты электронных документов основана на следующем принципе. С помощью специальной программы шифрования отправителем формируется закрытый ключ ЭЦП — это уникальный набор символов, который никогда не повторяется. На основе закрытого ключа создается парный для него открытый ключ ЭЦП.
С его помощью программа зашифровывает письмо, а получатель — проверяет наличие подписи, расшифровывает и прочитывает его. Таким образом, ключ проверки электронной подписи это открытый ключ, доступный всем пользователям системы электронного документооборота.
Право на передачу данных по системе ЭДО получает только пользователь, который в законном порядке приобрел ЭЦП в Удостоверяющем центре (УЦ). При этом он получает защищенный физический носитель, называемый eToken, который вставляется в любое устройство с USB-разъемом. Устройство имеет свою встроенную память, в которую записывается:
- закрытый ключ для создания уникальной подписи отправителем;
- открытый ключ партнера для шифрования передаваемого документа и проверки получаемых от него писем;
- сертификат ключа проверки ЭЦП — файл, созданный УЦ, и подтверждающий принадлежность средства ЭП владельцу сертификата.
Таким образом, носитель ключа электронной подписи — это аппаратное средство, которое работает автономно от компьютера, и хранит все нужные для работы ЭЦП программы и сведения. Их нельзя переписать на другое устройство, а попытка взломать устройство физически заканчивается потерей информации.
Средства ЭЦП для обмена документами с государственными органами можно приобрести на платной основе только в аккредитованном УЦ. На сайте каждого из них можно найти информацию, как получить ключ электронной подписи. Как правило, для этого требуются лишь паспорт руководителя, и его СНИЛС.
Для работы с ФНС, другими госорганами, владелец должен получить в УЦ на основании заявления ключ проверки электронной подписи — это, соответственно, открытый ключ организации, с которой он намерен обмениваться документами. Открытые ключи организаций и предпринимателей Удостоверяющий центр вносит в реестр, который предоставляет в пользование ФНС и другим организациям.
Закрытый, или секретный ключ, должен храниться только у владельца. Он выполняет две функции:
- формирует электронную подпись;
- расшифровывает полученный файл.
При его утере, или краже, невозможно прочитать присланные документы. Если подобное все же случилось, или появилось подозрение, что ключ взломан (обнаруживается при запуске программы проверки подписи при получении документа), то ключ использовать больше нельзя.
Таким образом, компрометация ключа электронной подписи это факт доступа к ключу посторонних лиц, либо подозрение на возможность такого события. При его наступлении владелец ЭП должен уведомить Удостоверяющий центр, который внесет его в специальный список и отзовет сертификат. Подпись, созданная после этого момента, считается юридически недействительной.
Получение и срок действия сертификата ключа электронной подписи
Сертификатом ключа проверки (электронной подписи) является документ, который может быть оформлен в электронном виде либо на бумажном носителе. Он необходим для подтверждения личности владельца открытого ключа электронной подписи, предоставляется только в удостоверяющем центре и служит для подтверждения права владельца сертификата пользоваться данным ключом подписи.
Создание ключа обязательно сопровождается
сохранением данных владельца
. В получаемом документе эта информация отображается вместе с ключом и сведениями об удостоверяющем центре, ответственном за выдачу этого документа.
Аккредитованные удостоверяющие центры (УЦ) могут предоставлять квалифицированные сертификаты ключа ЭП. Аналогичная операция может осуществляться доверенным лицом УЦ либо уполномоченным органом федеральной власти.
Сертификат ЭЦП формируются с указанием ряда значимых данных, к которым относятся:
- почтовый адрес;
- право доступа собственника;
- определение расходных лимитов.
Электронный документооборот производится при помощи ЭЦП, которая демонстрирует, что целостность и конфиденциальность документов не нарушена, а также позволяет установить личность владельца документа.
Для любой цифровой подписи должны быть сформированы ключи двух типов: закрытого (применяются лишь собственниками и никем больше) и открытого (этими ключами может пользоваться каждый участник документооборота). Под ключом в данном случае понимаются символы, расположенные в уникальной последовательности.
Закрытый ключ называют также секретным либо личным, на него возложена функция формирования подписи. С помощью открытого ключа производится проверка подлинности представленного электронного документа и подписи на нём.
В конце обязательно должна стоять электронная цифровая подпись, заверяющая всё вышеизложенное.
Чтобы определиться с выбором УЦ для создания электронной подписи, соискатель должен уточнить следующие моменты:
При получении электронной подписи вы обязательно будете проходить через этап генерации, когда формируется ключевой контейнер и запрос на сертификат.
Для процедуры используются специальные программы, например, КриптоПро CSP. Перед началом генерации подключите абсолютно чистый носитель, на котором будет храниться подпись, и запустите процесс кнопкой «Подготовить ключ ЭП». Далее действуйте в соответствии с указаниями программы.
В качестве носителя электронной подписи может выступать практически любое флеш-устройство, однако такой подход не отличается безопасностью.
Для хранения ЭП применяются преимущественно защищённые носители, имеющие ограниченный доступ. Такими устройствами могут быть и простые, но специально подготовленные флеш-носители, и особые приборы, например, eToken (Етокен) и ruToken (Рутокен).
Для России характерно наличие своих криптографических стандартов, то есть правил шифрования данных, которые отображены в специальном документе: RFC4491: Using GOST with PKIX.
Для получения квалифицированной электронной подписи заявителю придётся предоставить ряд документов. Для физического лица это:
- Паспорт (либо иное удостоверение личности вместе с его копией).
- Копия СНИЛС.
- Заявление на предоставление требуемой услуги.
- Предоставление согласия на обработку личных данных (согласие оформляется на того, кто будет заниматься изготовлением сертификата).
- Заявление на присоединение к Регламенту УЦ (требуется 2 экземпляра).
- ИНН.
Компаниям и ИП требуется предоставить:
- Паспорт владельца сертификата (иное удостоверение личности вместе с его ксерокопией).
- Копия СНИЛС от заявителя.
- Заявление на предоставление услуги по изготовлению сертификата.
- Предоставление согласия на обработку личных данных (согласие оформляется на того, кто будет заниматься изготовлением сертификата).
- Заявление на присоединение к Регламенту удостоверяющего центра (требуется 2 экземпляра).
- Доверенность, позволяющая пользователю УЦ производить действия, предписанные регламентом удостоверяющего центра.
- Доверенность на получение квалифицированной электронной подписи.
- Доверенность на ТМЦ и документы.
- Выписка из ЕГРЮЛ, либо ЕГРИП – для ИП, полученная не ранее чем за полгода до обращения в УЦ (предоставляется в оригинале либо в виде правильно заверенной копии).
- Заверенные копии ИНН и ОГРН.
Ниже представлен ролик о необходимости применения электронной цифровой подписи.
Срок действия каждой электронной подписи составляет не более 12 месяцев. После этого применять её при обмене документами становится невозможно, только после продления
Отзыв электронной подписи и повторное её оформление осуществляется в случаях:
- если меняется владелец сертификата (на руководящую должность в компании заступает другой человек, происходит смена наименования компании);
- если происходит смена реквизитов компании;
- неисправности носителя, используемого для хранения ключа;
- если закрытый ключ компрометируется.
Чтобы отозвать либо приостановить действие сертификата, потребуется не более 24 часов.
Термином КриптоПро обозначают
ряд программ
, применяемых для формирования ЭЦП и поддержки дальнейшего их функционирования. Другое их название —
криптопровайдеры
Наиболее широко применяется криптопровайдер «КриптоПро CSP». В число его базовых функций входит способность создания шифров и ключей электронной цифровой подписи, что позволяет максимально снизить риск фальсификации отображённой в сертификате информации и обеспечить её целостность.
В качестве средства, обеспечивающего возможность хранения представленных владельцем электронной подписи данных и его авторизации, используют токен (Security token). Этот прибор отличается небольшими размерами, но помимо прочего способен поддерживать безопасный дистанционный доступ к необходимым сведениям и защищать содержимое электронных писем.
Для того чтобы воспользоваться устройством, будет достаточно просто подсоединить его к компьютеру (ноутбуку) через USB-порт и в соответствующую графу ввести PIN-код. Это необходимо для обеспечения наилучшей защиты информации.
ЭДО расшифровывается как электронный документооборот, а ЮЗЭД – юридически значимый электронный документооборот. То есть разница между этими двумя терминами в том, что во втором случае обмен документами (предположительно между двумя фирмами) имеет определённые юридические последствия, а в первом случае – таких последствий нет.
Термин ЭДО в большей степени относится к внутреннему документообороту фирмы.
Существует несколько областей применения электронной подписи. К ним относятся:
- Процедура электронного документооборота (включая как внешний, так и внутренний обмен, поскольку ЭП по своим качествам аналогична подписи, сделанной вручную на бумажном носителе).
- Визирование и утверждение электронной документации при осуществлении различных процессов внутри компании (внутренний документооборот).
- Построение документооборота между разными компаниями (юридическое подкрепление совместно принятых решений).
- Доказательный элемент в случае судебного расследования (подразумевается арбитражный суд).
- Осуществление электронной отчётности, предоставляемой органам контроля.
- Пользование госуслугами (относится не только к компаниям, но и к частным лицам);
- Участие в электронных торгах.
- Осуществление документооборота с физическими лицами.
Применение электронной подписи пока ещё недостаточно широко распространено, что во многих случаях сопряжено с большим количеством вопросов.
Что такое компрометация ключа ЭЦП?
Под компрометацией понимается повод сомневаться в способности ключа выполнять свои целевые функции и обеспечивать требуемую безопасность данных.
В число основных событий, ведущих к компрометации ключа, входят:
- утрата носителя (независимо от того, был он найден позднее или нет);
- уход (увольнение) с должности сотрудника, который имел доступ к самим ключам или информации о них;
- несоблюдение норм хранения либо уничтожения ключа;
- отсутствие возможности точной реконструкции событий, относящихся к ключевому носителю.
Что делать, если закончился срок действия ключа?
Продолжительность действия уже готовой электронной подписи обычно равняется 365 дням. По истечении данного срока осуществляется замена имеющегося сертификата.
На деле, общий рабочий период ключа проверки косвенно связан с объёмом представленной в нём информации. Увеличение количества используемых сведений приводит к тому, что повышается риск необходимости преждевременной замены документа даже при частичном их изменении.
Процедура продления действия сертификата довольно проста. В этом вам поможет менеджер УЦ (того, в котором вы изначально получали сертификат). Потребуется лишь оформление документов и внесение соответствующей платы за предоставленную услугу.
Продлить старый сертификат можно в течение месяца по окончанию его срока действия. Если не успеете выполнить процедуру, то сертификат и ключи придётся получать заново.
Инструкция по проверке подлинности сертификата есть на данном видео.
Компрометация ключа это утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, включая, но, не ограничиваясь, следующие:
утрата ключевых дискет или иных носителей ключа;
утрата ключевых дискет или иных носителей ключа с последующим обнаружением;
увольнение сотрудников, имевших доступ к ключевой информации;
возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;
утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
доступ посторонних лиц к ключевой информации.
В случае компрометации ключей ЭЦП пользователь обязан немедленно проинформировать руководителя предприятия и Центр регистрации в письменном виде в произвольной форме.
Скомпрометированные ключи ЭЦП или закрытый ключ, которому соответствует сертификат ключа подписи, срок действия которого истек, сдаются пользователем в Центр регистрации и уничтожаются сотрудниками Центра регистрации путем удаления данных с ключевого контейнера, с составлением Акта уничтожения.
Порядок использования ЭЦП определяется технологическим процессом и должен соответствовать настоящему регламенту.
Применение ЭЦП осуществляется с соблюдением всех действующих нормативных документов инструкций и руководств.
Работа с ЭЦП должна быть организована так, чтобы было исключено несанкционированное ее использование. Полномочия лица имеющего ЭЦП по ее применению определяются должностными обязанностями лица и видами документов, которые уполномоченное лицо имеет право подписывать.
Система безопасности должна производить проверку сертификата на ключе с сертификатом каждый раз при вводе электронного ключа в систему.
Порядок действий в случае, если сертификат не смог успешно пройти проверку в УЦ, определен Регламентом взаимодействия удостоверяющих центров при построении пространства доверия в ОАО «РЖД» и Политикой управления сертификатами ключей подписи в ОАО «РЖД».
Порядок действий при подписи документов изложен в регламентах по формированию первичных учетных форм с применением ЭЦП соответствующих хозяйств.