Электронная цифровая подпись Википедия

Основные принципы

Широко применяемая в настоящее время технология электронной подписи основана на асимметричном шифровании с открытым ключом и опирается на следующие принципы:

  • Можно сгенерировать пару очень больших чисел (открытый ключ и закрытый ключ) так, чтобы, зная открытый ключ, нельзя было вычислить закрытый ключ за разумный срок. Механизм генерации ключей строго определён и является общеизвестным. При этом каждому открытому ключу соответствует определённый закрытый ключ. Если, например, Иван Иванов публикует свой открытый ключ, то можно быть уверенным, что соответствующий закрытый ключ есть только у него.
  • Имеются надёжные методы шифрования, позволяющие зашифровать сообщение закрытым ключом так, чтобы расшифровать его можно было только открытым ключом[Прим. 1]. Механизм шифрования является общеизвестным.
  • Если электронный документ поддается расшифровке с помощью открытого ключа[Прим. 2], то можно быть уверенным, что он был зашифрован с помощью уникального закрытого ключа. Если документ расшифрован с помощью открытого ключа Ивана Иванова, то это подтверждает его авторство: зашифровать данный документ мог только Иванов, т.к. он является единственным обладателем закрытого ключа.

Однако шифровать весь документ было бы неудобно, поэтому шифруется только его хеш — небольшой объём данных, жёстко привязанный к документу с помощью математических преобразований и идентифицирующий его. Шифрованный хеш и является электронной подписью.

Электронная цифровая подпись: история только начинается.

Георгий Афанасьев , директор Удостоверяющего центра ekey.ru.

Последние несколько лет аббревиатура ЭЦП ассоциируется в нашей стране преимущественно с бесконечно рассматриваемым, но так реально и не «заработавшим» одноименным законом. Однако в то же время в России уже функционируют компании, получающие доходы от технологий ЭЦП. Более того, участники этого бизнеса считают, что именно нынешний, 2004 год стал для их предприятия переломным. О том, как работают и зарабатывают на ЭЦП, «Веб-информу» рассказывает Георгий Афанасьев, директор Удостоверяющего центра ekey.ru.

Идея шифрования содержания электронной почты появилась еще в 1991 году. Именно тогда Фил Циммерман написал программу Pretty Good Privacy (PGP), которая тут же стала популярной среди «продвинутых» сетевых пользователей. В России идея шифрования e-mail широкого распространения не получила, так и оставшись «уделом избранных». И вместо того чтобы пытаться продвинуть свои разработки в массы, создатели технологий шифрования электронной почты обратились к другой нише – корпоративным пользователям. В результате приложенных усилий в некоторых отраслях бизнеса (например, в банковской) использование шифрующего программного обеспечения стало обычной практикой.

Последние несколько лет технологии шифровки почты привлекли внимание государства. Первый федеральный нормативный акт, регулирующий эту сферу деятельности, Закон «Об электронной цифровой подписи», – вступил в силу в январе 2002 года. По задумке его авторов, он должен был перевести государственный документооборот на новый уровень, обеспечив законодательную базу для внедрения электронных технологий в делопроизводство. Однако закон оказался реально «неработающим»: в нем были описаны только общие положения, а конкретных пунктов (о сертификации средств ЭЦП, о лицензировании удостоверяющих центров ЭЦП и пр.), позволяющих госорганам воспринимать ЭЦП не только как техническое средство информационной безопасности, но и как реальную альтернативу бумажному документообороту, в нем не было.

В конце прошлого года появилась информация о том, что ведомства, отвечающие за ЭЦП, могут внести в Госдуму несколько постановлений, которые позволили бы Закону об ЭЦП «заработать» в полную силу. Однако в начале этой весны Минсвязи РФ (до недавнего времени полномочный орган в области использования ЭЦП) было расформировано. А потому в настоящее время, пока идет процесс министерского реформирования, судьба этих подзаконных актов остается туманной.

Несмотря на это, уже несколько лет на территории России действует ряд организаций, которые вопреки несовершенству законодательства занимаются продвижением продуктов шифрования почты среди как государственных, так и корпоративных заказчиков. У руководителя одной из таких компаний – Георгия Афанасьева, директора Удостоверяющего центра ekey.ru – «Веб-информ» и взял интервью.

— Как Вы пришли к мысли заниматься этим бизнесом?
— С 2000 года я возглавлял проектное направление российской фабрики мысли – Центра стратегических исследований и интенсивно участвовал в работах Центра стратегических разработок Северо-Запада. Мы имели дело с большими проектами, связанными с построением института федеральных округов, разрешением проблем уничтожения химического оружия. По ходу дела мы пришли к выводу, что в современной России невозможно выполнение законов без инфраструктуры электронного государства. Инфраструктура электронного государства многослойна, и уже тогда было понятно, что в общем-то все есть. Есть компьютеры, ПО, системы электронного документооборота, телекоммуникационные каналы, есть организации, которые могут все это установить и интегрировать. Не было только развитой системы идентификации в информационном пространстве. Электронная цифровая подпись открывает возможности для ответственного осуществления гражданских отношений посредством телекоммуникационных систем.

Удостоверяющий центр ekey.ru был задуман мной как инновационный проект по организации инфраструктуры нового поколения. Фактически, речь шла о построении национальной программы, которую можно условно назвать ГОЭЛРО-2. От первой, исторической ГОЭЛРО она отличается тем, что, во-первых, создается инфраструктура для цифрового мира, а во-вторых, она разрабатывается не государством, хотя и при обязательной поддержке власти. Мы исходили из того, что развитость стран и регионов в XXI веке определяется не наличием тяжелой промышленности и заводов, а развитием информационных инфраструктур.

— Что нужно для того, чтобы открыть бизнес, связанный с ЭЦП, в России?
— Работа удостоверяющего центра похожа на деятельность нотариуса, который не может заниматься торговлей, производством. Нотариус может выполнять только одну, специфичную работу. Так же и удостоверяющий центр сконцентрирован на выпуске и обслуживании сертификатов. Совмещать эту деятельность с каким-либо другим бизнесом – системной интеграцией, продажей ПО, налаживанием документооборота, разработкой ПО – невозможно. Необходимо специальное оборудование, которое не может быть вовлечено в какие-то еще работы. Также обязательны лицензии на обслуживание, распространение криптосредств.

— Каков срок окупаемости затрат?
— Как всякая инфраструктура, система цифровой идентификации обладает очень длинным циклом возврата капиталовложений. Инвестиционный цикл удостоверяющего центра – от пяти лет.

— Каким образом несколько компаний планируют обслуживать всю страну?
— Удостоверяющий центр в идеале не должен заниматься и продажей сертификатов ЭЦП. Для этого разворачивается сеть регистрационных центров. Особенность выдачи сертификата ЭЦП ekey.ru как услуги заключается в том, что клиент должен представить определенный пакет документов в подлиннике. Мы должны удостовериться, что человек, желающий получить подпись, – именно тот, за кого себя выдает. Процедура получения ЭЦП по важности и ответственности сравнима с выдачей паспорта. Поэтому Удостоверяющий центр должен иметь представительства, точки, куда можно придти и предъявить документы на получение ЭЦП. По нашим расчетам, регистрационный центр ekey.ru должен приходиться на каждые 100 тыс. жителей. Наши партнеры – регистрационные центры – выполняют эту важную функцию проверки документов, после чего подают заявку на выдачу ЭЦП ekey.ru, подтверждая заявку собственной подписью ekey.ru. Кроме того, у них есть еще более важные задачи – это создание сфер применения ЭЦП у себя в регионе, ведение разъяснительной кампании и работа над привлечением клиентов. Регистрационные центры не выполняют работ, связанных с лицензируемой деятельностью. Мы считаем вклад их очень большим и делим с ними прибыль пополам – то есть регистрационный центр получает половину от прибыли с каждой продажи сертификата ЭЦП ekey.ru.

Читайте также:  ЭЦП для сотрудников: где взять и как использовать

— Кто ваши клиенты?
— Есть целый ряд бизнесов, связанных с ЭЦП. Это автоматизация документооборота, телебанкинг, различные платные онлайн-услуги, трейдерские системы. Добавление к этим услугам компоненты электронной цифровой подписи существенно расширяет круг их применения.

— Пожалуйста, расскажите более подробно.
— При внедрении ЭЦП в систему электронного документооборота корпорации последняя получает возможности принципиально нового уровня: обмен электронными документами приобретает юридическую значимость. В современной корпорации главной рабочей средой является не офис, а сложная внутренняя система электронных рабочих мест. И действия сотрудников в этих электронных средах должны быть ответственными. Единственно возможный способ обеспечить настоящую, признанную с юридической точки зрения ответственность за действия в интранете компании, – личные ЭЦП сотрудников организации.

Кроме того, в России интенсивно развиваются интернет-сервисы. Я считаю, что владельцы платных онлайн-сервисов должны обеспечивать своим пользователям безопасность и однозначно подтверждать все собственные действия в онлайне. Мы знаем много историй про фальшивые сайты крупных интернет-магазинов, онлайн-аукционов, с помощью которых мошенники снимали с кредитных карточек деньги пользователей. Все крупные компании не устают предупреждать клиентов о фальшивых письмах «от службы технической поддержки», которым люди доверяют и потому выдают злоумышленникам свои пароли. Если бы все «саппорты» подписывали свои послания, шансы мошенников обмануть пользователя уменьшились бы в разы. Многие крупные компании размещают на своих сайтах договоры публичной оферты – это хостинг-провайдеры, торговые фирмы. Несанкционированное изменение такого договора повлечет за собой крайне негативные последствия. Подтверждение этого договора публичной оферты и прайс-листа ЭЦП снимает все возможные недоразумения.

Есть разного рода платные услуги в Интернете – и очень часто они весьма дороги. Я говорю про использование баз данных, трейдинговых лент новостей, архивов. Доступ к этим сервисам оптимально обеспечивать с помощью личной ЭЦП пользователя, а не через весьма условную систему «логин-пароль».

Я бы сказал, что наиболее выгодно заниматься внедрением ЭЦП в уже существующих сервисах, а также тем, кто заинтересован в стратегическом развитии.

— Вы много работаете с государственными структурами. Расскажите, как происходит это взаимодействие?
— Да, мы ведем большую работу по установлению договоренностей с государственными ведомствами. В октябре прошлого года из аппарата полномочного представителя Президента в Приволжском федеральном округе были направлены письма всем главам субъектов РФ, входящих в Приволжский федеральный округ. В посланиях содержалась просьба поручить ответственному за информатизацию в регионе провести со мной рабочую встречу по вопросам построения единой инфраструктуры электронной цифровой подписи. За месяц я съездил в каждый из этих регионов и пообщался с руководителями отделов информатизации всех ключевых ведомств.

Мы договорились с Пенсионным Фондом Российской Федерации о проведении пилотного проекта по построению системы сдачи отчетности в электронном виде в двух регионах – Республике Башкортостан и Ульяновской области. Мы заключили договор с УМНС Ульяновской области о приеме отчетности в электронном виде, подтвержденной сертификатом ekey.ru, а также провели тестирование сертификатов ЭЦП ekey.ru семью ключевыми ведомствами.

— Общаетесь ли вы сейчас с зарубежными специалистами?
— Да, мы инициировали получение экспертной поддержки от Европейского совета.

— Кто еще, кроме вас, занимается ЭЦП в России?
— Рабочая группа по удостоверяющим центрам при Минсвязи насчитала порядка 200 организаций, которые проявили интерес к работе по выдаче сертификатов электронной цифровой подписи. Большая часть этих центров не работают на широком рынке, обслуживая интересы отдельных корпораций и ведомств. Но поскольку телекоммуникационная инфраструктура является национальной и даже глобальной, основной интерес пользователя в том, чтобы его ЭЦП принималась в любом ведомстве, в любом регионе России и, в перспективе, в любой стране. Ни один локальный удостоверяющий центр такого функционала обеспечить не может. Открытых рыночных удостоверяющих центров в России два – это Удостоверяющий центр ekey.ru и ЗАО «Удостоверяющий центр».

— Кто ваши партнеры?
— Сертификат ЭЦП в чем-то очень похож на кредитку. Если у человека есть кредитная карточка, но ее не принимают в магазинах, то зачем ему такая кредитка? И для банков, когда они вводили новый этот сервис, главным было не банкоматы на каждому углу расставить, а договориться с магазинами и ресторанами, чтобы они принимали к оплате кредитные карты. Так и для нас приоритетная задача – сделать так, чтобы отчетные документы в электронном виде, подписанные ЭЦП, принимали все ведомства, чтобы во все системы электронного документооборота была интегрирована ЭЦП и любые организации могли обмениваться электронными документами, имеющими юридическую значимость. И очень важная цель – сделать так, чтобы российские бизнесмены могли обмениваться юридически значимыми электронными документами с зарубежными партнерами.

Поэтому мы являемся партнерами всех сертифицированных крипторазработчиков. Это позволяет нам выдавать ЭЦП, которые пригодны для использования в любом ведомстве или корпорации, какие бы технологически платформы ни были установлены у них. Кстати, прошу обратить внимание на интересную деталь – все производители криптосредств являются коммерческими фирмами. После этого вопрос об исключительно государственных удостоверяющих центрах (которые будут работать исключительно на ПО, разработанном в частных компаниях) становится бессмысленным.

— Говорят, что из-за несовершенства законодательства ЭЦП в госучреждениях «не работает». Соответствует ли это действительности?
— Слова «в России ни один удостоверяющий центр не имеет лицензии» я слышу достаточно часто. На самом деле в этом вопросе следует различать лицензию на деятельность удостоверяющего центра (то есть организации, которая выдает и обслуживает сертификаты электронной цифровой подписи) и сертификат на удостоверяющий центр – специализированное программное обеспечение. Удостоверяющие центры российских разработчиков прошли соответствующую сертификацию. Но ни одна организация, которая выдает и обслуживает сертификаты ЭЦП, не имеет возможности пройти лицензирование, поскольку лицензирующий орган не создан. Существует очевидный юридический пробел.

— Как решается эта проблема?
— На сегодняшний день существуют два способа. Один из них – разрешение на опытную эксплуатацию удостоверяющего центра. Второй – придание статуса уполномоченного удостоверяющего центра, когда удостоверяющий центр наделяется статусом специального центра при ведомстве, корпорации. Институт уполномоченных удостоверяющих центров также является здоровой альтернативой созданию удостоверяющих центров на базе ведомств. В качестве практического примера могу привести специальное соглашение Пенсионного Фонда РФ и Удостоверяющего центра ekey.ru о проведении пилотных проектов на территории Ульяновской Области и Республики Башкортостан.

Читайте также:  Верификация подписи — Википедия. Что такое Верификация подписи

— Каковы ближайшие планы и перспективы?
— В сеть удостоверяющих центров ekey.ru вошли уже 15 регистрационных центров. В ближайшие месяцы мы планируем расширяться и приглашаем региональные IT- и телекоммуникационные компании к сотрудничеству. Несмотря на то, что для самого удостоверяющего центра инвестиционный цикл составляет до пяти лет, регистрационным центрам мы предлагаем схему, в которой выход на доходность начинается с первых десятков продаж. Это достигается за счет того, что стартовые затраты регистрационного центра невысоки. Нет стартовых затрат на аренду специализированного офиса, покупку оборудования, привлечение новых сотрудников, поскольку нашими регистрационными центрами становятся уже зарекомендовавшие себя на региональном рынке компании. Им достаточно оплатить сбор в размере 15,5 тыс. руб.

Виды асимметричных алгоритмов

Как было сказано выше, чтобы применение ЭП имело смысл, необходимо, чтобы вычисление легитимной подписи без знания закрытого ключа было вычислительно сложным процессом.

Обеспечение этого во всех асимметричных алгоритмах цифровой подписи опирается на следующие вычислительные задачи:

Вычисления тоже могут производиться двумя способами: на базе математического аппарата эллиптических кривых (ГОСТ Р 34.10-2021, ECDSA) и на базе полей Галуа (ГОСТ Р 34.10-94, DSA)[6].

В настоящее время[когда?] самые быстрые алгоритмы дискретного логарифмирования и факторизации являются субэкспоненциальными.

Алгоритмы ЭП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением документа[7]. При верификации цифровых подписей с восстановлением документа тело документа восстанавливается автоматически, его не нужно прикреплять к подписи.

Схемы электронной подписи могут быть одноразовыми и многоразовыми. В одноразовых схемах после проверки подлинности подписи необходимо провести замену ключей, в многоразовых схемах это делать не требуется.

Также алгоритмы ЭП делятся на детерминированные и вероятностные[7]. Детерминированные ЭП при одинаковых входных данных вычисляют одинаковую подпись. Реализация вероятностных алгоритмов более сложна, так как требует надежный источник энтропии, но при одинаковых входных данных подписи могут быть различны, что увеличивает криптостойкость. В настоящее время многие детерминированные схемы модифицированы в вероятностные.

В некоторых случаях, таких как потоковая передача данных, алгоритмы ЭП могут оказаться слишком медленными. В таких случаях применяется быстрая цифровая подпись. Ускорение подписи достигается алгоритмами с меньшим количеством модульных вычислений и переходом к принципиально другим методам расчёта.

Использование хеш-функций

Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хеш. Для вычисления хеша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хеш-функция.

Использование хеш-функций даёт следующие преимущества:

  • Вычислительная сложность. Обычно хеш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хеша являются более быстрыми, чем алгоритмы ЭП. Поэтому формировать хеш документа и подписывать его получается намного быстрее, чем подписывать сам документ.
  • Совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хеш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат.
  • Целостность. Без использования хеш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.

Использование хеш-функции не обязательно при электронной подписи, а сама функция не является частью алгоритма ЭП, поэтому хеш-функция может использоваться любая или не использоваться вообще.

В большинстве ранних систем ЭП использовались функции с секретом, которые по своему назначению близки к односторонним функциям. Такие системы уязвимы для атак с использованием открытого ключа (см. ниже), так как, выбрав произвольную цифровую подпись и применив к ней алгоритм верификации, можно получить исходный текст.[5] Чтобы избежать этого, вместе с цифровой подписью используется хеш-функция, то есть, вычисление подписи осуществляется не относительно самого документа, а относительно его хеша.

В этом случае в результате верификации можно получить только хеш исходного текста, следовательно, если используемая хеш-функция криптографически стойкая, то получить исходный текст будет вычислительно сложно, а значит атака такого типа становится невозможной.

История возникновения

В 1976 году Уитфилдом Диффи и Мартином Хеллманом было впервые предложено понятие «электронная цифровая подпись», хотя они всего лишь предполагали, что схемы ЭЦП могут существовать.[1]

В 1977 году Рональд Ривест, Ади Шамир и Леонард Адлеман разработали криптографический алгоритм RSA, который без дополнительных модификаций можно использовать для создания примитивных цифровых подписей.[2]

Вскоре после RSA были разработаны другие ЭЦП, такие, как алгоритмы цифровой подписи Рабина, Меркле.

В 1984 году Шафи Гольдвассер, Сильвио Микали и Рональд Ривест первыми строго определили требования безопасности к алгоритмам цифровой подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям (Криптосистема Гольдвассер — Микали).[3]

Литература

  • Рябко Б. Я., Фионов А. Н.Основы современной криптографии для специалистов в информационных технологияхНаучный мир, 2004. — 173 с. — ISBN 978-5-89176-233-6
  • Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. — «Гелиос АРВ», 2002. — 480 с. — ISBN 5-85438-137-0.
  • Нильс Фергюсон, Брюс Шнайер. Практическая криптография = Practical Cryptography: Designing and Implementing Secure Cryptographic Systems. — М. : Диалектика, 2004. — 432 с. — 3000 экз. — ISBN 5-8459-0733-0, ISBN 0-4712-2357-3.
  • Б. А. Фороузан.Схема цифровой подписи Эль-Гамаля // Управление ключами шифрования и безопасность сети / Пер. А. Н. Берлин. — Курс лекций.
  • Menezes A. J., Oorschot P. v., Vanstone S. A.Handbook of Applied Cryptography (англ.)CRC Press, 1996. — 816 p. — (Discrete Mathematics and Its Applications) — ISBN 978-0-8493-8523-0
  • Мао В.Современная криптография: Теория и практика / пер. Д. А. КлюшинаМ.: Вильямс, 2005. — 768 с. — ISBN 978-5-8459-0847-6

Манипуляции с электронными подписями в россии

  • Другой способ манипуляции с электронными подписями заключается в том, что клиенту предлагают дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра, в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации[26]. В результате подобных действий, вызванных, по мнению специалистов правовой системы «Гарант», тем что «IT-функции в деятельности УЦ преобладают над его юридической сущностью», электронная подпись может быть использована недобросовестными третьими лицами[27]. Однако, в 2021 году предложение Минкомсвязи передать функции выдачи усиленной квалифицированной электронной подписи (УКЭП) от частных компаний государству не нашло понимания других министерств и ведомств[28].

Россия

Согласно Гражданскому кодексу РФ, квалифицированная электронная подпись предназначена для определения лица, подписавшего электронный документ, и является аналогом собственноручной подписи в случаях, предусмотренных законом[13].

Читайте также:  Как получить ЭЦП онлайн в Казахстане в 2020 году | NUR.KZ

Квалифицированная электронная подпись применяется при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий[14].

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2021 года № 63-ФЗ «Об электронной подписи».

После становления ЭП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного документооборота между налоговыми органами и налогоплательщиками.

Начал работать приказ Министерства по налогам и сборам РФ от 2 апреля 2002 года № БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи». Он определяет общие принципы информационного обмена при представлении налоговой декларации в электронном виде по телекоммуникационным каналам связи.

В законе РФ от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи» описаны условия использования ЭП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.

Благодаря ЭП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете через системы электронной торговли, обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур[15].

В силу требований Федерального закона от 5 апреля 2021 года № 44-ФЗ «О контрактной системе…» государственные контракты, заключаемые в электронном виде, должны быть подписаны усиленной электронной подписью[16].

С 13 июля 2021 согласно Федеральному закону № 108-ФЗ официально вступила в действие правовая норма, продлевающая действие 1-ФЗ «Об электронной цифровой подписи» до 1 июля 2021 года. В частности, решено в части 2 статьи 20 Федерального закона от 6 апреля 2021 года № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2021, № 15, ст. 2036)

Однако Федеральным законом от 02.07.2021 № 171-ФЗ внесены изменения в статью 19 Федерального закона от 06.04.11 № 63-ФЗ «Об электронной подписи». В соответствии с этим электронный документ, подписанный электронной подписью, сертификат ключа проверки которой выдан в период действия федерального закона № 1-ФЗ, признаётся подписанным квалифицированной электронной подписью.

С 1 июля 2021 года Федеральный закон от 10 января 2002 года № 1-ФЗ утратил силу, на смену ему пришёл Федеральный закон от 6 апреля 2021 года № 63-ФЗ «Об электронной подписи». В результате было введено определение трех видов электронных подписей:

  • Простойэлектронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определённым лицом.
  • Усиленной неквалифицированной электроннойподписью является электронная подпись, которая:
  1. получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
  2. позволяет определить лицо, подписавшее электронный документ;
  3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
  4. создается с использованием средств электронной подписи.
  • Усиленной квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
  1. ключ проверки электронной подписи указан в квалифицированном сертификате;
  2. для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с 63-ФЗ

С 1 января 2021 года гражданам выдаётся универсальная электронная карта, в которую встроена усиленная квалифицированная электронная подпись (выпуск карт прекращён с 1 января 2021 года[18]).

8 сентября 2021 года в Крымском федеральном округе (КФО) аккредитован первый удостоверяющий центр на базе Государственного унитарного предприятия «Крымтехнологии». Соответствующие полномочия утверждены приказом Министерства связи и массовых коммуникаций Российской Федерации № 298 «Об аккредитации удостоверяющих центров» от 11 августа 2021 года.[19]

ЭП применяется в системе контроля над объёмом производства и оборота этилового спирта, алкогольной продукции и пива ЕГАИС.

Симметричная схема

Симметричные схемы ЭП менее распространены, чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи, основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятия ЭП Диффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощью блочного шифра.[1] Асимметричные схемы цифровой подписи опираются на вычислительно сложные задачи, сложность которых ещё не доказана, поэтому невозможно определить, будут ли эти схемы сломаны в ближайшее время, как это произошло со схемой, основанной на задаче об укладке ранца.

Также для увеличения криптостойкости нужно увеличивать длину ключей, что приводит к необходимости переписывать программы, реализующие асимметричные схемы, и в некоторых случаях перепроектировать аппаратуру.[4] Симметричные схемы основаны на хорошо изученных блочных шифрах.

В связи с этим симметричные схемы имеют следующие преимущества:

  • Стойкость симметричных схем ЭП вытекает из стойкости используемых блочных шифров, надежность которых также хорошо изучена.
  • Если стойкость шифра окажется недостаточной, его легко можно будет заменить на более стойкий с минимальными изменениями в реализации.

Однако у симметричных ЭП есть и ряд недостатков:

  • Нужно подписывать отдельно каждый бит передаваемой информации, что приводит к значительному увеличению подписи. Подпись может превосходить сообщение по размеру на два порядка.
  • Сгенерированные для подписи ключи могут быть использованы только один раз, так как после подписывания раскрывается половина секретного ключа.

Из-за рассмотренных недостатков симметричная схема ЭЦП Диффи-Хелмана не применяется, а используется её модификация, разработанная Березиным и Дорошкевичем, в которой подписывается сразу группа из нескольких бит. Это приводит к уменьшению размеров подписи, но к увеличению объёма вычислений.

Управление открытыми ключами

Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу.

Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные.

В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.

Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзы́в истекших и компрометированных сертификатов и ведёт базы (списки) выданных и отозванных сертификатов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector