Электронный ключ (цифровая подпись), возможно ли их подделать | Пикабу

Атака на инкрементальное сохранение (isa)

Этот класс атак заключается в переопределении структуры и контента в добавочной секции документа. Идея в том, что подпись вычисляется на основе диапазона байтов, указанного в

ByteRange

, а добавочная секция не попадает в этот диапазон, как показано на рис. 5.

Рис. 5. При добавлении контента в добавочную секцию не нарушается цифровая подпись

Есть несколько способов, как обойти проверку на изменение документа и блокировать показ соответствующего предупреждения в программе просмотра PDF-документов.

Атака на обёртку подписи (swa)

Наконец, последний класс атак позволяет обойти проверку подписи без инкрементального сохранения, а путём перемещения подписанной части PDF в конец документа и повторного использования указателя

xref

в подписанном

Trailer

на изменённую таблицу Xref. При этом чтобы избежать обработки перемещённой части, она может быть обёрнута в какой-нибудь посторонний объект, например,

stream

или

dictionaryРис. 6. Сравнение оригинального и изменённого документов PDF

Вопросы квалификации деяний, связанных с электронной подписью

В дополнение к аналогии с незаконным оборотом оружия важно упомянуть, что уголовное право так же пресекает другие преступления, которые непосредственно при их совершении еще не имеют наступивших опасных последствий, но явно нацелены на их наступление. Это ст.

186 УК РФ (“Изготовление, хранение, перевозка или сбыт поддельных денег или ценных бумаг”). Для того, чтобы преступление стало совершенным, достаточно установить факт изготовления, хранения или перевозки поддельных денег, а также цель этих действий – сбыт.

Общественная опасность при изготовлении поддельных денег потенциальна, но она наступает сразу после введения таких подделок в гражданский оборот ввиду подрыва экономической безопасности государства. В похожем смысле можно говорить и о незаконном приобретении электронной подписи.

Цель такого приобретения всегда состоит в потенциальном распоряжении чужими правами и обязанностями. Очевидно, что иных намерений, кроме как незаконно, без воли на то настоящего владельца, обладать возможностью подписывать документы от имени другого лица и распоряжаться чужими правами, быть не может.

Говоря об общественной опасности незаконного приобретения электронной подписи, важно упомянуть, что такое деяние нельзя квалифицировать как подготовку или покушение на совершение преступления. Оба этих действия содержат такие признаки субъективной стороны, как мотив и умысел на совершение конкретного, понятного злоумышленнику преступления.

В то же время умысел на незаконное приобретение электронной подписи может не содержать в себе понимания конкретных целей ее дальнейшего использования, но всегда направлен на получение возможности распоряжаться правами и обязанностями заранее известного или случайного лица.

Для наступления общественно опасных последствий, позволяющих выделить незаконное приобретение электронной подписи как самостоятельное правонарушение, должен обязательно присутствовать умысел. Сотрудник УЦ может действовать как умышленно, так и неосторожно, а также он может быть просто введен в заблуждение незаконным приобретателем, например путем предоставления поддельных документов, удостоверяющих личность. В таком случае умысел очевиден уже на стороне приобретателя электронной подписи.

В то же время отметим, что приобретатель электронной подписи, не являющийся ее законным владельцем, не всегда желает или допускает причинение своими действиями вреда. Например, случайный человек может просто найти носитель с чужой подписью. Также на практике распространена передача носителя электронной подписи руководителем бухгалтеру или другому подчиненному с целью распоряжения таким лицом правами руководителя от его имени.

Такая практика, безусловно, является нарушением требований информационной безопасности, но в контексте обсуждаемой проблемы не является преступлением. Отсюда следует, что наличием признаков общественной опасности при завладении возможностью распоряжаться чужими правами и обязанностями путем приобретения электронной подписи обладают только те деяния, которые совершены с прямым умыслом, без ведома законного владельца.

Обезопасьте себя от мошенничества с электронной подписью | фнс россии | 56 оренбургская область

Дата публикации: 01.06.2020 08:55

Налоговые органы Оренбургской области обращает внимание заявителей на участившиеся случаи неправомерного использования квалифицированной электронной подписи при регистрации бизнеса, в частности, когда без ведома заявителя на него регистрируется юридическое лицо.

Если вы обнаружили, что стали руководителем, либо владельцем компании, или зарегистрированы в качестве индивидуального предпринимателя, но при этом никаких регистрационных действий не совершали, необходимо незамедлительно обратиться в регистрирующий орган по месту нахождения юридического лица, чтобы пресечь данные неправомерные действия.

Для внесения в Единый государственный реестр юридических лиц сведений о недостоверности данных о вас как о руководителе и (или) учредителе (участнике) юридического лица, необходимо представить «Заявление физического лица о недостоверности сведений о нем в Едином государственном реестре юридических лиц» по форме № Р34001 одним из способов, установленных пунктом 6 статьи 9 Федерального закона от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей».

Подделка цифровой подписи

Исследователи описывают три способа подделки с изменением содержимого подписанных PDF-документов.

  • универсальная подделка подписи (Universal Signature Forgery, USF);
  • атака на инкрементальное сохранение (Incremental Saving Attack, ISA);
  • атака на обёртку подписи (Signature Wrapping Attack, SWA).

Предупреждение незаконного приобретения электронной подписи

Причиной возникновения проблем можно считать относительно доступную возможность реализовать преступные планы через незаконное приобретение и использование электронной подписи. Незаконное приобретение электронной подписи означает, что ключ электронной подписи и его материальный носитель оказался в руках не того лица, для которого эта подпись предназначена, без ведома владельца “цифрового профиля”.

Можно определить способы незаконного приобретения электронной подписи:

  • введение в заблуждение сотрудника УЦ, который при выдаче подписи уверен, что подпись выдается ее настоящему владельцу;
  • вступление в сговор с сотрудниками УЦ, которые изготавливая или выдавая подпись знают, что делают это для ненадлежащего лица;
  • незаконное изъятие, например – кража носителя с подписью у ее владельца.

Все три способа предполагают заранее имеющееся намерение злоумышленника на незаконное владение носителя с подписью. При этом необязательно, чтобы умысел был направлен на приобретение подписи конкретного лица. Получая электронную подпись любого человека или юридического лица, ее незаконный обладатель получает широкие возможности распоряжения его правами.

Такие злонамеренные действия, направленные на незаконное приобретение чужой подписи, уже сами по себе являются общественно опасными. Отсутствие ответственности за такие действия стимулирует на их совершение, создает риски дестабилизации общественных отношений массовыми слабоконтролируемыми нарушениями прав частной собственности, например. С чем можно сравнить подобные деяния? Имеются ли в арсенале уголовного права инструменты борьбы с подобными явлениями?

Читайте также:  Каким видом ЭП подписывать электронную «первичку» |

В качестве аналогии можно привести ст. 222 Уголовного кодекса, устанавливающую ответственность за незаконные приобретение, передачу, сбыт, хранение, перевозку или ношение огнестрельного оружия. Не углубляясь в подробный анализ данной нормы, выделим важный момент.

Оружие характеризуется потенциальной опасностью, поскольку может служить орудием преступления. Само по себе приобретение, хранение и другие запрещенные действия с оружием не причиняют вреда. Но все эти действия провоцируют риски совершения деяний, имеющих очевидную и значительную общественную опасность.

И если с помощью оружия можно причинить физический вред здоровью и жизни, уничтожить или повредить имущество, то с помощью цифровой подписи можно распорядиться правами физического или юридического лица без его ведома, ему во вред. Мягкость формулировки о возможности незаконно распорядиться правами скрывает в себе такую же очевидную, не менее значимую опасность, как и при незаконном распоряжении оружием.

Конечно, здесь мы не увидим прямого физического вреда жизни и здоровью, но очевидна опасность незаконного распоряжения чужими правами. Тяжесть экономических последствий ограничивается лишь воображением злоумышленника и может достигать существенных масштабов.

Создание подписи


Добавление цифровой подписи в PDF-документ полагается на механизм инкрементального сохранения (см. рис. 1). При добавлении подписи во время инкрементального сохранения в документ добавляется следующий контент:

  • новый Catalog с новый параметром Perms, который определяет разрешения на изменение документа; этот параметр ссылается на объект Signature;
  • объект Signature (5 0 obj) с информацией о криптографических алгоритмах, использованных для хэширования и подписи документа, с параметром Contents, который содержит hex-кодированный блоб PKCS7 — в нём хранятся сертификаты и значение подписи, созданной с помощью приватного ключа, который соответствует открытому ключу в сертификате. Параметр ByteRange определяет, какие байты PDF-файла используются на входе функции хэширования для вычисления подписи (пары a, b и c, d), то есть какая часть файла подписывается;
  • новая таблица Xref со ссылкой на новый объект;
  • новый Trailer.

На рис. 3 приведена упрощённая схема PDF-файла с цифровой подписью.

Рис. 3. Упрощённая схема PDF-файла с цифровой подписью

Согласно текущим спецификациям, рекомендуется подписывать весь файл, за исключением блоба PKCS7.

Проверку подписи осуществляет приложение, в котором открывается PDF-документ. Оно сразу извлекает подпись из PDF и применяет криптографические операции для проверки её корректности, а затем проверят, можно ли доверять сертификату X.509, ключи которого использовались для подписи.

Что характерно, все приложения для чтения PDF не доверяют встроенному в операционную систему хранилищу ключей. Как и браузер Firefox, они распространяют собственное хранилища ключей и обычно позволяют пользователю указать хранилище с доверенными сертификатами. Эта функция позволяет доверять только определённым сертификатам, например, от собственного центра сертификации.

Структура pdf

Рис. 2. Структура документа PDF

Структура документа PDF изображена на рис. 2. При инкрементальном сохранении изменений в PDF-документ добавляются новые объекты в body, а также новая таблица Xref с описанием новых объектов и новый trailer со ссылками на catalog (см. рис. 1).

Каждый объект начинается с номера объекта и номера версии, который увеличивается при каждом обновлении объекта.

Рис. 2. Структура объекта PDF

Универсальная подделка подписи (usf)

Атака USF предусматривает

отключение проверки подписи

в приложении, которое открывает PDF. При этом пользователю выводится нормальное сообщение об успешной валидации подписи. Это делается с помощью манипуляции объектом

Signature

в документе: или внутри этого документа создаётся некорректная запись, или из файла удаляется ссылка на сам объект. Хотя программа просмотра PDF не может проверить корректность подписи, но в некоторых случаях программа всё равно показывает её наличие, что удовлетворяет целям злоумышленника.

Исследователи сформулировали 18 векторов атаки USF, восемь из них показаны на рис. 4.

Рис. 4. Восемь вектором атаки для обхода проверки цифровой подписи

Все эти способы работают в том случае, если программа просмотра PDF неправильно осуществляет проверку цифровой подписи.

Условия и порядок идентификации требуют проработки

В исторической ретроспективе “электронная подпись” – явление относительно новое. Прежде всего, необходимо отметить, что сама технология изготовления ключей электронной подписи в соответствии с отечественными криптоалгоритмами очень надежна, способов математически ее “подделать” не существует.

Таким образом, доверие к сертифицированным средствам электронной подписи, и как следствие, к механизмам аутентификации с их использованием, очень высоко. Другим важным условием законного оборота является доверие к информации, внесенной в сертификат электронной подписи.

Доверие на этом уровне определяется надежностью процедуры идентификации лица, которое получает сертификат. Учитывая, что порядок и условия идентификации в действующем Федеральном законе от 6 апреля 2021 г. № 63-ФЗ “Об электронной подписи” (далее – Закон № 63-ФЗ) недостаточно описаны, именно здесь возникают первичные предпосылки для нарушения закона.

Действующее законодательство содержит целый комплекс мер, регулирующих требования к удостоверяющим центрам (далее – УЦ). Новые законопроекты, по мнению экспертного сообщества, содержат множество новаций, но по-прежнему не уделяют достаточного внимания процедурам идентификации.

Эксперты отмечают, что важно избежать избыточного ограничения возможности применения электронной подписи. “Монополизация” выпуска сертификатов электронной подписи государством несет риск снижения удобства и потенциальных экономических выгод, но при этом не решает проблему в корне ее возникновения – на уровне идентификации владельца сертификата и внесения соответствующей информации в сертификат электронной подписи.

Рассматривая предложения об ужесточении требований к финансовому состоянию УЦ, необходимо отметить, что в настоящее время информация о доказанных случаях причинения прямого ущерба в результате деятельности УЦ, отсутствует. Предположения о системных нарушениях закона не подтверждаются судебной практикой.

Это косвенно свидетельствует о достаточности предпринятых регулятором организационных и финансовых мер обеспечения ответственности УЦ. В то же время, исходя из анализа нарушений, можно увидеть, что они связаны, главным образом, с недостаточным уровнем идентификации лиц, обратившихся за сертификатом электронной подписи.

  • установления строгого порядка идентификации заявителя либо его представителя со стороны УЦ;
  • исключении использование рукописной доверенности;
  • введения требований об обязательной личной явке лица, обратившегося за выпуском сертификата электронной подписи, либо его представителя, полномочия которого подтверждаются нотариальной доверенностью.
Читайте также:  ЭЦП для маркировки | Электронная подпись для Честный ЗНАК

Эксперимент: электронный ключ, позволяющий переоформить квартиру, можно получить на любого человека/

Читайте также:  Федеральный закон 63 ФЗ об электронной цифровой подписи — что нового привнёс закон, последние новости | BanksToday

Занимательный факт:

к дополнительным мошенническим факторам можно отнести шаблоны, используемые при регистрации доменов. При анализе выборки сразу бросаются в глаза конструкции «L-WWW-companyname.RU», «companyname-3DS.RU», «companyname-C2C.RU» и т.п., зарегистрированные по ряду компаний за короткий промежуток времени.

З.Ы. Тег “моё”, потому что

пост

на Хабре мой.

Эффективность атак

Исследователи проверили эффективность каждого типа атаки в разных программах для просмотра PDF. Не удалось обмануть только

Adobe Reader 9 под Linux

. Во всех остальных программах проверка подписи обходится одним или несколькими способами.

Не лучше ситуация и с сервисами онлайновой проверки цифровой подписи PDF.

Выводы и предложения

Оборот электронной подписи важен, способствует развитию экономических отношений. В то же время противоправные деяния, совершенные с помощью электронной подписи, приводят к преступлениям, например – мошенничеству, где материальный носитель электронной подписи является орудием преступления в руках исполнителя.

Расследование таких преступлений требует специальной квалификации и серьезных усилий от правоохранительных органов. Важно предупреждать такие преступления, для этого законодатель должен модифицировать правовое поле в сфере оборота электронной подписи.

Прямых путей совершенствования законодательства два: регулирование порядка и условий идентификации лица при введении в оборот его сертификата электронной подписи, а также обеспечение всесторонней ответственности участников взаимоотношений в данной сфере, в том числе превентивно – на ранних этапах оборота электронной подписи.

1. В части совершенствования процедур важно помнить, что избыточная зарегулированность оборота электронной подписи имеет негативные последствия, сдерживает эффективный документооборот, ограничивает возможности экономических отношений, судопроизводства и т. д.

Имеющаяся нормативная база в достаточной степени регулирует требования к обеспечению ответственности УЦ. При этом важно дополнительно проработать необходимые и достаточные условия, а также детальный порядок идентификации лиц при вводе в оборот их электронной подписи.

2. В части ответственности участников оборота электронной подписи законодателем пока упускается из виду, что сотрудник УЦ – не единственный субъект такого оборота. Именно физические лица – незаконные приобретатели – чаще всего совершают противоправные деяния, завладевая данными чужого “цифрового профиля” и чужой электронной подписью.

Незаконно приобретенная электронная подпись может служить только орудием совершения преступления или средством причинения вреда как гражданам, так и организациям. Ни для каких правомерных целей незаконно приобретенная электронная подпись служить не может.

Отсюда, выглядит целесообразным модернизация уголовного законодательства через введение в УК РФ новой статьи, устанавливающей уголовную ответственность за умышленное незаконное приобретение электронной подписи, а также использование такой подписи без воли на то ее законного владельца.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector