Стандарт ЭЦП
В связи с введением в информационное пространство понятия «электронная подпись» в России был разработан ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации». Введен стандарт в оборот 01.07.2002 года. Затем под влиянием развивающихся технологий и меняющихся требований к безопасности был создан национальный стандарт ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной подписи».
Переход на новый ГОСТ стал длительным по нескольким причинам. Аккредитованным центрам для работы по ГОСТу необходимо приобрести новое оборудование, отвечающее требованиям документа. Также требуется время для подготовки информационной системы к приему и проверке электронных подписей по новому стандарту.
С учетом обстоятельств ФСБ выпустило официальное Письмо от 07.09.2018 г. под номером 149/7/6-363 о продлении срока действия старого ГОСТа до 31.12.2019 г. Следом Министерство цифрового развития, связей и массовых коммуникаций распространило Уведомление о переходе на ЭП по ГОСТу от 2012 г:
- Срок действия первого стандарта продлен до 31.12.2019 г.;
- До конца 2018 принимаются сертификаты по ГОСТу-2001;
- С 01.01.2019 г. аккредитованные УЦ обязаны остановить выпуск квалифицированных сертификатов по старому ГОСТу;
- УЦ обязаны сообщить владельцам сертификатов старого образца, что с 01.01.2019 г. сертификаты по ГОСТу-2001 будут недействительны.
Кросс-сертификаты Удостоверяющего Центра
В Федеральном законе от 06.04.2011 № 63-ФЗ говорится о том, что для подтверждения принадлежности ключа проверки ЭП автору документа сертификат может не использоваться. Сейчас он требуется только для квалифицированной ЭП.
1) уникальный номер квалифицированного сертификата, даты начала и окончания его действия;
2) для физлица: ФИО и СНИЛС владельца сертификата;
для юрлица: наименование, место нахождения, ИНН и ОГРН владельца сертификата;
3) ключ проверки ЭП;
4) наименования средств ЭП и средств удостоверяющего центра (УЦ), с помощью которых созданы ключ ЭП, ключ проверки ЭП УЦ, квалифицированный сертификат;
6) наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат, номер квалифицированного сертификата УЦ;
7) ограничения использования квалифицированного сертификата.
Нужна электронная подпись? Подберите сертификат под вашу задачу
Требования к форме квалифицированного сертификата установлены Приказом ФСБ РФ от 27.12.2011 № 795. Для ограничения использования сертификата есть, например, дополнение keyUsage, содержащее серию флагов, с помощью которых устанавливается, где ключ проверки электронной подписи не может применяться. Флаг keyCertSign в дополнении keyUsage означает, что область использования ключа включает проверку подписей под квалифицированными сертификатами.
Чем отличается новый ГОСТ от старого
Первая форма государственного стандарта от 23.05.1993 г. называется «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки цифрового реквизита на базе асимметричного криптографического алгоритма». Этот стандарт был разработан для установления процесса выработки и проверки ЭД с использованием цифровой подписи.
Старый ГОСТ и его редакция от 2001 года имеют много общего. Основные различия заключаются в следующем:
- В первой редакции предусмотрено проведение части операций над полем. В новой версии это действие происходит над точками эллиптической кривой;
- Различный механизм получения числа p{displaystyle p}, q {displaystyle q} и a {displaystyle a}.
Электронная подпись ГОСТ 34, разработанная в 2001 году, имеет более высокий уровень защиты, чем ее предшественник. Однако базовые понятия и термины остались в новой формулировке стандарта неизменны.
Создание ЭП состоит из 3 последовательных процессов:
- Формирование ключа;
- Создание подписи;
- Проверка ЭП.
Этап генерации ключей в стандарте не рассматривается, поскольку методы их реализации зависят от субъектов, принимающих участие в процессе. Данные субъекты устанавливают параметры самостоятельно. Механизм создания цифровой подписи осуществляется в 2 этапа: формирование и проверка. Цель процесса — установление личности, заверившей электронный документ.
Дополнительно ЭП позволяет:
- Контролировать целостность и неизменность документа после его заверения;
- Подтвердить доказательно подпись ЭД;
- Защитить документ от подделки и вмешательства сторонних лиц.
В поле «Текст» содержится информация о времени или личные данные субъекта, заверившего документ. Данная схема является обязательной к реализации с использованием группы точек эллиптической кривой, которая задается от конечного простого поля. Обязательным также является применение в работе хэш-функции.
Формирование ЭЦП
Получение ЭП под сообщением происходит в несколько этапов по определенному алгоритму:
- Вычисление хэшированного сообщения;
- Вычисление двоичного числа;
- Генерация псевдослучайного числа, походящего по условиям к неравенству;
- Вычисление точки ЭК;
- Вычисление двоичного вектора и определение электронной подписи, как конкатенации пары двоичных векторов.
На выходе получается уникальный набор зашифрованных символов, подтверждающий авторство и устанавливающий личность заверителя.
Проверка ЭП
После формирования ЭП происходит процесс ее проверки, который также состоит из нескольких этапов. На первом вычисляются целые числа, а при получении неравенства 0{amp}lt;r
Затем определяется целое число: и вычисляются значения для
После определения точек эллиптической прямой и решения уравнения проверяется равенство R=r.
При выполненном условии подпись принимается, при невыполненном является неверной.
Аккредитованный удостоверяющий центр
Как уже было сказано выше, сертификат ключа проверки ЭП выдает УЦ в электронном или бумажном виде. УЦ, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным УЦ и получает право выдавать квалифицированные сертификаты (список аккредитованных УЦ).
При выдаче квалифицированного сертификата аккредитованный УЦ должен не только установить личность обратившегося лица, но и внести в специальную базу данных (реестр сертификатов) серию, номер и дату выдачи документа, использовавшегося для установления личности.
Аккредитованный УЦ должен регулярно публиковать специальную выписку из реестра сертификатов (список отозванных сертификатов), содержащую номера квалифицированных сертификатов, которые прекратили действие по решению суда или по обращению владельца сертификата.
Подробно об обязанностях и функционале аккредитованного УЦ написано в ст. 15 Федерального закона от 06.04.2011 № 63-ФЗ.
Чтобы получить электронную подпись, для начала нужно определить, какой сертификат ЭП вам нужен для работы, с какой целью вы будете его использовать. Если вы планируете получить сертификат в Удостоверяющем центре СКБ Контур, то воспользуйтесь мастером подбора сертификата и заполните заявку на сайте.
Подготовить необходимые документы перед визитом в центр выдачи можно с помощью мастера подбора документов.
Для получения сертификата придется лично прийти в центр выдачи с оригиналами документов или их заверенными копиями, оплаченным счетом или копией платежного поручения, заверенной банком.
Термины и обозначения
В ГОСТе от 2012 года больше внимания уделяется вопросам защиты сообщений от искажений и подделок. Терминология и концепция нового стандарта связана с соответствующими стандартами ИСО — Международной организации по стандартизации. Предназначен ГОСТ для использования при создании новых систем обработки информации и усовершенствования действующих.
К основным терминам ГОСТа относят:
- Дополнение. Это строка бит, состоящая из цифровой подписи и текста;
- Ключ подписи (КП) — уникальная комбинация зашифрованной информации, предназначенная для конкретного пользователя и используемая при создании подписи;
- Ключ проверки — это элемент информации, связанный математической функцией с КП. Без него невозможна проверка подписи;
- Параметр схемы ЭЦП — часть данных, общая для всех лиц схемы электронной подписи, и известная или доступная всем пользователям;
- Процесс создания подписи. Основан он на одновременном использовании сообщения, ключа подписи и параметров схемы;
- Свидетельство — часть информации, подтверждающей достоверность ЭП.
Также термины включают в себя:
- Последовательность псевдослучайных чисел. Это результат выполнения арифметического действия, использованная взамен последовательности случайных чисел;
- Процесс проверки ЭП. Проводится для подтверждения правильности ЦП с использованием подписанного сообщения, ключа проверки и параметров схемы;
- Сообщения — определяются как строчки бит с определенной длиной;
- Случайное число — число, выбранное из массы чисел так, что вероятность выбора каждой отдельной цифры одинакова;
- Хэш-код — это строка, имеющая внутреннюю структуру, которая зависит от определенного метода создания ЭП. Является результатом формирования подписи.
Хэш-функция — функция, преображающая строку бит в строку определенной длины с 3 свойствами:
- Ее значение не позволяет определить данные, отраженные в значении;
- Для заданной исходной информации сложно подобрать данные, чтобы получить аналогичный результат;
- Невозможно вычислить другую пару исходных данных с аналогичным значением хэш-функции.
В ГОСТе для сохранения преемственности терминологии с действующей российской нормативной документаций термины «цифровая» и «электронная цифровая подпись» являются равнозначными.
К основным обозначениям, описанным в стандарте, относят:
- Vl — объем всех доступных двоичных векторов с длиной l бит;
- V — объем всех доступных произвольных по длине двоичных векторов;
- Z — целые числа;
- p — простые числа от 3 до бесконечности;
- F(p) — простое поле, состоящее из множества простых целых чисел;
- M — сообщение, созданное пользователем;
— объединение пары двоичных векторов;- a,b — данные эллиптической кривой;
- m — группы точек, расположенные на кривой;
- q — подгруппа точек эллиптической кривой;
- O — нулевая точка на кривой;
- P — точка эллиптической кривой, принадлежащая к подгруппе;
- d — целое число в ключе электронной подписи.
Специальное обозначение имеет точка на эллиптической кривой, принадлежащая ключу проверки и цифровая подпись, поставленная под сообщением пользователя.
Как подписать документ электронной подписью
Допустим, вы получили квалифицированный сертификат электронной подписи и хотите начать им пользоваться. Что для этого нужно?
- Прежде чем подписать документ ЭП, убедитесь в его окончательной версии. После того, как будет создана ЭП, внести в него изменения не получится.
- Позаботьтесь о наличии средств ЭП (в УЦ СКБ Контур настройка компьютера для работы с ЭП проходит автоматически) и программ для создания ЭП.
Для подписания ЭП документов формата Word и Excel есть несколько возможностей. Первая предполагает установку и использование платного программного модуля КриптоПро Office Signature (бесплатно он доступен только в рамках тестового периода). Однако у этого варианта есть несколько особенностей. Во-первых, алгоритм подписания в разных версиях Word отличается. Во-вторых, если создать подпись в одной версии программы, а проверять в другой, то результат может оказаться некорректным.
Модуль КриптоПро PDF используется для создания и проверки ЭП в Adobe Acrobat, Adobe Reader и Adobe LiveCycle ES.
Установка специальной программы (например, КриптоАРМ) позволит подписывать документы любого формата: rar,.jpeg,.png,.ppt, видео, базы данных и т.д. Но бесплатно доступна только базовая версия КриптоАРМ Старт, в которой заложен минимум возможностей. Остальные версии — платные, и цена зависит от функциональности.
Наконец, с помощью бесплатного веб-сервиса Контур.Крипто можно подписать документ любого формата без необходимости установки специальных программ. Сервис работает с подписью, выпущенной любым УЦ. С помощью Контур.Крипто вы можете создать и проверить ЭП, зашифровать и расшифровать электронный файл, а также подписать пакет файлов или архивов, создать подпись документа двумя и более лицами.
Контрольный пример
Для примера и понимания, как работает механизм и схема электронной подписи, можно разобрать случай со следующими заданными параметрами:
- Модулю эллиптической кривой присвоено значение 5789604461865809771178549250434395392//634992332820282019728792003956564821041 в степени 10 и p=8000000000000000000000000000000000000000000000000000000000000431 в степени 16;
- Коэффициенты кривой со значением для а — 7 в 10 степени и 7 в 16 степени, для b — 43308876546767276905765904595650931995//942111794451039583252968842033849580414 в 10 степени и 5FBFF498AA938CE739B8E022FBAFEF40563F6E6A3472FC2A514C0CE9DAE23B7E в 16 степени.
При расчете порядка группы точек на ЭК принимают значение m, равное 5789604461865809771178549250434395392//7082934583725450622380973592137631069619 в 10 степени и m=8000000000000000000000000000000150FE8A1892976154C59CFC193ACCF5B3 в 16 степени. Для расчета порядка подгруппы циклической группы точек на ЭК значение для
q=8000000000000000000000000000000150FE8A1892976154C59CFC193ACCF5B3 в 16 степени.
Ключ проверки цифровой подписи имеет следующие координаты:
- x(q)=57520216126176808443631405023338071//176630104906313632182896741342206604859403 в степени 10;
- x(q)=7F2B49E270DB6D90D8595BEC458B5//0C58585BA1D4E9B788F6689DBD8E56FD80B в степени 16;
- y(q)=17614944419213781543809391949654080//031942662045363639260709847859438286763994 в степени 10;
- y(q)=26F1B489D6701DD185С8413A977B3//CBBAF64D1C593D26627DFFB101A87FF77DA в степени 16.
Ключ самой подписи выглядит в этом примере так: 7A929ADE789BB9BE10ED359DD39A72C//11В60961F49397EEE1D19СЕ9891ЕС3В28 в степени 16.
Цифровая подпись используется как физическими лицами, так и индивидуальными предпринимателями, и компаниями. Она подтверждает подлинность документа и позволяет установить его авторство и неизменность после заверения. Для контроля за работой ЭЦП и поддержания высокого качества безопасности передаваемой информации был создан специальный ГОСТ.
Стандарт разработан с учетом требований современных информационных технологий, и включает все основные определения, принципы работы и формирования ЭЦП, а также алгоритмы и контрольные примеры. Его соблюдение обязательно для всех создателей и пользователей цифрового реквизита, а дополнения к действующему ГОСТу публикуются в ежегодном справочнике, и доступны для ознакомления в электронном виде.
