Электронная цифровая подпись, как основа безопасности систем электронного документооборота
23 марта 2003
Рубрика: Обзоры и мнения.
Автор: Тимур Маматходжаев.
pic

В настоящее время в мире наметилась довольно устойчивая тенденция к внедрению безбумажных технологий обработки информации и появлению систем электронного документооборота. Одной из основных проблем, стоящих на пути широкого внедрения этих систем, является проблема подтверждения авторства и целостности передаваемых сообщений. Это вызвано тем, что в телекоммуникационных сетях происходит передача не самого сообщения, а его копии. Основной задачей в такой ситуации является создание такого документа, который будет юридически равнозначен бумажному документу, то есть тому, который никто не сможет опровергнуть в суде.

Из этого следует, что электронные документы должны обладать всеми реквизитами юридически значимого документа. Среди таких реквизитов можно выделить электронную цифровую подпись (ЭЦП) и дату, проставляемую на документе.

Общие принципы ЭЦП

Механизм ЭЦП основан на использовании двух последовательностей символов, которые называются открытым и закрытым ключами ЭЦП. Эти две последовательности строго взаимосвязаны, то есть каждому закрытому ключу соответствует уникальный открытый ключ.
Закрытый ключ ЭЦП известен только владельцу подписи и используется для простановки подписи. Открытый ключ необходим для проверки сформированной ЭЦП, то есть для определения автора и достоверности сообщения. Открытый ключ распространяется свободно, так как знание открытого ключа не дает возможности определить закрытый ключ.

Процедура простановки подписи

Имея закрытый ключ, можно приступить к формированию ЭЦП под электронным документом. Естественно, для этого необходимо иметь соответствующее программное обеспечение.

Прежде всего вычисляется так называемая хэш-функция, значение которой сложным образом зависит от содержания документа, но не позволяет восстановить сам документ. Изменение даже одного символа в тексте документа приводит к изменению значения хэш-функции.
Далее к полученному значению хэш-функции применяют то или иное математическое преобразование (в зависимости от выбранного алгоритма ЭЦП) с использованием закрытого ключа и получают, собственно, подпись документа. ЭЦП может храниться вместе с документом, например, стоять в его начале или конце, либо в отдельном файле. Естественно, в последнем случае для проверки подписи необходимо располагать как самим документом, так и файлом, содержащим его ЭЦП.

Роль даты

Другим важным реквизитом электронного документа является дата. Любой электронный документ при направлении от одной информационной системы к другой должен снабжаться специальным атрибутом, в котором содержится точное время его отправки и сведения о том сервере, куда он направляется. Время прохождения сигнала по каналам связи практически всегда заранее известно. Поэтому, получив документ с временной меткой, всегда можно сверить время его прохождения. Если имеются различия во времени, например, задержка в получении документа, то сервер, принявший документ, всегда может запросить у сервера, передавшего документ, подтверждение отправки документа. Если же сообщение, полученное после подтверждения, не совпадает с первоначальным, то можно с уверенностью говорить о несанкционированном вмешательстве.

Процедура проверки подписи

При проверке подписи проверяющий должен располагать открытым ключом абонента, поставившего подпись. Этот ключ должен быть аутентифицирован, т.е. проверяющий должен быть полностью уверен, что данный ключ соответствует именно тому абоненту, который выдает себя за его владельца. Процедура проверки начинается с вычисления хэш-функции, которая использовалась при формировании подписи. Далее производится проверка определенного соотношения, связывающего хеш-функцию документа, подпись под этим документом и открытый ключ подписавшего абонента. Если рассматриваемое соотношение оказывается выполненным, то подпись признается правильной, а сам документ подлинным, в противном случае документ считается измененным, а подпись под ним недействительной.

Организация системы ЭЦП

По моему мнению, существует три основных варианта организации систем ЭЦП. Наиболее простым из них является вариант, при котором несколько пользователей договариваются между собой (на рисунке их представлено два) об организации электронного обмена документами. Они самостоятельно генерируют свои открытые и закрытые ключи (с использованием программного обеспечения), рассылают открытые ключи друг другу и, собственно, начинают обмен электронными документами.

pic

У этого варианта есть масса недостатков:
• во-первых, количество пользователей такой системы ограничено;
• во-вторых, никто, кроме специально уведомленных пользователей, не может принять участие в электронном документообороте;
• системы основана только на личной договоренности, никто не сможет гарантировать пользователям защиту или при случае использовать электронно-цифровую подпись в качестве доказательства при судебном разбирательстве.

При втором варианте в системе ЭЦП появляется специальный выделенный центр, который осуществляет генерацию и выдачу закрытого и открытого ключей пользователям. При этом отсутствует необходимость непосредственного обмена открытыми ключами между абонентами.

pic

Например, при получении электронного документа проверяющий просто обращается в центр с просьбой выдать ему открытый ключ отправителя. Если проверка оказывается успешной, подлинность документа подтверждается.
Этот вариант наиболее применим при организации систем электронного документооборота в пределах одной крупной компании. Однако этот метод можно использовать только при внутреннем документообороте.
Третий вариант организации характеризуется максимальной открытостью. Здесь, кроме специального центра, появляется еще и контролирующий орган, который определяет условия создания и прекращения деятельности центров, проводит мониторинг их работы, обеспечивает внедрение стандартов, технических условий и требований к ЭЦП.

pic

Центры при таком варианте организации системы не закреплены за какими-либо компаниями. В роли центра может выступать любое юридическое лицо, имеющее право на оказание подобных услуг. Любой человек может обратиться в такой центр. Генерация ключей ЭЦП (открытого и закрытого) осуществляется на основании письменного заявления. Содержащиеся в заявлении сведения подтверждаются предъявлением соответствующих документов. После генерации открытый и закрытый ключи передаются абоненту вместе с документом (свидетельством или сертификатом), подтверждающим принадлежность закрытого ключа определенному лицу, при этом Центром гарантируется полная сохранность закрытого ключа. Далее Центр размещает открытый ключ абонента на своем сайте в специальном реестре, где каждый желающий может проверить принадлежность ЭЦП владельцу. Эта процедура основана на выдаче подтверждающего электронного документа, содержащего в себе основные сведения об абоненте, открытый ключ и дополнительные сведения, которые абонент посчитает необходимым разместить. В качестве гарантии центр несет определенную материальную ответственность перед своими абонентами.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте