УДК 004.056.53 ББК 32.97
ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ МАЛЫХ ПРЕДПРИЯТИЙ
Е. В. Попова
Санкт-Петербургский государственный университет
сервиса и экономики (СПбГУСЭ) 191015, Санкт-Петербург, ул. Кавалергардская, 7, лит. А
Сегодня сложно найти специалиста в области информатизации или телекоммуникаций, который не знал бы, что такое электронная цифровая подпись. С развитием информационных технологий появилась надежда на уменьшение бумажного документооборота, увеличения скорости внутренних и внешних информационных потоков предприятия, ускорения проведения транзакций. Но при этом неизбежно возникают проблемы информационной безопасности [1], включающие в себя вопросы аутентификации, конфиденциальности, целостности, неотрекаемости. Для решения этих проблем на крупных предприятиях существуют специальные службы, которые используют дорогостоящее программное и аппаратное обеспечение и включают в свой штат высококвалифицированных специалистов для правильной его настройки, обслуживания и обучения персонала. Малые предприятия не располагают большими 1Т-бюджетами, работают с ОС Windows, не тратятся на специализированное оборудование, пользуются бесплатными версиями антивирусных программ и часто неправильными настройками своего ПО. Внедрение электронной цифровой подписи помогает малым предприятиям решить некоторые вопросы безопасности, не требуя больших затрат и высокой квалификации от исполнителей. Использование этой технологии создает предпосылки для организации юридически значимого электронного документооборота и упрощает взаимодействие бизнеса и госструктур.
Основы электронного документооборота устанавливает Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи». Он обеспечивает правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе [6]. Статья 3 Закона № 1-ФЗ определяет следующие основные понятия:
- электронный документ - документ, в котором информация представлена в электронно-цифровой форме;
- электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического
преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
- закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;
- открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;
- сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
- средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.
В статье 4 говорится об условиях признания равнозначности электронной цифровой подписи и собственноручной ПОДПИСИ:
- электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе если сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; подтверждена подлинность электронной цифровой подписи в электронном документе; электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Отсюда можно сделать вывод, что основным реквизитом электронного документа, придающим ему юридическую силу и подтверждающим его
подлинность, является электронная цифровая подпись. Электронный документ, подписанный электронной цифровой подписью, равнозначен бумажному документу, подписанному собственноручной подписью. Целями использования электронной цифровой подписи являются защита документа от подделки, идентификация владельца ключа подписи и установление отсутствия искажений в документе.
Кроме систем электронного документооборота различного назначения (организационно-распорядительного, кадрового, законотворческого, торговопромышленного), электронная подпись поможет проверить целостность электронного письма (e-mail) и убедиться в надежности отправителя, определит автора статьи, опубликованной в Интернете и укажет дату публикации. Кроме того, она может быть использована при передаче бухгалтерской и налоговой отчетности в электронном виде в налоговые инспекции, предоставлении отчетности в контролирующие органы, при участии в электронных торгах и авторизации для получения доступа к специализированным информационным ресурсам.
При получении электронной подписи сначала надо создать файлы сертификата и ключей. При их создании используется специальные криптографические программы - криптопровайдеры [2, 9]. Сертификаты выдаются в удостоверяющих центрах, имеющих соответствующие лицензии. Удостоверяющих центры гарантируют нормативную, организационную и правовую основу использования сертификатов. Кроме сертификата каждому пользователю необходима пара ключей - закрытый и открытый. Ключи могут создаваться в удостоверяющих центрах и передаваться пользователям вместе с сертификатом. Но тут возникает опасность нарушения конфиденциальности и соблюдения информационной безопасности в самом Удостоверяющем центре [3]. Пользователь может также генерировать ключи на своем рабочем месте и передавать открытую часть ключа в удостоверяющий центр для последующего изготовления сертификата. Если ключ передавать по открытым каналам, он может быть изменен. Тогда проверку сообщения будут проводить неверным ключом, и правильная цифровая подпись будет принята другими участниками за ложную.
Еще одна важная проблема - хранение закрытого ключа. В соответствии с законом «Об электронной цифровой подписи», ответственность за хранение закрытого ключа владелец несет сам. И ключ, и сертификат хранятся в файлах. Эти файлы можно хранить на жестком диске компьютера и открывать их с помощью пароля, но тогда безопасность закрытого ключа зависит от безопасности данного компьютера и есть много способов обойти выставленные заслоны [3]. Главное неудобство заключается в том, что подписывать нужные документы можно будет только на этом компьютере. Для большей безопасности закрытый ключ лучше хранить на съемных носителях, например, на специализированной смарт-карте с PIN-кодом.
Электронная цифровая подпись - это формализованная структура, электронный документ, состоящий из набора обязательных и не
обязательных реквизитов - атрибутов подписи. В состав обязательных атрибутов входит криптографическая часть, обеспечивающая надежную идентификацию и аутентификацию данных. При создании электронной цифровой подписи используется схема асимметричного шифрования [4,9], использованная наоборот. Отправитель подписывает сообщение, вычисляя контрольную сумму документа, затем шифрует ее секретным ключом и прикрепляет шифрограмму к сообщению. Открытый ключ находится у получателя. По известному открытому ключу невозможно узнать закрытый. Основная задача - обеспечение аутентичности отправителя и целостности сообщения. В основе шифрования лежит определенная трудноразрешимая математическая задача. Чтобы ее решить, нужно обладать дополнительной информацией. Эта дополнительная информация и является секретным ключом. Без его знания процедура дешифрования занимает экспоненциальное время. Получатель применяет к подписи открытый ключ. Если получившееся значение совпадает с контрольной суммой документа, то проверка выполнена, а документ считается подлинным. Даже перехватив большое число подписанных документов, злоумышленник не может вычислить необходимые параметры за полиномиальное время.
Для вычисления контрольных сумм можно использовать криптостойкие хэш-функции. Результат работы данной функции называют хэшем, хэш-кодом или дайджестом. Хэш- функцией называется необратимое преобразование данных, обладающее следующими свойствами: на вход алгоритма преобразования поступает двоичный блок данных произвольной длины, на выходе получается двоичный блок данных фиксированной длины, значения на выходе распределяются по равномерному закону по всему диапазону возможных результатов [1]. При изменении хотя бы 1 бита на входе алгоритма его выход меняется значительно. Если мы знаем значение хэш-функции И, то задача нахождения сообщения М такова, что Н(М) = И, должна быть вычислительно трудной, и при заданном сообщении М задача нахождения другого сообщения М’, такова, что Н(М) = Н(М’), должна быть также вычислительно трудной. Формируемое значение хэш-функции уникально идентифицирует сообщения, и всякая попытка изменения сообщения при передаче будет обнаружена путем выполнения хэширования на принимающей стороне и сравнением с дайджестом, полученным на передающей стороне. Так как получение исходного сообщения по дайджесту невозможно, эти функции называют еще односторонними функциями шифрования. Разрядность 160 бит гарантирует, что не существует двух разных документов, имеющих одинаковую хэш-сумму. Такой инцидент называется хэш-коллизией, то есть это попытка злоумышленника получить два разных документа с одинаковой хэш- суммой. Теоретически возможно неограниченное количество документов, имеющих одинаковую хэш-сумму. Но, по теореме о «парадоксе дней рождения», для того чтобы создать одну
N
коллизию для ^битной хэш-суммы, нужно 22 документов. Практически это означает взаимно однозначное соответствие между хэш-суммой и
документом. Так как электронной цифровой подписью подписывается не сам документ, а только его хэш-сумма, то проблема защиты большого блока данных сводится к проблеме защиты намного меньшего блока данных фиксированной длины. Таким образом, для подписания документа вычисляется его хэш-сумма и формируется с помощью закрытого ключа электронная подпись как показано на первом рисунке.
Рис.2
Если получателю нужно проверить подлинность подписи и неизменность документа, он должен расшифровать подпись открытым ключом и сравнить результат с полученной хэш-суммой документа. При совпадении значений аутентичность отправителя и целостность сообщения доказаны (рис.2).
Рис.1
Кроме криптографической части, электронная цифровая подпись содержит некоторую техническую информацию. В нее входит дата и время подписания, сведения для дополнительных механизмов проверки подписи, минимальная информация о подписавшем, графическое изображение подписи и другие данные.
Электронная цифровая подпись может быть присоединенной (attached signature) и отсоединенной (detached signature). В случае присоединенной подписи создается новый файл электронной цифровой подписи, в который помещаются данные подписываемого файла, образуя своеобразный конверт. То есть и данные, и подпись неразрывно связаны, и это упрощает передачу данных. К недостаткам следует отнести то, что даже для ознакомления с данными необходимо извлечения их из конверта - снятия электронной цифровой подписи.
В случае отсоединенной подписи создаются отдельные файлы для подписи и подписываемого файла, который не изменяется. С данными можно свободно знакомиться, и только в случае появления подозрений необходимо использовать файл с электронной цифровой подписью. Но хранить и передавать придется несколько файлов, и, так как отсоединенная подпись не привязана к подписываемым данным, проблемы безопасности увеличиваются.
Также известны «расширенные» и «усовершенствованные» электронные цифровые подписи. Это обычные электронные подписи с дополнительной информацией для проверок условий использования, которые предназначены для специальных средств и механизмов проверки электронной цифровой подписи. Но эти дополнительные атрибуты не являются обязательными, и подпись может быть проверена стандартными процедурами.
Используя электронную цифровую подпись и основываясь на законе «Об электронной цифровой подписи», многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете через «Системы электронной торговли», обмениваясь с контрагентами необходимыми документами в электронном виде [6], подписанными электронной подписью. Благодаря этому упрощаются и ускоряются многие процедуры. Но в законе выявлено много опечаток и неточностей. Закон позволяет быть владельцем электронной цифровой подписи только физическим лицам. Юридическим же лицам приходится подписывать документы от имени физических лиц, из-за чего возможны махинации. В законе содержится следующая фраза: «Владелец сертификата не может его использовать, если ранее он уже был использован». То есть любое повторное использование сертификата делается попросту нелегитимным. В связи с этим 30 марта 2011 года Президент подписал Федеральный закон «Об электронной подписи». Закон принят Государственной думой 25 марта 2011 года и одобрен Советом Федерации. Федеральный закон направлен на устранение недостатков Федерального закона от 10 января 2002г. №1-ФЗ «Об электронной цифровой подписи», а также на расширение сферы использования электронных подписей [8].
В статье 2 нового закона раскрываются следующие понятия:
- электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
- ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;
- ключ поверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
В статье 4 перечисляются принципы использования электронной подписи:
- недопустимость признания электронной подписи и (или) описанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.
В статье 5 перечисляются виды электронных подписей:
- простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом;
- неквалифицированной электронной подписью является электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи; позволяет определить лицо, подписавшее документ, позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания; создается с использованием средств электронной подписи;
- квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам: ключ проверки электронной подписи указан в квалифицированном сертификате; для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствие соответствия требованиям, установленным в соответствии с федеральным законом. Квалифицированные и неквалифицированные электронные подписи
называются усиленными.
Федеральным законом регулируются отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также при совершении иных юридически значимых действий. Кроме того, федеральным законом устанавливаются требования к удостоверяющим центрам, осуществляющим функции по созданию и выдаче сертификатов ключей проверки электронных подписей. Внесены также поправки в законодательство в связи с принятием закона об электронной подписи. Президент подписал Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «Об электронной подписи». Обеспечивается приведение терминологии федеральных законов в соответствие с терминологией, используемой в Федеральном законе «Об электронной подписи».
Все это должно упростить процедуру применения подписи и способствовать более массовому ее использованию. Малые предприятия, даже при наличии небольшого числа компьютеров, используют локальной сети, Интернет, почтовые сервисы, файловые хранилища, клиентские базы. Поэтому проблемы информационной безопасности в них не менее актуальны, чем в более крупных компаниях, требуют комплексного подхода и соблюдения политики безопасности. Не обладая современными программно-аппаратными средствами, системами контроля доступа, программами по контролю периферийных устройств и средствами защиты класса Internet Security, малые предприятия могут отсылать и получать сообщения через Интернет с гарантией неизменности данных, моментально аутентифицировать сообщение и быть уверенным в неотрекаемости полученного сообщения. Не привлекая дополнительные средства, компании получают возможность работать на электронных торговых площадках, предоставлять налоговую и бухгалтерскую отчетность через Интернет в пенсионный фонд, различные контролирующие органы. Кроме того, используя технологию электронной подписи, можно значительно снизить не только внешние, но и внутренние угрозы, введя полный запрет на бумажный документооборот. Переход к электронному документообороту позволяет экономить ресурсы, снизить риски при передаче, хранении подписанных документов, усилить внутренний контроль. Электронная цифровая подпись помогает малым предприятиям решать проблемы безопасности и является хорошим стимулом для бизнеса.
ЛИТЕРАТУРА
1. Конеев И. Р., Беляев А. В. Информационная безопасность предприятия. СПб.: БХВ - Петербург, 2003.
2. Мельников В. В. Безопасность информации в автоматизированных системах. М.: Финансы и статистика, 2003.
3. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учебное пособие для вузов. М.: Горячая линия -Телеком.2004.
4. Анин Б. Ю. Защита компьютерной безопасности. СПб.: БХВ-Петербург, 2000.
5. Масленников М.Е. Практическая криптография. СПб.: БХВ-Петербург, 2003.
6. Экономика предприятия (фирмы): Учебник / Под ред. проф. О. И. Волова и О. В. Девяткина. 3-е изд. перераб. и доп. М.: ИНФА - М, 2007.
7. Федеральный закон РФ «Об электронной цифровой подписи» 2002 г. / Российская
газета: [Электронный ресурс]. - Режим доступа:
http://www.rg.ru/oficial/doc/federal_zak/1-fz.shtm
8. Федеральный закон РФ «Об электронной подписи» 2011 г. / Сайт Президента России: [Электронный ресурс]. Режим доступа: http://www.kremlin.ru
9. Бабаш А.В., Шанкин Г. П. Криптография / Под ред. В. П. Шерстюка, Э. А. Применко. М.: СОЛОН-Р, 2002.
10. Джоханссон Дж.М. Обеспечение безопасности. Ресурсы Windows Server 2008 /
Пер. с англ. - М.: Издательство; СПб.: БХВ - Петербург, 2009.