КРИМИНАЛИСТИЧЕСКИ ЗНАЧИМЫЕ СВЕДЕНИЯ ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ Текст научной статьи по специальности «Право»

В. Б. Вехов

КРИМИНАЛИСТИЧЕСКИ ЗНАЧИМЫЕ СВЕДЕНИЯ ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ

В настоящее время существует много способов, с помощью которых можно установить подлинность электронного документа и идентифицировать его автора. В рамках криминалистики и судебной экспертизы наиболее перспективными из них являются исследование статичной электронной цифровой подписи и исследование динамичной электронной цифровой подписи.

В отличие от электронно-цифрового ключа электронная цифровая подпись (ЭЦП) позволяет не только защитить электронный документ от подделки, но и установить лицо, его создавшее.

Анализ нормативно-справочной и специальной литературы показывает, что статичная ЭЦП активно используется для удостоверения и защиты документированной компьютерной информации уже более 20 лет. Технология ЭЦП была разработана для нужд Министерства обороны и органов государственной безопасности. До конца 80-х гг. прошлого века данная ЭЦП в основном использовалась в закрытых автоматизированных системах управления и документальной электросвязи для защиты циркулирующих в них сведений.

В 1987 г. технология ЭЦП была рассекречена и передана для использования в народнохозяйственном комплексе страны. Нормативно -правовым актом, закрепившим это решение, стал Государственный стандарт СССР - ГОСТ 2814789 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования». В связи с тем, что данная сфера специальных знаний является новой для отечественной юридической науки и практики, подробнее рассмотрим некоторые базовые дефиниции.

«Криптография» в переводе с греческого языка означает тайнопись («криптос» - скрытый и «графо» - пишу), что отражает ее первоначальное предназначение: она исторически зародилась из потребности передачи секретной информации. Длительное время криптография была связана только с разработкой специальных методов преобразования информации с целью ее предоставления в форме, не доступной для потенциального противника. Примитивные (с по-

зиций сегодняшнего дня) криптографические методы письма использовались с древнейших времен и рассматривались скорее как некоторое ухищрение, чем строгая научная дисциплина. Таким образом, классическая задача криптографии - обратимое преобразование некоторого понятного исходного текста (открытого письма) в кажущуюся случайной последовательность некоторых знаков письма, называемую шифр-текстом, или криптограммой. При этом криптограмма может содержать как новые, так и имеющиеся в открытом сообщении знаки письма. Количество знаков в криптограмме и в исходном тексте может различаться. Однако непременным требованием является то, что, используя некоторые логические замены символов в криптограмме, можно однозначно и в полном объеме восстановить исходный текст знак в знак. Надежность сохранения информации в тайне обусловливалась в далекие времена тем, что в секрете держался сам метод - алгоритм ее преобразования (шифрования)1.

Известно, что секретность алгоритма шифрования принципиально не может обеспечить безусловной невозможности чтения криптограммы потенциальным противником. Поскольку секретные алгоритмы не могут быть проверены широкомасштабными криптоаналитическими исследованиями, то имеется значительно более высокая вероятность (по сравнению с открытыми алгоритмами шифрования) того, что будут найдены эффективные способы доступа к зашифрованной информации. В связи с этими обстоятельствами в настоящее время наиболее широко распространены открытые алгоритмы шифрования, прошедшие длительное тестирование и обсуждение в открытой криптографической литературе. Стойкость современных криптосистем основывается на секретности не алгоритма, а некоторой информации сравнительно малого размера, называемой ключом. Ключ используется для управления процессом криптографического преобразования (шифрования) и является легкосменяемым элементом криптосистемы. Он также может быть заменен самим пользователем в произвольный момент,

тогда как алгоритм шифрования является долговременным элементом криптосистемы, на разработку и тестирование которого иногда уходят десятилетия.

С началом применения электронно-цифровых способов обработки информации круг задач криптографии начал расширяться. На данном этапе, когда компьютерные технологии нашли массовое применение, проблематика криптографии включает многочисленные задачи, не связанные непосредственно с засекречиванием информации. Современные проблемы этой науки предполагают разработку систем ЭЦП и тайного электронного голосования, протоколов электронной жеребьевки и идентификации удаленных пользователей компьютерных систем и сетей, методов защиты от навязывания ложных сообщений и несанкционированного доступа к информационным ресурсам, а также защиты документов и ценных бумаг от подделки2.

Теоретической базой для решения задачи построения систем ЭЦП явилось открытие американскими исследователями Диффи и Хеллма-ном в середине 70-х гг. прошлого века двухклю-чевой криптографии3. Высказанные ими революционные идеи построения криптосистем с двумя ключами - закрытым (секретным) и открытым (известным всем пользователям криптосистемы, включая потенциального противника) - привели к резкому увеличению числа научных исследований в области криптографии, обозначили новые пути развития этой отрасли специальных знаний и показали уникальность методов криптографии в условиях массового применения компьютерных технологий.

По мнению специалистов, двухключевые криптоалгоритмы позволяют обеспечить строгую доказательность факта составления того или иного сообщения конкретным пользователем (абонентом) криптосистемы. Это основано на том, что только отправитель сообщения, который держит в тайне свой секретный ключ, может составить сообщение со специфической внутренней структурой. То, что сообщение имеет структуру, сформированную с помощью секретного ключа, проверяется с помощью открытого ключа. Эта процедура называется проверкой электронной цифровой подписи. Вероятность того, что документальное сообщение, составленное нарушителем, может быть принято за сообщение, подписанное каким-либо санкционированным пользователем (абонентом) криптосистемы ЭЦП, чрезвычайно низкая, равная 10-30

степени. Таким образом, процедура проверки ЭЦП с помощью открытого ключа позволяет с высокой степенью гарантии удостовериться в том, что полученное документальное сообщение было составлено истинным владельцем секретного ключа. Открытый ключ формируется из секретного ключа, либо секретный и открытый ключи генерируются одновременно с помощью алгоритма криптографического преобразования, определяемого соответствующим стандартом. Причем определение секретного ключа по открытому является вычислительно сложной задачей4.

Все существующие на сегодняшний день системы ЭЦП базируются на трех стандартизированных открытых алгоритмах шифрования данных. Кратко рассмотрим их.

Одним из первых алгоритмов так называемого «блочного», или «двухключевого», шифрования информации стал «Data Encryption Standard» - DES. В 1977 г. он был рекомендован Национальным бюро стандартов и Агентством национальной безопасности (АНБ) США в качестве основного средства криптографической защиты информации и в государственных, и в коммерческих структурах. Однако уже в 1988 г. его использование было ограничено АНБ рамками одних лишь систем электронного перевода денежных средств, где он используется и по настоящее время. Необходимость такого шага была продиктована как ошибками, обнаруженными в ходе эксплуатации алгоритма, так и бурным развитием средств электронно-вычислительной техники, с помощью которых стало возможно расшифровывание сообщений, зашифрованных с его помощью. С учетом выявленных недостатков в DES стали вноситься изменения, что привело к появлению новых алгоритмов шифрования - NewDES («Новый DES»), TripleDES («Тройной DES») и др. Разработка этих алгоритмов была обусловлена большим количеством атак, которым подвергся DES за многие годы своего существования, а также тем, что 56-битного ключа, используемого в прототипе, стало недостаточно для поддержания требуемого уровня защиты документированной компьютерной информации5.

Отечественным аналогом DES является ранее указанный алгоритм блочного шифрования, специфицированный в ГОСТ 28147-89. По мнению специалистов-криптографов, разработчики сумели органично соединить в нем две важные, трудно сочетающиеся друг с другом и не реализованные в DES характеристики: высокую крип-

тографическую стойкость к атакам и возможность эффективного программного исполнения (за счет использования узлов, легко реализуемых на базе современных средств электронно-вычислительной техники и электросвязи). Этот алгоритм использует длинные 256-битные ключи шифрования информации, которые практически невозможно подобрать даже с использованием наисовременнейших компьютерных технологий6.

В 1991 г. Национальный институт стандартизации и технологий (NIST) США опубликовал стандарт электронной цифровой подписи («Digital Signature Standard» - DSS), в основу которого был положен криптоалгоритм DSA - видоизмененный аналог алгоритма шифрования данных, ранее предложенный изобретателем Эль-Гамалем и основанный также на принципе формирования открытых и закрытых (секретных) ключей. В данном стандарте ЭЦП представляет собой два больших целых числа (одно - открытый ключ, другое -закрытый ключ), полученных в результате использования хэш-функции и асимметричного алгоритма шифрования (DSA)7.

Вместе с тем в электронном документообороте зарубежных стран самым распространенным в настоящее время является алгоритм RSA, названный по первым буквам имен его американских создателей (Rivest, Shamir, Adleman). В начале 90-х гг. прошлого века он был обнародован в открытой печати и принят в качестве стандарта, получившего название «PKCS # 1: RSA Encryption Standard». По мнению специалистов, этот алгоритм более надежен, чем DSA, за счет усложнения вычислительных операций над большими целыми числами, определяемых односторонними функциями с секретом. В этом случае открытый и секретный ключ состоит из пары простых целых чисел (в DSA - только из одного). Наряду с указанным преимуществом алгоритм RSA имеет и существенный недостаток - по сравнению с DSA он в 1 000 раз медленнее зашифровывает и расшифровывает данные. Это обстоятельство не позволяет эффективно использовать RSA для защиты объемных сообщений, но не мешает применять его для защиты данных малого объема, например, содержащихся на магнитной полосе или в памяти интегральной микросхемы пластиковой карты8.

В отличие от зарубежных алгоритмов DSA и RSA, обеспечивающих технологии ЭЦП, отечественная система удостоверения и защиты электронных документов свободна от их недос-

татков. Она определяется государственным стандартом нового поколения - ГОСТ Р 34.102001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», который содержит описание процедур формирования и проверки схемы электронной цифровой подписи, реализуемой с использованием операций группы точек эллиптической кривой, определенной над конечным простым полем. Данный нормативный документ разработан взамен ранее действовавшего ГОСТ Р 34.1094 «Информационная технология. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма». Необходимость его разработки вызвана потребностью в повышении стойкости ЭЦП к несанкционированным изменениям. Стойкость ЭЦП по этому стандарту основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции по действующему ГОСТ Р 34.11-94 «Информационная технология. Криптографическая защита информации. Функция хэширования».

Рассматриваемый ГОСТ Р 34.10-2001 терминологически и концептуально увязан с международными стандартами ИСО 2382-2-76 «Обработка данных. Словарь. Часть 2. Арифметические и логические операции», ИСО/МЭК 9796-91 «Информационная технология. Методы защиты. Схема цифровой подписи с восстановлением сообщения», серии ИСО/МЭК 14888 «Информационная технология. Методы защиты. Цифровые подписи с приложением» и серии ИСО/МЭК 10118 «Информационная технология. Методы защиты. Хэш-функции».

В настоящее время, помимо систем ЭЦП, на базе этих стандартов разработаны и активно внедряются в практику такие средства криптографической защиты информации, как: «Аккорд», «Верба», «Застава», «Криптон», «Крона», «ФОРТ», «ФПСУ-IP», «Шип» и другие. Их производителями являются ООО «Амикон», фирма «Анкей», МО ПНИЭИ и ОАО «Элвис-плюс».

Вместе с тем, поскольку крупнейшими мировыми производителями программного обеспечения и оборудования для технологий банковских карт международных платежных систем объективно являются зарубежные компании, они, естественно, реализуют в этих продуктах свои национальные стандарты, ставшие международными, - семейств DES, DSA и RSA. Ана-

лиз материалов конкретных уголовных дел показывает, что средства ЭЦП, которые создаются на базе этих алгоритмов и интегрируются в электронные платежные системы, довольно легко взламываются либо обходятся преступниками, имеющими высокий образовательный уровень и соответствующие специальные знания.

Так, Главным следственным управлением МВД Республики Казахстан было расследовано уголовное дело по факту незаконного перечисления 6 млн 795 тыс. тенге, сопряженного с использованием системы ЭЦП, построенной на базе одного из указанных стандартов.

Следствием было установлено, что некто О. работал в Алатауском филиале КРАМДС-Банка ведущим специалистом по вычислительной технике. Перед увольнением он в рабочее время переписал на свою дискету программу с секретным ключом ЭЦП, которой удостоверялись электронные платежные документы, отправляемые филиалом КРАМДС-Банка в вычислительный центр (ВЦ) Национального Банка Республики Казахстан. Периодическая смена ключей шифрования обычным (ручным) способом не производилась. Данным стандартом ЭЦП также не была предусмотрена возможность динамического изменения ключей в автоматическом режиме по прошествии определенного времени. Эти обстоятельства и позволили О. через четыре месяца после увольнения совершить покушение на хищение денежных средств следующим способом.

В своей квартире с помощью компьютера и стандартного программного обеспечения он создал фиктивные электронные документы о зачислении на расчетный счет собственного МП «Анжелика» 6 млн 795 тыс. тенге и перечислении этих средств из Алатауского филиала КРАМДС-Банка, обслуживающего данный счет, в АКБ «Казком-мерцбанк» на счет ТОО «Хасар». Далее О. подписал документы имевшейся у него ЭЦП. Зашифрованные таким образом файлы с бухгалтерскими проводками он скопировал на дискету.

На следующий день О. позвонил оператору ВЦ Нацбанка Республики Казахстан Ч. и, представившись сотрудником филиала КРАМДС-Банка, сообщил, что в филиале якобы произошел устойчивый технический сбой в работе средств электросвязи, вследствие чего они передадут данные о бухгалтерских проводках не по электронной почте (по компьютерной сети), а на дискете, которую привезет сотрудник банка. Ч., зная, что такой порядок передачи электронных документов допускается, не проверил сведения

об отсутствии электросвязи с обслуживаемым филиалом КРАМДС-Банка, как того требует инструкция, принял дискету у постороннего лица, не удостоверившись в его личности, и проверил ЭЦП. Установив подлинность ЭЦП и сверив форматы файлов с образцами, Ч. скопировал их с дискеты в компьютерную систему ВЦ и отправил содержащиеся в них электронные бухгалтерские документы на конечную обработку.

В тот же день деньги в сумме 6 млн 795 тыс. тенге были незаконно зачислены на счет ТОО «Хасар», с которым О. заключил договор о покупке товаров народного потребления.

В результате непредвиденных обстоятельств в ТОО «Хасар» товара на указанную сумму, предназначенного для МП «Анжелика», не оказалось, и только по этой причине О. не смог его получить вовремя. Напротив, потерянного О. времени хватило сотрудникам службы безопасности банка, чтобы обнаружить факт незаконного зачисления на счет МП «Анжелика» указанных денежных средств, установить путь их движения по счетам и определить реквизиты

9

счета, на котором они в конечном итоге осели .

На базе двухключевых криптографических алгоритмов, помимо технологий ЭЦП, в настоящее время все более широкое распространение получают системы тайного электронного голосования и криптографическая защита документов и ценных бумаг от подделки.

Системы тайного электронного голосования, используемые в Государственной Думе, Совете Федерации, органах законодательной власти субъектов Российской Федерации, а также в ходе выборов Президента Российской Федерации, представителей местной и федеральной исполнительной (законодательной) власти, основаны на механизме так называемой «слепой ЭЦП». Она позволяет в автоматическом режиме подписать документальное сообщение, составленное одним лицом, электронно-цифровой подписью другого лица - ее законного владельца. При этом последний лишен возможности ознакомиться с содержанием подписываемого электронного документа. Например, такая технология реализована в Государственной автоматизированной системе Российской Федерации «Выборы», которая используется при подготовке, проведении выборов и референдума в Российской Федерации и является одной из гарантий реализации прав граждан на основе обеспечения гласности, достоверности, оперативности и полноты информации о выборах и референдуме10. «Слепая

ЭЦП» также найдет свое применение в деятельности создаваемого в настоящее время «Электронного Правительства Российской Федерации»11.

По мнению специалистов, появившиеся в последние годы системы криптографической защиты обычных документов и ценных бумаг от подделки - самый надежный и современный способ пресечения ряда преступных посягательств, предусмотренных действующим уголовным законодательством12. Эта технология основана на том, что любой материальный носитель информации является уникальным по своей микроструктуре. При наличии необходимого программно-технического оборудования (например, сканера с высокой разрешающей способностью в случае анализа бумажной подложки документа) можно выявить частные признаки микроструктуры каждого экземпляра носителя (бланка документа) из одной и той же заводской партии. Эта информация считывается при изготовлении бланков документов, кодируется и фиксируется на каждом из них в электронно-цифровой форме. В последующем при заполнении бланка документа формируется электронно-цифровой паспорт, состоящий из индивидуального кода бланка и кода содержания документа. Затем изготовитель (создатель) документа, используя свой закрытый ключ, вычисляет цифровую подпись паспорта и записывает на бланк документа паспорт и соответствующую ему ЭЦП.

Проверка подлинности документа выполняется путем сканирования микроструктуры подложки документа, считывания записанной на ней информации и проверки ЭЦП изготовителя документа по открытому ключу. При этом изготовление поддельного документа на другой подложке (бланке), изменение его содержания либо содержания паспорта практически невозможны без знания закрытого ключа ЭЦП. Любая подделка или попытка фальсификации какого-либо реквизита документа будет обнаружена при считывании паспорта и ЭЦП, сопоставления паспорта с содержанием документа и проверки ЭЦП по открытому ключу13.

Если для формирования статичной ЭЦП изначально используются большие целые числа, то динамичная ЭЦП базируется на частных признаках собственноручной подписи человека. В качестве средств письма в этом случае используется комплект электронно-цифровой стенографии, состоящий из электронного сенсорного планшета, пластмассовой палочки-грифеля (аналогичной той, которая используется для управ-

ления ПЭВМ типа «Palm») и соответствующего программного обеспечения. Планшет стандартным способом (через ИК-, USB- или COM-порт) подключается к ПЭВМ, системе ЭВМ или их сети. В отличие от двухмерной сенсорной мини-панели, используемой для управления курсором в мобильных компьютерах типа «Notebook» и регистрирующей внешние механические воздействия лишь на плоскости, сенсорный планшет регистрирует объемные механические воздействия в трехмерной системе координат. Таким образом, помимо сигнатуры собственноручной подписи лица сканируются сила давления пишущего инструмента на планшет, скорость письма и временные интервалы в написании определенных рукописных знаков. Эти индивидуальные графические и динамические признаки почерка преобразуются в электронно-цифровую форму и используются для генерации открытого и закрытого ключей ЭЦП14. Например, известно, что файл с текстом принятого в США в 2000 г. Закона «Об электронных подписях в международном и национальном коммерческом обороте» (Electronic Signatures In Global and National Commerce Act) был подписан президентом США Биллом Клинтоном с помощью электронной копии его собственноручной подписи, которую он вывел на вышеуказанном электронном планшете.

Несмотря на длительное использование ЭЦП для удостоверения и защиты документальных сообщений во многих сферах жизнедеятельности общества (обороны, военного строительства, дипломатии, экономики, управления и связи, судопроизводства и других), законодательная база по обеспечению правовых условий ее применения стала формироваться только с 1995 г. с момента принятия Закона Российской Федерации «Об информации, информатизации и защите информации» (от 20.02.1995 г. № 24-ФЗ). Впоследствии он утратил силу в связи с принятием Закона Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Согласно ст. 11 этого Закона электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.

При заключении гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами. При этом право собственности и иные вещные права на материальные носители, содержащие компьютерную информацию, устанавливаются гражданским законодательством.

Получатель электронного сообщения, находящийся на территории Российской Федерации, вправе провести проверку, позволяющую установить отправителя электронного сообщения, а в установленных федеральными законами или соглашением сторон случаях обязан провести такую проверку (п. 4 ст. 15).

При этом документ, созданный, обработанный, переданный или полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации. Юридическая сила документа - свойство документа, в соответствии с федеральным законодательством позволяющее использовать документ отдельно или в сочетании с другими документами для совершения юридически значимых дей-ствий15 - может подтверждаться электронной цифровой подписью. Юридическая сила ЭЦП признается при наличии программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Условия, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе, изложены в Законе Российской Федерации «Об электронной цифровой подписи» (от 10.01.2002 г. № 1-ФЗ)16. Перечислим их (ст. 4).

1. Сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания.

2. Подтверждена подлинность ЭЦП в электронном документе.

3. ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи. При этом участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей.

Обращает на себя внимание тот факт, что согласно ст. 19 содержание документа на бумажном носителе, заверенного печатью и преобразованного в электронный документ, во-первых, может заверяться ЭЦП уполномоченного лица, во-вторых, ЭЦП в электронном документе признается равнозначной собственноручной подписи лица в документе на бумажном носителе, заверенном печатью. Похожая норма содержится и в Законе ФРГ 1997 г. «Об электронной цифровой подписи», в котором ЭЦП (нем. - digitale signatur, англ. -digital signature) - это «созданная с помощью частного ключа печать к цифровым данным, которая с помощью соответствующего открытого ключа, снабженного сертификатом ключа подписи, выданным сертифицирующим центром или государственным учреждением, позволяет определить владельца ключа подписи и подлинность данных»17.

Анализ действующего законодательства различных государств выявил значительные различия в правовом определении понятия электронной цифровой подписи. Так, Закон Республики Беларусь «Об электронном документе» (от 10.01.2000 г. № 357-З) определяет электронную цифровую подпись как «набор символов, вырабатываемый средствами электронной цифровой подписи и являющийся неотъемлемой частью электронного документа» (ст. 1). В Законе США «Об электронных подписях в международном и национальном коммерческом обороте» (2000 г.) используется следующее понятие ЭЦП — «электронный звук, символ или процесс, присоединенный или логически соединенный с контрактом или иным документом (записью) и производимый или принимаемый лицом с целью подписания документа (записи)». В Законе Австрии «Об электронных подписях» (1999 г.) под ЭЦП понимаются «электронные данные, которые приданы к другим электронным данным либо логически соединены с последними и служат для аутентификации последних либо идентификации лица, поставившего подпись». Оригинальные определения ЭЦП изложены в аналогичных законодательных актах Японии, Китая, Канады, Италии, Франции, Испании, Нидерландов, Дании, Финляндии, стран Балтии.

28 мая 2004 г. на Межпарламентской Ассамблее Евразийского Экономического Сообщества в Астане (Казахстан) был принят Типовой проект законодательного акта «Основные прин-

19-5

ципы электронной торговли» , в ст. 3 которого ЭЦП определена как «набор символов, вырабатываемый средствами электронной цифровой подписи и являющийся неотъемлемой частью электронного документа» (формулировка полностью совпадает с определением, содержащимся в белорусском законодательстве. - В. В.).

На наш взгляд, наиболее правильное юридическое определение понятия ЭЦП представлено в Законе Российской Федерации об ЭЦП: «это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе» (ст. 3). В Законе сформулировано содержание некоторых понятий, имеющих непосредственное отношение к исследуемому вопросу.

Закрытый ключ ЭЦП - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП (закрытый ключ ЭЦП называют также «персональный идентификационный номер (ПИН-код)». - В. В.).

Открытый ключ ЭЦП - уникальная последовательность символов, соответствующая закрытому ключу, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе (например, для банковских карт это номер, состоящий из 12-19 цифр, открыто записываемый на подложку карты и продублированный на ее магнитной полосе. - В. В.).

При создании ключей ЭЦП должны применяться только сертифицированные средства ЭЦП (ч. 3, 4 ст. 5).

Средства ЭЦП - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:

— создание электронной цифровой подписи в электронном документе с использованием закрытого ключа ЭЦП;

— подтверждение с использованием открытого ключа ЭЦП подлинности электронной цифровой подписи в электронном документе;

— создание закрытых и открытых ключей электронных цифровых подписей.

Сертификат средств ЭЦП - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.

Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, который включает в себя открытый ключ ЭЦП и выдается удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи. Сертификат ключа подписи должен содержать ряд обязательных сведений (ст. 6): уникальный регистрационный номер; даты начала и окончания срока его действия; фамилию, имя и отчество или псевдоним владельца сертификата; открытый ключ ЭЦП; наименование средств ЭЦП, с которыми используется данный открытый ключ; наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи; сведения об отношениях, при осуществлении которых электронный документ с ЭЦП будет иметь юридическое значение. В случае необходимости в сертификате ключа подписи на основании подтверждающих документов также указываются должность (наименование и место нахождения организации, в которой установлена эта должность) и квалификация владельца сертификата ключа подписи, а по его заявлению в письменной форме — иные сведения, подтверждаемые соответствующими документами (ст. 6). Все эти данные находятся в реестре удостоверяющего центра.

Удостоверяющий центр - юридическое лицо, которое в установленном законом порядке получило лицензию на деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей20. Лицензирование и государственный контроль за деятельностью удостоверяющих центров осуществляет Федеральная служба по надзору в сфере связи21.

Основными направлениями деятельности рассматриваемого центра являются (ст. 9 Закона об ЭЦП):

— изготовление сертификатов ключей подписей;

— создание ключей ЭЦП по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;

— приостановление, возобновление и аннулирование действия сертификатов ключей подписей;

— ведение реестра сертификатов ключей подписей, обеспечение его актуальности и возможности свободного доступа к нему участников информационных систем;

— проверка уникальности открытых ключей ЭЦП в реестре сертификатов ключей подписей и архиве удостоверяющего центра;

— выдача сертификатов ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;

— осуществление по обращениям пользователей сертификатов ключей подписей подтверждения подлинности ЭЦП в электронном документе в отношении выданных им сертификатов ключей подписей;

— предоставление участникам информационных систем иных связанных с использованием ЭЦП услуг.

Владелец сертификата ключа подписи -физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью средств ЭЦП создавать свою электронную цифровую подпись в электронных документах, т. е. подписывать электронные документы (ст. 3 Закона об ЭЦП). Владелец обязан не использовать для ЭЦП открытые и закрытые ключи ЭЦП, если ему известно, что эти ключи используются или использовались ранее; хранить в тайне закрытый ключ ЭЦП; немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа нарушена. При несоблюдении данных требований на него возлагается возмещение убытков, которые были причинены вследствие этого другим участникам информационной системы (ст. 12 Закона об ЭЦП).

Пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертифи-

кате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.

Подтверждение подлинности ЭЦП в электронном документе - положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи принадлежности ЭЦП в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной подписью электронном документе.

Подчеркнем, что федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также организации, участвующие в документообороте с названными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов, организаций. При этом сертификаты ключей подписей уполномоченных лиц федеральных органов государственной власти включаются в реестр сертификатов ключей подписей, который ведется Федеральной службой по надзору в сфере связи, и выдаются пользователям сертификатов ключей подписей из этого реестра в порядке, установленном для удостоверяющих центров. Порядок организации выдачи сертификатов ключей подписей уполномоченных лиц органов государственной власти субъектов Российской Федерации и уполномоченных лиц органов местного самоуправления устанавливается нормативными правовыми актами соответствующих органов (ст. 16 Закона об ЭЦП).

По результатам опроса экспертов, проведенного компанией «АНК» (Центр технологической компетенции PKI), объем использования электронной цифровой подписи в Российской Федерации с 2004 по 2006 гг. вырос на 230 % среди юридических лиц и только на 45 % - среди физических22.

На сегодняшний день основными пользователями ЭЦП являются юридические лица. Они используют электронную цифровую подпись для сдачи налоговой отчетности, банкинга и электронной торговли. Кроме того, ЭЦП применяется во внутрикорпоративном электронном документообороте, при взаимодействии с исполнительными органами государственной власти, идентификации в сетях VPN и здравоохранении.

По данным, приведенным на конференции «Сервисы удостоверяющих центров. Новые области применения PKI», в 2006 г. появились но-

вые организации, использующие ЭЦП: бюро кредитных историй, органы статистики, а также регистрация прав на недвижимость. Рост использования ЭЦП по различным сферам неравномерен. Так, в области сдачи налоговой отчетности, работы с органами государственной власти он значительно выше, чем в остальных.

Для физических лиц основные области применения ЭЦП - банкинг, здравоохранение, регистрация прав, дистанционное образование. При этом эксперты отмечают, что в дистанционном образовании ЭЦП не решает полностью вопроса идентификации лица, по отношению к которому проводится контроль знаний, так как контролируемый может передать ключевую информацию третьим лицам.

Примером массового использования ЭЦП физическими лицами является Эстония. Там каждый гражданин обладает электронной идентификационной картой с зашитым секретным ключом, которым он может подписывать электронные документы, а учреждения и организации имеют устройства для считывания таких карт.

По мнению экспертов, массовой услугой в России ЭЦП станет только через 5 — 10 лет23.

С криминалистических позиций все ЭЦП целесообразно классифицировать по «географии» использования на две основные группы:

— ЭЦП, используемые в информационной системе общего пользования - глобальной системе, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;

— ЭЦП, используемые в корпоративной информационной системе - локальной системе, участниками которой является ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Представляется, что в самое ближайшее время проблемы, связанные с использованием электронных документов, заверенных ЭЦП, в качестве доказательств по уголовным, гражданским и арбитражным делам, будут все более актуализироваться. Это объективно приведет к активизации научных исследований электронной цифровой подписи в области криминалистики и судебной экспертизы.

См.: Молдовян А. А., Молдовян Н. А., Советов Б. Я. Криптография. СПб.: Лань, 2001. С. 14.

2 См.: Там же. С. 20.

3 См.: Diffie W., Hellman M. New Directions in Cryptography // IEEE Transactions on In formation Theory, 1976. V. IT-22. P. 644—654.

4 См.: Молдовян А. А., Молдовян Н. А., Советов Б. Я. Указ. соч. С. 27.

5 См.: Петров А. А. Компьютерная безопасность. Криптографические методы защиты. М.: ДМК, 2000. С. 40—46.

6 Подробнее об этом см.: Там же. С. 46—52.

7 См.: Там же. С. 70—72.

8 Подробнее об этом см.: Применение интеллектуальных карточек для шифрования данных и формирования электронных подписей // Иностранная печать о техническом оснащении полиции капиталистических государств. 1991. № 12. С. 33—37.

9 См.: Козлов В. Е. Теория и практика борьбы с компьютерной преступностью. М.: Горячая линия-Телеком, 2002. С. 1321—133.

10 Подробнее см.: О Государственной автоматизированной системе Российской Федерации «Выборы»: закон Российской Федерации от 10.01.2003 г. № 20-ФЗ.

11 См.: Карташев И. Microsoft создаст в России электронное правительство. Режим доступа: http://www.biz. compulenta.ru/2004/11/17/51917/. Загл. с экрана; О федеральной целевой программе «Электронная Россия (2002 - 2010 годы)»: постановление Правительства Российской Федерации от 28.01.2002 г. № 65.

12 Например, п. «д» ч. 2 ст. 127-1; ст. 142, 187, 233, 327, 339; ч. 1 ст. 171; ч. 1 ст. 195 УК РФ.

13 См.: Молдовян А. А., Молдовян Н. А., Советов Б. Я. Указ. соч. С. 29—30.

14 См.: Вершинин А. П. Электронный документ: правовая форма и доказательство в суде. М.: Городец, 2000. С. 124.

15 См.: О Государственной автоматизированной системе Российской Федерации «Выборы»: закон Российской Федерации от 10.01.03 г. № 20-ФЗ. Ст. 2. Ч. 1. П. 14.

16 Далее по тексту - «Закон об ЭЦП».

17 См.: Комментарий к Федеральному закону «Об электронной цифровой подписи» (постатейный) / НПП «Гарант-Сервис», 1990 — 2004. Версия 5.5.е.

18 Там же.

19 См.: О типовых проектах законодательных актов в сфере информационных технологий: постановление Бюро Межпарламентской Ассамблеи Евразийского Экономического Сообщества от 28.05.2004 г. № 5-20 (Астана). Приложение 3.

20 См.: О лицензировании отдельных видов деятельности: закон Российской Федерации от 08.08.2001 г. № 128-ФЗ. П. 1. Ст. 17.

21 См.: Об уполномоченном федеральном органе исполнительной власти в области использования электронной цифровой подписи: постановление Правительства Российской Федерации от 30.05.2003 г. № 313; Положение о Федеральной службе по надзору в сфере связи (утв. постановлением Правительства Российской Федерации от 30.06.2004 г. № 318). П. 5.4.

22 См.: Электронная цифровая подпись: рынок вырос на 230 %. Режим доступа: http://safe.cnews.ru/news/top/ index. shtml?2006/11/13/217045.

23 См.: Там же.

© В. Б. Вехов

* * *

А. В. Кочубей

ПРОЦЕССУАЛЬНЫЕ ОСОБЕННОСТИ МИКРООБЪЕКТОВ КАК ВЕЩЕСТВЕННЫХ ДОКАЗАТЕЛЬСТВ

В процессе раскрытия и расследования преступлений работа с микрообъектами осуществляется как в процессуальной форме — при производстве действий, регламентированных уголовно-процессуальным законом, так и в непроцессуальной, проводимой в соответствии с Законом «Об ОРД» и ведомственными нормативными актами. Целью этой работы является установление фактических обстоятельств расследуемого события. При этом полученные сведения после надлежащего процессуального оформления могут служить доказательствами по уголовному делу.

Проблемы теории доказательств всегда были актуальны для судебно-следственной практики и притягательны в научном отношении, так как от того, насколько полно и квалифицированно проведено доказывание, зависит законность и обоснованность приговора, правильность других принятых по делу решений1. Использование микрообъектов в процессе доказывания требует отдельного рассмотрения с точки зрения учета их особенностей на фоне общих для всех видов доказательств положений.

Доказывание - это, прежде всего, познавательная деятельность, которая осуществляется с целью установления обстоятельств, имеющих значение для дела. Поэтому на это понятие распространяются все общие закономерности, присущие любой познавательной деятельности, изучаемые теорией познания. Объект познания можно охарактеризовать как явления, вещи, процессы реального мира, которые выделены из окружающей действительности для приобретения знания о них с целью решения практических задач, стоящих перед субъектом2.

Вместе с тем доказывание по уголовному делу имеет существенную специфику, отличающую его от других видов познания. Основная особенность заключается в детальной регламентации законом всего процесса, который протекает в соответствующей процессуальной форме. Уголовно-процессуальный закон устанавливает правила работы с доказательствами - их собирания, исследования, проверки, оценки.

Единственным средством доказывания в уголовном процессе являются доказательства, которые являются результатом познания и представляют собой сведения о значимых обстоятельствах расследуемого события, полученные из перечисленных в законе источников определенными законом способами.

Статья 74 УПК РФ дает вполне исчерпывающий перечень доказательств, которые допускаются в уголовном судопроизводстве: показания подозреваемого, обвиняемого; показания потерпевшего, свидетеля; заключение и показания эксперта; заключение и показания специалиста; вещественные доказательства; протоколы следственных и судебных действий; иные документы.

Следует отметить, что доказательств в уголовно-процессуальном смысле в чистом виде не существует. Необходима практическая уголовно-процессуальная деятельность, позволяющая включить в процесс доказывания ту часть реальности, в которой отразилось преступление. Именно по мере осуществления такой деятельности формируются доказательства как сведения об обстоятельствах, подлежащих доказыванию по уголовному делу, полученные из предусмотренных законом источ-ников3 и имеющих значение для уголовного дела4.