ЗАКОНОДАТЕЛЬНАЯ БАЗА И АЛГОРИТМЫ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ В РФ
В.В. Макаров, д-р экон. наук, профессор А.В. Луца, магистрант Д.О. Стародубов, аспирант
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича (Россия, г. Санкт-Петербург)
DOI: 10.24411/2500-1000-2020-10603
Аннотация. Рассматривается сущность, основные элементы и преимущества использования электронно-цифровой подписи (ЭЦП) как особого реквизита электронного документа, а также порядок ее получения и основные функции удостоверяющего центра при предоставлении услуги по оформлению ЭЦП. Приводится классификация и анализируется степень защищенности различных видов электронно-цифровой подписи. Исследуются нормативно-правовые акты, регламентирующие использование ЭЦП, и алгоритмы ее реализации на территории России.
Ключевые слова: электронная цифровая подпись, удостоверяющий центр, нормативно-правовые акты, криптографические программные преобразования, ключ, конфиденциальность, идентификация, сертификат, алгоритмы.
Электронная цифровая подпись (ЭЦП) - это особый реквизит электронного документа, основной целью которого является обеспечение подлинности этого документа, защита его от несанкционированного изменения, иными словами, - подделки. ЭЦП получается путем особого криптографического преобразования информации с использованием специального закрытого ключа электронной цифровой подписи.
С точки зрения разработчика, электронная цифровая подпись - это криптографический программный инструмент, получаемый на основе использования информационных ресурсов [1] и направленный на обеспечение:
- проверки целостности документации;
- конфиденциальности документов;
- идентификации отправителя документации [2].
К основным преимуществам использования электронной цифровой подписи относятся:
- значительное сокращение времени, затрачиваемого на операции обмена документами;
- снижение затрат на выполнение процедур подготовки, доставки, учета и хранения документов;
- получение гарантий надлежащего уровня достоверности документации;
- минимизация риска финансовых потерь, что непосредственно связано с повышением конфиденциальности обмена документами.
Для оформления электронной цифровой подписи любой гражданин должен обратиться в удостоверяющий центр (УЦ) -доверенную организацию, которая имеет право выдавать сертификаты электронной цифровой подписи как юридическим, так и физическим лицам. Функционирование удостоверяющего центра осуществляется на пересечении таких сфер, как право, информационная безопасность и информационные технологии. Как правило, УЦ является самостоятельным оператором связи, реализующим различный набор услуг, преследующим коммерческие цели, поэтому предоставление данной услуги, связанной с инновационными решениями, должно быть выгодно Центру, как с точки зрения получения прибыли, так и с точки зрения повышения инновационного потенциала предприятия [3].
Основные обязанности удостоверяющего центра при предоставлении услуги по оформлению ЭЦП:
- удостоверить личность гражданина, обратившегося с целью выдачи сертификата электронной цифровой подписи;
- изготовить и выдать сертификат электронной цифровой подписи, содержащий данные владельца сертификата, а также открытый ключ для его проверки;
- управлять жизненным циклом сертификата, в частности, выполнять такие операции, как выдача сертификата, приостановление и восстановление его действия, а также изъятие сертификата из обращения [4].
В настоящее время существует три основных вида электронной цифровой подписи:
- простая электронно-цифровая подпись;
- усиленная неквалифицированная электронно-цифровая подпись;
- усиленная квалифицированная электронно-цифровая подпись.
При использовании простой цифровой электронной подписи подтверждение формирования этой подписи определенным лицом осуществляется с помощью кодов, паролей или других аналогичных средств.
Этот тип ЭЦП имеет низкую степень защиты и позволяет только определить авторство документа. То есть подпись, никак не защищает документ от возможной подделки.
Усиленная неквалифицированная электронная цифровая подпись получается путем выполнения криптографического преобразования информации с использованием ключа ЭЦП. Данный вид электронной цифровой подписи позволяет идентифицировать лицо, подписавшее данный документ. Кроме того, можно обнаружить возможные изменения, внесенные в документ после его подписания ЭЦП. Для создания этой ЭЦП используется специализированный инструмент. Усиленная цифровая подпись считается цифровой подписью среднего уровня. Чтобы использовать эту подпись, у вас должен быть специальный сертификат - ключ.
Усиленная квалифицированная электронная цифровая подпись обладает всеми характеристиками неквалифицированной
электронной цифровой подписи, но она также имеет ряд собственных дополнительных особенностей. К ним относятся:
- наличие проверочного ключа ЭЦП в квалифицированном сертификате;
- использование инструментов для создания и проверки электронных цифровых подписей, подтвержденных на соответствие требованиям законодательства.
Усиленная электронная цифровая подпись относится к более универсальным и стандартизированным средствам защиты информации, которые имеют высокий уровень защиты. Документация, подписанная этим типом ЭЦП, сравнима с бумажной документацией, имеющей собственноручную подпись.
Использование данного вида ЭЦП возможно без каких-либо дополнительных соглашений и регламентов между участниками электронного документооборота. Наличие квалифицированной подписи на документе позволяет точно определить, кто подписал документ, а также были ли внесены изменения в документ после его подписания [4].
Основные документы, на основании которых осуществляется правовое регулирование вопросов, связанных с электронной цифровой подписью в Российской Федерации, - это Гражданский кодекс Российской Федерации, а также Федеральный закон «Об электронной подписи», принятый в марте 2011 года. Этот закон заменил принятый в 2002 году закон «Об электронной цифровой подписи», поскольку последний уже недостаточно охватывал сферу урегулирования вопросов, связанных с электронной цифровой подписью. Новый закон должен был обеспечить «полное, безопасное и массовое электронное взаимодействие». В то же время, несмотря на длительный период, прошедший с момента принятия этого закона, трудно говорить о высоком развитии электронной цифровой подписи для массового использования. По данным опроса, проведенного Всероссийским центром изучения общественного мнения, только 27% россиян заявили, что имеют представление о назначении электронной цифровой подписи и о
том, что ее можно использовать для защиты передаваемых данных [5].
Основные вопросы использования электронной подписи освещаются в федеральных законах «Об организации предоставления государственных и муниципальных услуг», «Основы законодательства РФ о нотариате», Постановлении Правительства РФ «Об утверждении Правил использования усиленной квалифицированной электронной подписи при обращении за получением государственных и муниципальных услуг и о внесении изменений в Правила разработки и утверждения административных регламентов предоставления государственных услуг» и других.
Согласно нормативно-правовой базе, любая выданная электронная цифровая подпись должна включать в себя три основных элемента:
1. Инструмент электронной подписи, под которым понимается совокупность алгоритмов и функций, необходимых для реализации электронной цифровой подписи в составе конкретного технического средства. Такие инструменты могут включать установленный криптопровайдер на ПК (КриптоПро CSP, ^^ CSP), или независимый токен, который имеет встроенный криптопровайдер (Рутокен ЭЦП, JaCarta ГОСТ), или «электронное облако». Криптопровайдер - это независимый модуль, который действует как посредник между операционной системой и программным или аппаратным обеспечением, выполняющим криптографические преобразования. Как криптопровайдер, так и то-кен должны быть сертифицированы Федеральной службой безопасности Российской Федерации на основании основных требований Федерального закона ФЗ-63.
2. Ключевая пара, представленная двумя обезличенными наборами байтов, которые генерируются с помощью электронной подписи. Первый набор - это ключ электронной цифровой подписи, называемый закрытым ключом. Этот набор используется при непосредственном создании подписи документа и хранится в секрете. Хранение этого ключа непосредственно на компьютере или флэш-карте считается небезопасным, размещение его на
токене считается в меньшей мере опасным, а хранение этого ключа на токе-не/смарт-карте или SIM-карте в несъемной форме считается наиболее безопасным вариантом.
Второй набор байтов - это ключ проверки цифровой подписи, называемый открытым ключом. Этот ключ не нужно держать в секрете, так как он имеет специализированную привязку к закрытому ключу и используется принимающей стороной для проверки правильности электронной подписи документа.
3. Сертификат ключа проверки электронной цифровой подписи, выданный центром сертификации, используется для связи обезличенных наборов байтов открытого ключа с идентификацией владельца ЭЦП. На практике это выглядит так: например, Иван Петрович Сидоров (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит Ивану Петровичу Сидорову.
Это необходимо для предотвращения мошеннической схемы, в ходе развертывания которой злоумышленник в процессе передачи "открытого" кода может перехватить его и заменить своим собственным. Таким образом, преступник сможет выдать себя за подписавшего документ человека. В будущем, перехватывая сообщения и внося изменения, он сможет подтвердить их с помощью своих ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи чрезвычайно важна, и удостоверяющий центр несет финансовую и административную ответственность за его правильность.
В соответствии с законодательством Российской Федерации существуют:
- «сертификат ключа проверки электронной подписи», который формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;
- «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только УЦ, аккредитованным Министерством связи и
массовых коммуникаций Российской Федерации.
Можно условно сказать, что ключи для проверки электронной подписи (наборы байтов) являются техническими понятиями, а сертификат «открытого» ключа и удостоверяющий центр - организационными понятиями. Ведь УЦ - это оператор связи или структурное подразделение, которое отвечает за сопоставление «открытых» ключей и их владельцев в рамках своей финансово-хозяйственной деятельности [6]. Для выполнения этих функций, удостоверяющий центр должен интегрировать организационные и технические процессы управления, стремясь улучшить показатели производства.
На данный момент существует несколько алгоритмов реализации электронной цифровой подписи:
- цифровая подпись на основе алгоритма Эль Гамаля;
- цифровая подпись на основе алгоритма RSA;
- цифровая подпись на основе алгоритма Шнорра;
- цифровая подпись, основанная на алгоритме Рабина.
Первоначально в Российской Федерации допускалось использование двух алгоритмов цифровой подписи и двух алгоритмов хеширования, отвечающих требованиям ГОСТа. Начиная с 2018 года, допускается только ГОСТ Р 34.10-2012 и хеширование в соответствии с ГОСТ Р 34.11-2012. Если обязательное использо-
допускается использование любых доступных алгоритмов.
Например, большинство веб-сайтов, использующих протокол HTTP, просто не могут использовать алгоритмы ГОСТ для обеспечения взаимной аутентификации клиента и сервера. При взаимодействии с любым из этих сайтов клиентская сторона будет вынуждена использовать алгоритмы «чужой разработки». Однако если для получения доступа к сайту государственных услуг используется аппаратный токен, то вам потребуется использовать токен, поддерживающий ЭЦП на основе ГОСТа.
Заявленная необходимость применения российских разработок при работе с государственными органами является не ограничением для граждан, и не ограничением их свободы выбора. Этот факт обусловлен тем, что на разработку и внедрение этих алгоритмов были использованы бюджетные средства, а государство несет полную ответственность за их криптографическую устойчивость и отсутствие необъявленных возможностей у этих алгоритмов. Абсолютно все криптографические алгоритмы, стандартизированные в Российской Федерации, неоднократно подвергаются независимому аудиту с целью подтверждения своей независимости. Но это не значит, что они не обладают какими-либо возможностями, которые не указаны их разработчиками, а говорит только о том, что использование их при обработке информации на государственном уровне нецелесообразно.
вание алгоритмов ГОСТ не требуется, то
Библиографический список
1. Макаров В.В., Гусев В.И., Синица С.А. Методический подход к оценке информационных ресурсов//Информационные технологии и телекоммуникации. 2013. Т. 1. № 3. С. 72-78.
2. Ковалев, П. Д. Информационная безопасность и защита информации: учеб. пособие для студентов юридических специальностей / П.Д. Ковалев, Д.П. Ковалев. - Южно-Сахалинск: Южно-Сахалинский ин-т экономики, права и информатики, 2016. - 112 с.
3. Макаров В.В., Иванова Н.О. Классификация инфокоммуникационных предприятий на основе их инновационного потенциала // Проблемы современной экономики. - 2016. -№1 (57). - С. 76-79.
4. Минбалеев, А.В. Обеспечение юридически значимого электронного документооборота при оказании государственных услуг через информационно- телекоммуникационные сети / А.В. Минбалеев, И.У. Кулдыбаева // Проблемы права. - 2013. - №2 (40). - С. 86-93.
5. Лапина, М. А. Информационное право: учеб. пособие для студентов высших учебных заведений, обучающихся по специальности 021100 "Юриспруденция" / М.А. Лапина,
А.Г. Ревин, В.И. Лапин; под ред. И.Ш. Килясханова. - М.: ЮНИТИ: Закон и право, 2012. -335 с.
6. Орлов С. Роль государства в развитии информационного общества / С. Орлов, Б. Кристальный // Информационные ресурсы России. - 2014. - №2. - С. 6-12.
LEGISLATIVE FRAMEWORK AND ALGORITHMS FOR THE USE OF ELECTRONIC DIGITAL SIGNATURE IN THE RUSSIAN FEDERATION
V.V. Makarov, Doctor of Economic Sciences, Professor A.V. Lutsa, Graduate Student D.O. Starodubov, Postgraduate
The Bonch-Bruevich Saint Petersburg State University of Telecommunications (Russia, St. Petersburg)
Abstract. The necessity of accelerated implementation of digital technologies in the country's economy and social sphere is shown. To achieve this goal, a number of conditions must be met that will prepare business and society for digital transformation. The implementation of the digi-talization program is also hindered by the disproportions in the development of information technologies in the regions, which is caused by uneven funding. It is expected that the transition to a digital economy in Russia will increase the efficiency of financial investments, open up new opportunities in the domestic market, change the operating models of companies for the better, and become one of the main factors of gross domestic product growth.
Keywords: digital transformation, digital economy, digitalization, ICT, business.