0

Как работает ЭЦП?

Что такое электронная подпись и как ей пользоваться

Как пользоваться электронной подписью и получить ее физическим и юридическим лицам, прописано в российском законодательстве. Однако пользователю необходимо ознакомиться с практической стороной вопроса, научиться устанавливать необходимое ПО и создавать ЭП для файлов разных форматов.

Электронная подпись — аналог собственноручной подписи, зашифрованный с помощью криптографического преобразования.

Что такое электронная подпись

Электронно-цифровая подпись (ЭЦП) — инструмент, который позволяет увидеть, что в документ с момента подписания не вносились изменения.

Сначала нужно получить соответствующий сертификат. Специальная лицензия удостоверяет, что подпись принадлежит ее владельцу на законном основании. Оформить ее можно в удостоверяющем центре или у официальных представителей.

Имеется 2 вида ключей для ЭЦП:

  • закрытый;
  • открытый.

В первом случае пароль доступа не может быть передан третьим лицам.

Зачем она нужна

Чтобы разобраться, зачем нужна электронная подпись, следует рассмотреть ее виды:

  1. Простая. Используется физлицами. Проставляется путем введения специального кода, полученного от уполномоченного центра.
  2. Усиленная неквалифицированная. Идентифицирует владельца и выявляет факт изменения сведений в деловой бумаге после ее подписания.
  3. Усиленная квалифицированная. В этом случае используются обратимое преобразование информации, сертифицированное ФСБ.

Применение 3-го вида ЭП приравнивается к собственноручной подписи, заверенной печатью.

Электронная подпись предназначена для защиты документа от подделки.

Где применяется

Главная сфера использования — сдача результатов работы через интернет. Многих бизнесменов сегодня обязали подавать электронные отчеты в органы, осуществляющие контроль. Для этого нужен сертификат ЭП, имеющий квалификацию.

Необходима ЭЦП для работы с системой, контролирующей производство и продажу алкогольных напитков. Обеспечивает требования безопасности и сопрягается с техособенностями ключевых носителей только квалифицированная подпись.

Невозможно без неквалифицированной ЭЦП участие в электронных торгах. С ее помощью человек может аккредитоваться на торговой площадке и подписать соглашение в случае победы. Однако рекомендуется оформить сразу квалифицированную ЭП, чтобы совершать другие действия, связанные с государственными закупками.

Сегодня многие организации переходят на обмен электронными документами по телекоммуникационным каналам связи, оценив достоинства такого делопроизводства:

  • быстрые обмен и получение бумаг;
  • сокращение финансовых затрат на их обработку.

Работа с информационными госсистемами — еще одна сфера, как использовать ЭП. Большинство учреждений и государственных органов оказывают услуги и принимают отчеты в электронном виде. Кому-то требуется базовая квалифицированная подпись, а для других важен сертификат, содержащий специальный опознаватель.

Электронная подпись применяется во всех сферах электронного документооборота.

Применяется ЭЦП и в частной жизни. Физлицо, имеющее подпись с квалификацией, получает доступ ко всем вкладкам сайта Госуслуг, где необходимо подтверждение личности. С ЭП можно подать через интернет заявку в любое высшее учебное заведение РФ.

Россиянин также получает возможность обменяться документами с работодателем (особенно это удобно для удаленных сотрудников), зарегистрировать сделку с недвижимым имуществом на сайте Росреестра, подать заявление в Роспатент, оформить кредит.

Как делается ЭП

Многие пользователи прибегают к помощи программного обеспечения «Карма». Через систему в документ можно добавлять графическую модель подписи. Пользователь может оставлять комментарии и писать сообщения получателю деловой бумаги. Благодаря понятному интерфейсу, в ПО разберется даже «чайник».

Для формирования ЭЦП с зарегистрированным сертификатом физлицу нужно создать личный кабинет налогоплательщика (ЛКН). Для получения лицензии следует перейти в раздел «Профиль» и кликнуть на соответствующую кнопку. Такой ключ будет действителен 12 месяцев. Подпись с ЛКН генерируется бесплатно.

Для работы на платформах, на которых проводятся тендеры, для организации ЭДО с налогово-бюджетными учреждениями и организациями получить сертификат нужно в удостоверяющем центре (УЦ). Такая лицензия дает возможность проверить подлинность реквизита.

Создать электронную подпись можно самостоятельно, это абсолютно бесплатно.

Для создания ключа пользователь может подать соответствующее ходатайство в ближайший УЦ. К заявлению прикладываются копии основных документов. Лицензия записывается или на электронный, или на бумажный носитель. Удобнее всего использовать ЭЦП с флеш-карты.

Как пользоваться ЭЦП

Перед использованием ЭП нужно подготовить необходимые инструменты. Сначала потребуется криптопровайдер — специальное программное обеспечение, которое реализует алгоритм преобразования данных. Оно позволяет создавать подпись, проверять, шифровать и расшифровывать ее.

Сертификат и ключ — элементы, выдаваемые в удостоверяющем центре. Они содержатся на специализированном защищенном носителе, который обеспечивает безопасное хранение содержимого. Такой накопитель называется токеном.

Не получится воспользоваться ЭЦП без оборудованного рабочего места. Правильно должен быть настроен браузер, чтобы не блокировалось осуществление необходимых операций. При настройках по умолчанию работа с ЭП будет невозможна из-за политики безопасности операционной системы. По этой причине нужна установка дополнительных надстроек и плагинов. Правильно настроенный браузер на 98% обеспечивает бесперебойное функционирование.

Для установки сертификата на флеш-карту выполняют следующие действия:

  • вставляют в специальный разъем в корпусе компьютера;
  • через панель управления находят нужное ПО;
  • заходят в «Сервис» и нажимают на «Просмотреть…»;
  • при помощи команды «Обзор» находят контейнер и нажимают «Ок» и «Далее»;
  • кликают на кнопку «Установить»;
  • в окне «Мастер импорта» подтверждают операцию клавишей «Далее»;
  • отмечают пункт «Автоматически выбрать хранилище» и нажимают «Готово».

В конце операции появляется уведомление о том, что СКПЭП сохранена в папку «Личное».

Пользоваться электронной подписью с флешки не составит труда.

Бесплатно можно создать ЭЦП в пакете MS Office. Заверять документ нужно по такому алгоритму:

  1. Поставить курсор на строчку, где требуется расписаться.
  2. Открыть вкладку «Вставка» и кликнуть на клавишу «Строка подписи Microsoft Office».
  3. Заполнить все графы в окне, появившемся на экране.

Как работает ЭП с pdf-файлами, можно узнать через Acrobat и Adobe Reader. Для этого потребуется полная их версия.

Сегодня проставить ЭП можно и в HTML-варианте. Однако на ПК должны быть установлены программы, позволяющие обработать информацию.

Выглядеть подпись может по-разному, но в большинстве случаев это маленький штамп.

Действия, если не работает

В некоторых ситуациях ЭП может перестать функционировать.

Без привлечения сервисной службы можно решить следующие проблемы:

  1. Сертификат недействителен. Необходима его установка. Инструкцию, как это сделать, можно получить у специалиста, который занимался его выдачей.
  2. К документу нет доверия. В этом случае устанавливаются новые ключи, которые в большинстве случаев идут в дополнение к ЭЦП. Еще их можно скачать с официального интернет-ресурса центра.
  3. Заканчивается срок действия КриптоПро. Для устранения проблемы вводится код, который выдается вместе с цифровой подписью.
  4. Не установлен Capicom. Программу нужно скачать и перед установкой закрыть браузер. Далее ее требуется настроить в соответствии с требованиями площадки, на которой планируется работа.
  5. Несоответствие ключа сертификату. Решить проблему можно через УЦ.
  6. Действительные документы не обнаружены. Если лицензия действительна, эффективным способом устранения проблемы станет переустановка.

Получение несанкционированного доступа к ЭП невозможно, если только пароль не предоставлен третьим лицам, поэтому начинающие пользователи должны помнить об этом.

Места хранения

Чтобы просмотреть, какие сертификаты установлены на компьютере, нужно открыть свойства веб-обозревателя, потом зайти во вкладку «Содержание» и выбрать соответствующий раздел.

Нюансы хранения электронных документов

По законодательству, электронные документы хранятся столько же, сколько и бумажные. Если срок хранения официальной бумаги составляет 5 лет, а подпись действует 12 месяцев, ставить последнюю ежегодно не потребуется. При проставлении ЭП дата на штампе фиксируется автоматически, что позволяет решать спорные ситуации.

Суть электричества. Почему и как работает электричество, его природа и принцип действия.

Тема: в чём заключается суть электрических явлений, природа электричества.

Многие пользуются электричеством, но далеко не многие знают в чём заключается его суть. Электричество, как явление природы, было и будет всегда. Но люди, в силу своих познавательных способностей, могут лишь отрывать те или иные явления. И в силу своих человеческих особенностей могут порой забывать, терять, скрывать знания о них. Суть электричества в наше время раскрывается в научных теориях тех учёных, которые в своё время вели усердную работу над познанием этой невидимой силы. В разные периоды были сделаны определённые открытия, в последствии порождающие новые вопросы, на которые были очередные попытки на них ответить.

Итак, суть электричества заключается в том, что существуют так называемые элементарные частицы такие как электроны и протоны, входящие в состав атомов и молекул различных веществ. Напомню, модель атома следующая (похожая на солнечную систему): внутри располагается ядро, состоящее из протонов и нейтронов.

Протоны имеют положительный заряд, который проявляет себя в виде силы (по средствам существующего поля вокруг частиц), действующие на другой заряд другой частицы отталкивая её или притягивая. Нейроны, как бы, нейтральны, с точки зрения зарядов. Электроны вращаются на очень большой скорости вокруг ядра атома, и имеют отрицательный заряд. Количество элементарных частиц в атоме может быть разным в зависимости от конкретного вещества.

Именно эти заряды (полевые силы, действующие друг на друга) и являются основой, сутью электричества, поскольку именно эта сила и порождает различные явления, связанные с проявлением электричества в мире. Когда суммарное количество положительного заряда протонов равно отрицательному заряду электронов, входящих в состав атома вещества, то в целом атом будет электрически нейтральным, по отношению к другим атомам. Но вот если в силу тех или иных причин в атоме начнёт преобладать тот или иной вид заряда, то тут уже появятся силы, которые будут стремиться выровнять этот дисбаланс электрического заряда.

Но различные вещества по разному ведут себя, с точки зрения перераспределения электрических зарядов. У одних электроны настолько сильно притягиваются к своим ядрам атома, что не в силах сорваться со своей орбиты вращения. У других же веществ эти электроны достаточно легко отрываютя от атомов и начинают блуждать по соседним атомам данного вещества. В первом случае вещества называют диэлектриками, в другом же случае (где электроны свободно блуждают) вещества называют проводниками электричества. То есть, эти электрические заряды перетекают из одного места в другое, тем самым образуя электрический ток.

Дальнейшая суть электричества уже связана именно с различными движениями этих электронов в различных средах, в различных материалах и различных условиях. В итоге и получаем всё то разнообразие электрических явлений, процессов и взаимодействий. К примеру, обычная батарейка. В ней находятся различные химические вещества, которые взаимодействуя друг с другом с одного своего состояния переходят в другое, а сопутствующим процессом будет перераспределение электронов между изменяющимися веществами внутри. Если есть дисбаланс электрических зарядов, значит есть и сила, стремящаяся выровнять его. Эту самую силу и используют в батарейке для питания различных электрических устройств.

Металлы служат проводником этих самых электронов (заряженных частиц). Они легко перетекают по проводнику с одного участка в другой. Пока же совершается движение электронов, происходят параллельные физические явления. К примеру, когда много электронов упорядоченно движутся через тонкий проводник, они сталкиваются с атомами, неподвижно стоящих на своих местах в кристаллической решётки вещества. В результате таких столкновений энергия движения электронов переходит в энергию тепла атома, с которым было столкновение. То есть, энергия движения электронов частично перешла в энергию тепла, произведя нагрев данного вещества.

Другим примером, проявляющим суть электричества, может служить взаимодействие электромагнитных полей. Напомню, что вокруг неподвижных заряженных частиц существует электрическое поле, а вокруг движущихся электрических частиц ещё возникает и магнитное поле. В итоге, когда заряженные частицы движутся вокруг них образуется общее электромагнитное поле, способное действовать на другие такие же поля других заряженных частиц. Так работает электродвигатель. Именно магнитные поля заставляют вращаться электрический мотор, когда по его обмоткам совершается перетекание электрических зарядов с одного полюса на другой.

P.S. — вот мы и разобрались в общих чертах о сути электричества и его явлениях. Для лучшего понимания просто представляйте, как очень маленькие частички очень быстро перетекают с одного места на другое по своей электрической цепи. Если есть разность потенциалов (в одном месте возникло скопление одного вида зарядов, а в другом, противоположного вида), то при появлении пути (соединение цепи) начинается процесс выравнивания этих самых потенциалов. Бежит электрический ток. Вот и всё.

Как открыть центр сертификации (удостоверяющий центр)

* В расчетах используются средние данные по России

В любой крупной компании документооборот представлен большим объёмом документов, многие из которых хранятся и передаются в электронном виде. Чтобы исключить вероятность подделки и защитить свои данные, используется электронная подпись, которая является аналогом подписи от руки на бумажном носителе. Только если с подписью на бумаге всё относительно просто, то для обеспечения безопасности электронных документов придётся получить соответствующую государственным стандартам подпись электронную, которую выдаёт центр сертификации или удостоверяющий центр. В настоящее время подобные организации образовываются предпринимателями, которые для своих клиентов разрабатывают электронную цифровую подпись, но прежде чем приступить к такой работе, нужно получить лицензию на осуществление своей деятельности. Такое направление бизнеса, конечно, очень перспективное, особенно с учётом того, что уже даже малые предприятия и индивидуальные предприниматели используют ЭЦП, но открытие центра сертификации сопряжено с рядом трудностей.

Казалось бы, это очень хорошая идея для своего начинания, однако не так много компаний стремятся заниматься бизнесом в этой сфере. Но тут нужно сразу отметить, что открытие удостоверяющего центра может быть актуально в двух различных случаях. Многие компании открывают такой центр для того, чтобы вести документооборот в рамках своего предприятия и филиалов, а также обмениваться документами с партнёрскими организациями. То есть центр открывается исключительно для собственных нужд. Несколько компаний могут объединиться для того, чтобы наладить передачу документов только между собой и выделить для одной средства на открытие центра сертификации на базе одного какого-либо предприятия (открывать центр на базе каждой компании бессмысленно). С юридической точки зрения в этом случае вообще вроде как необязательно получать лицензию, однако тогда появляется множество рисков… Другой случай – предпринимательская деятельность по разработке и выдачи электронной подписи сторонним заказчикам. Тут уже без лицензий не обойтись. Это важный момент, и сейчас более подробно остановимся на процессе регистрации и лицензирования своей деятельности.

Итак, для начала нужно зарегистрироваться как субъект предпринимательской деятельности. Лучше сразу оформить юридическое лицо, предпочтительная форма – общество с ограниченной ответственностью. Тут уже неплохо иметь в штате или просто обратиться к грамотному юристу, который поможет с регистрацией и выбором системы налогообложения. Код деятельности — (ОКПД 2) 62.09 Услуги в области информационных технологий прочие и компьютерные услуги, хотя могут понадобиться и дополнительные кодировки в зависимости от перечня предлагаемых услуг. После прохождения этапа регистрации можно обращаться за получением лицензии. По факту лицензию на выдачу электронных подписей выдаёт Министерство связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) и его территориальные отделения, вернее это даже не лицензия, а прохождение аккредитации центра сертификации, по итогам которой выдаётся разрешение на деятельность с подтверждением того, что выдаваемые центром электронные подписи соответствуют государственному стандарту.

Пройти аккредитацию относительно просто, потому что для получения разрешений требуется предоставить три документа – непосредственно само заявление, образец договора с клиентом и, что самое важное, документ, подтверждающий заключение договора страхования ответственности. В области информационной безопасности существуют большие риски, которые, в том числе, могут повлечь за собой серьёзный материальный ущерб заказчику, поэтому без страховки своей деятельности не обойтись. Если всё это имеется, то Минкомсвязь должно выдать лицензию.

Однако есть другая существенная трудность. Работа в сфере информационной безопасности требует получение лицензии от Федеральной службы безопасности РФ (ФСБ) на (дословно) «деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». Последний пункт особенно важен – то есть если работать только для обеспечения себя электронной подписью, то лицензия не нужна (однако и тут могут быть некоторые претензии со стороны ФСБ, которая очень тщательно следит за деятельностью компаний, работающих в сфере криптографии).

В ином случае для того, чтобы в один прекрасный день не принимать гостей в масках в своём офисе, нужно обратиться в ФСБ за лицензией. Именно этот этап можно назвать самым сложным и затратным. Всего существует 28 видов деятельности, которые подлежат лицензированию, центру сертификации вряд ли потребуется заниматься всем перечнем этих видов деятельности, но точный список зависит от формата работы и используемых алгоритмов. В общем-то, на этом этапе желательно уже работать с программистами, которые в будущем будут трудоустроены на предприятие, потому что они точно смогут определиться с тем, что им необходимо, и в каком направлении следует двигаться.

В зависимости от количества видов лицензируемой деятельности определяется стоимость лицензии, она также может зависеть от региона, но в любом случае будет достаточно дорогой – порядка нескольких сотен тысяч рублей. Есть компании, которые помогают в получении лицензии, но они тоже возьмут дополнительные средства за свои услуги.

Чтобы получить лицензию ФСБ, необходимо, чтобы организация обладала некоторыми возможностями. Для начала необходимо найти руководителя, который имеет соответствующие высшее профессиональное образование по направлению подготовки «Информационная безопасность» или просто прошёл переподготовку по одной из специальностей данного направления. Стаж его работы должен составлять не менее трёх лет, а в некоторых случаях даже не менее пяти лет в зависимости от перечня оказываемых услуг.

Далее необходимо будет предоставить все документы, которые подтверждают наличие у соискателя лицензии права собственности или какого-то иного законного основания на владение и использование помещений, сооружений, любого оборудования и иных объектов, которые необходимы для осуществления лицензируемой деятельности. В штате компании обязательно должны находиться как минимум два специалиста, которые также обладают соответствующим образованием, здесь уже имеются в виду непосредственно исполнители, которые будут заниматься разработкой программного обеспечения, криптографией и прочими работами в сфере информационной безопасности.

Касательно оборудования нужно отметить, что необходимо иметь специальные вычислительные машины и базы данных, которые будут необходимы для проведения работы, а также специальные приборы и оборудование, которые прошли проверку и калибровку. Более точно узнать требования можно непосредственно в лицензирующем органе, потому что в каждом конкретном случае могут быть свои условия и ограничения. С другой стороны, перед началом работы все необходимые требования могут озвучить работники предприятия, потому что они точно знают, с чем им придётся иметь дело. Предприниматель должен собрать полный пакет документов, который подтверждает наличие всего необходимого оборудования и заключение трудовых договоров со специалистами. Процесс получения всех лицензий и прочей разрешительной документации может занять очень много времени, поэтому нужно с самого начала рассчитывать на то, что даже при фактически полном обустройстве своего предприятия и готовности к работе будет необходимо потратить некоторое время на ожидание решения контролирующих органов.

Следующий этап – место размещения своего предприятия. Здесь не особенно важно, где именно будет располагаться офис, хотя, конечно, в центре города наиболее предпочтительно, так как для получения электронной подписи заказчик должен обратиться лично, а это значит, что ему придётся ехать через весь город, если компания находится на окраине. Получить электронную подпись без личного обращения по закону нельзя, причём это касается не только юридических лиц, но и простых людей, которые желают иметь электронную подпись для своих личных нужд. Размер помещения зависит от планируемого объёма работы, минимально офис должен иметь три рабочих места – два для каждого специалиста и один для руководителя. Также потребуется техническое помещение для размещения оборудования.

Вообще можно некоторые функции по обеспечению работоспособности своего предприятия передать на аутсорсинг, а именно на IT-аутсорсинг. Компания, с которой будет налажено сотрудничество, будет выполнять работы по обслуживанию оборудования и прочие обязанности, которые прямо не относятся к созданию электронных подписей. То есть офис должен быть относительно большим, и располагаться где-нибудь на территории бизнес-центра вряд ли получится. Стоимость аренды зависит от огромного количества факторов, но в первую очередь на неё влияет местоположение и даже город работы.

Чтобы была возможность заниматься подобной деятельностью, необходимо приобрести мощное вычислительное оборудование, это может быть не только компьютеры, но и сопутствующая техника, к примеру, мощные серверы. На оборудование придётся выделить в среднем сумму порядка 500 тысяч рублей, есть возможность, конечно, сэкономить, если приобрести не столь мощное или даже бывшее в употреблении оборудование. Но сумма может быть также и в несколько раз выше, если планируется открыть центр, который ориентирован на работу с огромным количеством потребителей и выполняет большое количество заказов одновременно как следствие. В целом, предприниматель сам решает, сколько средств ему необходимо выделить на оборудование, однако нельзя забывать, что работа в подобной сфере требует наличия только хороших машин, потому что это даёт возможность качественно выполнять свои обязанности.

Далее – персонал. В общем-то, простой центр вполне может обойтись двумя сотрудниками, если передать все сторонние обязанности на аутсорсинг и не рассчитывать на большое количество потребителей. Работать должны опытные программисты, которые знают всё необходимое о криптографии и алгоритмах создания электронных подписей. В настоящее время найти профессионалов данной сферы в большом городе относительно легко, но нужно понимать, что такой человек будет ожидать соответствующей заработной платы. Что касается руководителя, то тут может быть несколько сложнее, если сам предприниматель не является специалистом данной сферы. В дополнение может быть необходимо нанять людей, которые будут заняты выполнением административных и организационных вопросов. Это связано с необходимостью поиска клиентов, проведения переговоров с ними, а также консультирование и прочие сопутствующие услуги. Бизнес-процессы, которые не относятся к получению прибыли организацией, лучше передать на аутсорсинг. Сюда можно отнести ведение бухгалтерии, консультирование по юридическим и налоговым вопросам, а также обеспечение безопасности, для чего стоит обратиться в частную охранную организацию. И, как уже было отмечено, на аутсорсинг передаются некоторые вопросы, связанные с программированием или обслуживанием техники, которые нецелесообразно выполнять самостоятельно.

Далее следует побеспокоиться о поиске клиентов для своего предприятия. Электронная подпись в большинстве случаев нужна всё-таки руководителям организаций или просто для работы предприятия, физические лица обращаться за получением электронной подписи города реже, причины этого, думается, понятны. В связи с этим подавляющее число компаний, которые занимаются разработкой и выдачей электронных подписей ориентированы в первую очередь на работу именно с юридическими лицами или индивидуальными предпринимателями, однако процесс выдачи электронной подписи как юридическому, так и физическому лицу отличается не сильно, требуются просто различные документы от заказчика для выполнения заказа. Однако учитываются также сферы применения электронной подписи, потому что для простого документооборота и обмена документами с различными контрагентами достаточно иметь один вид электронной подписи, но если необходимо предоставлять отчётность в государственные органы, информация вносится в отдельный реестр, в дополнение может быть разработана электронная подпись для торговли на специальных площадках. Так, физическое лицо должно предоставить только паспорт, адрес электронной почты и номер СНИЛС. Квалифицированный сертификат электронной подписи юридическому лицу выдадут только по предоставлению учредительных документов с документом о внесении информации о предприятии в единый реестр и свидетельством о постановке на учёт в налоговый орган.

Значительное число клиентов будет обращаться по собственной инициативе, и тут организация должна дать информацию о себе во всех средствах местной массовой информации. Это могут быть и порталы в интернете, а также создание собственного сайта. В некоторых случаях есть смысл самостоятельно обращаться в компании со своим предложением по разработке электронных подписей, хотя это может быть актуально только в первое время работы, чтобы найти себе постоянных клиентов. Да, в процессе своей работы придётся напрямую сотрудничать с Минкомсвязи, потому что именно туда передаются все сведения о получивших электронную подпись, и хранить данные только у себя не получится. Однако это не столь серьёзное ограничение, чтобы оно как-то могло повлиять на ведение бизнеса.

Такой вид предпринимательства отличается достаточно большой суммой стартовых инвестиций, потому что закупка мощного и производительного оборудования обойдётся в несколько сотен тысяч рублей, и при этом примерно сопоставимую с этим сумму придётся выделить на получение лицензии ФСБ.

В компании должны работать только специалисты, которые хорошо разбираются в криптографии и программировании, и получать они будут немалые деньги. Величина заработной платы одного сотрудника в среднем составляет 50 тысяч рублей, то есть 100 тысяч придётся выделить на обоих программистов, ещё минимум 20 тысяч – на услуги аутсорсинга.

Обслуживание своего офиса и техники вместе с арендой будет обходиться в немалую сумму ежемесячно, здесь нужно рассчитывать примерно на 100 тысяч рублей, потому что сложная техника должна модернизироваться и вовремя ремонтироваться.

При всём при этом сказать, что выдача электронной подписи является слишком дорогой услугой, нельзя; в среднем для физического лица получение ЭЦП обходится в сумму в пределах тысячи рублей, для организаций может быть несколько дороже. Ключ, который используется электронных торгах обойдётся в 7 тысяч рублей в среднем. Компания сама устанавливает цены, но наличие конкурентов может вынуждать держать их на определённом уровне. Поэтому успешным этот бизнес будет в том случае, если удастся работать с очень большим количеством потребителей. То есть, чтобы покрыть свои расходы, придётся оформлять в месяц не менее 110 подписей для физических лиц, но если брать в расчёт именно самую дорогую подпись, то количество необходимых заказов сокращается до 32.

При этом центр зарабатывает и на предоставлении некоторых дополнительных услуг: подготовка документа, анализ и обработка информации, перевыпуск и обновление подписей, аккредитация. В целом можно ожидать рост спроса на такие услуги с развитием техники, бизнеса и с постепенным переходом большинством компаний на ведение документооборота в электронном виде. Упростить себе задачу можно, если открыть удостоверяющий центр изначально для собственных нужд, объединившись со своими партнёрами по бизнесу, после чего начать предлагать свои услуги всем желающим.

Матиас Лауданум
(c) www.openbusiness.ru — портал бизнес-планов и руководств по открытию малого бизнеса

Все об электронной подписи

Терминология

Криптография (от др.-греч. κρυπτος — скрытый и γραφω — пишу) — наука, изучающая и разрабатывающая способы обеспечения конфиденциальности (недопущения прочтения текста посторонними лицами) и аутентичности (сохранения целостности данных, подтверждения и невозможности отказа от авторства) информации.

Электронная подпись (ЭП) — реквизит электронного документа, позволяющий обеспечить целостность и не допустить искажения информации в документе после его подписания. Также дает возможность установить принадлежность ЭП владельцу сертификата ключа. Электронная подпись формируется путем криптографического преобразования содержимого документа с использованием закрытого ключа.

Центр сертификации или Удостоверяющий центр (англ. Certification authority, CA) — отдельная компания или подразделение организации, занимающиеся выпуском сертификатов ключей электронной подписи. Одновременно является элементом глобальной службы каталогов, отвечающим за управление ключами пользователей. Хранение информации о пользователях осуществляется в виде цифровых сертификатов.

Служба штампов времени (англ. Time Stamping Authority, TSA) – специализированный сервис, обладающий точным и надёжным источником времени и оказывающий услуги по созданию штампов времени. Штамп времени является аналогом даты на подписываемом документе. Также он подтверждает, что сертификат был действителен на момент подписи документа. Значение хеш-функции от документа, на который получен штамп времени, служит для связи штампа с документом. При включении в штамп времени не самого документа, а значения хеш-функции, сохраняется конфиденциальность документа перед Службой штампов времени.

Сертификат ключа подписи — в соответствии с законодательством РФ – документ на бумажном носителе или в электронном виде содержащий в себе открытый ключ ЭП. Выдается УЦ владельцу электронной подписи после проверки предоставленных им документов. Используется для подтверждения подлинности ЭП и идентификации владельца сертификата. Электронный сертификат заверяется электронной подписью уполномоченного сотрудника УЦ.

Ключ — секретная информация (например, пара значений аргументов для подстановки в функцию), используемая криптографическим алгоритмом при шифровании/расшифровке информации. Также применяется для формирования и проверки электронной подписи, вычислении кодов аутентичности. Поскольку результат шифрования при использовании одного алгоритма зависит от ключа, его отсутствие влечет невозможность восстановления первоначальной информации.

Хеширование (иногда хэширование, англ. hashing) — процесс преобразования произвольного набора данных в строку фиксированного формата. Закон, по которому осуществляется данная операция, называется хеш-функцией или функцией свертки. Результат преобразования именуют хешем или хеш-кодом. Также используется термин «дайджест сообщения». Одним из примеров использования хеш-функций является вычисление контрольной суммы файла.

Введение

Достоверно установлено, что шифрование передаваемых сообщений осуществлялось уже в 3-м тысячелетии до нашей эры.

До середины 70-х годов прошлого века, несмотря на совершенствование технологии и оборудования, применявшегося для защиты информации, базовый принцип оставался неизменным: кодирование и расшифровка данных производилась с использованием одного и того же секретного ключа. В связи со спецификой данного направления, криптография долгое время оставалась исключительно прерогативой государства.

Развитие информационных технологий привело к необходимости предоставления доступа к достижениям данной науки для широкого круга лиц. В связи с этим потребовалась, и была успешно выполнена, разработка алгоритмов шифрования, позволяющая надежно защищать информацию, передаваемую по сетям общего пользования большому количеству адресатов.

Возникновение ЭП

В середине 70-х годов прошлого века пришло понимание, что в ряде случаев необходимо иметь инструмент, который был бы способен подтвердить авторство и сохранность в неизменном виде передаваемой в цифровом виде информации.

В 1976 году для него было предложено название: «электронная цифровая подпись». Однако сама ЭП появилась несколько позже, после того, как в 1977 году разработали алгоритм RSA, получивший свое название по первым буквам фамилий создателей: Рональд Райвест (Ronald Linn Rivest), Ади Шамир (Adi Shamir) и Леонард Адлеман (Leonard Adleman). Он стал первым, который подходил как для шифрования данных, так и для аутентификации.

Требования к алгоритмам электронной подписи, обеспечивающие безопасность ее использования, были четко сформулированы в 1984. Тогда же были предложены и схемы, устойчивые к основным моделям атак злоумышленников.

В России первый стандарт, определяющий создание и использование электронной подписи, был разработан в 1994 году (ГОСТ Р 34.10-94). В законодательство понятие ЭП было введено в 1995 году. Термин появился в первой главе гражданского кодекса как один из аналогов собственноручной подписи.

Что такое ЭП?

Подпись – это рукописное и иногда стилизованное графически имя или другой графический знак под документом, идентифицирующий подписанта и означающий его согласие с текстом документа. Проверяется обычная подпись визуально (сличаем оригинал с подписью, поставленной на документе).

В мире электронных документов подписание документа с помощью графических символов теряет смысл, т.к. подделать и скопировать графический символ можно бесконечное количество раз.

Электронная Цифровая Подпись (ЭП) является полным электронным аналогом обычной подписи на бумаге, но реализуется не с помощью графических изображений, а с помощью математических преобразований над содержимым документа. Специальные криптографические алгоритмы, используемые для создания и проверки ЭП, гарантируют невозможность подделки такой подписи посторонними лицами (неопровержимость авторства). Процедура проверки ЭП выполняется компьютерной программой, что позволяет избежать человеческого фактора.

ЭП дает информацию не только о лице, подписавшем документ, но и позволяет удостовериться, что сам документ не был изменен или подделан после подписания (целостность документа).

Одним из компонентов ЭП может являться штамп времени, который показывает реальное время подписания документа в отличие от даты, указанной в самом документе. Использование штампов времени в электронном документообороте позволит вам создавать официальное доказательство факта существования документа на определённый момент времени.

Штамп времени — это подписанный ЭП документ, которым Служба штампов времени удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции от документа. Само значение хэш-функции также указывается в метке.

Наличие штампа времени в подписанном документе позволяет продлевать срок действия электронной подписи. Такой штамп удостоверяет, например, что подпись была создана до того, как сертификат ключа подписи был аннулирован (отозван). Таким образом, для проверки подписи, созданной до момента отзыва сертификата, можно использовать уже отозванный сертификат.

Схемы и технологии ЭП

Как уже говорилось выше, в основе технологии ЭП лежит криптографическое преобразование информации, в том числе различные схемы, использующие симметричные и ассиметричные криптографические алгоритмы.

Схемы ЭП, использующие в своей основе симметричные алгоритмы, получили меньшее распространение, в виду того, что в симметричном алгоритме для зашифровывания и расшифровывания используется один и тот же секретный ключ и стойкость такой системы, зависит от стойкости этого ключа. Кроме этого, применение ЭП, выполненной на основе симметричных схем, требует наличие в цепочке передачи информации третьей доверенной стороны, способной подтвердить ее достоверность.

Наиболее широкое распространение получили схемы ЭП на основе ассиметричных алгоритмов. В асимметричной схеме применяется пара ключей: открытый ключ, который зашифровывает данные, и соответствующий ему закрытый ключ (или секретный ключ), который их расшифровывает . Владелец открытого ключа может его смело распространять. В то же время, закрытый ключ держится в тайне. Любой человек с копией открытого ключа может зашифровать информацию, которую сможет прочитать только владелец закрытого ключа. Хотя ключевая пара математически связана, вычисление закрытого ключа из открытого в практическом плане невыполнимо. Каждый, у кого есть открытый ключ, может зашифровать данные, но не может их расшифровывать. Только человек, обладающим соответствующим закрытым ключом может расшифровать информацию.

Таким образом, главное достижение асимметричного шифрования в том, что оно позволяет людям, не имеющим существующей договорённости о безопасности, обмениваться секретными сообщениями. Необходимость отправителю и получателю согласовывать тайный ключ по специальному защищённому каналу полностью отпадает. Все коммуникации затрагивают только открытые ключи, тогда как закрытые хранятся в безопасности.

Другой особенностью современной технологии ЭП, является использование хеш-функций.

Поскольку подписываемые документы, как правило, достаточно большого объёма, при формировании ЭП используется не сам документ, а его хэш, который имеет небольшую фиксированную длину. Для вычисления хэша используются хэш-функции (односторонние функции), что гарантирует выявление изменений документа при проверке подписи.

Стоит заметить, что использование хеш-функции не обязательно, а сама функция не является частью алгоритма ЭП, поэтому хеш-функция может не использоваться вообще.

Таким образом, общепризнанная схема ЭП, основанная на ассиметричном алгоритме охватывает три процесса:

Генерация ключевой пары: При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.

Формирование подписи: Для заданного электронного документа с помощью хеш-функции и закрытого ключа вычисляется подпись.

Проверка подписи: Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.

Для того, чтобы использование электронной подписи имело смысл, необходимо выполнение двух условий: во-первых, проверка подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании. Во-вторых, без обладания закрытым ключом должно быть вычислительно сложно создать легитимную электронную подпись.

Невыполнение второго условия, использование плохо подобранных ключевых пар или хеш-функций, все это ведет к снижению надежности ЭП и усиливает риск подделки электронной подписи.

В настоящее время наиболее распространены три типа попыток фальсификации с использованием: открытого ключа, известных случайных и выбранных сообщений, но из-за надежности современных алгоритмов, успешное осуществление попыток взлома и подмены электронной подписи является крайне сложной задачей. Поэтому чаще стараются подделать не саму ЭП, а защищаемый ею документ.

Здесь возможны два варианта: попытка подбора случайного документа, подходящего к подписи и формирование двух документов с одинаковой подписью и подмена одного другим в нужный момент. Обе задачи также чрезвычайно сложно реализуемы. При этом первая практически не имеет шансов на успех. Связано это с тем, что подобрать документ, хэш которого полностью совпал бы с тем, который планируется сфальсифицировать, и при этом его содержимое представляло собой связный и осмысленный текст – нереально.

Порядок формирования ЭП

Для успешного создания и использования ЭП электронного документа в современных условиях обмена электронными сообщениями и документами, в том числе в сетях общего пользования, необходимо, чтобы открытый ключ (в том числе и закрытый ключ) был соотнесен с лицом, создающим ЭП, а для его создания использовалось сертифицированное средство (специальное программное обеспечение).

Для выполнения первого условия необходимо обратиться в центр сертификации.

Удостоверяющий центр или центр сертификации — это организация или подразделение организации, которая выпускает сертификаты ключей электронной подписи.

Сертификат открытого ключа удостоверяет принадлежность открытого ключа некоторому лицу. Сертификат открытого ключа содержит имя субъекта, открытый ключ, имя удостоверяющего центра (или центра сертификации), политику использования соответствующего удостоверяемому открытому ключу закрытого ключа и другие параметры, заверенные подписью уполномоченного лица удостоверяющего центра.

Сертификат открытого ключа используется для идентификации субъекта и уточнения операций, которые субъекту разрешается совершать с использованием закрытого ключа, соответствующего открытому ключу, удостоверяемому данным сертификатом. Структура цифровых сертификатов, а также списков отозванных сертификатов (CRL), определяется стандартом X.509.

Заявитель обращается в удостоверяющий центр и представляет документы, необходимые для его идентификации (например, паспорт). Уполномоченный сотрудник УЦ выполняет проверку документов, после чего формируется пара ключей. Достоверность первого удостоверяется сертификатом, заверенным ЭП сотрудника УЦ. Секретный ключ на съемном носителе передается заявителю, который, расписываясь в получении сертификата и секретного ключа, обязуется никому не передавать секретный ключ, а в случае его утраты, обратиться в удостоверяющий центр для отзыва сертификата.

После получения закрытого ключа и сертификата открытого ключа, необходимо установить сертификат на компьютер, где будет создаваться электронная подпись. Процедура установки корневого сертификата удостоверяющего центра, а также личного сертификата с привязкой к секретному ключу, производиться с помощью средств операционной системы и специального программного обеспечения, обеспечивающего работу с сертификатом и закрытым ключом при выполнении операций шифрования и создания ЭП.

В операционных системах Microsoft Windows такое программное обеспечение получило название — криптопровайдер (Cryptography Service Provider, CSP). Криптопровайдер — это независимый модуль, позволяющий осуществлять криптографические операции, управление которым происходит с помощью функций CryptoAPI . Проще говоря, криптопровайдер – это посредник между операционной системой и клиентской программой, предназначенной для выполнения уже вполне конкретных действий, например, шифрования данных или создания ЭП документа. Криптопровайдер обычно устанавливается в систему в момент установки клиентской программы, поэтому этот сложный процесс не заметен для пользователя.

Также нужно отметить, что криптопровайдеры поддерживающие различные зарубежные криптографические алгоритмы, поставляются вместе с операционной системой и не требуют отдельной установки. В частности поэтому, для того чтобы подписать электронное сообщение в почтовой программ MS Outlook на сертификате выпущенном в вашей организации, Вам нужно только установить выпущенный сертификат на Ваш компьютер. Однако, полученную таким образом ЭП можно использовать только в рамках Вашей организации или группы компаний, имеющих внутреннее соглашение об использовании такой ЭП. Для обеспечения юридической значимости, т.е для того, чтобы полученная ЭП признавалась любыми другими гражданами и организациями, в том числе государственными органами, необходимо: во-первых, изготовить сертификат и получить секретный ключ в удостоверяющем центре (аккредитованном и имеющими необходимые лицензии ФСТЭК и ФСБ), во-вторых, использовать для изготовления ЭП специальное сертифицированное средство. Например, одним из таких средств является комплекс Крипто-АРМ производства ООО «Цифровые технологии», который должен использоваться вместе с сертифицированным криптопровайдером, производства ООО «КРИПТО-ПРО».

После того, как на компьютере установлены сертификат, соответствующее средство изготовления ЭП и произведены необходимые настройки, можно легитимно применять ЭП.

При использовании электронной подписи для защиты документов она может передаваться несколькими способами. Конкретный вариант выбирается исходя из того, какие задачи решаются с ее помощью.

Присоединенная

В случае создания присоединенной подписи создается новый файл ЭП, в который помимо данных ЭП помещаются данные подписываемого документа. Этот процесс аналогичен помещению документа в конверт и его запечатыванию. Перед извлечением документа следует убедиться в сохранности печати (для ЭП в ее правильности). К достоинствам присоединенной подписи следует отнести простоту дальнейшего манипулирования с подписанными данными, т.к. все они вместе с подписями содержатся в одном файле. Этот файл можно копировать, пересылать и т.п. К недостаткам следует отнести то, что без использования средств создания ЭП уже нельзя прочесть и использовать содержимое файла, точно так же, как нельзя извлечь содержимое конверта, не расклеив его.

Отсоединенная

При создании отсоединенной подписи файл подписи создается отдельно от подписываемого документа, при этом сам файл подписываемого документа никак не изменяется. Преимуществом отсоединенной подписи является то, что подписанный файл можно читать, не прибегая к средству создания ЭП. Недостаток отсоединенной подписи — необходимость хранения подписанной информации подписанного файла и одного или нескольких файлов с подписями.

Внутри данных

Применение ЭП этого вида существенно зависит от приложения, которое их использует, например ЭП внутри документа Acrobat Reader. Вне приложения, создавшего ЭП, без знания структуры его данных проверить подлинность частей данных, подписанных ЭП затруднительно.

Законодательство

Долгое время развитие электронной подписи в России сдерживало отсутствие закона, определяющего сферы и порядок применения этого инструмента. Создавалась ситуация, при которой использование ЭП практически никак не регламентировалось. Это приводило к тому, что она применялась только как один из инструментов информационной безопасности в корпоративных сетях. Прежде всего, ее внедряли у себя крупные банки. В дальнейшем они использовали ЭП для развития системы «банк-клиент». А за пределами корпоративных сетей применение электронной подписи тормозилось отсутствием надежных гарантов ее подлинности.

Закон об ЭП

Сегодня, порядок использования ЭП на территории РФ регулируется федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».

Действующий закон определяет правовые условия, при которых ЭП на электронном документе может признаваться аналогом собственноручной подписи на бумажном носителе. Оговаривается порядок ее создания, использования и срок действия.

Также регулируется деятельность удостоверяющих центров (УЦ), осуществляющих выдачу сертификатов ключей подписи и, по заявлению владельца, подтверждающих ее подлинность. Определяется порядок взаимодействия УЦ с государственными службами и органами власти, обязанности удостоверяющих центров и владельцев электронной подписи. Также в нем прописана процедура прекращения деятельности центров и аннулирования сертификата ЭП.

Отдельная глава закона оговаривает особые случаи использования электронной подписи, к которым, например, относится признание ЭП, полученной из-за пределов РФ или применение данного инструмента в качестве замены печати.

На сегодняшний день в России данный инструмент используют более 600 тысяч предприятий различных форм собственности. По мере того, как электронная подпись становится привычнее, расширяется и сфера ее применения.

Проблемы законодательства

В государственную думу весной 2010 года внесен законопроект, призванный заменить действующий, но пока он не принят.

Необходимость создания нового варианта законопроекта об ЭП вызвана тем, что в действующем документе не в полной мере отражены все аспекты, связанные с использованием электронной подписи. В частности, в разделе, регулирующем деятельность удостоверяющих центров, четко не прописана процедура признания подлинности сертификатов, выданных разными УЦ. Речь идет о ситуации, когда получателю приходит документ, подпись к которому удостоверяется сертификатом, в надежности которого тот не уверен. На данный момент в подобных случаях применяется процедура кросс-сертификации. Технологически она заключается в выпуске сертификата удостоверяющим центром по заявке другой подобной структуры.

В действующем законе данная процедура не является обязательной. Как нет положения о том, что сертификаты любого удостоверяющего центра должны в обязательном порядке приниматься всеми субъектами на территории РФ.

Основные изменения в новом законопроекте направлены на упрощение процедуры использования электронной подписи, а также устранение пробелов, имевшихся в предыдущем документе.

В частности, расширяется перечень допустимых видов электронных подписей, использующих различные технологии, в том числе не предусматривающие обязательной сертификации ключей.

Простая

Используется без сертификата подписи. Применяется только для установления лица передавшего информацию, но не гарантирует неизменность передаваемых данных или самой ЭП. Предполагается, что данный вариант будет предназначен для отправки гражданами сообщений в государственные органы по электронной почте. Однако местным властям предоставляется право самостоятельно определять, в каких случаях допускается использование простой электронной подписи.

Усиленная

Может использоваться как с сертификатом, так и без него. В обязательном порядке должна обеспечивать неизменность исходного документа или позволять обнаруживать факт его редактирования после подписания.

Квалифицированная

Используется только с сертификатом, выданным удостоверяющим центром. Предназначается для ведения переписки с государственными и муниципальными органами власти и в других случаях, при передаче сведений большой важности.

Также в проекте закона более детально прописаны процедуры аккредитации удостоверяющих центров, и уточнен перечень и порядок оказания ими услуг. Также для УЦ и владельцев сертификатов устанавливается ответственность за вред, причиненный иным лицам, в связи с неисполнением ими своих обязанностей в соответствии с законом.

Области применения ЭП

Из свойств ЭП вытекает возможность использования ее в следующих целях:

организация удаленного взаимодействия хозяйствующих субъектов и частных лиц с государственными органами (таможня, налоговая инспекция, обращение в органы исполнительной власти, постановка транспорта на учет в автоинспекцию и т.п.);

  • организация электронной торговли;
  • удаленный доступ к управлению счетами в финансовых учреждениях;
  • защита авторских прав на объекты интеллектуальной собственности;
  • применение в других сферах деятельности, где используется передача информации по незащищенным каналам связи.

Юридически значимый электронный документооборот

Сегодня возрастают требования к скорости передачи и степени защищенности документов. При этом бумажные носители все в меньшей степени способны обеспечивать необходимые параметры. Почта – не слишком оперативно, велик риск утери или несанкционированного доступа к содержимому третьих лиц. Факс – приемлемая скорость, очень слабая защищенность от подделки. Неизбежность перехода на электронный документооборот очевидна всем.

Цифровая подпись соответствует всем требованиям, чтобы сделать информацию, защищенную ею юридически значимой. Учитывая необходимость обеспечения конфиденциальности, наилучшим вариантом в этом случае следует считать квалифицированную присоединенную ЭП.

Организация электронной торговли

Интернет, первоначально организовывавшийся как информационная сеть, все шире используется в качестве бизнес-площадки, на которой совершаются сделки различного рода. К сожалению, часто возможности удаленной торговли используют недобросовестные люди и компании-однодневки, «продавцы воздуха».

Сделать эту область деятельности безопаснее и увеличить перечень доступных операций, позволяет использование электронной подписи. При этом конкретный вид, который будет применяться в том или ином случае, зависит от типа сделки. Если при проведении операций С2С (англ. customer-to-customer — торговля «из рук в руки», в сделке принимают участие только физические лица) можно обойтись простой отсоединенной, то взаимодействие В2В (англ. Business to Business – сделки между юридическими лицами) требует защиты на уровне квалифицированной присоединенной ЭП.

Решимость российского руководства обеспечить внедрение электронной формы документооборота при работе в различных сферах деятельности нашла свое отражение в том, что принятый в 2005 году федеральный закон «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» (№94-ФЗ), содержит отдельную главу, в которой подробно описана процедура проведения аукционов в электронной форме.

В ней особое место отведено назначению и порядку использования электронной подписи всеми сторонами, участвующими в проведении торгов. В разделе 5 статьи 41.2 отмечается, что ЭП служит удостоверением подлинности и достоверности документов, а также подтверждает, что они направлены от конкретного лица.

Электронный нотариат

Как и в случае с бумажными носителями, при электронном документообороте, в некоторых случаях, возникает необходимость дополнительного подтверждения достоверности ЭП. В обычной жизни легитимность того или иного документа и подлинность подписи удостоверяет нотариус. Очевидно, что в случае электронного способа обмена документами также должна существовать структура, выполняющая аналогичные функции.

Роль нотариата, в соответствии с федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи», может играть удостоверяющий центр. Однако, количество ситуаций, в которых могут потребоваться услуги третей стороны, и перечень сервисных функций, позволяют говорить о целесообразности организации отдельной структуры для их исполнения. Уже сегодня эксперты сходятся во мнении, что выполнение задачи по построению электронного государства, которую поставило нынешнее руководство РФ, невозможно без организации и законодательного оформления электронного нотариата.

Прогнозы развития

Динамика роста количества субъектов, использующих электронную подпись, позволяет говорить о том, что в ближайшее время стоит ожидать увеличения не только числа пользователей, но и сфер деятельности, в которых она будет применяться. Если в 2005 году в России было выдано 200 тыс. сертификатов ключей, то в 2010 году эта цифра составляет уже 600 тыс. На сегодняшний день наибольшее распространение ЭП находит при сдаче налоговых деклараций и пользовании системой «Банк-клиент».

Самыми перспективными направлениями, в которых, по мнению экспертов, будет идти развитие данного инструмента, является заключение договоров между предприятиями различных форм собственности. Кроме этого, массовое внедрение электронной подписи позволит в большой степени автоматизировать документооборот, исключив из процесса подготовки и передачи информации операционистов. Ответственным лицам в компаниях будет достаточно лишь ознакомиться с созданным системой документом и дать согласие на дальнейшие действия.

Повышенное внимание уделяется упрощению процедуры получения сертификатов и использования ЭП для того, чтобы сделать ее применение привлекательным для частных лиц. Этому должно также способствовать развитие системы электронного нотариата. Оформление доверенностей на автомобиль и другие подобные операции можно будет осуществлять, не тратя время на ожидание в очередях и перемещениях между различными организациями.

Можно говорить о том, что массовое использование электронной подписи, в конечном итоге приведет к тому, что пространство глобальной сети станет более безопасным и лучше защищенным от мошеннических действий.

Электронная цифровая подпись для чайников: с чем ее есть и как не подавиться. Часть 3

Часть 1
Часть 2
В этой части сделаем небольшое отступление от цифровых подписей в сторону того, без чего непосредственно цифровых подписей, да и защиты информации в привычном понимании, не было бы: шифрования. Ведь первое, что приходит на ум, когда идет речь о защите наших данных — это не дать эти данные нехорошему человеку прочитать. Поэтому, перед тем, как продолжить рассмотрение стандартов PGP и S/MIME, стоит закрасить некоторые остающиеся в знаниях белые пятна, и рассмотреть процесс шифрования немного поподробнее.
Шифры и коды существуют, наверное, с того момента, как человечество научилось записывать свои впечатления об окружающем мире на носителях. Если немного вдуматься, даже обыкновенный алфавит — уже шифр. Ведь когда мы читаем какой-либо текст, в нашей голове каждому нарисованному символу сопоставляется некий звук, сочетание звуков, или даже целое понятие, а в голове соседа, который читать не умеет, этого уже не происходит.
Не зная, какому символу и что сопоставлено, мы никогда не сможем понять, что же именно писавший имел ввиду. К примеру, попробуйте взять и прочитать что-то, написанное на иврите, или на китайском языке. Сами алфавиты этих языков будут являться для вас непреодолимым препятствием, даже если с помощью этих символов написаны понятия вашего родного языка.
Но, тем не менее, простое использование чужого алфавита все же недостаточная мера для защиты ваших данных. Ведь любой алфавит, так или иначе, создавался для удобства пользования им и является неразрывно связанным с языком, которому данный алфавит характерен. А значит, выучив этот язык и некоторый набор базовых понятий на нем (а то и просто воспользовавшись услугами человека, знающего данный язык), нехороший человек может прочитать вашу информацию.
Значит, надо придумать алфавит, который знает только ограниченный круг лиц, и с его помощью записать информацию. Наверняка все читали (или, по крайней мере, слышали) цикл историй про Шерлока Холмса. В этом цикле фигурировал алфавит, составленный из пляшущих человечков (а многие, я думаю, в детстве на его основе составляли свой). Однако, как показывает данная история, наблюдательный человек может разгадать, какой символ и к чему относится. А значит наша информация опять попадет не в те руки.
Что же делать? Придумывать все более и более сложные алфавиты? Но чем более сложный и громоздкий алфавит, тем более неудобно с ним работать, хранить его в тайне. К тому же, насчет тайны есть замечательная поговорка: знают двое – знают все. Ведь самое слабое звено в любом шифре – это человек, который знает, как этот шифр расшифровать.
А почему бы не сделать так, чтобы способ шифрования был сразу известен всем, но расшифровать наши данные было бы нельзя без какого-то ключа? Ведь ключ (в отличие от всего алфавита) маленький, его достаточно легко сделать новый, если что (опять же, в отличие от переработки всего алфавита), легко спрятать. Наиболее наглядно плюсы ключевых систем показывает следующий пример: получателю надо прочитать сосланное вами сообщение. Обычное, на бумаге. Допустим, вы используете секретный алфавит. Тогда, чтобы прочитать сообщение, получатель должен знать алфавит, иметь большой пыльный талмуд, в котором описаны способы расшифровки (ведь алфавит должен быть сложным, чтобы быть надежным) и понимать, как же с этим талмудом работать. С ключами же все проще: вы кладете сообщение в коробку с замком, а получателю достаточно просто вставить подходящий ключик, а знать, как же устроен замок ему совершенно но нужно.
Итак, общеизвестные «алфавиты» и ключи — механизм, существенно более удобный, чем просто алфавиты. Но как же так зашифровать, чтобы все расшифровывалось простым ключом? И вот тут нам на помощь приходит математика, а конкретнее – математические функции, которые можно использовать для замены наших исходных символов на новые.
Вспомним же, что такое функция. Это некоторое соотношение, по которому из одного числа можно получить другое. Зная x и подставляя его в известное нам соотношение y=A*x, мы всегда получим значение y. Но ведь, как правило, верно и обратное: зная y, мы можем получить и x.
Как правило, но далеко не всегда. Для многих зависимостей получить y легко, тогда как x – уже очень трудно, и его получение займет продолжительное время. Вот именно на таких зависимостях и базируется используемое сейчас шифрование.
Но, вернемся к самому шифрованию. Шифрование подразделяют на симметричное, асимметричное и комбинированное. Рассмотрим, в чем суть каждого из них.
Симметричное шифрование, по большому счету, достаточно слабо отличается от старого доброго секретного алфавита. Собственно говоря, отличается оно как раз наличием ключа – некоторой сравнительно маленькой последовательности чисел, которая используется для шифрования и расшифровывания. При этом, каждая из обменивающихся информацией сторон должна этот ключ знать и хранить в секрете. Огромным плюсом такого подхода является скорость шифрования: ключ, по сути, является достаточно простой и короткой инструкцией, какой символ, когда, и на какой надо заменять. И работает данный ключ в обе стороны (то есть с его помощью можно как заменить все символы на новые, так и вернуть все как было), за что такой способ шифрования и получил название симметричного. Столь же огромным минусом является именно то, что обе стороны, между которыми информация пересылается, должны ключ знать. При этом, стоит нехорошему человеку заполучить ключ, как он тут же прочитает наши столь бережно защищаемые данные, а значит проблема передачи ключа принимающей стороне становится в полный рост.
Асимметричное шифрование поступает несколько хитрее. Здесь и у нас, и у нашего получателя есть уже два ключа, которые называют открытый и закрытый. Закрытый ключ мы и получатель храним у себя (заметьте, каждый хранит только свой ключ, а значит, мы уже выходим за пределы той самой поговорки про двоих знающих), а открытый мы и получатель можем спокойно передавать кому угодно – наш закрытый, секретный, по нему восстановить нельзя. Итого, мы используем открытый ключ получателя для шифрования, а получатель, в свою очередь, использует свой закрытый ключ для расшифровывания. Плюс данного подхода очевиден: мы легко можем начать обмениваться секретной информацией с разными получателями, практически ничем (принимая условие, что наш получатель свой закрытый ключ не потерял/отдал и т.п., то есть не передал его в руки нехорошего человека) не рискуем при передаче информации. Но, без огромного минуса не обойтись. И здесь он в следующем: шифрование и расшифровывание в данном случае идут очень, очень, очень медленно, на два-три порядка медленнее, чем аналогичные операции при симметричном шифровании. Кроме того, ресурсов на это шифрование тратится также значительно больше. Да и сами ключи для данных операций существенно длиннее аналогичных для операций симметричного шифрования, так как требуется максимально обезопасить закрытый ключ от подбора по открытому. А значит, большие объемы информации данным способом шифровать просто невыгодно.
Пример использования асимметричного шифрования
e — открытый ключ получателя B
d — закрытый ключ получателя B
m — исходная информация отправителя A
c — зашифрованная исходная информация
И снова возникает вопрос: что же делать? А делать нужно следующее: взять, и скомбинировать оба способа. Собственно, так мы и получаем комбинированное шифрование. Наш большой объем данных мы зашифруем по первому способу, а чтобы донести ключ, с помощью которого мы их зашифровали, до получателя, мы сам ключ зашифруем по второму способу. Тогда и получим, что хоть асимметричное шифрование и медленное, но объем зашифрованных данных (то есть ключа, на котором зашифрованы большие данные) будет маленьким, а значит расшифровывание пройдет достаточно быстро, и дальше уже в дело вступит более быстрое симметричное шифрование.
Пример применения комбинированной системы
Все эти механизмы нашли свое применение на практике, и оба наших больших лагеря PGP и S/MIME их используют. Как говорилось в первой статье, асимметричное шифрование используется для цифровой подписи (а именно, для шифрования нашего хэша). Отличие данного применения от обычного асимметричного шифрования в том, что для шифрования используется наш закрытый ключ, а для расшифровывания достаточно наличие связанного с ним (то есть, тоже нашего) открытого ключа. Поскольку открытый ключ мы не прячем, наш хэш можем прочитать кто угодно, а не только отдельный получатель, что и требуется для цифровой подписи.
Комбинированное же шифрование применяется в обоих стандартах непосредственно для шифрования отправляемых данных.
Таким образом, начиная пользоваться цифровыми подписями для защиты наших данных от подмены, мы автоматически (для этих двух стандартов) получаем и замечательную возможность защитить наши данные еще и от прочтения, что, согласитесь, весьма удобно.
Теперь, когда мы познакомились с общими принципами работы механизмов, используемых для защиты наших данных, можно наконец перейти к практике и рассмотрению, что же использовать. Но об этом в следующих статьях.

admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *