На данный момент тяжело отыскать работника банка, не слышавшего об электронной цифровой подписи (ЭЦП). ЭЦП используется и при передаче платежных поручений, и в совокупностях внутреннего электронного документооборота.
Разумеется кроме этого, что разработка ЭЦП имеет широкие возможности внедрения во всех сферах судьбы современного общества, которые связаны с обработкой и передачей информации, считает Сергей Пазизин, начальник группы защиты автоматизированных банковских совокупностей ОАО «Банк ВТБ», канд. физ.-мат. наук.
В отличие от собственноручной подписи, ЭЦП разрешает передавать подписанный документ по каналам связи без пересылки материального носителя документа и сохранять наряду с этим возможность проверки подлинности документа. Это обусловлено тем, что ЭЦП связана с содержанием документа логически, а не при помощи неспециализированного материального носителя.
В случае если, к примеру, записать документ и его ЭЦП на два различных носителя, то не появится никаких затруднений с проверкой того, соответствует ли эта ЭЦП данному документу. Средства проверки ЭЦП смогут установить ее подлинность для электронного документа независимо от источника, из которого загружена нужная для проверки информация.
Одновременно с этим разумеется, что документ на бумажном носителе с собственноручной подписью передать без самого носителя нереально. В случае если переслать документ по факсу либо в отсканированном виде по email, то потеряется не только часть информации о подписи (к примеру, степень нажима). В первую очередь, запрещено будет установить связь между подписью и текстом документа, поскольку подпись могла быть переклеена с другого документа перед передачей по факсу либо засунута по окончании сканирования посредством редактора графических изображений.
Вторым серьёзным преимуществом ЭЦП есть сложность ее подделки. Сейчас автору неизвестно ни одного случая подделки ЭЦП, созданной в соответствии с действующими интернациональными либо русскими стандартами (под подделкой тут понимается создание таковой ЭЦП, которую не отличают от настоящей простые средства проверки, дешёвые каждому пользователю, при условии их корректной работы).
Что касается собственноручной подписи, то установить ее подлинность с высокой степенью достоверности возможно лишь в следствии особой почерковедческой экспертизы. В настоящих условиях при проверке подлинности собственноручной подписи появляются следующие неприятности.
1. Отсутствие нужной квалификации у подавляющего большинства «пользователей» бумажных документов. С заключением контрактов, получением других документов и справок на бумажных носителях сталкиваются фактически все, но особую подготовку проходят весьма немногие.
2. Низкий уровень качества возможность и образцов подписи их подмены. К примеру, в случае если клиент банка может обслуживаться в любом его офисе, то, соответственно, в каждом офисе обязан иметься и пример его подписи. Следовательно, банк должен рассылать отсканированные образцы подписи, снабжать их защиту от подмены и для проверки вместо оригинала подписи применять ее изображение на экране монитора.
Такая обстановка затрудняет диагностику подлинности собственноручной подписи клиентов и формирует условия для кражи денежных средств. Исходя из этого при выдаче денег банковские служащие не только сличают подпись клиента с примером, но и требуют предъявить документ, удостоверяющий личность. Такая двойная проверка снижает возможность обмана, но не разрешает исключить его всецело, поскольку преступник может не только подделать подпись, но и применять фальшивые документы.
Не исключается кроме этого возможность сговора с работником банка и, к примеру, получения кредита по чужим паспортным данным.
3. Недоступность образцов подписи. На практике при получении подписанного соглашения, счета либо справки возможность сравнить подписи в этих документах с точными примерами довольно часто по большому счету отсутствует. Такая обстановка не только разъясняется низким уровнем правовой культуры, но и имеет объективные обстоятельства, связанные со сложностью организации работы с примерами подписи.
В следствии недобросовестная сторона может в последующем отказаться от выполнения обязательств на том основании, что документ подписан неуполномоченным лицом.
4. Изменчивость подписи, которая связана с беспокойством, усталостью, состоянием опьянения , невыработанностью подписи или сознательным ее трансформацией. Данное свойство существенно затрудняет установление подлинности подписи и может, с одной стороны, привести к непризнанию настоящей подписи настоящей, а с другой – употребляться преступником в качестве основания для отказа от выполнения собственных обязательств по документу, подписанному сознательно поменянной подписью.
Учитывая сообщённое выше, возможно сделать вывод о том, что ЭЦП не только применима в тех обстановках, в которых в принципе нереально применение собственноручной подписи для подтверждения подлинности документов, но и имеет последовательность преимуществ, которые связаны с наличием четких (математических) параметров достоверности и отсутствием необходимости в примерах подписи для проверки. Криптографические методы цифровой подписи разрешают с высокой степенью достоверности проверить следующее утверждение: электронный документ подписан посредством закрытого ключа, соответствующего применяемому для проверки открытому ключу, и по окончании простановки подписи в электронный документ не были внесены трансформации. Наряду с этим закрытый ключ ЭЦП, применяемый для подписания электронных документов, известен лишь его обладателю, а открытый ключ ЭЦП, предназначенный для проверки подлинности ЭЦП, дешёв любому пользователю соответствующей информационной совокупности.
Но реализовать собственные преимущества ЭЦП может лишь при квалифицированной организации ее применения и соблюдении последовательности условий .
Действенному применению ЭЦП мешает кроме этого отсутствие сложившейся правовой правоприменительной практики и базы, что неудивительно, в случае если учесть, что со времени первых настоящих ее применений прошло не более 20 лет (ранее вычислительная техника, нужная для реализации методов ЭЦП, не была в достаточной мере распространена как в Российской Федерации, так и в других государствах). Не обращая внимания на то что с 2002 г. в Российской Федерации действует Закон об электронной цифровой подписи, правовые отношения при применении ЭЦП так же, как и прежде регламентируются по большей части двусторонними договорами и соглашениями присоединения, не всегда полностью защищающими интересы сторон. Довольно часто кроме этого не проработаны в достаточной степени организационно-технические и правовые вопросы применения ЭЦП во внутреннем электронном документообороте организаций.
При внедрении ЭЦП в большинстве случаев употребляется упрощенный подход, основанный на обширно распространенном заблуждении, пребывающем в том, что ЭЦП для электронного документа есть эквивалентом собственноручной подписи для бумажного документа.
Разглядим потом главные отличия ЭЦП от собственноручной подписи, каковые нужно учитывать как экспертам при организации совокупностей электронного документооборота, так и простым пользователям.
1. Отчуждаемость возможности простановки подписи от обладателя подписи. Как мы знаем, возможность постановки собственноручной подписи на бумажном документе в собственности конкретному физическому лицу и не может быть передана либо украдена. Что касается цифровой подписи, то закрытый ключ, разрешающий его обладателю подписывать электронные документы, возможно передан второму лицу (либо сходу нескольким лицам), и потерян либо украден и после этого незаконно использован.
Тут отмечается определенная аналогия ЭЦП с печатью. Но имеется и принципиальное отличие – возможность применения печати жестко связана с ее материальным носителем. Ее возможно передать второму лицу во временное пользование, а после этого забрать обратно. Наряду с этим временный обладатель может сделать копию печати, но это будет вторая ее оттиски и печать возможно будет отличить от настоящих.
В случае если же кто-то возьмёт доступ к закрытому ключу, благодаря которому вычисляется ЭЦП, и сделает его копию, то сможет в будущем вычислять для электронных документов настоящие ЭЦП, всецело аналогичные тем, каковые формирует настоящий обладатель закрытого ключа подписи.
2. Отсутствие неразрывной связи с подписанным экземпляром электронного документа. Собственноручная подпись ставится на конкретном экземпляре документа, и нереально появление новых экземпляров, ничем не отличающихся от подписанного. Смогут существовать только его копии, подлинность которых требуется со своей стороны заверять.
Подписанный в единственном экземпляре бумажный документ ни в каком случае не может оказаться в один момент в двух местах. И в случае если подписанный собственноручной подписью бумажный документ будет стёрт с лица земли, то возможно быть уверенным, что второго совершенно верно для того чтобы же нет.
Что же касается ЭЦП, то она связана лишь с подписываемой информацией (а не с ее носителем) и вместе с этой информацией возможно размножена в произвольном количестве экземпляров. Копии копии и электронного документа с его копий ничем не отличаются от исходного документа. ЭЦП будет верна у всех этих экземпляров.
3. Наличие посредников. В отличие от процесса подписания бумажного документа, между человеком, ставящим ЭЦП, и электронным документом имеется посредник в виде аппаратно-программного средства, действия которого обладатель ЭЦП может осуществлять контроль только предположительно.
Само собой разумеется, и бумажный документ возможно подписан без прочтения либо возможно произведена подмена одного документа вторым. Но при с собственноручной подписью человек имеет выбор – подписывать все страницы документа либо лишь последний с реквизитами, просматривать либо не просматривать документ. При ЭЦП для того чтобы выбора у обладателя подписи нет по следующим обстоятельствам.
Во-первых, человеку нужно средство для просмотра (визуализации) электронного документа в связи с тем, что информация в исходном (машинном) виде есть последовательностью единиц и нулей и для яркого восприятия недоступна. Да и не может человек без особых приспособлений вычислять ее с носителей информации, на которых она хранится в виде областей с различной намагниченностью либо различной отражающей свойством.
Следовательно, быть может, что на экране человек прочтёт один электронный документ, а подпишет второй. Подобная обстановка вероятна и при проверке ЭЦП – подпись возможно проверена для одного электронного документа, а на экран (на бумагу) возможно выведен второй электронный документ.
Во-вторых, человек испытывает недостаток в программных средствах, вычисляющих ЭЦП и контролирующих ее, поскольку не может создавать такие сложные вычисления самостоятельно.
Следствием неизбежного присутствия указанных «посредников» есть необходимость доверять им, а следовательно, и тем, кто их создал, выбрал, установил, настроил, кто снабжает их работу, осуществляя доступ к компьютерам в соответствии со собственными должностными обязанностями.
Так, образуется пара групп «доверенных» лиц. Разглядим их подробнее.
Первая несколько включает поставщиков ПО и, например, программистов, писавших код применяемых программ.
Тем, кто уверен в том, что компьютерные программы постоянно делают то, что заявлено разработчиками, стоит обратить внимание на тексты лицензионных соглашений ПО. Довольно часто в них очевидно указывается, что ПО поставляется «как имеется» и поставщик не отвечает за прямые либо косвенные убытки, причиненные неправильной работой программы.
Наряду с этим нужно учесть, что в случае если для того чтобы пункта нет в лицензии, то это вовсе не свидетельствует, что такие убытки будут кому-либо компенсированы. Вероятнее, разработчики просто не желают пугать пользователей и сохраняют надежду, что при каких-либо сбоев потерпевшему все равно не удастся добиться компенсации.
Вторая несколько включает посредников, через руки которых проходят дистрибутивы программ, и лиц, осуществлявших яркую установку ПО. Необходимо задуматься, на чем основана уверенность во всех этих людях? На любом этапе пути от разработчика до компьютера пользователя в ПО, участвующее в обработке электронных документов, могли быть внесены трансформации, либо оно полностью могло быть заменено поддельным.
Третья несколько включает экспертов, приобретающих официальный доступ к чужим компьютерам – представителей и администраторов работ помощи и т. п. Не все пользователи имеют достаточную квалификацию, дабы самостоятельно осуществлять администрирование собственных компьютеров и обеспечивать недоступность их ни на одну 60 секунд посторонним. Но, дело кроме того не в квалификации. В любой большой организации пользователь не имеет административных полномочий на своем компьютере.
Соответствующие функции делают работники подразделения автоматизации, причем, в большинстве случаев, дистанционно, так что пользователь не только с ними не знаком, но довольно часто кроме того не знает, сколько человек имеют возможность просматривать его файлы, запускать его программы, подписывать ЭЦП за него электронные документы. Учитывая, что сопровождение ПО смогут осуществлять посторонние организации, состав данной группы обычно по большому счету никем не контролируется. Актуальность данной неприятности последнее время возрастает в связи с распространением аутсорсинга в сфере IT и ростом популярности применения коммерческих ЦОД.
Не считая вышеперечисленных «законных» посредников оказать влияние на работу средств ЭЦП смогут и без того именуемые хакеры, осуществляющие несанкционированный доступ к чужим данным и ресурсам. Причем для этого им не обязательно иметь физический доступ к компьютеру пользователя. С применением компьютерных сетей атака может осуществляться и из соседнего кабинета, и из другого филиала организации, а при наличии соединения с Интернетом – из любой страны мира.
Потому, что обладатель ЭЦП самостоятельно не имеет возможности держать под контролем действия перечисленных групп, то для обеспечения собственного относительного самообладания он либо его работодатель вынуждены обращаться к помощи экспертов по компьютерной безопасности, каковые образуют пятую группу доверия, потому, что от их добросовестности и квалификации зависит степень угрозы от вышеперечисленных лиц.
Так, физическое лицо, кроме того при наличии нужных знаний, в большинстве настоящих совокупностей электронного документооборота не имеет возможности всецело осуществлять контроль применение собственной ЭЦП.
4. Ограниченность периода времени, за который сохраняется юридическая значимость ЭЦП. В отличие от собственноручной подписи документа на бумажном носителе, снабжающей юридическую значимость независимо от времени, воздействие ЭЦП имеет временнЫе ограничения, связанные со сроком действия сертификата ключа ЭЦП, развитием технологий и угрозой компрометации.
При изготовлении ключа, в большинстве случаев, оговаривается период его действия. В большинстве случаев это делается в сертификате ключа ЭЦП – документе, подтверждающем принадлежность ключа ЭЦП определенному лицу. Формально в соответствии с Закону об ЭЦП достаточно, дабы сертификат действовал на момент подписания электронного документа при наличии доказательств, определяющих момент подписания.
Но потому, что судебная практика по вопросу доказательства момента подписания ЭЦП электронных документов отсутствует и способы доказательства законодательно не выяснены, юридическая значимость любого электронного документа по окончании окончания действия соответствующего сертификата возможно поставлена под сомнение. Так, в случае если электронный документ подписан ЭЦП за день до окончания действия сертификата, то через дни он может потерять собственную юридическую значимость. Этот факт, разумеется, накладывает большие ограничения на область применения ЭЦП.
Следующая угроза утраты юридической значимости электронного документа с течением времени связана с вероятной компрометацией закрытого ключа ЭЦП, применяемого для выработки подписи, т. е. событием, из-за которого вероятно не разрешённое обладателем применение закрытого ключа ЭЦП. Наряду с этим фактически несанкционированного применения ключа может и не случиться. Достаточно события, показывающего на вероятный доступ к закрытому ключу ЭЦП постороннего лица, к примеру вскрытия печати на сейфе, в котором сохраняются носители ключей ЭЦП, либо утраты для того чтобы носителя.
При признания факта компрометации ключа его не только запрещено будет применять в будущем, но и для уже подписанных ЭЦП электронных документов нужно будет доказать, что они подписаны до их компрометации, что не всегда вероятно сделать. Так как преступник, если он завладел ключом, может установить на своем компьютере произвольные время и дату, а также те, на каковые ключ еще не был скомпрометирован, и подписать необходимый ему электронный документ прошедшей датой.
Что касается технологического нюанса временнЫх ограничений, то он обусловлен возможностью появления новой вычислительной техники и новых математических способов, каковые смогут быть использованы для подделки ЭЦП, вырабатываемой в соответствии с действующими на данный момент стандартами. Образно говоря, в будущем смогут показаться боеприпасы, от которых современная броня не есть защитой.
Что-то подобное случилось с методом шифрования данных DES, принятым в 1977 г. в качестве федерального стандарта США. На данный момент данный шифр не есть надежным, поскольку современные ЭВМ разрешают перебрать для него все варианты ключей ( ) за приемлемое время. Для объективности направляться подчернуть, что и в 1977 г. из-за малой длины ключа многими экспертами прогнозировалась возможность вскрытия этого шифра в скором времени.
В современных криптографических стандартах ЭЦП длины ключей выбраны со большим запасом, что, но, не разрешает исключить появления новых математических способов либо качественных прорывов в развитии вычислительной техники, талантливых сделать настоящей подделку ЭЦП, изготовленных в соответствии с этими стандартами.
Вышеперечисленные отличия ЭЦП от собственноручной подписи документа на бумажном носителе были известны еще в то время, в то время, когда формировалось теоретическое обоснование возможности применения ЭЦП. Обрисованы кроме этого главные дороги ответа имеющихся неприятностей (экспертам они известны, несложно отыскать и соответствующую литературу). Нужно лишь, дабы при разработке совокупностей электронного документооборота и подготовке нормативной базы по применению ЭЦП поднятые неприятности осознавались и учитывались всеми участниками процесса внедрения, и пользователями этих совокупностей.
Полезные рекомендации по использованию электронной подписи (ЭЦП)
Интересные записи
- Аутсорсинг или собственные силы: баланс здравого смысла
- Василий поздышев: основные направления надзора в 2016 году
- Обзор важнейших событий банковского сектора в декабре
Похожие статьи, которые вам, наверника будут интересны:
-
Переходим с обычной подписи на электронную: преимущества и нюансы
Первым русским законом, что закрепил понятие электронной цифровой подписи и правила ее применения, был закон от 10 января 2002 г. № 1-ФЗ Об электронной…
-
Электронное хранилище по версии цб, или как нам реорганизовать архив
Указание № 2346-У глазами эксперта по информационным разработкам. Информация имеется информация, а не материя и не энергия Норберт Винер, основоположник…
-
Электронный документооборот в втб (азербайджан) заработал на eos for sharepoint
В сложное время, требующее большой эффективности бизнес-процессов, банки внедряют лишь проверенные ответы. Таким для ВТБ (Азербайджан) стала совокупность…
-
Как создать электронный кошелек webmoney
Как завести электронный кошелек? Первое что мы сделаем, это посетим их сайт www.webmoney.ru. на основной странице громадная кнопка РЕГИСТРАЦИЯ (справа…
-
Электронный документооборот: снижение затрат на бизнес-процессы и повышение их качества
За последние годы в Российской Федерации наконец-то утвердилось вывод, что управление электронным документооборотом — одна из главных частей…
-
Эдвин ван дер удераа, accenture: «банки должны стать такими же цифровыми, как их новые конкуренты»
О стратегиях банков в эру цифровой изменении порталу Bankir.Ru поведал фаворит глобальной практики Accenture FS Digital Эдвин ван дер Удераа. — Мы уже…