Что такое и для как используется электронная цифровая подпись
Идея электронной цифровой подписи (ЭЦП) вытекает из принципа асимметричного шифрования. По сути, это «вывернутая наизнанку» схема с рисунка. Одна сторона подписывает (шифрует) документ с помощью своего закрытого ключа, а другая сторона расшифровывает его с помощью открытого ключа, связанного с закрытым. Открытый ключ создается тем же лицом, которое подписывает документ.
Цель шифрования здесь состоит не в сокрытии содержимого документа, а в том, чтобы подтвердить: информация была зашифрована именно на конкретном закрытом ключе. Кроме того, ЭЦП доказывает, что документ не изменялся после того, как он был подписан (зашифрован).
Единственной проблемой является доверие к открытому ключу: получатель подписанного документа должен быть уверен, что открытый ключ он получил именно от подписавшего документ. В простейшем случае проблема решается точно так же, как и в случае «бумажной» подписи — достаточно получить открытый ключ «из рук в руки». Это и послужит гарантией его подлинности. Однако ездить за ключом с «флешкой» в кармане хлопотно — чем тогда электронный документооборот лучше «бумажного»? Поэтому в процедуру обычно включается третья сторона, которая выступает гарантом подлинности ЭЦП. По закону такой стороной являются удостоверяющие центры.
Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» предусматривает несколько механизмов использования ЭЦП. Сфера их применения зависит от того, между кем и с какими правовыми последствиями происходит обмен подписанными документами.
- Простая электронная подпись может использоваться внутри корпоративных информационных систем и действует в их пределах. Например, такую систему может завести банк, электронная торговая площадка, биржа и т. п. Когда вы заключаете соглашение об обслуживании, представитель такой системы лично выдает вам закрытый ключ ЭЦП для «внутрисистемного применения», а у себя оставляет соответствующий открытый ключ. Ваши взаимоотношения регулируются правилами, установленными оператором информационной системы. Как правило, организатор информационной системы передает клиенту полностью настроенное программное обеспечение, необходимое для работы с ЭЦП.
- Усиленная электронная подпись отличается от простой тем, что владельцу ЭЦП выдается сертификат ключа проверки электронной подписи. Выдают такие сертификаты удостоверяющие центры — в них и следует обращаться для получения и регистрации усиленной ЭЦП. Усиленная ЭЦП бывает двух видов.
- Усиленная неквалифицированная электронная подпись выдается удостоверяющим центром, которому доверяют оба участника документооборота. Например, такой удостоверяющий центр может быть организован группой финансовых или других компаний.
- Усиленная квалифицированная электронная подпись однозначно соотносится с физическим или юридическим лицом и является полным аналогом собственноручной подписи во всех предусмотренных законом случаях. Такая ЭЦП выдается и регистрируется федеральным органом исполнительной власти или аккредитованным удостоверяющим центром. Аккредитованных центров в 2011 году насчитывалось более 50, а их представительства работают практически во всех городах. Среди крупнейших организаций этого рода назовем ФГУП «ЦентрИнформ», EKey.ru и группу компаний «Тензор».
Технически ключ ЭЦП обычно хранится на флеш-диске USB или специальном USB-брелоке eToken (Aladdin), реже на смарт-карте. Одним из самых популярных программных компонентов для работы с ЭЦП являются продукты «КриптоПро». Операции, выполняемые при работе с электронной цифровой подписью, зависят от применяемого прикладного ПО — они подробно описаны в документации к таким программам.
Теоретически защита механизма ЭЦП считается предельно надежной. Помимо самого носителя с цифровым ключом для авторизации требуется пароль, связанный с ним. Где же наиболее уязвимое место «сильной» криптографии и систем с ее использованием? В возможности удаленного управления компьютером и «перехватчиках» ввода с клавиатуры!
Почти все случаи «взлома» и несанкционированного выполнения операций выполняются по одной схеме. Злоумышленник устанавливает на компьютер средство удаленного управления, а также программу, записывающую в текстовый файл все, что вводится с клавиатуры. Рано или поздно в этих записях окажутся и пароли. Если флеш-носитель с закрытым ключом постоянно находится в порту USB, злоумышленник свободно может зайти в систему «клиент-банк» и перевести деньги.
Вывод: ключевые файлы для того и помещают на съемные носители, чтобы пользоваться ими могли лишь при выполнении операций с ЭЦП! В остальное время флеш-диск или брелок должен находиться в сейфе, в кармане, но только не в компьютере.