Электронная подпись: изучаем порядок применения. Виды электронной подписи (ЭЦП) Юридические функции электронной подписи

Электронно-цифровая подпись (ЭЦП) - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Электронно-цифровая подпись - это программно-криптографическое средство, которое обеспечивает:

проверку целостности документов;

конфиденциальность документов;

установление лица, отправившего документ.

Преимущества использования электронно-цифровой подписи

Использование электронно-цифровой подписи позволяет:

значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;

усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;

гарантировать достоверность документации;

минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;

построить корпоративную систему обмена документами.

Виды электронно-цифровой подписи

Существует три вида электронной цифровой подписи:

Простая электронно-цифровая подпись

Посредством использования кодов, паролей или иных средств, простая электронно-цифровая подпись подтверждает факт формирования электронной подписи определенным лицом.

Простая электронно-цифровая подпись имеет низкую степень защиты. Она позволяет лишь определить автора документа.

Простая электронно-цифровая подпись не защищает документ от подделки.

Усиленная неквалифицированная электронно-цифровая подпись

1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

2) позволяет определить лицо, подписавшее электронный документ;

3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

4) создается с использованием средств электронной подписи.

Усиленная неквалифицированная электронно-цифровая подпись имеет среднюю степень защиты.

Чтобы использовать неквалифицированную электронную подпись, необходим сертификат ключа ее проверки.

Усиленная квалифицированная электронно-цифровая подпись

Для квалифицированной электронной подписи характерны признаки неквалифицированной электронной подписи.

Усиленная квалифицированная электронно-цифровая подпись соответствует следующим дополнительным признакам подписи:

1) ключ проверки электронной подписи указан в квалифицированном сертификате;

2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям законодательства.

Усиленная квалифицированная электронно-цифровая подпись является наиболее универсальной и стандартизованной подписью с высокой степенью защиты.

Документ, визированный такой подписью, аналогичен бумажному варианту с собственноручной подписью.

Использовать такую подпись можно и без каких-либо дополнительных соглашений и регламентов между участниками электронного документооборота.

Если под документом стоит квалифицированная подпись, можно точно определить, какой именно сотрудник организации ее поставил.

А также установить, изменялся ли документ уже после того, как был подписан.

Когда применяются разные виды подписи

Простая электронно-цифровая подпись

Обращение заявителей - юридических лиц за получением государственных и муниципальных услуг осуществляется путем подписания обращения уполномоченным лицом с использованием простой электронной подписи.

Использование простой электронной подписи для получения государственной или муниципальной услуги допускается, если федеральными законами или иными нормативными актами не установлен запрет на обращение за получением государственной или муниципальной услуги в электронной форме, а также не установлено использование в этих целях иного вида электронной подписи

Усиленная неквалифицированная электронно-цифровая подпись

Случаи, в которых информация в электронной форме, подписанная неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в Налоговом кодексе не определены.

По мнению Минфина, для целей налогового учета документ, оформленный в электронном виде и подписанный неквалифицированной электронной подписью, не может являться документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.

Поэтому, хотя хозяйствующие стороны при наличии юридически действительного соглашения могут организовать электронный документооборот, применяя усиленную неквалифицированную электронную подпись, если есть вероятность возникновения споров с контролирующим органом, смысл в таких документах утрачивается.

Усиленная квалифицированная электронно-цифровая подпись

Для некоторых видов отчетности использование квалифицированной подписи прямо определено нормативными документами.

Например, такой порядок установлен для:

годовой бухгалтерской отчетности, которую необходимо сдать в Росстат;

формы РСВ-1 ПФР;

отчетности в налоговую инспекцию – декларации.

Электронный счет-фактуру следует подписывать только усиленной квалифицированной электронной подписью руководителя либо иных лиц, уполномоченных на это приказом (иным распорядительным документом) или доверенностью от имени организации, индивидуального предпринимателя.

Заявление о постановке на учет (снятии с учета) в налоговом органе заверяется только усиленной квалифицированной подписью.

Заявления о возврате или зачете суммы налога также принимаются только в случае, если они визированы усиленной квалифицированной электронной подписью.

Электронно-цифровая подпись (ЭЦП): подробности для бухгалтера

Можно ли применять электронную цифровую подпись и факсимильную подпись при оформлении бухгалтерских документов?
Соглашением сторон. Электронная цифровая подпись (ЭЦП) В настоящее время отношения в... подробно о порядке применения видов ЭЦП при подписании документов бухгалтерского и...
Электронное взаимодействие работника и работодателя при оформлении трудовых отношений
Что электронную цифровую подпись (ЭЦП) на кадровых документах можно будет... ограничен перечень документов, подписываемых ЭЦП, с целью защиты прав... существенных инвестиций. Высокая стоимость выпуска ЭЦП (с учетом выпуска квалифицированной... Сложность "массового" получения ЭЦП Невозможность подписания документов задним числом... перехода к использованию новых стандартов ЭЦП и функции хэширования». Предполагалось, ... перехода к использованию новых стандартов ЭЦП и функции хэширования». Уведомление...
Чем рискует главбух: сравниваем работу по ТК РФ и ГК РФ
Помнит, на кого была оформлена электронная цифровая подпись. Главный бухгалтер пояснила, что ее...
Формулы для определения нормативных значений ключевых показателей экономической ценности предприятий
Вида: показатели годовой ЭЦП; показатели периодной ЭЦП; показатели общей ЭЦП. В свою... три подвида: показатели допрогнозной ЭЦП; ожидаемые показатели прогнозной ЭЦП; предполагаемые (возможные) ... подвидов) расчётных нормативных показателей ЭЦП. Принятые измерители ЭЦП – миллионы/тысячи денежных... экономической единицы, а фактические показатели ЭЦП – являются обязательными отчётными показателями... . Как отмечалось выше, показатели ЭЦП характеризуют товаропроизводительность и/или услугопроизводительность...
Регистрация бизнеса
Необходимо предварительно приобрести. Стоимость такой ЭЦП варьируется примерно в пределах от... учредителем выгода существенная. Если, например, ЭЦП будет приобретена за 1000 руб... направлены вам электронно, с усиленной ЭЦП налогового органа. Сайт госуслуг предоставляет...
К вопросу об определениях понятий общей, периодной и годовой экономической ценности предприятия
Представления об экономической ценности предприятия (ЭЦП), то определение этого понятия, исходя... стоимости товаров, выглядит следующим образом: ЭЦП – ЭТО РАСЧЁТНАЯ НОРМА ЧИСТОГО ДОХОДА...
Пошаговая инструкция по получению имущественного вычета
Порядке? Тогда вводим пароль от ЭЦП (электронной цифровой подписи). Если ранее... пароль от ЭЦП не был получен, то сохраняем... шестом шаге вводим пароль от ЭЦП, который придумали при ее создании...
Электронный больничный – право, а не обязанность
Ранее найденного больничного плагин КриптоПро ЭЦП browser plug-in не видит...
Оформление счетов-фактур: первая половина 2017 года
Этих целей используется усиленная квалифицированная ЭЦП (п. 6). В соответствии с... электронного образца, подписанного усиленной квалифицированной ЭЦП руководителя компании, неправомерно. В общем...
Порядок уплаты НДС при импорте товаров из Беспублики Беларусь
Каков порядок уплаты НДС при импорте товаров из Беспублики Беларусь (в том числе сроки)? Какую отчетность нужно сдать в налоговый орган и таможенный орган? Каков порядок уплаты НДС при импорте товаров из Беспублики Беларусь (в том числе сроки)? Какую отчетность нужно сдать в налоговый орган и таможенный орган? Рассмотрев вопрос, мы пришли к следующему выводу: При импорте товаров из Республики Беларусь (далее - РБ) организация должна уплатить НДС не позднее 20-го числа месяца, следующего за...
Регистры бухгалтерского учета в форме электронных документов
Если регистры бухгалтерского учета (первичные учетные документы) формируются в электронном виде, какие требования к их заполнению предъявляются? Если регистры бухгалтерского учета (первичные учетные документы) формируются в электронном виде, какие требования к их заполнению предъявляются? Согласно п. 11 Инструкции № 157н регистры бухгалтерского учета составляются по унифицированным формам, установленным в рамках бюджетного законодательства. Напомним, что в настоящее время необходимые формы...
Заполняется только заявление (которое заверяется ЭЦП кредитной организации), фотография не требуется...
Изменения в Законе о контрактной системе: разъяснения Минфина в отношении переходного периода
С 01.07.2018 вступают в силу отдельные положения федеральных законов от 31.12.2017 № 504-ФЗ «О внесении изменений в Федеральный закон «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» и от 31.12.2017 № 505-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». В Письме от 25.06.2018 № 24-06-08/43650 Минфином сообщается позиция в отношении переходного периода с 01.07.2018 до 01.01. ...

Цифровая подпись

Электро́нная цифрова́я по́дпись (ЭЦП )- реквизит электронного документа , предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.

Общая схема

Схема электронной подписи обычно включает в себя:

алгоритм генерации ключевых пар пользователя;
функцию вычисления подписи;
функцию проверки подписи.

Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. В зависимости от алгоритма функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным. Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.
В настоящее время детерминированные схемы практически не используются. Даже в изначально детерминированные алгоритмы сейчас внесены модификации, превращающие их в вероятностные (так, в алгоритм подписи PKCS#1 добавила предварительное преобразование данных (OAEP), включающее в себя, среди прочего, зашумление).

Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.

Поскольку подписываемые документы - переменной (и достаточно большой) длины, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш . Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.

Алгоритмы ЭЦП делятся на два больших класса: обычные цифровые подписи и цифровые подписи с восстановлением документа. Обычные цифровые подписи необходимо пристыковывать к подписываемому документу. К этому классу относятся, например, алгоритмы, основанные на эллиптических кривых (ГОСТ Р 34.10-2001, ДСТУ 4145-2002). Цифровые подписи с восстановлением документа содержат в себе подписываемый документ: в процессе проверки подписи автоматически вычисляется и тело документа. К этому классу относится один из самых популярных алгоритмов - код аутентичности сообщения, несмотря на схожесть решаемых задач (обеспечение целостности документа и неотказуемости авторства). Алгоритмы ЭЦП относятся к классу асимметричных алгоритмов, в то время как коды аутентичности вычисляются по симметричным схемам.

Защищённость

Цифровая подпись обеспечивает:

Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.
Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;
Организацию юридически значимого электронного документооборота.

Возможные атаки на ЭЦП таковы…

Подделка подписи

Получение фальшивой подписи, не имея секретного ключа - задача практически нерешаемая даже для очень слабых шифров и хэшей.

Подделка документа (коллизия первого рода)

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

Документ представляет из себя осмысленный текст.
Текст документа оформлен по установленной форме.
Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

Случайный набор байт должен подойти под сложно структурированный формат файла.
То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
Текст должен быть осмысленным, грамотным и соответствующий теме документа.

Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.

Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма - килобайты.

Получение двух документов с одинаковой подписью (коллизия второго рода)

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования

Социальные атаки

Социальные атаки направлены на «слабое звено» криптосистемы - человека.

Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.
Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

Алгоритмы ЭЦП

Американские стандарты электронной цифровой подписи: ECDSA
Российские стандарты электронной цифровой подписи: ГОСТ Р 34.10-94 (в настоящее время не действует), ГОСТ Р 34.10-2001
Украинский стандарт электронной цифровой подписи: ДСТУ 4145-2002
Стандарт RSA
схема Шнорра

Управление ключами

Юридические аспекты

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр . Правовые условия использования электронной цифровой подписи в электронных документах регламентирует ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 10.01.2002 N 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

Использование ЭЦП в России

После становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного ДОУ между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам Российской Федерации от 2 апреля 2002 г. N БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи» . Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи определяет общие принципы организации информационного обмена при представлении налогоплательщиками налоговой декларации в электронном виде по телекоммуникационным каналам связи.

В Законе РФ от 10.01.2002 № 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» прописаны условия использования электронной цифровой подписи, особенности ее использования в сферах государственоого управления и в корпоративной информационной системе. Благодаря электронной цифровой подписи теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли» , обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.

В Москве в рамках реализации ГЦП (Городской целевой программы) "Электронная Москва" был образован Уполномоченный удостоверяющий Центр ОАО "Электронная Москва" (http://www.uc-em.ru) для решения задач координации работ и привлечения инвестиций при выполнении Городской целевой программы.

Использование ЭЦП в других странах

Система электронных подписей широко используется в Эстонской Республике , где введена программа ID-карт, которыми снабжены 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент - Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Все это осуществляется через центральный гражданский портал Eesti.ee . Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии.

Примечания

Федеральный закон №149 - ФЗ от 27 июля 2006г. "Об информации, информационных технологиях и о защите информации" - http://uc-em.ru/download/02.doc

Федеральный закон № 126 - ФЗ от 07 июля 2003г. "О связи" - http://uc-em.ru/download/03.doc

Постановление Правительства РФ №319 от 30 июня 2004г. "Об утверждении Положения о Федеральном агентстве по информационным технологиям" - http://uc-em.ru/download/05.doc

Постановление Правительства Москвы №495 - ПП от 19 июня 2007г. "Об утверждении Положения о Головном удостоверяющем центре города Москвы" - http://uc-em.ru/download/06.doc

Постановление Правительства Москвы №249 - ПП от 10 апреля 2007г. "Об утверждении порядка работы органов исполнительной власти города Москвы, государственных учреждений и государственных унитарных предприятий города Москвы с электронными документами, подписанными электронной цифровой подписью" - http://uc-em.ru/download/07.doc

Постановление Правительства Москвы №997 - ПП от 19 декабря 2006г. "Об утверждении порядка использования электронной цифровой подписи органами исполнительной власти города Москвы и государственными заказчиками при размещении государственного заказа города Москвы" - http://uc-em.ru/download/08.doc

Постановление Правительства Москвы №544 - ПП "Об утверждении Положения о Системе уполномоченных удостоверяющих центров органов исполнительной власти города Москвы" - http://uc-em.ru/download/09.doc

Постановление Правительства Москвы №450 - ПП от 6 июля 2004г. "О дополнительных мерах по обеспечению эффективного использования бюджетных средств при формировании, размещении и исполнении городского государственного заказа и создании Единого реестра контрактов и торгов города Москвы" - http://uc-em.ru/download/10.doc

Постановление Правительства Москвы №299-ПП от 11 мая 2004г. "Об утверждении Положения о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти города Москвы" - http://uc-em.ru/download/11.doc

Постановление Правительства Москвы №1079-ПП от 30 декабря 2003г. "Об уполномоченном органе в области использования электронной цифровой подписи в информационных системах органов исполнительной власти города Москвы" - http://uc-em.ru/download/12.doc

Об определении уполномоченных удостоверяющих центров - http://uc-em.ru/download/14.doc

Ссылки

www.ECM-Journal.ru - Блоги и статьи. Просто об электронном документообороте

См. также

Обычная подпись
Быстрая цифровая подпись

Wikimedia Foundation . 2010 .

Цифровая пропасть
Цифран

Смотреть что такое "Цифровая подпись" в других словарях:

цифровая подпись - ЦПД Данные, добавленные к блоку данных, или криптографическое преобразование блока данных, которое позволяет получателю данных удостовериться в происхождении и целостности блока данных и обеспечить защиту от мошенничества, например, получателем.… … Справочник технического переводчика

цифровая подпись - 3.25 цифровая подпись (digital signature): Криптографическое преобразование, которое, будучи связано с элементом данных, обеспечивает услуги по аутентификации источника, целостности данных и неотказуемости подписавшей стороны. … … Словарь-справочник терминов нормативно-технической документации - числовое значение, вычисляемое по тексту сообщения с помощью секретного ключа отправителя, а проверяемое открытым ключом, соответствующим секретному ключу отправителя. Удостоверяет, что документ исходит от того лица, чья цифровая подпись… … Толковый словарь по информационному обществу и новой экономике

Электронная цифровая подпись - Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии. Электронная подпись (ЭП) информация в электронной форме, присоединенная к другой информации в электронной… … Википедия

ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ - (ЭЦП, цифровая подпись, электронная подпись, англ. digital signature), криптографическое средство, аналог подписи, позволяющий подтвердить подлинность электронного документа, созданного с помощью компьютера (см. КОМПЬЮТЕР). ЭЦП представляет… … Энциклопедический словарь, О. Н. Герман, Ю. В. Нестеренко. Учебник создан в соответствии с Федеральным государственным образовательным стандартом по направлениям подготовки `Информационная безопасность` и `Математика` (квалификация `бакалавр`). В…

Директор информационной службы №07/2017 , Открытые системы. «Директор информационной службы» (CIO.ru) – журнал для менеджеров, отвечающих за идеологию, стратегию и реализацию информационной поддержки бизнеса, руководителей ИТ-подразделений предприятий… Купить за 629 руб электронная книга

Электронная цифровая подпись сейчас на слуху - многие современные компании потихоньку переходят на электронный документооборот. Да и в повседневной жизни ты наверняка сталкивался с этой штукой. Если в двух словах, суть ЭЦП очень проста: есть удостоверяющий центр, есть генератор ключей, еще немного магии, и вуаля - все документы подписаны. Осталось разобраться, что же за магия позволяет цифровой подписи работать.

Roadmap

Это пятый урок из цикла «Погружение в крипту». Все уроки цикла в хронологическом порядке:

1. Генерация ключей

Причина стойкости RSA кроется в сложности факторизации больших чисел. Другими словами, перебором очень трудно подобрать такие простые числа, которые в произведении дают модуль n. Ключи генерируются одинаково для подписи и для шифрования.

Когда ключи сгенерированы, можно приступить к вычислению электронной подписи.

2. Вычисление электронной подписи

3. Проверка электронной подписи

RSA, как известно, собирается уходить на пенсию, потому что вычислительные мощности растут не по дням, а по часам. Недалек тот день, когда 1024-битный ключ RSA можно будет подобрать за считаные минуты. Впрочем, о квантовых компьютерах мы поговорим в следующий раз.

В общем, не стоит полагаться на стойкость этой схемы подписи RSA, особенно с такими «криптостойкими» ключами, как в нашем примере.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

В России в электронном документообороте можно использовать три вида подписи: простую, усиленную неквалифицированную и усиленную квалифицированную. Посмотрим, чем они отличаются друг от друга, при каких условиях равнозначны собственноручной и придают подписанным файлам юридическую силу.

Простая электронная подпись, или ПЭП

Простая подпись — это знакомые всем коды доступа из СМС, коды на скретч-картах, пары “логин-пароль” в личных кабинетах на сайтах и в электронной почте. Простая подпись создается средствами информационной системы, в которой ее используют, и подтверждает, что электронную подпись создал конкретный человек.

Где используется?

Простая электронная подпись чаще всего применяется при банковских операциях, а также для аутентификации в информационных системах, для получения госуслуг , для заверения документов внутри корпоративного электронного документооборота (далее — ЭДО).

Простую электронную подпись нельзя использовать при подписании электронных документов или в информационной системе, которые содержат гостайну.

Юридическая сила

Простая подпись приравнивается к собственноручной, если это регламентирует отдельный нормативно-правовой акт или между участниками ЭДО заключено соглашение, где прописаны:

правила, по которым подписанта определяют по его простой электронной подписи.
обязанность пользователя соблюдать конфиденциальность закрытой части ключа ПЭП (например, пароля в паре “логин-пароль” или СМС-кода, присланного на телефон).

Во многих информационных системах пользователь должен сначала подтвердить свою личность во время визита к оператору систему, чтобы его ПЭП в будущем имела юридическую силу. Например, для получения подтвержденной учетной записи на портале Госуслуг, нужно лично прийти в один из центров регистрации с документом, удостоверяющим личность.

Неквалифицированная электронная подпись, или НЭП

Усиленная неквалифицированная электронная подпись (далее — НЭП) создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки.

Человек получает в удостоверяющем центре два ключа электронной подписи: закрытый и открытый. Закрытый ключ хранится на специальном ключевом носителе с пин-кодом или в компьютере пользователя — он известен только владельцу и его нужно держать в тайне. С помощью закрытого ключа владелец генерирует электронные подписи, которыми подписывает документы.

Открытый ключ электронной подписи доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом и позволяет всем получателям подписанного документа проверить подлинность ЭП.

То, что открытый ключ принадлежит владельцу закрытого ключа, прописывается в сертификате электронной подписи. Сертификат также выдается удостоверяющим центром. Но при использовании НЭП сертификат можно не создавать. Требования к структуре неквалифицированного сертификата не установлены в федеральном законе № 63-ФЗ “Об электронной подписи”.

Где используется?

НЭП можно использовать для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом.

Юридическая сила

Участникам ЭДО нужно соблюдать дополнительные условия, чтобы электронные документы, заверенные НЭП, считались равнозначными бумажным с собственноручной подписью. Сторонам нужно обязательно заключить между собой соглашение о правилах использования НЭП и взаимном признании ее юридической силы.

Цифровая подпись

Общая схема

Схема электронной подписи обычно включает в себя:

алгоритм генерации ключевых пар пользователя;
функцию вычисления подписи;
функцию проверки подписи.

Защищённость

Цифровая подпись обеспечивает:

Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.
Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;
Организацию юридически значимого электронного документооборота.

Возможные атаки на ЭЦП таковы…

Подделка подписи

Подделка документа (коллизия первого рода)

Документ представляет из себя осмысленный текст.
Текст документа оформлен по установленной форме.
Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML.

Случайный набор байт должен подойти под сложно структурированный формат файла.
То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
Текст должен быть осмысленным, грамотным и соответствующий теме документа.

Получение двух документов с одинаковой подписью (коллизия второго рода)

Социальные атаки

Социальные атаки направлены на «слабое звено» криптосистемы - человека.

Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.
Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

Алгоритмы ЭЦП

Американские стандарты электронной цифровой подписи: ECDSA
Российские стандарты электронной цифровой подписи: ГОСТ Р 34.10-94 (в настоящее время не действует), ГОСТ Р 34.10-2001
Украинский стандарт электронной цифровой подписи: ДСТУ 4145-2002
Стандарт RSA
схема Шнорра

Управление ключами

Юридические аспекты

Использование ЭЦП в России

Использование ЭЦП в других странах

Примечания

Федеральный закон № 126 - ФЗ от 07 июля 2003г. "О связи" - http://uc-em.ru/download/03.doc

Об определении уполномоченных удостоверяющих центров - http://uc-em.ru/download/14.doc

Ссылки

www.ECM-Journal.ru - Блоги и статьи. Просто об электронном документообороте

См. также

Обычная подпись
Быстрая цифровая подпись

Wikimedia Foundation . 2010 .

Смотреть что такое "Цифровая подпись" в других словарях:

Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии. Электронная подпись (ЭП) информация в электронной форме, присоединенная к другой информации в электронной… … Википедия

- (ЭЦП, цифровая подпись, электронная подпись, англ. digital signature), криптографическое средство, аналог подписи, позволяющий подтвердить подлинность электронного документа, созданного с помощью компьютера (см. КОМПЬЮТЕР). ЭЦП представляет… … Энциклопедический словарь, О. Н. Герман, Ю. В. Нестеренко. Учебник создан в соответствии с Федеральным государственным образовательным стандартом по направлениям подготовки `Информационная безопасность` и `Математика` (квалификация `бакалавр`). В…

Директор информационной службы №07/2017 , Открытые системы. «Директор информационной службы» (CIO.ru) – журнал для менеджеров, отвечающих за идеологию, стратегию и реализацию информационной поддержки бизнеса, руководителей ИТ-подразделений предприятий… электронная книга