Распространением и подтверждением ключей эцп занимаются

Экспертиза электронно-цифровой подписи —

сравнительно новый вид исследования, проводящийся в рамках компьютерно-технической экспертизы. Огромные потоки электронного документооборота, наравне со значительно увеличившимися скоростями торговых, банковских и прочих экономических взаимодействий, ставят экспертизу электронно-цифровой подписи в разряд наиболее важных исследований.

Развитие технологий, коммуникаций и глобализация экономики привели к необходимости создания эффективной системы связи между корпоративными контрагентами. В 1973 году появилось Сообщество всемирных межбанковских финансовых телекоммуникаций (S.W.I.F.T). В него вошли 239 европейских и североамериканских банков. Целью Сообщества стала разработка мировой системы обмена данными для финансовых организаций. В то же время встал вопрос о защите секретных данных и сохранении неприкосновенности документов, а также проверке их подлинности.

Впервые понятие электронной подписи было предложено учеными Стенфордского университета (США) — программистом Уитфилдом Диффи и профессором Мартином Хеллманом. Первоначально идея электронной подписи имела вид концепта, который в принципе может быть когда-нибудь разработан. Однако уже в следующем году американские ученые Рональд Ривест и Леонард Макс Адлеман в сотрудничестве с израильтянином Ади Шамиром создали алгоритм шифрования, названный по первым буквам их фамилий — RSA. Алгоритм был основан на математическом принципе разложения натуральных чисел на простые множители и мог быть использован для простейшего шифрования пересылаемых документов. С развитием криптографии и компьютерных средств стали появляться вероятностные схемы цифровых подписей, например, схема Рабина, а затем и первые хэш-алгоритмы. К 1984 году ученые под руководством все того же Рональда Ривеста строго сформулировали принципы безопасности, применяемые к цифровым подписям.

В нашей стране регламентация системы электронно-цифровых подписей была начата в первой половине 90-х годов прошлого века. Главное управление безопасности связи Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ГУБС ФАПСИ) предложило первоначальный вариант стандарта электронно-цифровой подписи, которому был присвоен ГОСТ Р 34.10-94. С учетом новейших разработок в области криптографии в 2002 году был разработан новый стандарт ГОСТ 34.10-2001, гарантирующий более высокую криптостойкость алгоритма (степени защищенности от внешних атак). Федеральным законом Российской Федерации от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи» установлена синонимичность терминов «электронная цифровая подпись» и «цифровая подпись». Последняя редакция закона об электронной подписи состоялась 6 апреля 2011 года.

Поскольку электронно-цифровая подпись является мощным инструментом обеспечения информационной безопасности в области обмена данными между корпоративными, политическими и прочими контрагентами, большое значение придается экспертизе электронно-цифровой подписи.

Что из себя представляет электронно-цифровая подпись?

Под электронно-цифровой подписью понимается некоторый блок электронной информации, присоединяемой к заверенному документу. Эти дополнительный данные служат для идентификации человека, подписавшего документ. По сути, это алгоритм шифрования, обеспечивающий следующие функции:

  1. Секретность передаваемых электронных документов.
  2. Заверение подлинности передаваемых документов.
  3. Обеспечение целостности документа и отсутствия в нем несанкционированных изменений.
  4. Идентификация автора документа.
  5. Недопустимость отрицания лицом, подписавшим документ, своего авторства.

Основные понятия сферы применения электронно-цифровой подписи, а также порядок ее использования установлены Федеральным законом Российской Федерации от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

Ключом электронно-цифровой подписи считается единственная в своем роде строка символов, предназначенная для создания электронно-цифровой подписи, то есть для шифрования документа. Ключом проверки электронно-цифровой подписи является уникальная строка символов, однозначным образом соответствующая ключу электронно-цифровой подписи. Ключ проверки предназначен для дешифровки и проверки подлинности электронно-цифровой подписи. Сертификатом ключа для идентификации электронной подписи является специальный документ в бумажной или цифровой форме, выданный уполномоченной организацией, осуществляющей регистрацию электронно-цифровых подписей. Сертификат ключа подтверждает принадлежность ключа шифрования владельцу сертификата. Квалифицированный сертификат ключа выдается аккредитованной организацией или уполномоченным федеральным органом исполнительной власти.

Под средствами электронно-цифровой подписи понимаются криптографические инструменты, предназначенные для генерирования электронно-цифровой подписи, проверки подлинности электронно-цифровой подписи, генерирование ключа (и, соответственно, ключа проверки) электронно-цифровой подлинности.

Настоящий закон «Об электронной подписи» определяет следующие виды электронно-цифровых подписей:

  1. Простая электронно-цифровая подпись.
  2. Неквалифицированная электронно-цифровая подпись.
  3. Квалифицированная электронно-цифровая подпись.

Простая электронно-цифровая подпись с помощью средств шифрования, пароля или других средств удостоверяет создание электронно-цифровой подписи конкретным человеком.

Неквалифицированная электронно-цифровая подпись удовлетворяет следующим условиям:

  • Сформирована в процессе шифрования данных согласно ключу электронно-цифровой подписи.
  • Идентифицирует человека, заверившего документ.
  • Предоставляет возможность обнаружения внесения несанкционированных изменений в документ позже факта его подписания.
  • Получена с помощью средств электронно-цифровой подписи.

Квалифицированная электронно-цифровая подпись отвечает всем условиям неквалифицированной электронно-цифровой подписи, кроме того, обладает следующими дополнительными признаками:

  • Подтверждение ключа проверки электронно-цифровой подписи содержится в квалифицированном сертификате.
  • Средства электронно-цифровой подписи, посредством которых была сформирована квалифицированная электронно-цифровая подпись, соответствуют требованиям настоящего Федерального Закона.

Последние два вида электронно-цифровых подписей называются также усиленной электронно-цифровой подписью.

Настоящий закон предписывает соответствие бумажных и электронных документов. Так, электронные документы, заверенные простой электронно-цифровой подписью, признаются эквивалентом бумажных документов, заверенных обычной ручной подписью. Документы же, заверенные усиленной электронно-цифровой подписью, считаются эквивалентными бумажным документам с подписью конкретного лица и печатью организации.

Система электронно-цифровых подписей находится под действием постоянных атак со стороны экономических преступников. На неприкосновенность электронных документов постоянно посягают злоумышленники. При любом подозрении на нарушение безопасности электронно-цифровой подписи прибегают к экспертизе электронно-цифровой подписи.

Экспертиза электронно-цифровой подписи проводится криптографическими и иными программными методами защиты информации (информационной безопасности) и направлена на проверку подлинности электронно-цифровой подписи, а также на исследование сохранности и неизменности электронных документов после того, как они были подписаны.

В каких случаях проводят экспертизу электронно-цифровой подписи?

  1. Если есть подозрение, что лицо, удостоверившее документ, пользуется поддельной электронно-цифровой подписью.
  2. При подозрении на подделку ключа проверки электронно-цифровой подписи.
  3. Если имеются основания считать, что документ был изменен в процессе пересылки от одного контрагента другому, то есть были внесены поправки после того, как документ был заверен электронно-цифровой подписью.
  4. В любых других случаях, где требуется надлежащая проверка документации.

Основные методы проведения экспертизы электронно-цифровой подписи.

Экспертиза электронно-цифровой подписи может проводиться в следующих направлениях:

  • Исследование подлинности сертификата электронно-цифровой подписи (обычного или квалифицированного).
  • Экспертиза подлинности электронно-цифровой подписи документа посредством исследования сертификата электронно-цифровой подписи. Причем электронно-цифровая подпись может входить в состав документа (так называемая присоединенная подпись) или содержаться отдельно от него (свободная или неприсоединенная подпись).
  • Экспертиза электронно-цифровой подписи посредством хеш-функций.

Проверка достоверности сертификатов производится стандартными методами экспертизы документов (как электронных, так и бумажных форм). Для проверки сертификата в первую очередь обращаются в реестр выдавшей его организации. Также применяются иные способы экспертизы подлинности документов. Для экспертизы электронно-цифровой подписи документа предъявляется сертификат электронно-цифровой подписи. Он же используется для проверки ключей расшифровки на предмет подделки.

Использование хеш-функций в процессе экспертизы электронно-цифровой подписи дает наиболее достоверные результаты. Оно используется в случаях, когда есть основания полагать, что документ был исправлен в процессе пересылки. Хеш-функция — это математический инструмент, основанный на преобразовании массивов данных по предписанной схеме, согласно которой формируются битовые строки заданной длины. Сам процесс называют хеширование. Результатом хеширования (выполнения хеш-функции) является хеш документа — шифрованное описание детального содержания документа. При заверении документа электронно-цифровой подписью зачастую подписывается не сам документ, а его хеш. Это связано с тем, что хеш документа имеет незначительную длину и сразу весь может быть заверен однократным применением электронно-цифровой подписи. Хеш документа создается как при шифровании, так и в процессе дешифровки. Хеш документа является его реквизитом, неотъемлемой частью, однако невидим в самом тексте. При выполнении дешифровки результаты хеш-функций сверяются. Различия могут свидетельствовать о том, что целостность документа была нарушена.

Какие материалы предоставляются для экспертизы электронно-цифровой подписи?

  1. Корневые сертификаты электронно-цифровой подписи, выданные соответствующей организацией.
  2. Спорные электронные документы, подлинность которых ставится под сомнение.
  3. Значение ключа проверки электронно-цифровой подписи.

Какие вопросы ставятся перед экспертом по проверке электронно-цифровой подписи?

Источник

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

×
Рекомендуем посмотреть