В этой статье будет подробно рассмотрена тема электронной подписи документов. В отдельности мы остановимся на использовании усиленной электронной подписи, открытых и закрытых ключах, а также узнаем, что собой представляет механизм подписания.
Содержание
Что такое электронная подпись документов?
Это совокупность данных, которая включает в себя как обязательные, так и необязательные реквизиты (открытый и закрытый ключи, сведения о владельце сертификата и т.д.). С помощью электронной подписи (далее — ЭП) сегодня можно:
- подписать электронный документ (далее — ЭД);
- установить целостность ЭД;
- определить автора документа, которому принадлежит ключ электронной подписи и т.д.
В соответствии с Федеральным законом № 63-ФЗ «Об электронной подписи» ЭП бывает простой и усиленной. В отличие от простой усиленная электронная подпись обеспечивает лучший уровень защиты, поэтому ее используют для заверения важных документов, представляющих юридическую ценность.
Усиленная ЭП (квалифицированная и неквалифицированная) формируется в результате криптопреобразования информации и состоит из открытого и закрытого ключей. При этом квалифицированная ЭП создается с помощью средств криптозащиты, сертифицированных ФСБ РФ. Ее можно получить только в аккредитованном удостоверяющем центре (далее — УЦ).
Интересно рассмотреть механизм подписания. Фактически это криптопреобразование (шифрование) исходных данных, происходящее по установленному алгоритму на определенном ключе. Из каждого уникального сочетания информации и ключа ЭП получается уникальный набор данных (собственно подпись). В ходе проверки подписи происходит её вычисление во второй раз и сопоставление с той, что находится у второй стороны. Бывает, что подпись не проходит проверку. Дело здесь либо в ложном ключе, либо в том, что выбрали не тот документ.
Открытый и закрытый ключи
Первым возник симметричный метод шифрования. Суть его заключается в шифровании/расшифровке данных по ряду алгоритмов с применением одного и того же ключа. Выходит, чтобы обмениваться подписанной информацией данными, у каждой стороны должна быть общая секретная информация. Так, Если в обмене участвуют две стороны, проблем не возникает. Если же участников обмена больше, гарантировано установить автора ЭД будет нельзя. Плюс ко всему, если ключ передается с нарушением конфиденциальности, без надежного посредника не обойтись.
При симметричном методе шифрования каждой паре участников электронного обмена приходилось заводить свой секретный ключ. Троим участникам соответственно требовались 3 ключа, четырем — 6 и т.д. Запутаться в такой электронной подписи документов было несложно.
Проще стало с появлением асимметричного метода шифрования. Идея его была предложена еще в 70-х годах и сводилась к тому, что шифрование данных должно производиться с одним ключом, а расшифровка — с другим. Ключи связаны друг с другом, но не имея под рукой дополнительной информации, стороны не смогут получить из одного ключа другой. Этот алгоритм как раз реализован в усиленной электронной подписи.
- Первый ключ — открытый. Выполняет криптопреобразование наполовину (либо зашифровывает, либо расшифровывает), поэтому его разрешается передавать по открытым каналам.
- Второй ключ — закрытый. Владелец должен хранить его в секрете от посторонних лиц.
При асимметричном шифровании достаточно, чтобы у каждого участника было по два ключа. При этом сведения о закрытом ключе будут исключительно у его обладателя, и данные могут быть зашифрованы только им. Согласитесь, это удобнее и выгоднее.
Показать то, что скрыто: механизм подписания
Рассмотрим подробнее механизм подписания документа. Широкое распространение получили алгоритмы с применением открытого ключа.
Мы уже упоминали, что электронная подпись документов позволяет решить несколько задач, а именно установить автора ЭД и его неизменность. Рассмотрим на конкретном примере.
Допустим, у нас есть набор данных:
- данные для подписания M;
- открытый ключ К;
- закрытый ключ k;
- функция f();
- обратная функция F().
Так как подписывать бывает необходимо совершенно разные тексты, а у ЭП стандартные размеры, используется такая функция, как хеширование. В отношении каждой уникальной совокупности данных ее значение будет уникально и едино. Но у функции стандартный размер и отсутствует возможность восстановления первоначальных данных. Назовем ее H().
Подписание документов выполняется таким способом, чтобы вычислить значение хеш-функции:
h=H(M),
Далее значение зашифровывается с использованием закрытого ключа k:
s=f(h,k).
На выходе мы получаем значение s, которое является электронной подписью для данных M.
Чтобы проверить подпись, необходимо вычислить значение хеша для данных М:
h=H(M),
а затем расшифровать значение s, используя открытый ключ:
h’=F(s,K).
ЭП будет верна, если значение h’ будет идентично значению h. В случае другого исхода мы имеем дело либо с неверно открытым ключом (и получается, что автора нам определить не удалось), либо с измененным сообщением.
Более понятно механизм подписания воспроизведен графически:
Мы видим, что функции ЭП, приведенные выше, выполняются. Правда, появляется резонный вопрос: кто предоставит гарантии, что при распространении открытый ключ K не был сфальсифицирован (например, при MITM-атаке), что ЭД прислал нам не мошенник? Необходима некая третья инстанция, авторитетная для нас, которая бы гарантировала, что ключи действительно принадлежат своим владельцам, отвечала за безопасность их передачи. Данную задачу реализовали за счет того, что вместе с сообщением стали высылать ЭП и удостоверяющий ее сертификат.
Доверяй усиленной электронной подписи, но проверяй
Мы привыкли, что пользователи, задействованные в обмене, мало доверяют друг другу. Но благодаря инфраструктуре открытых ключей (PKI) между пользователями и УЦ складываются доверительные отношения.
У всех пользователей, имеющих усиленную электронную подпись, есть закрытый ключ (его хранят втайне от всех) и открытый (его заверяет сам удостоверяющий центр посредством сертификата). В состав сертификата входит открытый ключ с информацией о пользователе и удостоверяющем центре.
В целях повышения доверия между участниками обмена удостоверяющие центры объединяются во главе с корневым УЦ. Возможен и вариант, когда УЦ просто договариваются между собой, не объединяясь под началом корневого.
Помимо выпуска сертификатов, УЦ занимаются тем, что заносят информацию о скомпрометированных ключах в специальные списки отзыва сертификатов. Благодаря этому обеспечивается безопасность взаимодействия.
Как получить усиленную электронную подпись?
Если вам необходима усиленная электронная подпись, сделайте следующее:
- Получите открытый и закрытый ключи (самостоятельно с помощью специализированного ПО или обратившись в удостоверяющий центр).
- Запросите в УЦ сертификат открытого ключа. Он не относится к разряду секретной информации, поэтому к нему не предъявляются строгие требования по части хранения.
- С закрытым ключом — иначе. Для него обязательно найдите надежное место хранения.
- Если закрытый ключ был скомпрометирован, немедленно обратитесь в УЦ с требованием добавить сертификат в список отзыва.
***
Надеемся, благодаря этому материалу вам стал более понятен механизм подписания ЭД, и вы разобрались с функциями открытого и закрытого ключей ЭП. Получить еще больше информации о применении усиленной электронной подписи можно на нашем сайте в разделе «Аналитика».
Источник