Міністерство Освіти і Науки України
Кримський Економічний Інститут
ДВНЗ Київського Національного Економічного Університету
ім.В. Гетьмана
Реферат
з дисципліни «Інтернет - технології в бізнесі»
на тему:
Електронний цифровий підпис і його застосування.
Виконала
студентка третього курсу
групи МЕ - 32
Саєнко О.А.
Сімферополь, 2009
План
1. Електронний цифровий підпис: поняття, складові, призначення
2. Переваги використання електронного цифрового підпису
3. Використання ЕЦП в світі
4. Правові основи та особливості використання ЕЦП в Україну
Висновок
Перелік використаних джерел
Електронний цифровий підпис: поняття, складові, призначення
Поняття ЕЦП.
Електро нна Цифрова я по дпісь (ЕЦП) - реквізит електронного документа, призначений для захисту даного електронного документа від підробки, отриманий в результаті криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису, що дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити відсутність перекручування інформації в електронному документі, а також забезпечує неспростовності підписалась [3].
Складові частини ЕЦП.
Схема електронного підпису зазвичай включає в себе:
алгоритм генерації ключових пар користувача;
функцію обчислення підпису;
функцію перевірки підпису.
Функція обчислення підпису на основі документа і секретного ключа користувача обчислює власне підпис. У залежності від алгоритму функція обчислення підпису може бути детермінованою або ймовірнісної. Детерміновані функції завжди обчислюють однакову підпис за однаковими вхідними даними. Імовірнісні функції вносять у підпис елемент випадковості, що підсилює крипостійкість алгоритмів ЕЦП. Однак, для імовірнісних схем необхідний надійний джерело випадковості (або апаратний генератор шуму, або криптографічно надійний генератор псевдовипадкових бітів), що ускладнює реалізацію.
В даний час детерміновані схеми практично не використовуються. Навіть в спочатку детерміновані алгоритми зараз внесено модифікації, що перетворюють їх у імовірнісні (так, в алгоритм підпису RSA друга версія стандарту PKCS # 1 додала попереднє перетворення даних (OAEP), що включає в себе, серед іншого, зашумлення).
Функція перевірки підпису перевіряє, чи відповідає дана підпис даного документу та відкритому ключу користувача. Відкритий ключ користувача доступний всім, так що будь-хто може перевірити підпис під даним документом.
Оскільки документи, які підписували - змінної (і досить великий) довжини, в схемах ЕЦП найчастіше підпис ставиться не на сам документ, а на його хеш. Для обчислення хеша використовуються криптографічні хеш-функції, що гарантує виявлення змін документа при перевірці підпису. Хеш-функції не є частиною алгоритму ЕЦП, тому в схемі може бути використана будь-яка надійна хеш-функція.
Алгоритми ЕЦП діляться на два великих класи: звичайні цифрові підписи і цифрові підписи з відновленням документа. Звичайні цифрові підписи необхідно прістиковивать до підписували. До цього класу належать, наприклад, алгоритми, засновані на еліптичних кривих (ECDSA, ГОСТ Р 34.10-2001, ДСТУ 4145-2002). Цифрові підписи з відновленням документа містять в собі підписується документ: в процесі перевірки підпису автоматично обчислюється і тіло документа. До цього класу належить один з найпопулярніших алгоритмів - RSA.
Слід розрізняти електронний цифровий підпис і код автентичності повідомлення, незважаючи на схожість вирішуваних завдань (забезпечення цілісності документа та неспростовності авторства). Алгоритми ЕЦП відносяться до класу асиметричних алгоритмів, у той час як коди автентичності обчислюються за симетричним схемами [2].
Призначення ЕЦП.
Електронний цифровий підпис може мати наступне призначення:
Посвідчення джерела документа. У залежності від деталей визначення документа можуть бути підписані такі поля, як «автор», «внесені зміни», «мітка часу» і т. д.
Захист від змін документа. При будь-якому випадковому або навмисному зміні документа (або підпису) зміниться хеш, отже, підпис стане недійсною.
Неможливість відмови від авторства. Так як створити коректний підпис можна, лише знаючи закритий ключ, а він відомий тільки власнику, то власник не може відмовитися від свого підпису під документом.
Підприємствам та комерційним організаціям здачу фінансової звітності в державні установи в електронному вигляді;
Організацію юридично значущого електронного документообігу.
Можливі атаки на ЕЦП такі ...
Підробка підпису
Отримання фальшивої підпису, не маючи секретного ключа - завдання практично невирішувану навіть для дуже слабких шифрів і хешей.
Підробка документа (колізія першого роду)
Зловмисник може спробувати підібрати документ до даного підпису, щоб підпис до нього підходила. Однак у переважній більшості випадків такий документ може бути тільки один. Причина в наступному:
Документ представляє з себе осмислений текст.
Текст документа оформлений за встановленою формою.
Документи рідко оформляють у вигляді Plain Text - файлу, частіше за все у форматі DOC або HTML.
Якщо у фальшивого набору байт і відбудеться колізія з хешем вихідного документа, то повинні виконатися 3 наступних умови:
Випадковий набір байт повинен підійти під складно структурований формат файлу.
Те, що текстовий редактор прочитає у випадковому наборі байт, повинне утворювати текст, оформлений за встановленою формою.
Текст повинен бути осмисленим, грамотним і відповідний темі документа.
Втім, у багатьох структурованих наборах даних можна вставити довільні дані у деякі службові поля, не змінивши вид документа для користувача. Саме цим користуються зловмисники, підроблюючи документи.
Можливість такого події також мізерно мала. Можна вважати, що на практиці такого трапитися не може навіть з ненадійними хеш-функціями, так як документи зазвичай великого обсягу - кілобайти.
Отримання двох документів з однаковою підписом (колізія другого роду)
Куди більш ймовірна атака другого роду. У цьому випадку зловмисник фабрикує два документи з однаковою підписом, і в потрібний момент підміняє один іншим. При використанні надійної хеш-функції така атака повинна бути також обчислювально складної. Однак ці загрози можуть реалізуватися через слабкість конкретних алгоритмів хешування, підписи, або помилок в їх реалізаціях. Зокрема, таким чином можна провести атаку на SSL-сертифікати і алгоритм хешування MD5.
Соціальні атаки
Соціальні атаки спрямовані на «слабку ланку» криптосистеми - людини.
Зловмисник, який вкрав закритий ключ, може підписати будь-який документ від імені власника ключа.
Зловмисник може обманом змусити власника підписати будь-який документ, наприклад використовуючи протокол сліпого підпису.
Зловмисник може підмінити відкритий ключ власника на свій власний, видаючи себе за нього.
2. Переваги використання електронного цифрового підпису
Застосування ЕЦП має такі переваги:
Конфіденційність: електронно-цифрового підпису (ЕЦП) безпомилково вказує на автентичність і унікальність свого автора; ЕЦП не піддається підробці або перенесення з документа на документ; ЕЦП захищає підписаний документ від підробки, а також від зміни або спотворення міститься в ньому інформації; ЕЦП несе принцип неотреченія , що запобігає відмова
Зниження в кілька разів матеріальних і технічних витрат платника податку
Не потрібно наявності у платника податків фахівців, що володіють знаннями і навичками формування звітності в електронному вигляді
Пріоритетність здачі звітності в електронному вигляді
Економія часу, сил і нервів, тому що не потрібно відвідування податкового органу при здачі звітності
Можливість надання звітності аж до 24 годин останнього дня здачі звітності
Проходження первинного камерального контролю, що виключає наявність арифметичних і логічних помилок, використання контрольних співвідношень, які використовують у податкових органах при проведенні камеральних перевірок
Можливість оперативного оновлення форматів подання документів в електронному вигляді по телекомунікаційних каналах зв'язку (у разі зміни форм податкових декларацій та інших документів, які є підставою для обчислення і сплати податків, і бухгалтерської звітності або введення нових форм декларацій платник податків автоматично отримує можливість оновлення версій форматів)
Можливість отримання виписки (відправивши інформацію в податковий орган в електронному вигляді по телекомунікаційних каналах зв'язку, платник податків має можливість отримати виписку про виконання зобов'язань перед бюджетом)
Підтвердження доставки звітності (податковий орган висилає квитанцію про прийом податкових декларацій і бухгалтерської звітності в електронному вигляді по телекомунікаційних каналах зв'язку)
Оперативне інформування про діючі податки і збори, законодавства (про податки і збори та прийнятих відповідно до нього нормативно-правових актах та інших).
3. Використання ЕЦП в світі
Система електронних підписів широко використовується в Естонській Республіці, де введена програма ID-карт, якими забезпечені 3 / 4 населення країни.
За допомогою електронного підпису в березні 2007 року були проведені вибори до місцевого парламенту - Рійгікогу. При голосуванні електронний підпис використовували 400 000 чоловік.
Крім того, за допомогою електронного підпису можна відправити податкову декларацію, митну декларацію, різні анкети як до місцевих самоврядування, так і в державні органи.
У великих містах за допомогою ID-картки можлива покупка місячних автобусних квитків.
Все це здійснюється через центральний цивільний портал Eesti.ee. Естонська ID-карта є обов'язковою для всіх жителів з 15 років, які проживають тимчасово або постійно на території Естонії [2].
4. Правові основи та особливості використання ЕЦП в Україну
Впровадження в Україні системи формальних процедур документообігу, що відповідає міжнародним, і особливо європейським, стандартам, яка б, не втрачаючи своєї юридичної надійності, відрізнялася гнучкістю, універсальністю, зручністю, є вкрай необхідним. Причому не тільки для контрагентів у банківських або комерційних операціях, з чим найчастіше асоціюється використання елекронних цифрового підпису (ЕЦП). Адже мова йде не тільки про сферу господарського права. ЕЦП - одна з потенційних засобів здійснення правовідносин, які традиційно відносяться до предмета регулювання адміністративного права.
Однак досвід деяких країн СНД доводить, що з прийняттям законодавчих актів, що визначають статус ЕЦП, нерідко виникали різноманітні колізії, що перешкоджають реалізації цих актів. Порівнюючи положення Федерального закону Російської Федерації «Про електронний цифровий підпис" (далі - Закон РФ), підписаного Президентом РФ в січні 2002 року, та проекту Закону України «Про електронний цифровий підпис" (далі - законопроект), і маючи при цьому уявлення про структуру державного апарату на Україні (зокрема, центральних органів виконавчої влади), можна припустити, що подібна перспектива цілком можлива.
Законопроект про ЕЦП
У цілому законопроект досить збалансований і переважно зорієнтований на міжнародні та європейські стандарти систем комунікацій. Як позитив ми сприймаємо передбачену в законопроекті альтернативу для користувачів у порядку використання цифрового підпису (мова не йде про державний сектор).
Закони про ЕЦП прийняті в Німеччині, Австрії, Франції, Індії, Ірландії, Республіці Корея, Литві, Польщі, Фінляндії, Естонії, Росії, Таїланді тощо Подібні закони діють навіть у країнах, де існували стійкі традиції договірної юрисдикції, диспозитивності у регулюванні господарської діяльності між контрагентами, наприклад, у Великобританії і США. Закон про електронний документообіг прийнятий і в Білорусі.
Звичайно, у кожній державі встановлено свій більш-менш ліберальний підхід до регулювання порядку використання криптографічних (технологічних) коштів [1].
Використання ЕЦП в системі B2B-Україна дозволяє:
прирівняти за юридичною значимістю електронні документи, використовувані в Системі, до традиційних паперовим документам;
організаторам процедур - підписувати ЕЦП оголошення конкурсів, аукціонів та розміщення оголошень;
організаторам конкурсів - завіряти завантажувану в Систему конкурсну документацію;
учасникам конкурсів - завіряти завантажуються в Систему конкурсні заявки;
використовувати для забезпечення конкурсних заявок Електронну Банківську Гарантію;
підписувати ставки на аукціонах і подачу пропозицій в оголошеннях;
оптимізувати процедуру підготовки, обліку та зберігання документів;
забезпечити цілісність і справжність електронних документів;
забезпечити однозначне встановлення авторства документів, що використовуються в торгах;
виключити можливість підробки підпису і підписаних документів;
зменшити кількість конфліктних ситуацій, що виникають при некоректній відправці конкурсних заявок і файлів з цінами для переторжкі.
Захист електронного документа в Системі забезпечує:
підтвердження того, що документ виходить від конкретного користувача Системи (підтвердження авторства документа);
перевірку справжності та цілісності документа;
запобігання несанкціонованого доступу до документа в процесі інформаційного обміну;
ідентифікацію користувача Системи, яка підписала електронний документ.
Висновок
На Україну повинні бути впроваджені закони, зорієнтовані на загальновизнані спеціальні інструменти міжнародного права, право ЄС, враховуючи випереджаюче досвід інших держав щодо застосування цих положень у сфері національного права. У контексті вимог захисту прав людини, юридичної техніки викладення норм законодавства ухвалення цих нормативних актів принесе найбільший ефект, якщо це буде відбуватися послідовно і не порушить відомий принцип «не нашкодь». На жаль, на Україну практика правового регулювання відносин, пов'язаних з мережею Інтернет, доводить поки лише «ефективність» в отриманні результату, протилежного очікуваному.
Перелік використаних джерел
http://www.yurpractika.com/article.php?id=0000979
http://e-signature.com.ua/?cat=1
http://ru.wikipedia.org/wiki