Електронно-цифровий підпис

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

Зміст:

  1. Роз'яснення щодо використання систем цифрового підпису в зв'язку з веденням закону "Про електронний цифровий підпис"

      1. Приклад практичного застосування механізму електронно-цифрового підпису

Список використаної літератури

1. Роз'яснення щодо використання систем цифрового підпису в зв'язку з введенням закону "Про електронний цифровий підпис"

У зв'язку з введенням в дію федерального закону "Про електронний цифровий підпис" деякі споживачі засобів захисту інформації виявляють занепокоєність у зв'язку з легальністю використання систем цифрового підпису та інших аналогів власноручного підпису.

Мета цього документа роз'яснити ситуацію, що склалася у зв'язку з прийняттям закону, визначити сферу його дії та порядок використання систем цифрового підпису, які були введені в експлуатацію до прийняття закону.

I. Мета прийняття закону

До моменту прийняття закону єдиною правовою основою для застосування аналогів власноручного підпису (АСП), у тому числі в електронному документообігу була перша частина Цивільного кодексу РФ (Стаття 160, п. 2, Стаття 434, п.1, Стаття 434, п.2)

Стаття 160 п. 2.

Використання при вчиненні правочинів факсимільного відтворення підпису за допомогою засобів механічного або іншого копіювання, електронно-цифрового підпису або іншого аналога власноручного підпису допускається у випадках і в порядку, передбачених законом, іншими правовими актами або угодою сторін.

Стаття 434 п.п. 1,2.

1. Договір може бути укладений в будь-якій формі, передбаченої для здійснення угод, якщо законом для договорів даного виду не встановлена ​​певна форма.

Якщо сторони домовилися укласти договір у певній формі, він вважається укладеним після надання йому обумовленої форми, хоча б законом для договорів даного виду така форма не була потрібна.

2. Договір в письмовій формі може бути укладений шляхом складання одного документа, підписаного сторонами, а також шляхом обміну документами за допомогою поштового, телеграфного, телетайпного, телефонного, електронного або іншого зв'язку, що дозволяє достовірно встановити, що документ виходить від сторони за договором.

Додаткові роз'яснення, по порядку використання АСП давалися в інструктивних матеріалах Вищого Арбітражного суду РФ.

З формулювань вищезазначених статей ЦК, прямо випливає, що в разі відсутності закону чи іншого нормативного акта, що передбачає порядок використання АСП, порядок використання АСП визначається угодою сторін. Саме за цією схемою діяли і діють до цього часу всі системи з використанням цифрового підпису, що в угоді сторін визнається АСП.

Основною метою прийняття закону "Про електронний цифровий підпис" було доповнення договірної схеми регулювання взаємини сторін, передбаченої ГК РФ законодавчим регулюванням, також передбачених ДК РФ.

Таким чином, закон про ЕЦП, дає можливість вступати у повноправні цивільно-правові відносини з використанням ЕЦП в якості АСП без попереднього укладення угоди сторін ".

II. Сфера дії закону та ГК РФ.

Дія ГК РФ, як і конституційного закону, не може бути скасовано або змінено іншим нормативним актом, в тому числі федеральним законом. У зв'язку з цим федеральний закон "Про електронний цифровий підпис" лише визначає порядок використання одного з АСП, а саме ЕЦП, суворе визначення якого зафіксовано в законі.

Оскільки серед усіх можливих АСП закон регулює застосування одного - ЕЦП, остільки регулювання порядку застосування інших АСП залишається незмінним, а саме грунтується на ГК РФ, що передбачає укладення угоди сторін.

Таким чином, у зв'язку з прийняттям закону змінився лише порядок застосування одного з АСП - ЕЦП.

На цей факт прямо вказує пункт 2 статті 1 закону "Про електронний цифровий підпис".

Згідно з п. 2. статті 1.

Дія цього Закону поширюється на відносини, що виникають при здійсненні цивільно-правових угод і в інших передбачених законодавством України випадках. Дія цього Закону не поширюється на відносини, що виникають при використанні інших аналогів власноручного підпису.

III. Співвідношення між АСП, Цифровий Підписом (ЦП) і ЕЦП

На сьогоднішній день використовується великий набір різних АСП - біометричні, PIN коди, факсимільні і т.д. У тому числі широко використовуються системи цифрового підпису - ЦП. Технології ЦП різноманітні і диференційовані. Серед всіх можливих технологій ЦП обрана одна, суворо визначена в законі і названа ЕЦП.

Отже, співвідношення між АСП, ЦП і ЕЦП виглядає так.

Цифровий підпис (ЦП) є окремим випадком аналога власноручного підпису (АСП). У свою чергу, електронний цифровий підпис (ЕЦП) є окремим випадком цифрового підпису.

IV. Що таке ЕЦП

Дефініція поняття ЕЦП наведена в законі "Про електронний цифровий підпис".

Електронний цифровий підпис - реквізит електронного документа, призначений для захисту даного електронного документа від підробки, отриманий в результаті криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису, що дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити відсутність спотворення інформації в електронному документі;

Таким чином, поняття ЕЦП нерозривно пов'язується з поняттям сертифіката ключа, поняттям криптографічного перетворення і електронним документом.

Отже, до систем ЕЦП слід відносити тільки системи підтвердження достовірності електронних документів з використанням сертифікатів і заснованих на криптографічних перетвореннях. Крім того, використання ЕЦП відповідно до закону, можливо тільки для електронних документів. Закон не поширює свою дію на застосування ЕЦП до інших типів документів.

Розглянемо всі ознаки ЕЦП.

Безпосередньо в законі дано визначення сертифіката ключа, електронного цифрового підпису.

Сертифікат ключа підпису - документ на паперовому носії або електронний документ з електронним цифровим підписом уповноваженої особи центра, що засвідчує, які включають в себе відкритий ключ електронного цифрового підпису та які видаються центром, що засвідчує учаснику інформаційної системи для підтвердження дійсності електронного цифрового підпису та ідентифікації власника сертифіката ключа підпису;

Суворе визначення електронного документа сьогодні відсутня, тим не менш, на практиці використовується поняття, введене в законі "Про інформацію, інформатизації і захисту інформації"

Документована інформація (документ) - зафіксована на матеріальному носії інформація з реквізитами, що дозволяють її ідентифікувати;

Як видно визначення розпливчасте. У підготовленому законопроекті "Про електронний документ" вказується, які саме реквізити повинні бути обов'язкові для документа:

  • позначення і найменування документа;

  • дати створення, затвердження і останньої зміни;

  • відомості про творців;

  • відомості про захист електронного документа;

  • відомості про засоби електронного цифрового підпису або засобах хешування, необхідних для перевірки електронного цифрового підпису або контрольної характеристики даного електронного документа;

  • відомості про технічні і програмних засобах, необхідних для відтворення електронного документа;

  • відомості про склад електронного документа.

Хоча поки керуватися відповідними положеннями не можна, тим не менш, грунтуючись на визначенні із закону "Про інформацію, інформатизації і захисту інформації" можна однозначно сказати, блоки даних, що передаються по каналах зв'язку (тому що вони не фіксуються на носіях) до документів не відносяться, також до документів не можуть бути віднесені пакети даних, що виникають під час обміну даними через Інтернет і ін

Поняття криптографічного перетворення в законі та інших нормативних документах, що мають юридичну силу, відсутня.

З іншого боку, поняття засобів криптографічного захисту інформації (СКЗИ) і шифрувальних засобів є у відомчих документах ФАПСИ. Так само деякі виробники позиціонують свою продукцію, як СКЗИ, або як шифрувальні засоби.

У зв'язку з цим засоби цифрового підпису (сталий міжнародний термін digital signature), побудовані без використання системи сертифікатів, а саме такі системи в більшості використовують Російські споживачі не є системами ЕЦП, з точки зору визначення закону.

Більш того, системи з використанням сертифікатів, але без створення центрів, що засвідчують, а також системи, в яких підписи зареєстровані на юридичну особу, з точки зору розглянутого закону відносяться до інших аналогам власноручного підпису і законом не регулюються.

Також до систем ЕЦП не відносяться системи в яких АСП, в т.ч. ЦП використовуються для підпису даних, які не є електронними документами.

До систем ЕЦП слід відносити тільки ті системи, які:

  1. Використовують систему сертифікатів, відповідно до визначення сертифікату, і виконанням вимог до сертифікатів, даними в законі про ЕЦП.

  1. Використовуються для запевнення електронних документів в сенсі визначення даними в законі "Про інформацію, інформатизації і захисту інформації"

  2. Позиціонуються розробниками, як криптографічне засіб.

V. Класифікація систем цифрового підпису. Особливості регулювання.

Системи без використання сертифікатів або УЦ

Не регулюються законом "Про ЕЦП". Регулювання в них засноване на наступних документах:

1. "Цивільний Кодекс Російської Федерації":

Частина перша, Стаття 160, п. 2, в якому говориться:

Частина перша, Стаття 434, п.1

Частина перша, Стаття 434, п.2

2. Федеральний Закон "Про інформацію, інформатизації і захисту інформації",

3. Офіційні матеріали Вищого Арбітражного Суду РФ:

Лист від 24 квітня 1992 р. № К-3/96, згідно якого

Лист від 19 серпня 1994 р. № С1-7 / оп-578

Лист від 7 червня 1995 року № С1 / ОЗ-316

Системи з використанням сертифікатів і УЦ

Яке положення по відношенню закону займають системи, що використовують сертифікати й засвідчують центри.

Можливо кілька випадків:

Корпоративна система без використання СКЗИ.

Якщо Ваша система цифрового підпису не є СКЗИ або шифрувальним засобом, кваліфікуючою ознакою чого є наявність сертифіката ФАПСИ на використовувані засоби, або позиціонування розробником своїх розробок, як шифрувальних засобів або СКЗИ. У цьому випадку регулювання її використання знаходиться поза сферою розглянутого закону, і регулюється аналогічно нагоди Системи без використання сертифікатів або УЦ.

Додаткова інформація.

Як визначити корпоративний статус системи.

У разі якщо користувачі системи, підключені до єдиного постачальника послуг (групи постачальників послуг, пов'язаних між собою договорами), що має засвідчує центр, і працюють на основі договору. Система є корпоративною.

Для однозначного віднесення системи до корпоративної в договорі на надання послуг необхідно:

  1. Обов'язково вказати статус системи, як корпоративний.

  2. Вказати, що доступ до систем можливий тільки при отриманні спеціального абонентського комплекту (програмно-апаратного забезпечення), відсутність якого не дозволяє підключатися до системи.

  3. Вказати, що отримати вказаний абонентський комплект (завантажити з сайту або отримати в інший, ніж при безпосередньому контакті шляхом) користувач може, тільки погодившись з правилами корпоративної системи, в т.ч. в електронному вигляді (шляхом акцепту пропозиції на сайті, надсилання листа або безпосередньо підписавши договір).

У цьому випадку система визначається як корпоративна в незалежності від каналів доступу (Інтернет, телефон і т.д.), оскільки в цьому разі мережі публічних провайдерів використовуються виключно як транспортне середовище і не служать для надання публічної послуги. Кваліфікуючою ознакою "корпоративна система", служить відсутність можливості підключення до системи користувача публічних систем без попереднього укладення договору.

Публічна система без використання СКЗИ.

Оскільки, як і в попередньому випадку Ваша система цифрового підпису не є СКЗИ або шифрувальним засобом, кваліфікуючою ознакою чого є наявність сертифіката ФАПСИ на використовувані засоби, або позиціонування розробником своїх розробок, як шифрувальних засобів або СКЗИ. Остільки регулювання її використання знаходиться поза сферою розглянутого закону, і регулюється аналогічно нагоди Системи без використання сертифікатів або УЦ.

Корпоративна система з використанням СКЗИ

Якщо Ваша система заснована на криптографічних перетвореннях, кваліфікуючою ознакою чого є наявність сертифіката ФАПСИ на використовувані засоби, або позиціонування розробником своїх розробок, як шифрувальних засобів або СКЗИ,

У цьому випадку згідно із законом, система є корпоративною системою ЕЦП і регулюється за Статтею 17 закону "Про ЕЦП":

Стаття 17.

2. Порядок використання електронних цифрових підписів в корпоративній інформаційній системі встановлюється рішенням власника корпоративної інформаційної системи або угодою учасників цієї системи.

Додатково в цьому випадку, згідно із законом про ліцензування окремих видів діяльності Вам необхідно отримати:

  1. Ліцензію на право ведення діяльності, пов'язаної з наданням послуг, пов'язаних з використанням ЕЦП.

  2. Ліцензію на діяльність УЦ.

Публічна система з використанням СКЗИ

У порівнянні з попереднім варіантом, накладається додаткове обмеження, пов'язане з необхідністю використовувати тільки, сертифіковане програмне забезпечення.

У разі використання зовнішнього УЦ, вимогу на отримання ліцензії на діяльність УЦ, знімається.

VI. Висновки

  1. Єдиною основою для регулювання порядку застосування АСП залишається Цивільний Кодекс РФ, містить відсильні норми, або до діючого закону, який регулює порядок застосування АСП, або до договору сторін.

  2. Регулювання порядку застосування одного з видів АСП - ЕЦП здійснюється законом "Про електронний цифровий підпис".

  3. Регулювання порядку застосування інших АСП, в тому числі цифрового підпису - ЦП залишається предметом договірного права, що безпосередньо випливає з тексту ЦК та закону про ЕЦП.

  4. Більшість технології цифрового підпису (ЦП) не є технологією, регулювання якої передбачено законом про ЕЦП.

  5. Регулювання порядку використання основних типів ЦП виглядає наступним чином.

Система без використання сертифікатів

Система без використання шифрувальних засобів

Система з використанням шифрувальних засобів

Корпоративна

Публічна

Корпоративна

Публічна

I

I

I

I

Ні

Ні

1

1

Система з використанням сертифікатів

Система без використання шифрувальних засобів

Система з використанням шифрувальних засобів

Корпоративна

Публічна

Корпоративна

Публічна

I

I

II

II

Ні

Ні

1, № 2

1.

I - регулювання на основі договірних відносин

II - регулювання на основі закону про ЕЦП

Ліцензія № 1 - ліцензія на діяльність з надання послуг, пов'язаних з використанням ЕЦП.

Ліцензія № 2 - ліцензія на діяльність УЦ.

2. Приклад практичного застосування механізму електронно-цифрового підпису

Для чого це потрібно

Зіткнувшись з проблемою забезпечення контролю справжності документів зберігаються в БД, я досить довго шукав спосіб її вирішення. Та інформація, що зустрічається, слабо корисна новачкам, бо має ухил або в теорію / математику асиметричних алгоритмів шифрування, або в юриспруденцію (так так, ті самі закони про електронно-цифрового підпису). Спробую в міру своїх сил виправити становище.

Приклад реалізований у середовищі Delphi 6, СУБД Interbase / Firebird, компоненти доступу InterBase Express (IBX), шифрування - LockBox. Для отримання хешу використовується алгоритм MD5, шифрування RSA.

В БД заведена таблиця документів DOCUMENTS, справжність яких нам і потрібно контролювати, таблиця DOCUMENT_SIGNS - підпису документів певними користувачами з таблиці USERS.

Логіка роботи

Користувачеві генеруються / призначаються два ключі - відкритий (публічний) і закритий (приватний). Перший доступний усім (буде використовуватися для перевірки автентичності підпису та документа), а другий тільки користувачеві. Для підписання документа обчислюється його хеш (шифрування усього полумегабайтного документа досить ресурсномісткою), цей хеш шифрується закритим ключем

(Зробити це - тобто сформувати власне підпис може тільки власник ключа і ніхто крім нього) і вноситься в таблицю DOCUMENT_SIGNS, прив'язуючись конкретного користувача і документом. Якщо хто-небудь хоче перевірити чи підписаний документ користувачем, або користувач хоче проконтролювати незмінність документа - він розшифровує підпис відкритим ключем і порівнює з хешем документа - якщо вони співпали - документ автентичний

Хеш документа обчислюється на сервері (що б не ганяти даремно дані) за допомогою UDF. Для цього реалізовані дві функції - хешування Блоб (md5_blob) і хешування рядка (md5_string). Якщо документ зберігається як Блоб то все просто, а якщо як набір полів, то можна вважати хеш від рядка, що складається з з'єднуватися полів (select md5_string (d.doc_f2 | | d.doc_f1) from documents d). В останньому випадку пам'ятаємо: поля, на підставі яких обчислюється хеш не повинні бути nullable - null + value = null, сума довжин всіх полів не більше максимальної довжини рядка СУБД.

Розшифровка підпису виконується в клієнтському додатку, але ніхто не заважає винести їх в udf.

Хешування - в ​​ідеалі необоротне перетворення дозволяє для даних змінної довжини повернути однозначно відповідне їм дані фіксованого розміру (дайджест, хеш), зазвичай 128 біт.

Приклад

Приклад складається з двох додатків - клієнтського та адміністративного. Для його роботи потрібно мати встановлений сервер СУБД.

Адміністраторський інтерфейс.

Генерація пар ключів, призначення публічного ключа користувачеві, збереження приватного ключа у файл. Важливий розмір ключа, для клієнтського додатка він "зашитий" в код (1024).

Клієнтський інтерфейс.

Підписання обраного документа певним користувачем, перевірити підпис, зняти підпис з документа.

Практичне застосування може бути досить різноманітним: підписання ключових елементів БД для подальшого "розбору польотів" у разі конфліктних ситуацій, організація внутрішнього безпаперового документообігу організації, авторизація в додатках з допомогою "ключовою" дискети ...

Список використаної літератури:

  1. Copyright, 2003, Маріуполь, Микола Пономаренко Стаття для Delphi Plus

  2. ФЗ «Про електронний цифровий підпис» № 1-ФЗ від 10.01.2002 р.

  3. Цивільний Кодекс РФ

  4. Internet

Посилання (links):
  • mailto: pnv82@pisem.net
  • http://www.delphiplus.org/
  • Додати в блог або на сайт

    Цей текст може містити помилки.

    Програмування, комп'ютери, інформатика і кібернетика | Контрольна робота
    55.7кб. | скачати


    Схожі роботи:
    Електронно цифровий підпис
    Цифровий підпис
    Електронний цифровий підпис
    Електронний цифровий підпис і е застосування
    Електронний цифровий підпис - правові аспекти
    Електронний цифровий підпис і його застосування
    Повірка електронно-лічильних частотомеров Повірка універсальних електронно-променевих осцилографів
    Повірка електронно рахункових частотомеров Повірка універсальних електронно променевих осцилографів
    Підпис та печатка як важливі реквізити документа
    © Усі права захищені
    написати до нас