Неподдельные цифры - «Финансы и Банки»
Электронная подпись (ЭП) — основа безопасности электронного документооборота. Без нее было бы практически невозможно ни удостоверить, ни проверить авторство и неизменность электронного документа. Портал Банки.ру решил досконально изучить, что такое электронная подпись, как она работает и как ее можно применять.
Обычная подпись издревле используется людьми для подтверждения авторства документа или факта ознакомления и согласия с чужим документом. Она защищает документ от подлога, когда злоумышленник подменяет подлинник и выдает его за изначальный вариант. Считается, что личная подпись абсолютно индивидуальна и никто не сможет ее достоверно повторить, кроме ее автора. При этом любые попытки внести изменения в готовый подписанный документ неизбежно оставляют следы, которые можно впоследствии выявить. Подписывая с банком бумажный договор, вы можете быть уверены, что его условия потом не изменятся без вашего ведома, та же уверенность есть и у кредитной организации — ведь текст удостоверен вашей личной подписью и подписью сотрудника банка.
С электронными документами ситуация совершенно иная. Каждый такой документ — лишь последовательность цифр, с помощью которых закодирован текст или информация в какой-либо иной форме (изображение, звук, видеопоток). Цифры можно скопировать или изменить при хранении или передаче документа, не оставляя следов, что открывает широкие возможности для электронных мошенников, особенно в банковской отрасли.
Возможность подписывать электронные документы появилась с разработкой ассиметричных схем шифрования. Суть метода заключается в том, что ключ, использующийся для шифрования, нельзя использовать для дешифрования. И наоборот — ключ, используемый для дешифрования, непригоден для шифрования (то есть зашифровать данные им можно, но результат уже не получится правильно дешифровать). Это и позволяет реализовать полный набор функций личной подписи для цифровых данных, и даже больше.
К примеру, вы хотите отправить кому-либо документ, авторство которого будет закреплено за вами, и какие-либо изменения могли бы быть сразу выявлены. Для этого нужно зашифровать его ключом для шифрования и приложить к документу получившийся набор чисел, называемый подписью. Ключ для дешифрования (ключ проверки) следует также передать получателю.
Получатель дешифрует полученную подпись ключом проверки и сравнивает ее с документом. Если данные совпали, автор — вы, и документ неизменен. Если получатель попытается изменить текст документа, то создать соответствующую подпись он не сможет, так как закрытый ключ есть только у вас. Таким образом, подделку легко можно будет выявить и доказать ее факт в суде.
На самом деле это упрощение, в реальности используются чуть более сложные алгоритмы, работающие не с исходным текстом документа, а с некоторой функцией от него (так называемой хэш-функцией). Этим обеспечиваются фиксированность длины подписи вне зависимости от подписываемого документа и уменьшение вычислительной сложности подписи.
Схема асимметричного шифрования допускает подлог, если злоумышленник подменил не только текст, но и открытый ключ. Поэтому получатель, проверяя подпись открытым ключом, должен быть уверен в принадлежности этого ключа. Для обеспечения такой уверенности используются сертификаты ключей, являющиеся, по сути, той же электронной подписью: открытый ключ подписывается электронной подписью некоего доверенного органа — удостоверяющего центра. Открытый ключ удостоверяющего центра известен и поддается проверке в любой момент. Кроме того, есть уверенность, что ключи злоумышленников удостоверяющий центр подписывать не станет.
Пока это все была теория. Обратимся к практике. Определение электронной подписи и правила ее использования даны в федеральном законе 63-ФЗ «Об электронной подписи». В соответствии с ним электронная подпись имеет юридическую силу и может использоваться для подписания любых документов. Закон определяет три вида электронной подписи: простую, усиленную неквалифицированную, усиленную квалифицированную.
Простая удостоверяет лишь авторство подписавшегося, но никак не зависит от документа. В ее роли может выступать, к примеру, одноразовый пароль, присланный вам по СМС. Заметьте, что, в соответствии с законом, ввод этого пароля равнозначен подписанию документа, но при этом можно оспорить его содержание.
Усиленная неквалифицированная подпись представляет собой полноценную электронную подпись, но без сертификата ключа проверки. Ее можно использовать в том случае, если проверять вашу подпись будет тот, кто достоверно знает ваш ключ проверки, — например, тот, кто его вам выдал. В качестве примера можно привести электронную подпись, используемую в интернет-банках: при заключении договора на интернет-банкинг кредитная организация выступит в роли удостоверяющего центра и снабдит вас всеми средствами для создания подписи, включая криптопровайдер (программу, которая создает и проверяет электронные подписи) и оба ключа. Правда, в этом случае остается неясно, насколько можно доверять электронной подписи, если банк потенциально может обладать вашим ключом (он же его для вас сгенерировал).
В отличие от неквалифицированной электронной подписи усиленная квалифицированная позволяет вам подписывать документы, адресованные кому угодно. Для проверки подписи достаточно предоставить адресату ключ проверки и сертификат ключа проверки. Если подпись на документе успешно проходит проверку, то с юридической точки зрения он подписан вами, и отвертеться в суде уже вряд ли получится.
Чтобы иметь возможность подписывать документы квалифицированной подписью, нужны четыре вещи: критопровайдер, ключ (для создания подписи), ключ проверки (чтобы вашу подпись можно было проверить) и сертификат ключа проверки (для удостоверения того, что это именно ваш ключ проверки). В простейшем случае достаточно приобрести программу-криптопровайдер, которая создаст для вас ключ и ключ проверки, и получить сертификат ключа в компании, выступающей в роли удостоверяющего центра. Следует учесть, что различные государственные и негосударственные организации имеют свои форматы электронных подписей — возможно, придется обзавестись несколькими разными подписями.
В силу все большего распространения электронной подписи крайне важным становится вопрос о безопасности ключа. Личную рукописную подпись подделать трудно и украсть ее у вас нельзя. А вот ключ к электронной подписи украсть очень даже можно, причем в этом случае практически невозможно оспорить в суде подписанный злоумышленником за вас документ.
Крайне важно, чтобы ключ для вашей подписи содержался в защищенном хранилище. Самый простой и наименее надежный способ — хранение его в зашифрованном файле, защищенном паролем. В этом случае троянская программа на вашем компьютере может отследить ввод пароля и украсть ключ. Причем не имеет значения, где он физически хранится: на жестком диске, USB-накопителе или в облачном хранилище.
Более надежным способом хранения ключа является смарт-карта — например, УЭК (универсальная электронная карта) или USB-токен. Ключ хранится в чипе карты или токена и наружу не передается — подпись создается самим чипом. Есть риск и в этом случае: если вы забудете извлечь токен из порта или смарт-карту из считывателя, то злоумышленник, взяв под контроль ваш компьютер, сможет подписать вашей подписью свой документ.
Если ваш компьютер не был как следует защищен и вашу подпись украли, то следует немедленно заблокировать сертификат открытого ключа, обратившись в удостоверяющий центр (в случае интернет-банкинга — в банк). Лишь в этом случае вы сможете оспорить подписанный ею документ. Главной проблемой будет обнаружить кражу — чаще всего владелец подписи узнает о компрометации ключа лишь после его использования злоумышленником.
Как обычно, захватывающие дух возможности, появляющиеся при развитии ультрасовременных технологий, сопровождаются новыми рисками. Еще вчера вам нужно было лишь внимательно смотреть, что подписываете, а сегодня вашу подпись могут попросту украсть. И защитой от такого неприятного события будет лишь неукоснительное соблюдение всех возможных мер предосторожности.
Михаил ДЬЯКОВ, .