Электронная (цифровая) подпись: история, использование и применение. Электронная цифровая подпись (ЭЦП) – что это такое, порядок получения и регистрации для физических и юридических лиц Основные этапы реализации электронной цифровой подписи

Цифровая подпись

Электро́нная цифрова́я по́дпись (ЭЦП )- реквизит электронного документа , предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.

Общая схема

Схема электронной подписи обычно включает в себя:

  • алгоритм генерации ключевых пар пользователя;
  • функцию вычисления подписи;
  • функцию проверки подписи.

Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. В зависимости от алгоритма функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным. Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.
В настоящее время детерминированные схемы практически не используются. Даже в изначально детерминированные алгоритмы сейчас внесены модификации, превращающие их в вероятностные (так, в алгоритм подписи PKCS#1 добавила предварительное преобразование данных (OAEP), включающее в себя, среди прочего, зашумление).

Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.

Поскольку подписываемые документы - переменной (и достаточно большой) длины, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш . Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.

Алгоритмы ЭЦП делятся на два больших класса: обычные цифровые подписи и цифровые подписи с восстановлением документа. Обычные цифровые подписи необходимо пристыковывать к подписываемому документу. К этому классу относятся, например, алгоритмы, основанные на эллиптических кривых (ГОСТ Р 34.10-2001, ДСТУ 4145-2002). Цифровые подписи с восстановлением документа содержат в себе подписываемый документ: в процессе проверки подписи автоматически вычисляется и тело документа. К этому классу относится один из самых популярных алгоритмов - код аутентичности сообщения, несмотря на схожесть решаемых задач (обеспечение целостности документа и неотказуемости авторства). Алгоритмы ЭЦП относятся к классу асимметричных алгоритмов, в то время как коды аутентичности вычисляются по симметричным схемам.

Защищённость

Цифровая подпись обеспечивает:

  • Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
  • Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.
  • Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
  • Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;
  • Организацию юридически значимого электронного документооборота.

Возможные атаки на ЭЦП таковы…

Подделка подписи

Получение фальшивой подписи, не имея секретного ключа - задача практически нерешаемая даже для очень слабых шифров и хэшей.

Подделка документа (коллизия первого рода)

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

  • Документ представляет из себя осмысленный текст.
  • Текст документа оформлен по установленной форме.
  • Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

  • Случайный набор байт должен подойти под сложно структурированный формат файла.
  • То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
  • Текст должен быть осмысленным, грамотным и соответствующий теме документа.

Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.

Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма - килобайты.

Получение двух документов с одинаковой подписью (коллизия второго рода)

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования

Социальные атаки

Социальные атаки направлены на «слабое звено» криптосистемы - человека.

  • Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
  • Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.
  • Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

Алгоритмы ЭЦП

  • Американские стандарты электронной цифровой подписи: ECDSA
  • Российские стандарты электронной цифровой подписи: ГОСТ Р 34.10-94 (в настоящее время не действует), ГОСТ Р 34.10-2001
  • Украинский стандарт электронной цифровой подписи: ДСТУ 4145-2002
  • Стандарт RSA
  • схема Шнорра

Управление ключами

Юридические аспекты

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр . Правовые условия использования электронной цифровой подписи в электронных документах регламентирует ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 10.01.2002 N 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

Использование ЭЦП в России

После становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного ДОУ между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам Российской Федерации от 2 апреля 2002 г. N БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи» . Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи определяет общие принципы организации информационного обмена при представлении налогоплательщиками налоговой декларации в электронном виде по телекоммуникационным каналам связи.

В Законе РФ от 10.01.2002 № 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» прописаны условия использования электронной цифровой подписи, особенности ее использования в сферах государственоого управления и в корпоративной информационной системе. Благодаря электронной цифровой подписи теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли» , обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.

В Москве в рамках реализации ГЦП (Городской целевой программы) "Электронная Москва" был образован Уполномоченный удостоверяющий Центр ОАО "Электронная Москва" (http://www.uc-em.ru) для решения задач координации работ и привлечения инвестиций при выполнении Городской целевой программы.

Использование ЭЦП в других странах

Система электронных подписей широко используется в Эстонской Республике , где введена программа ID-карт, которыми снабжены 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент - Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Все это осуществляется через центральный гражданский портал Eesti.ee . Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии.

Примечания

Федеральный закон №149 - ФЗ от 27 июля 2006г. "Об информации, информационных технологиях и о защите информации" - http://uc-em.ru/download/02.doc

Федеральный закон № 126 - ФЗ от 07 июля 2003г. "О связи" - http://uc-em.ru/download/03.doc

Постановление Правительства РФ №319 от 30 июня 2004г. "Об утверждении Положения о Федеральном агентстве по информационным технологиям" - http://uc-em.ru/download/05.doc

Постановление Правительства Москвы №495 - ПП от 19 июня 2007г. "Об утверждении Положения о Головном удостоверяющем центре города Москвы" - http://uc-em.ru/download/06.doc

Постановление Правительства Москвы №249 - ПП от 10 апреля 2007г. "Об утверждении порядка работы органов исполнительной власти города Москвы, государственных учреждений и государственных унитарных предприятий города Москвы с электронными документами, подписанными электронной цифровой подписью" - http://uc-em.ru/download/07.doc

Постановление Правительства Москвы №997 - ПП от 19 декабря 2006г. "Об утверждении порядка использования электронной цифровой подписи органами исполнительной власти города Москвы и государственными заказчиками при размещении государственного заказа города Москвы" - http://uc-em.ru/download/08.doc

Постановление Правительства Москвы №544 - ПП "Об утверждении Положения о Системе уполномоченных удостоверяющих центров органов исполнительной власти города Москвы" - http://uc-em.ru/download/09.doc

Постановление Правительства Москвы №450 - ПП от 6 июля 2004г. "О дополнительных мерах по обеспечению эффективного использования бюджетных средств при формировании, размещении и исполнении городского государственного заказа и создании Единого реестра контрактов и торгов города Москвы" - http://uc-em.ru/download/10.doc

Постановление Правительства Москвы №299-ПП от 11 мая 2004г. "Об утверждении Положения о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти города Москвы" - http://uc-em.ru/download/11.doc

Постановление Правительства Москвы №1079-ПП от 30 декабря 2003г. "Об уполномоченном органе в области использования электронной цифровой подписи в информационных системах органов исполнительной власти города Москвы" - http://uc-em.ru/download/12.doc

Об определении уполномоченных удостоверяющих центров - http://uc-em.ru/download/14.doc

Ссылки

  • www.ECM-Journal.ru - Блоги и статьи. Просто об электронном документообороте

См. также

  • Обычная подпись
  • Быстрая цифровая подпись

Wikimedia Foundation . 2010 .

Смотреть что такое "Цифровая подпись" в других словарях:

    цифровая подпись - ЦПД Данные, добавленные к блоку данных, или криптографическое преобразование блока данных, которое позволяет получателю данных удостовериться в происхождении и целостности блока данных и обеспечить защиту от мошенничества, например, получателем.… … Справочник технического переводчика

    цифровая подпись - 3.25 цифровая подпись (digital signature): Криптографическое преобразование, которое, будучи связано с элементом данных, обеспечивает услуги по аутентификации источника, целостности данных и неотказуемости подписавшей стороны. … … Словарь-справочник терминов нормативно-технической документации - числовое значение, вычисляемое по тексту сообщения с помощью секретного ключа отправителя, а проверяемое открытым ключом, соответствующим секретному ключу отправителя. Удостоверяет, что документ исходит от того лица, чья цифровая подпись… … Толковый словарь по информационному обществу и новой экономике

    Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии. Электронная подпись (ЭП) информация в электронной форме, присоединенная к другой информации в электронной… … Википедия

    - (ЭЦП, цифровая подпись, электронная подпись, англ. digital signature), криптографическое средство, аналог подписи, позволяющий подтвердить подлинность электронного документа, созданного с помощью компьютера (см. КОМПЬЮТЕР). ЭЦП представляет… … Энциклопедический словарь, О. Н. Герман, Ю. В. Нестеренко. Учебник создан в соответствии с Федеральным государственным образовательным стандартом по направлениям подготовки `Информационная безопасность` и `Математика` (квалификация `бакалавр`). В…

  • Директор информационной службы №07/2017 , Открытые системы. «Директор информационной службы» (CIO.ru) – журнал для менеджеров, отвечающих за идеологию, стратегию и реализацию информационной поддержки бизнеса, руководителей ИТ-подразделений предприятий… электронная книга

ЭЦП для физических лиц появилась сравнительно недавно и еще не пользуется такой популярностью, как в предпринимательской сфере. Что представляет собой ЭЦП для физических лиц, какие возможности дает, куда обращаться для ее получения — обо всем этом пойдет речь в данной статье.

Электронно-цифровая подпись — что это такое?

Порядок использования ЭЦП при подписании документов регламентирован Законом «Об электронной подписи» № 63-ФЗ от 06.04.2011. Электронная подпись — это аналог подписи физлица, обладающая следующими свойствами:

  • является уникальной;
  • защищена от копирования;
  • указывает на лицо, которое подписало документ.

С технической точки зрения ЭЦП формируется путем шифрования информации, содержащейся в документе, и представляет собой уникальную последовательность символов. Она либо находится в теле подписанного файла, либо прилагается к нему. То есть внешнее выражение электронной подписи не имеет ничего общего с подписью рукописной. При том, что назначение подписи и того и другого вида одинаково — удостоверение подлинности документа.

Закон называет 3 вида электронной подписи:

  1. простая — служит для подтверждения того, что документ исходит от определенного лица;
  2. усиленная неквалифицированная — не только указывает на лицо, ее поставившее, но и подтверждает, что после ее проставления каких-либо изменений в документ не вносилось;
  3. усиленная квалифицированная — обладает характеристиками неквалифицированной ЭЦП, но выдается только в специализированных центрах, имеющих аккредитацию от Минкомсвязи.

Именно квалифицированная подпись, согласно закону, придает документу полную юридическую силу (то есть она в полной мере заменяет рукописную подпись, а также печать организации). Она обязательна, к примеру, при сдаче электронной отчетности в ИФНС, ПФР и другие госорганы. Иные виды ЭЦП могут применяться в хозяйственных отношениях, если соглашением между сторонами предусмотрено их использование.

Для чего нужна ЭЦП физическим лицам?

Электронная цифровая подпись на сегодняшний день в большей мере используется в работе юридических лиц. Особенно ее применение актуально для организаций, имеющих большое количество подразделений или заключающих сделки с контрагентами, находящимися от них на значительном расстоянии. Однако с переходом многих видов деятельности в виртуальное пространство зачастую и у граждан возникает потребность в получении ЭЦП.

Не знаете свои права?

Перечислим основные сферы, в которых и для физических лиц ЭЦП пригодится:

  1. Получение государственных услуг через интернет. Обладание ЭЦП позволит в полном объеме воспользоваться сервисами портала гос. услуг (например, отследить санкции ГИБДД, оформить анкету для получения паспорта, направить декларацию в ИФНС и др.).
  2. Подача заявления для поступления в вуз. С каждым годом все больше учебных заведений вводит в практику прием заявлений от иногородних абитуриентов, заверенных с помощью электронной подписи.
  3. В электронном виде можно подать в налоговый орган заявление, а также документы для открытия юр. лица или ИП.
  4. Использование ЭЦП позволяет официально оформлять документы (например, договор о выполнении работы) для физлиц, работающих на дому и получающих заказы через сеть Интернет.
  5. При использовании электронной подписи станет возможным участие в электронных торгах (часто на них распродается собственность предприятий, объявленных банкротами).
  6. Возможна подача в электронном виде заявки о выдаче патента на изобретение.

Как и где получить электронную цифровую подпись?

Для того чтоб получить ЭЦП, нужно обратиться в учреждение, называемое удостоверяющим центром. Список аккредитованных центров и их адреса можно посмотреть на сайте Минкомсвязи. Эти учреждения есть практически во всех крупных городах.

Хотя если говорить технически правильно, то центром выдается не сама подпись, а программные средства для ее создания. С помощью этих средств владелец получает возможность каждый электронный документ подписывать уникальной ЭЦП (См. Как установить ЭЦП на компьютер и подписать документ (Word, pdf)? ).

Для использования подписи выдается 2 ключа: закрытый (тайный) и открытый. Они представляют собой кодированную информацию определенного объема. Закрытый ключ используется для подписания документа, а открытый — для проверки подписи (этот ключ его владелец предоставляет получателям электронных писем). Права владельца открытого ключа подтверждаются сертификатом, который выдается удостоверяющим центром.

При обращении за получением ЭЦП гражданину понадобится пакет документов, конкретный перечень которых может различаться в зависимости от удостоверяющего центра. Наиболее часто требуются следующие бумаги:

  • заявка на выдачу ЭЦП;
  • свидетельство о присвоении ИНН;
  • паспорт;
  • пенсионное свидетельство (СНИЛС);
  • документ об оплате услуг центра.

В большинство центров заявку можно подать через сеть Интернет. Как правило, процесс изготовления электронной подписи занимает не более нескольких дней.

Это реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи. Электронная цифровая подпись (ЭЦП) позволяет подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации или данных, (наличие или отсутствие искажений информации) в электронном документе с момента его подписания.

По сути, электронная подпись является аналогом собственноручной подписи владельца. Поэтому ее можно использовать при подписании электронных документов любых уровней.

У каждого владельца электронной подписи должен быть сертификат. Фактически этот документ подтверждает принадлежность открытого ключа ЭП владельцу сертификата. Такая бумага выдается удостоверяющими центрами или их доверенными представителями.

Как и где получить сертификат ЭЦП?

Для получения сертификата электронной подписи достаточно зарегистрироваться на сайте удостоверяющего центра. Далее указать правовой статус организации, для которой необходимо приобрести ЭП, регион и точку выдачи сертификата, внести сведения о своей организации. После завершения оформления, пользователю будет предоставлен в цифровом виде акт, договор, счет и перечень требуемых документов. Останется только отправиться в указанный пункт выдачи ЭЦП, оплатить счет, предоставить требуемый комплект документов и получить подпись.

Зарегистрироваться можно на любом сайте удостоверяющего центра, в сети Интернет они представлены во множестве.

В чем удобства применения электронной подписи?

Если говорить о физических лицах, то в этом случае она удобна тем, что позволяет удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.

Юридическим лицам ЭЦП открывает больше возможностей. Они могут участвовать в электронных торгах, организовывать юридически значимый электронный документооборот и сдачу электронной отчетности в контролирующие органы власти.

Более того, по данным удостоверяющих центров, имея квалифицированную электронную подпись можно решать повседневные задачи без визита в госорганы и без предъявления паспорта. Достаточно зарегистрироваться на портале gosuslugi.ru, где пользователю откроется широкий спектр услуг: от замены паспорта до подачи налоговой декларации, оплаты штрафов ГИБДД и многое другое.

Виды ЭЦП и их различия

Согласно Федеральному закону № 63-ФЗ «Об электронной подписи», различают несколько видов ЭЦП:

  • Простая электронная подпись. Такая подпись благодаря использованию кодов, паролей и иных средств подтверждает факт формирования ЭП ее владельцем.
  • Усиленная неквалифицированная подпись. Ее получают в результате криптографического преобразования информации с использованием закрытого ключа подписи. Усиленная неквалифицированная ЭП позволяет определить лицо, подписавшее электронный документ, а также обнаружить факт внесения изменений в документ после его электронного подписания.
  • Усиленная квалифицированная подпись. Во многом дублирует предыдущий вид подписи, но ее преимущество в том, что для ее создания и проверки используется криптозащита, сертифицированная Федеральной службой безопасности РФ.

Более того, сертификаты квалифицированной подписи выдаются сугубо аккредитованными удостоверяющими центрами.

Если сравнивать преимущества последней и двух предыдущих подписей, то перевес однозначно в сторону последней. Согласно упомянутому ФЗ № 63 «Об ЭП», электронный документ, подписанный простой или усиленной неквалифицированной ЭП, признается равнозначным документу на бумажном носителе, но только при одном условии: если участники электронного взаимодействия заключили между собой соответствующее соглашение.

Усиленная квалифицированная подпись на электронном документе является стопроцентной гарантией собственноручной подписи и печати на бумажном документе. Так, что контролирующие органы вроде ФНС, ПФР, ФСС признают юридическую силу электронного документа, подписанного именно усиленной квалифицированной подписью.

Цифровая подпись

Электро́нная цифрова́я по́дпись (ЭЦП )- реквизит электронного документа , предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.

Общая схема

Схема электронной подписи обычно включает в себя:

  • алгоритм генерации ключевых пар пользователя;
  • функцию вычисления подписи;
  • функцию проверки подписи.

Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. В зависимости от алгоритма функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным. Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.
В настоящее время детерминированные схемы практически не используются. Даже в изначально детерминированные алгоритмы сейчас внесены модификации, превращающие их в вероятностные (так, в алгоритм подписи PKCS#1 добавила предварительное преобразование данных (OAEP), включающее в себя, среди прочего, зашумление).

Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.

Поскольку подписываемые документы - переменной (и достаточно большой) длины, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш . Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.

Алгоритмы ЭЦП делятся на два больших класса: обычные цифровые подписи и цифровые подписи с восстановлением документа. Обычные цифровые подписи необходимо пристыковывать к подписываемому документу. К этому классу относятся, например, алгоритмы, основанные на эллиптических кривых (ГОСТ Р 34.10-2001, ДСТУ 4145-2002). Цифровые подписи с восстановлением документа содержат в себе подписываемый документ: в процессе проверки подписи автоматически вычисляется и тело документа. К этому классу относится один из самых популярных алгоритмов - код аутентичности сообщения, несмотря на схожесть решаемых задач (обеспечение целостности документа и неотказуемости авторства). Алгоритмы ЭЦП относятся к классу асимметричных алгоритмов, в то время как коды аутентичности вычисляются по симметричным схемам.

Защищённость

Цифровая подпись обеспечивает:

  • Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
  • Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.
  • Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
  • Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;
  • Организацию юридически значимого электронного документооборота.

Возможные атаки на ЭЦП таковы…

Подделка подписи

Получение фальшивой подписи, не имея секретного ключа - задача практически нерешаемая даже для очень слабых шифров и хэшей.

Подделка документа (коллизия первого рода)

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

  • Документ представляет из себя осмысленный текст.
  • Текст документа оформлен по установленной форме.
  • Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

  • Случайный набор байт должен подойти под сложно структурированный формат файла.
  • То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
  • Текст должен быть осмысленным, грамотным и соответствующий теме документа.

Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.

Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма - килобайты.

Получение двух документов с одинаковой подписью (коллизия второго рода)

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования

Социальные атаки

Социальные атаки направлены на «слабое звено» криптосистемы - человека.

  • Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
  • Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.
  • Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

Алгоритмы ЭЦП

  • Американские стандарты электронной цифровой подписи: ECDSA
  • Российские стандарты электронной цифровой подписи: ГОСТ Р 34.10-94 (в настоящее время не действует), ГОСТ Р 34.10-2001
  • Украинский стандарт электронной цифровой подписи: ДСТУ 4145-2002
  • Стандарт RSA
  • схема Шнорра

Управление ключами

Юридические аспекты

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр . Правовые условия использования электронной цифровой подписи в электронных документах регламентирует ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 10.01.2002 N 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

Использование ЭЦП в России

После становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного ДОУ между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам Российской Федерации от 2 апреля 2002 г. N БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи» . Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи определяет общие принципы организации информационного обмена при представлении налогоплательщиками налоговой декларации в электронном виде по телекоммуникационным каналам связи.

В Законе РФ от 10.01.2002 № 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» прописаны условия использования электронной цифровой подписи, особенности ее использования в сферах государственоого управления и в корпоративной информационной системе. Благодаря электронной цифровой подписи теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли» , обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.

В Москве в рамках реализации ГЦП (Городской целевой программы) "Электронная Москва" был образован Уполномоченный удостоверяющий Центр ОАО "Электронная Москва" (http://www.uc-em.ru) для решения задач координации работ и привлечения инвестиций при выполнении Городской целевой программы.

Использование ЭЦП в других странах

Система электронных подписей широко используется в Эстонской Республике , где введена программа ID-карт, которыми снабжены 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент - Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Все это осуществляется через центральный гражданский портал Eesti.ee . Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии.

Примечания

Федеральный закон №149 - ФЗ от 27 июля 2006г. "Об информации, информационных технологиях и о защите информации" - http://uc-em.ru/download/02.doc

Федеральный закон № 126 - ФЗ от 07 июля 2003г. "О связи" - http://uc-em.ru/download/03.doc

Постановление Правительства РФ №319 от 30 июня 2004г. "Об утверждении Положения о Федеральном агентстве по информационным технологиям" - http://uc-em.ru/download/05.doc

Постановление Правительства Москвы №495 - ПП от 19 июня 2007г. "Об утверждении Положения о Головном удостоверяющем центре города Москвы" - http://uc-em.ru/download/06.doc

Постановление Правительства Москвы №249 - ПП от 10 апреля 2007г. "Об утверждении порядка работы органов исполнительной власти города Москвы, государственных учреждений и государственных унитарных предприятий города Москвы с электронными документами, подписанными электронной цифровой подписью" - http://uc-em.ru/download/07.doc

Постановление Правительства Москвы №997 - ПП от 19 декабря 2006г. "Об утверждении порядка использования электронной цифровой подписи органами исполнительной власти города Москвы и государственными заказчиками при размещении государственного заказа города Москвы" - http://uc-em.ru/download/08.doc

Постановление Правительства Москвы №544 - ПП "Об утверждении Положения о Системе уполномоченных удостоверяющих центров органов исполнительной власти города Москвы" - http://uc-em.ru/download/09.doc

Постановление Правительства Москвы №450 - ПП от 6 июля 2004г. "О дополнительных мерах по обеспечению эффективного использования бюджетных средств при формировании, размещении и исполнении городского государственного заказа и создании Единого реестра контрактов и торгов города Москвы" - http://uc-em.ru/download/10.doc

Постановление Правительства Москвы №299-ПП от 11 мая 2004г. "Об утверждении Положения о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти города Москвы" - http://uc-em.ru/download/11.doc

Постановление Правительства Москвы №1079-ПП от 30 декабря 2003г. "Об уполномоченном органе в области использования электронной цифровой подписи в информационных системах органов исполнительной власти города Москвы" - http://uc-em.ru/download/12.doc

Об определении уполномоченных удостоверяющих центров - http://uc-em.ru/download/14.doc

Ссылки

  • www.ECM-Journal.ru - Блоги и статьи. Просто об электронном документообороте

См. также

  • Обычная подпись
  • Быстрая цифровая подпись

Wikimedia Foundation . 2010 .

  • Цифровая пропасть
  • Цифран

Смотреть что такое "Цифровая подпись" в других словарях:

    цифровая подпись - ЦПД Данные, добавленные к блоку данных, или криптографическое преобразование блока данных, которое позволяет получателю данных удостовериться в происхождении и целостности блока данных и обеспечить защиту от мошенничества, например, получателем.… … Справочник технического переводчика

    цифровая подпись - 3.25 цифровая подпись (digital signature): Криптографическое преобразование, которое, будучи связано с элементом данных, обеспечивает услуги по аутентификации источника, целостности данных и неотказуемости подписавшей стороны. … … Словарь-справочник терминов нормативно-технической документации - числовое значение, вычисляемое по тексту сообщения с помощью секретного ключа отправителя, а проверяемое открытым ключом, соответствующим секретному ключу отправителя. Удостоверяет, что документ исходит от того лица, чья цифровая подпись… … Толковый словарь по информационному обществу и новой экономике

    Электронная цифровая подпись - Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии. Электронная подпись (ЭП) информация в электронной форме, присоединенная к другой информации в электронной… … Википедия

    ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ - (ЭЦП, цифровая подпись, электронная подпись, англ. digital signature), криптографическое средство, аналог подписи, позволяющий подтвердить подлинность электронного документа, созданного с помощью компьютера (см. КОМПЬЮТЕР). ЭЦП представляет… … Энциклопедический словарь, О. Н. Герман, Ю. В. Нестеренко. Учебник создан в соответствии с Федеральным государственным образовательным стандартом по направлениям подготовки `Информационная безопасность` и `Математика` (квалификация `бакалавр`). В…

  • Директор информационной службы №07/2017 , Открытые системы. «Директор информационной службы» (CIO.ru) – журнал для менеджеров, отвечающих за идеологию, стратегию и реализацию информационной поддержки бизнеса, руководителей ИТ-подразделений предприятий… Купить за 629 руб электронная книга

Электронная цифровая подпись сейчас на слуху - многие современные компании потихоньку переходят на электронный документооборот. Да и в повседневной жизни ты наверняка сталкивался с этой штукой. Если в двух словах, суть ЭЦП очень проста: есть удостоверяющий центр, есть генератор ключей, еще немного магии, и вуаля - все документы подписаны. Осталось разобраться, что же за магия позволяет цифровой подписи работать.

Roadmap

Это пятый урок из цикла «Погружение в крипту». Все уроки цикла в хронологическом порядке:

1. Генерация ключей

Причина стойкости RSA кроется в сложности факторизации больших чисел. Другими словами, перебором очень трудно подобрать такие простые числа, которые в произведении дают модуль n. Ключи генерируются одинаково для подписи и для шифрования.


Когда ключи сгенерированы, можно приступить к вычислению электронной подписи.

2. Вычисление электронной подписи


3. Проверка электронной подписи


RSA, как известно, собирается уходить на пенсию, потому что вычислительные мощности растут не по дням, а по часам. Недалек тот день, когда 1024-битный ключ RSA можно будет подобрать за считаные минуты. Впрочем, о квантовых компьютерах мы поговорим в следующий раз.

В общем, не стоит полагаться на стойкость этой схемы подписи RSA, особенно с такими «криптостойкими» ключами, как в нашем примере.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!