Правовая и рыночная роль цифровой подписи в электронном бизнесе

Правовая и рыночная роль цифровой подписи в электронном  бизнесе

Безопасность  электронных данных представляет собой  серьезный вопрос. Передача информации при заключении сделок через Internet  должна быть удобной и безопасной. Одним из способов обеспечения безопасной передачи данных является шифрование и кодирование данных, чтобы их могли прочитать только стороны – участники конкретной деловой операции.

Криптография в переводе с греческого означает «тайнопись». Шифрование представляет собой криптографический  метод кодирования данных, которые невозможно прочитать без шифра или ключа. Древние египтяне изобрели иероглифы для сокрытия своих сообщений. А Юлий Цезарь использовал буквенный код для связи с командирами своих легионов. С древних времен техника шифрования значительно продвинулась, и теперь существует целый ряд сложных средств шифрования.

В настоящее время  в электронном бизнесе применяется, главным образом, программное обеспечение  инфраструктуры с открытым ключом PKI (Public Key Infrastructure). Однако в перспективе шифрование будет основываться на криптографии по эллиптической кривой и, в конечном счете, на квантовой вычислительной технике, которая намного опережает все известные до сих пор методы, причем современная криптография для  неё уже устарела.

Шифрование

При шифровании данные по специальным математическим формулам или алгоритмам преобразуются в  кодированное сообщение. Для декодирования  этого сообщения используется ключ, который расшифровывает сообщение, возвращая его в исходное состояние. Ключ (key) представляет собой последовательность электронных сигналов, сохраняемых на жестком диске ПК или передаваемых в виде элементов данных по линиям связи.

Шифрование вводится для выполнения некоторых потребностей электронной  коммерции в безопасности, а именно:

1. аутентификация (опознавание отправителя сообщения);
2. целостность (проверка неизменности, или отсутствия потери информации о закупленных товарах);
3. недопущение отрицания (процедура, препятствующая правдоподобному отрицанию отправителем или поставщиком факта совершения операции);
4. конфиденциальность.

Электронно-цифровые подписи (ЭЦП)

Одним из способов реализации процесса аутентификации сообщений  с открытым ключом является отправка электронно-цифровой подписи (digital signature) с каждым таким сообщением. ЭЦП вводится в конце электронного сообщения.

ЭЦП была впервые предложена в 1976 году Уитфилдом Диффи из Стенфордского  университета. Впервые ссуда под  электронную подпись (на покупку  дома) была выдана в США 25 июля 2000 года. При этом обработка заявки на ссуду  заняла всего три часа, в то время как обработка обычной заявки могла продолжаться до полутора месяцев.

В электронных документах ЭЦП представляет собой набор символов, генерируемый по специальному алгоритму в результате «смешивания» текста документа и  личного кода подписывающего документ лица. Таким образом, электронно-цифровая подпись неразрывно связывает конкретный электронный документ с конкретным лицом, точнее, с одному ему известным кодом. Если изменить что-либо в документе, т.е. заменить в нем хотя бы один символ, то подпись не будет совпадать. Поэтому стойкость к подделке у электронной подписи гораздо выше, чем у обыкновенной.

Технология ЭЦП основана на том, что у каждого пользователя существует пара ключей – секретный (закрытый) и открытый, который знают все. При этом с помощью закрытого ключа можно подписывать документ, а с помощью открытого – проверять подлинность подписи. На самом деле есть ещё одна интересная возможность – зашифрованный открытым ключом документ можно расшифровать, только зная закрытый ключ. Именно это позволяет относить средства ЭЦП к криптографическим и распространять на них соответствующее правовое регулирование.

Если нас двое, и мы обмениваемся документами, то всё просто: мы сгенерировали  ключи, обменялись открытыми ключами  и без всяких посредников подписываем и проверяем подписи под нашей перепиской. Если у меня что-то случилось с ключом, я просто сгенерирую ещё один и вышлю партнеру новый открытый ключ.

Но если участников обмена сотни и тысячи, такой подход не работает. В данном случае реализуется более сложная технология – так называемые сертификаты ЭЦП. Сертификат ЭЦП – это открытый ключ с некоторой дополнительной информацией о его владельце, подписанный еще одним ключом, принадлежащим некоторому центру сертификации (Certificate Authority – CA), которому мы все доверяем. То есть, получая подписанное письмо и сертификат подписи, можно проверить известный получателю ключ Центра и быть уверенным, что подписал письмо именно тот, кто указан в сертификате. В некоторых случаях сертификат может быть отозван. Например, если изменились данные о владельце или у сертификата закончился срок действия (они всегда выдаются на определенный срок), или ключом завладел кто-то другой. Поэтому поддержка списков отозванных сертификатов (Certificate Revocation List) – важнейшая функция CA.

Системы поддержки инфраструктуры открытых ключей

В течение последнего года в России начал формироваться  рынок PKI (Public Key Infrastructure) – систем поддержки инфраструктуры открытых ключей. PKI – это класс систем, предназначенных для автоматизации центров поддержки сертификатов (в терминах Закона – Удостоверяющих центров). В так называемых открытых системах участники не связаны договорными отношениями. Это могут быть розничные сделки в электронных магазинах, публикации официальных документов и оферт в электронном виде и др.

Оферта (от англ. Offer – предложение) – это адресованное одному или нескольким конкретным адресатам предложение о заключении сделки. Одна сторона (оферент) предлагает заключить сделку, другая (акцептант) соглашается. Обычно в Internet применяется публичная оферта – вид оферты, предлагающий заключить сделку на указанных условиях с любым, кто отзовется. Текст такой оферты, подписанный инициатором сделки, размещается на сайте, любому же заинтересованному лицу предлагается акцептовать оферту, т.е. подписать её и указать идентифицирующие его данные. Примеры оферт: договор об оказании Internet-услуг, договор аренды дискового пространства на компьютере хостера, договор купли-продажи, обслуживающий электронную торговлю. Вот здесь то без ЭЦП никак не обойтись.

Другим применением PKI является организация защиты доступа компьютеров и систем.

Представим себе компанию, в которой тысячи сотрудников  работают с некой системой, содержащей критически важную информацию. В этом случае доверять авторизацию через пароли страшно – люди склонны использовать простые пароли, записывать их на бумажках, прикрепленных к мониторам. Кроме того, возможен перехват пароля в момент ввода его с клавиатуры или путем сканирования сети и др. К тому же сама система хранения паролей становится слабым звеном в цепи мер безопасности – у системного администратора появляются слишком широкие возможности.

 Наиболее безопасным  выходом является использование  системы открытых/закрытых ключей, где секретный ключ (аналог пароля) существует в единственном экземпляре у пользователя. Централизованно хранятся только открытые ключи (сертификаты), а при входе в систему в качестве проверки выполняется некоторое действие, возможное только при наличии закрытого ключа – например, расшифровка строки, зашифрованной открытым ключом. (Public Key Infrastructure). Это имеет смысл в основном при использовании специальных устройств – смарт–карт, брелков touch memory, хранящих в себе закрытые ключи и умеющих выполнять соответствующее действие (например, расшифровку поданной на вход строки). Для управления этой системой и используются PKI. А поскольку у пользователя есть секретный ключ и устройство, его хранящее, то этим ключом можно и документы подписывать.

Сейчас на рынке фигурируют три PKI-системы:

Entrust (www.entrust.com, дорогая);

Baltimore (www.baltimore.com, ещё дороже);

Keyon (www.rsasecurity.com, подешевле).

У всех трех цена зависит от количества поддерживаемых рабочих мест (выданных сертификатов) и исчисляется десятками  долларов за место.

Есть на рынке и  пара систем от отечественных разработчиков: «Удостоверяющий центр»  (www.cryptopro.ru/CryptoPro/hroduct5/html, весьма недешевый)  от «КриптоПро» и «КриптоТраст» (www.lancrypto.com/index.php?div=product&id=12, подешевле) от «ЛанКрипто». На данный момент предложение на рынке превышает спрос.

Законодательные основы ЭЦП

В декабре 1999 г. была принята  Директива Европейского сообщества «О правовых основах Сообществ для  использования электронных подписей». Данный документ официально признает, что ЭЦП имеет ту же юридическую силу, что и обыкновенная. Также юридическая сила ЭЦП признана в США.

В России год назад был принят Федеральный закон 1-ФЗ «Об электронно-цифровой подписи» от 10.01.2002. Но пока этот закон  не работает. Кроме массы подводных камней, заложенных в текст закона,  есть причина еще более очевидная: Минсвязи и ФАПСИ (Федеральное агентство правительственной связи и информации) никак не договорятся, кто из них будет лицензирующим органом.

А жизнь идет своим чередом. Она, как обходилась без закона, так и сейчас обходится. Дело в том, что для использования ЭЦП ограниченным и заранее известным кругом участников (в так называемых корпоративных сетях) никакой закон не нужен. Работа возможна на основании Гражданского кодекса, признающего «аналоги собственноручной подписи», и договоров между участниками.

В этом году случилось еще одно приятное событие для пользователей  корпоративных систем ЭЦП. Принят новый  арбитражный кодекс, обязывающий  арбитражные суды принимать электронные аналоги собственноручной подписи наравне с другими доказательствами. И для практики использования ЭЦП - это, значит, пожалуй, больше чем закон.

Заключение

Эпоха романтической  криптографии проходит. Скоро всякую экзотичность потеряют и ЭЦП с  электронным документооборотом, и мы будем пользоваться ими, не задумываясь, а брелок с персональным сертификатом станет таким же привычным, как кредитка.