Всегодняшних реалиях, связанных с повсеместным развитием информационных технологий, широкое распространение получают информационные системы, использующие в технологических процессах механизмы электронных подписей. При этом на практике специалисты испытывают массу затруднений, связанных с применением различных ее видов. В том, что такое электронная подпись, где и как она применяется, мы и попробуем разобраться в данной статье.
При разработке квалифицированных сертификатов использовались не только положения Закона о защите закона о персональных данных, но и другие законы в этом случае. При необходимости добавляются специальные атрибуты с учетом целей использования сертификата. Он подчеркнул, что помимо личного идентификационного кода не было другого особого атрибута, который теперь будет закреплен в законодательстве и из которого он будет однозначно идентифицироваться. Владельцы сертификатов могут использовать их на порталах государственной службы государственных органов, поэтому однозначно идентифицируемый человек как персональный код является просто обязательным.
Константин Саматов
Начальник отдела по защите информации ТФОМС
Свердловской области, член АРСИБ, преподаватель
информационной безопасности УРТК им. А.С. Попова
Что такое электронная подпись?
Согласно ГОСТ Р 7.0.8–2013: Подлинный документ – документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом документе или выявленные иным путем, подтверждают достоверность его происхождения. Подписание (документа) – заверение документа собственноручной подписью должностного или физического лица по установленной форме. Подпись – реквизит, содержащий собственноручную роспись должностного или физического лица.
Законодательство Литвы предусматривает, что личность человека можно определить и использовать имя, адрес и личный идентификационный номер человека, но с использованием только имя человека, однозначно и безошибочно идентифицировать лицо, это невозможно, потому что есть много людей с таким же именем. Таким образом, только один, а не вводить в заблуждение персональные данные персональный код, использование квалифицированного сертификата по своей сути киберпространства эквивалентного паспорта, т. у. по своему смыслу идентичен материальному документу - личный паспорт или документ, удостоверяющий личность.
Полагаю, что такое непростое определение как раз и затрудняет правильное восприятие электронной подписи. Вообще электронную подпись следует рассматривать в трех аспектах:
- информация, которая присоединена к другой информации или иным образом связана с ней и на основе которой можно определить автора, т.е. непосредственно то лицо, которое подписало данный документ;
- реквизит документа, т.е. некая обязательная часть документа, т.к. именно подпись делает из электронного сообщения документ;
- аналог собственноручной подписи.
Реквизит документа – это элемент оформления документа (ГОСТ Р 7.0.8–2013). Правила оформления и порядок расположения реквизитов документов содержатся в ГОСТ Р 6.30–2003 "Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов".
Среди прочего, он отметил, что текущий Личный закон о защите данных, статья 7 не запрещает использование личного идентификационного номера в государственных регистрах и информационных систем, если они легализованы в соответствии с законодательством. Закон устанавливает запрет на публикацию личного кода и сбор и использование личного кода для целей прямого маркетинга. Он отметил, что выдача квалифицированных цифровых сертификатов с целью подписания электронных документов и электронных писем не раскрывает эти сертификаты, а также не раскрывает личные коды.
Согласно ГОСТ Р 7.0.8–2013:
Подлинный документ – документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом документе или выявленные иным путем, подтверждают достоверность его происхождения.
Подписание (документа) – заверение документа собственноручной подписью должностного или физического лица по установленной форме.
Сам владелец сертификата принимает решение о том, для чего будет использоваться квалифицированный сертификат. Ответчик потребовал отклонить жалобу как необоснованную в ответ на жалобу. Эти положения позволяют сделать вывод о том, что персональный идентификационный код является одним из основных персональных данных, позволяющих идентифицировать человека. Отмечая, что Закон об электронной подписи сертификат определяются как электронная аттестация, которая связывает данные проверки подписи к подписавшему и подтверждает или позволяет идентифицировать подписавший и квалификационный сертификат - как свидетельство составляется правительством или его уполномоченный орган отвечает требования поставщика сертификационных услуг.
Подпись – реквизит, содержащий собственноручную роспись должностного или физического лица.
Говоря об аналогах собственноручной подписи, коим, в частности, является электронная подпись, следует отметить, что аналоги были известны еще со времени принятия первой редакции Гражданского кодекса Российской Федерации (ГК РФ), т.е. с 1995 г. Так, ч. 2 ст. 160 ГК РФ предусматривает использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной подписи либо иного аналога собственноручной подписи – в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.
Поэтому было сделано заключение о том, что личность подписавшего определяется путем ссылки на документы, удостоверяющие личность, которые должны включать персональный идентификационный номер, до заключения квалифицированного сертификата. Третья заинтересованная сторона жаловалась на жалобу в ответ на жалобу.
Комитет указал, что электронная подпись должна в некоторых случаях подтверждать подлинность данных, которые были подписаны, и идентифицировать подписавшего. Действительная личность подписывающего лица осуществляется через сертификат электронной подписи. Электронная подпись должна не только идентифицировать подписавшего, но и подтвердить личность человека. Он отметил, что это не в документах, удостоверяющих личность киберпространстве устанавливает Закон Паспорт, определение того, что паспорт является литовский документ, удостоверяющий личность гражданина, подтверждающие его личность, и личный закон удостоверение личности, устанавливая удостоверение личности является документом, Литовская личность гражданина, подтверждающий его личность и национальность.
Указанный принцип был впоследствии заимствован Федеральным законом от 27.07.06 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и, конечно же, Федеральным законом от 06.04.2011 № 63-ФЗ "Об электронной подписи".
В соответствии с ч. 4 статьи 11 Федерального закона от 27.07.06 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" в целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами.
Как в паспорте гражданина Литвы, так и в удостоверении личности персональный идентификационный номер гражданина указывается в обязательном порядке. Таким образом, сертификат в электронном пространстве и гражданин литовского паспорта или удостоверения личности могут рассматриваться как эквивалентные в некотором смысле, поскольку они не идентичны в их заявке, но все должны выполнять ту же функцию - разрешить идентификацию человека. Он отметил, что это персональный код, который является одним из основных персональных данных, который позволяет напрямую идентифицировать человека и не идентифицировать персональный идентификационный код, его можно определить, используя только несколько типов персональных данных.
Таким образом, изначально характерный для сферы частных (гражданских) правоотношений принцип возможности использования аналога собственноручной подписи перекочевал в сферу публичных правоотношений, что и явилось, по мнению автора, толчком к началу широкого применения электронной подписи в практике.
Рассматривая вопрос электронной подписи и ее практического применения, нельзя не затронуть вниманием виды электронной подписи. Федеральный закон "Об электронной подписи" выделяет два вида – простая электронная подпись и усиленная электронная подпись. Последняя, в свою очередь, подразделяется на два типа: неквалифицированная электронная подпись и квалифицированная электронная подпись.
Утверждается, что персональный код является основным типом персональных данных, который позволяет напрямую идентифицировать человека. В соответствии с пунктом 4 части 15 статьи 2 Закона об электронной подписи квалифицированный сертификат должен также указывать особые атрибуты подписавшего, если это необходимо с учетом предполагаемых целей использования сертификата. Поэтому Комитет считает, что закон не исключает норму электронной подписи, который используется как для аутентификации подписи и идентификации подписавшего, сертификат, используемый для персонального идентификационного номера, который будет личность подписывающего.
2. Усиленная электронная подпись:
- Не
- получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- позволяет определить лицо, подписавшее электронный документ;
- позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- создается с использованием средств электронной подписи.
- Квалифицированная электронная подпись:
- соответствует всем признакам неквалифицированной электронной подписи;
- ключ проверки электронной подписи указан в квалифицированном сертификате, т.е. сертификате, выданном аккредитованным удостоверяющим центром;
- для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом "Об электронной подписи".
Важно понимать, что усиленная электронная подпись отличается от простой использованием криптографических алгоритмов, а неквалифицированная от квалифицированной тем, что последняя может быть выдана только организацией (удостоверяющим центром), имеющей соответствующую аккредитацию.
Было подчеркнуто, что даже в документах, не подписанных в электронном пространстве, часто указываются имя, фамилия и личный идентификационный номер подписавшего лица, если неизвестны другие личные данные, которые позволили бы идентифицировать человека. Подписание документов в киберпространстве электронной подписи, личный идентификационный номер обозначение лица, подписывающего сертификат позволяет автоматизированным способом и однозначно, что документ подписан именно тот человек, который указан в качестве содержания документа подписавшего.
Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью:
1. Квалифицированная усиленная электронная подпись считается полноценным аналогом собственноручной подписи по умолчанию, т.е. во всех случаях, кроме случая, когда в законодательстве предусмотрено составление документа исключительно на бумажном носителе. Надо сказать, что, например, автору такие случаи неизвестны. Даже "консервативное" бухгалтерское и налоговое законодательство благодаря внесенным в него в последние годы изменениям позволяет использовать усиленную квалифицированную электронную подпись как для текущей бухгалтерской (налоговой) документации, так и для архивной.
Комитет признал, что подписавший должен иметь возможность в некоторых случаях использовать квалифицированный сертификат, согласно которому лицо, подписавшее код не будет доступен другим лицам или такой доступ будет ограничен для того, чтобы защитить человека, который подписывает законные интересы обработки персональных данных. Такие требования указаны в Сертифицированных Правительством Литовской Республики Сертифицированных Сертификатах Сертифицированных Сертифицированных Требований Сертифицированных Услуг, которые включают требования к системе внутреннего администрирования поставщика услуг, деятельности поставщика услуг и т.д. том.
2. Простая или усиленная неквалифицированная электронная подпись будут являться полноценным аналогом собственноручной только в случаях, прямо предусмотренных в действующем законодательстве, либо если есть соглашение сторон, обменивающихся электронными документами. Опять же, следует отметить, что автору неизвестны нормативно-правовые акты, устанавливающие условия использования простой либо неквалифицированной усиленной электронных подписей, поэтому на практике юридическим гарантом признания указанных видов электронных подписей полноценным аналогом собственноручной подписи служит соглашение между участниками электронного взаимодействия.
Третье заинтересованное лицо в ответ на жалобу Министерства внутренних дел Литовской Республики обратилось в Службу регистрации граждан с просьбой разрешить дело по усмотрению суда. Обслуживание населения говорит, что в настоящее время личных удостоверений личности, наличие квалифицированных сертификатов регистрируются и анализируется персональный идентификационный номер разбеге записи практической ситуации, и было установлено, что неквалифицированный сертификат лица кода будет однозначной личной проблемой идентификации.
На практике бывают ситуации, когда два человека имеют одинаковые имена и одинаковые даты рождения, и только разные персональные коды позволяют различать таких лиц. Согласованный, что, подписав бумагу, письменные документы, подпись реквизита не требуется указывать персональный идентификационный номер персональный код подтверждения, но на практике многие жизненные ситуации всегда требуется предоставить документ, удостоверяющий личность, который проверяется на лице изображения, имя человека и личный идентификационный номер, для идентификации личности.
На этом рассмотрение того, что такое электронная подпись, какие бывают ее виды и каковы условия признания электронной подписи юридически значимым аналогом собственноручной подписи, можно считать законченным. Перейдем к рассмотрению вопросов ее применения.
Практические аспекты применения различных видов электронных подписей
Согласно ст. 2 Федерального закона от 06.04.2011 № 63-ФЗ "Об электронной подписи" электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Получатель электронного документа, подписанного в электронном пространстве, также должен удостовериться, что подписывающим является тот, кто имеет право подписывать тот или иной документ. Идентификация подписавшего лица также является важным электронным банкинг с использованием электронной подписи лица, подписавшим в электронном виде, подписанный документ, который осуществляются банковскими операциями, электронный документ, подписанный получателем должен убедиться, что нижеподписавшийся действительно человек, который имеет право управлять конкретным счетом в банке.
1. Аутентификация и авторизация пользователей информационных систем. Для реализации данных функций подходят все виды электронной подписи, начиная с простой. Вообще исходя из формального определения простой электронной подписи, под ней можно понимать авторизацию посредством логина и пароля. В межведомственных информационных системах, в частности в СМЭВ (система межведомственного электронного взаимодействия), для аутентификации используются квалифицированные усиленные электронные подписи.
В соответствии с законом на запрет на публикацию личного кода публично, сомневается, что абстрактные электронные правила закона подписи может создать исключение для этого императива, т. у. запрет на использование личного кода на публике, что создает предпосылки для защиты персональных данных и нарушения частной жизни. Он утверждал, что любое законодательство не предусматривает прямые личные дополнительные атрибуты могут быть включены в квалифицированном сертификате, если поставщик сертификационных услуг должен обеспечить, чтобы: дополнительные атрибуты или использует в соответствии с Европейским Союзом и законами Литовской Республики; если использование дополнительных атрибутов относится к любому потенциальному риску или повреждению держателя сертификата, оно должно предупредить будущих пользователей сертификата заранее, указав конкретный риск; сам сертификат содержит ссылку на общедоступный документ поставщика сертификационных услуг, в котором четко и полно указаны цели, для которых необходимо использовать этот квалифицированный сертификат.
2. Сдача отчетности в налоговые органы, государственные внебюджетные фонды, органы статистики. В данном случае используется только квалифицированная усиленная электронная подпись, т.к. законодательством для данных видов документов установлено такое дополнительное требование, как заверение указанных документов печатью (ч. 3 ст. 6 Федерального закона "Об электронной подписи").
Он утверждал, что в пункте 1 статьи 7 Закона о защите личных данных предусматривается, что персональный код представляет собой уникальную последовательность цифр. Персональный код предоставляется лицу в порядке, установленном Законом о Регистре населения. Среди прочего он указал, что Центр государственных реестров является государственным электронным сервисом в порядке, установленном законом. В то же время обеспечивает непредсказуемое законодательство, т.е. у. коммерческих, услуг. Квалифицированная служба исполнения сертификатов является коммерческим сервисом для этой компании.
3. Использование электронной подписи в документообороте и обмене информацией в форме электронных документов. Собственно, это основная сфера применения электронной подписи, и именно для этой цели она и предназначена. Поэтому стоит остановиться на теме использования электронной подписи в документообороте подробнее.
Применение электронной подписи в документообороте и обмене документами
Давайте для начала определимся, что такое документооборот? Согласно ГОСТ Р 7.0.8–2013. "Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения" (утв. Приказом Росстандарта от 17.10.2013 № 1185-ст) под документооборотом понимается движение документов в организации с момента их создания или получения до завершения исполнения или отправки.
Спорные коммерческая компания выразила свое мнение о деятельности по сертификации Литовской Республики. Каждый квалифицированный поставщик услуг должен зарегистрироваться на адрес электронной почты Литовской Республики. Руководитель подписи. В процессе регистрации Инспекция получила сообщение об использовании личного кода в квалифицированном сертификате. В соответствии с общей процедурой эта компания уже знала о требовании органа по защите персональных данных использовать персональный идентификационный код на квалифицированном сертификате на момент регистрации.
Виды и типы электронных подписей
1. Простая – электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Самый распространенный пример простой электронной подписи – это PIN-код банковской карты.
2. Усиленная электронная подпись: l Неквалифицированная электронная подпись:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
Квалифицированная электронная подпись:
1) соответствует всем признакам неквалифицированной электронной подписи;
2) ключ проверки электронной подписи указан в квалифицированном сертификате, т.е. сертификате, выданном аккредитованным удостоверяющим центром;
3) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом "Об электронной подписи".
Электронный документооборот согласно данному стандарту – это документооборот с использованием автоматизированной информационной системы (системы электронного документооборота).
Здесь также важно правильно понимать, что такое документ и чем он отличается от других видов материальных носителей информации.
Согласно ст. 2 Федерального закона "Об информации, информационных технологиях и о защите информации":
Электронный документ – документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.
Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.
Важно понимать:
- электронный документ отличается от любого другого документа только формой;
- документом считается только носитель информации, содержащий определенный набор реквизитов по установленным правилам;
- основным реквизитом, позволяющим "преобразовать" носитель информации в документ, является подпись.
Исходя из этого, важным становится вопрос о соотношении понятий электронного документооборота и документооборота электронных копий документов. На практике нередко встречаются случаи, когда под электронным документооборотом понимается процесс движения электронных (сканированных) копий документов. Представляется, что указанное толкование является неверным. Электронным документооборотом допустимо признавать лишь оборот носителей информации, имеющих такой реквизит, как электронная подпись.
Весь документооборот состоит из двух больших потоков – это входящие и исходящие документы.
Если говорить про исходящий документопоток, то на практике возникает вопрос, какой вид (тип) электронной подписи следует применять при подписании исходящих документов. Наиболее рекомендуемым типом является квалифицированная усиленная электронная подпись, т.к. она может быть использована для обмена документами с неопределенным кругом лиц. Кроме того, бухгалтерская и налоговая документация (отчетность) может подписываться только усиленной квалифицированной электронной подписью, что прямо предусмотрено действующим законодательством. Неквалифицированная электронная подпись может быть использована в обмене, когда круг его участников заранее определен (ограничен). При этом важно понимать, что в соответствии с ч. 3 ст. 6 Федерального закона "Об электронной подписи" использование неквалифицированной электронной подписи допустимо для совершения любых юридически значимых действий, включая сделки с установленными дополнительными требованиями (скрепление печатью), при условии наличия соглашения между участниками взаимодействия.
Простая электронная подпись также может быть использована для совершения любых юридически значимых действий за исключением сделок с установленными дополнительными требованиями (скрепление печатью) при условии наличия соглашения между участниками взаимодействия.
В то же время простая электронная подпись, как правило, не обеспечивает целостность документа, поэтому нельзя с достоверностью утверждать, что в этот документ не вносились изменения. В свете изложенного автор полагает, что использование простой электронной подписи целесообразно лишь для внутренних документов юридического лица при наличии локального нормативного акта, устанавливающего условия ее признания аналогом собственноручной подписи.
Относительно входящего документооборота. Входящий документ, подписанный усиленной квалифицированной электронной подписью, организация обязана принимать, т.к. в соответствии с Федеральным законом "Об электронной подписи" она является полноценным аналогом собственноручной подписи. На практике может возникать проблема, связанная с несовместимостью программного обеспечения, осуществляющего подписание электронных документов. Поэтому участникам электронного обмена рекомендуется договариваться о том, какое программное обеспечение они будут использовать для подписания электронных документов.
Помимо несовместимости программного обеспечения, также существует проблема ведения электронного архива. Дело в том, что сертификаты электронной подписи имеют конечный срок действия. Как правило, он составляет один год. При этом в действующем законодательстве (ст. 11 Федерального закона "Об электронной подписи") предусмотрено, что квалифицированная электронная подпись признается действительной, если квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен. В случае с электронным архивом это означает, что необходимы метки, подтверждающие факт того, что сертификат был действителен на момент подписания электронного документа.
В заключение необходимо отметить, что с каждым днем количество направлений для использования электронных подписей все возрастает. В данной статье я постарался кратко изложить наиболее важные вопросы, возникающие в практике использования различных видов электронных подписей, правильное понимание которых является залогом их успешного применения.
Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП .
Цифровая подпись предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:
§ Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.
§ Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.
§ Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
Все эти свойства ЭЦП позволяют использовать её для следующих целей:
§ Декларирование товаров и услуг (таможенные декларации)
§ Регистрация сделок по объектам недвижимости
§ Использование в банковских системах
§ Электронная торговля и госзаказы
§ Контроль исполнения государственного бюджета
§ В системах обращения к органам власти
§ Для обязательной отчетности перед государственными учреждениями
§ Организация юридически значимого электронного документооборота
§ В расчетных и трейдинговых системах.
Существует несколько схем построения цифровой подписи:
§ На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица - арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру.
§ На основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭЦП наиболее распространены и находят широкое применение.
Кроме этого, существуют другие разновидности цифровых подписей (групповая подпись, неоспоримая подпись, доверенная подпись), которые являются модификациями описанных выше схем. Их появление обусловлено разнообразием задач, решаемых с помощью ЭЦП.
Использование хеш-функций. Поскольку подписываемые документы - переменного (и как правило достаточно большого) объёма, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на егохеш. Для вычисления хэша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хеш-функция.
Использование хеш-функций даёт следующие преимущества:
§ Вычислительная сложность. Обычно хеш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хеша являются более быстрыми, чем алгоритмы ЭЦП. Поэтому формировать хэш документа и подписывать его получается намного быстрее, чем подписывать сам документ.
§ Совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хеш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат.
§ Целостность. Без использования хеш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭЦП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.
Стоит заметить, что использование хеш-функции не обязательно при цифровой подписи, а сама функция не является частью алгоритма ЭЦП, поэтому хеш-функция может использоваться любая или не использоваться вообще.
В большинстве ранних систем ЭЦП использовались функции с секретом, которые по своему назначению близки к односторонним функциям. Такие системы уязвимы к атакам с использованием открытого ключа (см. ниже), так как, выбрав произвольную цифровую подпись и применив к ней алгоритм верификации, можно получить исходный текст. Чтобы избежать этого, вместе с цифровой подписью используется хеш-функция, то есть, вычисление подписи осуществляется не относительно самого документа, а относительно его хеша. В этом случае в результате верификации можно получить только хеш исходного текста, следовательно, если используемая хеш-функция криптографически стойкая, то получить исходный текст будет вычислительно сложно, а значит атака такого типа становится невозможной.
Симметричная схема. Симметричные схемы ЭЦП менее распространены чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи, основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятия ЭЦП Диффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощью блочного шифра. Асимметричные схемы цифровой подписи опираются на вычислительно сложные задачи, сложность которых еще не доказана, поэтому невозможно определить, будут ли эти схемы сломаны в ближайшее время, как это произошло со схемой, основанной на задаче об укладке ранца. Также для увеличения криптостойкости нужно увеличивать длину ключей, что приводит к необходимости переписывать программы, реализующие асимметричные схемы, и в некоторых случаях перепроектировать аппаратуру. Симметричные схемы основаны на хорошо изученных блочных шифрах.
В связи с этим симметричные схемы имеют следующие преимущества:
§ Стойкость симметричных схем ЭЦП вытекает из стойкости используемых блочных шифров, надежность которых также хорошо изучена.
§ Если стойкость шифра окажется недостаточной, его легко можно будет заменить на более стойкий с минимальными изменениями в реализации.
Однако у симметричных ЭЦП есть и ряд недостатков:
§ Нужно подписывать отдельно каждый бит передаваемой информации, что приводит к значительному увеличению подписи. Подпись может превосходить сообщение по размеру на два порядка.
§ Сгенерированные для подписи ключи могут быть использованы только один раз, так как после подписывания раскрывается половина секретного ключа.
Из-за рассмотренных недостатков симметричная схема ЭЦП Диффи-Хелмана не применяется, а используется её модификация, разработанная Березиным и Дорошкевичем, в которой подписывается сразу группа из нескольких бит. Это приводит к уменьшению размеров подписи, но к увеличению объема вычислений. Для преодоления проблемы «одноразовости» ключей используется генерация отдельных ключей из главного ключа.
Асимметричная схема. Схема, поясняющая алгоритмы подписи и проверки. Асимметричные схемы ЭЦП относятся к криптосистемам с открытым ключом. В отличие от асимметричных алгоритмов шифрования, в которых зашифрование производится с помощью открытого ключа, а расшифрование - с помощью закрытого, в схемах цифровой подписи подписывание производится с применением закрытого ключа, а проверка - с применением открытого.
Общепризнанная схема цифровой подписи охватывает три процесса:
§ Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.
§ Формирование подписи. Для заданного электронного документа с помощью закрытого ключа вычисляется подпись.
§ Проверка (верификация) подписи. Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.
Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:
§ Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.
§ Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.
Следует отличать электронную цифровую подпись от кода аутентичности сообщения (MAC).
