"Журнал "Компьютерра" №763-764" - читать интересную книгу автора (Компьютерра Журнал)

Цифровой росчерк пера

Автор: Андрей Васильков

В начале 2002 года был принят Федеральный закон quot;Об электронной цифровой подписиquot; [Федеральный Закон № 1-ФЗ от 10.01.2002 quot;Об электронной цифровой подписиquot; (редакция от 08.11.2007).]. Планировалось, что он даст юридический механизм быстрого перехода на безбумажный документооборот и существенно повысит эффективность взаимодействия всех субъектов права. Фактически же многие оказались не готовыми увидеть предоставленные Правительством преимущества и открестились от новшества. Закон не раз перерабатывался, учитывались реалии внедрения (последняя редакция датирована ноябрем 2007 г.), но и по сей день люди сопротивляются использованию ЭЦП на своих предприятиях, проявляя редкостный консерватизм.

Технически цифровая подпись - это криптографический продукт, построенный на базе асимметричной системы шифрования с двумя ключами. В момент ее создания на основе парольной фразы и нескольких случайных чисел генерируются две взаимосвязанные битовые последовательности. Первая часть называется открытым (или публичным) ключом. Он служит для проверки подлинности и потому должен быть легко доступен всем. Вторая часть - закрытый (секретный) ключ. Им подписываются документы, соответственно правила его хранения аналогичны таковым для физической печати и подразумевают максимальное ограничение возможности его использования посторонними лицами. Оба ключа физически записываются в виде файлов определенной структуры на любой носитель. Пользователю ключ обычно выдается на USB Token - аналоге флэшки, но с криптографическим чипом. По просьбе клиента он может быть записан на смарт-карту или (в особо тяжелых случаях) на дискету.

Собственно подписание электронного документа посредством ЭЦП представляет собой ряд математических операций, где исходными данными (аргументами функций) являются подписываемый текст и секретный ключ. В результате вычислений формируется уникальное число, добавляемое к файлу. Благодаря строгой математической взаимосвязи этого числа с текстом документа, секретным ключом подписавшего и парным ему открытым ключом сформированный таким образом файл гарантированно идентифицирует автора и оказывается надежно защищен от скрытых модификаций. Стоит умышленно или в результате технической ошибки исказить хотя бы один символ оригинального текста, как цифровая подпись станет недействительной. Достоинство такой схемы состоит и в том, что наличие изменений в тексте не надо устанавливать специально (сверяя с оригиналом). Достаточно лишь проверить подпись обычным способом, и в случае отрицательного результата документ окажется юридически недействительным.

Пользователь ЭЦП также может использовать свои ключи для обмена зашифрованными документами. Процедура шифрования осуществляется с помощью открытого ключа получателя. Расшифровать такой документ сможет только он с помощью парного секретного ключа. Такой принцип подобен механическим дверным замкам с язычком, закрыть который может любой (просто хлопнув дверью), а открыть - только владелец ключа. В отличие от своего физического аналога, система асимметричного шифрования доказуемо более стойка, особенно к грубым попыткам ее взлома.

Согласно правилу Керкгоффса, надежность ЭЦП обеспечивается тайной исключительно исходных данных (секретного ключа), а не принципов работы самой системы. Используемые алгоритмы не просто известны, а детально документированы для предоставления возможности анализа криптографической стойкости и ее своевременного улучшения.

Для пока еще традиционного бумажного документооборота в свое время потребовалось создать государственную систему, обеспечивающую регистрацию образцов собственноручных подписей, печатей, их учет и возможность криминалистической экспертизы (кстати говоря, посредственной) в спорных случаях. Аналогичная по функциям, но более простая по исполнению система создана для электронной цифровой подписи. Ее ключевым звеном является Удостоверяющий Центр (УЦ). Это уполномоченная организация, осуществляющая регистрацию, выдачу и обеспечивающая техническую возможность использования ЭЦП. По желанию клиента УЦ может также предложить услугу ответственного хранения копии секретного ключа. На мой типично параноидальный взгляд, такой договор стоит заключать лишь в том случае, если вы не планируете использовать функцию шифрования и сомневаетесь в возможности самостоятельно сделать резервную копию.

Каждому клиенту УЦ выдает сертификат ключа подписи для подтверждения подлинности его ЭЦП. Сертификат может быть как распечатан на бумаге, так и передан в виде подписанного УЦ файла. В обоих случаях он содержит (помимо массы других данных) заверенный образец открытого ключа. Именно эта мера и позволяет однозначно сопоставить цифровую подпись ее конкретному владельцу.

В соответствии с упомянутым законом ЭЦП приравнена к собственноручной подписи, а согласно статье 19 того же закона, может заменять и печать. Она позволяет подписывать налоговые отчеты (и затем передавать их по электронной почте), осуществлять удаленное взаимодействие в системах quot;клиент-банкquot;, участвовать в электронных торгах [См. Федеральный закон № 94-ФЗ от 21 июля 2005 года quot;О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нуждquot;], получать и размещать заказы через Интернет, подписывать любые юридические значимые документы без их распечатывания на бумаге.

Как всегда, человеческий фактор вносит свои коррективы, а недостаточно продуманные организационные вопросы препятствуют распространению новых благ. Несмотря на восьмилетнюю практику использования ЭЦП, до сих пор понятие цифровой подписи порой трактуется превратно. К примеру, две крупные организации недавно подписали контракт на приличную сумму, выслав друг другу вордовские файлы со вставленными в них картинками. На картинках были… да, именно - отсканированные варианты бумажной подписи. Стоит ли говорить, что никакой юридической силы такой контракт не имеет? При этом как минимум одна из фирм в то же самое время отсылала отчетность в пенсионный фонд, используя настоящую ЭЦП. Видимо, эти два процесса осуществлялись без понимания сути, и связь между ними не улавливалась.

Более частый пример - невозможность использования ЭЦП из-за того, что уволился сотрудник, на чье имя она регистрировалась. Аналогично регистрации доменов процедура получения ЭЦП практически не контролируется внутри организации. В результате владельцами важных для компании нематериальных ценностей становятся некогда свои, а теперь посторонние люди. Всплывают такие факты, как правило, при очередном требовании подтвердить свои права. Часто они сопровождаются упущенной выгодой и всегда - дополнительными расходами.

Одной из причин трудностей практического применения ЭЦП было отсутствие возможности подтвердить время подписания документа. Ведь согласно ст. 4 упомянутого закона, факт действительности подписи на момент подписания и проверки должен устанавливаться однозначно. В доработанном стандарте применения ЭЦП используются штампы времени. В момент подписания документа к нему (в качестве неотъемлемой части исходных данных) добавляется информация о времени и дате подписания.

Хоть юридически руки у пользователей давно развязаны, недостаточная осведомленность об ЭЦП тоже сдерживает ее распространение. Ведь для эффективного взаимодействия ее должны использовать все заинтересованные стороны. Если же фирма А заверяет документ цифровой подписью, а в фирме B до сих пор принято только бумажное делопроизводство, они не смогут быстрее взаимодействовать друг с другом.

На развитие технологий цифровой подписи и электронного документооборота выделяются немалые суммы. На 2008–10 гг. в рамках ФЦП quot;Электронная Россияquot; Росинформтехнологии получат почти 3,5 млрд. рублей бюджетных денег. Хочется верить, что они пойдут впрок и вскоре предприятия забудут о срочной курьерской доставке первых экземпляров через половину страны.