Проблема электронной подписи
Содержание:
Введение
Вопрос эффективности и удобства электронного документооборота не подлежит сомнению, но в России все упирается в проблему правовой незащищенности участников таких отношений. Юридическое и фактические приравнивание электронных документов к бумажным носителям - вот что может стать действительным драйвером развития систем документооборота.
Повсюду в мире все шире используется электронная цифровая подпись, в особенности в банковской системе. Отсутствие правового регулирования порядка и последствий применения электронно-цифровой подписи на государственном уровне долгое время затрудняло ее использование.
В мире электронных документов подписание файла с помощью графических символов теряет смысл, так как подделать и скопировать графический символ можно бесконечное количество раз. Электронная цифровая подпись является полным электронным аналогом обычной подписи на бумаге, но реализуется не с помощью графических изображений, а с помощью математических преобразований над содержимым документа.
1. Понятие электронной цифровой подписи, сущность, функции.
Электронная цифровая подпись(ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи, а также установить отсутствие искажения информации в электронном документе[1].
Электронная цифровая подпись используется для аутентификации текстов, передаваемых по телекоммуникационным каналам. Функционально она аналогична обычной рукописной подписи и обладает ее основными достоинствами:
• удостоверяет, что подписанный текст исходит от лица, поставившего подпись;
• не дает самому этому лицу возможности отказаться от обязательств, связанных с подписанным текстом;
• гарантирует целостность подписанного текста.
Цифровая подпись представляет собой относительно небольшое количество дополнительной цифровой информации, передаваемой вместе с подписываемым текстом.
В качестве подписываемого документа может быть использован любой файл. Подписанный файл создается из неподписанного путем добавления в него одной или более электронных подписей.[2]
Применение ЭЦП основано на криптографическом (шифровальном) алгоритме с асимметричным ключом. Это означает, что используется пара уникальных для каждой подписи ключей (паролей), одним из которых можно только зашифровать документ, а другим - только расшифровать.
При подписании электронного документа ЭЦП лицо использует специальное программное или аппаратное средство, которое на основе первого ключа шифрует документ. Затем документ пересылается его получателю. К документу прилагается второй ключ (или он имеется у второго лица), который позволяет только расшифровать документ и является открытым (не конфиденциальным).
Получатель документа, используя специальное программное или аппаратное средство, осуществляет попытку расшифровать документ с помощью второго ключа, полученного вместе с документом. Если в документ внесены изменения после его зашифровки или он зашифрован не тем ключом(принадлежащим другому лицу), то правильной расшифровки не происходит. В случае правильной расшифровки подлинность документа считается подтвержденной. [3]
2. Защищённость
Цифровая подпись обеспечивает:
1) Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
2) Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.
3) Невозможность отказа от авторства. Так как создать корректную подпись можно лишь, зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
4) Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;
5) Организацию юридически значимого электронного документооборота;
Возможны следующие угрозы цифровой подписи:
1) Злоумышленник может попытаться подделать подпись для выбранного им документа.
2) Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем: документ представляет собой осмысленный текст; текст документа оформлен по установленной форме.
3) Документы редко оформляют в виде Plain Text — файла, чаще всего в формате DOC или HTML.
Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:
1)Случайный набор байт должен подойти под сложно структурированный формат файла.
2) То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
3) Текст должен быть осмысленным, грамотным и соответствующий теме документа.
Вполне понятно, что вероятность такого происшествияничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадежными хеш-функциями, так как документы обычно большого объема — килобайты.
При использовании надёжной хэш-функции, вычислительно сложно создать поддельный документ с таким же хэшем, как у подлинного. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях.
Тем не менее, возможны ещё такие угрозы системам цифровой подписи:
1) Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
2) Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.
3) Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него. [5]
3. Правовое регулирование ЭПЦ в России.
10 января 2002 года был принят Федеральный Закон «Об электронной цифровой подписи», который закладывает основы решения проблемы обеспечения правовых условий для использования электронной цифровой подписи в процессах обмена электронными документами, при соблюдении которых электронная цифровая подпись признается юридически равнозначной собственноручной подписи человека в документе на бумажном носителе.
Федеральный Закон «Об электронной цифровой подписи» определяет условия использования ЭЦП в электронных документах органами государственной власти и государственными организациями, а также юридическими и физическими лицами, при соблюдении которых:
· средства создания подписи признаются надежными;
· сама ЭЦП признается достоверной, а ее подделка или фальсификация подписанных данных могут быть точно установлены;
· предоставляются юридические гарантии безопасности передачи информации по открытым телекоммуникационным каналам;
· соблюдаются правовые нормы, содержащие требования к письменной форме документа;
· сохраняются все традиционные процессуальные функцииподписи, в том числе удостоверение полномочий подписавшей стороны, установление подписавшего лица и содержания сообщения, а также роль подписи в качестве судебного доказательства;
· обеспечивается охрана персональной информации.
В Законе устанавливаются права и обязанности обладателя электронной цифровой подписи.
В соответствии с законом владельцем сертификата ключа подписи является физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись электронных документах (подписывать электронные документы).
Владелец сертификата ключа подписи обязан:
· Хранить в тайне закрытый ключ электронной цифровой подписи;
· Не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;
· Немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.
Согласно ст. 6 данного Закона сертификат ключа подписи должен содержать следующие сведения:
· Уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;
· Фамилия, имя, отчество владельца сертификата ключа подписи или псевдоним владельца;
· Открытый ключ электронной цифровой подписи;
· Наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи;
· Сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение. [1]
Если говорить об основных недостатках действующего закона, то, в первую очередь, он несогласован с важными законодательными актами, например, о техническом регулировании и лицензировании отдельных видов деятельности. Использование исключительно сертифицированных средств электронной подписи не согласуется с международным принципом. Закон допускает использование лишь одной технологии электронной подписи, что также нарушает принципы международного права. Список можно продолжать.
В сумме все эти недостатки превратили действующий закон «Об электронной цифровой подписи» в нежизнеспособный еще 9 лет назад.
С 2002 г. и вплоть до настоящего момента количество лиц, использующих электронную цифровую подпись (ЭЦП) в России, не превышает 1%. В тоже время, через 5 лет после вступления в силу соответствующих Европейских директив, электронные подписи использовало уже до 70% населения европейских стран.
Очевидно, что закон работает совсем не так, как должен. В результате Государственная дума одобрила ФЗ РФ «Об электронной цифровой подписи» от 06.04.2011 № 63-ФЗ «Об электронной подписи». Новый закон отменяет существующий закон «Об электронной цифровой подписи», что означает фактическую замену механизма регулирования вопросов, связанных с использованием электронных подписей в России.
Вопросом совершенствования правового поля электронных подписей законодатель озадачился в связи с очередным витком проекта по созданию «электронного правительства», которому в настоящий момент присвоен высокий приоритет. Для решения этой задачи выделяются большие ресурсы, однако реализация ее невозможна без адекватного законодательного обеспечения. И вопрос об электронной подписи стоит на первом месте, ведь концептуальные проблемы существующего закона не позволяют обеспечить условия для ее широкого применения.
Самым значительным нововведением является выделение нескольких видов ЭП: простая, усиленная и квалифицированная.
Усиленная ЭП
ЭП признается усиленной, если отвечает одновременно трем условиям:
• однозначная связь с подписывающим лицом;
• использование средств,которые подписывающее лицо способно сохранять под своим контролем;
• обеспечение неизменности подписанного электронного документа или возможности обнаружить факт внесения изменений в электронный документ после его подписания.
Простая ЭП
Если ЭП не является усиленной, то она признается простой. Ее отличительный признак, что она только указывает на лицо, подписавшее информацию, и не позволяет установить неизменность подписи и подписанной информации после подписания.
Квалифицированная ЭП.
Квалифицированной признается усиленная ЭП, если ее сертификат выдан удостоверяющим центром, аккредитованным в соответствии с положениями Законопроекта. Поскольку квалифицированная ЭП является видом усиленной, то к квалифицированному сертификату и к деятельности аккредитованных удостоверяющих центров применяются правила, установленные для усиленной электронной подписи, с учетом особенностей, предусмотренных Законопроектом. Используемая ранее ЭЦП приравнивается к усиленной ЭП, которая может использоваться во всех видах гражданско-правовых отношений.
В настоящий момент документ содержит ряд недостатков.
Во-первых, в Законопроекте присутствует целый ряд терминологических неточностей. В качестве примера возьмем определение «электронной подписи»:
«Электронная подпись – информация в электронно-цифровой форме, которая присоединена к другой информации в электронно-цифровой форме или логически связана с ней и которая может быть использована для идентификации подписавшего такую информацию физического или юридического лица.»
Наибольшие вопросы в данном примере вызывает возможность выдачи сертификатов ключа подписи юридическим лицам. В этом случае сертификат получают не физические лица, являющиеся должностными лицами организации, а само юридическое лицо. Как будет выдаваться этот сертификат ключа подписи? Как использоваться? Неясно.
Во-вторых, Законопроект не определяет, в каких именно видах отношений можно использовать тот или иной вид подписи. Предполагается, что это будетопределяться в других документах (например, отраслевых). В то же время, устанавливаются принципы использования отдельных видов ЭП. В частности:
• Простая ЭП может использоваться для подписания электронных сообщений, направляемых в государственный орган, орган местного самоуправления или должностному лицу. Законопроект предусматривает возможность для органов государственной власти или органов местного самоуправления создавать ограничения на ее использование.
• Усиленная ЭП может использоваться во всех видах отношений, если не установлено иное.
• Квалифицированная ЭП может использоваться во всех видах отношений, если не установлено иное (сфера применения шире, чем при использовании усиленной ЭП).
Конкретики нет, значит, пределы использования всех трех видов подписи еще нужно определить.
В-третьих, согласно Законопроекту, сертификат ключа подписи может быть создан не только удостоверяющим центром, но и самим владельцем. Каков порядок создания такого сертификата? Какой у него правовой режим? Как им пользоваться? Опять же не ясно.[7]
Профильные комитеты Государственной думы находят еще более широкий перечень вопросов к проекту ФЗ «Об электронной подписи».
Действие нового закона распространяется не только на гражданско-правовые сделки, но и на правоотношения, складывающиеся в процессе оказания государственных или муниципальных услуг и государственного или муниципального управления и в рамках совершения иных юридически-значимых действий.
Самый главный вывод, который можно сделать, это то, что в этот раз организациям при построении внутреннего электронного документооборота таки придется обеспечивать его соответствие закону. Пусть даже и в минимальной форме. Для этого они могут использовать три вида электронной подписи: простую, неквалифицированную и квалифицированную. Подписи обладают разной степенью защиты и неравнозначны. Организации сами оценивают риски и решают, какую подпись лучше использовать для той или иной системы или документа.
Новый Федеральныйзакон «Об электронной цифровой подписи» вступит в силу со дня его официального опубликования, а действующий закон — №1-ФЗ «Об электронной цифровой подписи» утратит силу с 1 июля 2012 года.
Кстати, возможно, новый закон получит мощную практическую поддержку со стороны «Ростелекома». Напомним, в ходе работ по созданию электронного правительства оператор намерен в текущем году организовать выдачу ЭЦП в 80 субъектах России. При этом отмечалось, что ЭЦП, помимо своей удостоверяющей функции, будет играть роль универсального идентификатора гражданина при обращении в электронное правительств
Заключение
Быстрое технологическое развитие и глобальный характер сети Интернет являются основаниями для идеологии открытости к различным технологиям и услугам, относящимся к установлению соответствия данных оригиналу, в том числе и при помощи электронных средств. Электронные подписи получают самое широкое распространение в различных областях деятельности человека, что неизбежно приводит к развитию новых услуг и продуктов, прямо или косвенно связанных с ними. Определение таких продуктов и услуг не может сводиться лишь к предоставлению сертификатов и работе с ними. Оно неизбежно затрагивает регистрационные услуги, отметку времени, инструктивные услуги, услуги, связанные с применением компьютерной техники и т.п.
Распространение таких институтов как электронная подпись, электронная торговля (коммерция), электронные деньги и т.п. позволяет расширить рынок и работать с зарубежными клиентами, что ведет к росту конкурентоспособности и открывает для потребителей и бизнесменов новые перспективы безопасного обмена информацией и торговли независимо от границ. В связи с тем, что значительное число сделок, совершаемых посредством сети Интернет содержат «иностранный» элемент, возникает проблема применимого права.
В настоящее время система электронного документооборота развита главным образом в банковской сфере, а также при взаимодействии хозяйствующих субъектов иконтролирующих органов (например, при подаче налоговых деклараций).
Что касается взаимоотношений между контрагентами, то здесь внедрение ЭЦП только начинается. Дополнительно стимулировать этот процесс может переход на электронный документооборот государственных учреждений, предусмотренный Федеральной целевой программой "Электронная Россия".
В целом проект ФЗ «Об электронной подписи» отвечает современным потребностям рынка. Дух Законопроекта соответствует западным аналогам, которые доказали свою эффективность. В первую очередь он значительно расширяет возможности применения ЭП, создает гибкость, которой раньше не было. Кроме того, устранены ограничения, которые ранее исключали саму возможность использования ЭЦП в целых отраслях. Но, при всех очевидных плюсах у Законопроекта есть серьезные недостатки. К сожалению, он подразумевает дополнительную большую работу, как на уровне федеральных законов, так и на более низких уровнях для разъяснения целого ряда положений.
Список использованной литературы
1. ФЗ РФ «Об электронной цифровой подписи» от 10.01.2002г. № 1-ФЗ, http://www.cci.ru/infolaws/doctoc.asp?id=32&sid=
2. Колесников Д.Г., «Электронная цифровая подпись», 10.06.2010, http://protect.htmlweb.ru/ecp.htm.
3. Тедеев А.А. Правовые проблемы регулирования и налогообложения экономической деятельности, осуществляемой с использованием сети Интернет в различных странах мира // Современное право. 2007. N 10.
4. Е.Н.Сатаев, «Электронная цифровая подпись (ЭЦП) - идеальный инструмент для документооборота?», 24.02.2011, http://www.crmdaily.ru/439-yelektronnaya-cifrovaya-podpis-reshenie-problem-dokumentooborota.html
5. Д.Иртегов, Защита интеллектуальной собственности в интернете, СПб, БХВ- Петербург, 2007г.
6. ФЗ РФ «Об электронной цифровой подписи» от 06.04.2011 № 63-ФЗ, http://www.consultant.ru/popular/digital_signature/
7. Е. Царев «Новый закон об электронной подписи», http://www.leta.ru/press-center/publications/article_580.html
- Компьютерные преступления
- Авторское право и интернет (Информационные технологии в юридической деятельности)
- Престижность юридической профессии.
- ОБЩАЯ ХАРАКТЕРИСТИКА РИМСКОГО НАСЛЕДСТВЕННОГО ПРАВА
- Внешние эффекты и теорема Коуза-Стиглера ( Теория внешних эффектов)
- Автоматизация органов прокуратуры (История практического создания автоматизированной системы информационного обеспечения деятельности органов прокуратуры)
- Соотношение правоспособности и субъективного гражданского права
- Объекты патентного права: сравнительно – правовая характеристика (Новые разработки)
- Соотношение правоспособности и субъективного гражданского права..
- Дипломатия. Принципы. Задачи. Методы (Политика умиротворения)
- История возникновения деловой этики
- Особенности делового этикета европейских стран (Долларовая дипломатия)