Что это такое – компрометация ключа электронной подписи

Тема защиты закрытого ключа ЭЦП на
конференции в Ташкенте

●     системы
декларирования товаров и услуг (таможенные декларации);

●     системы:
регистрации сделок по объектам, недвижимости и земле;

●     банковские
системы («Интернет-банкинг» и «Клиент-банк»);

●     системы
электронных госзаказов и электронной торговли (e-commerce);

●     системы
контроля исполнения государственного бюджета;

●     системы
обращения к органам власти (e-government);

●     обязательная
отчетность (в частности, интенсивно развивающаяся безбумажная отчетность перед
органами ФНС, ПФРФ, ФССР, Госкомстата);

●     различные
расчетные и трейдинговые системы;

●     системы
электронного документооборота и др.

Даже поверхностный анализ показывает, что возможность
использования злоумышленником ЭЦП легального пользователя перечисленных систем
может привести к ощутимым финансовым, потерям. Представьте, если: кто-то вместо
вас отправит подписанный якобы вами финансовый документ и, например, снимет с
вашего расчетного счета несколько миллионов долларов…

Естественно, вам
захочется как можно быстрее найти виновного и: вернуть деньги. Вы обратитесь в
финансовый институт (например, банк) и попытаетесь найти виновного там. Вам в
письменном виде ответят, что информационная система банка построена в
соответствии с существующими нормативно-правовыми документами, сеть аттестована
по соответствующему классу, а для формирования и проверки подписи используются
только сертифицированные средства ЭЦП.

И еще вам докажут, что при получении
ключевого материала вам были предложены: альтернативные носители, из которых
вы: выбрали самый дешевый. Например, дискету… А потом напомнят, что согласно
статье 12 «Закона об ЭЦП» [1], хранение закрытого ключа электронной цифровой
подписи входит в обязанности владельца.

Круг замкнулся. Во всем, виноваты вы
сами. Но все ли вы знали и предупреждали ли вас о возможности компрометации
ключа до того, как произошла, материальная потеря? Впрочем, обо всем по
порядку. Для начала рассмотрим, какие виды подписи бывают, затем, как
генерируется ваша электронно-цифровая подпись.

В мае 2006 г. в г. Ташкенте
состоялась Международная научно-практическая конференция «Актуальные проблемы
использования электронно-цифровой подписи», на которой тема защиты закрытого
ключа ЭЦП была одной из основных. Так, в докладе эксперта Еврокомиссии по
информационной безопасности Жоса Дюмартье в качестве надежного способа защиты
закрытого ключа ЭЦП от компрометации рекомендовалось использование интеллектуальной
смарт-карты как средства генерации и хранения ключа.

По опыту работы
одного из крупнейших в Польше удостоверяющего центра Unizeto (поддерживающего
в настоящее время более 400 тыс. сертификатов ЭЦП), представленного Анджеем
Бендиг-Веловейским, для формирования ключевой пары квалифицированной подписи
используется чиповая смарт-карта. Смарт-карты и USВ-ключи для формирования
ключей ЭЦП по международным стандартам уже не надо создавать, они успешно
выполняют свою задачу.

Как показала конференция, разработка устройств,
поддерживающих российские криптоалгоритмы выработки и проверки ключевого
материала, – задача не простая. Тем не менее, без ее успешного решения вряд
ли стоит ожидать существенного расширения пространства доверия и массового
применения ЭЦП.

1. Из чего состоит электронная подпись?

Что это такое – компрометация ключа электронной подписи

Это электронный «паспорт» юридического или физического лица, который выдается удостоверяющим центром для идентификации владельца электронной подписи и подтверждения ее подлинности. Сертификат электронной подписи содержит:

  • сведения о владельце;
  • открытый ключ для проверки подлинности подписи получателем;
  • информация об удостоверяющем центре, выпустившем сертификат;
  • сведения об области применения сертификата.

Как правило, сертификат выдается на год, по истечении срока действия его необходимо продлевать. Это обусловлено требованиями информационной безопасности.

Закрытый ключ

Это уникальная последовательность символов, с помощью которой происходит подписание и расшифрование документов. Закрытый ключ всегда идет в паре с общедоступным открытым ключом электронной подписи, который позволяет удостовериться в подлинности электронной подписи или зашифровать документы.

Закрытый ключ хранится на защищенном ключевом носителе – токене.  Стоит помнить, что электронный документ и электронную подпись невозможно подделать только при условии хранениязакрытого ключа ЭП в тайне. В случае если токен с закрытым ключом попадает в чужие руки, происходит «компрометация» ключа, и сертификат электронной подписи должен быть отозван. Также компрометация закрытого ключа может произойти в случае заражения рабочего компьютера вредоносный программой.

Открытый ключ

Это уникальная последовательность символов, однозначно связанная с закрытым ключом, но открытый ключ электронной подписи является общедоступной информацией. С его помощью адресат, которому отправлен электронный документ, проверяет подлинность электронной подписи отправителя или зашифровывает документ.

Ключевой носитель

Это носитель, предназначенный для безопасного хранения закрытого ключа электронной подписи. Вместе с закрытым ключом на носителе обычно хранится и сертификат электронной подписи владельца. В основном используются два вида ключевых носителей: Рутокен и eToken, — ключевые носители в виде USB-ключей (флеш-карты)

Виды ЭЦП в Европе и России

Покупай кассы – выбирай подарок

Достаточно интересным в данном случае будет обращение к
международному опыту. Чтобы понять некоторые тонкости видов подписи и способов
их формирования, необходимо проанализировать подход к классификации электронных
подписей в мире и у нас. Так уж исторически сложилось, что нам пришлось
догонять многие страны по развитию ЭЦП как в части законов, технологий и т. д.,
так и в части, понимания и правильного восприятия.

●     Электронная подпись (Electronic
Signature). В определение данного вида подписи включено понятие логической
связи этой подписи с тем, кто пользуется данной подписью, возможности ее
идентификации, контроля подписывающего за ее использованием, а также
отслеживания изменения в подписанных ранее данных.

●     Улучшенная электронная подпись
(Advanced Electronic Signature). Таковой считается электронная подпись с более
жесткими требованиями. Первым требованием является уникальная связь с тем, кто
пользуется данной подписью. Для этого рекомендуется использовать сертификат
Х.509 в двух видах: квалифицированный сертификат, выпущенный доверенной третьей
стороной (например, Удостоверяющим центром), или неквалифицированный
сертификат, который может быть выпущен как доверенной третьей стороной, так и
самим подписывающим.

Второе требование – возможность идентификации
подписывающего (того, кто пользуется данной подписью) по его электронной
подписи. Другими словами, сертификат должен содержать персональные данные о
владельце подписи, позволяющие его идентифицировать. Третье требование
подразумевает, что подпись должна формироваться под жестким контролем ее
будущего владельца.

Например, если подпись формируется внутри устройства
(Signature Creation Device), содержащего данные для выпуска ЭЦП, то ее владелец
должен наблюдать за процессом формирования его подписи и использования
устройства. И, наконец, четвертым требованием является использование
хэш-функций, алгоритма подписи и длины ключей с параметрами, необходимыми для
обеспечения должного уровня защиты от атак.

1)
должны быть обеспечены уникальность и секретность ключа;

2)
сама ЭЦП должна быть защищена от подделки с использованием доступной на
сегодняшний день технологии;

3)
закрытый ключ, используемый для создания подписи законным владельцем, должен
быть надежно защищен от использования другими лицами.

Квалифицированный
сертификат должен быть валидным в момент подписи и однозначно идентифицировать
лицо, воспользовавшееся данным видом подписи. Ключевая пара должна
генерироваться при личном участии будущего владельца внутри защищенной памяти
SSCD (токена, смарт-карты), закрытый ключ не должен иметь технических
возможностей экспортирования (копирования) закрытого ключа.

Таким
образом, владелец подписи полностью контролирует жизненный цикл закрытого ключа
подписи, и сам отвечает за его сохранность. В данном случае электронная
подпись, согласно стандартам ЕС, полностью приравнена к собственноручной.

Заметим, что ФЗ-1 однозначно трактует электронно-цифровую
подпись как квалифицированную, поскольку в статье 1 Закона сказано: «Целью
настоящего Федерального закона является обеспечение правовых условий
использования электронной цифровой подписи в электронных документах, при
соблюдении которых электронная цифровая подпись в электронном документе
признается равнозначной собственноручной подписи в документе на бумажном
носителе». Давайте посмотрим, во что на практике выливается отличие российской
ЭЦП от квалифицированной по требованиям ЕС.

3. Инфраструктура электронной подписи

Программный комплекс, реализующий на компьютере пользователя хотя бы один из следующих криптографических алгоритмов:

  • шифрование
  • расшифрование
  • создание
  • проверку электронных подписей.

В практике широкое применение получили средства криптографической защиты информации, реализующие все перечисленные алгоритмы, а значит, являющиеся также средствами электронной подписи. Самые распространенные из них: Крипто Про CSP, VipNet CSP.

В сервисах, предназначенных для подписания и шифрования документов, операции совершаются с помощью СКЗИ.

Компрометация ключа

Утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. Любое изменение реквизитов владельца ключа (сменилось название, поменялся руководитель организации) или компрометация закрытого ключа влечет к тому, что нужно отозвать действующий сертификат и получить новый.

Метка времени

Технология, которая подтверждает момент подписания электронного документа. В файл подписи включается точное время создания подписи, полученное с сервера точного времени и подтвержденное электронной подписью удостоверяющего центра. Метка времени используется для проверки того, что на момент подписания документа действие сертификата не истекло или он не был отозван.

Что это такое – компрометация ключа электронной подписи

Электронный документ, включающий в себя список серийных номеров сертификатов ключей подписи, которые на определенный момент времени были аннулированы (отозваны). Достоверность и актуальность документа подтверждается электронной подписью Удостоверяющего Центра

Разновидность электронной подписи, при создании которой, файл подписи создается отдельно от подписываемого файла. Поскольку  подписываемый файл никак не изменяется, его можно читать, не прибегая к специальным программам, работающим с электронной подписью.

Для проверки подписи нужно будет использовать программы либо сервисы, работающие с электронной подписью. При этом входными данными для таких программ будут служить файл с электронной подписью и подписанный ей файл.

Разновидность электронной подписи, при создании которой, создаётся файл, содержащий как саму электронную подпись, так и исходный документ. В случае использования присоединенной подписи для чтения подписанного файла необходимо прибегнуть к специальным программам, работающим с электронной подписью, в которых можно как проверить подпись, так и «извлечь» подписанный файл для чтения.

Генерация ключей ЭЦП

Итак, в силу сложившихся обстоятельств вы решили, что вам
нужна ЭЦП. Вы приходите в удостоверяющий центр и подписываете договор на
приобретение сертификата ЭЦП и его годового обслуживания. Для формирования
вашего сертификата ключа ЭЦП необходим только ваш открытый ключ. Если такового
у вас не имеется, при вас генерируется ключевая пара.

Закрытый (секретный) ключ
и ключ вашей ЭЦП в электронном виде передается вам на носителе. Носителем может
быть дискета, смарт-карта или USВ-ключ. В вашем присутствии сотрудник
удостоверяющего центра обязан после передачи вам закрытого ключа удалить его из
компьютера, если, конечно, вы не подписали договор о депонировании и
ответственном хранении закрытого ключа в защищенном хранилище удостоверяющего
центра.

По определению закрытый ключ всегда хранится у пользователя, на основе
открытого ключа формируется сертификат ключа ЭЦП, подписанный выдавшим его
удостоверяющим центром. В последнее время «продвинутые» пользователи для
получения сертификата ключа ЭЦП все чаще высылают в удостоверяющий центр свой
открытый ключ по электронной почте.

Основная проблема при этом заключается в том, что для
подавляющего числа российских пользователей ЭЦП процесс формирования ключевой
пары и условий хранения закрытого ключа в данное время никак не
регламентирован. Соответствующие регламенты пишутся только на корпоративном
уровне на основе ведомственных концепций информационной безопасности и принятых
на предприятии политик безопасности.

4. Операции с сертификатом электронной подписи в Контур.Крипто

Создание подписи

Электронная подпись гарантирует авторство и целостность данных, а значит, обеспечивает доверие к информации, содержащейся в электронном документе.

Каждая подпись создается с помощью закрытого ключа сертификата электронной подписи, который хранится на специальном носителе токене.

При создании файла подписи в него автоматически вкладывается сертификат электронной подписи, который содержит открытый ключ подписи для проверки ее подлинности получателем.

Проверка подписи

Электронная подпись, созданная с использованием сертификата, проверяется с помощью открытого ключа электронной подписи, который содержится в файле подписи.

Успешное прохождение проверки подтверждает, что данная электронная подпись была создана для полученного документа, и документ после этого не был изменен. Авторство документа получатель может проверить, ознакомившись со сведениями об авторе, которые содержатся в сертификате электронной подписи.

Шифрование документа обеспечивает конфиденциальность информации,  содержащейся в документе любого формата.

Автор зашифровывает документ с помощью сертификата электронной подписи получателя, содержащего открытый ключ. Это открытая информация, которую автор документа может запросить у самого получателя. После завершения процедуры шифрования прочитать файл может только владелец того сертификата электронной подписи, с помощью которого был зашифрован документ.

Расшифрование документа происходит с помощью сертификата электронный подписи (с помощью закрытого ключа данного сертификата), на который был зашифрован документ.  

Данный сертификат должен быть установлен на компьютере получателя документа.

Угрозы компрометации ключей ЭЦП

●     использование
слабых паролей для защиты ключевой информации;

●     хранение
ключей на жестких дисках ПК владельца;

●     хранение
ключей на ненадежных (в физическом плане) носителях (дискетах);

●     передача
ключевого носителя сторонним пользователям.

Конечно, все зависит от состояния информационной системы
вашего предприятия и/или вашего компьютера, если вы работаете дома. Все
вероятные угрозы перечислить невозможно. Главный принцип защиты ключевого
материала – он не должен попасть в чужие руки. Проще говоря, одно из основных
условий гарантированного сохранения закрытого ключа в тайне (в соответствии с
ФЗ) – сведение к минимуму риска (в идеале – исключение возможности) потери
ключа, доступа к нему посторонних лиц и надежная защита ключа от копирования.

С другой стороны, очень важным аспектом является
сокращение рисков не только возможности подделки, но и потери такого понятия,
как неотказуемость автора электронной подписи от совершенных им сделок в
электронном виде. Собственно, для исключения такой возможности должна быть
оформлена жесткая связь владельца сертификата ключей подписи.

Гораздо проще
сформировать такую связь, если владельцу присваивается не только его личный
сертификат, но и уникальный носитель закрытого ключа, никогда не покидающего
защищенной памяти носителя. Однако для этого требуется реализация всех
необходимых криптографических операций внутри носителя (токена, смарт-карты).

Правила хранения секретного ключа

Законодательно за хранение отвечает сам пользователь.
Однако наша задача – рассказать о том, какие технические способы хранения
существуют. Правила хранения ключа определяются востребованностью ЭЦП. Если ее
приходится применять несколько раз в день, то все рабочие процессы должны быть
технологичны и удобны.

Идеально, если функции носителя ключевой информации и
персонального идентификатора для доступа в помещения офиса, к компьютеру,
корпоративной сети и защищенным ресурсам совмещены в едином устройстве. Такие
устройства существуют и успешно используются. В качестве примера можно назвать
сертифицированный ФСТЭК России USВ-ключ eToken PRO.

Доступ к информации,
хранящейся в персональных идентификаторах такого класса, защищен РIN-кодом,
параметры которого отвечают самым серьезным требованиям корпоративных политик
безопасности по количеству символов, возможности противостояния атакам по
подбору и т. д. Однако основное преимущество подобных устройств для
коммерческих предприятий состоит в том, что ключевая пара может быть сформирована
самим пользователем, причем закрытый ключ, генерируемый микропроцессором
устройства, никогда не покидает защищенного раздела памяти персонального
идентификатора.

На практике (кстати говоря, как и в Европе) в защищенной памяти
персонального идентификатора хранится не один, а два закрытых ключа: один для
аутентификации, второй – для применения ЭЦП. Причем в качестве первого в
негосударственных (коммерческих) организациях чаще всего используется ключевой
материал, полученный с применением международных алгоритмов (чаще всего RSA),
второй – строго с применением сертифицированных реализаций ГОСТ.

Заключение

ФЦП «Электронная Россия» набирает темпы развития и по
охвату территории, и по наличию федеральных и территориальных прикладных
информационных систем. Применение ненадежных носителей класса дискет или
микроконтроллерных (не микропроцессорных) смарт-карт для хранения ключевой
информации ЭЦП необходимо свести к нулю, учитывая высокий уровень рисков
компрометации закрытого ключа.

Итак, задача перед производителями персональных
идентификаторов поставлена: необходимо устройство, которое генерирует ключи ЭЦП
и не выпускает закрытый ключ наружу ни при каких обстоятельствах. Кто быстрее
выполнит данную задачу для развития инфраструктуры открытых ключей и массового
применения ЭЦП? Ответ на этот вопрос даст время.

Тема защиты закрытого ключа ЭЦП на
конференции в Ташкенте

В мае 2006 г. в г. Ташкенте
состоялась Международная научно-практическая конференция «Актуальные проблемы
использования электронно-цифровой подписи», на которой тема защиты закрытого
ключа ЭЦП была одной из основных. Так, в докладе эксперта Еврокомиссии по
информационной безопасности Жоса Дюмартье в качестве надежного способа защиты
закрытого ключа ЭЦП от компрометации рекомендовалось использование интеллектуальной
смарт-карты как средства генерации и хранения ключа. В странах Европы в
защищенной памяти смарт-карты, как правило, хранится не менее двух закрытых
ключей – один используется для аутентификации пользователя при доступе к
информационным ресурсам, второй – для подписи электронных документов.

По опыту работы
одного из крупнейших в Польше удостоверяющего центра Unizeto (поддерживающего
в настоящее время более 400 тыс. сертификатов ЭЦП), представленного Анджеем
Бендиг-Веловейским, для формирования ключевой пары квалифицированной подписи
используется чиповая смарт-карта. Смарт-карты и USВ-ключи для формирования
ключей ЭЦП по международным стандартам уже не надо создавать, они успешно
выполняют свою задачу. Как показала конференция, разработка устройств,
поддерживающих российские криптоалгоритмы выработки и проверки ключевого
материала, – задача не простая. Тем не менее, без ее успешного решения вряд
ли стоит ожидать существенного расширения пространства доверия и массового
применения ЭЦП.

Мнение специалиста

Дмитрий Горелов,
коммерческий директор компании «Актив»

На сегодняшний
день абсолютно все российские сертифицированные средства криптографической
защиты информации (СКЗИ) в момент подписи извлекают секретный ключ из
защищенного хранилища, и криптопреобразования осуществляются в оперативной
памяти компьютера. Устройства, предназначенные для безопасного хранения
ключей, независимо от их стоимости и возможностей, спокойно дадут прочитать
секретный ключ, если предъявлен правильный РIN-код (пароль). Конечно,
смарт-карты и USВ-токены значительно безопаснее дискет, с этим никто не
спорит. Но если в устройстве есть аппаратная реализация RSA а хранятся ключи
для ГОСТ Р 34.10-2001, то ничего кроме более высокой цены пользователь не
получит. Если говорить об ЭЦП, основанной на российских алгоритмах ГОСТ Р
34.11-94, ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001, то появление
«квалифицированной электронной подписи» – вопрос времени. Ни один специалист
по информационной безопасности не будет спорить, что генерация ключевой пары
внутри доверенного устройства – лучший вариант. Закрытый ключ никогда не
покидает устройства, не может быть извлечен известными изданный момент тех.
средствами и т.д. Что для этого нужно? Во-первых, должны появиться доступные
по цене смарт-карты и/или USВ-токены с аппаратной поддержкой российских
алгоритмов формирования ЭЦП, а, во-вторых, российские СКЗИ должны включать
поддержку данных устройств.

Мнение специалиста

Валерий Конявский,
доктор технических наук, действительный член РАЕН, АЭН, Европейской Академии
естественных наук, директор Всероссийского научно-исследовательского
института проблем вычислительной техники и информатизации (ВНИИПВТИ), член
научного совета при Совете Безопасности РФ, заведующий кафедрой защиты
информации МФТИ, заместитель Председателя Совета главных конструкторов
информатизации регионов Российской Федерации

Чтобы убедить
потенциального потребителя в необходимости сохранять в тайне закрытый ключ
ЭЦП, действительно нужно популяризировать профессиональные знания. И здесь,
как и всегда при взаимодействии с человеком, важнейшим становится правило:
«Не навреди». Сегодня дискуссия по вопросу законодательного регулирования
применения ЭЦП как раз проходит через плоскость – надо ли нам вводить все
виды ЭЦП, предусмотренные Директивой ЕС, или достаточно использовать ЭЦП,
определенную нашими нормативными документами. Наше изучение международного
опыта подтверждает – догонять нужно не нам, а догонять нужно нас.
Действительно, развитие системы PKI в мире происходило «снизу вверх», т. е.
от потребностей бизнеса к государственному регулированию. Как результат –
«зоопарк» различных видов ЭЦП, привести которые «к общему знаменателю»
практически невозможно. При этом все же в государственной практике
применяется только «квалифицированная» подпись. У нас же применение ЭЦП было
инициировано государством, и поэтому «зоопарка» удалось избежать. Система
удостоверяющих центров развивается медленнее, но правильнее, и уже сегодня
многие европейские страны выразили желание освоить наш опыт.

Стоит ли при этом
возобновлять дискуссию о применении различных видов слабых ЭЦП, слабых до
такой степени, что необходимых функций не выполняют?

А вот создание
мобильных средств генерации и хранения ключей – действительно важная задача.
Уже понятно, что они будут массово использоваться в двух видах: в виде
USВ-устройств и в виде смарт-карт. В частности, как средство технической
поддержки национальной идентификационной системы, по нашему мнению, будет
использоваться унифицированная социальная карта, в которой будет предусмотрено
выполнение этих функций. Появились на рынке и первые USВ-устройства данного
класса.

Мнение специалиста

Глеб Лукин, к.ф. –
м.н., генеральный директор компании ЛЕТОГРАФ

Применение ЭЦП в
системах электронного документооборота и автоматизации бизнес-процессов
становится все более востребованным в деятельности как коммерческих, так и
государственных структур. Дополнительный эффект удается получить за счет
возможности применения ЭЦП не только к контенту (электронному файлу), но и к
атрибутивной части соответствующих карточек документов.

Такой подход
позволяет не только удостоверить собственно контент, но и обеспечить
возможность последующей верификации значений различных значимых атрибутов
соответствующих карточек документов. Современные технические средства защиты
ключей от компрометации позволяют использовать соответствующие механизмы в
автоматизированных системах и предлагать заказчику эффективные решения задач
как автоматизации основных управленческих бизнес-процессов, так и верификации
действий пользователя в соответствии с маршрутом движения и этапами обработки
информации.

Мнение специалиста

Дмитрий Горелов,
коммерческий директор компании «Актив»

На сегодняшний
день абсолютно все российские сертифицированные средства криптографической
защиты информации (СКЗИ) в момент подписи извлекают секретный ключ из
защищенного хранилища, и криптопреобразования осуществляются в оперативной
памяти компьютера. Устройства, предназначенные для безопасного хранения
ключей, независимо от их стоимости и возможностей, спокойно дадут прочитать
секретный ключ, если предъявлен правильный РIN-код (пароль).

Конечно,
смарт-карты и USВ-токены значительно безопаснее дискет, с этим никто не
спорит. Но если в устройстве есть аппаратная реализация RSA а хранятся ключи
для ГОСТ Р 34.10-2001, то ничего кроме более высокой цены пользователь не
получит. Если говорить об ЭЦП, основанной на российских алгоритмах ГОСТ Р
34.

11-94, ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001, то появление
«квалифицированной электронной подписи» – вопрос времени. Ни один специалист
по информационной безопасности не будет спорить, что генерация ключевой пары
внутри доверенного устройства – лучший вариант. Закрытый ключ никогда не
покидает устройства, не может быть извлечен известными изданный момент тех.

Валерий Конявский,
доктор технических наук, действительный член РАЕН, АЭН, Европейской Академии
естественных наук, директор Всероссийского научно-исследовательского
института проблем вычислительной техники и информатизации (ВНИИПВТИ), член
научного совета при Совете Безопасности РФ, заведующий кафедрой защиты
информации МФТИ, заместитель Председателя Совета главных конструкторов
информатизации регионов Российской Федерации

Чтобы убедить
потенциального потребителя в необходимости сохранять в тайне закрытый ключ
ЭЦП, действительно нужно популяризировать профессиональные знания. И здесь,
как и всегда при взаимодействии с человеком, важнейшим становится правило:
«Не навреди». Сегодня дискуссия по вопросу законодательного регулирования
применения ЭЦП как раз проходит через плоскость – надо ли нам вводить все
виды ЭЦП, предусмотренные Директивой ЕС, или достаточно использовать ЭЦП,
определенную нашими нормативными документами.

Наше изучение международного
опыта подтверждает – догонять нужно не нам, а догонять нужно нас.
Действительно, развитие системы PKI в мире происходило «снизу вверх», т. е.
от потребностей бизнеса к государственному регулированию. Как результат –
«зоопарк» различных видов ЭЦП, привести которые «к общему знаменателю»
практически невозможно.

При этом все же в государственной практике
применяется только «квалифицированная» подпись. У нас же применение ЭЦП было
инициировано государством, и поэтому «зоопарка» удалось избежать. Система
удостоверяющих центров развивается медленнее, но правильнее, и уже сегодня
многие европейские страны выразили желание освоить наш опыт.

Стоит ли при этом
возобновлять дискуссию о применении различных видов слабых ЭЦП, слабых до
такой степени, что необходимых функций не выполняют?

А вот создание
мобильных средств генерации и хранения ключей – действительно важная задача.
Уже понятно, что они будут массово использоваться в двух видах: в виде
USВ-устройств и в виде смарт-карт. В частности, как средство технической
поддержки национальной идентификационной системы, по нашему мнению, будет
использоваться унифицированная социальная карта, в которой будет предусмотрено
выполнение этих функций. Появились на рынке и первые USВ-устройства данного
класса.

Глеб Лукин, к.ф. –
м.н., генеральный директор компании ЛЕТОГРАФ

Применение ЭЦП в
системах электронного документооборота и автоматизации бизнес-процессов
становится все более востребованным в деятельности как коммерческих, так и
государственных структур. Дополнительный эффект удается получить за счет
возможности применения ЭЦП не только к контенту (электронному файлу), но и к
атрибутивной части соответствующих карточек документов.

Такой подход
позволяет не только удостоверить собственно контент, но и обеспечить
возможность последующей верификации значений различных значимых атрибутов
соответствующих карточек документов. Современные технические средства защиты
ключей от компрометации позволяют использовать соответствующие механизмы в
автоматизированных системах и предлагать заказчику эффективные решения задач
как автоматизации основных управленческих бизнес-процессов, так и верификации
действий пользователя в соответствии с маршрутом движения и этапами обработки
информации.

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

×
Рекомендуем посмотреть
Adblock detector