Ключи – это закодированные символы, а сертификат электронной цифровой подписи – краткая информация о владельце.
Закрытый ключ – это информация, выраженная определенным цифровым объемом, которая не работает без открытого ключа.
Открытый ключ – это комплекс данных для идентификации достоверности электронной цифровой подписи, работающий только в сочетании с закрытым ключом. Открытый ключ имеется у всех сторон договорных отношений. Копия есть и в удостоверяющем центре. Она служит гарантией защиты от подделки ЭЦП.
Работать с электронной цифровой подписью документа несложно. ЭЦП сохраняет все юридические свойства ручной подписи. Для расшифровки такой подписи необходимо иметь криптографические преобразователи. Этого достаточно для обеспечения надежного интерактивного документооборота. Документ с ЭЦП сможет открыть только тот, кому он непосредственно адресован. В случае, если произойдет попытка взлома и внесения изменений в документ, подпись автоматически перестает быть действительной.
Электронная цифровая подпись (ЭЦП) гарантирует защиту документа от подделки. Использование электронной цифровой подписи невозможно только в редких случаях, предусмотренных законодательством РФ, когда документы должны быть представлены на бумажном носителе.
Документа считается действительной только после ее регистрации в удостоверяющем центре. Его функция состоит в контроле за сохранностью и неизменностью ЭЦП различных адресантов. Специалисты удостоверяющих центров проводят консультации по созданию электронной цифровой подписи, помогают с оформлением необходимых документов и обучают обращению с ЭЦП.
Преимущества электронной цифровой подписи огромны. К ним относятся:
Снижение финансового риска при заключении интерактивных сделок и ведении документооборота он-лайн.
Экономия времени при оформлении документов.
Возможность участия в электронных торгах и ведения электронной отчетности перед государственными учреждениями.
Экономия затрат на подготовку документов.
Гарантия подлинности документов.
Сохранение юридической силы электронной цифровой подписи за рубежом.
Оптимизация времени при ведении бизнеса.
Значительное преимущество электронной цифровой подписи состоит в удобстве ее использования при заключении сделок с географически удаленными партнерами. В случае применения ЭЦП экономятся время и затраты на пересылку документов посредством курьерских служб.
Использование электронной цифровой подписи становится возможным после того, как для всех участников договорных отношений разрабатываются специальные ключи для обмена данными. С помощью секретного ключа, который должен храниться в труднодоступном месте, происходит дешифровка ЭЦП.
Подлинность электронной цифровой подписи подтверждается удостоверяющим центром, в котором есть копии всех сертификатов ЭЦП, и производится их сверка.
При помощи секретного ключа вы кодируете в крупное число. ЭЦП прикладывается как отдельный файл к пакету отправляемых документов. Открыть и дешифровать его сможет только человек, имеющий открытый ключ.
В электронной цифровой подписи содержится информация о том, как называется файл, в котором есть открытый ключ, данные о лице, подписавшем документ, дата проставления подписи.
После дешифровки получатель может оценить подлинность документа. Если никто не вмешивался в коды сертификата, то документ откроется в том виде, в каком был отправлен. Если же были попытки изменить содержание документа, будет выдана информация о том, что сертификат отправителя недействителен.
Электронная цифровая подпись является надежным и юридически значимым средством при ведении дел посредством интерактивного общения партнеров.
Первым российским законом, который закрепил понятие электронной цифровой подписи и правила ее использования, был Федеральный закон от 10 января 2002 г. № 1-ФЗ (далее - Федеральный закон "Об электронной цифровой подписи"). 8 апреля 2011 года вступил в силу Федеральный закон от 6 апреля 2011 г. № 63-ФЗ (далее - Федеральный закон "Об электронной подписи"). Он предусмотрел, что Федеральный закон "Об электронной цифровой подписи" утрачивает свою силу с 1 июля 2013 года. До этого времени действовали оба закона.
Принятие нового закона было обусловлено приведением российского законодательства в соответствие с международными стандартами. Так, Федеральный закон "Об электронной подписи" значительно расширил сферу применения электронной подписи, разрешил ее получение юридическим лицам, закрепил систему аккредитации удостоверяющих центров. Одним из главных новшеств стало введение нескольких видов электронной подписи - простой и усиленной, тогда как Федеральный закон "Об электронной цифровой подписи" предусматривал только один ее вид - электронную цифровую подпись.
Простая электронная подпись - это подпись, которая посредством использования кодов, паролей и иных средств подтверждения подтверждает факт формирования электронной подписи определенным лицом (). Она является самой доступной из всех видов электронной подписи и формируется посредством схемы "логин-пароль" или использования одноразового пароля.
Простая электронная подпись позволяет установить только личность лица, подписавшего документ, но не факт изменения содержимого документа после его подписания, что значительно ограничивает сферу ее использования.
Помимо простой электронной подписи существует также усиленная, которая может быть квалифицированной и неквалифицированной.
Неквалифицированной усиленной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи ().
Для использования усиленной электронной подписи ее владелец получает два ключа. Ключ электронной подписи (закрытый ключ) служит для создания электронной подписи документа и, как правило, хранится на обособленном носителе. Одним из распространенных носителей ключа электронной подписи является токен (USB-ключи E-token, Rutoken). Он представляет собой компактное мобильное USB-устройство, на котором хранится подпись. Токен имеет защищенную область памяти, и получить доступ к ней для использования электронной подписи может только владелец электронной подписи, знающий код доступа к токену. Этим обеспечивается подтверждение того, что документ подписан конкретным лицом. Кроме того, иногда для подписания документа может потребоваться привязка к мобильному телефону и введение пароля, полученного в смс-сообщении (например, такую процедуру практикуют некоторые банки). Обычно при подписании электронного документа он направляется на токен, внутри которого генерируется подпись и прочно связывается с содержимым документа, а потом подписанный документ выдается обратно владельцу ключа. Закрытый ключ, таким образом, не покидает свой носитель, что обеспечивает безопасность при применении электронной подписи. Кроме того, связывание содержимого документа с электронной подписью позволяет определить, не вносились ли изменения в документ после его подписания.
Внимание! Хотя носитель ключа усиленной электронной подписи технически может подключаться к разным компьютерам, необходимо учитывать следующее. Оформляя усиленную электронную подпись, пользователь получает программу-криптопровайдер, которая преобразует подписываемую информацию, связывая ее с электронной подписью. Если в составе электронной подписи вы приобрели только одну лицензию, использовать электронную подпись возможно только на том компьютере, на котором установлена эта лицензия. При желании подписывать электронные документы на разных компьютерах необходимое количество лицензий на программу-криптопровайдер придется докупить или приобрести сразу несколько лицензий для разных компьютеров. |
Закрытый ключ связан с ключом проверки электронной подписи (открытый ключ). Именно этот ключ использует адресат электронного документа, чтобы с его помощью удостовериться в действительности подписи и отсутствии изменений документа после его подписания. В удостоверяющем центре, выдавшем сертификат ключа проверки электронной подписи, находится дубликат открытого ключа на случай споров о подлинности подписи.
Сертификат ключа проверки электронной подписи представляет собой официальный документ (он может существовать как в электронной, так и в бумажной форме), выдаваемый удостоверяющим центром. Он предназначен для подтверждения принадлежности ключа проверки конкретному лицу - владельцу этого сертификата. Иными словами, именно с помощью сертификата вы сможете удостовериться, что электронная подпись принадлежит тому лицу, которое направило вам подписанный документ. Данные сертификата открыты и предоставляются удостоверяющим центром всем желающим.
Квалифицированная усиленная электронная подпись отличается от неквалифицированной тем, что ее сертификат ключа проверки подписи (квалифицированный сертификат) создан и выдан удостоверяющим центром, аккредитованным при Минкомсвязи России. Программное средство криптозащиты такой электронной подписи, а также аппаратное средство криптозащиты (токен) сертифицированы ФСБ России. Она считается самым защищенным видом электронной подписи и требуется для электронного взаимодействия с государственными органами в подавляющем большинстве случаев.
| Список аккредитованных удостоверяющих центров |
Если аккредитованный удостоверяющий центр допустит причинение убытков третьим лицам, доверившимся указанной в сертификате ключа информации, или информации, содержащейся в реестре сертификатов этого удостоверяющего центра, его ответственность обеспечивается суммой не менее чем 1,5 млн руб. ( , пп. 2 п. 5 приказа Минкомсвязи России от 23 ноября 2011 г. № 320 ). Недавно Минкомсвязь опубликовало на своем официальном сайте законопроект, согласно которому минимальный размер чистых активов удостоверяющего центра может составить 10 млн руб. вместо 1 млн руб. на сегодняшний день, а минимальный размер обеспечения предлагается увеличить с 1,5 млн руб. до 50 млн. руб.
Выданные в соответствии с Федеральным законом "Об электронной цифровой подписи" электронные подписи признаются равнозначными усиленным квалифицированным электронным подписям. Если вступившие в силу до 1 июля 2013 года федеральные законы и иные нормативные акты предусматривают использование электронной цифровой подписи, должна применяться усиленная квалифицированная электронная подпись. (). Срок ее действия ограничивается сертификатом, однако после 31 декабря 2013 года подписывать электронные документы электронной цифровой подписью будет запрещено ().
Теперь рассмотрим сложные ситуации, которые часто встречаются на практике.
Ситуация 1. Вы получили подписанный электронной подписью документ и хотите проверить срок действия сертификата ключа подписи или убедиться, что он не был отозван , то для проверки подлинности электронной подписи вы можете воспользоваться соответствующим сервисом , размещенном на портале госуслуг.
Ситуация 2. Уволился сотрудник, на которого была оформлена электронная подпись. Поскольку электронная подпись оформляется именно на сотрудника, а не на соответствующую должность, вам необходимо оперативно обратиться в удостоверяющий центр, который выдавал сертификат электронной подписи. Удостоверяющий центр внесет его в реестр отозванных сертификатов, и с этого момента электронная подпись сотрудника будет считаться недействительной. В противном случае может возникнуть сложная ситуация, если недобросовестный сотрудник, имея доступ к своему компьютеру, подпишет какой-либо документ от имени организации сразу после увольнения. Для нового сотрудника необходимо будет оформить новую электронную подпись.
Рекомендуем также прописать в локальном нормативном акте или непосредственно в трудовом договоре сотрудника обязанности по обеспечению конфиденциальности закрытого ключа электронной подписи и сохранности ее аппаратного носителя.
Ситуация 3. Вы получили документ, но отправитель не приложил отдельным файлом открытый ключ. Открытый ключ усиленной электронной подписи обычно всегда содержится в сертификате ключа электронной подписи. Иными словами, если получен электронный документ, подписанный электронной подписью, он будет содержать в своем составе открытый ключ электронной подписи, с помощью которого можно проверить ее подлинность. При возникновении затруднения вы можете обратиться в удостоверяющий центр, выдавший соответствующий сертификат за предоставлением выписки.
Ситуация 4. Вы хотите проверить, обладает ли сотрудник сторонней компании полномочиями на подписание того или иного документа. Для проверки полноты полномочий должностного лица, подписавшего электронный документ, достаточно ознакомиться с сертификатом ключа его подписи - в нем содержится информация как о должности сотрудника, так и о сфере применения его электронной подписи.
Ситуация 5. Вы хотите передать право использования электронной подписи по доверенности. При применении усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей частности не допускать использование принадлежащих им ключей электронных подписей без их согласия (). Несмотря на оставленную законодателем возможность применения ключей электронной подписи другим лицом с согласия владельца сертификата, мы не рекомендуем поступать таким образом. Анализ судебной практики показывает, что суды допускают возможность использования электронной подписи исключительно владельцем сертификата ключа проверки электронной подписи (см., например, постановление ФАС ПО от 27 ноября 2001 г. № А65-5421/01-СГ2-20, постановление ФАС ВВО от 29 апреля 2005 г. № А11-1742/2003-К1-10/164).
Пользование электронной подписью: что мешает?
 |
| Время проведения опроса: 3-10 июня 2013 года Место проведения опроса: Россия, все округа Размер выборки: 141 респондент |
Основная проблема, препятствующая широкому использованию электронной подписи, заключается в недостаточной активности населения и неосведомленности о преимуществах электронной подписи, равнозначности ее личной подписи, сферах применения. Результаты опроса наших пользователей на тему "Пользуетесь ли вы электронной цифровой подписью?" показывают, что только одна треть (29%) респондентов ответила положительно на этот вопрос. Большинство опрошенных (48%) электронной подписью не пользуется, еще 12% думают над ее использованием, а 11% респондентов не знают, что это такое (см. Диаграмма 1).
Кроме того, распространению электронной подписи препятствуют ее цена и необходимость оформления разных подписей для взаимодействия с разными госорганами и доступа к различным базам данных. Так, стоимость оформления электронной подписи для торгов в компании "Электронный экспресс" составляет от 3953 руб. до 7434 руб.
Вдобавок ко всему, не урегулирован порядок хранения документов, подписанных электронной подписью, в отличие от их бумажных аналогов. Для доступа к документу, заверенному электронной подписью и переданного на хранение, помимо собственно документа необходимо также хранить средства криптозащиты, с помощью которых была создана подпись и сертификат ключа проверки.
Виртуальная реальность становится все ближе, и вот уже и в бизнес-сообществе начинают использовать новые технологии для документооборота. В последнее время на слуху у всех такое словосочетание, как «цифровая электронная подпись». Давайте разберемся, что это за зверь такой и с чем его едят.
Подпись может быть просто электронной. Это та подпись, которую мы добавляем в документ, который пойдет в Интернет. Это может быть, к примеру, .pdf - файл. Электронной подписью также считается ваша подпись на пластиковой карточке. Помните, там есть пустое поле, на котором следует расписаться ручкой? Украсив обратную сторону «пластика» своим автографом, вы подтверждаете, что заключили сделку с банком.
Цифровые электронные подписи гораздо сложнее. Они используются для идентификации авторства электронных документов. Чтобы , нужно обратиться в специальный удостоверяющий центр, который обладает сертификатом на осуществление подобной деятельности.
Нужно предоставить и проверить немало документов, чтобы получить цифровую электронную подпись. Многие нормативно-правовые документы и шаблоны предоставляет . После подачи заявления на получение ЭЦП представитель организации получает два ключа, использует он их для документов разного типа.
Почему использовать электронную цифровую подпись удобно?
1) При использовании ЭЦП легко можно контролировать целостность документа, если при передаче документ дошел до получателя не полностью, то ЭЦП станет недействительной, так как она вычислена лишь для исходного состояния документа.
2) Предприятие получает гарантию защиты от подделок документов.
3) Владелец не может отказаться от ЭЦП, размещенной под документом, т.к. для создания корректной подписи нужен закрытый ключ, который имеется лишь у хозяина подписи. Также поэтому легко доказать авторство документа.
Все это делает электронную цифровую подпись удобным инструментом для бизнеса, особенно при общении с иногородними и иностранными партнерами. Что касается законодательной базы, которая обеспечивает функционирование системы ЭЦП в России, то даст ответы на все интересующие вас вопросы.
И, напоследок, предупредим лишь об одном: храните ключ от ЭЦП в безопасности. В центрах удостоверения ЭЦП можно заказать услугу временных меток, оставляемых в документах. По этим отметкам можно определить, когда и кто именно украл у вас ключ. Кстати, не всегда обязательно заводить ЭЦП. Многим фирмам достаточно обычно электронной подписи.
Очевидно также, что технология ЭЦП имеет широкие перспективы внедрения во всех сферах жизни современного общества, связанных с передачей и обработкой информации, считает Сергей Пазизин, руководитель группы защиты автоматизированных банковских систем ОАО «Банк ВТБ», канд. физ.-мат. наук.
В отличие от собственноручной подписи, ЭЦП позволяет передавать подписанный документ по каналам связи без пересылки материального носителя документа и сохранять при этом возможность проверки подлинности документа. Это обусловлено тем, что ЭЦП связана с содержанием документа логически, а не посредством общего материального носителя. Если, например, записать документ и его ЭЦП на два разных носителя, то не возникнет никаких затруднений с проверкой того, соответствует ли данная ЭЦП данному документу. Средства проверки ЭЦП могут установить ее подлинность для электронного документа независимо от источника, из которого загружена необходимая для проверки информация.
В то же время очевидно, что документ на бумажном носителе с собственноручной подписью передать без самого носителя невозможно. Если переслать документ по факсу или в отсканированном виде по электронной почте, то потеряется не только часть информации о подписи (например, степень нажима). Прежде всего, нельзя будет установить связь между текстом документа и подписью, так как подпись могла быть переклеена с другого документа перед передачей по факсу или вставлена после сканирования с помощью редактора графических изображений.
Другим важным преимуществом ЭЦП является сложность ее подделки. На данный момент автору неизвестно ни одного случая подделки ЭЦП, созданной в соответствии с действующими международными или российскими стандартами (под подделкой здесь понимается создание такой ЭЦП, которую не отличают от настоящей обычные средства проверки, доступные каждому пользователю, при условии их корректной работы). Что касается собственноручной подписи, то установить ее подлинность с высокой степенью достоверности можно только в результате специальной почерковедческой экспертизы. В реальных условиях при проверке подлинности собственноручной подписи возникают следующие проблемы.
1. Отсутствие необходимой квалификации у подавляющего большинства «пользователей» бумажных документов. С заключением договоров, получением справок и других документов на бумажных носителях сталкиваются практически все, однако специальную подготовку проходят очень немногие.
2. Низкое качество образцов подписи и возможность их подмены. Например, если клиент банка может обслуживаться в любом его офисе, то, соответственно, в каждом офисе должен иметься и образец его подписи. Следовательно, банк вынужден рассылать отсканированные образцы подписи, обеспечивать их защиту от подмены и для проверки вместо оригинала подписи использовать ее изображение на экране монитора. Такая ситуация затрудняет проверку подлинности собственноручной подписи клиентов и создает условия для хищения денежных средств. Поэтому при выдаче денег банковские служащие не только сличают подпись клиента с образцом, но и требуют предъявить документ, удостоверяющий личность. Такая двойная проверка снижает вероятность обмана, но не позволяет исключить его полностью, так как злоумышленник может не только подделать подпись, но и использовать фальшивые документы. Не исключается также возможность сговора с работником банка и, например, получения кредита по чужим паспортным данным.
3. Недоступность образцов подписи. На практике при получении подписанного договора, счета или справки возможность сравнить подписи в этих документах с достоверными образцами часто вообще отсутствует. Такая ситуация не только объясняется низким уровнем правовой культуры, но и имеет объективные причины, связанные со сложностью организации работы с образцами подписи. В результате недобросовестная сторона может в последующем отказаться от исполнения обязательств на том основании, что документ подписан неуполномоченным лицом.
4. Изменчивость подписи, связанная с волнением, усталостью, состоянием алкогольного опьянения, невыработанностью подписи либо сознательным ее изменением. Данное свойство значительно затрудняет установление подлинности подписи и может, с одной стороны, привести к непризнанию настоящей подписи действительной, а с другой - использоваться злоумышленником в качестве основания для отказа от исполнения своих обязательств по документу, подписанному сознательно измененной подписью.
Учитывая сказанное выше, можно сделать вывод о том, что ЭЦП не только применима в тех ситуациях, в которых в принципе невозможно использование собственноручной подписи для подтверждения подлинности документов, но и имеет ряд преимуществ, связанных с наличием четких (математических) критериев достоверности и отсутствием необходимости в образцах подписи для проверки. Криптографические алгоритмы цифровой подписи позволяют с высокой степенью достоверности проверить следующее утверждение: электронный документ подписан с помощью закрытого ключа, соответствующего используемому для проверки открытому ключу, и после простановки подписи в электронный документ не были внесены изменения. При этом закрытый ключ ЭЦП, используемый для подписания электронных документов, известен только его владельцу, а открытый ключ ЭЦП, предназначенный для проверки подлинности ЭЦП, доступен любому пользователю соответствующей информационной системы.
Однако реализовать свои преимущества ЭЦП может только при квалифицированной организации ее использования и соблюдении ряда условий.
Эффективному использованию ЭЦП препятствует также отсутствие сложившейся правовой базы и правоприменительной практики, что неудивительно, если учесть, что со времени первых реальных ее применений прошло не более 20 лет (ранее вычислительная техника, необходимая для реализации алгоритмов ЭЦП, не была в достаточной мере распространена как в России, так и в других странах). Несмотря на то что с 2002 г. в России действует Закон об электронной цифровой подписи, правовые отношения при использовании ЭЦП по-прежнему регламентируются в основном двусторонними соглашениями и договорами присоединения, не всегда в полной мере защищающими интересы сторон. Часто также не проработаны в достаточной степени организационно-технические и правовые вопросы применения ЭЦП во внутреннем электронном документообороте организаций.
При внедрении ЭЦП обычно используется упрощенный подход, основанный на широко распространенном заблуждении, состоящем в том, что ЭЦП для электронного документа является эквивалентом собственноручной подписи для бумажного документа.
1. Отчуждаемость возможности простановки подписи от владельца подписи. Как известно, возможность постановки собственноручной подписи на бумажном документе принадлежит конкретному физическому лицу и не может быть передана или похищена. Что касается цифровой подписи, то закрытый ключ, позволяющий его владельцу подписывать электронные документы, может быть передан другому лицу (или сразу нескольким лицам), а также потерян или похищен и затем незаконно использован. Здесь наблюдается определенная аналогия ЭЦП с печатью. Однако имеется и принципиальное отличие - возможность использования печати жестко связана с ее материальным носителем. Ее можно передать другому лицу во временное пользование, а затем забрать обратно. При этом временный владелец может сделать копию печати, но это будет другая печать и ее оттиски можно будет отличить от настоящих. Если же кто-то получит доступ к закрытому ключу, с помощью которого вычисляется ЭЦП, и сделает его копию, то сможет в будущем вычислять для электронных документов подлинные ЭЦП, полностью идентичные тем, которые создает настоящий владелец закрытого ключа подписи.
2. Отсутствие неразрывной связи с подписанным экземпляром электронного документа . Собственноручная подпись ставится на конкретном экземпляре документа, и невозможно появление новых экземпляров, ничем не отличающихся от подписанного. Могут существовать лишь его копии, подлинность которых требуется в свою очередь заверять. Подписанный в единственном экземпляре бумажный документ ни при каких условиях не может оказаться одновременно в двух местах. И если подписанный собственноручной подписью бумажный документ будет уничтожен, то можно быть уверенным, что второго точно такого же нет.
Что же касается ЭЦП, то она связана только с подписываемой информацией (а не с ее носителем) и вместе с этой информацией может быть размножена в произвольном количестве экземпляров. Копии электронного документа и копии с его копий ничем не отличаются от исходного документа. ЭЦП будет верна у всех этих экземпляров.
3. Наличие посредников. В отличие от процесса подписания бумажного документа, между человеком, ставящим ЭЦП, и электронным документом имеется посредник в виде аппаратно-программного средства, действия которого владелец ЭЦП может контролировать лишь предположительно.
Конечно, и бумажный документ может быть подписан без прочтения или может быть произведена подмена одного документа другим. Но в случае с собственноручной подписью человек имеет выбор - подписывать все листы документа или только последний с реквизитами, читать или не читать документ. В случае ЭЦП такого выбора у владельца подписи нет по следующим причинам.
Во-первых, человеку необходимо средство для просмотра (визуализации) электронного документа в связи с тем, что информация в исходном (машинном) виде является последовательностью нулей и единиц и для непосредственного восприятия недоступна. Да и не способен человек без специальных приспособлений считать ее с носителей информации, на которых она хранится в виде областей с разной намагниченностью или разной отражающей способностью. Следовательно, возможно, что на экране человек прочитает один электронный документ, а подпишет другой. Аналогичная ситуация возможна и при проверке ЭЦП - подпись может быть проверена для одного электронного документа, а на экран (на бумагу) может быть выведен другой электронный документ.
Во-вторых, человек нуждается в программных средствах, вычисляющих ЭЦП и проверяющих ее, так как не способен производить настолько сложные вычисления самостоятельно.
Следствием неизбежного присутствия указанных «посредников» является необходимость доверять им, а следовательно, и тем, кто их создал, выбрал, установил, настроил, кто обеспечивает их работу, осуществляя доступ к компьютерам в соответствии со своими должностными обязанностями.
Таким образом, образуется несколько групп «доверенных» лиц. Рассмотрим их подробнее.
Первая группа включает поставщиков программного обеспечения и, в частности, программистов, писавших код используемых программ.
Тем, кто считает, что компьютерные программы всегда делают то, что заявлено разработчиками, стоит обратить внимание на тексты лицензионных соглашений программного обеспечения. Часто в них явно указывается, что программное обеспечение поставляется «как есть» и поставщик не несет ответственность за прямые или косвенные убытки, причиненные неправильной работой программы. При этом необходимо учесть, что если такого пункта нет в лицензионном соглашении, то это вовсе не означает, что такие убытки будут кому-либо компенсированы. Скорее всего, разработчики просто не хотят пугать пользователей и надеются, что в случае каких-либо сбоев потерпевшему все равно не удастся добиться компенсации.
Вторая группа включает посредников, через руки которых проходят дистрибутивы программ, а также лиц, осуществлявших непосредственную установку программного обеспечения. Стоит задуматься, на чем основана уверенность во всех этих людях? На любом этапе пути от разработчика до компьютера пользователя в программное обеспечение, участвующее в обработке электронных документов, могли быть внесены изменения, или оно целиком могло быть заменено поддельным.
Третья группа включает специалистов, получающих официальный доступ к чужим компьютерам - администраторов и представителей служб поддержки и т. п. Далеко не все пользователи имеют достаточную квалификацию, чтобы самостоятельно осуществлять администрирование своих компьютеров и гарантировать недоступность их ни на одну минуту посторонним. Впрочем, дело даже не в квалификации. В любой крупной организации пользователь не имеет административных полномочий на своем компьютере. Соответствующие функции выполняют работники подразделения автоматизации, причем, как правило, дистанционно, так что пользователь не только с ними не знаком, но часто даже не знает, сколько человек имеют возможность читать его файлы, запускать его программы, подписывать ЭЦП за него электронные документы. Учитывая, что сопровождение программного обеспечения могут осуществлять посторонние организации, состав данной группы зачастую вообще никем не контролируется. Актуальность данной проблемы последнее время возрастает в связи с распространением аутсорсинга в сфере информационных технологий и ростом популярности использования коммерческих ЦОД.
Кроме перечисленных выше «законных» посредников повлиять на работу средств ЭЦП могут и так называемые хакеры, осуществляющие несанкционированный доступ к чужим данным и ресурсам. Причем для этого им не обязательно иметь физический доступ к компьютеру пользователя. С применением компьютерных сетей атака может осуществляться и из соседнего кабинета, и из другого филиала организации, а при наличии соединения с Интернетом - из любой страны мира.
Поскольку владелец ЭЦП самостоятельно не может держать под контролем действия перечисленных групп, то для обеспечения своего относительного спокойствия он или его работодатель вынуждены обращаться к помощи специалистов по компьютерной безопасности, которые образуют пятую группу доверия, поскольку от их квалификации и добросовестности зависит степень угрозы от перечисленных выше лиц.
Таким образом, физическое лицо, даже при наличии необходимых знаний, в большинстве реальных систем электронного документооборота не может полностью контролировать использование своей ЭЦП.
4. Ограниченность периода времени, в течение которого сохраняется юридическая значимость ЭЦП. В отличие от собственноручной подписи документа на бумажном носителе, обеспечивающей юридическую значимость независимо от времени, действие ЭЦП имеет временнЫе ограничения, связанные со сроком действия сертификата ключа ЭЦП, угрозой компрометации и развитием технологий.
При изготовлении ключа, как правило, оговаривается период его действия. Обычно это делается в сертификате ключа ЭЦП - документе, подтверждающем принадлежность ключа ЭЦП определенному лицу. Формально согласно Закону об ЭЦП достаточно, чтобы сертификат действовал на момент подписания электронного документа при наличии доказательств, определяющих момент подписания. Однако поскольку судебная практика по вопросу доказательства момента подписания ЭЦП электронных документов отсутствует и методы доказательства законодательно не определены, юридическая значимость любого электронного документа после окончания действия соответствующего сертификата может быть поставлена под сомнение. Таким образом, если электронный документ подписан ЭЦП за сутки до окончания действия сертификата, то через сутки он может утратить свою юридическую значимость. Данный факт, очевидно, накладывает значительные ограничения на область применения ЭЦП.
Следующая угроза потери юридической значимости электронного документа с течением времени связана с возможной компрометацией закрытого ключа ЭЦП, используемого для выработки подписи, т. е. событием, в результате которого возможно не санкционированное владельцем использование закрытого ключа ЭЦП. При этом собственно несанкционированного использования ключа может и не произойти. Достаточно события, указывающего на возможный доступ к закрытому ключу ЭЦП постороннего лица, например вскрытия печати на сейфе, в котором хранятся носители ключей ЭЦП, или потери такого носителя.
В случае признания факта компрометации ключа его не только нельзя будет использовать в дальнейшем, но и для уже подписанных ЭЦП электронных документов необходимо будет доказать, что они подписаны до их компрометации, что не всегда возможно сделать. Ведь злоумышленник, если он завладел ключом, может установить на своем компьютере произвольные дату и время, в том числе те, на которые ключ еще не был скомпрометирован, и подписать нужный ему электронный документ прошедшей датой.
Что касается технологического аспекта временнЫх ограничений, то он обусловлен возможностью появления новой вычислительной техники и новых математических методов, которые могут быть использованы для подделки ЭЦП, вырабатываемой в соответствии с действующими в настоящее время стандартами. Образно говоря, в будущем могут появиться снаряды, от которых современная броня не является защитой.
Нечто подобное произошло с алгоритмом шифрования данных DES, принятым в 1977 г. в качестве федерального стандарта США. В настоящее время этот шифр не является надежным, так как современные ЭВМ позволяют перебрать для него все варианты ключей () за приемлемое время. Для объективности следует отметить, что и в 1977 г. из-за малой длины ключа многими специалистами прогнозировалась возможность вскрытия этого шифра в ближайшем будущем. В современных криптографических стандартах ЭЦП длины ключей выбраны со значительным запасом, что, однако, не позволяет исключить появления новых математических методов или качественных прорывов в развитии вычислительной техники, способных сделать реальной подделку ЭЦП, изготовленных в соответствии с этими стандартами.
Перечисленные выше отличия ЭЦП от собственноручной подписи документа на бумажном носителе были известны еще в то время, когда формировалось теоретическое обоснование возможности применения ЭЦП. Описаны также основные пути решения имеющихся проблем (специалистам они известны, несложно найти и соответствующую литературу). Необходимо только, чтобы при разработке систем электронного документооборота и подготовке нормативной базы по применению ЭЦП поднятые проблемы осознавались и учитывались всеми участниками процесса внедрения, а также пользователями этих систем.
Электронная цифровая подпись - инструмент, который позволяет физлицам (гражданам) решать целый перечень задач в удобной и простой форме. Представьте только: раньше для подачи декларации в налоговую службу вам приходилось отрываться от работы, ехать в ближайшую инспекцию, стоять в очередях, заполнять квитанции в спешке. Теперь же достаточно зайти в личный кабинет с помощью ЭЦП и в комфортной атмосфере дома (офиса) отправить документы налоговикам.
Точно так же легко и быстро можно подать заявление на поступление в ВУЗ, открыть ИП, подать заявку на патент и даже стать участником аукциона по продаже имущества банкрота (получив, тем самым, дополнительную возможность для увеличения дохода).
Наконец, электронная цифровая подпись позволяет физическим лицам обмениваться юридически значимыми документами в сети интернет. Например, для того чтобы составить трудовой договор и подписать его, не нужно ехать в офис работодателя (особенно если он расположен в другом городе или даже в другой стране) - достаточно воспользоваться сертификатом ЭЦП. Этот способ особенно подходит удаленным работникам, которых сегодня становится все больше.
Есть еще масса способов использования электронной цифровой подписи гражданами. Во всех случаях ЭЦП серьезно облегчает жизнь людям, она позволяет избегать рутинных процессов, сводит на нет бюрократические препоны. Причем, с каждым годом государство все больше инвестирует в развитие электронных сервисов, переводя в цифровую сферу все основные виды взаимодействия с населением. Поэтому будущее, несомненно - за электронными системами, и в частности, за ЭЦП.
Особенности получения электронной подписи
Есть свои особенности и в процессе выдачи электронной цифровой подписи для физлиц. Напомним, что выдачей ЭЦП занимаются специализированные организации - удостоверяющие центры, которые имеют лицензию ФСБ и способны обеспечивать выпуск максимально защищенных сертификатов подписей. Чтобы получить ЭЦП, нужно обратиться в один из удостоверяющих центров, подать заявку и ряд документов.
Первая особенность (и преимущество) заключается в том, что выдача электронной подписи физлицам происходит на основании всего трех документов:
- паспорт;
- СНИЛС;
- свидетельство ИНН.
Причем, требуется предоставить не оригинальные документы, а всего лишь их копии (сканы).
Вторая особенность касается срока действия сертификата ЭЦП для физлица. Дело в том, что он составляет 15 месяцев (что несколько больше, чем стандартный срок действия подписи юрлица, 1 год).
Дополнительные преимущества вы получаете, обращаясь в наш удостоверяющий центр. А именно, мы выдаем электронную подпись всего за 1 день - причем, без доплаты за срочность, по фиксированному тарифу. Так что, если вам срочно понадобилась ЭЦП и вы желаете сэкономить на ее оформлении, обращайтесь уже сейчас.
Еще одно преимущество заказа подписи у нас: в стоимость изготовления сертификата в нашей компании входит доставка, установка и настройка программного обеспечения, а также экспресс-курс обучения пользованию ЭЦП.
