Глава 2. Защита платежных документов

2.1. Передача электронных платежных документов по сети

В системах класса "ИНТЕРНЕТ-БАНК" платежные документы создаются, обрабатываются воспроизводятся на бумажных носителях в соответствии с требованиями следующих технических нормативных правовых актов:

ТР 2008/009/BY "Банковская деятельность. Информационные технологии. Информационная совместимость программных и программно-технических средств платежной системы";

ТКП 063.1-2007 "Банковские технологии. Порядок создания и обработки платежных инструкций клиента в форме электронных документов. Часть 1. Платежное поручение, платежное требование" (с изменением N 1);

ТКП 075-2007 "Банковские технологии. Порядок воспроизведения на бумажном носителе платежных инструкций клиента в форме электронных документов. Часть 1. Платежное поручение. Платежное требование" (с изменением N 1).

Также банку необходимо принять следующие меры по обеспечению контроля безопасности:

Банку следует принять необходимые меры для достоверной идентификации и авторизации клиентов, с которыми осуществляются операции через Интернет.

Банку следует использовать методы идентификации трансакций, которые способствуют невозможности отказа от осуществленной трансакции и устанавливают учет данных трансакций.

Банк должен обеспечить проведение необходимых мероприятий, способствующих адекватному распределению обязанностей в системе "электронного банкинга", базах данных и приложениях.

Банк должен обеспечить систему "электронного банкинга", базы данных и приложения необходимой системой авторизационного контроля и доступа.

Банк должен обеспечить необходимые меры для защиты целостности данных о трансакциях, записях и другой информации в системе "электронного банкинга".

Банку следует обеспечить возможность осуществления аудита всех трансакций в системе "электронного банкинга".

Банку следует принять необходимые меры для сохранения конфиденциальности ключевой информации в системе "электронного банкинга". Принимаемые меры сохранения конфиденциальности должны быть сопоставимы с характером передаваемой и / или хранящейся в базах данных информации.

Платежные документы на бумажном носителе должны быть оформлены соответствующим образом, а также на них должны быть печать и подпись доверенного лица.

Платежные документы передаваемые по сети набираются на компьютере в виде обычного текста в буквенно-цифровом представлении, содержащего все необходимые юридические реквизиты. При этом сам по себе текст является лишь изображением на устройстве вывода – экране монитора. В физическом смысле – это двоичная последовательность сигналов в запоминающем устройстве персонального компьютера, где каждой букве, цифре, знаку препинания или пробелу на экране соответствует последовательность двоичных символов (битов) согласно кодовой таблице ASC II*, установленной международным стандартом ISO** 646.

Потом происходит криптографическое преобразование текста, для чего запускается другая программа. Все двоичные символы смешиваются, их порядок изменяется, вместо нескольких старых символов может появиться лишь один новый и наоборот. Значимая двоичная последовательность изменяет содержание и трансформируется в ничего не значимую с точки зрения постороннего наблюдателя. В этих целях могут реализовываться различные методы криптографической защиты, но очень важно, чтобы хотя бы раз использовался метод ЭЦП. В противном случае достоверность документа и его уникальное авторство доказать невозможно против лица, имеющего доступ к тем же криптографическим алгоритмам.

Для указанных целей часть информации вводится извне – через устройство ввода компьютера с простого технического носителя (дискеты), которая может храниться в сейфе директора или главного бухгалтера плательщика. Дискета содержит секретные ключи шифрования или ЭЦП. Это тоже двоичные последовательности, из содержания которых программа определяет из произвольного множества конкретные количественные параметры реализуемых алгоритмов криптографических преобразований. Программа считывает из запоминающего устройства двоичную последовательность содержания платежного документа, с технического носителя – двоичные последовательности ключей и проводит с ними всевозможные преобразования. В результате в запоминающем устройстве клиента-плательщика создается новая, не значимая для посторонних, двоичная последовательность, которая будет передаваться в банк по сетям электросвязи.

После этого с клавиатуры запускается третья программа – обычная программа модема. Отдельные символы из запоминающего устройства компьютера преобразовываются в аналоговые сигналы и по обычной телефонной сети (в большинстве случаев) передаются в банк. Такой сеанс связи осуществляется в режиме постоянного телефонного обмена. Только вместо электрических сигналов с мембраны телефонной трубки по сети передаются электрические сигналы, преобразуемые модемом.

В банке, принимающем аналоговые электрические сигналы и преобразующем их в цифровую (двоичную) последовательность, происходит обратный процесс криптографического преобразования. Осуществляется он с использованием той же программы с секретными ключами, хранящейся на технических носителях в банке. Эти секретные ключи не требуют криптографического преобразования при получении, так как оно осуществляется с применением открытых ключей отправителя, которые содержаться в запоминающем устройстве компьютера у получателя.

Однако программа составлена так, что без возможности считать секретные ключи получателя она не может быть выполнена. Это необходимо из-за того, что после криптографических преобразований независимо от желания получателя с сообщения программой автоматически вычисляется функция хэширования, которая затем с применением секретных ключей получателя отправляется обратно клиенту, который не может вмешаться в этот процесс или прервать его. Он протекает очень быстро и в результате почти одновременно с получением на экран или принтер банка платежного поручения клиенту приходит другой документ, заверенный ЭЦП банка. Этот документ называется квитанцией и доказывает юридический факт получения банком отправленного клиентом сообщения. По аналогии с платежным поручением на бумажном носителе квитанция аналогична экземпляру платежного поручения с отметкой банка о принятии к исполнению.[16]

2.2.Электронно цифровая подпись

Электронная цифровая подпись (ЭЦП) —реквизитэлектронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формированияЭЦПи проверить принадлежность подписи владельцусертификата ключаЭЦП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключаЭЦП.

Электронная подпись предназначена дляидентификациилица, подписавшего электронный документhttp://ru.wikipedia.org/wiki/%DD%EB%E5%EA%F2%F0%EE%ED%ED%E0%FF_%F6%E8%F4%F0%EE%E2%E0%FF_%EF%EE%E4%EF%E8%F1%FC - cite_note-.D0.93.D0.9E.D0.A1.D0.A2_34.10-0. Кроме этого, использование электронной подписи позволяет осуществить:

Контрольцелостностипередаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.

Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.

Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом.

Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т.д.

Существует несколько схем построенияцифровой подписи:

На основе алгоритмовсимметричного шифрования. Данная схема предусматривает наличие в системе третьего лица — арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру.

На основе алгоритмовасимметричного шифрования. На данный момент такие схемыЭЦПнаиболее распространены и находят широкое применение.

Кроме этого, существуют другие разновидности цифровых подписей (групповая подпись, неоспоримая подпись, доверенная подпись), которые являются модификациями описанных выше схем. Их появление обусловлено разнообразием задач, решаемых с помощьюЭЦП.

Симметричные схемыЭЦПменее распространены чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи, основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятияЭЦПДиффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощьюблочного шифра. Асимметричные схемыцифровой подписиопираются на вычислительныезадачи, сложность которых еще не доказана, поэтому невозможно определить, будут ли эти схемы сломаны в ближайшее время, как это произошло со схемой, основанной назадаче об укладке ранца. Также для увеличения криптостойкости нужно увеличивать длину ключей, что приводит к необходимости переписывать программы, реализующие асимметричные схемы, и в некоторых случаях перепроектировать аппаратуру. Симметричные схемы основаны на хорошо изученных блочных шифрах.

В связи с этим симметричные схемы имеют следующие преимущества:

Стойкость симметричных схемЭЦПвытекает из стойкости используемых блочных шифров, надежность которых также хорошо изучена.

Если стойкость шифра окажется недостаточной, его легко можно будет заменить на более стойкий с минимальными изменениями в реализации.

Однако у симметричныхЭЦПесть и ряд недостатков:

Нужно подписывать отдельно каждый бит передаваемой информации, что приводит к значительному увеличению подписи. Подпись может превосходить сообщение по размеру на два порядка.

Сгенерированные для подписи ключи могут быть использованы только один раз, так как после подписывания раскрывается половина секретного ключа.

Из-за рассмотренных недостатков симметричная схемаЭЦПДиффи-Хелмана не применяется, а используется её модификация, разработанная Березиным и Дорошкевичем, в которой подписывается сразу группа из нескольких бит. Это приводит к уменьшению размеров подписи, но к увеличению объема вычислений. Для преодоления проблемы «одноразовости» ключей используется генерация отдельных ключей из главного ключа.

Асимметричные схемыЭЦПотносятся к криптосистемам с открытым ключом. В отличие от асимметричных алгоритмов шифрования, в которых зашифрование производится с помощью открытого ключа, а расшифрование — с помощью закрытого, в схемах цифровой подписи подписывание производится с применением закрытого ключа, а проверка — с применением открытого.

Общепризнанная схема цифровой подписи охватывает три процесса:

Генерацияключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.

Формирование подписи. Для заданного электронного документа с помощью закрытого ключа вычисляется подпись.

Проверка (верификация) подписи. Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.

Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:

Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.

Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.[2]

В Республике Беларусь правовые основы использования ЭЦП заложены в пункте 2 статьи 161 Гражданского кодекса Республики Беларусь о письменной форме сделки. В этом пункте установлено, что использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и порядке, предусмотренных законодательством или соглашением сторон. В настоящий момент в Республике Беларусь действует Закон «Об электронном документе», в котором определяются условия, при которых электронный документ с ЭЦП на машинном носителе приравнивается к документу на бумажном носителе и имеет одинаковую с ним юридическую силу. 28 декабря 2009 года принят Закон «Об электронном документе и электронной цифровой подписи», который вступил в силу в декабре 2010 года.[3]