- •Глава 9 Техническое и юридическое обеспечение режима электронной подписи
- •9.1. Понятие об электронной цифровой подписи
- •Особенности рукописной подписи
- •Особенности электронной цифровой подписи
- •9.2. Техническое обеспечение электронной цифровой подписи
- •Потребность в криптографии
- •Метод и ключ шифрования
- •Симметричные и несимметричные методы шифрования
- •Основы несимметричной криптографии
- •Простейшая структура эцп
- •Понятие о компрометации эцп
- •Понятие о криптостойкости средств эцп
- •Два подхода к оценке криптостойкости алгоритмов
- •Два подхода к оценке криптостойкости ключей
- •Влияние размера ключей на их криптостоикость
- •Понятие о дайджесте сообщения. Электронная печать. Хэш-функция
- •9.3. Организационное обеспечение электронной цифровой подписи
- •Необходимость в сертификации средств эцп
- •Необходимость в сертификации открытых ключей
- •Понятие электронного сертификата
- •Две модели системы сертификации
- •Централизованная система сертификации. Корневые и доверенные центры
- •Сетевая модель сертификации. Взаимная сертификация
- •Пример структуры электронного сертификата
- •9.4. Правовое обеспечение электронной цифровой подписи
- •Становление законодательства об электронной подписи
- •Закон об электронной подписи Германии
- •Закон об электронной подписи сша
- •Проект закона об электронной подписи Российской Федерации
- •Международное признание электронной подписи
- •Практическое занятие
- •Упражнение 9.1. Создание ключей в системе pgp
- •Упражнение 9.2. Передача открытого ключа pgp корреспондентам
- •Упражнение 9.3. Передача защищенных и подписанных сообщений с помощью системы pgp
- •Упражнение 9.4. Шифрование данных на жестком диске при помощи системы pgp
Закон об электронной подписи Германии
Германский закон об электронной подписи (Signaturgesetz) был введен в действие в 1997 г. и стал первым европейским законодательным актом такого рода. Целью закона объявлено создание общих условий для такого применения электронной подписи, при котором ее подделка или фальсификация подписанных данных могут быть надежно установлены.
В Законе прослеживаются следующие основные направления:
• установление четких понятий и определений;
• подробное регулирование процедуры лицензирования органов сертификации и процедуры сертификации открытых ключей пользователей средств ЭЦП (правовой статус, порядок функционирования центров сертификации, их взаимодействие с государственными органами и другими центрами сертификации, требования к сертификату открытого ключа электронной подписи);
• рассмотрение вопросов защищенности цифровой подписи и данных, подписанных с ее помощью, от фальсификации;
• порядок признания действительности сертификатов открытых ключей. По своему духу германский Закон об электронной подписи является регулирующим.
Закон об электронной подписи сша
К моменту написания данной книги Федеральный Закон США об электронной подписи принят Конгрессом, но еще не вступил в действие (он вступает в силу 1 октября 2000 г.). В отличие от аналогичного закона Германии, Федеральный Закон об электронной подписи США является координирующим правовым актом. Это связано с тем, что ко времени его принятия соответствующее регулирующее законодательство уже сложилось в большинстве отдельных штатов.
Как видно из названия Закона (Electronic Signatures in Global and National Commerce Act), его основное назначение состоит в обеспечении правового режима цифровой электронной подписи в электронной коммерции. Подписание Закона Президентом США состоялось в день национального праздника — 4 июля 2000 г. (День независимости), что должно придать этому законодательному акту особое значение. По мнению обозревателей принятие данного закона символизирует вступление человечества в новую эру — эру электронной коммерции.
По содержанию Закон отличается краткостью. Он вводит ограниченное число основных понятий, устанавливает правовой режим электронной подписи и определяет компетенцию государственных органов, ответственных за функционирование ее инфраструктуры. Не сосредоточиваясь на конкретных правах и обязанностях центров сертификации, которым уделяется особое внимание в законодательствах других стран, Федеральный Закон США относит их к понятию инфраструктура ЭЦП и в самых общих чертах оговаривает взаимодействие элементов этой структуры с правительственными органами.
Проект закона об электронной подписи Российской Федерации
В России Федеральный Закон об электронной подписи в настоящее время еще не принят, но с его основными положениями можно познакомиться на примере проекта. Согласно проекту, Закон состоит из пяти глав и содержит более двадцати статей.
1. В первой главе рассмотрены общие положения, относящиеся к Закону. Как и аналогичные законы других государств, российский законопроект опирается на несимметричную криптографию. Основной целью Закона провозглашается обеспечение правовых условий для применения ЭЦП в электронном документообороте и реализации услуг по удостоверению ЭЦП участников договорных отношений.
2. Во второй главе рассмотрены принципы и условия использования электронной подписи. Здесь, во-первых, выражена возможность, а во-вторых, приведены условия равнозначности рукописной и электронной подписи. Кроме того, особо акцентировано внимание на характерных преимуществах ЭЦП:
• лицо может иметь неограниченное количество закрытых ключей ЭЦП, то есть, создать себе разные электронные подписи и использовать их в разных условиях;
• все экземпляры документа, подписанные ЭЦП, имеют силу оригинала.
Проект российского Закона предусматривает возможность ограничения сферы применения ЭЦП. Эти ограничения могут накладываться федеральными законами, а также вводиться самими участниками электронных сделок и отражаться в договорах между ними.
Интересно положение статьи о средствах ЭЦП, в которой закрепляется утверждение о том, что «средства ЭЦП не относятся к средствам, обеспечивающим конфиденциальность информации». На самом деле это не совсем так. По своей природе средства ЭЦП, основанные на механизмах несимметричной криптографии, конечно же, могут использоваться для защиты информации. Возможно, это положение включено для того, чтобы избежать коллизий с другими нормативными актами, ограничивающими применение средств криптографии в обществе.
Важным отличием от аналогичных законов других государств является положение российского законопроекта о том, что владелец закрытого ключа несет ответственность перед пользователем соответствующего открытого ключа за убытки, возникающие в случае ненадлежащим образом организованной охраны закрытого ключа.
Еще одной отличительной чертой российского законопроекта является список требований к формату электронного сертификата. Наряду с общепринятыми полями, рассмотренными нами выше, российский законодатель требует обязательного включения в состав сертификата наименования средств ЭЦП, с которыми можно использовать данный открытый ключ, номер сертификата на это средство и срок его действия, наименование и юридический адрес центра сертификации, выдавшего данный сертификат, номер лицензии этого центра и дату ее выдачи. В зарубежном законодательстве и в международных стандартах мы не находим требований столь подробного описания программного средства ЭЦП, с помощью которого генерировался открытый ключ. По-видимому, это требование российского законопроекта продиктовано интересами безопасности страны.
Массовое применение программного обеспечения, исходный код которого не опубликован и потому не может быть исследован специалистами, представляет общественную угрозу. Это относится не только к программным средствам ЭЦП, но и вообще к любому программному обеспечению, начиная с операционных систем и заканчивая прикладными программами.
Россия не единственная страна в мире, проявляющая осторожность в вопросе применения на своей территории закрытых программных средств с неопубликованным содержанием, не прошедшим всесторонней проверки в виде исходного кода. Беспечность в этом вопросе может приводить к стратегическому ущербу не только в смысле государственной, но и в смысле экономической безопасности. Такую же осторожность проявляют Франция, Китай и некоторые другие страны.
3. В третьей главе рассмотрен правовой статус центров сертификации (в терминологии законопроекта — удостоверяющих центров открытых ключей электронной подписи), В России оказание услуг по сертификации электронной подписи является лицензируемым видом деятельности, которым могут заниматься только юридические лица. Удостоверение электронной подписи государственных учреждений могут осуществлять только государственные удостоверяющие центры.
Законопроект предусматривает материальную ответственность удостоверяющего центра за убытки лиц, пострадавших в результате доверия к сведениям, указанным в сертификате, которые центр был обязан проверить и подтвердить. Эта ответственность исчисляется в размере реального ущерба и не включает штрафные санкции, упущенную выгоду, возмещение морального вреда.
По своему характеру структура органов сертификации — централизованная иерархическая.
4. Содержание четвертой главы российского законопроекта определяет самые общие черты порядка использования электронной цифровой подписи. Важным положением этой главы является то, что в корпоративных информационных системах использование ЭЦП может регламентироваться внутренними нормативными документами системы, соглашениями между участниками системы или между ее владельцами и пользователями. Указанные нормативные документы или соглашения должны содержать положения о правах, обязанностях и ответственности лиц, использующих ЭЦП, а также о распределении рисков убытков при использовании недостоверной ЭЦП между участниками системы.
5. Пятая глава законопроекта называется «Заключительные положения» и рассматривает:
• вопросы признания иностранных сертификатов на открытые ключи электронной подписи;
• вопросы использования документов, подписанных ЭЦП, в судебном разбирательстве;
• ответственность за нарушение законодательства при использовании ЭЦП;
• порядок разрешения споров.