| Контекст |
 |
| ◄ НАВИГАЦИЯ ► |
| Интернет-издание |
 |
| Последние темы |
 Суворова Валентина Захаровнаавторsvz.2016 Вчера в 17:52
|
| Новости образования |
| Сертификат участника |
 |
| Контекст |
| |
| ◄ НАВИГАЦИЯ ► |
| Интернет-издание |
| |
| Последние темы |
| Суворова Валентина Захаровнаавторsvz.2016 Вчера в 17:52
|
| Новости образования |
| Сертификат участника |
|
Anna_45   Имя : АннаОтчество : АлександровнаСообщения : 22Рейтинг : 42Репутация : 8 На форуме с : 2013-05-04Откуда : г.Курган Поделиться ссылкой  |
| |||||||
 |
| |||||||
| Страница 1 из 1 | |||||
| |||||
| Актуальная тема |
| Пн 08 Янв 2018, 19:16 автор Вячеслав Омерович |
| Образование в России переживает в настоящее время глубокие структурные и содержательные изменения, которые затрагивают все направления подготовки студентов в … |
 Комментарии: 0 |
| Актуальная тема |
| Пн 01 Янв 2018, 22:27 автор Вячеслав Омерович |
| Нельзя выпускать ребенка в мир не вооруженным идейно, не обученным основным знаниям физиологии , наследственности , психологии, исторической диалектики. Только … |
| Комментарии: 0 |
| Актуальная тема |
| Чт 01 Окт 2015, 20:53 автор Александр |
Моду на профобразование должны диктовать российские, а не западные реалии Владимир Викторович Волк — эксперт Центра … |
| Комментарии: 41 |
| Актуальная тема |
| Ср 07 Июн 2017, 00:13 автор Игорь Александрович |
| В XVII веке по странам отделившейся Западной Европы прокатился мятеж Реформации. Новые правители-реформаторы стали переучивать население отколовшихся земель со … |
| Комментарии: 66 |
| Актуальная тема |
| Сб 29 Апр 2017, 19:43 автор Игорь Александрович |
| Статьи Светланы ГолицынойОкончила Педагогический университет им. А.И. Герцена в Санкт-Петербурге.Жена и мама. Искренне считает, что чужой беды не бывает, и потому … |
| Комментарии: 27 |
| Самые активные пользователи за месяц |
| Самые просматриваемые темы |
| Апрель 2018 | |||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||
| Кнопка сообщества |
Наша кнопка     |
www.profobr.org
Содержание:
1. Разъяснения по использованию систем цифровой подписи в связи с ведением закона «Об электронной цифровой подписи»
Список использованной литературы
1. Разъяснения по использованию систем цифровой подписи в связи с введением закона «Об электронной цифровой подписи»
В связи с введением в действие федерального закона «Об электронной цифровой подписи» некоторые потребители средств защиты информации проявляют озабоченность в связи с легальностью использования систем цифровой подписи и иных аналогов собственноручной подписи.
Цель настоящего документа разъяснить ситуацию, сложившуюся в связи с принятием закона, определить сферу его действия и порядок использования систем цифровой подписи, которые были введены в эксплуатацию до принятия закона.
I. Цель принятия закона
До момента принятия закона единственной правовой основой для применения аналогов собственноручной подписи (АСП), в том числе в электронном документообороте являлась первая часть Гражданского Кодекса РФ (Статья 160, п. 2, Статья 434, п.1, Статья 434, п.2)
Статья 160 п. 2.
Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.
Статья 434 п.п. 1,2.
1. Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма.
Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась.
2. Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.
Дополнительные разъяснения, по порядку использования АСП давались в инструктивных материалах Высшего Арбитражного суда РФ.
Из формулировок вышеупомянутых статей ГК, прямо следует, что в случае отсутствия закона или иного нормативного акта, предусматривающего порядок использования АСП, порядок использования АСП определяется соглашением сторон. Именно по этой схеме действовали и действуют до настоящего времени все системы с использованием цифровой подписи, которая в соглашении сторон признается АСП.
Основной целью принятия закона «Об электронной цифровой подписи» являлось дополнение договорной схемы регулирования взаимоотношения сторон, предусмотренной ГК РФ законодательным регулированием, также предусмотренным ГК РФ.
Таким образом, закон об ЭЦП, дает возможность вступать в полноправные гражданско-правовые отношения с использованием ЭЦП в качестве АСП без предварительного заключения соглашения сторон".
II. Сфера действия закона и ГК РФ.
Действие ГК РФ, как и конституционного закона, не может быть отменено или изменено иным нормативным актом, в том числе федеральным законом. В связи с этим федеральный закон «Об электронной цифровой подписи» лишь определяет порядок использования одного из АСП, а именно ЭЦП, строгое определение которого зафиксировано в законе.
Поскольку среди всех возможных АСП закон регулирует применение одного — ЭЦП, постольку регулирование порядка применения иных АСП остается неизменным, а именно основывается на ГК РФ, предусматривающим заключение соглашения сторон.
Таким образом, в связи с принятием закона изменился только порядок применения одного из АСП — ЭЦП.
На этот факт прямо указывает пункт 2 статьи 1 закона «Об электронной цифровой подписи».
Согласно п. 2. статьи 1.
Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.
III. Соотношение между АСП, Цифровой Подписью (ЦП) и ЭЦП
На сегодняшний день используется большой набор различных АСП — биометрические, PIN коды, факсимильные и т.д. В том числе широко используются системы цифровой подписи — ЦП. Технологии ЦП разнообразны и дифференцированы. Среди всех возможных технологий ЦП выбрана одна, строго определенная в законе и названная ЭЦП.
Следовательно, соотношение между АСП, ЦП и ЭЦП выглядит так.
Цифровая подпись (ЦП) является частным случаем аналога собственноручной подписи (АСП). В свою очередь, электронная цифровая подпись (ЭЦП) является частным случаем цифровой подписи.
IV. Что такое ЭЦП
Дефиниция понятия ЭЦП приведена в законе «Об электронной цифровой подписи».
Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
Таким образом, понятие ЭЦП неразрывно связывается с понятием сертификата ключа, понятием криптографического преобразования и электронным документом.
Следовательно, к системам ЭЦП следует относить только системы подтверждения подлинности электронных документов с использованием сертификатов и основанных на криптографических преобразованиях. Кроме того, использование ЭЦП согласно закону, возможно только для электронных документов. Закон не распространяет свое действие на применение ЭЦП к другим типам документов.
Рассмотрим все признаки ЭЦП.
Непосредственно в законе дано определение сертификата ключа, электронной цифровой подписи.
Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
Строгое определение электронного документа сегодня отсутствует, тем не менее, на практике используется понятие, введенное в законе «Об информации, информатизации и защите информации»
Документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
Как видно определение расплывчатое. В подготовленном законопроекте «Об электронном документе» указывается, какие именно реквизиты должны быть обязательны для документа:
· обозначение и наименование документа;
· даты создания, утверждения и последнего изменения;
· сведения о создателях;
· сведения о защите электронного документа;
· сведения о средствах электронной цифровой подписи или средствах хэширования, необходимых для проверки электронной цифровой подписи или контрольной характеристики данного электронного документа;
· сведения о технических и программных средствах, необходимых для воспроизведения электронного документа;
· сведения о составе электронного документа.
Хотя пока руководствоваться данными положениями нельзя, тем не менее, основываясь на определении из закона «Об информации, информатизации и защите информации» можно однозначно сказать, блоки данных, передаваемые по каналам связи (т.к. они не фиксируются на носителях) к документам не относятся, также к документам не могут быть отнесены пакеты данных, возникающие при обмене данными по Интернету и др.
Понятие криптографического преобразования в законе и иных нормативных документах, имеющих юридическую силу, отсутствует.
С другой стороны, понятие средств криптографической защиты информации (СКЗИ) и шифровальных средств имеется в ведомственных документах ФАПСИ. Так же некоторые производители позиционируют свою продукцию, как СКЗИ, или как шифровальные средства.
В связи с этим средства цифровой подписи (устоявшийся международный термин digital signature), построенные без использования системы сертификатов, а именно такие системы в большинстве используют Российские потребители не являются системами ЭЦП, с точки зрения определения закона.
Более того, системы с использованием сертификатов, но без создания удостоверяющих центров, а также системы, в которых подписи зарегистрированы на юридическое лицо, с точки зрения рассматриваемого закона относятся к иным аналогам собственноручной подписи и законом не регулируются.
Также к системам ЭЦП не относятся системы в которых АСП, в т.ч. ЦП используются для подписи данных, не являющихся электронными документами.
К системам ЭЦП следует относить только те системы, которые:
1. Используют систему сертификатов, в соответствии с определением сертификата, и выполнением требованиям к сертификатам, данным в законе об ЭЦП.
2. Используются для заверения электронных документов в смысле определения данным в законе «Об информации, информатизации и защите информации»
3. Позиционируются разработчиками, как криптографическое средство.
V. Классификация систем цифровой подписи. Особенности регулирования.
Системы без использования сертификатов или УЦ
Не регулируются законом «Об ЭЦП». Регулирование в них основано на следующих документах:
1. «Гражданский Кодекс Российской Федерации»:
Часть первая, Статья 160, п. 2, в котором говорится:
Часть первая, Статья 434, п.1
Часть первая, Статья 434, п.2
2. Федеральный Закон «Об информации, информатизации и защите информации»,
3. Официальные материалы Высшего Арбитражного Суда РФ:
Письмо от 24 апреля 1992 г. № К-3/96, согласно которого
Письмо от 19 августа 1994 г. № С1-7 / оп-578
Письмо от 7 июня 1995 года № С1 / ОЗ-316
Системы с использованием сертификатов и УЦ
Какое положение по отношению закона занимают системы, использующие сертификаты и удостоверяющие центры.
Возможно несколько случаев:
Корпоративная система без использования СКЗИ.
Если Ваша система цифровой подписи не является СКЗИ или шифровальным средством, квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ. В этом случае регулирование ее использования находится вне сферы рассматриваемого закона, и регулируется аналогично случаю Системы без использования сертификатов или УЦ.
Дополнительная информация.
Как определить корпоративный статус системы.
В случае если пользователи системы, подключены к единому поставщику услуг (группе поставщиков услуг, связанных между собой договорами), имеющему удостоверяющий центр, и работают на основе договора. Система является корпоративной.
Для однозначного отнесения системы к корпоративной в договоре на оказание услуг необходимо:
1. Обязательно указать статус системы, как корпоративный.
2. Указать, что доступ к систем возможен только при получении специального абонентского комплекта (программно-аппаратного обеспечения), отсутствие которого не позволяет подключаться к системе.
3. Указать, что получить указанный абонентский комплект (скачать с сайта или получить иным, нежели при непосредственном контакте путем) пользователь может, только согласившись с правилами корпоративной системы, в т.ч. в электронном виде (путем акцепта предложения на сайте, направления письма или напрямую подписав договор).
В этом случае система определяется как корпоративная в независимости от каналов доступа (Интернет, телефон и т.д.), поскольку в этом случае сети публичных провайдеров используются исключительно как транспортная среда и не служат для оказания публичной услуги. Квалифицирующим признаком «корпоративная система», служит отсутствие возможности подключения к системе пользователя публичных систем без предварительного заключения договора.
Публичная система без использования СКЗИ.
Поскольку, как и в предыдущем случае Ваша система цифровой подписи не является СКЗИ или шифровальным средством, квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ. Постольку регулирование ее использования находится вне сферы рассматриваемого закона, и регулируется аналогично случаю Системы без использования сертификатов или УЦ.
Корпоративная система с использованием СКЗИ
Если Ваша система основана на криптографических преобразованиях, квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ,
В этом случае согласно закону, система является корпоративной системой ЭЦП и регулируется по Статье 17 закона «Об ЭЦП»:
Статья 17.
2. Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы.
Дополнительно в этом случае, согласно закону о лицензировании отдельных видов деятельности Вам необходимо получить:
1. Лицензию на право ведения деятельности, связанной с оказанием услуг, связанных с использованием ЭЦП.
2. Лицензию на деятельность УЦ.
Публичная система с использованием СКЗИ
По сравнению с предыдущим вариантом, накладывается дополнительное ограничение, связанное с необходимостью использовать только, сертифицированное программное обеспечение.
В случае использования внешнего УЦ, требование на получение лицензии на деятельность УЦ, снимается.
VI. Выводы
1. Единственной основой для регулирования порядка применения АСП остается Гражданский Кодекс РФ, содержащий отсылочные нормы, либо к действующему закону, регулирующему порядок применения АСП, либо к договору сторон.
2. Регулирование порядка применения одного из видов АСП — ЭЦП осуществляется законом «Об электронной цифровой подписи».
3. Регулирование порядка применения иных АСП, в том числе цифровой подписи — ЦП остается предметом договорного права, что непосредственно следует из текста ГК и закона об ЭЦП.
4. Большинство технологии цифровой подписи (ЦП) не являются технологией, регулирование которой предусмотрено законом об ЭЦП.
5. Регулирование порядка использования основных типов ЦП выглядит следующим образом.
| Система без использования сертификатов | |||
| Система без использования шифровальных средств | Система с использованием шифровальных средств | ||
| Корпоративная | Публичная | Корпоративная | Публичная |
| I | I | I | I |
| Нет | Нет | №1 | №1 |
| Система с использованием сертификатов | |||
| Система без использования шифровальных средств | Система с использованием шифровальных средств | ||
| Корпоративная | Публичная | Корпоративная | Публичная |
| I | I | II | II |
| Нет | Нет | №1, №2 | №1. |
I — регулирование на основе договорных отношений
II — регулирование на основе закона об ЭЦП
Лицензия №1 — лицензия на деятельность по оказанию услуг, связанных с использованием ЭЦП.
Лицензия №2 — лицензия на деятельность УЦ.
Для чего это нужно
Столкнувшись с проблемой обеспечения контроля подлинности документов хранимых в БД, я довольно долго искал способ ее решения. Та информация, что встречается, слабо полезна новичкам, ибо имеет уклон либо в теорию/математику асимметричных алгоритмов шифрования, либо в юриспруденцию (да да, те самые законы об электронно-цифровой подписи). Попытаюсь в меру своих сил исправить положение.
Пример реализован в среде Delphi 6, СУБД Interbase/Firebird, компоненты доступа InterBase Express (IBX), шифрование — LockBox. Для получения хеша используется алгоритм MD5, шифрование RSA.
В БД заведена таблица документов DOCUMENTS, подлинность которых нам и нужно контролировать, таблица DOCUMENT_SIGNS — подписи документов определенными пользователями из таблицы USERS.
Логика работы
Пользователю генерируются/назначаются два ключа — открытый (публичный) и закрытый (приватный). Первый доступен всем (будет использоваться для проверки подлинности подписи и документа), а второй только пользователю. Для подписания документа вычисляется его хеш (шифрование всего полумегабайтного документа довольно ресурсоемко), этот хеш шифруется закрытым ключом
(сделать это — т.е. сформировать собственно подпись может только владелец ключа и никто кроме него) и вносится в таблицу DOCUMENT_SIGNS, привязываясь конкретному пользователю и документу. Если кто-либо хочет проверить подписан ли документ пользователем, или пользователь хочет проконтролировать неизменность документа — он расшифровывает подпись открытым ключом и сравнивает с хешем документа — если они совпали — документ аутентичен
Хеш документа вычисляется на сервере (что б не гонять зря данные) с помощью UDF. Для этого реализованы две функции — хеширование блоба (md5_blob) и хеширование строки (md5_string). Если документ хранится как блоб то все просто, а если как набор полей, то можно считать хеш от строки, состоящей из конкатенированных полей ( select md5_string(d.doc_f2||d.doc_f1) from documents d). В последнем случае помним: поля, на основании которых вычисляется хеш не должны быть nullable — null+value=null, сумма длин всех полей не более максимальной длинны строки СУБД.
Расшифровка подписи выполняется в клиентском приложении, но никто не мешает вынести их в udf.
Хеширование — в идеале необратимое преобразование позволяющее для данных переменной длинны вернуть однозначно соответствующее им данные фиксированного размера(дайджест, хеш), обычно 128 бит.
Пример
Пример состоит из двух приложений — клиентского и административного. Для его работы нужно иметь установленный сервер СУБД.
Администраторский интерфейс.
Генерация пар ключей, назначение публичного ключа пользователю, сохранение приватного ключа в файл. Важен размер ключа, для клиентского приложения он «зашит» в код (1024).
Клиентский интерфейс.
Подписание выбранного документа определенным пользователем, проверить подпись, снять подпись с документа.
Практическое применение может быть довольно разнообразным: подписание ключевых элементов БД для последующего «разбора полетов» в случае конфликтных ситуаций, организация внутреннего безбумажного документооборота организации, авторизация в приложениях с помощью «ключевой» дискеты...
Список использованной литературы:
1. Copyright, 2003, Мариуполь, Николай Пономаренко Статья для Delphi Plus
2. ФЗ «Об Электронной цифровой подписи» № 1-ФЗ от 10.01.2002 г.
3. Гражданский Кодекс РФ
4. Internet
www.ronl.ru
ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ
ОРЕНБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ИНСТИТУТ МЕНЕДЖМЕНТА
Кафедра информационной безопасности
РЕФЕРАТ
По дисциплине «Теория информационной безопасности и методология защиты информации»
На тему: Электронно-цифровая подпись
Выполнила студентка
очной формы обучения
специальности «организация
и технология защиты информации»
второго курса 21 группы С.А. Гусейнова
Руководитель работы Е.В. Заворитько
Оренбург
2011
Оглавление.
Введение……………………………………………………………………..........3
Заключение………………………………………………………………………13
Библиографический список .................................................................................14
Введение
В обычной практике любой документ не имеет никакой силы, если он не заверен подписью ответственного лица. При работе с бумажными документами вопросов не возникает, но что делать в том случае, когда необходимо придать юридическую силу данным, оформленным в электронном виде. Для того чтобы заверить электронный документ используется электронная цифровая подпись (ЭЦП), которая представляет собой замену обычной подписи на бумаге.
Причем ЭЦП часто является, просто необходимым инструментом во время заключения сделки. ЭЦП – это специальное средство, обеспечивающее конфиденциальность и целостность документов, а также она является одним из возможных способов установки лица, отправившего документацию.
Часто электронная цифровая подпись применяется для защиты интеллектуальной собственности. При использовании ЭЦП можно отметить следующие положительные стороны:
- Гарантия достоверности и подлинности электронного документа
- Дешевизна доставки, учета и оформления документов
- Короткие сроки обмена информационными данными
- Уменьшение вероятных потерь благодаря повышенной безопасности передачи информации
Электронная цифровая подпись (ЭЦП)— реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.
1.Общая Схема ЭЦП
Схема электронной подписи обычно включает в себя:
1) алгоритм генерации ключевых пар пользователя;
2) функцию вычисления подписи;
3) функцию проверки подписи.
Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. В зависимости от алгоритма функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным. Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.
В настоящее время детерминированные схемы практически не используются. Даже в изначально детерминированные алгоритмы сейчас внесены модификации, превращающие их в вероятностные (так, в алгоритм подписи RSA вторая версия стандарта PKCS#1 добавила предварительное преобразование данных (OAEP), включающее в себя, среди прочего, зашумление).
Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.
Поскольку подписываемые документы — переменной (и достаточно большой) длины, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш. Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.
Алгоритмы ЭЦП делятся на два больших класса: обычные цифровые подписи и цифровые подписи с восстановлением документа. Обычные цифровые подписи необходимо пристыковывать к подписываемому документу. К этому классу относятся, например, алгоритмы, основанные на эллиптических кривых (ECDSA, ГОСТ Р 34.10-2001, ДСТУ 4145-2002). Цифровые подписи с восстановлением документа содержат в себе подписываемый документ: в процессе проверки подписи автоматически вычисляется и тело документа. К этому классу относится один из самых популярных алгоритмов — RSA.
Следует различать электронную цифровую подпись и код аутентичности сообщения, несмотря на схожесть решаемых задач (обеспечение целостности документа и неотказуемости авторства). Алгоритмы ЭЦП относятся к классу асимметричных алгоритмов, в то время как коды аутентичности вычисляются по симметричным схемам.
2.Защищённость
Цифровая подпись обеспечивает:
1)Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
2)Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.
3) Невозможность отказа от авторства. Так как создать корректную подпись можно лишь, зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
4)Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;
5)Организацию юридически значимого электронного документооборота;
Возможны следующие угрозы цифровой подписи:
1) Злоумышленник может попытаться подделать подпись для выбранного им документа.
2)Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:
Документ представляет собой осмысленный текст; Текст документа оформлен по установленной форме.
3)Документы редко оформляют в виде Plain Text — файла, чаще всего в формате DOC или HTML.
Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:
1)Случайный набор байт должен подойти под сложно структурированный формат файла.
2) То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
3) Текст должен быть осмысленным, грамотным и соответствующий теме документа.
Вполне понятно, что вероятность такого происшествия ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадежными хеш-функциями, так как документы обычно большого объема — килобайты.
При использовании надёжной хэш-функции, вычислительно сложно создать поддельный документ с таким же хэшем, как у подлинного. Однако, эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях.
Тем не менее, возможны ещё такие угрозы системам цифровой подписи:
1) Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
2) Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.
3) Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.
В своей работе Гольдвассер, Микали и Ривест описывают следующие модели атак, которые актуальны и в настоящее время:
Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.
Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.
Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.
Также в работе описана классификация возможных результатов атак:
Полный взлом цифровой подписи. Получение закрытого ключа, что означает полный взлом алгоритма.
Универсальная подделка цифровой подписи. Нахождение алгоритма, аналогичного алгоритму подписи, что позволяет подделывать подписи для любого электронного документа.
Выборочная подделка цифровой подписи. Возможность подделывать подписи для документов, выбранных криптоаналитиком.
Экзистенциальная подделка цифровой подписи. Возможность получения допустимой подписи для какого-то документа, не выбираемого криптоаналитиком.
Ясно, что самой «опасной» атакой является адаптивная атака на основе выбранных сообщений, и при анализе алгоритмов ЭП на криптостойкость нужно рассматривать именно её (если нет каких-либо особых условий).
При безошибочной реализации современных алгоритмов ЭП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭП построена. Гораздо более вероятен поиск криптоаналитиком коллизий первого и второго рода. Коллизия первого рода эквивалентна экзистенциальной подделке, а коллизия второго рода — выборочной. С учетом применения хеш-функций, нахождение коллизий для алгоритма подписи эквивалентно нахождению коллизий для самих хеш-функций.
Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:
Документ представляет из себя осмысленный текст.
Текст документа оформлен по установленной форме.
Документы редко оформляют в виде Plain Text — файла, чаще всего в формате DOC или HTML.
Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:
Случайный набор байт должен подойти под сложно структурированный формат файла.
То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
Текст должен быть осмысленным, грамотным и соответствующим теме документа.
Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.
Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма — килобайты.
Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования MD5.
yaneuch.ru
Содержание:
Разъяснения по использованию систем цифровой подписи в связи с ведением закона «Об электронной цифровой подписи»
Пример практического применения механизма электронно-цифровой подписи
Список использованной литературы
1.Разъяснения по использованию систем цифровой подписи в связи с введением закона «Об электронной цифровой подписи»
В связи с введением в действие федерального закона «Об электронной цифровой подписи» некоторые потребители средств защиты информации проявляют озабоченность в связи с легальностью использования систем цифровой подписи и иных аналогов собственноручной подписи.
Цель настоящего документа разъяснить ситуацию, сложившуюся в связи с принятием закона, определить сферу его действия и порядок использования систем цифровой подписи, которые были введены в эксплуатацию до принятия закона.
I. Цель принятия закона
До момента принятия закона единственной правовой основой для применения аналогов собственноручной подписи (АСП), в том числе в электронном документообороте являлась первая часть Гражданского Кодекса РФ (Статья 160, п. 2, Статья 434, п.1, Статья 434, п.2)
Статья 160 п. 2.
Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.
Статья 434 п.п. 1,2.
1. Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма.
Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась.
2. Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.
Дополнительные разъяснения, по порядку использования АСП давались в инструктивных материалах Высшего Арбитражного суда РФ.
Из формулировок вышеупомянутых статей ГК, прямо следует, что в случае отсутствия закона или иного нормативного акта, предусматривающего порядок использования АСП, порядок использования АСП определяется соглашением сторон. Именно по этой схеме действовали и действуют до настоящего времени все системы с использованием цифровой подписи, которая в соглашении сторон признается АСП.
Основной целью принятия закона «Об электронной цифровой подписи» являлось дополнение договорной схемы регулирования взаимоотношения сторон, предусмотренной ГК РФ законодательным регулированием, также предусмотренным ГК РФ.
Таким образом, закон об ЭЦП, дает возможность вступать в полноправные гражданско-правовые отношения с использованием ЭЦП в качестве АСП без предварительного заключения соглашения сторон".
II. Сфера действия закона и ГК РФ.
Действие ГК РФ, как и конституционного закона, не может быть отменено или изменено иным нормативным актом, в том числе федеральным законом. В связи с этим федеральный закон «Об электронной цифровой подписи» лишь определяет порядок использования одного из АСП, а именно ЭЦП, строгое определение которого зафиксировано в законе.
Поскольку среди всех возможных АСП закон регулирует применение одного — ЭЦП, постольку регулирование порядка применения иных АСП остается неизменным, а именно основывается на ГК РФ, предусматривающим заключение соглашения сторон.
Таким образом, в связи с принятием закона изменился только порядок применения одного из АСП — ЭЦП.
На этот факт прямо указывает пункт 2 статьи 1 закона «Об электронной цифровой подписи».
Согласно п. 2. статьи 1.
Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.
III. Соотношение между АСП, Цифровой Подписью (ЦП) и ЭЦП
На сегодняшний день используется большой набор различных АСП — биометрические, PIN коды, факсимильные и т.д. В том числе широко используются системы цифровой подписи — ЦП. Технологии ЦП разнообразны и дифференцированы. Среди всех возможных технологий ЦП выбрана одна, строго определенная в законе и названная ЭЦП.
Следовательно, соотношение между АСП, ЦП и ЭЦП выглядит так.
Цифровая подпись (ЦП) является частным случаем аналога собственноручной подписи (АСП). В свою очередь, электронная цифровая подпись (ЭЦП) является частным случаем цифровой подписи.
IV. Что такое ЭЦП
Дефиниция понятия ЭЦП приведена в законе «Об электронной цифровой подписи».
Электронная цифровая подпись— реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
Таким образом, понятие ЭЦП неразрывно связывается с понятием сертификата ключа, понятием криптографического преобразования и электронным документом.
Следовательно, к системам ЭЦП следует относить только системы подтверждения подлинности электронных документов с использованием сертификатов и основанных на криптографических преобразованиях. Кроме того, использование ЭЦП согласно закону, возможно только для электронных документов. Закон не распространяет свое действие на применение ЭЦП к другим типам документов.
Рассмотрим все признаки ЭЦП.
Непосредственно в законе дано определение сертификата ключа, электронной цифровой подписи.
Сертификат ключа подписи— документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
Строгое определение электронного документа сегодня отсутствует, тем не менее, на практике используется понятие, введенное в законе «Об информации, информатизации и защите информации»
Документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
Как видно определение расплывчатое. В подготовленном законопроекте «Об электронном документе» указывается, какие именно реквизиты должны быть обязательны для документа:
обозначение и наименование документа;
даты создания, утверждения и последнего изменения;
сведения о создателях;
сведения о защите электронного документа;
сведения о средствах электронной цифровой подписи или средствах хэширования, необходимых для проверки электронной цифровой подписи или контрольной характеристики данного электронного документа;
сведения о технических и программных средствах, необходимых для воспроизведения электронного документа;
сведения о составе электронного документа.
Хотя пока руководствоваться данными положениями нельзя, тем не менее, основываясь на определении из закона «Об информации, информатизации и защите информации» можно однозначно сказать, блоки данных, передаваемые по каналам связи (т.к. они не фиксируются на носителях) к документам не относятся, также к документам не могут быть отнесены пакеты данных, возникающие при обмене данными по Интернету и др.
Понятие криптографического преобразования в законе и иных нормативных документах, имеющих юридическую силу, отсутствует.
С другой стороны, понятие средств криптографической защиты информации (СКЗИ) и шифровальных средств имеется в ведомственных документах ФАПСИ. Так же некоторые производители позиционируют свою продукцию, как СКЗИ, или как шифровальные средства.
В связи с этим средства цифровой подписи (устоявшийся международный термин digital signature), построенные без использования системы сертификатов, а именно такие системы в большинстве используют Российские потребители не являются системами ЭЦП, с точки зрения определения закона.
Более того, системы с использованием сертификатов, но без создания удостоверяющих центров, а также системы, в которых подписи зарегистрированы на юридическое лицо, с точки зрения рассматриваемого закона относятся к иным аналогам собственноручной подписи и законом не регулируются.
Также к системам ЭЦП не относятся системы в которых АСП, в т.ч. ЦП используются для подписи данных, не являющихся электронными документами.
К системам ЭЦП следует относить только те системы, которые:
Используют систему сертификатов, в соответствии с определением сертификата, и выполнением требованиям к сертификатам, данным в законе об ЭЦП.
--PAGE_BREAK--Используются для заверения электронных документов в смысле определения данным в законе «Об информации, информатизации и защите информации»
Позиционируются разработчиками, как криптографическое средство.
V. Классификация систем цифровой подписи. Особенности регулирования.
Системы без использования сертификатов или УЦ
Не регулируются законом «Об ЭЦП». Регулирование в них основано на следующих документах:
1. «Гражданский Кодекс Российской Федерации»:
Часть первая, Статья 160, п. 2, в котором говорится:
Часть первая, Статья 434, п.1
Часть первая, Статья 434, п.2
2. Федеральный Закон «Об информации, информатизации и защите информации»,
3. Официальные материалы Высшего Арбитражного Суда РФ:
Письмо от 24 апреля 1992 г. № К-3/96, согласно которого
Письмо от 19 августа 1994 г. № С1-7 / оп-578
Письмо от 7 июня 1995 года № С1 / ОЗ-316
Системы с использованием сертификатов и УЦ
Какое положение по отношению закона занимают системы, использующие сертификаты и удостоверяющие центры.
Возможно несколько случаев:
Корпоративная система без использования СКЗИ.
Если Ваша система цифровой подписи не является СКЗИ или шифровальным средством, квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ. В этом случае регулирование ее использования находится вне сферы рассматриваемого закона, и регулируется аналогично случаю Системы без использования сертификатов или УЦ.
Дополнительная информация.
Как определить корпоративный статус системы.
В случае если пользователи системы, подключены к единому поставщику услуг (группе поставщиков услуг, связанных между собой договорами), имеющему удостоверяющий центр, и работают на основе договора. Система является корпоративной.
Для однозначного отнесения системы к корпоративной в договоре на оказание услуг необходимо:
Обязательно указать статус системы, как корпоративный.
Указать, что доступ к систем возможен только при получении специального абонентского комплекта (программно-аппаратного обеспечения), отсутствие которого не позволяет подключаться к системе.
Указать, что получить указанный абонентский комплект (скачать с сайта или получить иным, нежели при непосредственном контакте путем) пользователь может, только согласившись с правилами корпоративной системы, в т.ч. в электронном виде (путем акцепта предложения на сайте, направления письма или напрямую подписав договор).
В этом случае система определяется как корпоративная в независимости от каналов доступа (Интернет, телефон и т.д.), поскольку в этом случае сети публичных провайдеров используются исключительно как транспортная среда и не служат для оказания публичной услуги. Квалифицирующим признаком «корпоративная система», служит отсутствие возможности подключения к системе пользователя публичных систем без предварительного заключения договора.
Публичная система без использования СКЗИ.
Поскольку, как и в предыдущем случае Ваша система цифровой подписи не является СКЗИ или шифровальным средством, квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ. Постольку регулирование ее использования находится вне сферы рассматриваемого закона, и регулируется аналогично случаю Системы без использования сертификатов или УЦ.
Корпоративная система с использованием СКЗИ
Если Ваша система основана на криптографических преобразованиях, квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ,
В этом случае согласно закону, система является корпоративной системой ЭЦП и регулируется по Статье 17 закона «Об ЭЦП»:
Статья 17.
2. Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы.
Дополнительно в этом случае, согласно закону о лицензировании отдельных видов деятельности Вам необходимо получить:
Лицензию на право ведения деятельности, связанной с оказанием услуг, связанных с использованием ЭЦП.
Лицензию на деятельность УЦ.
Публичная система с использованием СКЗИ
По сравнению с предыдущим вариантом, накладывается дополнительное ограничение, связанное с необходимостью использовать только, сертифицированное программное обеспечение.
В случае использования внешнего УЦ, требование на получение лицензии на деятельность УЦ, снимается.
VI. Выводы
Единственной основой для регулирования порядка применения АСП остается Гражданский Кодекс РФ, содержащий отсылочные нормы, либо к действующему закону, регулирующему порядок применения АСП, либо к договору сторон.
Регулирование порядка применения одного из видов АСП — ЭЦП осуществляется законом «Об электронной цифровой подписи».
Регулирование порядка применения иных АСП, в том числе цифровой подписи — ЦП остается предметом договорного права, что непосредственно следует из текста ГК и закона об ЭЦП.
Большинство технологии цифровой подписи (ЦП) не являются технологией, регулирование которой предусмотрено законом об ЭЦП.
Регулирование порядка использования основных типов ЦП выглядит следующим образом.
Система без использования сертификатов
Система без использования шифровальных средств
Система с использованием шифровальных средств
Корпоративная
Публичная
Корпоративная
Публичная
I
I
I
I
Нет
Нет
№1
№1
Система с использованием сертификатов
Система без использования шифровальных средств
Система с использованием шифровальных средств
Корпоративная
Публичная
Корпоративная
Публичная
I
I
II
II
Нет
Нет
№1, №2
№1.
I — регулирование на основе договорных отношений
II — регулирование на основе закона об ЭЦП
Лицензия №1 — лицензия на деятельность по оказанию услуг, связанных с использованием ЭЦП.
Лицензия №2 — лицензия на деятельность УЦ.
2. Пример практического применения механизма электронно-цифровой подписи
Для чего это нужно
Столкнувшись с проблемой обеспечения контроля подлинности документов хранимых в БД, я довольно долго искал способ ее решения. Та информация, что встречается, слабо полезна новичкам, ибо имеет уклон либо в теорию/математику асимметричных алгоритмов шифрования, либо в юриспруденцию (да да, те самые законы об электронно-цифровой подписи). Попытаюсь в меру своих сил исправить положение.
Пример реализован в среде Delphi 6, СУБД Interbase/Firebird, компоненты доступа InterBase Express (IBX), шифрование — LockBox. Для получения хеша используется алгоритм MD5, шифрование RSA.
продолжение --PAGE_BREAK--В БД заведена таблица документов DOCUMENTS, подлинность которых нам и нужно контролировать, таблица DOCUMENT_SIGNS — подписи документов определенными пользователями из таблицы USERS.
/>
Логика работы
Пользователю генерируются/назначаются два ключа — открытый (публичный) и закрытый (приватный). Первый доступен всем (будет использоваться для проверки подлинности подписи и документа), а второй только пользователю. Для подписания документа вычисляется его хеш (шифрование всего полумегабайтного документа довольно ресурсоемко), этот хеш шифруется закрытым ключом
/>
(сделать это — т.е. сформировать собственно подпись может только владелец ключа и никто кроме него) и вносится в таблицу DOCUMENT_SIGNS, привязываясь конкретному пользователю и документу. Если кто-либо хочет проверить подписан ли документ пользователем, или пользователь хочет проконтролировать неизменность документа — он расшифровывает подпись открытым ключом и сравнивает с хешем документа — если они совпали — документ аутентичен
/>
Хеш документа вычисляется на сервере (что б не гонять зря данные) с помощью UDF. Для этого реализованы две функции — хеширование блоба (md5_blob) и хеширование строки (md5_string). Если документ хранится как блоб то все просто, а если как набор полей, то можно считать хеш от строки, состоящей из конкатенированных полей ( select md5_string(d.doc_f2||d.doc_f1) from documents d). В последнем случае помним: поля, на основании которых вычисляется хеш не должны быть nullable — null+value=null, сумма длин всех полей не более максимальной длинны строки СУБД.
Расшифровка подписи выполняется в клиентском приложении, но никто не мешает вынести их в udf.
Хеширование — в идеале необратимое преобразование позволяющее для данных переменной длинны вернуть однозначно соответствующее им данные фиксированного размера(дайджест, хеш), обычно 128 бит.
Пример
Пример состоит из двух приложений — клиентского и административного. Для его работы нужно иметь установленный сервер СУБД.
/>
Администраторский интерфейс.
Генерация пар ключей, назначение публичного ключа пользователю, сохранение приватного ключа в файл. Важен размер ключа, для клиентского приложения он «зашит» в код (1024).
/>
Клиентский интерфейс.
Подписание выбранного документа определенным пользователем, проверить подпись, снять подпись с документа.
Практическое применение может быть довольно разнообразным: подписание ключевых элементов БД для последующего «разбора полетов» в случае конфликтных ситуаций, организация внутреннего безбумажного документооборота организации, авторизация в приложениях с помощью «ключевой» дискеты...
Список использованной литературы:
Copyright, 2003, Мариуполь, Николай Пономаренко Статья для Delphi Plus
ФЗ «Об Электронной цифровой подписи» № 1-ФЗ от 10.01.2002 г.
Гражданский Кодекс РФ
Internet
Ссылки (links): mailto:[email protected]/www.ronl.ru
Календарь