Глава 1. ПОЛОЖЕНИЯ, регулирующие работу удостоверяющего центра. обзор технологий используемых при разработке АС и угроз возникаемых при их использовании Нормативная база для работы удостоверяющего центра
Электронная цифровая подпись
Электронная цифровая подпись (ЭЦП) – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию [1].
Применение ЭЦП
Электронная цифровая подпись предназначена для определения лица, подписавшего электронный документ. Также является полноценной заменой собственноручной подписи в случаях, предусмотренных законом.
Использование электронной подписи позволяет осуществить:
Контроль целостности документа. При модификации или повреждении документа подпись станет недействительной.
Защиту от подделки документа. Контроль целостности позволяет выявить недостоверность документа, таким образом подделывание становится невозможным в большинстве случаев.
Невозможность отказа от авторства. Применение закрытого ключа ЭЦП гарантирует невозможность отказа от уже совершенных действий того, кто подписал документы. Так если происходит идентификация владельца сертификата ключа, а автор подписи не может от неё отказаться.
Доказательное подтверждение авторства документа. Применение закрытого ключа ЭЦП гарантирует невозможность отказа от уже совершенных действий того, кто подписал документы. Так если происходит идентификация владельца сертификата ключа, а автор подписи не может от неё отказаться.
Виды ЭЦП предусмотренные законом РФ
Простая электронная подпись
Подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом [1].
Неквалифицированная электронная подпись
Подпись, которая [1]:
получена в результате криптографических методов преобразования информации с использованием ключа электронной подписи;
позволяет определить лицо, подписавшее электронный документ;
позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
создается с использованием средств электронной подписи.
Квалифицированная электронная подпись
Подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам [1]:
ключ проверки электронной подписи указан в квалифицированном сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Стандарты
ГОСТ Р 34.10-2012 - стандарт определяет схему электронной цифровой подписи (ЭЦП), процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения [2].
Внедрение цифровой подписи на основе настоящего стандарта повышает, по сравнению с ранее действовавшей схемой цифровой подписи, уровень защищенности передаваемых сообщений от подделок и искажений [2].
Криптографическая стойкость данной схемы цифровой подписи основывается на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции. Алгоритмы вычисления хэш–функции установлены в ГОСТ Р 34.11-2012 [2].
ГОСТ Р 34.11-2012 - российский криптографический стандарт, «определяет алгоритм и процедуру вычисления хэш-функции для любой последовательности двоичных символов, которые применяются в криптографических методах обработки и защиты информации, в том числе для реализации процедур обеспечения целостности, аутентичности, электронной цифровой подписи (ЭЦП) при передаче, обработке и хранении информации в автоматизированных системах» [3].
Регулирование работы УЦ
Удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей [1].
Основные документы, регулирующие работу удостоверяющего центра:
Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 02.07.2013) «Об электронной подписи» (с изм. и доп., вступающими в силу с 01.09.2013);
Приказ ФСБ РФ от 27.12.2011 N 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»;
Приказ ФСБ РФ от 27.12.2011 N 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
Удостоверяющий центр получает статус аккредитованный после признания уполномоченным федеральным органом соответствия удостоверяющего центра требованиям закона «Об электронной подписи». Аккредитацию проводит Минкомсвязь России.
Закон «Об электронной подписи»
Данный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами [1].
Данный закон устанавливает [1]:
требования к удостоверяющим центрам (на основании проводится аккредитация);
виды электронных подписей;
полномочия федеральных органов исполнительной власти в сфере использования электронной подписи;
полномочия и обязанности удостоверяющего центра;
порядок аккредитации удостоверяющего центра.
Приказ ФСБ РФ «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»
Данный приказ устанавливает какую информацию должен содержать квалифицированный сертификат.
Сертификат должен содержать [4]:
уникальный номер квалифицированного сертификата;
даты начала и окончания действия квалифицированного сертификата;
фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата - для физического лица, либо наименование и место нахождения владельца квалифицированного сертификата - для юридического лица, а также в случаях, предусмотренных Федеральным законом «Об Электронной Подписи», фамилия, имя и отчество (если имеется) физического лица, действующего от имени владельца квалифицированного сертификата - юридического лица на основании учредительных документов юридического лица или доверенности (далее - уполномоченный представитель юридического лица);
страховой номер индивидуального лицевого счета (СНИЛС) владельца квалифицированного сертификата - для физического лица;
основной государственный регистрационный номер (ОГРН) владельца квалифицированного сертификата - для юридического лица;
идентификационный номер налогоплательщика (ИНН) владельца квалифицированного сертификата - для юридического лица;
ключ проверки ЭП;
наименование используемого средства ЭП и (или) стандарты, требованиям которых соответствует ключ ЭП и ключ проверки ЭП;
наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с Федеральным законом «Об Электронной Подписи»;
наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат;
номер квалифицированного сертификата аккредитованного УЦ;
ограничения использования квалифицированного сертификата (если такие ограничения установлены).
Кроме того, данный приказ устанавливает порядок расположения полей в квалифицированном сертификате.
Приказ ФСБ РФ «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра»
Требования предназначены для заказчиков и разработчиков средств электронной подписи и удостоверяющих центров при их взаимодействии между собой и с организациями, проводящими криптографические и специальные исследования таких средств, а также при их взаимодействии с ФСБ РФ, подтверждающей соответствие таких средств установленным требованиям [5].
При создании ЭП средства ЭП должны [1]:
показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП;
однозначно показывать, что ЭП создана.
При проверке ЭП средства ЭП должны:
показывать содержание электронного документа, подписанного ЭП;
показывать информацию о внесении изменений в подписанный ЭП электронный документ;
указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.
|
