Проблемы обеспечения подлинности электронной цифровой подписи
Одним из важнейших направлений развития российского законодательства и правоприменительной практики в настоящее время является правовое регулирование отношений в области электронного документооборота и придания юридической силы электронным документам.
Принятие ФЗ "Об электронной цифровой подписи" узаконило использование электронной цифровой подписи как аналога собственноручной*(1). Электронная цифровая подпись (ЭЦП) является необходимым атрибутом электронного документа, который используется в качестве универсального способа подтверждения факта волеизъявления лица. Она представляет собой результат криптографического преобразования информации в виде последовательности нескольких цифр и является средством защиты информации, обеспечивающим возможность контроля целостности и подтверждения подлинности электронных документов.
Таким образом, чтобы документ, "хранимый, обрабатываемый и передаваемый с помощью автоматизированных информационных и телекоммуникационных систем"*(2), приобрел юридическую силу, достаточно удостоверить его электронной подписью.
Однако электронный документ имеет и свои специфические особенности, обусловленные технологией его изготовления. Основное отличие электронного документа заключается в том, что в нем или на нем невозможно собственноручно письменно расписаться.
Процесс подтверждения электронного документа электронно-цифровой подписью предполагает использование так называемых секретных (закрытых), хранящихся только у отправителя (владельца сертификата ключей подписи) и открытых ключей, которыми может владеть любой пользователь информационной системы. Открытый и закрытый ключи находятся в математической зависимости друг от друга, и с помощью открытого ключа можно проверить, тем ли закрытым секретным ключом зашифровано сообщение, но при этом математический анализ открытого ключа не позволяет вычислить закрытый ключ.
Таким образом, закрытый ключ есть самый важный элемент электронной цифровой подписи. Поскольку с помощью закрытого ключа и средств электронной цифровой подписи можно создавать электронную цифровую подпись и, соответственно, подписывать электронные документы, то знание такого ключа дает возможность подделать электронную цифровую подпись его владельца. От сохранности "секретного ключа" напрямую зависит степень надежности любой системы, использующей электронно-цифровую подпись. Поэтому актуальной является проблема обеспечения защиты от несанкционированного доступа третьих лиц к закрытому ключу. Решение проблемы подтверждения подлинности электронных сообщений позволит ввести в оборот на законных основаниях понятие электронного юридически значимого документа.
Проблема обеспечения сохранности секретных ключей - это проблема отделимости электронной цифровой подписи от ее владельца. Если собственноручная подпись неотделима от физического лица, то секретный ключ, представляя собой определенный файл, хранится в компьютере подписанта и, естественно, вполне отделим от него. Доступ к нему осуществляется на основе пароля, записанного на интеллектуальной карте или другого аналогичного устройства-идентификатора. Владелец карты может передать ее другому лицу или потерять. При формировании же собственноручной подписи используются биометрические параметры человека: письма, степень нажима, характерные росчерки и т.п.
ЭЦП позволяет сделать лишь косвенный вывод об авторстве документа, так как сама подпись не содержит в себе информации об авторе. Возникновение, существование и прекращение связи между автором и относящейся к нему подписью обусловлено наличием различных правовых, организационных и технических, а не биологических факторов.
Отсутствие норм, регламентирующих порядок связывания электронной цифровой подписи с физическим лицом, породило множество проблем правоприменительной практики. Так, если третьему лицу по каким-либо причинам станет известен закрытый ключ, то отличить подлог подписи до аннулирования ключей будет невозможно. Кроме того, возможны случаи, когда применение аналога собственноручной подписи позволит заинтересованным и недобропорядочным лицам с легкостью отказываться от своей подписи на электронном документе.
Закрытый ключ электронной цифровой подписи рекомендуется хранить на специальном персональном ключевом носителе, то есть такой ключ должен изготавливаться в единственном экземпляре в форме материального документа с защитными элементами, предохраняющими его от копирования. Он должен всегда содержаться в тайне и быть доступным только владельцу. И только в этом случае никто кроме владельца не сможет поставить электронную цифровую подпись под электронным документом.
С одной стороны, во многих существующих разработках защиту секретных ключей оставляют на совести пользователя системы ЭЦП. С другой стороны рекомендации по хранению ключей ЭЦП дают сами удостоверяющие центры. Такие рекомендации излагаются, как правило, в документации к абонентскому комплекту и гласят следующее: "храните их таким образом, чтобы быть уверенным, что ваш закрытый ключ ни при каких обстоятельствах не может оказаться в руках человека, которому вы не доверяете. Лучше всего, если ваш закрытый ключ будет доступен только вам лично, либо только одному особо доверенному лицу".
В некоторых случаях разработчики системы использования электронной цифровой подписи предлагают варианты хранения на носителях, которые, по их словам, трудно копируются, например, смарт-карты или бесконтактные карты Proximity. Кроме того, предлагается хранение на специальных чип-картах, доступ к которым имеет лишь владелец ключа, знающий PIN-код. Такая технология создает двойную систему безопасности и гарантирует, что секретный код останется в тайне. К тому же при похищении чип-карты об этом сразу становится известно владельцу ключа. СИ. Семилетов предлагает для повышения надежности таких схем хранения шифрование секретных ключей на других ключах, которые могут быть тоже зашифрованы*(3). Какой бы путь решения данной проблемы не был выбран, необходимо учитывать стоимостные факторы, предпочтения пользователей и удобства в использовании, а также то, как выбранное решение вписывается в общую систему информационной безопасности системы электронного документооборота.
Поскольку в настоящее время существует целый ряд методов, позволяющих с очень высокой степенью достоверности обеспечить привязку электронно-цифровой подписи к подписанту, наиболее оптимальным и целесообразным способом решения данной проблемы
представляется использование технологии цифровой обработки папиллярного узора отпечатка пальца рук, радужной оболочки глаза, автографа и других биометрических параметров. То есть необходимо создание такой системы, которая обеспечила бы жесткую привязку процесса формирования и использования секретного закрытого ключа к какому-либо биометрическому параметру человека.
По нашему мнению, должна быть создана система, представляющая собой программно-аппаратный комплекс, дающий гарантию неопровержимой связи секретного ключа и его владельца, тем самым обеспечивающая его защиту от несанкционированного доступа к процессу подписания электронного документа. При создании такой системы должны быть решены следующие вопросы: создание электронно-цифровой подписи, основанной на новой методике использования биометрических данных; отражение биометрического параметра в электронном документе и возможность его распознавания; разработка формы секретного ключа на основе образа биометрического параметра; создание и ведение базы данных биометрических параметров. При этом целесообразно было бы, чтобы такие комплексы дополняли уже действующие системы защиты информации и формирования электронно-цифровой подписи. Это позволит получить комплексную систему защиты электронных документов, и тем самым создать благоприятные условия для эффективного электронного документооборота. Только в этом случае можно будет говорить о том, что ЭЦП является аналогом собственноручной подписи.
Н. Лебедева,
кандидат юридических наук, доцент
О. Дацюк,
юрист
"Российская юстиция", N 4, апрель 2006 г.
-------------------------------------------------------------------------
*(1) См. ФЗ "Об электронной цифровой подписи" от 10.01.02 N 1-ФЗ // СЗ РФ.- 2002. - N 2.- Ст. 127
*(2) См. ФЗ "Об информации, информатизации и защите информации" от 20.02.95 N 24-ФЗ // СЗ РФ. - 1995. - N 8. - Ст. 609
*(3) См. Семилетов С.И. Юридическое значение электронных документов // Электронный документ и документооборот: правовые аспекты: Сб. науч. тр. / РАН. ИНИОН. Центр социальных науч.-информ. ислед. Отдел правоведения; РАН. ИГП. Центр публичного права. Сектор информационного права; Отв. Ред. Алферова Е.В., Бачило И.Л. - М., 2003. - с. 67
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Проблемы обеспечения подлинности электронной цифровой подписи
Авторы
Н. Лебедева - кандидат юридических наук, доцент
О. Дацюк - юрист
"Российская юстиция", 2006, N 4