Криптография и электронная цифровая подпись
(Тарасов А. М.) ("Российский следователь", 2014, NN 1, 2) Текст документаКРИПТОГРАФИЯ И ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ
/"Российский следователь", 2014, N 1/
А. М. ТАРАСОВ
Тарасов Анатолий Михайлович, заслуженный юрист РФ, доктор юридических наук, профессор.
Рассматриваются вопросы, связанные с понятием "криптография", с защитой информации, правовым регулированием применения электронной цифровой подписи (ЭЦП).
Ключевые слова: защита информации, ЭЦП, криптография, криптоанализ, шифрование, сертификат, секретный ключ, алгоритм.
Cryptography and digital signature A. M. Tarasov
The article discusses issues related to cryptography, information security, legal regulation of digital signature.
Key words: information security, digital signature, cryptography, cryptanalysis, encryption, certificate, private key, algorithm.
Криптография (от греч. - скрытый и - пишу) - это наука о защите информации, в т. ч. и существующей в электронном виде, т. е. в виде компьютерных файлов, областей памяти в компьютере и т. д. Изначально криптография изучала методы шифрования информации, т. е. обратимого преобразования открытого (исходного) текста на основе секретного алгоритма и/или ключа <1> в шифрованный текст (шифртекст). Криптография образует раздел симметричных криптосистем <2>, в которых зашифрование и расшифрование <3> проводятся с использованием одного и того же секретного ключа. Ключ - это секретная информация, которая используется криптографическим алгоритмом при шифровке и дешифровке сообщений, постановке и проверке системы электронной цифровой подписи (ЭЦП), а также для вычисления кодов аутентичности в МАС системах. -------------------------------- <1> Ключ - параметр шифра, определяющий выбор конкретного преобразования данного текста. Криптографическая стойкость целиком определяется секретностью ключа. <2> Криптосистема - семейство обратимых преобразований открытого текста в шифрованный. <3> Шифрование - способ преобразования открытой информации в закрытую и обратно. Применяется для хранения важной информации в ненадежных источниках или передачи ее по незащищенным каналам связи. Согласно ГОСТ 28147-89, шифрование подразделяется на процесс зашифровывания и расшифровывания. В зависимости от алгоритма преобразования данных методы шифрования бывают гарантированной или временной криптостойкости. Расшифрование, дешифрование (дешифровка) - процесс извлечения открытого текста без знания криптографического ключа на основе известного шифрованного. Термин "дешифрование" обычно применяют по отношению к процессу криптоанализа шифротекста (криптоанализ сам по себе, вообще говоря, может заключаться и в анализе шифросистемы, а не только зашифрованного ею открытого сообщения).
В зависимости от структуры используемых ключей методы шифрования подразделяются на: 1) симметричное шифрование: посторонним лицам может быть известен алгоритм шифрования, но неизвестна небольшая порция секретной информации - ключ, одинаковый для отправителя и получателя сообщения; 2) асимметричное шифрование: посторонним лицам может быть известен алгоритм шифрования и, возможно, открытый ключ, но неизвестен закрытый ключ, известный только получателю. Результат шифрования зависит от ключа при использовании одного и того же алгоритма. Для современных алгоритмов криптографии утрата ключа приводит к невозможности расшифровки информации. Надежность криптографической системы определяется качеством сокрытия секретных ключей, а не сокрытием используемых алгоритмов или их особенностей. Распространено применение, например, электронных ключей USB-ключ eToken PRO (Java) с объемом защищенной памяти 72 кб. В свою очередь, eToken PRO представляет собой защищенное устройство, предназначенное для строгой аутентификации, безопасного хранения секретных данных, выполнения криптографических вычислений и работы с асимметричными ключами и цифровыми сертификатами. Современная криптография наряду с различными системами включает в себя системы электронной цифровой подписи. Криптография решает задачу защиты информации при ее передаче по различным каналам связи, включая Интернет. Защита информации при ее передаче является первостепенной задачей от проводимых на основе криптоанализа криптоатак, поскольку наибольшей опасности информация подвергается именно при ее передаче. Криптоанализ (от греч. - скрытый и анализ) - наука о методах получения исходного значения зашифрованной информации, не имея доступа к секретной информации (ключу), необходимой для этого. В большинстве случаев под этим подразумевается нахождение ключа. В нетехнических терминах криптоанализ есть взлом шифра (кода). Термин был введен американским криптографом Уильямом Ф. Фридманом в 1920 г. Под термином "криптоанализ" также понимается попытка найти уязвимость в криптографическом алгоритме или протоколе. Хотя основная цель осталась неизменной с течением времени, методы криптоанализа претерпели значительные изменения, эволюционировав от использования ручки и бумаги до широкого применения сегодня вычислительных мощностей компьютеров. Если раньше криптоаналитиками были большей частью лингвисты, то в наше время это удел чистых математиков. Результаты криптоанализа конкретного шифра называют криптографической атакой на этот шифр. Криптографическая атака - это попытка криптоаналитика вызвать отклонения в атакуемой защищенной системе обмена информацией. Успешную криптографическую атаку называют взломом или вскрытием. Отметим также, что может возникнуть необходимость защиты информации при ее хранении. Защита информации при передаче включает две основные функции: обеспечение подлинности и корректности передаваемой информации, защита передаваемой информации от доступа посторонних лиц. Обеспечение подлинности и корректности передаваемой информации означает, что получатель уверен, что он знает, кто является отправителем информации, и что во время передачи информация не была изменена. Если информация передается в виде бумажных документов, то заверение подлинности выполняется путем подписания этих документов от руки: человек, ставящий подпись, подтверждает подлинность информации. Корректность обеспечивается тем, что в бумажных документах не допускается исправлений (кроме особых случаев, также заверяемых подписью). Но как быть в случае передачи электронных документов? Очевидно, нужен электронный аналог подписи. Такой аналог существует - это электронно-цифровая подпись (ЭЦП). Задача обеспечения подлинности и корректности передаваемой информации решается с помощью выработки и проверки электронной цифровой подписи. Защита передаваемой информации от доступа посторонних лиц означает, что во время передачи содержание передаваемого сообщения не становится известным никому до того момента, как сообщение попадает к тому человеку, которому оно предназначено. Применение криптографии нацелено на обеспечение конфиденциальности информации. Конфиденциальная информация - это информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся ее владельцем. Конфиденциальность - это обязательное условие и требование для выполнения лицом, получившим доступ к информации, не передавать такую информацию третьим лицам без согласия ее обладателя. В целях обеспечения защиты передаваемой информации необходимо ее шифрование. Шифрование - это выполненное по определенным правилам преобразование текста. Результатом такого преобразования является текст, который нельзя прочитать, не имея информации, необходимой для обратного преобразования. Текст в таком виде называется зашифрованным. Для зашифрования и расшифрования (дешифрования) документов, выработки и проверки подлинности электронной подписи используются определенные последовательности действий, называемые криптографическими алгоритмами. Криптографический алгоритм - это специальная разработка, отвечающая определенным требованиям. На криптографические алгоритмы существуют стандарты, т. е. официально оформленные совокупности требований, которым эти алгоритмы должны отвечать. Эти стандарты различны в разных странах и изменяются со временем. Популярные американские алгоритмы - RSA, DSA и т. д., которые часто используются в распространенных программных продуктах, отвечают американским стандартам. В России приняты государственные стандарты на соответствующие криптографические алгоритмы. Так, ООО "Криптоком" использует в своих программных продуктах алгоритмы, соответствующие российским стандартам. Отметим, что одним и тем же алгоритмом может пользоваться для защиты информации большое количество пользователей, т. к. алгоритмы не являются секретной информацией. Для защиты информации используются специальные пользовательские программные продукты. Они разделяются на две основные группы. Первая группа, очень широко распространенная, - это криптопровайдеры (или CSP, Cryptographic Service Providers). CSP не являются самостоятельными приложениями, они предоставляют криптографические функции другим приложениям, например, таким, как почтовые программы. Пользователь фактически не имеет дела непосредственно с CSP, работая с привычным ему пользовательским интерфейсом. CSP обладают универсальностью, поскольку один и тот же CSP может использоваться для работы со множеством различных программ. Примером такого продукта производства ООО "Криптоком" является криптопровайдер МагПро CSP. Вторая группа - это комплексы криптографических программ. Эти программные комплексы составляются так, чтобы полностью обеспечивать пользователя всем, что необходимо для защиты информации, например, создание ключей, обработка документов, выпуск сертификатов, разрешение конфликтов и т. д. Такие комплексы удобны для использования в организациях, для создания криптографических сетей. Примером такого комплекса производства ООО "Криптоком" является комплекс "МагПро для МЦИ", который длительное время применяется в сети Центробанка. Для того чтобы обеспечить невоспроизводимость электронной подписи и невозможность прочтения зашифрованных текстов посторонними людьми, в криптографии применяются криптографические ключи. Современный криптографический ключ - это последовательность чисел определенной длины, созданная по определенным правилам на основе последовательности случайных чисел. Для каждого ключа последовательность случайных чисел создается заново, ни одна последовательность не используется более одного раза. Для генерации последовательностей случайных чисел используются специальные программные объекты или устройства, называемые датчиками случайных чисел. Каждый алгоритм предъявляет собственные требования к ключам, поэтому любой криптографический ключ создается для определенного алгоритма и используется только с этим алгоритмом. Если выработка электронной подписи и ее проверка, или зашифрование и расшифрование текста, выполняются с помощью одного и того же ключа, такой подход называется симметричной криптографией (соответственно, симметричные алгоритмы и симметричные ключи). Операции симметричной криптографии выполняются быстро и сравнительно просты. Но они требуют знания ключа по меньшей мере двумя людьми, что значительно повышает риск их компрометации (т. е. доступа к ним посторонних лиц). Поэтому сейчас в основном используется асимметричная криптография. В асимметричной криптографии выработка электронной подписи, или зашифрование, выполняется на одном ключе, а проверка подписи, или расшифрование, - на другом, парном ключе. При этом один ключ из пары доступен любому человеку (этот ключ называется открытым), а другой известен только владельцу (секретный ключ). Секретный ключ не должен стать известен никогда и никому, включая администраторов компьютеров и сетей. Поэтому пользователи создают секретные ключи и парные к ним открытые самостоятельно, при помощи соответствующих программных продуктов. В асимметричной криптографии электронная подпись вырабатывается на секретном ключе отправителя, а проверяется на открытом. Таким образом, создать подпись может только владелец секретного ключа, а проверить ее - любой человек. Зашифрование, наоборот, выполняется на открытом ключе получателя, а расшифрование - на секретном. Таким образом, зашифровать сообщение для конкретного человека может любой человек, но расшифровать - только тот, для которого сообщение зашифровано. Рассмотрим понятия "сертификаты", "криптосети" и "компрометация ключей". Сертификаты - это принятая сейчас форма хранения и передачи открытых ключей. Сертификат - это набор данных специального формата (обычно записываемый файл), содержащий сам открытый ключ и всю информацию о нем и о его владельце. Все открытые ключи хранятся и передаются в виде сертификатов. Сертификаты выпускаются специальными уполномоченными центрами, которые могут носить различные названия: удостоверяющий центр, центр сертификации, пункт регистрации абонентов и т. д. В любом случае такой центр выполняет административные функции. Центр и пользователи (абоненты), которые пользуются услугами центра, составляют криптосеть. Для того чтобы центр выпустил сертификат на открытый ключ, абоненту необходимо прислать заявку (запрос) на такой сертификат. Заявка содержит открытый ключ и всю информацию о нем и о владельце. Центр проверяет подлинность и корректность этой информации (как именно - зависит от регламента центра) и выпускает сертификат, заверяя его своей электронной подписью. Отметим, что внутри сети происходит свободная передача сертификатов. Каждый пользователь может получить нужный сертификат либо по запросу из центра, либо непосредственно от владельца сертификата. Компрометация ключей - понятие, которое включает в себя факт доступа посторонних лиц к секретным ключам, а также возможность такого доступа или подозрение на него. Скомпрометированный секретный ключ - главная опасность для любой системы защиты информации, поэтому принимаются специальные меры для защиты секретных ключей: их никогда не записывают на жесткий диск компьютера, их держат на отдельных носителях, их зашифровывают, их защищают на пароле и т. д. Тем не менее случаи компрометации возможны. В случае компрометации секретный ключ и парный к нему открытый вносятся в специальные списки, содержащие скомпрометированные ключи. Такие списки в разных криптографических продуктах также могут называться по-разному - стоп-листы, списки отзыва сертификатов и т. д. Действие скомпрометированных ключей прекращается. Подпись, выработанная на скомпрометированном ключе, автоматически считается некорректной; информацию из документа, зашифрованного на скомпрометированном ключе, нельзя считать секретной. Владелец скомпрометированных ключей в целях обеспечения безопасности должен создать для себя новые ключи. Сущностное значение в проверке документа имеют применяемые методы безопасности, например, цепочки доверия. Цепочками доверия называются цепочки документов, каждый из которых проверяется на следующем. Востребованность их применения связана с тем, что часто возникает необходимость проверять документ с помощью другого документа, который также требует проверки. Например, подпись под документом проверяется с помощью сертификата на открытый ключ, парный тому секретному, на котором подпись выработана. Но сам сертификат - это тоже документ, корректность и подлинность которого требует проверки. Подпись под сертификатом проверяется на сертификате на открытый ключ подписи того центра, который выпустил сертификат. Сертификат центра, в свою очередь, тоже может быть подписан электронной подписью и требовать проверки. На конечном этапе цепочка заканчивается, и в ней обязательно существует документ, который невозможно проверить на другом документе (например, самый первый сертификат центра). Такие документы могут называться самозаверенными, корневыми, доверенными и т. д. Существуют разные способы проверки корректности и подлинности таких документов, зависящие от используемого программного обеспечения и принятого регламента: контрольные записи, цифровые отпечатки и т. д. Общим во всех этих способах проверки является то, что они требуют участия каких-то бумажных документов (распечаток) и не могут быть проверены автоматически: необходимо, чтобы человек сравнил информацию из проверяемого электронного документа с распечатанной и убедился в совпадении. При этом отметим, что документ может считаться корректным только в том случае, если корректны все документы, входящие в цепочку доверия от данного документа до документа, которым заканчивается цепочка (корневого). Разумеется, при каждой проверке подписи полной проверки цепочки доверия с участием человека не происходит. Обычно корневой документ проверяется при его установке на компьютер, а затем проверка цепочек доверия, заканчивающихся этим документом, происходит автоматически. Важнейший вклад в расширение оказания услуг населению, обеспечение безопасности при взаимодействии органов власти между собой, с различными некоммерческими, общественными организациями, бизнес-структурами, населением вносит Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" <4>. -------------------------------- <4> СПС "КонсультантПлюс".
В осуществлении электронного бизнеса, электронного банкинга, электронного финансового оборота ключевую роль играет возможность установления достоверности электронной цифровой подписи (далее по тексту - ЭЦП). Достоверность подписи определяется применением криптографических способов. Электронная цифровая подпись, ее распознание по сути дела является одним из направлений и целей применения криптографии. ЭЦП используется в качестве особого аналога собственноручной подписи участников различных договорных отношений. Применение ЭЦП основывается на двухключевых криптографических алгоритмах с применением секретного ключа идентификации и доступа. Применение ЭЦП востребовано в международных информационно-коммуникационных системах, в частности в системе Интернет. Из международных документов можно выделить Типовой закон ЮНСИТРАЛ об электронных подписях, принятый 5 июля 2001 г. на заседании 34-й сессии ЮНСИТРАЛ, состоявшейся в г. Вене. Сфера действия этого международного документа охватывает следующие виды сделок: поставку или обмен товарами или услугами, страхование и банковские услуги, обязательства по перевозке, факторинг, лизинг, инвестирование, агентские и представительские отношения. В России использование электронной цифровой подписи предусмотрено, например, п. 2 ст. 160 Гражданского кодекса РФ, где установлено, что применение электронной цифровой подписи либо аналога собственноручной подписи допускается при совершении сделок в случаях и в порядке, которые предусмотрены законом, иными правовыми актами или соглашением сторон. В этой связи следует сказать, что наличие в договоре положения о допустимости применения ЭЦП является основанием для признания совершенной сделки в качестве действительной. Применение ЭЦП предусматривается и Арбитражным процессуальным кодексом РФ. В статье 75 АПК РФ содержится правовая норма, касающаяся возможности использования в качестве письменных доказательств в арбитражном процессе документов, подписанных электронной цифровой подписью. Кроме того, в соответствии со ст. 5 Федерального закона "Об информации, информатизации и защите информации" юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Причем сила такой подписи признается при наличии в системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Следует также сказать, что в разделе II Федеральной целевой программы "Электронная Россия" было запланировано создание технологической платформы общей инфраструктуры электронного правительства, в которую входило формирование на базе единого национального оператора телекоммуникационной сети, специализированных серверных площадок, а также сети доверенных удостоверяющих центров электронной цифровой подписи. Цель этого - обеспечение юридически значимого электронного взаимодействия между различными юридическими, а также физическими лицами (органами государственной власти между собой, с органами местного самоуправления, с хозяйствующими субъектами). Достижение цели позволит обеспечить достоверную электронную идентификацию субъектов информационного взаимодействия, безопасность такого взаимодействия, а также надежное разграничение прав их доступа к информационным ресурсам. Практика использования ЭЦП начала формироваться еще в середине 90-х гг. прошлого века. Об этом, например, свидетельствует письмо Высшего Арбитражного Суда РФ от 19 августа 1994 г. N С1-7/ОП-587 "Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике". Приведем основные установки этого письма (п. 4): - стороны, изготовившие и подписавшие договор с помощью электронно-вычислительной техники, в которой использована система цифровой (электронной) подписи, могут представлять в арбитражный суд доказательства по спору, вытекающему из этого договора, также заверенные цифровой (электронной) подписью; - при возникновении спора о наличии договора и других документов, подписанных цифровой (электронной) подписью, арбитражному суду следует запросить у сторон выписку из договора, в котором указана процедура порядка согласования разногласий, на какой стороне лежит бремя доказывания тех или иных фактов и достоверности подписи; - в случае отсутствия в таком договоре процедуры согласования разногласий и порядка доказывания подлинности договора и других документов при оспаривании одной из сторон наличия подписанного договора и других документов арбитражный суд вправе не принимать в качестве доказательств документы, подписанные цифровой (электронной) подписью. Вопросы применения ЭЦП рассматривались и в письме Высшего Арбитражного Суда Российской Федерации от 7 июня 1995 г. N С1-7/ОЗ-316. Основным документом федерального уровня, регламентирующим отношения, связанные с использованием ЭЦП, на сегодняшний день является названный выше Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи". Рассмотрим его положения.
Список литературы
1. Федеральный закон от 10 янв. 2002 г. N 1-ФЗ "Об электронной цифровой подписи" // СПС "КонсультантПлюс".
/"Российский следователь", 2014, N 2/
Целью принятия Закона "Об электронной цифровой подписи" является обеспечение необходимых правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе (п. 1 ст. 1). Статьи 1 - 3 являются основополагающими для построения и содержания нормативной базы в сфере высоких компьютерных технологий, касающихся использования ЭЦП. Согласно абз. 1 п. 2 ст. 1 Закона "действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях". К "другим случаям", предусмотренным законодательством, относятся отношения, регулируемые нормами гражданского, арбитражного права. ЭЦП может применяться и в других отраслях права, например в избирательном, трудовом, налоговом. Фактически ЭЦП проявляется в качестве барьера как для несанкционированного перехвата сообщений, так и для получения сообщений от лиц, представляющихся чужим именем. Таким образом, ЭЦП служит гарантией для идентификации информации и ее отправителя. В соответствии со ст. 4 этого Закона электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: - сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; - подлинность электронной цифровой подписи подтверждается в электронном документе; - электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи. Для целей реализации Федерального закона "Об электронной цифровой подписи" в ст. 3 даются следующие основные понятия: - электронный документ - это документ, в котором информация представлена в электронно-цифровой форме; - электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Владельцем сертификата ключа подписи является физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). К средствам электронной цифровой подписи данным Законом отнесены аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей. Сертификатом средств электронной цифровой подписи является документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям. В Законе даны определения закрытого и открытого ключей электронной подписи. Закрытый ключ - это уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи. Открытый ключ электронной цифровой подписи - это уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе. Сертификатом ключа подписи является документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи. Подтверждением подлинности электронной цифровой подписи в электронном документе является положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе. Пользователем сертификата ключа подписи является физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи. Отметим также, что в Федеральном законе "Об электронной цифровой подписи" даны определения информационной системы общего пользования и корпоративной информационной системы. Под информационной системой общего пользования следует понимать информационную систему, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано. Под корпоративной - информационную систему, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой корпоративной информационной системы. В целях обеспечения безопасности применения электронной цифровой подписи в данном Законе установлено (ст. 5): при создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается. Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре определяется договором между удостоверяющим центром и владельцем сертификата ключа подписи. При этом, как определено в ст. 6 рассматриваемого Закона, сертификат ключа подписи должен содержать следующие сведения: - уникальный регистрационный номер сертификата ключа подписи, дату начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра; - фамилию, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима удостоверяющим центром вносится запись об этом в сертификат ключа подписи; - открытый ключ электронной цифровой подписи; - наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи; - наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи; - информацию об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение. Статьи 8 - 15 главы III данного Закона освещают правовой статус и регулирование деятельности удостоверяющих центров. Правовое положение удостоверяющего центра напрямую зависит от категории информационных сетей. Так, статус удостоверяющего центра, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы. Закон устанавливает два обязательных требования к организациям, выполняющим функции удостоверяющих центров. Первое из них - деятельность удостоверяющего центра подлежит лицензированию (ст. 8 Закона; п. 1 ст. 17 Федерального закона от 8 августа 2001 г. N 128-ФЗ "О лицензировании отдельных видов деятельности") <1>. Второе - особые требования предъявляются к материальным и финансовым возможностям удостоверяющих центров. -------------------------------- <1> Собрание законодательства Российской Федерации. 2001. N 33 (ч. I). Ст. 3430.
Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные Федеральным законом "Об электронной цифровой подписи". Удостоверяющий центр обязан гарантировать удовлетворение требований пользователей, сертификатов ключей ЭЦП за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей. Таким образом, проводится прямая связь между деятельностью удостоверяющего центра и его платежеспособностью в случае возложения гражданско-правовой ответственности. Удостоверяющий центр Законом наделен соответствующими правами (ст. 9), например: изготавливать сертификаты ключей подписей; создавать ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи; приостанавливать и возобновлять действие сертификатов ключей подписей, а также аннулировать их; вести реестр сертификатов ключей подписей, обеспечивать свободный доступ к нему участников информационных систем; проверять уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра; выдавать сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии; осуществлять по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей. Действие сертификата ключа подписи удостоверяющим центром может быть приостановлено на основании указания лиц или органов, имеющих такое право в силу закона или договора, а в корпоративной информационной системе также в силу установленных для нее правил пользования. Законом также предусмотрены обстоятельства и условия, при которых удостоверяющий центр, выдавший сертификат ключа подписи, обязан его аннулировать. В частности: - по истечении срока его действия; - при утрате юридической силы сертификата соответствующих средств электронной цифровой подписи, используемых в информационных системах общего пользования; в случае если удостоверяющему центру стало достоверно известно о прекращении действия документа, на основании которого оформлен сертификат ключа подписи; - по заявлению в письменной форме владельца сертификата ключа подписи. Статья 10 Закона об ЭЦП посвящена отношениям между удостоверяющими центрами и уполномоченным федеральным органом исполнительной власти. В указанной норме Закона прописывается порядок действий, необходимых до момента использования ЭЦП. ЭЦП могут использоваться только после предоставления удостоверяющим центром в уполномоченный федеральный орган исполнительной власти сертификата ключа подписи уполномоченного лица в форме электронного документа и в простой письменной форме на бумажном носителе. Документ на бумажном носителе должен содержать собственноручную подпись уполномоченного лица. Уполномоченный федеральный орган исполнительной власти обязан вести единый государственный реестр сертификатов ключей подписей, которыми удостоверяющие центры, работающие с участниками информационных систем общего пользования, заверяют выдаваемые ими сертификаты ключей подписей, обеспечивает возможность свободного доступа к этому реестру и выдает сертификаты ключей подписей соответствующих уполномоченных лиц удостоверяющих центров. Кроме того, уполномоченный федеральный орган исполнительной власти наделен правом осуществления по обращениям физических лиц, организаций, федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления подтверждения подлинности электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей. Следует отметить также, что сертификаты ключей подписей уполномоченных лиц федеральных органов государственной власти включаются в реестр сертификатов ключей подписей, который ведется уполномоченным федеральным органом исполнительной власти, и выдаются пользователям сертификатов ключей подписей из этого реестра в порядке, установленном настоящим Федеральным законом для удостоверяющих центров. Порядок организации выдачи сертификатов ключей подписей уполномоченных лиц органов государственной власти субъектов Российской Федерации и уполномоченных лиц органов местного самоуправления устанавливается нормативными правовыми актами соответствующих органов. Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы. Рассматриваемым Законом на владельца сертификата ключа подписи возложены определенные обязанности (ст. 12). Например: - не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее; - хранить в тайне закрытый ключ электронной цифровой подписи; - немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена. При несоблюдении перечисленных требований возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи. Глава IV Закона содержит положения об особенностях использования ЭЦП в сфере государственного управления (ст. 16), в корпоративной информационной системе (ст. 17), а также признания иностранного сертификата ключа ЭЦП (ст. 18) и случаи замещения печатей (ст. 19). Согласно ст. 18 иностранный сертификат ключа ЭЦП, удостоверенный надлежащим образом в другом государстве, признается на территории РФ "в случае выполнения установленных законодательством Российской Федерации процедур признания юридического значения иностранных документов". Статья 19 отвечает на вопросы о признании юридической силы ЭЦП под бумажным документом. Содержание любого документа на бумажном носителе, заверенного печатью и преобразованного в электронный документ, может заверяться ЭЦП. Если в сертификате ЭЦП содержатся сведения о правомочиях владельца, то ЭЦП признается равнозначной собственноручной подписи лица в документе на бумажном носителе, заверенном печатью. Для обоих случаев замещения печатей необходимо соглашение сторон или принятие нормативно-правового акта с указанием о необходимости такого заверения. В заключение отметим: Закон об ЭЦП работает пока недостаточно эффективно. Вместе с тем он необходим для формирования и развития общественных отношений, связанных со сферой применения ЭЦП, с формированием и развитием информационного общества, технологий электронного правительства. Широкое внедрение его положений в практику должно оправдать ожидания и надежды, связанные с его принятием. В целях преодоления декларативности некоторых положений данного Закона сегодня по-прежнему остается актуальным приведение действующего законодательства в полное соответствие с установками этого федерального нормативного правового акта. Об этом свидетельствует и отсылочный характер общих норм Закона, что также нацеливает на необходимость принятия правоустанавливающих и разъясняющих нормативных правовых актов. Кроме того, отметим, что действие Федерального закона "Об электронной цифровой подписи" не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи. Эта норма Закона означает, что регулирование всех других аналогов собственноручной подписи является предметом других нормативных актов. К другим аналогам может быть отнесена идентификация по отпечаткам пальцев, сетчатке глаза, PIN-кодовые подписи. Масштабное расширение базы применения норм Закона об ЭЦП является ключом и важнейшим требованием обеспечения эффективности функционирования "электронного правительства" в России, создания информационного общества. Государственная политика в области использования электронной цифровой подписи в деятельности органов государственной власти должна основываться на принципах: формирования механизма единого пространства доверия в части признания ЭЦП и сертификатов ключей подписи; консолидации бюджетных средств на создание и развитие систем удостоверяющих центров органов государственной власти; согласованности правового, организационного, кадрового, информационного, технического, финансового, научно-технологического и методического обеспечения в сфере применения электронной цифровой подписи и информационных технологий на всех уровнях и всеми ветвями власти. Рост числа информационных систем, с применением которых задействуется ЭЦП, внедряемых в различных органах государственной и муниципальной власти, бизнес-структурах, организациях, а также гражданами, связан с тем, что электронная цифровая подпись сегодня воспринимается в качестве востребованного инструмента электронной системы управления и рассматривается как одно из средств повышения эффективности государственного управления.
------------------------------------------------------------------
Название документа