2017-12-16
137Раздел 3. Организация документооборота
Прочитайте:
Электронно-цифровая подпись – атрибут электронного документа, используемый для защиты информации от несанкционированного использования и подделки. Электронно-цифровая подпись формируется путем криптографического преобразования информации с закрытым ключом, что позволяет определить владельца сертификата ключа подписи и обеспечить невозможность отказаться подписавшегося от документа, а также проверить полученную информацию на отсутствие ошибок и неточностей. Электронный документ – это документ, подготовленный с использованием системы электронного документооборота, зафиксированный на материальном носителе в виде объекта СЭД и снабженный реквизитами, с помощью которых можно идентифицировать место, время создания и автора документа.
Чаще всего цифровые подписи используются для подтверждения имени отправителя, основываясь на том, что лишь он один владеет уникальным закрытым ключом, которому соответствует полученный открытый ключ. Также электронная подпись иногда используется для датирования документа с помощью штампа времени (timestamp): доверенная сторона подписывает документ штампом времени с помощью своего специального закрытого ключа, подтверждая существование документа в данный момент, обозначенный в цифровой подписи.
|
|
|
В случае, если электронно-цифровая подпись ставится для удостоверения личности отправителя: сторона, которой доверяют априори, предоставляет открытый ключ и информацию о владельце закрытого ключа получателю документа - получается иерархия доверия. Доверие подписывающей стороне строится на безоговорочном доверии третей стороне, также подписавшей документ. Есть специализированные государственные агентства по сертификации, у которых небольшое количество корневых ключей сети. В распределенной же инфраструктуре нет необходимости владеть универсальными для всех корневыми ключами, и каждая из сторон может доверять своему набору корневых ключей. Такой способ организации иерархии доверия называется сеть доверия, это принцип используется в PGP.
Подведем итог, электронно-цифровая подпись используется для:
– удостоверения источника документа (в зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.);
– защиты от изменений документа (при любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной);
– невозможности отказа от авторства (так как создать корректную подпись можно лишь, зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом);
|
|
|
– сдачи финансовой отчетности в государственные учреждения в электронном видепре для предприятий и коммерческих организаций;
– организации юридически значимого электронного документооборота.
Для создания цифровой подписи используется так называемый дайджест, который генерируется непосредственно из самого документа и уже непосредственно к нему добавляется информация о стороне подписывающей документ, штамп времени и прочее. Затем полученную информацию кодируют с помощью специального закрытого ключа с использованием того или иного алгоритма, получившийся набор бит и есть электронно-цифровая подпись к которой прилагается открытый ключ подписавшегося.
С помощью сети доверия пользователь решает доверяет он или нет что открытый ключ принадлежит именно этому отправителю либо нет, затем сообщение дешифруется приложенным открытым ключом. В случае если документ дешифровался без ошибок, информация об отправителе соответствует заявленному и т.д., то документ принято считать подтвержденным.
Существуют следующие угрозы цифровой подписи:
– попытка подделать подпись для выбранного им документа.
– подбор документа к данной подписи, чтобы подпись к нему подходила.
Однако Электронно-цифровая подпись генерируется именно таким образом, что каждому документу соответствует единственная подпись. Это обуславливается тем что:
– документ должен представлять собой осмысленный текст;
– у текста документа есть строгие правила оформления;
– чаще всего документы оформляются в формате DOC или HTML, гораздо реже в Plain Text.
Для того чтобы обеспечить ключи от подмены используют сертификаты, которые позволяют убедиться в достоверности полученных данных о владельце открытого ключа. Для централизованного подтверждения (например PKI) используют центры сертификации, которые поддерживаются доверенными организациями. Если же система децентрализованная (например PGP) используют для подтверждения перекрестное подписание сертификатов доверенных людей каждым пользователем строится сеть доверия.
Для управления ключами созданы специальные центры распространения сертификатов, которые предоставляют информацию о том отозван тот или иной открытый ключ, а также пользователь может получить сертификат от другого пользователя.
Уже сегодня многие внутренние документы организации можно перевести в электронный вид (например, служебные записки, заявки на выделение денежных средств, различные внутренние отчеты, поручения и т. п.). Необходимо разработать нормативно-правовую базу организации, регламентирующую применение ЭЦП. Такой регламент обеспечит электронным документам юридическую силу – возможность представлять их в суде в качестве доказательства. Безусловно, небольшая правоприменительная практика вносит некоторые ограничения в применение ЭЦП, но не является принципиальным барьером для построения в отдельной компании внутреннего юридически значимого электронного документооборота.
