Экспертиза электронно-цифровой подписи
Экспертиза электронно-цифровой подписи
Экспертиза электронно-цифровой подписи - сравнительно новый вид исследования, проводящийся в рамках компьютерно-технической экспертизы. Огромные потоки электронного документооборота, наравне со значительно увеличившимися скоростями торговых, банковских и прочих экономических взаимодействий, ставят экспертизу электронно-цифровой подписи в разряд наиболее важных исследований.
Развитие технологий, коммуникаций и глобализация экономики привели к необходимости создания эффективной системы связи между корпоративными контрагентами. В 1973 году появилось Сообщество всемирных межбанковских финансовых телекоммуникаций (S.W.I.F.T). В него вошли 239 европейских и североамериканских банков. Целью Сообщества стала разработка мировой системы обмена данными для финансовых организаций. В то же время встал вопрос о защите секретных данных и сохранении неприкосновенности документов, а также проверке их подлинности.
Впервые понятие электронной подписи было предложено учеными Стенфордского университета (США) – программистом Уитфилдом Диффи и профессором Мартином Хеллманом. Первоначально идея электронной подписи имела вид концепта, который в принципе может быть когда-нибудь разработан. Однако уже в следующем году американские ученые Рональд Ривест и Леонард Макс Адлеман в сотрудничестве с израильтянином Ади Шамиром создали алгоритм шифрования, названный по первым буквам их фамилий – RSA. Алгоритм был основан на математическом принципе разложения натуральных чисел на простые множители и мог быть использован для простейшего шифрования пересылаемых документов. С развитием криптографии и компьютерных средств стали появляться вероятностные схемы цифровых подписей, например, схема Рабина, а затем и первые хэш-алгоритмы. К 1984 году ученые под руководством все того же Рональда Ривеста строго сформулировали принципы безопасности, применяемые к цифровым подписям.
В нашей стране регламентация системы электронно-цифровых подписей была начата в первой половине 90-х годов прошлого века. Главное управление безопасности связи Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ГУБС ФАПСИ) предложило первоначальный вариант стандарта электронно-цифровой подписи, которому был присвоен ГОСТ Р 34.10-94. С учетом новейших разработок в области криптографии в 2002 году был разработан новый стандарт ГОСТ 34.10-2001, гарантирующий более высокую криптостойкость алгоритма (степени защищенности от внешних атак). Федеральным законом Российской Федерации от 10.01.2002 г. №1-ФЗ «Об электронной цифровой подписи» установлена синонимичность терминов «электронная цифровая подпись» и «цифровая подпись». Последняя редакция закона об электронной подписи состоялась 6 апреля 2011 года.
Поскольку электронно-цифровая подпись является мощным инструментом обеспечения информационной безопасности в области обмена данными между корпоративными, политическими и прочими контрагентами, большое значение придается экспертизе электронно-цифровой подписи.
ЧТО ИЗ СЕБЯ ПРЕДСТАВЛЯЕТ ЭЛЕКТРОННО-ЦИФРОВАЯ ПОДПИСЬ?
Под электронно-цифровой подписью понимается некоторый блок электронной информации, присоединяемой к заверенному документу. Эти дополнительный данные служат для идентификации человека, подписавшего документ. По сути, это алгоритм шифрования, обеспечивающий следующие функции:
- Секретность передаваемых электронных документов.
- Заверение подлинности передаваемых документов.
- Обеспечение целостности документа и отсутствия в нем несанкционированных изменений.
- Идентификация автора документа.
- Недопустимость отрицания лицом, подписавшим документ, своего авторства.
Основные понятия сферы применения электронно-цифровой подписи, а также порядок ее использования установлены Федеральным законом Российской Федерации от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
Ключом электронно-цифровой подписи считается единственная в своем роде строка символов, предназначенная для создания электронно-цифровой подписи, то есть для шифрования документа. Ключом проверки электронно-цифровой подписи является уникальная строка символов, однозначным образом соответствующая ключу электронно-цифровой подписи. Ключ проверки предназначен для дешифровки и проверки подлинности электронно-цифровой подписи. Сертификатом ключа для идентификации электронной подписи является специальный документ в бумажной или цифровой форме, выданный уполномоченной организацией, осуществляющей регистрацию электронно-цифровых подписей. Сертификат ключа подтверждает принадлежность ключа шифрования владельцу сертификата. Квалифицированный сертификат ключа выдается аккредитованной организацией или уполномоченным федеральным органом исполнительной власти.
Под средствами электронно-цифровой подписи понимаются криптографические инструменты, предназначенные для генерирования электронно-цифровой подписи, проверки подлинности электронно-цифровой подписи, генерирование ключа (и, соответственно, ключа проверки) электронно-цифровой подлинности.
Настоящий закон «Об электронной подписи» определяет следующие виды электронно-цифровых подписей:
- Простая электронно-цифровая подпись.
- Неквалифицированная электронно-цифровая подпись.
- Квалифицированная электронно-цифровая подпись.
Простая электронно-цифровая подпись с помощью средств шифрования, пароля или других средств удостоверяет создание электронно-цифровой подписи конкретным человеком.
Неквалифицированная электронно-цифровая подпись удовлетворяет следующим условиям:
- Сформирована в процессе шифрования данных согласно ключу электронно-цифровой подписи.
- Идентифицирует человека, заверившего документ.
- Предоставляет возможность обнаружения внесения несанкционированных изменений в документ позже факта его подписания.
- Получена с помощью средств электронно-цифровой подписи.
Квалифицированная электронно-цифровая подпись отвечает всем условиям неквалифицированной электронно-цифровой подписи, кроме того, обладает следующими дополнительными признаками:
- Подтверждение ключа проверки электронно-цифровой подписи содержится в квалифицированном сертификате.
- Средства электронно-цифровой подписи, посредством которых была сформирована квалифицированная электронно-цифровая подпись, соответствуют требованиям настоящего Федерального Закона.
Последние два вида электронно-цифровых подписей называются также усиленной электронно-цифровой подписью.
Настоящий закон предписывает соответствие бумажных и электронных документов. Так, электронные документы, заверенные простой электронно-цифровой подписью, признаются эквивалентом бумажных документов, заверенных обычной ручной подписью. Документы же, заверенные усиленной электронно-цифровой подписью, считаются эквивалентными бумажным документам с подписью конкретного лица и печатью организации.
Система электронно-цифровых подписей находится под действием постоянных атак со стороны экономических преступников. На неприкосновенность электронных документов постоянно посягают злоумышленники. При любом подозрении на нарушение безопасности электронно-цифровой подписи прибегают к экспертизе электронно-цифровой подписи.
Экспертиза электронно-цифровой подписи проводится криптографическими и иными программными методами защиты информации (информационной безопасности) и направлена на проверку подлинности электронно-цифровой подписи, а также на исследование сохранности и неизменности электронных документов после того, как они были подписаны.
В КАКИХ СЛУЧАЯХ ПРОВОДЯТ ЭКСПЕРТИЗУ ЭЛЕКТРОННО-ЦИФРОВОЙ ПОДПИСИ?
- Если есть подозрение, что лицо, удостоверившее документ, пользуется поддельной электронно-цифровой подписью.
- При подозрении на подделку ключа проверки электронно-цифровой подписи.
- Если имеются основания считать, что документ был изменен в процессе пересылки от одного контрагента другому, то есть были внесены поправки после того, как документ был заверен электронно-цифровой подписью.
- В любых других случаях, где требуется надлежащая проверка документации.
ОСНОВНЫЕ МЕТОДЫ ПРОВЕДЕНИЯ ЭКСПЕРТИЗЫ ЭЛЕКТРОННО-ЦИФРОВОЙ ПОДПИСИ.
Экспертиза электронно-цифровой подписи может проводиться в следующих направлениях:
- Исследование подлинности сертификата электронно-цифровой подписи (обычного или квалифицированного).
- Экспертиза подлинности электронно-цифровой подписи документа посредством исследования сертификата электронно-цифровой подписи. Причем электронно-цифровая подпись может входить в состав документа (так называемая присоединенная подпись) или содержаться отдельно от него (свободная или неприсоединенная подпись).
- Экспертиза электронно-цифровой подписи посредством хеш-функций.
Проверка достоверности сертификатов производится стандартными методами экспертизы документов (как электронных, так и бумажных форм). Для проверки сертификата в первую очередь обращаются в реестр выдавшей его организации. Также применяются иные способы экспертизы подлинности документов. Для экспертизы электронно-цифровой подписи документа предъявляется сертификат электронно-цифровой подписи. Он же используется для проверки ключей расшифровки на предмет подделки.
Использование хеш-функций в процессе экспертизы электронно-цифровой подписи дает наиболее достоверные результаты. Оно используется в случаях, когда есть основания полагать, что документ был исправлен в процессе пересылки. Хеш-функция – это математический инструмент, основанный на преобразовании массивов данных по предписанной схеме, согласно которой формируются битовые строки заданной длины. Сам процесс называют хеширование. Результатом хеширования (выполнения хеш-функции) является хеш документа – шифрованное описание детального содержания документа. При заверении документа электронно-цифровой подписью зачастую подписывается не сам документ, а его хеш. Это связано с тем, что хеш документа имеет незначительную длину и сразу весь может быть заверен однократным применением электронно-цифровой подписи. Хеш документа создается как при шифровании, так и в процессе дешифровки. Хеш документа является его реквизитом, неотъемлемой частью, однако невидим в самом тексте. При выполнении дешифровки результаты хеш-функций сверяются. Различия могут свидетельствовать о том, что целостность документа была нарушена.
КАКИЕ МАТЕРИАЛЫ ПРЕДОСТАВЛЯЮТСЯ ДЛЯ ЭКСПЕРТИЗЫ ЭЛЕКТРОННО-ЦИФРОВОЙ ПОДПИСИ?
- Корневые сертификаты электронно-цифровой подписи, выданные соответствующей организацией.
- Спорные электронные документы, подлинность которых ставится под сомнение.
- Значение ключа проверки электронно-цифровой подписи.
КАКИЕ ВОПРОСЫ СТАВЯТСЯ ПЕРЕД ЭКСПЕРТОМ ПО ПРОВЕРКЕ ЭЛЕКТРОННО-ЦИФРОВОЙ ПОДПИСИ?
- Принадлежит ли электронно-цифровая подпись владельцу сертификата ключа подписи?
- Присутствуют ли в сертификате ключа подписи какие-либо искажения, ставящие под сомнение легитимность его использования?
- Является ли сертификат ключа подписи действующим (не утратившим силу) на момент подписи документа?
- Является ли подлинным сертификат специальной организации, осуществляющей выдачу сертификатов ключей электронно-цифровой подписи.
- Не является ли выданный сертификат ключа приостановленным или аннулированным?
- Вносились ли какие-либо несанкционированные изменения в заверенный электронно-цифровой подписью документ?
- Совпадают ли результаты хеш-функций на момент подписания и на момент проверки подлинности документа?
- Является ли электронно-цифровая подпись подлинной?
- Какой вид электронно-цифровой подписи был использован при заверении конкретного документа?
- Был ли уполномочен конкретный человек использовать данную электронно-цифровую подпись?
помощь адвоката
тел. 8 908 590 52 56.