Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Хеширование (иногда хэширование, англ. hashing) — процесс преобразования произвольного набора данных в строку фиксированного формата. Закон, по которому осуществляется данная операция, называется хеш-функцией или функцией свертки. Результат преобразования именуют хешем или хеш-кодом. Также используется термин «дайджест сообщения». Одним из примеров использования хеш-функций является вычисление контрольной суммы файла.
Введение
Достоверно установлено, что шифрование передаваемых сообщений осуществлялось уже в 3-м тысячелетии до нашей эры.
До середины 70-х годов прошлого века, несмотря на совершенствование технологии и оборудования, применявшегося для защиты информации, базовый принцип оставался неизменным: кодирование и расшифровка данных производилась с использованием одного и того же секретного ключа. В связи со спецификой данного направления, криптография долгое время оставалась исключительно прерогативой государства.
Развитие информационных технологий привело к необходимости предоставления доступа к достижениям данной науки для широкого круга лиц. В связи с этим потребовалась, и была успешно выполнена, разработка алгоритмов шифрования, позволяющая надежно защищать информацию, передаваемую по сетям общего пользования большому количеству адресатов.
Возникновение ЭЦП
В середине 70-х годов прошлого века пришло понимание, что в ряде случаев необходимо иметь инструмент, который был бы способен подтвердить авторство и сохранность в неизменном виде передаваемой в цифровом виде информации.
В 1976 году для него было предложено название: «электронная цифровая подпись». Однако сама ЭЦП появилась несколько позже, после того, как в 1977 году разработали алгоритм RSA, получивший свое название по первым буквам фамилий создателей: Рональд Райвест (Ronald Linn Rivest), Ади Шамир (Adi Shamir) и Леонард Адлеман (Leonard Adleman). Он стал первым, который подходил как для шифрования данных, так и для аутентификации.
Требования к алгоритмам цифровой подписи, обеспечивающие безопасность ее использования, были четко сформулированы в 1984. Тогда же были предложены и схемы, устойчивые к основным моделям атак злоумышленников.
В России первый стандарт, определяющий создание и использование электронной цифровой подписи, был разработан в 1994 году (ГОСТ Р 34.10-94). В законодательство понятие ЭЦП было введено в 1995 году. Термин появился в первой главе гражданского кодекса как один из аналогов собственноручной подписи.
Что такое ЭЦП?
Подпись – это рукописное и иногда стилизованное графически имя или другой графический знак под документом, идентифицирующий подписанта и означающий его согласие с текстом документа. Проверяется обычная подпись визуально (сличаем оригинал с подписью, поставленной на документе).
В мире электронных документов подписание документа с помощью графических символов теряет смысл, т.к. подделать и скопировать графический символ можно бесконечное количество раз.
Электронная Цифровая Подпись (ЭЦП) является полным электронным аналогом обычной подписи на бумаге, но реализуется не с помощью графических изображений, а с помощью математических преобразований над содержимым документа. Специальные криптографические алгоритмы, используемые для создания и проверки ЭЦП, гарантируют невозможность подделки такой подписи посторонними лицами (неопровержимость авторства). Процедура проверки ЭЦП выполняется компьютерной программой, что позволяет избежать человеческого фактора.
ЭЦП дает информацию не только о лице, подписавшем документ, но и позволяет удостовериться, что сам документ не был изменен или подделан после подписания (целостность документа).
Одним из компонентов ЭЦП может являться штамп времени, который показывает реальное время подписания документа в отличие от даты, указанной в самом документе. Использование штампов времени в электронном документообороте позволит вам создавать официальное доказательство факта существования документа на определённый момент времени.
Штамп времени — это подписанный ЭЦП документ, которым Служба штампов времени удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции от документа. Само значение хэш-функции также указывается в метке.
Наличие штампа времени в подписанном документе позволяет продлевать срок действия электронной подписи. Такой штамп удостоверяет, например, что подпись была создана до того, как сертификат ключа подписи был аннулирован (отозван). Таким образом, для проверки подписи, созданной до момента отзыва сертификата, можно использовать уже отозванный сертификат.
Схемы и технологии ЭЦП
Как уже говорилось выше, в основе технологии ЭЦП лежит криптографическое преобразование информации, в том числе различные схемы, использующие симметричные и ассиметричные криптографические алгоритмы.
Схемы ЭЦП, использующие в своей основе симметричные алгоритмы, получили меньшее распространение, в виду того, что в симметричном алгоритме для зашифровывания и расшифровывания используется один и тот же секретный ключ и стойкость такой системы, зависит от стойкости этого ключа. Кроме этого, применение ЭЦП, выполненной на основе симметричных схем, требует наличие в цепочке передачи информации третьей доверенной стороны, способной подтвердить ее достоверность.
Наиболее широкое распространение получили схемы ЭЦП на основе ассиметричных алгоритмов. В асимметричной схеме применяется пара ключей: открытый ключ, который зашифровывает данные, и соответствующий ему закрытый ключ (или секретный ключ), который их расшифровывает . Владелец открытого ключа может его смело распространять. В то же время, закрытый ключ держится в тайне. Любой человек с копией открытого ключа может зашифровать информацию, которую сможет прочитать только владелец закрытого ключа. Хотя ключевая пара математически связана, вычисление закрытого ключа из открытого в практическом плане невыполнимо. Каждый, у кого есть открытый ключ, может зашифровать данные, но не может их расшифровывать. Только человек, обладающим соответствующим закрытым ключом может расшифровать информацию.
Таким образом, главное достижение асимметричного шифрования в том, что оно позволяет людям, не имеющим существующей договорённости о безопасности, обмениваться секретными сообщениями. Необходимость отправителю и получателю согласовывать тайный ключ по специальному защищённому каналу полностью отпадает. Все коммуникации затрагивают только открытые ключи, тогда как закрытые хранятся в безопасности.
Другой особенностью современной технологии ЭЦП, является использование хеш-функций.
Поскольку подписываемые документы, как правило, достаточно большого объёма, при формировании ЭЦП используется не сам документ, а его хэш, который имеет небольшую фиксированную длину. Для вычисления хэша используются хэш-функции (односторонние функции), что гарантирует выявление изменений документа при проверке подписи.
Стоит заметить, что использование хеш-функции не обязательно, а сама функция не является частью алгоритма ЭЦП, поэтому хеш-функция может не использоваться вообще.
Таким образом, общепризнанная схема ЭЦП, основанная на ассиметричном алгоритме охватывает три процесса:
Генерация ключевой пары: При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.
Формирование подписи: Для заданного электронного документа с помощью хеш-функции и закрытого ключа вычисляется подпись.
Проверка подписи: Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.
Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий: во-первых, проверка подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании. Во-вторых, без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.
Невыполнение второго условия, использование плохо подобранных ключевых пар или хеш-функций, все это ведет к снижению надежности ЭЦП и усиливает риск подделки цифровой подписи.
В настоящее время наиболее распространены три типа попыток фальсификации с использованием: открытого ключа, известных случайных и выбранных сообщений, но из-за надежности современных алгоритмов, успешное осуществление попыток взлома и подмены цифровой подписи является крайне сложной задачей. Поэтому чаще стараются подделать не саму ЭЦП, а защищаемый ею документ.
Здесь возможны два варианта: попытка подбора случайного документа, подходящего к подписи и формирование двух документов с одинаковой подписью и подмена одного другим в нужный момент. Обе задачи также чрезвычайно сложно реализуемы. При этом первая практически не имеет шансов на успех. Связано это с тем, что подобрать документ, хэш которого полностью совпал бы с тем, который планируется сфальсифицировать, и при этом его содержимое представляло собой связный и осмысленный текст – нереально.
Порядок формирования ЭЦП
Для успешного создания и использования ЭЦП электронного документа в современных условиях обмена электронными сообщениями и документами, в том числе в сетях общего пользования, необходимо, чтобы открытый ключ (в том числе и закрытый ключ) был соотнесен с лицом, создающим ЭЦП, а для его создания использовалось сертифицированное средство (специальное программное обеспечение).
Для выполнения первого условия необходимо обратиться в центр сертификации.
Удостоверяющий центр или центр сертификации - это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи.
Сертификат открытого ключа удостоверяет принадлежность открытого ключа некоторому лицу. Сертификат открытого ключа содержит имя субъекта, открытый ключ, имя удостоверяющего центра (или центра сертификации), политику использования соответствующего удостоверяемому открытому ключу закрытого ключа и другие параметры, заверенные подписью уполномоченного лица удостоверяющего центра.
Сертификат открытого ключа используется для идентификации субъекта и уточнения операций, которые субъекту разрешается совершать с использованием закрытого ключа, соответствующего открытому ключу, удостоверяемому данным сертификатом. Структура цифровых сертификатов, а также списков отозванных сертификатов (CRL), определяется стандартом X.509.
Заявитель обращается в удостоверяющий центр и представляет документы, необходимые для его идентификации (например, паспорт). Уполномоченный сотрудник УЦ выполняет проверку документов, после чего формируется пара ключей. Достоверность первого удостоверяется сертификатом, заверенным ЭЦП сотрудника УЦ. Секретный ключ на съемном носителе передается заявителю, который, расписываясь в получении сертификата и секретного ключа, обязуется никому не передавать секретный ключ, а в случае его утраты, обратиться в удостоверяющий центр для отзыва сертификата.
После получения закрытого ключа и сертификата открытого ключа, необходимо установить сертификат на компьютер, где будет создаваться электронная цифровая подпись. Процедура установки корневого сертификата удостоверяющего центра, а также личного сертификата с привязкой к секретному ключу, производиться с помощью средств операционной системы и специального программного обеспечения, обеспечивающего работу с сертификатом и закрытым ключом при выполнении операций шифрования и создания ЭЦП.
В операционных системах Microsoft Windows такое программное обеспечение получило название - криптопровайдер (Cryptography Service Provider, CSP). Криптопровайдер - это независимый модуль, позволяющий осуществлять криптографические операции, управление которым происходит с помощью функций CryptoAPI . Проще говоря, криптопровайдер – это посредник между операционной системой и клиентской программой, предназначенной для выполнения уже вполне конкретных действий, например, шифрования данных или создания ЭЦП документа. Криптопровайдер обычно устанавливается в систему в момент установки клиентской программы, поэтому этот сложный процесс не заметен для пользователя.
Также нужно отметить, что криптопровайдеры поддерживающие различные зарубежные криптографические алгоритмы, поставляются вместе с операционной системой и не требуют отдельной установки. В частности поэтому, для того чтобы подписать электронное сообщение в почтовой программ MS Outlook на сертификате выпущенном в вашей организации, Вам нужно только установить выпущенный сертификат на Ваш компьютер. Однако, полученную таким образом ЭЦП можно использовать только в рамках Вашей организации или группы компаний, имеющих внутреннее соглашение об использовании такой ЭЦП. Для обеспечения юридической значимости, т.е для того, чтобы полученная ЭЦП признавалась любыми другими гражданами и организациями, в том числе государственными органами, необходимо: во-первых, изготовить сертификат и получить секретный ключ в удостоверяющем центре (аккредитованном и имеющими необходимые лицензии ФСТЭК и ФСБ), во-вторых, использовать для изготовления ЭЦП специальное сертифицированное средство. Например, одним из таких средств является комплекс Крипто-АРМ производства ООО «Цифровые технологии», который должен использоваться вместе с сертифицированным криптопровайдером, производства ООО «КРИПТО-ПРО».
После того, как на компьютере установлены сертификат, соответствующее средство изготовления ЭЦП и произведены необходимые настройки, можно легитимно применять ЭЦП.
При использовании цифровой подписи для защиты документов она может передаваться несколькими способами. Конкретный вариант выбирается исходя из того, какие задачи решаются с ее помощью.
Присоединенная
В случае создания присоединенной подписи создается новый файл ЭЦП, в который помимо данных ЭЦП помещаются данные подписываемого документа. Этот процесс аналогичен помещению документа в конверт и его запечатыванию. Перед извлечением документа следует убедиться в сохранности печати (для ЭЦП в ее правильности). К достоинствам присоединенной подписи следует отнести простоту дальнейшего манипулирования с подписанными данными, т.к. все они вместе с подписями содержатся в одном файле. Этот файл можно копировать, пересылать и т.п. К недостаткам следует отнести то, что без использования средств создания ЭЦП уже нельзя прочесть и использовать содержимое файла, точно так же, как нельзя извлечь содержимое конверта, не расклеив его.
Отсоединенная
При создании отсоединенной подписи файл подписи создается отдельно от подписываемого документа, при этом сам файл подписываемого документа никак не изменяется. Преимуществом отсоединенной подписи является то, что подписанный файл можно читать, не прибегая к средству создания ЭЦП. Недостаток отсоединенной подписи - необходимость хранения подписанной информации подписанного файла и одного или нескольких файлов с подписями.
Внутри данных
Применение ЭЦП этого вида существенно зависит от приложения, которое их использует, например ЭЦП внутри документа Acrobat Reader. Вне приложения, создавшего ЭЦП, без знания структуры его данных проверить подлинность частей данных, подписанных ЭЦП затруднительно.
Законодательство
Долгое время развитие электронной цифровой подписи в России сдерживало отсутствие закона, определяющего сферы и порядок применения этого инструмента. Создавалась ситуация, при которой использование ЭЦП практически никак не регламентировалось. Это приводило к тому, что она применялась только как один из инструментов информационной безопасности в корпоративных сетях. Прежде всего, ее внедряли у себя крупные банки. В дальнейшем они использовали ЭЦП для развития системы «банк-клиент». А за пределами корпоративных сетей применение цифровой подписи тормозилось отсутствием надежных гарантов ее подлинности.
Закон об ЭЦП
Сегодня, порядок использования ЭЦП на территории РФ регулируется законом №1-ФЗ от 10 января 2002 года «Об электронной цифровой подписи».
Действующий закон определяет правовые условия, при которых ЭЦП на электронном документе может признаваться аналогом собственноручной подписи на бумажном носителе. Оговаривается порядок ее создания, использования и срок действия.
Также регулируется деятельность удостоверяющих центров (УЦ), осуществляющих выдачу сертификатов ключей подписи и, по заявлению владельца, подтверждающих ее подлинность. Определяется порядок взаимодействия УЦ с государственными службами и органами власти, обязанности удостоверяющих центров и владельцев цифровой подписи. Также в нем прописана процедура прекращения деятельности центров и аннулирования сертификата ЭЦП.
Отдельная глава закона оговаривает особые случаи использования цифровой подписи, к которым, например, относится признание ЭЦП, полученной из-за пределов РФ или применение данного инструмента в качестве замены печати.
На сегодняшний день в России данный инструмент используют более 600 тысяч предприятий различных форм собственности. По мере того, как электронная цифровая подпись становится привычнее, расширяется и сфера ее применения.
Проблемы законодательства
В государственную думу весной 2010 года внесен законопроект, призванный заменить действующий, но пока он не принят.
Необходимость создания нового варианта законопроекта об ЭЦП вызвана тем, что в действующем документе не в полной мере отражены все аспекты, связанные с использованием цифровой подписи. В частности, в разделе, регулирующем деятельность удостоверяющих центров, четко не прописана процедура признания подлинности сертификатов, выданных разными УЦ. Речь идет о ситуации, когда получателю приходит документ, подпись к которому удостоверяется сертификатом, в надежности которого тот не уверен. На данный момент в подобных случаях применяется процедура кросс-сертификации. Технологически она заключается в выпуске сертификата удостоверяющим центром по заявке другой подобной структуры.
В действующем законе данная процедура не является обязательной. Как нет положения о том, что сертификаты любого удостоверяющего центра должны в обязательном порядке приниматься всеми субъектами на территории РФ.
Основные изменения в новом законопроекте направлены на упрощение процедуры использования цифровой подписи, а также устранение пробелов, имевшихся в предыдущем документе.
В частности, расширяется перечень допустимых видов электронных подписей, использующих различные технологии, в том числе не предусматривающие обязательной сертификации ключей.
Простая
Используется без сертификата подписи. Применяется только для установления лица передавшего информацию, но не гарантирует неизменность передаваемых данных или самой ЭЦП. Предполагается, что данный вариант будет предназначен для отправки гражданами сообщений в государственные органы по электронной почте. Однако местным властям предоставляется право самостоятельно определять, в каких случаях допускается использование простой цифровой подписи.
Усиленная
Может использоваться как с сертификатом, так и без него. В обязательном порядке должна обеспечивать неизменность исходного документа или позволять обнаруживать факт его редактирования после подписания.
Квалифицированная
Используется только с сертификатом, выданным удостоверяющим центром. Предназначается для ведения переписки с государственными и муниципальными органами власти и в других случаях, при передаче сведений большой важности.
Также в проекте закона более детально прописаны процедуры аккредитации удостоверяющих центров, и уточнен перечень и порядок оказания ими услуг. Также для УЦ и владельцев сертификатов устанавливается ответственность за вред, причиненный иным лицам, в связи с неисполнением ими своих обязанностей в соответствии с законом.
Области применения ЭЦП
Из свойств ЭЦП вытекает возможность использования ее в следующих целях:
организация удаленного взаимодействия хозяйствующих субъектов и частных лиц с государственными органами (таможня, налоговая инспекция, обращение в органы исполнительной власти, постановка транспорта на учет в автоинспекцию и т.п.);
организация электронной торговли;
удаленный доступ к управлению счетами в финансовых учреждениях;
защита авторских прав на объекты интеллектуальной собственности;
применение в других сферах деятельности, где используется передача информации по незащищенным каналам связи.
Юридически значимый электронный документооборот
Сегодня возрастают требования к скорости передачи и степени защищенности документов. При этом бумажные носители все в меньшей степени способны обеспечивать необходимые параметры. Почта – не слишком оперативно, велик риск утери или несанкционированного доступа к содержимому третьих лиц. Факс – приемлемая скорость, очень слабая защищенность от подделки. Неизбежность перехода на электронный документооборот очевидна всем.
Цифровая подпись соответствует всем требованиям, чтобы сделать информацию, защищенную ею юридически значимой. Учитывая необходимость обеспечения конфиденциальности, наилучшим вариантом в этом случае следует считать квалифицированную присоединенную ЭЦП.
Организация электронной торговли
Интернет, первоначально организовывавшийся как информационная сеть, все шире используется в качестве бизнес-площадки, на которой совершаются сделки различного рода. К сожалению, часто возможности удаленной торговли используют недобросовестные люди и компании-однодневки, «продавцы воздуха».
Сделать эту область деятельности безопаснее и увеличить перечень доступных операций, позволяет использование электронной цифровой подписи. При этом конкретный вид, который будет применяться в том или ином случае, зависит от типа сделки. Если при проведении операций С2С (англ. customer-to-customer - торговля «из рук в руки», в сделке принимают участие только физические лица) можно обойтись простой отсоединенной, то взаимодействие В2В (англ. Business to Business – сделки между юридическими лицами) требует защиты на уровне квалифицированной присоединенной ЭЦП.
Решимость российского руководства обеспечить внедрение электронной формы документооборота при работе в различных сферах деятельности нашла свое отражение в том, что принятый в 2005 году федеральный закон «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» (№94-ФЗ), содержит отдельную главу, в которой подробно описана процедура проведения аукционов в электронной форме.
В ней особое место отведено назначению и порядку использования электронной цифровой подписи всеми сторонами, участвующими в проведении торгов. В разделе 5 статьи 41.2 отмечается, что ЭЦП служит удостоверением подлинности и достоверности документов, а также подтверждает, что они направлены от конкретного лица.
Электронный нотариат
Как и в случае с бумажными носителями, при электронном документообороте, в некоторых случаях, возникает необходимость дополнительного подтверждения достоверности ЭЦП. В обычной жизни легитимность того или иного документа и подлинность подписи удостоверяет нотариус. Очевидно, что в случае электронного способа обмена документами также должна существовать структура, выполняющая аналогичные функции.
Роль нотариата, в соответствии со статьей 9 закона 1-ФЗ «Об электронной цифровой подписи», может играть удостоверяющий центр. Однако, количество ситуаций, в которых могут потребоваться услуги третей стороны, и перечень сервисных функций, позволяют говорить о целесообразности организации отдельной структуры для их исполнения. Уже сегодня эксперты сходятся во мнении, что выполнение задачи по построению электронного государства, которую поставило нынешнее руководство РФ, невозможно без организации и законодательного оформления электронного нотариата.
Прогнозы развития
Динамика роста количества субъектов, использующих электронную цифровую подпись, позволяет говорить о том, что в ближайшее время стоит ожидать увеличения не только числа пользователей, но и сфер деятельности, в которых она будет применяться. Если в 2005 году в России было выдано 200 тыс. сертификатов ключей, то в 2010 году эта цифра составляет уже 600 тыс. На сегодняшний день наибольшее распространение ЭЦП находит при сдаче налоговых деклараций и пользовании системой «Банк-клиент».
Самыми перспективными направлениями, в которых, по мнению экспертов, будет идти развитие данного инструмента, является заключение договоров между предприятиями различных форм собственности. Кроме этого, массовое внедрение цифровой подписи позволит в большой степени автоматизировать документооборот, исключив из процесса подготовки и передачи информации операционистов. Ответственным лицам в компаниях будет достаточно лишь ознакомиться с созданным системой документом и дать согласие на дальнейшие действия.
Повышенное внимание уделяется упрощению процедуры получения сертификатов и использования ЭЦП для того, чтобы сделать ее применение привлекательным для частных лиц. Этому должно также способствовать развитие системы электронного нотариата. Оформление доверенностей на автомобиль и другие подобные операции можно будет осуществлять, не тратя время на ожидание в очередях и перемещениях между различными организациями.
Можно говорить о том, что массовое использование электронной подписи, в конечном итоге приведет к тому, что пространство глобальной сети станет более безопасным и лучше защищенным от мошеннических действий.