Все публикации

Электронная цифровая подпись: история и современное применение

Недавно интернет отметил свое тридцатилетие. За это время он стал неотъемлемой частью жизни и профессиональной деятельности. Неудивительно, что многое перешло в режим онлайн: это удобней, быстрее и безопасней. Облачные хранилища, электронные сервисы и документооборот, интернет-коммуникация — вести предпринимательскую деятельность и решать бытовые вопросы стало проще. При этом на первое место вышел вопрос безопасности данных, ведь результатом хакерской атаки могут стать миллиардные убытки и уничтоженная репутация. Одним из современных методов защиты информации стала электронная подпись.

Что такое цифровая подпись

ЭЦП представляет собой данные в электронной форме, которые были получены путем криптографического преобразования и которые присоединяются к другим данным/документам, подтверждая их целостность и позволяя идентифицировать личность подписанта. Длинное определение не дает общего представления о том, как выглядит электронная цифровая подпись. В физическом смысле ЭЦП — это любой носитель (флешка, внешний жесткий диск, память компьютера), который обладатель всегда держит при себе. В диджитал-смысле — это криптографический шифр, который содержит информацию о владельце и может быть дешифрован только лицом, у которого есть ключ. ЭЦП

Методы шифрования

Различают два основных метода:
  • симметричный — один и тот же ключ используется для шифрования и дешифровки;
  • асимметричный — адресат и адресант обладают разными ключами.
Недостаток симметричного метода состоит в том, что возникают сложности с синхронизацией ключей. Они должны быть переданы так, чтобы в процессе передачи их никто не перехватил. В противном случае злоумышленник сможет и шифровать, и декодировать информацию. Асимметричный метод предполагает наличие открытого и личного ключа, которые связаны между собой математическими алгоритмами.

Открытый и закрытый (личный) ключ

  • Открытый ключ — параметр криптографического алгоритма проверки ЭЦП, доступный нескольким субъектам.
  • Закрытый (личный) ключ — параметр криптографического алгоритма формирования ЭЦП, который доступен только подписанту.
Собственно, так работает современная ЭЦП. Открытый ключ передается по открытому каналу связи, личный всегда остается у владельца. Открытый ключ не позволит вносить изменения в документы, т.е. злоумышленник не получит доступа к критически важной информации.

Законодательная база

В Украине использование электронной цифровой подписи регулируется двумя законами: Согласно действующему законодательству, электронная подпись приравнивается к обычной, также как электронные документы обязательны к приему наравне с бумажными. Более того, многие государственные службы в принципе отказываются от приема документов в бумажном виде. Наличие ЭЦП является обязательным атрибутом электронного документа, без подписи он считается недействительным.

Виды ЭЦП

  • Простая. Чаще всего представляет собой комбинацию логина и пароля, что подтверждает, что сообщение отправило конкретное лицо. Сфера ее использования ограничена — она не принимается государственными органами, не может подтвер
  • Усиленная неквалифицированная. Позволяет не только идентифицировать отправителя, но и подтверждает, что документ не изменялся. По взаимной договоренности сторон может приниматься в электронном документообороте, как «живая» подпись. Впрочем, в современном обществе используется все реже. Неквалифицированная подпись была своеобразным мостиком между «сырым» законодательством и практическим применением. Как только законом были урегулированы спорные вопросы, на первый план вышла усиленная квалифицированная ЭЦП.
  • Усиленная квалифицированная. Выдается только в аккредитованных центрах сертификации ключей (АЦСК), сопровождается сертификатом ключа и принимается во всех инстанциях наравне с документами с «мокрой» печатью и подписью.
Электронная Цифровая Подпись

Что такое сертификат ключа

Это своеобразная дополнительная аутентификация пользователя, электронный шифр, подтверждающий, что ключ принадлежит именно этому человеку. Сертификат также может использоваться для идентификации владельца ключа. Сертификат выдается удостоверяющим центром, который несет ответственность за правильность указанных открытых данных о владельце ключа. Сертификат содержит также информацию о центре, который его выдал, срок действия, ограничения на использование, сам открытый ключ и используемый алгоритм и т.п. Сертификат действует 24 месяца, по истечении этого срока он отзывается, а человеку необходимо обратиться за выдачей нового. Отозвать сертификат досрочно нужно в том случае, если изменилась какая-либо часть информации (например, владелец сменил фамилию) или если цифровой ключ был утерян.

Преимущества ЭЦП и электронного документооборота

У людей, которые только задумываются над тем, как сделать электронную подпись, возникает множество вопросов, главный из которых — какая в этом польза. Что выигрывает каждый пользователь, убирая шариковую ручку и переходя на флешку? Разберем основные преимущества.

Невозможно подделать

Росчерк ручкой — графический объект, который можно скопировать. Самый простой способ — приложить два документа к стеклу и по нижнему обвести подпись. Специалист-графолог, конечно, отличит подделку, но, скорее всего, обратятся к нему уже тогда, когда произойдет непоправимое. Электронная же подпись не имеет графического выражения, это определенный набор цифр и знаков, особым образом зашифрованный. Этот набор уникален для каждого пользователя, именно по нему идентифицируют автора документа. От брутфорса его защищает шифрование. Таким образом, ваши данные практически неуязвимы. Исключение — если вы потеряли флеш-носитель.

Экономия времени и упрощение коммуникации

Решить вопрос о том, как получить электронную подпись, нужно еще и затем, чтобы уменьшить затраты времени на организацию документооборота. Часто бывает, что подпись на документе нужна срочно, а начальник только что уехал. Или нужное подразделение находится в другом здании или вообще в другом городе. И решение вопроса откладывается на некоторое время: пока вернется руководитель, пока почта доставит заказное письмо и т.п. Электронный оборот бумаг позволяет значительно все ускорить и упростить. Шеф может подписывать отчеты даже в отъезде, используя планшет или ноутбук. Обособленное подразделение получит согласованные документы в считанные минуты, так же, как и государственные службы.

Возможность оперативно вносить исправления

Это преимущество особенно ценно для бухгалтеров. При подаче отчетности нередко возникают ошибки. Раньше это означало, что придется несколько раз ездить из офиса в фискальную службу, закупать новые бланки, снова искать руководителя для подписания и т. д. Теперь же электронный документ через несколько минут вернется обратно, бухгалтер быстро внесет исправления и тут же отправит отчет снова.

Экономия биоресурсов и расходных материалов

Электронный документооборот уменьшает использование бумаги, а значит, дает возможность сохранять зеленые насаждения, которые раньше шли в производство листов. Также экономится краска в принтерах и снижается нагрузка на устройство — ведь печатать приходится в разы меньше. В конечном итоге это приводит к уменьшению затрат на расходные материалы: бумагу, заправку картриджей и запчасти для МФУ.

Доступ к онлайн-сервисам

Ключ ЭЦП все чаще используют для идентификации человека при предоставлении ему онлайн-услуг. Так, например, Пенсионный фонд Украины открыл электронный кабинет, в котором пользователи могут ознакомиться со своим пенсионным делом. Там есть сведения о страховом стаже, можно проконсультироваться по вопросам пенсионного обеспечения, получить необходимые выписки и многое другое. Доступ в личный кабинет открывается с помощью ЭЦП.

История создания электронной подписи

Обмен важной информацией должен быть безопасным — это аксиома. Чтобы послания не могли прочесть посторонние, их придумали видеозменять — шифровать. Вопрос был лишь в том, что и адресат, и адресант должны были иметь ключ для взаимодействия с информацией. Ключ использовался для шифрования и для декодирования сообщений.

Односторонняя ловушка

Уязвимость системы шифрования была в том, что если злоумышленник получал ключ, он мог не только читать послания, но и участвовать в переписке, кодируя сообщения. Стремясь уйти от этого, в 1976 году трое ученых Уитфилд Диффи, Мартин Хеллман и Ральф Меркле издали работу «New Directions in Cryptography». По сей день она считается самым значимым шагом в криптографии. Ученые предложили проводить зашифрованный обмен сообщениями без обмена ключами. Используя криптографические архетипы Алиса, Боб и Ева, они поясняли алгоритм так:
  • Алиса собирается отправить Бобу важное послание, но знает, что Ева обязательно заглянет в эту переписку;
  • Алиса кладет письмо в сундук, вешает на сундук замок и в таком виде отправляет Бобу;
  • Боб, получив сундук, вешает поверх первого замка второй — свой, и отправляет назад Алисе;
  • Алиса получает сундук с двумя замками, снимает свой и отправляет сундук снова Бобу;
  • Боб своим ключом открывает свой замок и получает послание Алисы;
  • Ева на протяжении всей цепочки не может прочитать сообщение, поскольку не имеет ключа и не может его перехватить, поскольку адресаты не обмениваются ключами.
Таким образом, есть зашифрованное послание, открытый ключ (замок сундука), который бесполезен без закрытого ключа (ключей от замков Боба и Алисы). Недостатки метода очевидны: обмен сообщениями занимает время, он неудобен, если адресатов больше, чем один. Для каждого нужно придумать открытый ключ, обменяться ими и помнить, кому какой.

Первый подход к ЭЦП

Через год, в 1977 году, Рональд Ривест, Ади Шамир и Леонард Адлеман изобрели новый алгоритм, названный по первым буквам их фамилий RSA. Он описывает математический подход, при котором задачу шифрования выполняет сложность факторизации произведения двух больших простых чисел. Для шифрования используется операция возведения в степень по модулю большого числа. Для дешифрования (обратной операции) за разумное время необходимо уметь вычислять функцию Эйлера от данного большого числа, для чего необходимо знать разложение числа на простые множители. В качестве примера можно привести простое действие: 3 * 17 = 51, но чтобы получить из произведения 51 исходные множители (3 и 17), придется перебрать большое количество вариантов. Это, конечно, упрощенный пример, в реальной криптографии используются числа с гораздо большим количеством цифр (например, 16-значные), что делает метод подбора неэффективным и ресурсоемким. Математически ключи шифрования и дешифровки связаны между собой, что решает проблему аутентификации — пользователи точно знали, с кем они сгенерировали ключи. Предыдущая система не позволяла знать этого наверняка. По этому алгоритму код шифрования мог быть открытым, а ключи дешифровки обязательно должны храниться в строгом секрете. Именно алгоритм RSA использовался для создания первых электронных цифровых подписей.

Смешанный алгоритм шифрования

Стремление сделать обмен данными максимально безопасным привело к появлению так называемого смешанного алгоритма. Для каждого сеанса создается отдельный сеансовый ключ, которым участники коммуникации симметрично шифруют свои сообщения. После завершения коммуникации сеансовый ключ уничтожается, и переданную информацию третьи лица вообще не могут расшифровать. Что такое электронная цифровая подпись

Электронная подпись (Украина): сфера использования

ЭЦП в Украине широко применяется для:
  • электронной переписки;
  • заключения договоров онлайн;
  • организации электронного документооборота;
  • подачи электронной отчетности в государственные органы.
Кроме того, ЭЦП используется для формирования петиций на сайте Президента Украины, для пользования услугами электронных кабинетов Государственной фискальной службы, Пенсионного фонда, Госслужбы статистики, МЧС, МВД и Минсоцполитики. Участие в государственных закупках или тендерах также невозможно без ЭЦП.

Как создать электронную подпись

ЭЦП может получить физическое и юридическое лицо. Для этого необходимо обратиться в Аккредитованный центр сертификации ключей. В Украине выдачей электронных ключей занимаются:
  • АЦСК «Україна»;
  • ООО «Арт-мастер»;
  • ООО «Український сертифікаційний центр»;
  • ГП «Українські спеціальні системи»;
  • ООО «НВФ «Українські національні інформаційні системи»;
  • АЦСК информационно-справочного департамента ГФС;
  • АЦСК АТ КБ «ПриватБанк»;
  • МВД;
  • НБУ и другие.
В каждом конкретном случае рекомендуем ознакомиться со списком АЦСК, которые заключили договор с той службой, в которую вы намерены сдать электронную отчетность. Стоимость услуг каждой из аккредитованных служб разнится, ее лучше уточнять напрямую в Центре. Например, в департаменте ГФС будет сделана электронная подпись (Украина) бесплатно. Помимо собственно генерирования сертификата, здесь вам окажут в полном объеме консультативную поддержку, возьмут на себя обслуживание сертификата (в т.ч. напоминание об истечении срока его действия). С АЦСК обязательно нужно будет заключить договор.

Документы для оформления ЭЦП

Всю необходимую информацию можно найти, например, на официальном сайте Информационно-справочного департамента ГФС. Там расписаны пакеты документов для:
  • физических лиц;
  • юридических лиц;
  • органов государственной власти и местного самоуправления;
  • иностранных представительств;
  • представительств юридических лиц.

Документы для оформления ЭЦП: физические лица

Если вы физическое лицо, от вас потребуются:
  • копии документов, удостоверяющих личность, — паспорт и ИНН. При этом в паспорте образца 1994 года необходимо сделать копии 1 и 2 страниц, а также страницы с пропиской. Копии страниц 3-6 снимаются только при наличии там отметок. Владельцы ID-карт должны сделать копии лицевой и обратной стороны паспорта, а также бумажной выписки из Единого демографического реестра о регистрации места проживания;
  • Регистрационная карточка для физлиц установленного образца — заполняется в двух экземплярах;
  • для иностранных граждан — копия справки о временном месте проживания или нотариально заверенный перевод паспорта.
Все документы заверяются согласно действующему законодательству.

Документы для оформления ЭЦП: юридические лица

Пакет документов для юридических лиц включает:
  • заполненную в двух экземплярах Регистрационную карту установленного образца;
  • дополнение к Регистрационной карте (если ключ требуется нескольким людям) — в двух экземплярах;
  • устав организации: оригинал или нотариально заверенная копия — исключительно для ознакомления с деятельностью, поскольку АЦСК не выдают ключи предпринимателям и компаниям, которые нарушают закон;
  • копии документов, подтверждающих полномочия заявителя и то, что он имеет отношение к данному юридическому лицу;
  • копии документов, удостоверяющих личность, — паспорт и ИНН.
Иностранные граждане помимо прочего должны предоставить нотариально заверенный перевод паспорта или копию справки о временной регистрации места проживания на территории Украины. Кроме того, если на юрлицо работают иностранные граждане, такое лицо должно подать в АЦСК разрешение на использование труда иностранцев.

Общие условия

  • Кроме нотариального, все копии заверяются собственноручно владельце, согласно действующему законодательству Украины.
  • Документы со следами зачеркиваний, подтираний, закрашиваний и пр. не принимаются.
  • Использование факсимиле запрещается — подписи должны быть сделаны собственноручно.
  • Перед тем, как заполнять документы, ознакомьтесь с памяткой и правилами, которые также размещены на сайте.
  • Если подачу документов выполняет доверенное лицо, у него должна быть официальная доверенность государственного образца.

Уязвимость ЭЦП и варианты атак

Система RSA — сложная и продуманная, что не означает, что злоумышленники не пытаются ее взломать. Фактически, любой взлом сводится к вмешательству в алгоритм шифрования. Люди, которые ищут уязвимости в ЭЦП, называются криптоаналитиками.

Похищение частного ключа, или факторинг

Открытый ключ всегда находится в открытом доступе, но он бесполезен без личного ключа. Если злоумышленнику удастся заполучить закрытый ключ, он сможет готовить и заверять документы от вашего имени. Получение третьим лицом частного ключа усложняется наличием сертификата. Даже если, например, у вас украдут флешку с ключом, вы можете просто отозвать соответствующий сертификат — и злоумышленник останется ни с чем. Криптоаналитик может, конечно, заняться факторингом, но это вряд ли приведет к желаемому результату.

Вычисление корня степени из модуля

Если криптоаналитик сможет провести математические вычисления, чтобы узнать корень (сообщение), то он сможет подделывать подпись, даже не используя закрытый ключ. Эта операция похожа на факторинг, но устойчивость криптосистемы в настоящее время достаточно высока, так что говорить об успешности такого метода тоже не приходится.

Подбор документа для подписи

Зная подпись, злоумышленник может попытаться подобрать подходящий текст документа, который мог бы быть подписан таким образом. Метод этот не очень выгоден, поскольку далеко не всегда текст соответствует ожиданиям преступника.

Отправка сообщения зарегистрированному пользователю

Злоумышленник обманным путем отправляет зашифрованное сообщение зарегистрированному пользователю, вынуждая его расшифровать послание. Эта расшифровка ложится в основу метода похищения частного ключа.

Формирование двух документов с одинаковой подписью

Преступник готовит полностью аналогичный оригинальному документ, только с указанием своих данных, и в нужный момент переписки подменяет оригинал своей копией. Впрочем, такой метод будет успешным только при нарушении алгоритмов шифрования и обмена данными. В принципе же такая атака относится к числу вычислительно сложных.

Замена открытого ключа

Обладая доступом к файлу открытых ключей, преступник может заменить его на собственный, выдавая себя за реального обладателя частного ключа.   Как видим, в каждом случае преступнику понадобится приложить серьезные усилия, чтобы добиться желаемого. И усилия эти практически всегда остаются безрезультатными. ЭЦП действительно трудно взломать, что делает ее одним из самых надежных способов организации безопасного документооборота.

Результаты атак на ЭЦП

  • Подписывание документов от имени владельца. Если преступник украл личный ключ и обладает открытым ключом, ему открывается возможность формировать и подписывать любые документы, в т.ч. предназначенные для предоставления в государственные инстанции.
  • Универсальная подделка. Большая часть подделок касается только определенного типа документов, что не дает возможности в полной мере воплотить преступные замыслы. Универсальная подделка представляет собой алгоритм подписи, подходящий под разные типы документов.
  • Выборочная подделка. Противоположный предыдущему тип алгоритма. Теоретически такая подделка осуществляется проще, чем универсальная, поскольку факторинг сосредоточен только на одной группе документов. На практике же подобный взлом практически невозможен.
  • Случайная подделка. Взлом ЭЦП для некоторого типа документов, отличного от того, которое выбрал криптоаналитик.
  • Адаптивная подделка. Преступник вычисляет алгоритм на основе нескольких последовательных сообщений. Специалисты по криптографической безопасности обращают внимание, что именно здесь может обнаружиться наибольшая уязвимость системы. Впрочем, двусторонняя аутентификация и создание сессионных ключей для смешанного шифрования существенно усложняет возможность получения адаптивной подделки.

Как обеспечить безопасность ЭЦП

В ваших силах дополнительно усложнить жизнь криптоаналитикам, сделав вашу ЭЦП недоступной для взлома. Для этого нужно придерживаться простых рекомендаций:
  • надежно хранить носитель с личным ключом. Желательно ограничить круг лиц, знающих о наличии у вас такого носителя или в принципе ЭЦП. Флешку (диск или другой накопитель) можете брать только вы или лицо, на которое оформлена соответствующая доверенность и которое уполномочено действовать от вашего имени;
  • использовать криптостойкие защитные ключи. Пользуйтесь временными ключами там, где это возможно, уничтожайте их сразу же после коммуникации, отрезая злоумышленникам доступ к алгоритму;
  • хранить файл сертификата отдельно от ключа, чтобы в случае пропажи у вас осталась возможность защитить свои данные — ключ будет недействителен без сертификата, так что преступники не смогут им воспользоваться, а вы успеете отозвать;
  • проверять подлинность ЭЦП. Такую услугу оказывают АЦСК. Если вы сомневаетесь в полученном сообщении, закажите такую проверку, чтобы узнать, действительно ли подпись принадлежит лицу, приславшему вам письмо;
  • подписывать только проверенные документы. Проведите тщательную проверку новых партнеров в АЦСК, чтобы случайно не отдать свой шифр злоумышленникам;
  • сокращайте влияние человеческого фактора. Проще говоря, максимально ограничивайте доступ персонала к вашей ЭЦП, не доверяйте делать подпись на документе с вашей флешки какому-либо сотруднику;
  • используйте протоколы обмена ключами. Защищенный канал коммуникации снизит шансы злоумышленников получить вашу электронную подпись.
  Электронная цифровая подпись — это надежно, безопасно и современно. Сделайте вашу коммуникацию более защищенной, внесите свой вклад в сохранение деревьев, получите ощутимую экономию на расходниках для печати, оформив усиленный квалифицированный ключ в аккредитованном центре. Преимущества такого шага вы оцените очень быстро.