Электронная цифровая подпись

Электронная цифровая подпись (ЭЦП) – новый способ подписывать документы, хранящиеся в электронном виде.

Устойчивость к подделке - повторяемость и идентифицируемость (свойства хорошей подписи, которые должны действовать независимо от ее типа). Повторяемость ручной подписи сомнительна; подпись не только стабильно меняется с течением времени, но и может существенно отличаться буквально в двух последовательных актах подписи.

Идентифицируемость ручной подписи - не очевидна: нигде не зафиксировано, что именно эта подпись является настоящей (поэтому и вводятся листы оригиналов, например, при выдаче кредитных карт). Подпись могут подделать; причем с появлением шариковых ручек задача эта упростилась – уже нет особенностей нажима на перо, которые могли бы использовать эксперты при анализе подписи.

Факсимиле или печать - могут украсть; а поделать их, имея оригинал, просто.

В этом смысле достоинства электронной цифровой подписи очевидны – подделать невозможно, можно лишь украсть закрытый ключ, если по недоразумению его носитель стал доступен злоумышленнику. Да и в этом случае – как и с «электронными деньгами» - риск минимален; при обнаружении пропажи или несанкционированного доступа к закрытому ключу всегда можно объявить подпись недействительной.

Действие ЭЦП регламентируется Федеральным законом от 10. 01. 2002 г. № 1-ФЗ "Об электронной цифровой подписи".

В законе используются такие понятия как:

электронный документ - документ, в котором информация представлена в электронно-цифровой форме;

электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;

владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств ЭЦП создавать свою подпись в электронных документах (подписывать электронные документы);

средства ЭЦП - аппаратные и / или программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:

Ø создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП;

Ø подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе;

Ø создание закрытых и открытых ключей ЭЦП;

сертификат средства ЭЦП - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средства ЭЦП установленным требованиям;

закрытый ключ ЭЦП - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах ЭЦП с использованием средств ЭЦП;

открытый ключ ЭЦП - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе;

сертификат ключа подписи - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица удостоверяющего центра, включающий в себя открытый ключ ЭЦП, которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности ЭЦП и идентификации владельца сертификата ключа подписи;

подтверждение подлинности ЭЦП в электронном документе - положительный результат проверки с использованием соответствующих сертифицированных средств ЭЦП:

Ø сертификата ключа подписи;

Ø принадлежности ЭЦП в электронном документе владельцу сертификата ключа подписи;

Ø отсутствия искажений в, подписанном ЭЦП, электронном документе;

пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности ЭЦП владельцу сертификата ключа подписи;

информационная система общего пользования - информационная система, которая открыта для пользования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;

корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Технические процессы формирования и проверки ЭЦП определяет внедрённый в 2002 году ГОСТ Р 34.10-2001. В настоящем стандарте использованы следующие технические термины:

дополнение (appendix) – строка бит, формируемая из ЭЦП и произвольного текстового поля;

ключ подписи(signature key) – элемент секретных данных, специфичный для субъекта и используемый только данным субъектом в процессе формирования ЭЦП;

ключ проверки (verification key) – элемент данных, математически связанный с ключом подписи и используемый проверяющей стороной в процессе проверки ЭЦП;

параметр схемы ЭЦП (domain parameter) – элемент данных, общий для всех субъектов схемы ЭЦП, известный или доступный всем этим субъектам;

подписанное соглашение (signed message) – набор элементов данных, состоящий из сообщений и дополнения, являющегося частью сообщения;

последовательность псевдослучайных чисел (pseudo-random number sequence) – последовательность чисел, которая получена в результате выполнения некоторого арифметического процесса, используемого в конкретном случае вместо последовательности случайных чисел;

последовательность случайных чисел(random namber sequence) – последовательность чисел, каждое из которых не может быть предсказано только на основании знания предшествующих ему чисел данной последовательности;

процесс проверки подписи (verification process) - процесс, в качестве исходных данных которого используется подписанное сообщение, ключ проверки и параметры схемы ЭЦП и результатом которого является заключение о правильности или ошибочности цифровой подписи;

процесс формирования подписи(signature process) – процесс, в качестве исходных данных которого используется сообщение, ключ подписи и параметры схемы ЭЦП, а в результате формируется ЭЦП;

свидетельство(witness) – элемент данных, представляющий соответствующее доказательство достоверности подписи проверяющей стороне;

случайное число(random namber) – число, выбранное из определённого набора чисел так, что каждое число из данного набора может быть выбрано с одинаковой вероятностью;

сообщение(message) – строка бит ограниченной длины;

хэш - код (hash-code) – строка бит, которые является выходным результатом хэш – функции;

хэш – функция(hash-function) – функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим условиям:

· по данному значению функции сложно вычислить исходные данные, отображённые в это значение;

· для заданных исходных данных трудно найти другие исходные данные, отображённые с тем же результатом;

· трудно найти какую – либо пару исходных данных с одинаковым значением хэш – функции.

Другими словами подразумевается, что по известной ЭЦП невозможно восстановить исходное свойство, для заданного подписанного сообщения трудно подобрать другое (фальсифицированное) сообщение, имеющее ту же ЭЦП. И наконец, подразумевается, что трудно подобрать какую – либо пару сообщений, имеющих одну и ту же подпись;

электронная цифровая подпись (digital signature) – строка бит, полученная в результате процесса формирования подписи. Данная строка имеет внутреннюю структуру, зависящую от конкретного механизма формирования подписи.

Механизм действия. Пример, как устроена исполнительная процедура электронной цифровой подписи. Предположим, есть два пользователя i и j, и один из них (пусть это будет пользователь i) решил послать другому важные данные, используя ЭЦП. Для этого пользователи должны выполнить следующие действия (рис.1.25), состоящие, по сути, из двух этапов: подготовительного и исполнения передачи.

На подготовительном этапе пользователь i создает пару своих личных ключей ЭЦП: секретный ключ Ksi и открытый ключ Kpi. Открытый ключ Kpi вычисляется из соответствующего ему секретного ключа; обратное же вычисление невозможно (аналогично тому, как это происходит с алгоритмами асимметричного шифрования). После этого пользователь i передает открытый ключ Kpi пользователю j.

На этапе исполнения процедуры пользователь i перед отправкой сообщения подписывает его с помощью своего секретного ключа Ksi. Пользователь j может проверить подпись пользователя i в сообщении с помощью Kpi - открытого ключа абонента i.

Если же пользователь j тоже захочет ответить пользователю i подписанным сообщением, то он должен создать собственные ключи и передать пользователю i свой открытый ключ для проверки ЭЦП.

С теоретической точки зрения электронная подпись представляет собой последовательность фиксированной длины (длина эта зависит от конкретного алгоритма ЭЦП), которая вычисляется определенным образом с помощью содержимого подписываемой информации и секретного ключа.

Секретный ключЭЦП также есть не что иное, как последовательность определенной длины. Это тот самый уникальный элемент, без знания которого невозможно подделать ЭЦП его владельца. Соответственно пользователь должен хранить свой секретный ключ таким образом, чтобы никто другой не смог "выведать" его значение. Если же у владельца ключа есть основания полагать, что ключ известен кому-либо еще, то такой секретный ключ ЭЦП считается скомпрометированным, и "потерпевший", допустивший компрометацию своего ключа, должен оповестить всех остальных корреспондентов, что его открытый ключ следует считать недействительным. После оповещения легко создать новую пару ключей ЭЦП, гарантирующую авторство писем. Механизмы такого оповещения определены, например, международным стандартом X.509.

Если же этого не сделать, подпись "потерпевшего", утерявшего свой ключ, может появиться под любым электронным документом. И тогда, по аналогии с обычной подделкой документов, можно сказать, что злоумышленник, завладевший чужим ключом, научился удачно подделывать подпись его владельца, да вдобавок еще и получил возможность ставить его печать.

Открытый ключ, наоборот, должен быть доступен всем, с кем данный корреспондент намерен обмениваться информацией, заверенной личной подписью. Например, он может храниться на каком-нибудь разделяемом ресурсе.

Естественно, количество пользователей такой системы может быть сколь угодно большим; каждый из них (рис.1.26) должен, во-первых, иметь и надежно хранить собственный секретный ключ, а во-вторых - получить доступ к открытым ключам остальных корреспондентов.

Рис. 1.26. Распределение ключей ЭЦП

Физическое представление ключей ЭЦП зависит от конкретной системы, поддерживающей использование ЭЦП. Чаще всего ключ записывается в файл, который, в дополнение к самому ключу, может содержать, например, информацию о пользователе - владельце ключа, о сроке действия ключа, а также некий набор данных, необходимых для работы конкретной системы.

Данные о владельце ключа позволяют реализовать "побочную", но важную функцию ЭЦП - установление авторства, поскольку при проверке подписи сразу же становится ясно, кто подписал то или иное сообщение.

Обычно программы, осуществляющие проверку ЭЦП, настраиваются так, чтобы результат исполнения появлялся на экране в удобном для восприятия виде и с указанием поставившего ЭЦП пользователя, например, так: «Подпись файла message.doc верна».

Вопросы для самопроверки.

1. В чём заключается понятие информации ?

2. Какие существуют виды иерархии информации ?

3. Чем определяются количественные характеристики информации ?

4. В чём суть прагматического аспекта информации ?

5. В чём суть семантического аспекта информации ?

6. В чём суть синтаксического аспекта информации ?

7. Основные уровни информационного обеспечения ?

8. Автоматизация информационного взаимодействия ?

9. 4 слоя информационной сети ?

10. Свойства мультипроцессорной системы с общей памятью ?

11. Структура сообщения в мультипроцессорной системе ?

12. Определения физической и логической связи в системе с передачей сообщений ?

13. Достоинства и недостатки различных топологий физических связей ?

14. Архитектура «клиент - сервер» ?

15. Структура сети Ethernet ?

16. Структура сети Интернет ?

17. Перечень характеристик информационного взаимодействия ?

18. Определения файловой системы ?

19. Структура файла ?

20. Действия с файлами ?

21. В чём суть эталонной модели OSI ?

22. Определение уровня пользовательских и прикладных программ ?

23. Определение уровней сетевого программного обеспечения ?

24. Определение уровня сетевых аппаратных средств ?

25. Формы хранения данных ?

26. Уровни описания предметной области ?

27. 3 модели логистического уровня ?

28. Типы и характеристики использования баз данных ?

29. В чём различие стабильности данных и процедур запросов ?

30. Основные стандарты СУБД ?

31. Программная и аппаратная реализация СУБД ?

32. Перечень этапов проектирования БД ?

33. Модель данных «сущность - связь» ?

34. Определение информационного объекта – сущность ?

35. Понятия «связь» и «рекурсивная связь» ?

36. Атрибуты сущности и дескриптор сущности ?

37. Примеры нормальных форм ER - систем ?

38. Преобразование семантической модели в реляционную схему ?

39. Определение уровней иерархии информационных решений в логистике ?

40. Основные принципы информационного обеспечения в логистике ?

41. В чём заключается цель информационной логистики ?

42. Определение технических уровней сети информационных центров ?

43. Основы информационной безопасности информационного центра транспортной логистики ?

44. Суть межсетевого экрана ?

45. Основные протоколы VPN – сети ?

46. Информационное и программное обеспечение NeLoC Портала ?

47. Структура NeLoC Портала ?

48. Внутренняя информация NeLoC Портала ?.