У организаций воруют деньги с помощью поддельной электронной подписи. Мы узнали историю компании, которая столкнулась с таким мошенничеством и выяснили, как защититься.

Что делать, если у компании воруют деньги с помощью поддельной электронной подписи

Инспекторы сообщили компании, что за ней числится переплата, которой быть не должно. Оказалось, кто-то сдал за организацию уточненку и снизил сумму к уплате. Декларацию заверили электронной подписью директора.

• Важная статья:

Налоговики рассказали, что у организации две электронные подписи, хотя она оформляла только одну. Инспекторы назвали удостоверяющий центр, который выпустил вторую подпись. Руководитель обратился туда и выяснил, что сертификат выдали по фальшивым документам. Директор его аннулировал.

С дублем электронной подписи мошенники могли перевести себе переплату компании, если им удалось бы открыть счет от ее имени. Мы спросили в удостоверяющих центрах, как защититься от такого мошенничества. В центрах знают о злоупотреблениях, но не могут их исключить.

«Центр выдает сертификат по доверенности и копиям документов. Их легко подделать. Но сотрудник центра не вправе отказаться оформлять подпись представителю компании, если он принес все нужные документы», - рассказал Михаил Добровольский, замруководителя УЦ СКБ Контур по технологическим вопросам.

У компаний есть выход - проверять, не выпустил ли кто-то от их имени электронную подпись. В этом помогут налоговики. Инспекторы рассказали нам, что по запросу директора дадут сведения обо всех электронных подписях компании. Если появились лишние, их надо срочно аннулировать.

К заявлению инспекторы просят приложить документы, которые подтверждают обращение в полицию. Например, копию уведомления о возбуждении уголовного дела. Тогда налоговики заблокируют прием документов с посторонними подписями.

М.Г. Мошкович, юрист

Кто ответит за электронную подпись?

Изучаем последствия передачи своей ЭП другим сотрудникам

Использование электронной подписи (ЭП) получило широкое распространение в хозяйственной практике. Однако ЭП воспринимается скорее как удобный инструмент документооборота, нежели как личная подпись конкретного лица. Ее получение стоит недешево, поэтому, вместо того чтобы оформить электронную подпись нескольким сотрудникам, ЭП одного лица нередко передают в пользование другому. И даже иногда оформляют этот факт приказом (к примеру, когда руководитель или главбух уходит в отпуск либо по иным причинам отсутствует в офисе).

Рассмотрим, насколько это законно и каковы могут быть последствия таких действий.

Что говорит закон

Согласно ГК РФ электронная подпись - это аналог собственноручной подпис ип. 2 ст. 160 ГК РФ . А руку свою вы передать никому не можете, равно как и право пользования ею. Таким образом, передача электронной подписи другому лицу - это нонсенс. Законно использовать ЭП может только тот, на кого она оформлена.

Именной характер ЭП исключает и оформление доверенности на ее использование. Можно уполномочить другого человека сделать что-то в ваших интересах, для чего ему понадобится подписываться за вас. Но представитель, конечно же, будет ставить свою подпись на документах, а не вашу.

Казалось бы, все очевидно, но у нас есть еще и Закон об электронной подписи. Его формулировки довольно противоречивы и многих ввели в заблуждение.

Так, Закон обязывает владельцев ключа ЭП сохранять его конфиденциальность и не использовать ключ в случае ее нарушени яподп. 2 п. 2 ст. 9 , пп. 1, 3 ст. 10 Закона от 06.04.2011 № 63-ФЗ (далее - Закон № 63-ФЗ) . Что такое конфиденциальность? Это сохранение секретности информации от других лиц, исключение ее утечки. Значит, никто, кроме вас, не должен иметь доступа к ключу.

Закон также говорит, что ЭП должна позволять определить конкретное лицо, подписывающее докумен тп. 1 ст. 2 Закона № 63-ФЗ . Если ЭП пользуется ее владелец, то это условие выполняется. А если иное лицо? Пользователь электронного документа все равно видит только данные владельца, понять, кто его «замещает», нет возможности. Следовательно, пользователь получит неверную информацию, проще говоря, будет обманут.

Однако прямого запрета на передачу ключа электронной подписи в Законе нет.

Больше того, в качестве разъяснения правила о конфиденциальности Закон об электронной подписи требует не допускать использование ключа усиленной ЭП без согласия его владельц ап. 1 ст. 10 Закона № 63-ФЗ . Что и порождает ошибочное мнение о законности передачи ЭП, если ее владелец не возражает против этого.

Что происходит на практике

Так, даже Минкомсвязи, уполномоченный орган в сфере использования ЭПп. 1 Положения, утв. Постановлением Правительства от 02.06.2008 № 418 , не видит проблемы в передаче электронной подписи, оформленной на одно лицо, другому лицу. Пресс-служба ведомства сообщила нам следующее.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

Пресс-служба Минкомсвязи

“ Участники электронного взаимодействия обязаны не допускать использование принадлежащих им ключей электронной подписи без их согласи яст. 10 Закона № 63-ФЗ . То есть в принципе использование ключа ЭП, принадлежащего одному лицу, другим лицом допускается, прямого запрета на это в законе нет.

При этом передавать сертификат ключа проверки электронной подписи другому сотруднику организации можно исключительно в случае наделения его полномочиями действовать от имени компании в том же объеме, что и сотрудник - владелец квалифицированного сертификата. Предоставление полномочий оформляется приказом руководителя организации, также необходимо получить согласие владельца сертификата ключа проверки на использование этого сертификата другим лицо м” .

Аналогичное мнение высказал и специалист Федеральной налоговой службы.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

Советник государственной гражданской службы РФ 2 класса

“ При использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей ЭП, в частности не допускать использование принадлежащих им ключей ЭП без их согласи яп. 1 ст. 10 Закона № 63-ФЗ . Таким образом, при наличии волеизъявления участник электронного взаимодействия может допустить использование ключа ЭП третьим лицо м” .

А вот разработчик программного обеспечения, к которому мы обратились за консультацией, сомневается в законности передачи ключа ЭП.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

Ведущий разработчик программных продуктов компании «Бухсофт.ру»

“ Использование любого вида электронной подписи должно так или иначе говорить о том, что подпись сделана конкретным лицо мст. 5 Закона № 63-ФЗ . Для этого в Законе и прописана обязанность обеспечить конфиденциальность ключей. Поэтому смысл издания приказа о передаче ключа считаю спорны м” .

Возможные риски передачи ЭП

Поскольку нормативного запрета нет, люди часто рассуждают таким образом: ну да, использовать чужую ЭП неправильно, но мы же для дела, никому от этого хуже не будет, а пользователи нашей электронной документации ничего не узнают. Однако это не всегда так. Прежде всего, когда вы доверяете свою ЭП другим людям, контроль за конфиденциальностью ключей неизбежно снижается. Ваш «заместитель» может просто проявить невнимательность и допустить, чтобы ЭП воспользовался посторонний, либо неосторожно словить вирус, который скачает информацию. В результате ЭП попадет к жуликам и организация потеряет деньги или информацию. Но есть и другие опасности.

Рассмотрим судебную практику из различных сфер применения ЭП.

Банки

Как правило, сотрудники банков в курсе, что ЭП не всегда использует то лицо, на которое она оформлена. Что не означает, будто банк признает это законным. Просто риски, связанные с нарушением конфиденциальности ЭП, несет клиент. Это следует из Закон ап. 1 ст. 854 , п. 1 ст. 845 , п. 3 ст. 847 ГК РФ и всегда четко прописывается в договоре. Поэтому если со счета организации с помощью вашей ЭП незаконно спишут деньги, убытки с банка взыскать не получитс яПостановления АС ЗСО от 20.02.2015 № А27-5335/2013 ; ФАС МО от 05.08.2014 № А40-82734/2013 . Суды считают, что банк обязан исполнять платежное поручение, подписанное корректной ЭПп. 1 ст. 845 ГК РФ . Возмещение понесенного ущерба можно требовать только со злоумышленников, каким-либо образом получивших доступ к ЭП сотрудника. Но для этого их надо сначала установить.

Важно отметить, что выявляемые в суде факты передачи ЭП другим лицам всегда оцениваются как нарушение договора со стороны клиента банка.

Так, во время внезапного отключения компьютера, на котором стояла программа «Клиент-Банк», с расчетного счета ООО было списано более 1,7 млн руб. Спор с банком о взыскании убытков общество проиграло. Судьи указали, что платежное поручение было подписано действующей ЭП директора, а ООО нарушило условия договора с банком об обеспечении конфиденциальности. В частности, носитель с главным ключом и ЭП директора ООО был передан главному бухгалтеру, у которого он хранился в сейф еПостановление ФАС ЦО от 03.09.2013 № А35-10589/12 .

В другом случае 96 тыс. руб. «ушли» со счета ООО на основании платежного поручения, подписанного ЭП уже уволенного директора (о назначении нового в банк не сообщали). А пользовался этой ЭП, как установило следствие, вообще бухгалтер. Суд отметил, что ООО не обеспечило режим секретности ключа ЭП и передало его в пользование третьему лицу, чем нарушило требования Закона об ЭП. Во взыскании денег с банка было отказан оПостановление ФАС ЗСО от 05.12.2011 № А21-8586/2010 .

Контрагенты

Если документ, с которым не согласна организация, подписан действующей ЭП ее сотрудника, то отвертеться от документа вряд ли удастся. Так, суд принял решение о взыскании с ООО задолженности по договору поставки, хотя организация утверждала, что не получала спорного товара. При этом в наличии была товарная накладная, подписанная ЭП работника компании. По мнению организации, этой ЭП воспользовалось некое неуполномоченное лицо. В процессе разбирательства было установлено, что договор ООО с поставщиком предусматривал использование ЭП при составлении первички, в том числе и формы № ТОРГ-12. ЭП ответственного лица признали действительно йПостановление ФАС ВВО от 11.08.2010 № А43-5226/2010 .

Если спора нет, но контрагент узнал, что ЭП руководителя применил другой сотрудник, к примеру, при подписании контракта, это не так страшно. По правилам ГК РФ организация может направить письмо другой стороне о том, что она одобряет сделку, совершенную неуполномоченным лицом, и таким образом снять проблем уп. 1 ст. 183 ГК РФ .

Госзакупки

Довольно неприятные последствия использования чужой ЭП могут быть у организаций, участвующих в госзакупках. В судебной практике есть случай, когда ООО в результате на 2 года оказалось в реестре недобросовестных поставщиков. А дело было так: генеральный директор подписал госконтракт по результатам открытого аукциона электронной подписью своего предшественника (собственную ЭП на момент подписания ему не успели оформить). Когда сведения о дате назначения нового директора появились на сайте электронной торговой площадки, нестыковку заметил заказчик. Он направил жалобу в УФАС, указав, что контракт подписан неуполномоченным лицом. В результате антимонопольщики пришли к выводу о том, что ООО уклонялось от заключения госконтракта, и наказали организаци юПостановление ФАС ЦО от 05.03.2012 № А23-2637/2011 .

ИФНС

Как показывает практика, подписание деклараций неуполномоченным лицом иногда может создать проблемы для организации. К примеру, в Новосибирске налоговики заблокировали счет компании, случайно узнав из допроса директора, что его ЭП при подписании ранее поданной декларации использовал другой сотрудник. Инспекторы решили, что такую декларацию следует считать неподанной, однако за организацию заступился суд. Дело в том, что декларацию нельзя не принять по ТКС, если она соответствует формат уп. 4 ст. 80 НК РФ . А раз она была принята, значит, блокировка незаконн аПостановление ФАС ЗСО от 21.06.2011 № А45-20993/2010 .

Справедливости ради отметим, что инспекторы и сами не придают значения информации о том, кто пользовался ЭП руководителя, если это в их интересах. Так, они приняли декларации, подписанные ЭП бывшего директора (хотя данные о прекращении его полномочий уже были внесены в ЕГРЮЛ), и исчислили на их основании недоимку, пени и штрафы. В процессе по делу о банкротстве этой организации конкурсный кредитор пытался исключить требования ИФНС из реестра, доказывая, что такие декларации недействительны, но суд ему отказа лПостановление ФАС УО от 04.08.2014 № Ф09-6411/12 . Не смог оспорить действия налоговиков и сам бывший директор, заявивший в суде о применении его ЭП другими лицами. Суд решил, что ИФНС обязана была принять декларации, подписанные действующей ЭПАпелляционное определение Судебной коллегии по гражданским судам Челябинского облсуда от 07.04.2014 № 11-3065/2014 .

Как видим, суды не рассматривали вопрос о правомерности использования ЭП директора другим сотрудником, а просто исходили из оснований отказа в приеме декларации. Как будет решаться вопрос, если налоговики также случайно (к примеру, из приказа о передаче полномочий) узнают о том, что ЭП главбуха при подписании электронных счетов-фактур применял другой сотрудник, сказать сложно. По крайней мере, возможность отказа в возмещении НДС вашим контрагентам исключать нельз япп. 2 , 6 ст. 169 НК РФ .

Нужен ли приказ о передаче ЭП

РАССКАЗЫВАЕМ РАБОТНИКУ

Ответственным за использование ЭП, оформленной на имя работника, всегда остается он сам, даже при наличии приказа о передаче права пользования ЭП другому лицу.

Во-первых, организация в принципе не вправе решать, кто будет пользоваться ЭП. Владельцем ЭП является физическое лицо. Просто когда ЭП оформлена для сотрудника компании, то пользователь электронного документа видит его ф. и. о., должность и название организаци ип. 3 ст. 14 Закона № 63-ФЗ . Таким образом, ЭП всегда персонифицирована и принимать решение о том, кому ее доверить, может только сам сотрудник - владелец ЭП.

Неперсонифицированную ЭП может получить только госорган для использования при оказании госуслуг. При этом сертификат ключа проверки ЭП оформляется на имя госоргана, а пользователи ЭП определяются его распорядительным акто мп. 3 ст. 14 Закона № 63-ФЗ .

Во-вторых, ответственность за использование ЭП лежит на ее владельце, независимо от оформления приказов, доверенностей или каких-либо других документов. Электронные документы, подписанные вашей ЭП, признаются равными бумажным документам, подписанным вами лично своей руко йп. 2 ст. 6 Закона № 63-ФЗ . И в случае, к примеру, несанкционированного списания денег со счета именно вам придется пережить неприятные моменты: вызов к следователю, представление объяснений и т. д.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

“ Непосредственно за передачу ключа ЭП другому лицу ответственности нет. Могут быть последствия нарушения конфиденциальности - в зависимости от того, какой документ, кем и для чего подписан. При этом электронный документ, подписанный ключом ЭП, по умолчанию признается подписанным лицом, за которым «числится» этот ключ. Поэтому в случае недоразумений или конфликтов доказывать факт несанкционированного использования ключа придется именно этому лицу” .

Конечно, приказ подтверждает, что передачу ЭП одного сотрудника другому санкционировало руководство. Так что, с одной стороны, он нужен сотрудникам для подстраховки:

• владельцу ЭП - чтобы в случае чего претензий к нему не возникло у самой компании;
• временному пользователю ЭП - чтобы компания не обвинила его в том, что он использует чужую ЭП самовольно.

С другой стороны, расписываясь в таком приказе, владелец ЭП допускает нарушение конфиденциальности ключа. А по Закону это обязывает вас немедленно обратиться в удостоверяющий центр для прекращения действия сертификат ап. 6 ст. 17 Закона № 63-ФЗ . Так что лучше просто не доверять вашу ЭП никому.

Использование ЭП работниками предпринимателя

Свою электронную подпись нередко передают работникам в пользование и индивидуальные предприниматели. Это связано не только с отсутствием прямого запрета на передачу ЭП, но и с другими причинами. Вот некоторые из них.

Не урегулировано получение ЭП работниками предпринимателя

Отдельных правил по оформлению ЭП для работников предпринимателя в Законе нет. В результате создается впечатление, что физическое лицо может получить ЭП только какпп. 2, 3 ст. 14 Закона № 63-ФЗ :

• <или> обычный гражданин;
• <или> работник организации.

Тем не менее предприниматель вправе оформить ЭП своему работнику. Это нам подтвердили и специалисты.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

“ Если индивидуальный предприниматель хочет оформить ЭП для своего работника, то ему нужно представить в удостоверяющий центр документы, подтверждающие право этого физического лица действовать от имени предпринимателя (доверенность, договор). Из документов должны следовать также ограничения использования такого сертификата (то есть объем полномочий, в рамках которого будет действовать физическое лицо - владелец сертификата). Указанная информация будет внесена в сертификат ключа проверки ЭПп. 2 ст. 14 Закона № 63-ФЗ ” .

Пресс-служба Минкомсвязи

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

“ В квалифицированный сертификат можно включать дополнительную информацию о владельце сертификат ап. 17 Приказа ФСБ от 27.12.2011 № 795 . Не запрещается включать и сведения о должности работника индивидуального предпринимателя. Важно, чтобы система электронного документооборота, с которой предполагается использовать сертификат с дополнительными реквизитами, смогла правильно этот сертификат воспринять и не посчитать ошибочным из-за «лишней» информации, а также показать соответствующее поле для сертификата физического лица. Эти подробности может подсказать разработчик конкретной системы. Включение информации в тот или иной сертификат обсуждается с удостоверяющим центром, который будет этот сертификат формироват ь” .

Ведущий разработчик программных продуктов компании «Бухсофт.ру»

Электронный счет-фактура, подписанный ЭП представителя предпринимателя, может повлечь отказ в вычете НДС

С 1 июля 2014 г. в НК были внесены поправки: представителям ИП разрешили подписывать счета-фактуры по доверенност ип. 6 ст. 169 , п. 3 ст. 29 НК РФ . Однако специальные нормы в отношении электронных счетов-фактур остались прежними: тут требуется усиленная квалифицированная подпись самого ИП.

Скорее всего, это просто очередная недоработка законодателя. Тем более что подзаконный акт допускает подписание электронных счетов-фактур по доверенности от ИПподп. «а» п. 2.1 Порядка, утв. Приказом Минфина от 25.04.2011 № 50н , а судебная практика и ранее была в этом вопросе на стороне предпринимател яп. 24 Постановления Пленума ВАС от 30.05.2014 № 33 . Но мало кому хочется судиться.

Резюмируя, можно сказать так: для организации и ИП безопасней, чтобы ЭП была у каждого сотрудника, которому необходимо ею пользоваться. Если этот вариант по каким-то причинам не годится, то можно сделать незаменимому сотруднику удаленный доступ к сервису электронного документооборота с тем, чтобы он мог подписать документ откуда угодно.

Для работника же (директора или бухгалтера) лучше не соглашаться на передачу права пользования своей ЭП другим лицам - не придется отвечать за чужие ошибки или за что похуже. Это все равно что оставить коллегам стопку чистых листов со своей подписью. Главное, помните - передавать ЭП без вашего согласия организация не имеет права.

Оценили многие люди. При этом так как данное ПО в настоящее время является новинкой, многие пользователи не имеют представления о том, как выглядит ЭЦП.

Общие сведения

Все очень тривиально. Если наблюдается передача заверенного документа, то адресат получает файл подписи и файл, обнаруживающийся предметом трансляции.

Если адресату прибывает не вложение, а подписанное почтовое сообщение, то почтовая программа оповестит адресата, что подписано письмо и покажет плоды ревизии подписи.

Проверка осуществляется по тому же алгоритму, что и проверка обычной подписи на бумажном носителе.

Определение подлинности

Обращайте внимание на то, что знаний об ЭЦП как выглядит недостаточно. Важно убедиться в том, что документ заверен определённым человеком. Так если работник подпишет приказ гендиректора предприятия, то такая подпись вряд ли сделает действительным приказ. Чтобы убедиться, что подпись сделана нужным человеком, её сравнивают с идеальным образцом.

Электронная подпись является результатом криптографической реорганизации, где участвуют данные пользователя и данные подписываемого документа. Поэтому цифровая подпись разных документов не будет идентичной, сравнивать бессмысленно её с эталоном. Что делать в этом случае?

Сравнивают постоянную величину - данные пользователя. При этом полное раскрытие данных небезопасно. В качестве данных для цифровой подписи применяется пара, состоящая из засекреченного и не зашифрованного ключа. Это значит, что в пользовательских данных есть секретная часть, участвующая в формировании подписи и открытая, принимающая участие в её проверке.

Для связи не зашифрованного ключа с пользователем нужен паспорт, свидетельствующий на то, что этот ключ является открытым данного конкретного пользователя. В роли такого паспорта выступают цифровые сертификаты:

• Имя человека
• Незасекреченный ключ, подмахнутые доверенной третьей стороной (удостоверяющим центром), свидетельствующей эту связь своей подписью

Подобный паспорт ставится на компьютер один раз и все подмахивания на письмах, приобретенных от этого пользователя, впоследствии проверяются при поддержке этого сертификата, при этом ЭЦП как выглядит, уже адресат не задаёт вопроса, и сразу видит, действительна ли подпись.

Все больше новых технологий и терминов приходят в нашу жизнь. И далеко не все успевают эти технологии освоить и даже понять, для чего они. Сегодня мы поговорим об электронной подписи - новой технологии и явлении, с каждым днем получающим все более широкое распространение.

По своей сути, электронная подпись - это аналог обычной подписи человека, призванный идентифицировать его или закрепить его авторство в виртуальной среде. Чаще всего электронные подписи применяются в электронной почте, а также в банковской сфере и бухгалтерском электронном документообороте, являясь дополнительной защитой при проведении транзакций и пересылке важных документов.

Создание электронной подписи получается в результате криптографического преобразования информации с использованием закрытого ключа. Еще одна важная составная часть технологии - сертификат электронной подписи , выдаваемый уполномоченной организацией и позволяющий подтвердить подлинность подписи, исключив ее подделку.

В отличие от рукописного текста, электронный документ очень легко подделать, причем, незаметно для получателя. Вы просто удаляете отдельные слова или целые абзацы и вставляете новые - догадаться, что документ в процессе, например, пересылки был изменен, практически невозможно. Электронная подпись же дает гарантию, что подписанный документ изменить нельзя. То есть, помимо прочего, это еще и защита информации от изменения и подделки. В то же время, человек, подписавший документ электронной подписью, не сможет отказать от авторства документа, ведь электронная подпись - сугубо конфиденциальная информация, которая должна быть доступна только одному человеку.

Чаще всего ключ электронной подписи хранится на специальной флешке (как на снимке в начале статьи), которую нельзя ни скопировать, ни использовать каким-либо другим образом. Такие флешки есть у директоров и главных бухгалтеров компаний, подписывающих личными электронными подписыми банковские документы и бухгалтерскую отчетность, которая сегодня чаще всего передается в налоговые инспекции в электронном виде с помощью специальных систем.

Процесс подписания документа электронной подписью выглядит следующим образом: с помощью специального программного кода программы, используемой для подписи документа, создается специальная функция, так называемая хэш-функция, которая идентифицирует содержимое документа. Затем автор документа шифрует содержание хэш-функции своим персональным закрытым ключом - подписывает документ электронной подписью. Зашифрованная хэш-функция помещается в то же сообщение, что и сам документ. Полученное сообщение можно сохранить на любом носителе, пересылаться по электронной почте или, например, с помощью системы Клиент-банк. Хэш-функция имеет небольшой размер, поэтому практически не влияет на вес сообщения.

При получении, подписанного электронной подписью документа, пользователь имеет возможность убедиться в ее подлинности. Алгоритм подтверждения электронной подписи состоит в следующем: с помощью собственной программы, работающей с электронными подписями, получатель сообщения создает собственный вариант хэш-функции подписанного документа. Затем происходит расшифровка хеш-функции, которая содержится в сообщении и сравнение двух хэш-функций - отправленной и полученной. Их совпадение гарантирует подлинность содержимого документа и одновременно его авторство.

Можно ли подделать электронную подпись?

Теоретически, возможно все. Однако, трудозатраты на подделку электронной подписи, наложенную даже не сертифицированными средствами, то есть простыми программами, не прошедшими сертификацию, слишком велики. У хакеров существует масса более простых способов взлома системы, чем подделка электронной цифровой подписи. Так что электронная подпись считается достаточно надежным средством защиты информации.

Последние советы раздела «Наука & Техника»:

Зачем нужна рация
Что значит статическое электричество в нашей жизни
Что такое коптер
Как жить вечно

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

Основные положения

Виды алгоритмов

Подделка подписей

Управление ключами

Получение электронно-цифровой подписи (ЭЦП)

Список использованной литературы

Введение

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющей идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажений информации в электронном документе. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

· сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

· подтверждена подлинностью электронной цифровой подписи в электронном документе;

· электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

При этом электронной документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

В скором будущем заключение договора будет возможно в электронной форме, который будет иметь такую же юридическую силу, как и письменный документ. Для этого он должен иметь механизм электронной цифровой подписи, подтверждаемый сертификатом. Владелец сертификата ключа подписи владеет закрытым ключом электронной цифровой подписи, что позволяет ему с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). Для того, чтобы электронный документ могли открыть и другие пользователи, разработана система открытого ключа электронной подписи.

Для того, чтобы иметь возможность скреплять электронный документ механизмом электронной цифровой подписи, необходимо обратиться в удостоверяющий центр за получением сертификата ключа подписи. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи.

Первый в России такой удостоверяющий центр запущен в сентябре 2002 г. российским НИИ развития общих сетей (РосНИИРОС). Удостоверяющий центр по закону должен подтверждать подлинность открытого ключа электронной цифровой подписи.

Основные положения

Общая суть электронной подписи заключается в следующем. С помощью криптографической хэш-функции вычисляется относительно короткая строка символов фиксированной длины (хэш). Затем этот хэш шифруется закрытым ключом владельца - результатом является подпись документа. Подпись прикладывается к документу, таким образом получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным.

При ведении деловой переписки, при заключении контрактов подпись ответственного лица является непременным атрибутом документа, преследующим несколько целей:

· гарантирование истинности письма путем сличения подписи с имеющимся образцом;

· Выполнение данных требований основывается на следующих свойствах подписи:

· подпись аутентична, то есть с ее помощью получателю документа можно доказать, что она принадлежит подписывающему;

· подпись неподделываема; то есть служит доказательством, что только тот человек, чей автограф стоит на документе, мог подписать данный документ, и никто иной;

· подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно;

· документ с подписью является неизменяемым;

· подпись неоспорима;

· любое лицо, владеющее образцом подписи может удостоверится, что документ подписан владельцем подписи.

Развитие современных средств безбумажного документооборота, средств электронных платежей немыслимо без развития средств доказательства подлинности и целостности документа. Таким средством является электронно-цифровая подпись (ЭЦП), которая сохранила основные свойства обычной подписи.

ь Хеш-функция или Хеширование (англ. hashing) -- преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Такие преобразования также называются функциями свёртки, а их результаты называют хешем, хеш-кодом или дайджестом сообщения (англ. message digest).

Виды алгоритмов

1. Симметричная схема

Симметричные схемы ЭП менее распространены чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи, основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятия ЭП Диффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощью блочного шифра. Асимметричные схемы цифровой подписи опираются на вычислительно сложные задачи, сложность которых еще не доказана, поэтому невозможно определить, будут ли эти схемы сломаны в ближайшее время, как это произошло со схемой, основанной на задаче об укладке ранца. Также для увеличения криптостойкости нужно увеличивать длину ключей, что приводит к необходимости переписывать программы, реализующие асимметричные схемы, и в некоторых случаях перепроектировать аппаратуру. Симметричные схемы основаны на хорошо изученных блочных шифрах.

В связи с этим симметричные схемы имеют следующие преимущества:

· Стойкость симметричных схем ЭП вытекает из стойкости используемых блочных шифров, надежность которых также хорошо изучена.

· Если стойкость шифра окажется недостаточной, его легко можно будет заменить на более стойкий с минимальными изменениями в реализации.

Однако у симметричных ЭП есть и ряд недостатков:

Нужно подписывать отдельно каждый бит передаваемой информации, что приводит к значительному увеличению подписи. Подпись может превосходить сообщение по размеру на два порядка. Сгенерированные для подписи ключи могут быть использованы только один раз, так как после прописывания раскрывается половина секретного ключа.

Из-за рассмотренных недостатков симметричная схема ЭЦП Диффи-Хелмана не применяется, а используется её модификация, разработанная Березиным и Дорошкевичем, в которой подписывается сразу группа из нескольких бит. Это приводит к уменьшению размеров подписи, но к увеличению объема вычислений. Для преодоления проблемы «одноразовости» ключей используется генерация отдельных ключей из главного ключа.

2. Асимметричная схема

Схема, поясняющая алгоритмы подписи и проверки. Асимметричные схемы ЭП относятся к криптосистемам с открытым ключом. В отличие от асимметричных алгоритмов шифрования, в которых зашифровывание производится с помощью открытого ключа, а расшифровывание -- с помощью закрытого, в схемах цифровой подписи подписание производится с применением закрытого ключа, а проверка -- с применением открытого.

Общепризнанная схема цифровой подписи охватывает три процесса:

· Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.

· Формирование подписи. Для заданного электронного документа с помощью закрытого ключа вычисляется подпись.

· Проверка (верификация) подписи. Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.

Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:

· Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.

· Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.

Следует отличать электронную цифровую подпись от кода аутентичности сообщения (MAC).

3. Виды асимметричных алгоритмов ЭП

Как было сказано выше, чтобы применение ЭП имело смысл, необходимо, чтобы вычисление легитимной подписи без знания закрытого ключа было вычислительно сложным процессом.

Обеспечение этого во всех асимметричных алгоритмах цифровой подписи опирается на следующие вычислительные задачи:

· Задачу дискретного логарифмирования (EGSA)

· Задачу факторизации, то есть разложения числа на простые множители (RSA)

Вычисления тоже могут производиться двумя способами: на базе математического аппарата эллиптических кривых (ГОСТ Р 34.10-2001) и на базе полей Галуа (DSA). В настоящее время самые быстрые алгоритмы дискретного логарифмирования и факторизации являются субэкспоненциальными. Принадлежность самих задач к классу NP-полных не доказана.

Алгоритмы ЭП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением документа. При верификации цифровых подписей с восстановлением документа тело документа восстанавливается автоматически, его не нужно прикреплять к подписи. Обычные цифровые подписи требуют присоединение документа к подписи. Ясно, что все алгоритмы, подписывающие хеш документа, относятся к обычным ЭП. К ЭП с восстановлением документа относится, в частности, RSA.

Схемы электронной подписи могут быть одноразовыми и многоразовыми. В одноразовых схемах после проверки подлинности подписи необходимо провести замену ключей, в многоразовых схемах это делать не требуется.

Также алгоритмы ЭП делятся на детерминированные и вероятностные. Детерминированные ЭП при одинаковых входных данных вычисляют одинаковую подпись. Реализация вероятностных алгоритмов более сложна, так как требует надежный источник энтропии, но при одинаковых входных данных подписи могут быть различны, что увеличивает криптостойкость. В настоящее время многие детерминированные схемы модифицированы в вероятностные.

В некоторых случаях, таких как потоковая передача данных, алгоритмы ЭП могут оказаться слишком медленными. В таких случаях применяется быстрая цифровая подпись. Ускорение подписи достигается алгоритмами с меньшим количеством модульных вычислений и переходом к принципиально другим методам расчета.

Подделка подписей

электронный цифровой подпись криптографический

Анализ возможностей подделки подписей называется криптоанализ. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют «атака».

1. Модели атак и их возможные результаты

В своей работе Гольдвассер, Микали и Ривест описывают следующие модели атак, которые актуальны и в настоящее время:

· Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.

· Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.

· Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.

Также в работе описана классификация возможных результатов атак:

· Полный взлом цифровой подписи. Получение закрытого ключа, что означает полный взлом алгоритма.

· Универсальная подделка цифровой подписи. Нахождение алгоритма, аналогичного алгоритму подписи, что позволяет подделывать подписи для любого электронного документа.

· Выборочная подделка цифровой подписи. Возможность подделывать подписи для документов, выбранных криптоаналитиком.

· Экзистенциальная подделка цифровой подписи. Возможность получения допустимой подписи для какого-то документа, не выбираемого криптоаналитиком.

Ясно, что самой «опасной» атакой является адаптивная атака на основе выбранных сообщений, и при анализе алгоритмов ЭП на криптостойкость нужно рассматривать именно её (если нет каких-либо особых условий).

При безошибочной реализации современных алгоритмов ЭП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭП построена. Гораздо более вероятен поиск криптоаналитиком коллизий первого и второго рода. Коллизия первого рода эквивалентна экзистенциальной подделке, а коллизия второго рода -- выборочной. С учетом применения хеш-функций, нахождение коллизий для алгоритма подписи эквивалентно нахождению коллизий для самих хеш-функций.

1. Подделка документа (коллизия первого рода)

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

Документ представляет из себя осмысленный текст. Текст документа оформлен по установленной форме. Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML. Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

· Случайный набор байт должен подойти под сложно структурированный формат файла.

· То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.

· Текст должен быть осмысленным, грамотным и соответствующим теме документа.

Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.

Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма -- килобайты.

2. Получение двух документов с одинаковой подписью (коллизия второго рода)

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования MD5.

3. Социальные атаки

Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключами.

Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.

Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.

Основная идея «слепых подписей» заключается в следующем. Отправитель А посылает документ стороне В, который В подписывает и возвращает А. Используя полученную подпись, сторона А может вычислить подпись стороны В на более важном для себя сообщении t. По завершении этого протокола сторона В ничего не знает ни о сообщении t, ни о подписи под этим сообщением.

Эту схему можно сравнить с конвертом, в котором размещён документ и копировальный лист. Если подписать конверт, то подпись отпечатается на документе, и при вскрытии конверта документ уже будет подписан.

Цель слепой подписи состоит в том, чтобы воспрепятствовать подписывающему лицу В ознакомиться с сообщением стороны А, которое он подписывает, и с соответствующей подписью под этим сообщением. Поэтому в дальнейшем подписанное сообщение невозможно связать со стороной А.

Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.

Использование протоколов обмена ключами и защита закрытого ключа от несанкционированного доступа позволяет снизить опасность социальных атак.

Управление ключами

1. Управление открытыми ключами

Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации.

Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.

Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.

2. Хранение закрытого ключа

Смарт-карта и USB-брелоки eToken.

Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищенность ключа полностью зависит от защищенности компьютера, и пользователь может подписывать документы только на этом компьютере.

В настоящее время существуют следующие устройства хранения закрытого ключа:

§ Дискеты

§ Смарт-карты

§ USB-брелоки

§ Таблетки Touch-Memory

Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван.

Наиболее защищенный способ хранения закрытого ключа -- хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хэш передается в карту, её процессор осуществляет подписание хэша и передает подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты сложнее, чем с других устройств хранения.

В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несет сам.

Получение электронно - цифровой подписи (ЭЦП)

ЭЦП выдается специальными организациями -- удостоверяющими центрами (УЦ), имеющими соответствующие лицензии ФСБ РФ. Процесс выдачи ЭЦП представляет собой проверку документов получателя ЭЦП (иначе говоря, идентификацию предполагаемого владельца ключа), генерацию пары ключей (открытого ключа, на который выпускается сертификат ЭЦП и который будет виден всем участникам документооборота, и закрытого ключа, известного только владельцу ЭЦП) и выпуск удостоверяющим центром сертификата открытого ключа в бумажном и электронном виде.

Бумажный сертификат заверяется печатью УЦ и подписывается уполномоченным лицом УЦ, а электронный сертификат (как правило, представляющий собой файл с расширением.cer) подписывается уполномоченным лицом УЦ с помощью собственной ЭЦП.

После этого сертификат и ключевая пара записываются на ключевой носитель. В качестве ключевого носителя лучше всего использовать защищенные носители типа ruToken или eToken, представляющие собой флеш-устройства с интегрированными в них средствами обеспечения безопасности и конфиденциальности (требование введения пин-кода, невозможность удаления или копирования ключевой пары). Внимание -- закрытый ключ является секретной информацией владельца ЭЦП и не должен никому передаваться. Рекомендуется крайне внимательно относиться к ключевому носителю, не оставлять его без присмотра и не передавать третьим лицам.

Для работы с ЭЦП необходимо установить на компьютер специальное программное обеспечение -- криптопровайдер. Как правило, криптопровайдер можно приобрести в удостоверяющем центре вместе с ЭЦП. Наиболее распространенными криптопровайдерами являются программы производства ООО «Лисси» (криптопровайдер «Lissi CSP») и ООО «Крипто-Про» (криптопровайдер «CryptoPro CSP»). После установки криптопровайдера необходимо вставить в компьютер ключевой носитель, после чего появляется возможность подписания документов.

Сертификат ЭЦП выпускается на конкретное физическое лицо, являющееся сотрудником организации Участника размещения заказа. Необходимо получить ЭЦП на сотрудника, уполномоченного на получение аккредитации на электронной площадке от имени Участника размещения заказа, и на сотрудников, уполномоченных на осуществление действий от имени Участника размещения заказа по участию в открытых аукционах в электронной форме (в том числе на регистрацию на открытых аукционах и на подписание государственного контракта).

Можно получить ЭЦП только на одного сотрудника при условии, что этот сотрудник уполномочен осуществлять все перечисленные действия от имени Участника размещения заказа. Таким сотрудником может быть, например, руководитель организации Участника размещения заказа или лицо, имеющее соответствующую доверенность. При этом все документы, подтверждающие полномочия таких сотрудников, предоставляются оператору при получении аккредитации на электронной торговой площадке.

Список использованной литературы

1. Статьи сайта «безопасность информационных систем» http://infobez.com/

2. Материал из Википедии -- свободной энциклопедии http://ru.wikipedia.org/wiki/%D0%AD%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%86%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%BF%D0%B8%D1%81%D1%8C#.D0.9F.D0.BE.D0.B4.D0.B4.D0.B5.D0.BB.D0.BA.D0.B0_.D0.BF.D0.BE.D0.B4.D0.BF.D0.B8.D1.81.D0.B5.D0.B9

3. Данные сайта компании «Электронные офисные системы» http://www.eos.ru/eos_products/eos_karma/

4. Материал из Википедии -- свободной энциклопедии http://ru.wikipedia.org/wiki/%D0%A5%D0%B5%D1%88%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5

5. Данные сайта компании «Крипто - про» http://cryptopro.ru/products/csp/overview

6. Данные сайта Тендер - закупки http://tender-zakupki.ru/ecp.html

Размещено на Allbest.ru

Подобные документы

Назначение электронной цифровой подписи как реквизита электронного документа, предназначенного для его защиты с помощью криптографического ключа. Асимметричные алгоритмы шифрования и атаки на электронную подпись. Средства работы с цифровой подписью.

реферат , добавлен 09.10.2014


Назначение и применение электронной цифровой подписи, история ее возникновения и основные признаки. Виды электронных подписей в Российской Федерации. Перечень алгоритмов электронной подписи. Подделка подписей, управление открытыми и закрытыми ключами.

курсовая работа , добавлен 13.12.2012


Правовое регулирование отношений в области использования электронной цифровой подписи. Понятие и сущность электронной цифровой подписи как электронного аналога собственноручной подписи, условия ее использования. Признаки и функции электронного документа.

контрольная работа , добавлен 30.09.2013


Понятие, история создания электронной цифровой подписи. Ее разновидности и сфера применения. Использование ЭЦП в России и в других странах, ее алгоритмы и управление ключами. Способы ее подделки. Модели атак и их возможные результаты. Социальные атаки.

реферат , добавлен 15.12.2013


Назначение и особенности применения электронной цифровой подписи, история ее возникновения, алгоритмы, схемы. Использование хэш-функций. Подделка подписей, модели атак и их возможные результаты. Управление ключами открытого типа. Хранение закрытого ключа.

презентация , добавлен 18.05.2017


Изучение истории развития электронной цифровой подписи. Исследование её назначения, принципов работы, основных функций. Виды электронных подписей в Российской Федерации. Асимметричные алгоритмы подписей. Использование хеш-функций. Управление ключами.

реферат , добавлен 04.06.2014


Сфера правоотношений по применению электронной подписи в новом федеральном законе. Шифрование электронного документа на основе симметричных алгоритмов. Формирование цифровой подписи, схема процесса проверки, ее равнозначность бумажным документам.

курсовая работа , добавлен 12.11.2013


Назначение электронной цифровой подписи. Использование хеш-функций. Симметричная и асимметричная схема. Виды асимметричных алгоритмов электронной подписи. Создание закрытого ключа и получение сертификата. Особенности электронного документооборота.

реферат , добавлен 20.12.2011


Общая схема цифровой подписи. Особенности криптографической системы с открытым ключом, этапы шифровки. Основные функции электронной цифровой подписи, ее преимущества и недостатки. Управление ключами от ЭЦП. Использование ЭЦП в России и других странах.

курсовая работа , добавлен 27.02.2011


Схема формирования электронной цифровой подписи, её виды, методы построения и функции. Атаки на электронную цифровую подпись и правовое регулирование в России. Средства работы с электронной цифровой подписью, наиболее известные пакеты и их преимущества.