Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

О задаче защиты закрытого ключа ЭЦП от компрометации



Рассмотрим сферы реального применения ЭЦП:

системы декларирования товаров и услуг (таможенные декларации);

системы регистрации сделок по объектам недвижимости и земле;

банковские системы («Интернет-банкинг» и «Клиент-банк»);

системы электронных госзаказов и электронной торговли (e-commerce);

системы контроля исполнения государственного бюджета;

системы обращения к органам власти (e-government);

обязательная отчетность (в частности, интенсивно развивающаяся безбумажная отчетность перед органами ФНС, ПФРФ, ФССР, Госкомстата);

различные расчетные и трейдинговые системы;

системы электронного документооборота и др.

Даже поверхностный анализ показывает, что возможность использования злоумышленником ЭЦП легального пользователя перечисленных систем может привести к ощутимым финансовым потерям. Представьте, если кто-то вместо вас отправит подписанный якобы вами финансовый документ и, например, снимет с вашего расчетного счета несколько миллионов долларов… Естественно, вам захочется как можно быстрее найти виновного и вернуть деньги. Вы обратитесь в финансовый институт (например, банк) и попытаетесь найти виновного там. Вам в письменном виде ответят, что информационная система банка построена в соответствии с существующими нормативно-правовыми документами, сеть аттестована по соответствующему классу, а для формирования и проверки подписи используются только сертифицированные средства ЭЦП. И еще вам докажут, что при получении ключевого материала вам были предложены альтернативные носители, из которых вы выбрали самый дешевый. Например, дискету… А потом напомнят, что согласно статье 12 «Закона об ЭЦП» [1], хранение закрытого ключа электронной цифровой подписи входит в обязанности владельца. Круг замкнулся. Во всем виноваты вы сами. Но все ли вы знали и предупреждали ли вас о возможности компрометации ключа до того, как произошла материальная потеря? Впрочем, обо всем по порядку. Для начала рассмотрим, какие виды подписи бывают, затем как генерируется ваша электронно-цифровая подпись.

Достаточно интересным в данном случае будет обращение к международному опыту. Чтобы понять некоторые тонкости видов подписи и способов их формирования, необходимо проанализировать подход к классификации электронных подписей в мире и у нас. Так уж исторически сложилось, что нам пришлось догонять многие страны по развитию ЭЦП как в части законов, технологий и т. д., так и в части понимания и правильного восприятия.

Начнем с Европы. Согласно Директиве ЕС по применению электронной подписи (1999 г.) и последующим соглашениям между странами-участницами, к настоящему времени четко описаны виды ЭЦП и механизмы ее формирования и проверки. В частности, в документе [CWA 14365] указаны три типа подписи (cм. рисунок):

электронная подпись (Electronic Signature). В определение данного вида подписи включено понятие логической связи этой подписи с тем, кто пользуется данной подписью, возможности ее идентификации, контроля подписывающего за ее использованием, а также отслеживания изменения в подписанных ранее данных;

улучшенная электронная подпись (Advanced Electronic Signature). Таковой считается электронная подпись с более жесткими требованиями. Первым требованием является уникальная связь с тем, кто пользуется данной подписью. Для этого рекомендуется использовать сертификат Х.509 в двух видах: квалифицированный сертификат, выпущенный доверенной третьей стороной (например, Удостоверяющим центром), или неквалифицированный сертификат, который может быть выпущен как доверенной третьей стороной, так и самим подписывающим. Второе требование – возможность идентификации подписывающего (того, кто пользуется данной подписью) по его электронной подписи. Другими словами, сертификат должен содержать персональные данные о владельце подписи, позволяющие его идентифицировать. Третье требование подразумевает, что подпись должна формироваться под жестким контролем ее будущего владельца. Например, если подпись формируется внутри устройства (Signature Creation Device), содержащего данные для выпуска ЭЦП, то ее владелец должен наблюдать за процессом формирования его подписи и использования устройства. И, наконец, четвертым требованием является использование хэш-функций, алгоритма подписи и длины ключей с параметрами, необходимыми для обеспечения должного уровня защиты от атак;

квалифицированная электронная подпись (Qualified Electronic Signature). В понятие квалифицированной подписи входит применение улучшенной (Advanced Electronic Signature) подписи при использовании квалифицированного сертификата подписи и одновременном применении SSCD(Secure Signature Creation Device) – устройства для безопасного формирования ключевого материала подписи, к которому предъявлены следующие требования:

должны быть обеспечены уникальность и секретность ключа;

сама ЭЦП должна быть защищена от подделки с использованием доступной на сегодняшний день технологии;

закрытый ключ, используемый для создания подписи законным владельцем, должен быть надежно защищен от использования другими лицами.

Квалифицированный сертификат должен быть валидным в момент подписи и однозначно идентифицировать лицо, воспользовавшееся данным видом подписи. Ключевая пара должна генерироваться при личном участии будущего владельца внутри защищенной памяти SSCD (токена, смарт-карты), закрытый ключ не должен иметь технических возможностей экспортирования (копирования) закрытого ключа. Таким образом, владелец подписи полностью контролирует жизненный цикл закрытого ключа подписи, и сам отвечает за его сохранность. В данном случае электронная подпись, согласно стандартам ЕС, полностью приравнена к собственноручной.

Заметим, что ФЗ-1 однозначно трактует электронно-цифровую подпись как квалифицированную, поскольку в статье 1 Закона сказано: «Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе». Давайте посмотрим, во что на практике выливается отличие российской ЭЦП от квалифицированной по требованиям ЕС.

Главная страница / Архитектура отрасли