Цифровая подпись; ЭЦП в России; электронная цифровая подпись - Металлургический журнал. Исследования рынка.

Главная страница Форум Промиздат Опережения рынка Архитектура отрасли Формирование Тенденции Промстроительство

Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев

Главная страница / Архитектура отрасли

Цифровая подпись; ЭЦП в России; электронная цифровая подпись

Странно, что нет лифта, четвертый этаж – и поднимайся пешком, как-то не этого ждешь, получив такую солидную повестку с подписью и зеленой печатью.

Хулио Кортасар. Во второй раз

Вряд ли будет преувеличением сказать, что перевод работы с документами в цифровую (или «электронную», как иногда говорят) форму является одним из краеугольных камней автоматизации, а вместе с ней и радикального ускорения и удешевления документального оформления деловых и административных процессов.

Cогласно подписанному Президентом РФ 10 января 2002 г. Федеральному Закону «Об электронной цифровой подписи», эта самая «электронная цифровая подпись», или короче, ЭЦП должна была бы обеспечить юридическую значимость как самих электронных документов, так и действий пользователей над ними (визирование, подписание, утверждение и т. п.).

Ожидалось, что принятие этого закона позволит значительно расширить область применения электронных документов, использование которых до того момента юридически ограничивалось только отношениями, регулируемыми гражданско-правовыми нормами, еще и на электронные документы, использование которых регламентируется нормами административного права, уголовно-процессуальными нормами и т. д.

Такое расширение нормативной базы по использованию электронных документов в немалой степени способствовало бы повышению спроса на настоящие системы электронного документооборота (СЭД), а не на их имитации, которые сейчас в ходу. И в новых версиях многих российских программных решений такого рода появилась или была расширена поддержка средств ЭЦП.

Уже более трех лет прошло после принятия Закона, однако, по мнению многих участников рынка, процесс развития системы электронной подписи, как на федеральном, так и на местном уровнях, идет с большим трудом. Схемы обмена электронными документами между организациями до сих пор реализуются, как правило, в рамках договоров о взаимном признании электронных форм документов и соответствующих средств их аутентификации и криптозащиты.

Использование ЭЦП при со-гласовании документов вне организации – явление довольно редкое. Даже при внедрении электронного документооборота внутри организации бумажное и безбумажное делопроизводство зачастую существуют параллельно, и полного перехода на электронные технологии не наблюдается.

По большому счету, статус ЭЦП продолжает находиться вне правового поля. Дополнительным косвенным подтверждением тому служит и отсутствие сведений на рынке о случаях привлечения электронных документов в качестве судебных доказательств.

Основным фактором, препятствующим применению ЭЦП все эти годы, очевидно, было отсутствие закона об электронном документе, что не позволяло использовать электронную подпись в качестве юридически значимого средства защиты и аутентификации информации.

Еще одним камнем преткновения является отсутствие единого стандарта на цифровые сертификаты ключей ЭЦП. Необходимость принятия такого стандарти сертификаты удостоверяющих центров, поддерживающих отечественные средства криптографической защиты информации (СКЗИ), оказывались несовместимы между собой, даже если поддерживали единый формат этих сертификатов (X.509) и реализовали один и тот же криптографический стандарт ЭЦП. Соответственно, сертификаты удостоверяющего центра, построенного на базе одного СКЗИ, не могли обслуживать криптосистемы, построенные на базе других средств защиты, а подпись, сформированная одним средством, не могла быть проверена другим.

Широкому распространению средств ЭЦП препятствует и отсутствие необходимой инфраструктуры в виде удостоверяющих центров (УЦ) и центров сертификации.

По мнению многих экспертов, популяризация ЭЦП в значительной мере сдерживается и таким субъективным фактором, как психология пользователей. Например, многие руководители промышленных предприятий и управленческих структур изначально скептически относятся к переходу на использование электронной подписи, и причиной этого является проблема отчуждаемости ЭЦП от ее владельца. В самом деле, подделать можно и обычную подпись, причем настолько искусно, что отличить ее от настоящей позволит только тщательная графологическая экспертиза, но вот «украсть» ее нельзя в принципе. С электронным аналогом подписи подобное возможно, по крайней мере, в отношении брелока или смарт-карты, на которой хранится секретный ключ.

Как показывает практика, проблема отчуждаемости электронных средств от их владельцев возникает всякий раз, когда речь заходит о технологических инновациях в сфере персонифицированных средств (исключением, пожалуй, можно считать лишь область биометрии).

По большому счету, даже такие традиционные атрибуты документов, как печати и официальные бланки, являются вполне отчуждаемыми от их правообладателя, однако на доверии к ним как к средствам аутентификации документов это не сказывается.

Не вдаваясь в нюансы субъективных препятствий на пути распространения ЭЦП можно констатировать, что помимо сомнений представителей бизнес-сообщества в надежности ЭЦП, степени ее конфиденциальности и возможности защитить себя от различных враждебных действий иных лиц существует и другая сторона этого вопроса. России присуща еще одна специфическая особенность, относящаяся отчасти к области психологии.

В известной степени, кто-то может счесть ЭЦП своеобразным капризом топ-менеджмента компаний, увлеченного высокими технологиями. Ну, в самом деле, стоит ли тут ломать копья? Курьерские службы работают сегодня на чрезвычайно высоком уровне, представительства ведущих компаний расположены по всему миру, и большую часть вопросов можно решить со скромным очарованием архаизма, подмахнув документы паркером с золотым пером. На первый взгляд, выигрыш во времени при использовании ЭЦП исчисляется несколькими часами, максимум парой дней. При этом вы не всегда уверены в том, что ваш автограф не использует кто-то еще (например, как предлагают некоторые организации, ключ для подписи хранится гдекурьером), а сбои в работе аппаратуры и программного обеспечения не приведут к досадным недоразумениям. Вероятно, какая-то доля истины в этом есть. И не столь важно, что уровень защищенности ЭЦП от «подделок» (имеется в виду использование без ведома владельца) в подавляющем большинстве случаев гораздо выше, чем при «живой каллиграфии». Исключение составляет только ситуация, когда «враждебное присутствие» имеет место непосредственно внутри вашей компании, а такой вариант, увы, не редкость.

Особенность, о которой мы упомянули, заключается в том, что такие, в сущности, очень «точечные» решения, как ЭЦП, востребованы в экономике и системе управления тех стран, где умеют считать время и деньги, где прозрачность и эффективность являются неотъемлемыми атрибутами успеха и где решение, позволяющее упростить более сложную процедуру, получает приоритет на внедрение.

В России сейчас у значительной части чиновников, да и у представителей топ-менеджмента компаний, уровень компьютерной грамотности находится ниже критики, видение перспектив развития исчерпывается директивами сверху, а интерес к повышению эффективности системы, которой они управляют, как правило, отсутствует. Просто-напросто потому, что в нынешних условиях множественных правовых брешей и противоречий, когда бизнес не просто не прозрачен, а предельно «затенен» в силу, мягко говоря, голландской болезни отечественной экономики, сидящей на углеводородной игле, никто не станет всерьез думать о необходимости использования таких решений, как ЭЦП. Зачем? В большинстве областей конкуренции просто нет, время отнюдь не деньги, и вовсе не по итогам оптимизации и анализа, не в результате переговоров подписываются соглашения и выигрываются тендеры.

Золотой паркер сменил толстую золотую цепь на шее, но люди, подписывающие серьезные бумаги, все те же. Так что, видимо, удел ЭЦП в нашей стране на ближайшее время – быть забавной игрушкой эксцентричных бизнесменов, стремящихся не отстать от западных коллег. Всерьез говорить о востребованности и эффективности ЭЦП на отечественном рынке сегодня просто смешно. Нам еще предстоит долгий путь до того уровня развития страны, когда будут считать десятки и сотни долларов, выигранных на эффективном цифровом решении, а не привычно разводить руками, узнавая об очередных десятках миллиардах, пущенных на ветер.

Тем, кто хочет ближе познакомиться с ЭЦП, рекомендуем статьи В. Карклита на Docflow.ru и А. Винокурова «Стандарты аутентификации и ЭЦП России и США».

Наша справка: электронная цифровая подпись

Для подписания электронных документов или любых данных, предоставленных в цифровой (или электронной) форме, используется так называемая электронная цифровая подпись. Электронная цифровая подпись – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения и

Электронная цифровая подпись формируется с помощью закрытого ключа, который может храниться на дискете, в системном реестре, на смарт-картах и т. д. Электронная цифровая подпись может быть проверена с помощью открытого ключа, парного тому закрытому ключу, с помощью которого формировалась эта ЭЦП. Таким образом, зная открытый ключ пользователя, можно с точностью установить, подписывал ли он данный документ.

ЭЦП в России: оценка текущего состояния

Алексей САБАНОВ, коммерческий директор Aladdin Software Security R.D.

Прошло более трех лет с момента принятия Закона об ЭЦП, но темпы его реального применения остаются невысокими. Это дает пищу для многочисленных обсуждений данной темы на конференциях, семинарах и в прессе. Заметим, что главное острие критики, как правило, направлено на недостатки самого Закона. То, что он нуждается в доработках, не вызывает сомнения. Однако попробуем проанализировать ситуацию не только со стороны нормативно-законодательной базы.

Заметим, что для успешного развития применения ЭЦП необходимы развитая инфраструктура открытых ключей (ИОК), прямая заинтересованность (а лучше – осознанная необходимость) в применении электронно-цифровой подписи, наличие соответствующей нормативно-правовой базы и т. д. Следует различать корпоративные и открытые (публичные) удостоверяющие центры (УЦ). Если первые свободны в выборе алгоритмов формирования и проверки ЭЦП, то последние должны применять только сертифицированные решения. Поскольку учет корпоративных УЦ не ведется, обратим внимание на известные данные по публичным проектам развития систем, поддерживающих ЭЦП. По сведениям за декабрь 2004 г., в России заявлена работа более 150 удостоверяющих центров, поддерживающих свыше 50 тыс. валидных (действующих) сертификатов ЭЦП. Согласитесь, немало. Но это только начало. Сегодня большинство работающих удостоверяющих центров и поддерживающих сервисы ЭЦП систем созданы коммерческими структурами. Почему? Невысокие темпы внедрения систем, поддерживающих сервисы ЭЦП, могут быть объяснены следующими сдерживающими факторами:

• переход на безбумажную технологию продвигается медленно, в том числе из-за недоверия к надежности информационных систем и систем защиты информации;

• обилие прикладных информационных систем, не содержащих встроенную поддержку ЭЦП и других средств защиты;

• внедрение ЭЦП по приказу «сверху» без заинтересованности «снизу»;

• отсутствие отдельного бюджета на системы защиты;

• отсутствие подготовленных кадровых ресурсов, способных выстроить процесс внедрения и эксплуатации, включая поддержку необходимых регламентов работы;

• недостаточное развитие ИОК;

• отсутствие корневого национального сертификата.

Темпы внедрения ЭЦП могли быть гораздо выше. Одной из непременных составляющих создания систем с поддержкой ЭЦП должна стать система доверительных отношений между информационными ресурсами, содержащими конфиденциальсти, так и во всей иерархической структуре органов власти (так называемая доверенная среда).

У ЭЦП – большое будущее

Дмитрий ГОРЕЛОВ, коммерческий директор компании «Актив»

У технологий, основанных на асимметричных криптографических алгоритмах, и у ЭЦП, в частности, – большое будущее. Возможно, кто-то полагает, что чуть ли не единственное назначение электронной цифровой подписи – замена «росчерка пера» на договорах и финансовых документах. В действительности областей применения ЭЦП великое множество. Очень часто мы используем данную технологию, даже не замечая этого (например, когда заходим на защищенный сайт или запускаем компьютерную программу).

PKI и ЭЦП просто незаменимы там, где необходимо организовать оперативный и доверительный обмен информацией между большим количеством удаленных друг от друга субъектов. ЭЦП – единственный действенный механизм для проверки того, что информация или компьютерная программа, загруженная из Интернета, не была подменена или модифицирована.

Мы разработчики, и нам более привычно решать технологические задачи. Думаю, что темпы развития российского рынка ЭЦП возрастут, если российские производители СКЗИ будут теснее взаимодействовать и системы разных разработчиков станут совместимыми.

Эволюция ЭЦП

Действительно, лицо, управляющее чьими-либо ресурсами по распоряжениям владельца, должно обладать возможностью доказать, что выполненное им распоряжение было получено именно от владельца. Данная задача стала особенно актуальной с появлением электронной коммерции, где в качестве ресурса выступают деньги на банковском счету владельца. Для ее решения были предложены различные схемы электронно-цифровой подписи. Первая схема ЭЦП — RSA — была разработана еще в конце 1970-х годов. Однако проблема подтверждения авторства стала актуальной настолько, что потребовалось установление стандарта, только в 1990-х годах, во время взрывного роста глобальной сети Интернет и массового распространения электронной торговли и оказания услуг. Именно поэтому стандарты ЭЦП в России и США были приняты практически одновременно, в 1994 г.

Из предложенных криптологами схем ЭЦП наиболее удачными оказались RSA и схема Эль-Гамаля. Первая была запатентована в США и ряде других стран (патент на RSA прекратил свое действие совсем недавно). Вторая имеет множество модификаций, которые весьма затруднительно запатентовать. Таким образом, схема ЭЦП Эль-Гамаля осталась по большей части свободной от патентов. Обладает она и целым рядом практических преимуществ: размер блоков, которыми оперируют алгоритмы, и соответственно размер ЭЦП в ней оказались значительно меньше, чем в RSA, при той же стойкости. Именно поэтому стандарты ЭЦП России и США базируются на схеме Эль-Гамаля.

В схемах симметричной (одноключевой) криптографии, в частности, в алгоритмах шифрования и выработки имитовставки, оба участника информационного обмена разделяют один и тотассив из случайных или псевдослучайных битов. Асимметрия ролей отправителя и получателя в схемах ЭЦП требует наличия двух тесно связанных ключей: секретного (ключа подписи) и открытого (ключа проверки подписи). Строго говоря, второй из них ключом не является, так как ключ по определению обязан быть секретным, так что «открытый ключ» – нечто вроде «сухой воды». Но термин прижился в литературе, и мы будем его использовать.

Любая схема ЭЦП обязана определить три следующих алгоритма:

• генерации ключевой пары для подписи и ее проверки;

• подписи;

• проверки подписи.

Последние достижения теории вычислительной сложности показали, что общая проблема логарифмирования в дискретных полях, являющаяся базой указанной схемы ЭЦП, не может считаться достаточно прочным фундаментом. Например, размеры блоков, отнесенные к «безопасным», увеличиваются сравнительно высокими темпами. Это привело к тому, что стандарты ЭЦП России и США в 2001 г. были обновлены – переведены на эллиптические кривые. Схемы ЭЦП остались прежними, но в качестве чисел, которыми они оперируют, теперь используются не элементы конечного поля GF(2n) или GF(p), а эллиптические числа — решения уравнения эллиптических кривых над указанными конечными полями. Роль операции возведения числа в степень в конечном поле в обновленных стандартах выполняет операция взятия кратной точки эллиптической кривой – «умножение» точки на целое число.

Надлежащий выбор типа эллиптической кривой позволяет многократно усложнить задачу взлома схемы ЭЦП и уменьшить рабочий размер блоков данных. Старый российский стандарт ЭЦП оперирует 1024-битовыми блоками, а новый, основанный на эллиптических кривых, — 256-битовыми, и обладает большей стойкостью.

Стойкость схемы подписи ГОСТ Р34.10-94 базируется на сложности решения задачи дискретного логарифмирования в простом поле. В настоящее время наиболее быстрым алгоритмом ее решения для общего случая является алгоритм обобщенного решета числового поля.

В ГОСТ Р34.10-2001 стойкость схемы ЭЦП основана на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой. При правильном выборе параметров кривой самыми эффективными методами ее решения являются более трудоемкие r- и l-методы Полларда. Так, по разным оценкам специалистов, трудоемкость взлома старого и нового стандартов ЭЦП России составляет величину порядка 1026 и 1038 операций умножения в базовом поле GF(p) соответственно. Очевидно, что новый стандарт более стойкий.

Главная страница / Архитектура отрасли