Компьютерная безопасность

На протяжении многих веков при ведении деловой переписки, заключении контрактов и оформлении любых других важных бумаг подпись ответственного лица или исполнителя была непременным условием признания его статуса или неоспоримым свидетельством его важности. Подобный акт преследовал две цели:
• гарантирование истинности письма путем сличения подписи с имеющимся образцом;
• гарантирование авторства документа (с юридической точки зрения).
Выполнение данных требований основывается на следующих свойствах подписи:
• подпись аутентична, то есть с ее помощью получателю документа можно доказать, что она принадлежит подписывающему (на практике это определяется графологической экспертизой);
• подпись неподделываема, то есть служит доказательством, что только тот человек, чей автограф стоит на документе, мог подписать данный документ, и никто другой не смог бы этого сделать;
• подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно;
• документ с подписью является неизменяемым, то есть после подписания его невозможно изменить, оставив данный факт незамеченным;
• подпись неоспорима, то есть человек, подписавший документ, в случае признания экспертизой, что именно он засвидетельствовал данный документ, не может оспорить факт подписания;
• любое лицо, имеющее образец подписи, может, удостовериться в том, что данный документ подписан владельцем подписи.
С переходом к безбумажным способам передачи и хранения данных, а также с развитием систем электронного перевода денежных средств, в основе которых - электронный аналог бумажного платежного поручения, проблема виртуального подтверждения аутентичности документа приобрела особую остроту. Развитие любых подобных систем теперь немыслимо без существования электронных подписей под электронными документами. Однако применение и широкое распространение электронно-цифровых подписей (ЭЦП) повлекло целый ряд правовых проблем. Так, ЭЦП может применяться на основе договоренностей внутри какой-либо группы пользователей системы передачи данных, и в соответствии с договоренностью внутри данной группы ЭЦП должно иметь юридическую силу. Но будет ли электронная подпись иметь доказательную силу в суде, например при оспаривании факта передачи платежного поручения?
Хотя ЭЦП сохранила практически все основные свойства обычной подписи, все-таки некоторые особенности реализации электронного автографа делают ее отдельным классом подписей. Поэтому юридические, правовые и методологические аспекты применения ЭЦП должны учитывать ее специфику.
Существует несколько методов построения схем ЭЦП, а именно:
• шифрование электронного документа (ЭД) на основе симметричных алгоритмов. Данная схема предусматривает наличие в системе третьего лица (арбитра), пользующегося доверием участников обмена подписанными подобным образом электронными документами. Взаимодействие пользователей данной системой производится по следующей схеме:
- участник А зашифровывает сообщение на своем секретном ключе КА, знание которого разделено с арбитром, затем шифрованное сообщение передается арбитру с указанием адресата данного сообщения (информация, идентифицирующая адресата, передается также в зашифрованном виде);
- арбитр расшифровывает полученное сообщение на ключе КА, производит необходимые проверки и затем зашифровывает на секретном ключе участника В (Кв). Далее зашифрованное сообщение посылается участнику В вместе с информацией, что оно пришло от участника А;
- участник В расшифровывает данное сообщение и убеждается в том, что отправителем является участник А.
(Авторизацией документа в данной схеме будет считаться сам факт зашифрования ЭД секретным ключом и передача зашифрованного ЭД арбитру. Основным преимуществом этой схемы является наличие третьей стороны, исключающей какие-либо спорные вопросы между участниками информационного обмена, то есть в данном случае не требуется дополнительной системы арбитража ЭЦП. Недостатком схемы является наличие третьей стороны и использование симметричных алгоритмов шифрования. На практике эта схема не получила широкого распространения.);
использование асимметричных алгоритмов шифрования. Фактом подписания документа в данной схеме является зашифрование документа на секретном ключе его отправителя. Эта схема тоже используется довольно редко вследствие того, что длина ЭД может оказаться критичной. Из предыдущего раздела стало ясно, что применение асимметричных алгоритмов для зашифрования сообщений большой длины неэффективно с точки зрения скоростных характеристик, что, например, для системы валовых расчетов является одним из основных показателей. В этом случае не требуется наличия третьей стороны, хотя она может выступать в роли сертификационного органа открытых ключей пользователей;
развитием предыдущей идеи стала наиболее распространенная схема ЭЦП, а именно: зашифрование окончательного результата обработки ЭД хэш-функцией при помощи асимметричного алгоритма (см. раздел «Хэш-функции»).