Организационное обеспечение электронной цифровой подписи

 

Организационное обеспечение электронной цифровой подписи (ЭЦП) осуществляется в соответствии с законодательством государства, на территории которого используется данное средство ЭЦП. При отсутствии такого законодательства правовое регулирование в области применения средств ЭЦП осуществляется на основе нормативных актов административных органов. В частности, в России до принятия Федерального Закона об электронной подписи действуют положения, содержащиеся в инструкциях Центробанка.

 

Необходимость в сертификации средств ЭЦП

Средство ЭЦП — это программное и/или аппаратное обеспечение, предназначенное для генерации пары ключей (закрытого и открытого) и автоматизированного их применения при шифровании или дешифровании электронной подписи.

Необходимость в сертификации открытых ключей

Открытый ключ потому и называется открытым, что он доступен каждому из партнеров владельца закрытого ключа. Если при обращении от партнера Anna к партнеру Bella требуется защищенный канал связи, то партнер Anna может воспользоваться открытым ключом партера Bella. В этом случае он может быть относительно уверен, что в канале связи сообщение не может быть перехвачено. Но остается открытым вопрос, а ведет ли этот «канал» действительно к партнеру Bella?

Есть очень простой прием подмены открытого ключа с целью создания ложного канала связи. Допустим, сторона Charly желает перехватить чужие данные. В этом случае она может с помощью средства ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера Bella. Тогда все сообщения от партнера Anna к партнеру Bella будут легко перехватываться и читаться стороной Charly, причем ни Anna, ни Bella не будут даже догадываться о том, что Charly участвует в «договорных» отношениях.

Кто именно имеет право удостоверять открытые ключи, когда и как, в законодательствах различных государств решается по-разному. В частности, это может быть государственный орган или организация, уполномоченная государством для ведения данной деятельности. Возможно, что для внутреннего документооборота предприятия эту функцию можно поручить лицу, назначенному руководством, а для документооборота внутри ведомства — уполномоченному подразделению.

 

Понятие электронного сертификата

На практике сертификация открытых ключей выполняется следующим образом.

1. Лицо (юридическое или физическое), создавшее себе пару ключей (открытый и закрытый) с помощью средства ЭЦП, должно обратиться в орган, уполномоченный выполнить сертификацию. Этот орган называется Центром сертификации {Certification Authority, СА).

1. Центр сертификации проверяет принадлежность открытого ключа заявителю и удостоверяет этот факт добавлением к открытому ключу своей подписи, зашифрованной собственным закрытым ключом.

3. Любой партнер, желающий вступить в контакт с владельцем открытого ключа, может прочитать удостоверяющую запись с помощью открытого ключа центра сертификации. Если целостность этой записи не нарушена и он доверяет центру сертификации, то может использовать открытый ключ партнера для связи с ним.

 

Обратите внимание на тот факт, что центр сертификации заверяет только факт принадлежности открытого ключа конкретному лицу или организации. В опубликованной литературе имеются некорректные утверждения о том, что центр сертификации якобы заверяет добросовестность владельца открытого ключа. Это не так. Сертификация открытого ключа не имеет никакого отношения к добросовестности, платежеспособности, исполнительности и любым другим деловым качествам его владельца. Хороший пример — общегражданский паспорт. Это средство удостоверения только личности его владельца. Паспорт не может и не должен содержать какие-либо данные, характеризующие своего владельца. Для этого служат совершенно иные средства.

Наличие полноценного сертификата открытого ключа говорит о том, что ключ можно использовать для удостоверения личности партнера. Но целесообразность этих отношений центром сертификации не удостоверяется.

 

Если чисто технически корневой центр не может обеспечить все запросы на выдачу и проверку сертификатов, поступающие от юридических и физических лиц, то он может сертифицировать другие дополнительные органы, называемые доверенными центрами сертификации.

Доверенные центры тоже могут удостоверять чужие открытые ключи своими закрытыми ключами, но при этом их открытые ключи тоже нуждаются в удостоверении. Их удостоверяет своим закрытым ключом вышестоящий центр сертификации.

. Таким образом, участник электронного документооборота, получивший откуда-то открытый ключ неизвестного партнера, может:

а) установить наличие сертификата, удостоверенного электронной подписью центра сертификации;

б) проверить действительность подписи центра сертификации в вышестоящем центре сертификации;

в) если вышестоящий центр тоже является не корневым, а доверенным, то и его подпись можно проверить в вышестоящем центре, и так далее, пока проверка не дойдет до корневого центра сертификации.

Рассмотрим пример. Допустим, в государстве функции корневого центра сертификации возложены на Центральный банк. Предположим, что Центральный банк, не способный справиться со всем электронным документооборотом страны, открыл несколько доверенных центров сертификации на базе уполномоченных банков: «Бета-Банк», «Гамма-Банк», «Дельта-Банк» и т. д. Допустим, что «Бета-Банк», чей авторитет весьма высок в Тульской области, открыл на базе своего местного филиала доверенный центр сертификации в г. Тула. В этом случае юридические и физические лица Тульской области могут использовать его сертификаты при взаимодействии друг с другом. Однако, когда им придется взаимодействовать с партнером из Ярославской области, тот может не выразить доверие к электронному сертификату, выданному Тульским филиалом «Бета-Банка». В этом случае он проверит сертификат самого филиала по сертификату, выданному «Бета-Банком». Если он никогда с этим банком дел не имел, то может не выразить доверие и этому сертификату. Тогда он проверит сертификат, выданный корневым центром — Центробанком.

Такую проверку надо выполнить только один раз. Убедившись в правомочности доверенного центра сертификации, можно настроить свое программное обеспечение так, чтобы в дальнейшем доверие ему выражалось автоматически. И лишь в тех случаях, когда цепочку сертификатов не удается проследить до ранее проверенного доверенного центра (или до корневого центра), программное обеспечение выдаст предупреждение о том, что открытый ключ не имеет удостоверенного сертификата и пользоваться им нельзя.