Электронный документооборот и электронная цифровая подпись

Часть 3: Деятельность Центров удостоверения открытых ключей ЭЦП

(Окончание, начало в №5)

Наряду со всеми теми преимуществами, которые предоставляет технология электронной цифровой подписи, она все же имеет один изъян - проблему распространения открытых ключей. Дело в том, что установление подлинности и источника происхождения электронного документа производится на основе соответствующего открытого ключа, при этом пользователь должен быть уверен на все 100%, что данный открытый ключ принадлежит именно тому лицу, чью электронную цифровую подпись он проверяет. Существует опасность, что какой-либо злоумышленник осуществит подмену открытого ключа электронной цифровой подписи пользователя и тем самым сможет действовать от его имени, в том числе для совершения каких-либо незаконных операций.

Решением данной проблемы является использование карточек (сертификатов) открытых ключей электронных цифровых подписей. Сертификат открытого ключа ЭЦП представляет собой документ, удостоверяющий обладателя электронной цифровой подписи, и открытый ключ, который может использоваться для ее проверки. Закон РБ "Об электронном документе" устанавливает, что принадлежность открытого ключа проверки подписи владельцу секретного ключа подписи удостоверяется путем постановки этим лицом подписи (подписи и печати) на карточке открытого ключа проверки подписи. Форма карточки открытого ключа проверки подписи устанавливается собственником информационных систем и сетей (ст. 14). Удостоверенные открытые ключи проверки подписи распространяются владельцем личного ключа подписи или уполномоченным им лицом для пользования всем заинтересованным лицам.

Как уже ранее отмечалось, сертификаты открытых ключей ЭЦП позволяют достоверно установить принадлежность открытого ключа конкретному обладателю электронной цифровой подписи. Поэтому в распространении сертификатов открытых ключей ЭЦП заинтересованы все участники электронного документооборота, так как именно данный механизм предоставляет им защиту от различного рода мошеннических операций.

Обладатель электронной цифровой подписи, конечно же, может непосредственно сам заниматься распространением сертификатов открытых ключей среди всех заинтересованных в этом лиц. Вполне понятно, что необходимость предварительного распространения бумажных сертификатов среди всех заинтересованных лиц является очень неудобной и достаточно накладной процедурой. К тому же данная процедура противоречит самой сущности электронного документооборота, по сути дела, она сводит на нет все те преимущества, которые предоставляет электронный документооборот.

Решением данной проблемы является участие в электронном документообороте третьей, независимой, стороны, осуществляющей регистрацию и последующее распространение открытых ключей участников электронного документооборота. Такой третьей стороной является Центр удостоверения открытых ключей.

Для осуществления своих функций Центр удостоверения ведет специальный реестр, в котором содержится информация обо всех зарегистрированных в Центре удостоверения открытых ключах. При обращении любого лица с целью удостоверения открытого ключа какой-либо электронной цифровой подписи Центр удостоверения выдает Сертификат, в котором содержится информация о самом открытом ключе, об обладателе данной ЭЦП, информация о периоде, в течение которого действует ЭЦП, информация о наложенных обладателем данной ЭЦП ограничениях на область ее применения.

Услуги Центров удостоверения, предоставляемые посредством интернета, осуществляются автоматизированными компьютерными системами, поэтому доступ к таким услугам предоставляется все 24 часа в сутки без каких-либо перерывов или выходных. При этом услуги по удостоверению открытых ключей ЭЦП предоставляются центрами любому желающему и на безвозмездной основе. Зарабатывают на свое существование центры за счет сборов с обладателей ЭЦП за осуществление процедур регистрации открытых ключей, а также предоставления иных платных услуг.

Как уже ранее указывалось, электронный Сертификат вырабатывается автоматизированной системой Центра удостоверения при поступлении соответствующего запроса. Для того, чтобы исключить возможность подделки, электронный Сертификат заверяется электронной цифровой подписью Центра удостоверения. Проверка электронной цифровой подписи Центра удостоверения осуществляется с помощью соответствующего открытого ключа. Открытый ключ электронной цифровой подписи Центра удостоверения должен являться общеизвестным, с этой целью он должен периодически публиковаться в соответствующих печатных изданиях, а также содержаться на информационном сайте самого Центра удостоверения. Открытый ключ электронной цифровой подписи Центра удостоверения должен также указываться в выданной соответствующим государственным органом Центру удостоверения лицензии.

Центры удостоверения несут ответственность за убытки, понесенные пользователем открытого ключа в результате доверия к представленной в Сертификате информации, в случае, если она не соответствует действительности. Поэтому предоставление именно достоверной информации является основой деятельности Центров удостоверения.

Таким образом, разработанные процедуры деятельности Центров удостоверения в полной мере обеспечивают требования относительно безопасности проведения идентификации участников электронного документооборота. Осуществление процедур регистрации, распространения и идентификации открытых ключей не самими участниками электронного документооборота, а независимой третьей стороной, действующей публично, по сути дела, избавляет участников электронного документооборота от той рутинной работы, которая связана с осуществлением данных процедур. К тому же осуществление данных процедур Центрами удостоверения переводит правоотношения, связанные с распространением открытых ключей, из частно-правовой плоскости в публичную.

Вадим ДРЫГАНОВ,
GIPI Belarus,
[email protected]

Версия для печатиВерсия для печати

Номер: 

09 за 2002 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя Шекекова Бермет
Если законодательной базы нет в стране, но есть идея внедрения АС "Электронный документооборот" как быть с тем, что например, инога надо предоставить документы с физической подписью для органов (милиция, налоговая и т. д.)? Подскажите пожалуйста. Еще один вопрос: При разработке проекта АС все документы должны быть классифицированы, по каким критериям вы это сделали? Буду рада за любой совет. И последний вопрос: "Уместно ли при разработке испоьзование CASE -средства "Rational Rose"?
Аватар пользователя LX
на самом-то деле крайне удобная фишка

электронная подпись НЕ заменяет, а дополняет обычную, ее можно и нужно юзать там, где удобнее

у меня знакомый в банке, так у них большая часть документов проходит под электронной подписью. возможностей для взлома -- практически ноль, а использование куда как удобнее. не знаю как на государственном уровне, но ежели локально -- это снимает очень много проблем