Электронная цифровая подпись: законы и реалии
Дата: 15.01.2004Источник: www.crime-research.ru
Автор: Виктор Любезный
В начале текущего года Президент РФ подписал Федеральный закон "Об электронной цифровой подписи" (№1-ФЗ от 10 января 2002 г.). В настоящее время идет подготовка к реализации положений этого закона. Официальный текст закона опубликован в "Российской газете" № 6 (2874) от 12 января 2002 г. (правда,комментарии к нему там, мягко говоря, не слишком компетентные с точки зрения программиста). В этой статье я постараюсь просто и, надеюсь, доступно объяснить, что же действительно представляет собой электронная цифровая подпись и, каким образом она должна применяться согласно закону.
Согласно статье 3 закона, электронная цифровая подпись (ЭЦП) - это "реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе". Попробую на примере объяснить смысл этой формулировки более развернуто.
Допустим, вы - глава организации и решили перейти на электронный документооборот внутри своей конторы. Вы издаете какой-нибудь приказ в электронном виде и распространяете его среди сотрудников. Как известно, приказ должен быть подписан. Но электронный документ не подпишешь обычным способом: это вам не бумажка. Можно, конечно, сохранять приказы на дискеты и подписывать этикетки. Однако нет никакой гарантии, что какой-нибудь умник не захочет подправить содержимое дискеты в свою пользу, тем более что доказать исправление можно далеко не всегда.
То же самое может произойти, если добавить в электронный документ какой-нибудь логотип либо факсимиле подписи: его слишком легко скопировать и поставить в другой документ. Выход только один: подпись должна зависеть от каждого символа значимой информации в подписываемом документе (простейший вариант - подпись содержит контрольную сумму всех символов документа). В этом случае уже можно обнаружить наличие в документе несанкционированных изменений с помощью специальной программы, проверяющей соответствие информации в документе данным подписи.
Подпись также будет формироваться специальной программой. Но этого недостаточно.
Представьте себе, что вы обзавелись несколькими замами, которые должны издавать письменные распоряжения и, соответственно, подписывать их. Одну подпись на всех по понятным причинам использовать нельзя, а писать программы подписывания и проверки подлинности документов (каждому свою программу со своим алгоритмом) накладно, да и подчиненным неудобно запускать на каждого начальника свою программу проверки подлинности подписи.
Решить эту проблему можно с помощью разработки таких алгоритмов подписывания и проверки ЭЦП, чтобы помимо значимой информации в подписи учитывался и так называемый ключ ЭЦП. Ключом может быть случайное число или последовательность символов, уникальная для каждого начальника. Можно заложить эти ключи непосредственно в программы, но это повлечет за собой необходимость переписывания программ в случае изменения структуры управленческого аппарата организации или смены начальства.
Можно брать ключи из специально заведенной базы данных, что очень удобно, если компьютеры предприятия объединены в сеть. Однако это может привести к тому, что ключи ЭЦП будут узнаны злоумышленниками и использованы для подделки документов со всеми вытекающими отсюда последствиями. Поэтому закон знает только двухключевую систему ЭЦП. При использовании этой системы, на каждое должностное лицо заводятся два разных ключа - открытый и закрытый.
Здесь уместно будет привести некоторые определения из статьи 3 закона:
"...закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи..."
"...открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе..."
"...средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание открытых и закрытых ключей электронных цифровых подписей..."<
Открытый ключ ЭЦП распространяется публично среди участников информационной системы и используется для проверки подлинности подписанного ЭЦП документа. Закрытый же ключ используется для подписывания документов, а потому должен быть известен только обладателю подписи. Поскольку открытый и закрытый ключи отличаются друг от друга, алгоритмы подписывания и проверки подлинности документа тоже разные. При этом они должны разрабатываться таким образом, чтобы при наличии открытого ключа и (или) подписанного документа вычислить открытый ключ было бы крайне сложно либо вообще невозможно.
ЭЦП была известна и использовалась еще задолго до принятия закона. Центральный банк РФ в 1993 г. утвердил внутренний стандарт ЭЦП. Были сообщения об использовании ЭЦП при приеме отчетности Пенсионным фондом РФ от организаций через интернет. Законодатели тоже не остались в стороне. Так, статья 160 Гражданского кодекса РФ допускает возможность использования ЭЦП и других аналогов собственноручной подписи при заключении и совершении гражданско-правовых письменных сделок "в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон".
Казалось бы, есть все для того, чтобы электронные документы широко использовались при заключении сделок. Однако здесь есть один неприятный момент. Известно, что если есть сделки, то есть и споры по сделкам. Иногда спорящие стороны доходят до суда. Для решения отдельных вопросов суд должен принять электронный документ, подписанный ЭЦП, в качестве доказательства существования сделки либо тех или иных обстоятельств совершения сделки.
Однако любая из спорящих сторон могла в своих целях откреститься от такого документа, заявив, что противная сторона его подделала. Разобраться, кто прав, а кто виноват, часто не могла даже квалифицированная экспертиза. Позиция арбитражных судов по этому вопросу изложена в письме Высшего арбитражного суда РФ от 19 августа 1994 г. № С1-7/ОП-587. Согласно ему, арбитражный суд может не считать электронный документ доказательством по делу без наличия подтверждающих факторов или однозначного экспертного заключения, если хотя бы одна из спорящих сторон не признала существование или подлинность документа.
После вступления в силу закона об ЭЦП суд, по идее, может при возникновении споров подтвердить подлинность документа, подписанного ЭЦП, в независимых удостоверяющих центрах, выдавших сторонам ключи подписей.
Попробую кратко изложить отдельные положения закона об ЭЦП и разъяснить непонятные моменты.
Согласно пункту 1 статьи 1, закон обеспечивает правовые условия, при соблюдении которых ЭЦП признается равнозначной собственноручной подписи на бумажном документе. Насколько хорошо он их обеспечивает, будет разобрано ниже.
Действие закона распространяется "на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях" (ст. 1, п. 2). Однако непонятно, что делать с электронными документами, требующими, например, нотариального заверения или государственной регистрации: нужен порядок выполнения этих действий, соответствующая техническая база и т. д.
Не совсем грамотно определено законом понятие информационной системы общего пользования. Статья 3 гласит, что это "информационная система, которая открыта для использования всеми физическими и юридическими лицами и, в услугах которой этим лицам не может быть отказано". Вроде бы все правильно, однако юристы могут придраться к этой формулировке, ибо даже информационный сервер, доступный через интернет, не очень-то подпадает под такое определение, поскольку открыт только для лиц, имеющих техническую возможность подключиться к Сети либо физический доступ к консоли сервера.
Приведу оттуда же еще одно понятие:
"...корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы...".
Здесь законодатели допустили ляп: корпоративная информационная система может иметь и не одного владельца, а владельцы системы могут не являться ее участниками.
Помимо основных понятий и целей закон содержит нормы применения ЭЦП. Рассмотрим эти нормы.
Генерация ключей ЭЦП в информационной системе общего пользования может быть осуществлена как участником системы, так и специальной организацией, называемой удостоверяющим центром. Деятельность этой организации подлежит лицензированию в соответствии с законодательством (Федеральный закон №128-ФЗ от 8 августа 2001 г. "О лицензировании отдельных видов деятельности" должен вступить в силу в феврале 2002 г.). Удостоверяющий центр выполняет следующие задачи:
1. Генерация уникальных ключей ЭЦП по обращению участников информационной системы;
2. Выдача закрытых ключей ЭЦП владельцам, оформление и выдача участникам...