Что такое электронная подпись
Является ли электронно-цифровая подпись действительно подписью
Авторы этой публикации ставят перед собой задачу — привлечь внимание всех заинтересованных в развитии «безбумажных’ технологий к проблеме подтверждения подлинности электронных сообщений.
Ее решение позволит ввести в оборот на законных основаниях понятие электронного юридически значимого документа.
Тесное переплетение технических, юридических и философских вопросов требует участия в разрешении этой проблемы специалистов различного профиля.
Электронная подпись на госуслугахМатериал адресован руководителям и юридическим службам организаций, сталкивающихся с проблемой подтверждения в арбитраже подлинности документов, полученных с помощью компьютера, а также специалистам, занимающимся вопросами защиты информации при ее обработке с использованием автоматизированных систем.
Общеизвестно, что любая система безопасности должна строиться комплексно и охватывать все участки защищаемого технологического процесса, на каждом этапе его жизненного цикла.
Принимаемые в этой области решения должны обеспечивать равноправность защиты всех звеньев технологической цепи обработки и транспортировки документов.
Иначе наличие хотя бы одного незащищенного или слабо защищенного участка может сделать неэффективными вложения средств во все остальные меры и средства защиты. Одним из таких участков является процесс обмена документами и его копиями, имеющими юридическую значимость.
Проблема подтверждения подлинности
Переход от автономного использования компьютеров к сетевым технологиям породил проблему подтверждения подлинности сообщения.
В чем же ее суть?
В современном мире, когда скорейший обмен информацией играет немаловажную роль, электронное сообщение имеет неоспоримые преимущества перед своим традиционным атом.
Складывается впечатление, что с приходом новых информационных технологий, распространяющих электронные документы, решаются все проблемы, которые «не по плечу» простому листу бумаги. Однако это не так. Решая одни проблемы, мы неизбежно сталкиваемся с другими, которые подчас гораздо сложнее и требуют специальных решений.
Поэтому, говоря об электронном документе, тем более в деловом обороте, необходимо помнить, что затрагивается широкий круг вопросов, касающихся различных сторон жизни общества и бизнеса.
В частности, обращение к официальным организациям в телекоммуникационных сетях потребовало получения от них соответствующих документов.
В обычном, «бумажном» документообороте эта проблема решена.
Имеются специальные стандарты, определяющие необходимый перечень реквизитов, который позволяет определить подлинность документа и придать ему статус официального.
Существуют также процедуры подтверждения подлинности документа и его копий (например, нотариальное заверение или признание подлинности по суду), которые нашли свое отражение в правовых нормах.
Подпись — это очень важно
В попытках ответить на вопрос, что такое документ, сказано не мало.
Так какими свойствами он должен обладать?
Анализ законодательных актов и специальных стандартов показывает, что документ должен:
— содержать значимую информацию, которая накладывает на субъект конкретные обязательства или приводит к определенным последствиям (хотя документ может содержать и субъективно значимые сведения, но это сути не меняет):
— иметь однозначную интерпретацию, то есть быть общепонятным;
— иметь идентифицируемые реквизиты и, в первую очередь, устанавливать авторство;
— гарантировать то, что автор не сможет в последствии утверждать свою непричастность к его созданию.
Если сведения, зафиксированные на материальном носителе, обладают этими свойствами, то их можно признать документом. А если они вдобавок ко всему имеют набор реквизитов, установленных законодательно, то это уже юридически значимый документ.
Наиболее важными реквизитами, которые могут сделать документ юридически значимыми, считаются:
— дата;
— подпись;
— печать;
— гриф утверждения.
При этом подпись является обязательным реквизитом любого документа, как служебного, так и личного. Но и раньше, и сейчас иногда на документах можно увидеть факсимиле.
Это очень удобный заменитель, точно копирующий рисунок собственноручной подписи. Но юридическая сила факсимиле и подписная разная.
Безусловно, факсимиле может служить дополнительным признаком, подтверждающим подлинность документа, но никак не основным.
По нашему законодательству факсимиле может быть признано в качестве реквизита, придающего юридическую силу документу, только при наличии письменного договора о таком признании между сторонами.
С появлением безбумажных технологий обработки информации, постоянным совершенствованием систем электронного документооборота остро встала проблема подтверждения авторства передаваемых, обрабатываемых и хранимых сведений.
Потребовалось нетолько подтверждение личности того, кто отправил документ (то есть идентификация), но и аутентификация самого послания, то есть подтверждение юридической значимости полученного сообщения. Да еще надо задуматься о том, чтобы послание дошло без искажений.
Таким образом, решение одной проблемы выливается в решение трех взаимосвязанных задач:
— подтверждение авторства подписанта (идентификация);
— подтверждение подлинности документа (аутентификация);
— обеспечение целостности передаваемой информации.
Задача целостности передаваемой информации довольно тесно связана с задачей обеспечения конфиденциальности.
Это обусловлено тем, что в телекоммуникационных сетях идет передача не самого сообщения, а его электронной копии.
Однако для целого ряда современных информационных технологий наиболее важным становятся не сохранение конфиденциальности самого сообщения, а создание такого документа, который никто не сможет опровергнуть в суде (проблема арбитража).
Часто требуется не только убедиться в том, что сообщение пришло от заявленного подписанта, но и убедить в этом третью сторону (например, суд), если возникают спорные моменты.
Прежде всего, это встречается в технологиях, работающих в кредитно-финансовой сфере и позволяющих осуществлять электронную торговлю.
Зададим себе еще один вопрос: может ли электронное сообщение, полученное, например, в системе S.W.I.F.T. (Reuters) быть документом?
Ответ очевиден: для кого как.
Для организаций, входящих в эти системы, да, а для остальных — вопрос спорный. Если Вы не сможете представить законного доказательства того, что участвовали в транзакции, то и не сможете использовать глобальные информационные сети для настоящей торговли.
Документы, создаваемые такими электронными системами, должны обладать всеми реквизитами юридически значимого документа.
Опыт применения для создания документов новых средств оргтехники отражается в российском законодательстве.
Так, Арбитражный процессуальный кодекс Российской Федерации, говоря о письменных доказательствах, представляемых в судебные органы (статья 60), вводит норму о допустимости представления документов, полученных «посредством факсимильной, электронной или иной связи, либо иным способом».
Это создает юридическую базу для использования на практике документов, полученных с помощью компьютера.
Чтобы сделать электронное сообщение документов, необходимо предварительно договориться о правилах (процедурах), применение которых позволит совершить операции, превращающие сообщение в юридически значимый документ. Это с успехом можно сделать в «закрытых» электронных системах, то есть в системах с ограниченным и заранее известным числом пользователей путем заключения предварительного договора.
Несмотря на то, что такой договор представляет собой достаточно сложный юридический документ, сегодня существуют практические примеры создания таких закрытых систем для передачи юридически значимых документов.
Развитие глобальных информационных сетей способствует взрывному росту электронной торговли и других операций, требующих обмена юридически значимыми документами.
То есть введение электронных документов в деловой оборот в «открытых» системах — с изначально неизвестным числом участников, для присоединения к которым не требуется предварительного заключения договора.
Для того чтобы электронные сообщения в таких системах стали бы юридически значимыми, необходимо договориться о правилах хотя бы в рамках отдельно взятой страны (а еще лучше в глобальном масштабе).
А такой договор ничто иное, как Закон.
Так все-таки электронная подпись или факсимиле?
В Федеральном законе «06 информации, информатизации и защите информации» оговорили возможность заверения электронного документа электро-цифровой подписью при соблюдении определенных правил (статья 5).
Последние предусматривают, что юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью, причем ее сила признается при наличии в системе программно-технических средств, обеспечивающих идентификацию подписи и соблюдения установленного режима их использования.
В настоящее время метод электронно-цифровой подписи становится доминирующим в процессе идентификации автора (подписанта) и аутентификации самого электронного документа.
На этой основе построены практически все действующие стандарты и системы электронного документооборота.
Приоритетное положение этого метода можно объяснить изученностью криптографии с открытым ключом, сравнительно низкой стоимостью и отсутствием необходимости применения специальных аппаратных средств.
Что такое электронная подпись в мировой практике?
В мировой практике под электронной подписью понимается, вообще говоря, символ или некоторый другой идентификатор, созданный электронными средствами, обрабатываемый или принимаемый другой стороной с намерением подтвердить подлинность электронного сообщения.
Принимается, что эта процедура одновременно заменяет и подпись, и печать.
Принципы и алгоритмы при этом могут применяться самые разнообразные. (Вопрос о надежности того или иного алгоритма здесь не обсуждается).
Сам по себе процесс подтверждения электронного документа электронно-цифровой подписью достаточно сложен.
Его изучение требует знания основ криптографии и выходит за рамки этой статьи.
Необходимо отметить, что сам процесс не возможен без наличия так называемого «секретного ключа», который хранится только у отправителя, и тесно связанного с ним «открытого ключа», которым может владеть любой пользователь на другом конце.
На основе «секретного ключа» передаваемый текст снабжается специальным атрибутом, а математические методы позволяют однозначно определить с использованием на другом конце «открытого ключа», откуда было отправлено сообщение.
От сохранности «секретного ключа» напрямую зависит степень надежности любой системы, использующей электронно-цифровую подпись.
Иными словами мы сталкиваемся с проблемой отделимости такой подписи от ее владельца. Автограф по вполне понятным причинам неотделим от его обладателя.
Совсем по-другому обстоят дела при использовании электронно-цифровой подписи, точнее ее «секретного ключа».
Последний, как правило, представляет собой определенный файл, который хранится в компьютере подписанта и, естественно, вполне отделим от него. Доступ к нему осуществляется на основе пароля, записанного на интеллектуальной карте или другого аналогичного устройства-идентификатора.
Такой подход нельзя считать надежным и удобным, особенно при массовом использовании.
При этом владелец карты может передать ее другому лицу или потерять. И, конечно, существует вероятность, что новый владелец воспользуется этим паролем для подписи фиктивного документа.
Таким образом, контроль за правомерным использованием «секретного ключа» является достаточно проблематичной задачей, особенно с доказательной для арбитража точки зрения.
Как видно, в данном случае электронно-цифровая подпись может исполнять роль только факсимиле, но никак не автографа подписанта.
(Например, в Государственной думе первых созывов при голосовании «электронными карточками» число голосов оказывалось больше числа присутствующих в зале депутатов).
А отсюда следует, что арбитражный суд может не принять к рассмотрению спорное дело с такой «подписью».
Это же подтверждается и рекомендациями, принятыми на совещании по арбитражной практике в Высшем Арбитражном Суде Российской Федерации в августе 1994 г. («Вестник ВАС РФ», 1994, № 11): «Изготавливать и подписывать договоры с помощью электронно-вычислительной техники и использованием системы цифровой подписи вполне допустимо.
После возникновения конфликта стороны могут представить суду доказательства, заверенные такой подписью.
При разногласиях относительно наличия договора и других актов, суду надлежит запросить у сторон выписку из взаимного договора, определяющую процедуру устранения разногласий, порядка доказывания всех фактов, достоверности подписи, и далее действовать с учетом этой процедуры.
Если же она разрабатывалась, суд вправе не принимать в качестве доказательства документы, подписанные цифровой (электронной) подписью».
Гражданский Кодекс Российской Федерации также содержит аналогичную норму.
Статья 160 ГК РФ допускает возможность использования при совершении сделок «факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи, либо иного аналога собственноручной подписи».
Но такая процедура должна быть предусмотрена либо законодательством, либо соглашением сторон, а подписать договор о взаимном признании правомочности электронно-цифровой подписи при большом количестве участников документооборота не всегда возможно.
Следствием этого станет определенный коллапс, например в финансовой сфере, когда могут быть опротестованы платежные поручения, поступившие по системе электронного документооборота.
Из вышесказанного получается, что российское законодательство и существующая в настоящее время судебная практика допускает наличие документов, хранимых в памяти компьютера или подготовленных с его помощью.
При этом разногласия, которые могут появиться вследствие использования такого документа, могут быть разрешены или урегулированы только на основе правил, одобренных всеми участниками системы документооборота, либо норм, установленных законодательно.
Можно ли сделать электронно-цифровой автограф?
Самым существенным отличием автографа от факсимиле, является то, что факсимиле может существовать отдельно от подписанта, а автограф — нет.
Все упирается в то, что при формировании последнего используется биометрические параметры самого человека (нажим, скорость письма, характерные росчерки и пр.), а факсимиле может ставить и автомат.
Следует заметить, что электронно-цифровая подпись это не оцифрованный образ рукописной подписи, а результат математических преобразований, выполненных в соответствии с конкретным алгоритмом, свойства и результаты исполнения которого заранее определены и доказаны.
Существует целый ряд методов, позволяющих сочень высокой степенью достоверности обеспечить привязку электронно-цифровой подписи к подписанту.
Примером может служить технология цифровой обработки папиллярного узора отпечатка пальца, радужной оболочки глаза, автографа и других биометрических параметров. Только в этом случае можно говорить, что электронно-цифровая подпись стала аналогом автографа.
Проблема отделимости электронно-цифровой подписи от подписанта или, что в принципе одно и то же, проблема сохранности «секретного ключа» может быть решена путем жесткой привязки процесса формирования и использования «секретного ключа» к какому-либо биометрическому параметру человека.
Такая привязка должна обеспечить надежное закрытие собственно «секретного ключа» и включение образа биометрического параметра в состав электронного документа.
Решение проблемы отделимости электронно-цифровой подписи играет важную роль для юридической поддержки обеспечения электронного документооборота.
Вместе с тем необходимо отметить, что спрос на такие системы будет только в случае наличия достаточно дешевых аппаратных средств.
Такая система, на наш взгляд, представляет собой программно-аппаратный комплекс, обеспечивающий защиту «секретного ключа» и его гарантированную привязку к владельцу, а также защиту от несанкционированного доступа к процессу подписания электронного документа на основе одного или нескольких биометрических параметров.
Система должна обеспечить решение следующих основных задач:
— формирование собственно электронно-цифровой подписи:
— распознавание образа, созданного на основе биометрического параметра:
— включение этого параметра в электронный документ:
— закрытие «секретного ключа» на основе образа биометрического параметра:
— возможность совместного использования традиционного пароля и образа биометрического параметра:
— ведение базы данных биометрических параметров;
— обработку сообщения у получателя;
— обеспечение традиционных методов защиты от НСД к информации.
Целесообразно было бы, чтобы такие комплексы дополняли уже созданные и активно применяемые системы защиты информации и формирования электронно-цифровой подписи.
Это позволит получить комплексную систему защиты для создания различных автоматизированных рабочих мест систем электронного документооборота.
Наиболее простым в этом случае может быть использование в аппаратно-программных средствах формирования электронно-цифровой подписи специальных дактилоскопических датчиков, вырабатывающих парольный код только при совпадении папиллярного.
При этом сам код должен применяться не только как пароль для входа в систему, но и непосредственно участвовать в процессе генерации «секретного ключа» (см. схему).
Наиболее надежным будет совместное использование традиционных паролей доступа в совокупности с предлагаемым способом.
Существующие стандарты, применяемые в электронных документообороте и торговле, к сожалению, не охватывают эту проблему, утверждая, что она выходит за рамки стандарта.
С другой стороны, это позволяет разработчикам систем защиты информации начать активное применение таких способов формирования аналогов собственноручной подписи.
Роль даты
В обычном документообороте документ считается таковым, если есть дата его регистрации.
При электронном документообороте дата становится одним из важнейших реквизитов.
Допустим, что любой электронный документ, выходящий за пределы какой-либо замкнутой системы перед отправлением его в канал связи регистрируется и маркируется специальным атрибутом, в котором содержится точное время его отправки и сведения о том сервере, откуда он отправлен.
Время прохождения сигнала электронного документа по каналам практически всегда заранее известно.
Поэтому, получив сообщение с временной меткой всегда можно сверить время его прохождения.
Если имеются различия во времени, например, задержка в его получении, то приемный сервер всегда может запросить у передающего подтверждение отправки документа. Если же сообщение, полученное после подтверждения, не совпадает с первоначально полученным, то можно с уверенностью говорить о несанкционированном вмешательстве.
Таким образом, временная метка становится одним из важнейших элементов подтверждения подлинности электронного документа.
Она в данном случае играет роль мастичного штампа учреждения (атрибут почтового сервера) с датой и регистрационным номером документа.
Некоторые аналоги
Итак, достаточно обсудив тему электронного документа, попробуем провести некоторые аналоги между реквизитами обычного бумажного документа и атрибутами его электронного дублера.
Дата и время создания электронного документа соответствует штампу и регистрационному номеру с указанием даты.
Электронная подпись, не использующая биометрических параметров, соответствует факсимиле или печати учреждения.
Электронная подпись, основанная на применении биометрических параметров, соответствует собственному автографу, заверенному печатью учреждения.
Собственно электронный документ соответствует смысловой части обычного документа.
Только читать его надо не на обычном языке, а на языке чисел. Это, однако, не означает, что информация представлена в недоступном виде.
Все алгоритмы и процедуры записи электронного документа придуманы и реализованы человеком. Они написаны на языке, удобном для компьютеров, но этот язык — плод человеческого творения и, если человек знает этот язык, то прочитать его не представляет труда. При этом смысловая часть может содержать и гриф утверждения самого документа.
Таким образом, мы получаем полное соответствие реквизитов электронного документа реквизитам обычного, необходимым для признания его юридически значимым.
Но здесь возникает еще одна проблема, связанная с особенностью представления сведений в электронном виде — это проблема копирования электронной информации.
Одной из важнейших особенностей сведений, представленных в электронной форме, является легкость их копирования. Поэтому, во избежание инцидентов, при передаче электронного документа по каналам связи он должен быть защищен от несанкционированного копирования. В этом случае есть уверенность, что где-нибудь не выплывет неучтенная электронная копия документа.
Но на передающем конце, как правило, также остается контрольная копия. Ее можно рассматривать как просто заверенную исполнителем копию документа.
Но если последнюю заверить электронно-цифровой подписью и снабдить всеми необходимыми атрибутами, то можно говорить об изготовлении одного документа в двух экземплярах, имеющих равную юридическую силу.
Для справки.
По советскому энциклопедическому словарю (1988 г., под редакцией А.М. Прохорова) «идентификация — установление тождества объекта или личности по совокупности общих и частных признаков, например идентификация личности по почерку, по следам рук.
Аутентификация — официальное признание текста равнозначным другому тексту, составленному на другом языке (в том числе и машинном — авт.) и имеющим одинаковую с ним юридическую силу».
Такой электронный документ можно передавать по каналам связи, читать на дисплее компьютера, предоставлять в суд, он может храниться в памяти компьютера или на магнитном носителе и пр.
Этот документ уже сам по себе может быть признан юридически значимым, использоваться в судебном разбирательстве, особенно если он в соответствии со статьей 2 Закона «Об информации, информатизации и защите информации» зафиксирован на материальном носителе с реквизитами, позволяющими его идентифицировать.
Но, как правило, любой электронный документ приводится в традиционный вид. Для этого с помощью стандартных программ производится его распечатка на бумажный носитель. Это действие можно рассматривать как копирование и должно быть соответствующим образом оформлено.
Если требуется заверенная копия, то применяется механизм нотариального заверения или заверения лицом, имеющим на это право по закону или в силу договора между сторонами. Это подтверждается законодательными актами.
Обратимся еще раз к Закону «Об информации, информатизации и защите информации», точнее, к статье 5: «полученный из автоматизированной системы документ приобретает юридическую силу после его подписания должностным лицом в порядке, установленном российским законодательством».
Подчеркнем, что таким образом можно изготовить только копию, но не оригинал (дубликат) электронного документа, как это утверждают некоторые источники. Все они «забывают», что в соответствии с российским законодательством должна стоять собственноручная подпись автора (автограф) и оттиск печати.
При заверении бумажной копии электронного документа приемлемым алгоритмом может быть следующая последовательность: прием файла, проверка подлинности электронно-цифровой подписки (аутентификация) и наличия всех необходимых атрибутов файла, распечатка содержательной части, сверка текста распечатки с содержанием электронного документа (идентификация) и простановка заверительной печати на документе о соответствии полученной копии оригиналу.
Надо отметить, что в этом случае мы получаем все-таки копию электронного документа, но не сам документ. И поэтому его юридическая сила будет определяться степенью заверения копии.
Проводя дальнейшую аналогию, можно приравнять:
— электронный документ в случае передачи его по каналам связи со всеми необходимыми атрибутами — к юридически значимому документу;
— электронную копию документа, оставшуюся у респондента, к рабочей копии документа;
— электронную копию документа, заверенную электронно-цифровой печатью, но оставшуюся у респондента, к заверенной копии юридически значимого документа или ко второму экземпляру юридически значимого документа, имеющего равную силу с первым экземпляром;
— его распечатку, прошедшую заверение установленным законом порядком, к заверенной копии документа.
Вполне возможно, что дальнейшее развитие электронного документооборота повлечет за собой появление новых типов документов, использующих какие-то другие носители и способы представления и передачи информации.
Такие документы потребуют определения своего режима и, соответственно, выработки определенных правил, позволяющих использовать их в правовом пространстве и обеспечивающих выполнение свойств, присущих обычному «бумажному» документу.
Но это еще в будущем, возможно и не таком далеком.