К обсуждению проекта Закона об электронной цифровой подписи.
К обсуждению проекта Закона об электронной цифровой подписи
С 22 по 25 декабря 1999 г. и с 3 по 5 февраля 2000 г. в подмосковном поселке Непецино прошли две международные конференции — «РусКрипто-99» и «РусКрипто-2000». В них приняли участие руководители и ведущие специалисты из научных и учебных заведений, банковских учреждений, инвестиционно-финансовых и промышленных компаний, а также государственных и законодательных органов. На конференциях обсуждались научные, технологические, юридические, политические и социальные вопросы создания и использования новых информационных технологий, основанных на принципах современной криптологии. Большой интерес среди участников конференций вызвали выступления, посвященные проекту Закона об электронной цифровой подписи, внесенному правительством Российской федерации
Электронная коммерция и российское законодательство
В настоящее время под влиянием развития глобальной сети Internet мировое законодательство все активнее использует понятие электронной коммерции — заключение через Internet различных международных и внутренних сделок (сюда относятся купля-продажа, поставка, соглашение о распределении продукции, инвестиционные контракты, страхование, банковские услуги и другие формы промышленного и делового сотрудничества). Число совершаемых таким образом сделок растет очень быстрыми темпами. Например, согласно статистике, представленной Федеральной комиссией по торговле США, объем торговых операций с использованием Internet сейчас удваивается каждые сто дней. В России право и юридическая практика оперативно отреагировали на возникновение электронной коммерции. В соответствии со ст. 5 Закона об информации, информатизации и защите информации данные, которые получены, хранятся, обрабатываются и передаются с помощью автоматизированных информационных и телекоммуникационных систем, могут признаваться в качестве документов, имеющих юридическую силу. При этом юридическая сила такого документа может, в частности, подтверждаться электронной цифровой подписью (ЭЦП), которая в электронной коммерции (при использовании электронных документов и электронных форм сделки) должна являться гарантией подлинности и действительности договорных обязательств, а также защитой от их одностороннего изменения или расторжения. Это значит, что при заключении коммерческих договоров ЭЦП призвана реализовать следующие юридические принципы:
•указывать, кем подписан документ или сообщение, и быть сложной для воспроизводства любым другим не уполномоченным на то лицом;
•идентифицировать то, что подписано, и делать нецелесообразной подделку или изменение (без возможности выявления) как самой подписи, так и документа, подписанного ЭЦП:
• исполнять процедурную роль. то есть символизировать выражение воли стороны относительно сделки (одобрение, разрешение и т.д.), что подтверждает юридическую действительность сделки.
Основные положения проекта Закона об электронной цифровой подписи
Выработать и конкретизировать юридические гарантии и механизмы, обеспечивающие соблюдение вышеуказанных принципов со стороны участников электронной формы сделки, призван новый Закон об электронной цифровой подписи. В разработке его проекта приняли участие шесть российских правительственных ведомств — Минсвязи России, ФАПСИ, Гостехкомиссия, Комиссия по ценным бумагам, Центробанк и Минюст России. При этом ФАПСИ приступило к решению проблем, связанных с ЭЦП, намного раньше остальных участников этого законотворческого процесса. Еще в 1992 г. Агентство обратилось в Институт государства и права РАН с просьбой разработать правовую модель для внедрения ЭЦП в практику государственного документооборота. В соответствии с проектом Закона об электронной цифровой подписи, внесенным правительством РФ 27 января 2000 г., предлагается использовать ЭЦП для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью. Проект определяет электронный документ как информацию, представленную в виде набора состояний элементов электронной вычислительной техники или иных электронных средств обработки, хранения и передачи информации, которую можно преобразовать в форму, пригодную для однозначного восприятия человеком. Под ЭЦП в проекте понимается последовательность символов, полученная в результате криптографического преобразования исходного электронного документа с использованием закрытого ключа и позволяющая подтверждать целостность и неизменность этой информации, а также ее авторство при условии использования открытого ключа. Здесь открытый ключ — это общедоступная последовательность символов, предназначенная для проверки ЭЦП, а закрытый ключ — это последовательность символов, предназначенная для выработки ЭЦП и известная только правомочному лицу. Проверку принадлежности конкретного открытого ключа определенному пользователю осуществляют так называемые удостоверяющие центры, деятельность которых подлежит обязательному государственному лицензированию.
В проекте Закона об электронной цифровой подписи предлагается, чтобы во всех случаях. когда по действующему российскому законодательству необходимо наличие собственноручной подписи, ее можно было бы заменить ЭЦП при соблюдении следующих условий:
•получен положительный результат проверки открытого ключа, принадлежность и подлинность которого подтверждена соответствующим сертификатом (Сертификат ключа — это документ, выданный и заверенный удостоверяющим центром, подтверждающий принадлежность этого ключа определенному лицу.):
• подписавшая сторона правомерно владеет закрытым ключом, используемым для выработки ЭЦП:
•ЭЦП выработана и проверена средством ЭЦП (Средство ЭЦП — это совокупность программных и технических средств, реализующих функцию выработки и проверки ЭЦП.), сертифицированным в установленном порядке (Сертификат на средство ЭЦП -это документ, удостоверяющий соответствие данного средства специальным требованиям и гарантирующий в течение определенного срока действия возможность использования этого средства в качестве инструмента выработки и проверки ЭЦП.).
В проекте Закона об электронной цифровой подписи определены сроки хранения как самих ключей, так и их сертификатов: перечислены обязательные идентификационные атрибуты любого электронного документа и приведены сведения, которые всегда должны присутствовать в сертификате ключа. И если дополнительные атрибуты электронного документа могут устанавливаться соответствующими нормативными правовыми актами, регулирующими организацию делопроизводства, то иные данные о владельце ключа, кроме перечисленных, могут включаться в сертификат ключа только с согласия этого владельца.
При использовании средств ЭЦП органами государственной власти и органами местного самоуправления закрытые ключи должны вырабатываться и распределяться уполномоченным федеральным органом либо юридическими лицами, действующими по поручению этого органа. При применении ЭЦП в гражданском обороте и физическими лицами выработку и распределение закрытых ключей должны осуществлять лица, использующие средства ЭЦП. В случае необходимости выработка и распределение закрытых ключей по договору могут быть поручены удостоверяющему центру. Проект Закона об электронной цифровой подписи допускает использование ЭЦП и без обращения к услугам удостоверяющих центров. В этом случае отношения между пользователями ЭЦП устанавливаются договором, основными условиями которого являются:
• сохранение в тайне закрытых ключей и конструктивных особенностей применяемого средства ЭЦП:
• соблюдение правил пользования средством ЭЦП:
• распределение риска убытков, понесенных в результате использования недостоверной ЭЦП:
• установление прав и обязанностей сторон по возмещению ущерба, причиной которого явилось использование неисправного либо некачественного средства ЭЦП. В соответствии с проектом Закона об электронной цифровой подписи удостоверяющий центр обязан заблокировать сертификат ключа ЭЦП в следующих случаях:
• по требованию владельца ключа:
• при обнаружении в сертификате недостоверных сведений;
• при получении сведений о нарушении тайны ключа и конструктивных особенностей средства ЭЦП;
• по мотивированному решению уполномоченного федерального органа:
• перед прекращением деятельности удостоверяющего центра либо перед передачей им полномочий другому центру.
В проекте Закона об электронной цифровой подписи предусмотрено много других нюансов, связанных с законодательным регулированием процесса использования ЭЦП органами государственной власти и местного самоуправления, юридическими и физическими лицами. Однако, несмотря на кажущуюся тщательность проработки положений этого законодательного проекта, специалистами были отмечены его некоторые недостатки.
Недостатки проекта закона
1. ЭЦП: скорее печать, чем подпись
Участниками конференций было отмечено, что разработчики проекта не совсем верно оценили возможности ЭЦП. Судя по тексту, они восприняли ее как прямой аналог собственноручной подписи. Между тем в силу своей «механической» природы ЭЦП больше напоминает печать, чем собственноручную подпись. Известно, что в соответствии со сложившейся практикой печать обладает значительно меньшим доказательным эффектом, чем собственноручная подпись, поскольку тот факт, что ее поставило неуполномоченное лицо, практически невозможно доказать в суде. Учитывая, что ставить ЭЦП под документами будет компьютер, можно ожидать массовой компрометации ключей. Некоторые пользователи средств ЭЦП неизбежно будут проявлять халатность к соблюдению конфиденциальности: записывать свои закрытые ключи где попало, доверять их другим людям, терять и так далее. Следует также учитывать возможность компрометации ключей путем внедрения закладок, применения анализаторов протоколов и других методов несанкционированного доступа. Немаловажно, что компрометация закрытого ключа обнаруживается в основном только в результате его неправомерного использования, и «задним числом» доказать неправомерность его использования практически невозможно. Взгляд на ЭЦП как на полный аналог собственноручной подписи, отраженный в проекте закона, неизбежно приводит к тому, что выгода от подделки или кражи ЭЦП может быть очень велика. Злоумышленник, получивший доступ к закрытому ключу, от лица его владельца может санкционировать любую сделку. Это делает взлом ЭЦП весьма прибыльным делом, что, несомненно, приведет к печальным последствиям. Выход видится в использовании ЭЦП исключительно в рамках системы договоров, ограничивающих ее применимость (например, путем установления так называемого предела доверия к ЭЦП — верхней границы для общей денежной суммы контракта, который может быть подписан при помощи ЭЦП).
2. Нужна ли сертификация ЭЦП?
Как ненужную оценили участники конференций идею обязательной государственной сертификации средств ЭЦП. Сертификация в том виде, в каком она сформулирована в проекте Закона об электронной цифровой подписи, ничего не гарантирует пользователям (например, в виде гарантий сертифицирующей организации) и может служить для навязывания далеко не лучших средств ЭЦП без надежды на какую-либо компенсацию в случае понесенных убытков. Кроме того, сертификация порождает дополнительные проблемы при использовании зарубежных разработок. В конце концов, если сертификация средств шифрования хоть как-то мотивируется борьбой с преступностью, то сертификация средств ЭЦП вообще бессмысленна. В принципе использование несертифицированного средства ЭЦП вполне допустимо. Но тогда его владелец обязан публично объявить об отсутствии у него сертификата. В противном случае он несет ответственность за убытки, понесенные пользователем соответствующего открытого ключа и возникшие в результате применения им несертифицированного средства. Ну а если используется средство ЭЦП, про которое заведомо известно, что оно не имеет сертификата, то риск убытков должен распределяться между владельцами открытого и закрытого ключа.