Название: Использование цифровой подписи в документах

Добавление прозрачной или невидимой цифровой подписи

В процедуре далее приводится пример добавления прозрачной цифровой подписи к документу Система Office 2007.

Нажмите кнопку Кнопка Office, щелкните Подготовка, а затем нажмите кнопку Добавить цифровую подпись.
Появляется диалоговое окно Microsoft Office, которое предоставляет сведения о добавлении цифровых подписей. Нажмите кнопку ОК. Учтите, что в этом окне также поддерживается возможность получения служб подписи через Интернет от средства Office Marketplace.

Рис. 2. Диалоговое окно Office с данными о цифровых подписях

Появляется диалоговое окно Microsoft Office, в котором указано, что перед добавлением подписи необходимо сохранить документ в формате, поддерживающем цифровые подписи. Сохранить файл можно в одном из новых (DOCX, XLSX и PPTX) или более старых (DOC, XLS и PPT) форматов Office. Нажмите Да и документ будет сохранен в формате, выбранном в качестве формата по умолчанию для приложений Office.

Рис. 3. Диалоговое окно Office с данными о типе документов, необходимых для использования цифровых подписей

В диалоговом окне Сохранить как укажите расположение для сохранения документа и назовите документ. Убедитесь, что документ сохранен в поддерживаемом формате (например, DOC или DOCX). Нажмите Сохранить.

Рис. 4. Выбор расположения для сохранения документа

В диалоговом окне Подпись можно указать причину использования подписи в документе в поле Цель подписания документа. По желанию это поле можно оставить пустым. Обратите внимание, что в поле Подписать как указан пользователь по умолчанию. Чтобы изменить подписывающее лицо, нажмите кнопку Изменить.

Рис. 5. Цель подписания документа

Появляется диалоговое окно Выбор сертификата. При наличии нескольких сертификатов пользователей выберите нужный в этом поле (это особенно удобно при использовании общего компьютера). Прежде чем сделать выбор можно просмотреть сведения о сертификатах, включая данные о выдавшем лице, дату истечения срока действия, путь к сертификату и является ли сертификат надежным.
Нажмите кнопку Отмена, а затем выберите пункт Подпись в диалоговом окне Подпись.

Рис. 6. Возможность выбора другого сертификата

Открывается диалоговое окно Подтверждение подписи, в котором сообщается о сохранении подписи в документе и о недействительности подписи в случае изменения документа. Нажмите кнопку ОК.

Рис. 7. Подтверждение подписания документа

С правой стороны окна приложения появляется панель задач Подписи. В данном примере возникли некоторые проблемы и в связи с этим отображается значок предупреждения Проблемы с сертификатом.

Рис. 8. На панели задач "Подписи" сообщается о проблемах с сертификатом

Выберите подпись, вызвавшую проблемы, и щелкните стрелку. Чтобы получить дополнительные сведения о возникшей проблеме, выберите пункт Сведения о подписи.

Рис. 9. Изучение проблем с цифровым сертификатом

В диалоговом окне Сведения о подписи отображается информация о том, что подпись не является надежной. Использованная в данном примере подпись основана на самоподписанном сертификате, созданном в Система Office 2007. Данный тип сертификата обычно используется в компаниях малого и среднего бизнеса, в которых отсутствует инфраструктура PKI. В средах с установленной PKI данная проблема указывает на то, что ПК, на котором выполняется чтение документа, не доверяет центру сертификации (CA), подписавшему цифровой сертификат пользователя. В данном примере сертификат пользователя становится надежным с помощью включения параметра Щелкните здесь, чтобы доверять удостоверению данного пользователя.

Рис. 10. Оценка проблем с цифровым сертификатом

Появляется диалоговое окно Сведения о подписи, которое сообщает о том, что подпись действительна. По желанию можно получить дополнительные сведения о подписи, выбрав ссылку Дополнительные сведения, которые будут включены в подпись.

Рис. 11. Проверка действительности подписи

В диалоговом окне Дополнительные сведения содержатся данные об объекте подписи, системной дате и времени, версиях Windows и Microsoft, версии приложения Office, подписавшего документа, а также о количество мониторов ПК и разрешении основного экрана. Нажмите кнопку OK, а затем выберите пункт Закрыть в диалоговом окне Сведения о подписи.

Рис. 12. Просмотр дополнительных сведений о подписанном документе

Если проблемы с сертификатом отсутствуют, панель задач сертификата не появится. Чтобы получить сведения о подписавшемся лице и сертификатах, щелкните красный значок "лента" в строке состояния приложения Office, после чего появится панель задач Подписи.

Рис. 13. Индикатор цифровой подписи и включение панели задач "Подпись"

Добавление строки цифровой подписи

Другой способ внести цифровую подпись в документ — добавить одну или несколько строк цифровой подписи. В следующей процедуре показан пример создания строки цифровой подписи.

Выберите вкладку Вставка и нажмите кнопку Строка подписи. Появится диалоговое окно Настройка подписи. Введите соответствующие данные в поля Предлагается для подписания, Должность предложенного подписывающего и Адрес электронной почты предложенного подписывающего. Установите флажок Разрешить подписывающему добавлять комментарии в окне подписи, если хотите, чтобы подписывающий указал в строке подписи дополнительные сведения, а затем установите флажок Показывать дату подписи в строке подписи, чтобы добавить дату подписания документа. Нажмите кнопку ОК.

Рис. 14. Настройка подписи

Теперь в документе имеется строка цифровой подписи. Дважды щелкните строку подписи, чтобы получить дополнительные сведения.

Рис. 15. Строка цифровой подписи

В диалоговом окне Подпись можно указать собственное имя пользователя. В планшетном ПК можно написать имя в текстовом поле. Чтобы вставить изображение реальной подписи в строку подписи, выберите ссылку Выбор рисункаи вставьте графический файл с подписью. В данном примере изображение настоящей подписи вставлено с помощью ссылки Выбор рисунка.

Рис. 16. Вставка цифровой подписи

В диалоговом окне Выбор графической подписи найдите файлы, содержащие изображение подписи, и нажмите кнопку Выбрать .

Рис. 17. Выбор графической подписи

В диалоговом окне Подпись появляется рисунок. Прежде, чем подписать документ, можно указать причину его подписания в поле Цель подписания документа. Нажмите кнопку Подписать, чтобы поставить цифровую подпись.

Рис. 18. Указание цели подписания документа

Появляется диалоговое окно Подтверждение подписи, в котором сообщается, что цифровая подпись применена к документу.

Рис. 19. Подтверждение применения цифрового сертификата

Обратите внимание, что в данном примере предупреждение Недействительная подпись появляется в поле строки подписи. Чтобы выяснить причины, щелкните ссылку Недействительная подпись.

Рис. 20. Предупреждение о том, что подпись может быть недействительна

В диалоговом окне Сведения о подписи можно увидеть, что сертификат является ненадежным. Чтобы сделать сертификат надежным, щелкните ссылку Щелкните здесь, чтобы доверять удостоверению данного пользователя.

Рис. 21. Изменение статуса цифрового удостоверения на "надежный"

После того, как было выбрано доверять подписи, в диалоговом окне Сведения о подписи появится подтверждение действительности подписи. Нажмите Закрыть.

Рис. 22. В окне "Сведения о подписи" подтверждается, что подпись надежна

В строке подписи отсутствуют сведения о наличии проблем с сертификатом, а поверх строки подписи стоит дата подписания документа.

Рис. 23. Теперь в строке подписи указано надежное цифровое удостоверение

http://technet.microsoft.com/ru-ru/library/cc545902%28office.12%29.aspx

Использование цифровой подписи в Office 2000/XP

Здесь есть три элемента: создание и удаление сертификата, подключение цифровой подписи к документу, признание подписи в качестве «надежной». Рассмотрим их последовательно.

Создание и удаление сертификата.

Каждый пользователь может создать один или несколько сертификатов. Это делается тремя способами: создать собственный сертификат, получить сертификат у администратора сети (если на предприятии разработаны собственные стандарты) и получить фирменный сертификат в специализированном центре (например, у той же компании Microsoft). Собственный сертификат создается утилитой Рис. 1. SelfCert.exe, которая входит в состав пакета. В первом варианте русской версии MS Office 2000 в этой программе была ошибка (не раскрывалось диалоговое окно), но уже в первом сервисном наборе обновления дефект был исправлен. Удаление же сертификата выполняется довольно хитрым способом, с помощью (кто бы мог ожидать?) Internet Explorer. Для этого в IE нужно выбрать команду «Сервис|Свойства обозревателя», затем выделить вкладку «Содержание», нажать кнопку «Сертификатов…», открыть вкладку «Личные» в окне «Диспетчер Сертификатов» и уже там проводить Рис. 2. операции с сертификатами.

Подключение цифровой подписи.

Электронная подпись подключается к VBA-проекту в среде VBA с помощью команды Tools|Digital Signature, которая выводит соответствующее окно « Рис. 3. Цифровая подпись». Для выбора нужного сертификата нужно нажать кнопку «Выбрать», после чего выдается окно Рис. 4. Select Certificate со списком имеющихся сертификатов. Нажав кнопку, можно ознакомиться с более детальной информацией о сертификате в окне Рис. 5. Certificate с тремя вкладками. К этой же информации можно получить доступ из других диалоговых окон при работе с сертификатами (обычно они называются «Подробности»). При желании можно в любой момент поменять подпись проекта или удалить ее совсем.

Признание подписи в качестве надежной.

Эта операция выполняется только в момент загрузки проекта с наличием макросов, имеющих подписи, в режиме среднего и высокого уровней безопасности. В этом случае выдается Рис. 6. окно предупреждения. В этот момент можно посмотреть более детальную информацию о данном сертификате (кнопка Details). Если вы считаете данный источник надежным, то нужно установить флажок Always trust macros from this source [Всегда доверять макросам этого источника] — и данный сертификат автоматически попадет в список надежных. Эти можно увидеть во вкладке Рис. 7. Trusted Source окна Security. Здесь же можно удалить ненужные подписи. Обратите внимание, что при использовании среднего уровня безопасности вы можете разрешить использование макросов проекта даже без занесения подписей в список доверенных (в том числе загружать проекты без подписей, например созданных в Office 97). При работе с высоким уровнем это можно сделать, только признав подпись (установив флажок «Всегда доверять»), то есть макросы проектов без подписей вообще нельзя использовать.

http://www.microsoft.com/Rus/Msdn/Activ/MSVB/Archive/VBA/Security/424.mspx

Электронная цифровая подпись (ЭЦП)

Электронная цифровая подпись (ЭЦП) – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа ЭЦП, а также установить отсутствие искажения информации в электронном документе.

Нормативно-правовые документы касающиеся ЭЦП
Основные цели применения ЭЦП
Функции ЭЦП
Виды ЭЦП
Удостоверяющие центры
Служба штампов времени
Что еще позволяет осуществить использование цифровой подписи?
Что необходимо для работы с ЭЦП?

Нормативно-правовые документы касающиеся ЭЦП

Использование ЭЦП при заключении сделок регламентируется Федеральным законом от 10.01.2002 N1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ». Законом провозглашаются общие положения «правил игры» на электронных рынках в части вопросов признания ЭЦП в электронном документе равнозначной собственноручной подписи в документе на бумажном носителе.

Основные цели применения ЭЦП

Основной целью применения электронной цифровой подписи (ЭЦП) является переход от бумажных документов к электронным. Это означает, что документы изначально оформляются в электронном виде и не переводятся на бумажные носители (не распечатываются).

Переход к электронному документообороту позволяет:

* существенно сократить сроки передачи документов между сотрудниками или организациями посредством передачи электронных документов по каналам электросвязи. Что позволит, например, исключить ошибки в оформлении налоговых или бухгалтерских отчетов, когда отчетный период необходимо закрывать, а оригиналы документов подтверждающих факт хозяйственной операции должны поступить по почте. Даже если почта не потерялась в процессе пересылки и приходит в срок, время на ее доставку требуется очень существенное;
* сократить размер накладных расходов: бумага, курьерская доставка, почтовые расходы и т.д.

Функции ЭЦП

ЭЦП обеспечивает следующие функции:

* Подтверждает, что подписывающий не случайно подписал электронный документ;

    * Подтверждает, что только подписывающий и только он подписал электронный документ;
    * ЭЦП должна зависеть от содержания подписанного документа и времени его подписания;
    * Подписывающий не должен иметь возможности в дальнейшем отказаться от своей подписи.

Виды ЭЦП

ЭЦП могут быть присоединены к подписываемым данным, отсоединены от них или находиться внутри данных. Наиболее часто применяют ЭЦП к данным, хранящимся в файлах, а сама подпись относится ко всему содержимому файла.

Присоединенная электронная цифровая подпись

В случае создания присоединенной подписи создается новый файл ЭЦП, в который помещаются данные подписываемого файла. Этот процесс аналогичен помещению документа в конверт и его опечатыванию. Перед извлечением документа следует убедиться в сохранности печати (для ЭЦП в ее правильности). К достоинствам присоединенной подписи следует отнести простоту дальнейшего манипулирования с подписанными данными, т.к. все они вместе с подписями содержатся в одном файле. Этот файл можно копировать, пересылать и т.п. К недостаткам следует отнести то, что без использования средств СКЗИ уже нельзя прочесть и использовать содержимое файла, точно так же, как нельзя извлечь содержимое конверта, не расклеив его.

Отсоединенная электронная цифровая подпись

При создании отсоединенной подписи файл подписи создается отдельно от подписываемого файла, а сам подписываемый файл никак не изменяется. Достоинством отсоединенной подписи является то, что подписанный файл можно читать, не прибегая к СКЗИ. Только для проверки подписи нужно будет использовать и файл с ЭЦП, и подписанный ей файл. Недостаток отсоединенной подписи - необходимость хранения подписанной информации в виде нескольких файлов (подписанного файла и одного или нескольких файлов с подписями). Последнее обстоятельство существенно осложняет применение подписи, так как при любых манипуляциях с подписанными данными требуется копировать и передавать несколько независимых файлов.

Электронная цифровая подпись внутри данных

Применение ЭЦП этого вида существенно зависит от приложения, которое их использует, например электнонная цифровая подпись внутри документа Microsoft Word или Acrobat Reader. Вне приложения, создавшего ЭЦП, без знания структуры его данных проверить подлинность частей данных, подписанных ЭЦП затруднительно.

http://inc.istu.ru/index.php?option=com_content&view=article&id=2186&Itemid=178

Электронная цифровая подпись для чайников: с чем ее есть, и как не подавиться. Часть 1

Итак, все чаще в кругах, работающих с документами все чаще звучат слова «электронный документ» и, связанное с ним почти неразрывно «электронная цифровая подпись», иначе — ЭЦП.

Данный цикл статей предназначен для того, чтобы раскрыть «тайное знание» о том, что это такое, когда и как это можно и нужно использовать, какие есть плюсы и минусы.

Естественно, статьи пишутся не для специалистов по криптографии, а для тех, кто эту самую криптографию будет использовать, или же только начинает ее изучение, желая стать специалистом, поэтому я старался максимально упростить понимание всего процесса, приводя аналогии и рассматривая примеры.

Зачем нам вообще что-то подписывать? Естественно, чтобы удостоверить, что мы ознакомились с содержимым, согласны (а иногда наоборот, не согласны) с ним. А электронная подпись еще и защищает наше содержимое от подмены.

Итак, начать, естественно, стоит с того, что такое электронная цифровая подпись.
В самом примитивном случае это — результат хэш-функции. Что это такое лучше меня разъяснит википедиа, в нашем же случае главное, что с высокой степенью вероятности ее результат не повторяется для разных исходных данных, а также что результат этой функции мало того, что короче исходных данных, так еще по нему исходную информацию восстановить нельзя. Результат функции называют хэшем, а применение этой функции к данным называют хешированием. Грубо, можно назвать хэш функцию архивированием, в результате чего мы получаем очень маленькую последовательность байт, но восстановить исходные данные из такого «архива» нельзя.

Итак, мы читаем файлик в память, хэшируем прочитанное. И что, уже получаем ЭЦП? Почти. Наш результат с большой натяжкой можно назвать подписью, но, все же, полноценной подписью он не является, потому что:

1. Мы не знаем, кто сделал данную подпись

2. Мы не знаем, когда была сделана подпись

3. Сама подпись не защищена от подмены никак.

4. Ну и да, хэш функций много, какая из них использовалась для создания этого конкретного хэша?

Поэтому применять к хэшу слово «подпись» еще нехорошо, будем называть его дальше просто хэш.

Вы посылаете ваш файл другому человеку, допустим, по почте, будучи уверенными, что он точно получит и прочитает именно то, что вы послали. Он же, в свою очередь, тоже должен хэшировать ваши данные и сравнить свой результат с вашим. Если они совпали — все хорошо. Это значит что данные защищены? Нет.

Ведь хэшировать может кто угодно и когда угодно, и вы никогда не докажете, что он хэшировал не то, что вы послали. То есть, если данные будут перехвачены по дороге злоумышленником, или же тот, кому вы посылаете данные — не очень хороший человек, то данные могут быть спокойно подменены и прохэшированы. А ваш получатель (ну или вы, если получатель — тот самый нехороший человек) никогда не узнает, что он получил не то, что вы отправляли, или сам подменил информацию от вас для дальнейшего использования в своих нехороших целях.
Посему, место для использование чистой хэш функции — транспорт данных в пределах программы или программ, если они умеют общаться между собой. Собственно, с помощью хэш функций вычисляются контрольные суммы. И эти механизмы защищают от случайной подмены данных, но не защищают от специальной.

Но, пойдем дальше. Нам хочется защитить наш результат хеширования от подмены, чтобы каждый встречный не мог утверждать, что это у него правильный результат. Для этого самое очевидное что (помимо мер административного характера)? Правильно, зашифровать. А ведь с помощью шифрования же можно и удостоверить личность того, кто хэшировал данные! И сделать это сравнительно просто, ведь есть ассиметричное шифрование. Да, оно медленное и тяжелое, но ведь нам всего-то и надо — зашифровать маленькую последовательность байт. Плюсы такого действия очевидны — для того, чтобы проверить нашу подпись, надо будет иметь наш открытый ключ, по которому личность зашифровавшего (а значит, и создавшего хэш) можно легко установить.

Суть этого шифрования в следующем: у вас есть закрытый ключ, который вы храните у себя. И есть открытый ключ. Открытый ключ вы можете всем показывать и раздавать, а закрытый — нет. Шифрование происходит с помощью закрытого ключа, а расшифровывание — с помощью открытого.
Приводя аналогию, у вас есть отличный замок и два ключа к нему. Один ключ замок открывает (открытый), второй — закрывает (закрытый). Вы берете коробочку, кладете в нее какую-то вещь и закрываете ее своим замком. Так, как вы хотите, чтобы закрытую вашим замком коробочку открыл ее получатель, то вы открытый, открывающий замок, ключик спокойно отдаете ему. Но вы не хотите, чтобы вашим замком кто-то закрывал коробочку заново, ведь это ваш личный замок, и все знают, что он именно ваш. Поэтому закрывающий ключик вы всегда держите при себе, чтобы кто-нибудь не положил в вашу коробочку мерзкую гадость и не говорил потом, что это вы ее положили и закрыли своим замком.

И все бы хорошо, но тут сразу же возникает проблема, а, на самом деле, даже не одна.

1. Надо как-то передать наш открытый ключ, при этом его должна понять принимающая сторона.

2. Надо как-то связать этот открытый ключ с нами, чтобы нельзя было его присвоить.

3. Мало того, что ключ надо связать с нами, надо еще и понять, какой зашифрованный хэш каким ключом расшифровывать. А если хэш не один, а их, скажем, сто? Хранить отдельный реестр — очень тяжелая задача.

Все это приводит нас к тому, что и закрытый ключ, и наш хэш надо хранить в каких-то форматах, которые нужно стандартизировать, распространить как можно шире и уже тогда использовать, чтобы у отправителя и получателя не возникало «трудностей перевода».

http://habrahabr.ru/blogs/infosecurity/97066/

Важным примером криптографических алгоритмов (с открытым ключом) является электронно-цифровая подпись (ЭЦП). ЭЦП используется физическими и юридическими лицами в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица и скрепленного печатью. Порядок использования ЭЦП на территории Российской Федерации определен Федеральным Законом «О электронно-цифровой подписи» от 10.01.2002 № 1-ФЗ [18]. В соответствии с этим законом, ЭЦП – это программно-криптографическое средство, которое обеспечивает:

- проверку целостности документов;

- конфиденциальность документов;

- установление лица, отправившего документ.

Использование ЭЦП позволяет:

- значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
- усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;

- гарантировать достоверность документации;

- минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;

- построить корпоративную систему обмена документами.

Фактически, ЭЦП представляет собой совокупность закрытого ключа - контейнера, обладателем которого может быть только владелец сертификата, и однозначно соответствующего этому закрытому ключу открытого ключа – сертификата. Сертификат представим в виде файла формата X.509 (см. рис 2.8).

Рис. 2.8. Внешний вид сертификата ЭЦП

В отличие от закрытого ключа, который должен храниться в тайне, открытый ключ может распространяться публично.

Схема шифрования данных с использованием открытого ключа состоит из двух этапов. На первом из них производится обмен по несекретному каналу открытыми ключами. При этом необходимо обеспечить подлинность передачи ключевой информации. На втором этапе, собственно, реализуется шифрование сообщений, при котором отправитель зашифровывает сообщение открытым ключом получателя. Зашифрованный файл может быть прочитан только владельцем секретного ключа, т. е. получателем. Схема расшифрования, реализуемая получателем сообщения, использует для этого секретный ключ получателя.

Реализация схемы ЭЦП связана с вычислением хэш-функции (дайджеста) данных, которая представляет собой уникальное число, полученное из исходных данных путем его сжатия (свертки) с помощью сложного, но известного алгоритма. Хэш-функция является однонаправленной функцией, т. е. по хэш-значению невозможно восстановить исходные данные. Хэш-функция чувствительна к всевозможным искажениям данных. Кроме того, очень трудно отыскать два набора данных, обладающих одним и тем же значением хэш-функции [6].

Схема формирования подписи электронного документа его отправителем включает вычисление хэш-функции электронного документа и шифрование этого значения посредством секретного ключа отправителя. Результатом шифрования является значение ЭЦП электронного документа (реквизит электронного документа), которое пересылается вместе с самим электронным документом получателю. При этом получателю сообщения должен быть предварительно передан открытый ключ отправителя сообщения

Схема проверки (верификации) ЭЦП, осуществляемая получателем, сообщения состоит из следующих этапов. На первом из них производится расшифрование блока ЭЦП посредством открытого ключа отправителя. Затем вычисляется хэш-функция электронного документа. Результат вычисления сравнивается с результатом расшифрования блока ЭЦП. В случае совпадения принимается решение о соответствии ЭЦП электронного документа заявленным данным. Несовпадение результатов расшифрования с результатом вычисления хэш-функции электронного документа может объясняться следующими причинами:

- в процессе передачи по каналу связи была потеряна целостность электронного документа

- при формировании ЭЦП был использован не тот (поддельный) секретный ключ;

- при проверке ЭЦП был использован не тот открытый ключ (в процессе передачи по каналу связи или при дальнейшем его хранении был модифицирован или подменен).

Реализация криптографических алгоритмов с открытыми ключами, требует по сравнению с симметричными алгоритмами, больших затрат процессорного времени. Поэтому криптография с открытыми ключами обычно используется для решения задач распределения ключей и ЭЦП, а симметричная криптография для шифрования [10].

Широко известна схема комбинированного шифрования, сочетающая высокую безопасность криптосистем с открытым ключом с преимуществами высокой скорости работы симметричных криптосистем. В этой схеме для шифрования используется случайно вырабатываемый симметричный (сеансовый) ключ, который, в свою очередь зашифровывается посредством открытой криптосистемы для его последующей передачи в начале сеанса связи.

Центральным вопросом схемы открытого распределения ключей является вопрос доверия к полученному открытому ключу партнера, который в процессе передачи или хранения может быть модифицирован или подменен. Для широкого класса практических систем (системы электронного документооборота, системы Клиент-Банк, межбанковские системы электронных расчетов), в которых возможна личная встреча партнеров до начала обмена электронными документами, эта задача имеет относительно простое решение – взаимная сертификация открытых ключей [6].

Эта процедура заключается в том, что каждая сторона при личной встрече удостоверяет подписью уполномоченного лица и печатью бумажный документ – распечатку содержимого открытого ключа другой стороны. Этот бумажный сертификат является, во-первых, обязательством стороны использовать для проверки подписи под входящими сообщениями данный ключ, и, во-вторых, обеспечивает юридическую значимость взаимодействия. Действительно, рассмотренные бумажные сертификаты позволяют однозначно идентифицировать мошенника среди двух партнеров, если один из них захочет подменить ключи.

Таким образом, для реализации юридически значимого электронного взаимодействия двух сторон необходимо заключить договор, предусматривающий обмен сертификатами. Сертификат представляет собой документ, связывающий личностные данные владельца и его открытый ключ. В бумажном виде он должен содержать рукописные подписи уполномоченных лиц и печати.

В системах, где отсутствует возможность предварительного личного контакта партнеров, необходимо использовать цифровые сертификаты, выданные и заверенные ЭЦП доверенного посредника – удостоверяющего или сертификационного центра.

После посещения ЦС каждый из партнеров становится обладателем пары открытого и закрытого ключей. Открытый ключ ЦС позволяет его обладателю проверить подлинность открытого партнера путем проверки подлинности ЭЦП удостоверяющего центра под сертификатом открытого ключа партнера. В соответствии с Федеральным законом «Об Электронно-цифровой подписи» цифровой сертификат содержит следующие сведения:

 уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;

 фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима удостоверяющим центром вносится запись об этом в сертификат ключа подписи;

 открытый ключ ЭЦП;

 наименование средства ЭЦП, с которым используется данный открытый ключ ЭЦП;

 наименование и местонахождение удостоверяющего центра, выдавшего сертификат ключа подписи;

 сведения об отношениях, при осуществлении которых электронный документ с ЭЦП будет иметь юридическое значение.

Этот цифровой сертификат подписан на секретном ключе ЦС, поэтому любой обладатель открытого ключа ЦС может проверить его подлинность. Таким образом, использование цифрового сертификата предполагает следующую схему электронного взаимодействия партнеров. Один из партнеров посылает другому собственный сертификат, полученный из ЦС, и сообщение, подписанное ЭЦП. Получатель сообщения осуществляет проверку подлинности сертификата партнера, которая включает три обязательных этапа:

1. Проверку доверия эмитенту сертификата и срока его действия;

2. Проверку ЭЦП эмитента под сертификатом;

3. Проверку аннулирования сертификата.

В случае если сертификат партнера не утратил свою силу, а ЭЦП используется в отношениях, в которых она имеет юридическое значение, открытый ключ партнера извлекается из сертификата. На основании этого открытого ключа может быть проверена ЭЦП партнера под электронным документом. Важно отметить, что, в соответствии с Федеральным законом «Об Электронной цифровой подписи», подтверждением подлинности ЭЦП в ЭД является положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи ЦС. ЦС, обеспечивая безопасность взаимодействия партнеров, выполняет следующие функции

 регистрирует ключи ЭЦП;

 создает по обращению пользователей закрытые и открытые ключи;

 приостанавливает и возобновляет действие сертификатов ключей, а также аннулирует их;

 ведет реестр сертификатов ключей подписей, обеспечивает актуальность реестра и возможность свободного доступа пользователей к реестру;

 выдает сертификаты ключей подписей на бумажных носителях; электронные документы с информацией об их действительности.

 проводит, по обращениям пользователей, подтверждение подлинности или недействительности подписи в электронных документах в отношении зарегистрированных ЭЦП.

В ЦС создаются условия безопасного хранения секретных ключей на дорогом защищенном оборудовании, а также условия администрирования доступа к секретным ключам.

Регистрация каждой ЭЦП осуществляется на основе заявления, содержащего сведения, необходимые для выдачи сертификата, а также сведения, необходимые для идентификации ЭЦП обладателя и передачи ему сообщений. Заявление подписывается собственноручной подписью обладателя ЭЦП, содержащиеся в нем сведения подтверждаются предъявлением соответствующих документов. При регистрации проверяется уникальность открытых ключей ЭЦП в реестре и архиве ЦС.

Важно отметить, что в соответствии с законом «Об ЭЦП» владелец сертификата подписи – исключительно физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа и которое владеет соответствующим закрытым ключом.

Кроме того, сертификат ключа подписи – электронный документ с ЭЦП уполномоченного лица удостоверяющего центра. Поэтому устойчивость всей инфраструктуры открытых ключей связана с сертификатом, выданным на уполномоченное физическое лицо. Смена работы или завершение земного пути уполномоченного лица УЦ приведет к компрометации всех сертификатов, сформированных данным УЦ.

При регистрации в ЦС оформляются на бумажных носителях два экземпляра сертификата ключа подписи, которые заверяются собственноручными подписями обладателя ЭЦП и уполномоченного лица удостоверяющего центра и печатью удостоверяющего центра. Один экземпляр выдается обладателю ЭЦП, второй остается в удостоверяющем центре.

В реальных системах каждым партнером может использоваться несколько сертификатов, выданных различными ЦС. Различные ЦС могут быть объединены инфраструктурой открытых ключей или PKI (Public Key Infrastructure). ЦС в рамках PKI обеспечивает не только хранение сертификатов, но и управление ими (выпуск, отзыв, проверку доверия). Наиболее распространенная модель PKI – иерархическая. Фундаментальное преимущество этой модели состоит в том, что проверка сертификатов требует доверия только относительно малому числу корневых ЦС. В то же время эта модель позволяет иметь различное число ЦС, выдающих сертификаты.

Отметим, что для использования ЭЦП при электронном документообороте с государственными органами, в соответствии с законодательством РФ, должны использоваться только сертифицированные средства, реализующие стандартные алгоритмы хэширования (в соответствии с ГОСТ 34.11–94), шифрования (в соответствии с ГОСТ 28147–89) и подписи (в соответствии с ГОСТ Р 34.11/34.10–2001). Наиболее распространенным средством, удовлетворяющим этим условиям, является программа КриптоПро CSP (Версии 2.0, 3.0, 3,6). На рис. 2.9 представлен ее интерфейс.

Рис. 2.9. Внешний вид программы КриптоПро

Структурно КриптоПро CSP реализован таким образом, что его алгоритмы «встраиваются» в ядро операционной системы и заменяют стандартные алгоритмы шифрования. Благодаря этому в сторонних программах, использующих ЭЦП, становится ненужной реализация алгоритмов шифрования/ подписи и, соответственно, сертификация этих программ. Программы, подобные КриптоПро CSP, называют «криптопровайдерами».

http://www.sernam.ru/ss_228.php

Поисковая система: www.google.ru

Ключевые слова: цифровая подпись

Результатов: примерно 81 200

Что такое цифровая подпись?

Цифровую подпись в цифровых документах ставят в тех же случаях, что и в бумажных. Цифровая подпись используется для аутентификации (Проверка подлинности. Процесс выяснения, кем (чем) в действительности являются те или иные люди (или продукты) и в качестве кого (или чего) они хотели бы выступать. Таким процессом является, например, подтверждение источника и целостности опубликованного кода программного обеспечения с помощью проверки цифровой подписи, использованной для подписания этого кода.)цифровой информации — например, документов, сообщений электронной почты и макросов — с помощью методов компьютерной криптографии. Цифровые подписи помогают удостоверить следующее:

подлинность Цифровая подпись помогает гарантировать, что поставивший подпись — тот, кем он является в действительности.
целостность Цифровая подпись помогает гарантировать, что содержимое документа не менялось и не подделывалось после ввода цифровой подписи.
Неотрекаемость Цифровая подпись помогает доказать любой из сторон авторство подписанного содержимого. «Отказ» означает, что владелец подписи отрицает свою связь с подписанным содержимым.

Для выполнения этих гарантий создатель документа должен заверить его содержимое цифровой подписью, которая удовлетворяет следующим требованиям:

Цифровая подпись является действующей (Действительный. Характеризует статус сертификата, проверка которого по базе данных центра сертификации показала, что он является законным, действующим, не был просрочен или отозван. Документы, подписанные действительным сертификатом и не изменявшиеся с момента их подписания, считаются действительными.).
Это значит, что сертификат (Сертификат. Цифровое средство обеспечения тождественности и подлинности. Сертификаты выпускаются центрами сертификации, и как в случае лицензии на драйвер, их действие может истекать или же они могут быть отозваны.) данной цифровой подписи является действующим (не просроченным).
Лицо или организация, поставившая цифровую подпись, именуемая издателем, является законным владельцем цифровой подписи (Доверие. Доверие к отдельному лицу или группе, которой выдан сертификат. Настройкой по умолчанию является наследование доверия от поставщика. Это означает, что сертификату доверяют, если доверенным является его поставщик, обычно, центр сертификации.).
Сертификат цифровой подписи выдан издателю компетентным Удостоверяющим центром (Центр сертификации (ЦС). Коммерческая организация, выпускающая цифровые сертификаты, отслеживающая, кому они были назанчены, подписывающая сертификаты для удостоверения их подлинности и следящая за истечением срока действия выпущенных сертификатов и их отзывом.).

Приложения выпуска 2007 системы Microsoft Office проверяют эти требования и предупреждают о наличии проблем с цифровой подписью. Дополнительную информацию см. в разделе Как определить достоверность цифровой подписи.

К началу страницы

Как цифровые подписи используются в документах Office?

Цифровыми подписями можно воспользоваться для подписи документов Office двумя различными способами:

Добавить видимые строки подписи в документ для ввода одной или более цифровых подписей.
Добавить невидимую цифровую подпись в документ.

Различия между этими способами и подробности введения цифровой подписи в документ каждым из них описаны в следующих разделах.

К началу страницы

Добавление одной или более строк подписи в документ

Приложение выпуска 2007 системы Microsoft Office позволяет вставить в документ строку для цифровой подписи. Такие строки можно добавлять только в документы Word или книги Excel.

Строка подписи выглядит как обычное место для подписи в печатном документе, но действует по-другому. Когда строка подписи вставлена в документ Office, автор документа может предоставить сведения о предполагаемом лице, которое будет подписывать документ, а также поместить инструкции для этого лица. Когда электронная копия документа отправлена лицу, которое будет его подписывать, последний видит строку подписи и уведомление о том, что требуется его подпись. Можно щелкнуть строку подписи и поставить цифровую подпись в документе. Затем можно впечатать подпись, выбрать цифровое изображение своей подписи или подписать документ вручную, используя графические возможности планшетного компьютера. Одновременно с появлением в документе видимого представления подписи добавляется цифровая подпись для удостоверения личности подписавшего. После того как в документе появилась цифровая подпись, он становится доступен только для чтения, чтобы не допустить внесение изменений.

Возможность сбора цифровых подписей с помощью строк подписи в документах Office позволяет организациям использовать безбумажные процессы заверения таких документов, как контракты или другие соглашения. В отличие от подписи бумажных документов, цифровые подписи могут предоставить сведения о том, что именно было подписано, а также позволяют проверять подпись в будущем.

Для добавления строки подписи в документ выполните следующие действия.

Поместите указатель мыши в то место в документе, где необходимо добавить строку подписи.
На вкладке Вставка в группе Текст наведите указатель мыши на стрелку рядом с Строка подписи и затем выберите значение Строка подписи Microsoft Office.
В диалоговом окне Настройка подписи введите сведения о лице, которое будет подписывать эту строку подписи. Эти сведения будут отображены прямо под строкой подписи в документе. Выполните любое из следующих действий:
- Введите имя подписывающего лица в поле Предлагается для подписания.
- Введите название должности подписывающего лица (если таковое имеется) в поле Должность предложенного подписывающего.
- Введите адрес электронной почты подписывающего лица (если таковой имеется) в поле Адрес электронной почты предложенного подписывающего.
Если необходимо снабдить подписывающее лицо какими-либо инструкциями, впечатайте их в поле Инструкции для подписывающего. Инструкции отображаются в диалоговом окне Подпись, в котором лицо ставит подпись.
Если необходимо дать возможность подписывающему лицу добавлять комментарии к подписи, установите флажок Разрешить подписывающему добавлять примечания в окне подписи.
Если необходимо отобразить дату подписывания документа, установите флажок Показывать дату подписи в строке подписи.
Нажмите кнопку ОК.
Для добавления дополнительных строк подписи повторите шаги 1 - 7.

К началу страницы

Подписывание строки подписи в документе

При введении подписи в строку подписи в документе Office можно добавить как видимую подпись, так и цифровую.

Выделите в документе строку подписи, в которую требуется ввести подпись, двойным щелчком мыши.
В диалоговом окне Подпись выполните одно из следующих действий:
- Введите свое имя в поле рядом со значком X, чтобы добавить печатную версию подписи.
- Нажмите кнопку Выбрать рисунок, чтобы выбрать изображение своей рукописной подписи. В диалоговом окне Выбор графической подписи найдите файл, содержащий изображение подписи, выберите его и нажмите кнопку Выбрать.
- Введите свое имя в поле рядом со значком X, используя графические возможности, чтобы добавить рукописную версию подписи (только для пользователей планшетных компьютеров).
- Нажмите кнопку Подписать.

К началу страницы

Добавление невидимой цифровой подписи в документ

Если нет необходимости вставлять видимые строки подписи в документ, но требуется гарантировать подлинность, целостность и происхождение документа, добавьте невидимую цифровую подпись в документ. Такие подписи можно добавить в документы Word, книги Excel и презентации PowerPoint.

В отличие от строки подписи невидимая цифровая подпись не видна в содержимом документа, но позволяет получателю документа определить, что документ имеет цифровую подпись, отобразив ее или отыскав кнопку подписи в строке состояния внизу экрана.

После того как в документе появилась цифровая подпись, он становится доступен только для чтения, чтобы не допустить внесение изменений.

Нажмите кнопку Microsoft Office, выделите пункт Подготовка, а затем нажмите кнопку Добавить цифровую подпись.
Если требуется обозначить цель подписывания документа, введите эту информацию в поле под надписью Цель подписания документа в диалоговом окне Подпись.
Щелкните Подпись.

http://office.microsoft.com/ru-ru/excel-help/HA010099768.aspx

последнее время электронно-цифровая подпись (ЭЦП) получает все большее распространение в отечественных корпоративных информационных системах. Однако однобокое, как правило, техническое освещение вопросов применения ЭЦП не позволяет увидеть картину в целом, в силу чего возникла необходимость рассмотреть эту область “с высоты птичьего полета”. Не вдаваясь в детали, интересные только специалистам, мы постараемся рассказать о том, что позволяет и чего не позволяет реализовать электронно-цифровая подпись, а также дать практические рекомендации по применению ЭЦП в системах электронного документооборота, потребность в которых сегодня ощущается все сильнее.

По общему мнению собственноручная подпись на бумажном документе решает следующие задачи:

убедить читателя в том, что человек, подписавший документ, сделал это сознательно ( подпись достоверна);
доказать, что именно этот человек, и никто другой, сознательно подписал документ ( подпись неподдельна);
будучи частью документа, защитить ее от мошеннического переноса в другой документ ( подпись невозможно использовать повторно);
защитить и сам документ ( подписанный документ невозможно изменить);
обеспечить материальность подписи и документа, гарантирующую, что человек, подписавший документ, не сможет утверждать впоследствии, что документ подписан не им ( от подписи нельзя отказаться).

Однако, как показывает практика, собственноручная подпись на бумажном документе по самой своей природе оставляет лазейки для мошенников. Недаром для затруднения их действий на бланки документов наносят специальные защитные знаки, применяют нумерацию и скрепление листов, а кроме того, наряду с самой подписью используют собственноручное написание фамилии, имени, отчества на документе и т. п. Одним словом, при всех ее достоинствах собственноручная подпись обладает и целым рядом недостатков.

Как результат проникновения компьютерных технологий во все сферы человеческой деятельности возникла потребность реализовать аналог собственноручной подписи человека в электронном виде. Эта задача была успешно решена. В основе решения лежат разработанные в середине 1970-х гг. криптографические алгоритмы с открытым ключом, которые базируются на сложном математическом аппарате.

При этом ЭЦП устранила большинство проблем, свойственных подписи на бумажном документе, и обеспечила электронному документу следующие важнейшие характеристики:

подлинность — подтверждение авторства документа;
целостность — документ не может быть изменен после подписания;
неотрицание авторства (неотрекаемость) — автор впоследствии не сможет отказаться от своей подписи.

Наиболее широкое применение сегодня ЭЦП находит в документационном обеспечении управления (ДОУ), в платежных системах, электронной торговле и бухгалтерии. Из перечисленных направлений наиболее востребованной и сложной является задача автоматизации ДОУ организаций — главная цель создания систем электронного документооборота (СЭД). Именно на нем мы и сосредоточим свое внимание в статье. Однако прежде необходимо уточнить, что понимается под использованием ЭЦП, имея в виду две основные его схемы:

подписание электронного сообщения при его передаче и проверка подписи отправителя после получения, то есть защищенная передача документа. Часто подобную схему воспринимают как юридически значимый документооборот, что является глубоким заблуждением. Защита электронного сообщения посредством ЭЦП — вещь, безусловно, полезная и нужная, но для обеспечения полноценного документооборота совершенно недостаточная;
использование ЭЦП во всем жизненном цикле электронного документа — при его создании, согласовании, утверждении, ознакомлении с ним и т. д. Только в том случае, когда автоматизируется полный жизненный цикл документа и ЭЦП является его неотъемлемой частью, можно говорить об использовании полноценной, т. е. юридически значимой системы электронного документооборота.

Далее будем рассматривать юридически значимые СЭД. Такие системы наиболее востребованы в крупных холдингах, государственных структурах управления, кредитных учреждениях, биржах, страховых компаниях — там, где необходимо в электронном виде документировать принятые решения и нести материальную ответственность в связи с ними.

СЭД с поддержкой ЭЦП: в чем выгоды

Основная отличительная черта СЭД с поддержкой ЭЦП от СЭД без таковой поддержки состоит в том, что электронные документы, снабженные ЭЦП, являются доказательствами: они документируют решение или какой-либо

Электронный документ — это документ, подготовленный с использованием системы электронного документооборота, зафиксированный на материальном носителе в виде объекта СЭД и снабженный реквизитами, с помощью которых можно идентифицировать место, время создания и автора документа.

факт. Если при возникновении конфликтной ситуации существует электронный документ, подписанный ЭЦП, то на его основе можно провести расследование внутри организации, а при необходимости — и с привлечением третьей стороны (например, в арбитражном суде). СЭД, не предусматривающие ЭЦП, такой возможности не предоставляют.

Пользователи СЭД без ЭЦП вынуждены доверять системе, системным администраторам, другим участникам работы с документами, причем без каких-либо веских на то оснований. При наличии же ЭЦП основания для доверия есть — это криптографические алгоритмы и протоколы.

Доказательность электронных документов имеет два важных следствия:

возникает возможность полностью отказаться от бумажных документов при условии, что это не противоречит действующему законодательству (некоторые типы документов требуется иметь в бумажном виде). Это позволяет избежать дублирования информации на различных носителях, обеспечивает надежное хранение данных и предотвращает утечку конфиденциальной информации;
отпадает надобность в физической передаче сотрудникам бумажных документов, что многократно ускоряет процессы принятия решений по документам и доведения решений руководства до сотрудников.

Принятие федерального закона “Об электронно-цифровой подписи” стало точкой отсчета для введения в оборот термина “юридически значимый электронный документооборот”. Сейчас этот термин трактуется весьма широко, что часто вызывает недоразумения во взаимоотношениях заказчиков и разработчиков СЭД. Чтобы лучше понять этот термин, необходимо развеять некоторые заблуждения, касающиеся применения ЭЦП в СЭД и обеспечения юридической значимости документа: по сути электронный документ без ЭЦП существовать не может. Если ЭЦП не применяется, то можно говорить лишь об электронном образе документа и не более того. Никакие графические образы подписи на документе (например, отсканированный бумажный оригинал) не могут рассматриваться как аналог собственноручной подписи. Более того, подобная практика вредна, поскольку создает иллюзию защищенности системы и ее участников;

Важно понимать, что ЭЦП не обеспечивает конфиденциальность электронного документа. Эту задачу решает шифрование, которое, в свою очередь, никакого отношения к обеспечению юридической значимости документа не имеет. В случае совместного использования ЭЦП и шифрования нужно учитывать, что для того, чтобы ЭЦП была юридически значимой, пользователь должен видеть и понимать, чт? он подписывает. Поэтому необходимо вначале создать ЭЦП, а уж затем зашифровать документ, который перед проверкой подписи должен быть расшифрован;

С определенностью можно констатировать, что на сегодняшний день нормативно-правовая и техническая база для реализации юридически значимого электронного документооборота в масштабах государства в нашей стране еще не создана. Тем не менее даже в рамках имеющегося законодательства и технической базы можно реализовать внутренний юридически значимый электронный документооборот в работе отдельно взятой организации или нескольких компаний, входящих в одну структуру, — корпоративный электронный документооборот.

Уже сегодня многие внутренние документы организации можно перевести в электронный вид (например, служебные записки, заявки на выделение денежных средств, различные внутренние отчеты, поручения и т. п.). Необходимо разработать нормативно-правовую базу организации, регламентирующую применение ЭЦП. Такой регламент обеспечит электронным документам юридическую силу — возможность представлять их в суде в качестве доказательства. Безусловно, небольшая правоприменительная практика вносит некоторые ограничения в применение ЭЦП, но не является принципиальным барьером для построения в отдельной компании внутреннего юридически значимого электронного документооборота.

Действующие лица и исполнители

Как следует из вышеизложенного, ЭЦП — это аналог собственноручной подписи человека, применяемый в электронных документах. Электронно-цифровая подпись создается с помощью закрытого ключа — уникальной последовательности символов, которая известна его владельцу и предназначена для создания ЭЦП в электронных документах с использованием соответствующих средств.

Получатели электронного документа, подписанного ЭЦП, имеют возможность проверить действительность подписи посредством открытого ключа и убедиться в том, что документ подлинный, а ЭЦП принадлежит именно тому лицу, которое в нем указано. Открытый ключ — это уникальная последовательность символов, которая математически связана с закрытым ключом ЭЦП. Открытый и закрытый ключи образуют так называемую ключевую пару.

Открытый ключ доступен любому пользователю информационной системы в составе сертификата ключа. Сертификат ключа является аналогом документа, удостоверяющего личность (например, паспорта). Это документ на бумажном носителе либо электронный документ с ЭЦП уполномоченного лица (сотрудника) удостоверяющего центра. Сертификат ключа помимо открытого ключа ЭЦП содержит идентификационные данные владельца. Сертификат передается пользователю СЭД и выполняет две задачи: подтверждает подлинность ЭЦП и идентифицирует владельца сертификата ключа подписи.

И в том и в другом случае используются средства электронно-цифровой подписи — программно-аппаратный комплекс, обеспечивающий реализацию хотя бы одной из следующих функций: создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП; подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе; создание закрытых и открытых ключей ЭЦП.

Аналогом третейского судьи, которому доверяют все участники документооборота, является удостоверяющий центр — организационная структура, осуществляющая деятельность по управлению сертификатами ключей и поддержке их использования в различных подсистемах корпоративной информационной системы. Удостоверяющий центр может быть внешней организацией или подразделением той или иной компании.

Еще один участник процесса — криптопровайдер. Это программный или аппаратно-программный модуль, реализующий один или несколько криптографических алгоритмов и предоставляющий свои функции внешним системам.

Аналогом даты на бумажном документе, которую собственноручно проставляет лицо, подписывающее документ, является штамп времени. Речь идет о свидетельстве третьей доверенной стороны — организационной единицы, носящей название службы штампов времени. СЭД передает туда так называемое хеш-сообщение, которое получается в результате криптографического преобразования документа. На это сообщение служба ставит штамп (средствами своего программно-аппаратного обеспечения), удостоверяющий, что электронный документ существовал на данный момент времени. В результате к хеш-сообщению добавляется значение, указывающее, когда службой штампов времени был получен запрос на проставление штампа времени. Проставляемое значение служба штампов времени подписывает собственной ЭЦП и возвращает документ обратно в СЭД.

Совокупность аппаратно-программного обеспечения, а также персонала, политик и процедур, необходимых для создания, хранения, распределения, управления жизненным циклом и использования сертификатов открытых и связанных закрытых ключей называется инфраструктурой открытых ключей (ИОК).

http://www.boss-referent.ru/company/publications/?id=320

Поисковая система: www.rambler.ru

Ключевые слова: использование цифровой подписи

По запросу найдено 69 тыс. сайтов, 1 млн. документов

Нормативные акты, регламентирующие использование цифровых подписей.

Перечисленные ниже нормативные акты регламентируют использование цифровых подписей и работу сертификационных органов. Статей, регламентирующих конкретно электронные торги для государственных нужд, в этих документах нет.

I. США

Здесь основным документом, регламентирующим применение электронной подписи, является Постановление об электронной подписи в мировой и национальной торговле, подписанный Президентом 30 июня 2000 года.

В первой части Постановления - «Электронные записи и подписи в торговле» - признается юридическая сила электронной формы документов, относящихся к сделкам в мировой и национальной торговле: в пункте (1) статьи (a) говорится, что «подпись, контракт или другая запись, относящаяся к такой сделке, не может быть лишена юридической силы, действительности или осуществимости на том лишь основании, что составлена в электронной форме»; пункт (2) статьи (a) – «контракт, относящийся к подобной сделке, не может быть лишен юридической силы, действительности или осуществимости на том лишь основании, что в нем использовалась электронная подпись или электронная запись».

Следующие статьи определяют отношения сторон, а также их права и обязанности.

В третьей части «Стимулирование международной электронной торговли» определяются обязанности Министра торговли:

Пункт (1) статьи (a): «Министру торговли следует поддерживать (стимулировать, активизировать) принятие (одобрение) и использование на международном уровне электронных подписей в соответствии с принципами, определенными в параграфе (2), и согласующимися с разделом 101 настоящего Постановления. Министру торговли следует предпринимать необходимые действия, согласующиеся с этими принципами, для устранения или максимально возможного уменьшения препятствий торговли с использованием электронных подписей с целью содействия развитию внутренней и зарубежной торговли.»

Принципы:

(А) Устранить препятствия электронным сделкам, приняв соответствующие положения из «Типового закона об электронной торговле», принятого в 1996 году Комиссией Организации Объединенных Наций по праву международной торговли (ЮНСИТРАЛ).

(В) Позволить участникам сделок определять соответствующие технологии идентификации и модели осуществления сделок с гарантией, что их технологии и модели будут признаны и осуществлены.

(С) Предоставить участникам сделок возможность доказать в суде или других судебных разбирательствах, что их методы идентификации и их сделки действительны.

II. Европейский Союз.

13 декабря 1999 года была подписана Директива 1999/93/EC об электронных подписях, которая вступила в силу (согласно статье 14 Директивы) со дня публикации в Официальном журнале Европейского Сообщества, т.е. с 19 января 2000 года. Согласно статье 1, цель Директивы – «содействовать применению электронных подписей и способствовать признанию их юридической силы. Она (Директива) определяет юридические рамки для электронных подписей и определенные сертификационные услуги для обеспечения надлежащего развития внутреннего рынка.»

Директива определяет двухуровневую систему электронных подписей: электронная подпись (п.1 ст.2) и квалифицированная электронная подпись (п.2 ст.2). Статья 5 посвящена определению юридической силы электронных подписей. По мнению профессора Криса Рида «такое различие важно, потому что главной целью Директивы является не обеспечение законности электронной подписи, а гарантия, что национальные законы не создают препятствий для свободного течения сертификационных услуг в Европейском Сообществе». Остальная часть Директивы и приложения определяют порядок работы провайдеров сертификационных услуг, а также определяют требования к сертификатам.

Статья 13 Директивы обязывает государства - члены Сообщества до 19 июля 2001 года ввести в действие законы и другие нормативные акты, необходимые для исполнения этой Директивы, о которых следует немедленно сообщить Комиссии.

III. Великобритания.

25 мая 2000 года в Великобритании получило Королевское одобрение Постановление об электронном сообщении 2000. Постановление состоит из 3-х частей. В первой части «Провайдеры криптографических услуг» определяются условия регистрации провайдеров. Во второй части «Содействие электронной торговли, хранению данных и т.д.» признается юридическая сила электронной подписи. Также уделяется внимание «содействию электронным сообщениям или электронному хранению данных как альтернативе традиционным средствам сообщения и хранения». Третья часть в основном посвящена изменениям телекоммуникационных лицензий и является поправками к Телекоммуникационному Акту 1984.

В самом Постановлении об электронном сообщении 2000 способы защиты информации не описываются, но в Комментариях отмечается, что «криптография и электронные подписи важны для электронных сделок.» Далее даются понятия криптографии, процесса шифрования и электронной подписи, а также понятия закрытого и открытого криптографических ключей (private and public keys cryptography).

IV. На сайте http// www. europa. Eu. Int / comm. / index_en. htm (конфиденциальность и безопасность) есть ссылки на множество количество документов. В основном это различные информационные статьи, в которых проблема безопасности и конфиденциальности сводится к описанию существующих способов шифрования информации. Нормативные документы по применению электронных подписей в электронных торгах не указаны. Существуют нормативные акты, связанные с телекоммуникационными лицензиями и услугами.

Информация Национального Института Стандартов и Технологий о Передовом Шифровальном Стандарте [Advanced Encryption Standard (AES)].

2 октября 2000 года Министр торговли США Норман Микета объявил название нового предлагаемого Передового Шифровального Стандарта. Таким образом, завершилось 3-летние соревнование с участием всемирно известных ведущих шифровальщиков в целях развития новых шифровальных методов, которые могут быть использованы для защиты компьютерной информации.

Победителем была объявлена формула Райндол, разработанная бельгийскими специалистами.

"Будучи окончательным, этот стандарт послужит крайне необходимым инструментом компьютерной безопасности, способствующей росту электронной торговли," – сказал Микета. "Это очень значительный шаг к созданию более безопасной (надежной) цифровой экономики. Это позволит электронной торговле и электронному правительству процветать (преуспевать) безопасно, открывая новые возможности для всех американцев," – сказал он.

Возможность применения AES в электронной торговле отметил еще 9 августа 1999 года Министр торговли США Ульям Делэй, объявляя финалистов:

"Это решающая веха в развитии AES. AES будет служить важным инструментом безопасности в поддержании динамичного роста электронной торговли."

Специалисты Национального Института Стандартов и технологий, агентства Департамента Администрации Технологии организовали международное соревнование с целью развития надёжной формулы шифрования информации, чтобы защитить наиболее важную информацию в федеральных компьютерных системах. Предполагается, что многие фирмы и торговые предприятия также будут использовать AES.

Агентства и шифровальные общества оценивали формулы по таким критериям, как безопасность (надёжность), скорость и гибкость. Соревнования проходили в тесном сотрудничестве с частным сектором.

После одобрения AES станет публичным алгоритмом, созданным для защиты важной правительственной информации в 21 веке. Он заменит существующий Стандарт Шифровки Данных [Data Encryption Standard (DES)], который НИСТ принял в 1977 году как Федеральный Стандарт обработки информации [Federal Information Processing Standard (FIPS)], используемый федеральными органами для защиты важной информации.

DES и его разновидность – тройной DES [Triple DES], широко используется в частном секторе, особенно в финансовой сфере.

В первую очередь требовалась надежность, но учитывались и такие факторы как скорость и гибкость, т.е возможность применения на больших компьютерах, настольных (переносных) и даже на смат-картах.

Райндол имел наилучшую комбинацию безопасности (надежности), исполнения, эффективности и гибкости.

После изучения общественного мнения НИСТ представит материалы Министру торговли для принятия в качестве официального стандарта. Завершение этого процесса ожидается к весне 2001 года.

http://infogoz.vimi.ru/otct/Infogoz/KN4/2_5_2.htm
Поисковая система: www.yandex.ru

Ключевые слова: использование цифровой подписи

Нашлось 2 млн ответов

О цифровых подписях

Microsoft Office XP использует технологию Microsoft Authenticode, позволяющую снабжать проекты макросов и файлы цифровой подписью с использованием цифрового сертификата. Сертификат, используемый для создания подписи, подтверждает, что макрос или документ получен от владельца подписи, а подпись подтверждает, что макрос или документ не был изменен. Установив уровень безопасности, можно разрешить или запретить выполнение макроса в зависимости от того, входит ли подписавший его разработчик в список надежных источников.

Центры выдачи цифровых сертификатов

Цифровой сертификат можно получить в коммерческом центре сертификации, таком как VeriSign, Inc., у администратора внутренней безопасности или у специалиста по информационным технологиям. Цифровую подпись также можно создать самостоятельно с помощью программы Selfcert.exe.

Примечание. Поскольку самостоятельно созданный сертификат не был выдан официальным центром сертификации, макросы, подписанные с использованием такого сертификата, называют макросами с автоподписью. Сертификаты, созданные пользователем самостоятельно, рассматриваются как неподтвержденные и при высоком или среднем уровне безопасности приводят к выводу предупреждения в диалоговом окне Предупреждение системы безопасности. Действующие в организации правила использования средств цифровой подписи Microsoft Office могут запрещать использование таких сертификатов, а также запуск макросов с автоподписью другими пользователями.

Коммерческие центры сертификации

Для получения цифрового сертификата от коммерческого центра сертификации, такого как VeriSign, Inc., необходимо подать заявку в этот центр.

Дополнительные сведения о центрах сертификации, обслуживающих продукты корпорации Майкрософт, см. на веб-узле Microsoft Security Advisor.

В зависимости от статуса разработчика макросов может быть выдан сертификат для разработчиков макросов класса 2 или класса 3.

Цифровой сертификат класса 2 предназначен для тех, кто разрабатывает программное обеспечение как частное лицо. Этот класс цифровых сертификатов фактически удостоверяет личность индивидуального разработчика.
Цифровой сертификат класса 3 предназначен для организаций, занимающихся разработкой программного обеспечения. Данный класс цифровых сертификатов обеспечивает боле высокую надежность идентификации организации-разработчика программного обеспечения. Сертификаты класса 3 разработаны для обеспечения степени точности идентификации, соответствующей требованиям, предъявляемым к поставщикам программного обеспечения, распространяющим свою продукцию через коммерческую сеть дилеров. Организация, подающая заявку на сертификат класса 3, должна как минимум удовлетворять требованиям к финансовой стабильности, основанным на данных оценки, публикуемых компанией Dun & Bradstreet Financial Services.

При выдаче цифрового сертификата даются инструкции по его установке на компьютер, используемый для подписания разрабатываемых решений для Microsoft Office.

Внутренние центры сертификации

В некоторых организациях и корпорациях может иметься администратор безопасности или отдел, выполняющий функции собственного центра сертификации и создающий или распространяющий цифровые сертификаты с помощью таких инструментов как Microsoft Certificate Server. Microsoft Certificate Server может работать как автономный центр сертификации или как часть существующей иерархии центров сертификации. В зависимости от того, как возможности цифровых подписей Microsoft Office используются в данной организации, разработчику может быть разрешено подписывать макросы, используя цифровой сертификат внутреннего центра сертификации компании, либо это за него должен будет делать администратор, используя утвержденный сертификат. Сведения о политике организации можно получить у сетевого администратора или в отделе информационных технологий.

Подписание собственных файлов и макросов

После установки цифрового сертификата можно подписывать файлы и макросы.

Цифровая подпись файла подтверждает, что файл допустим для использования и не был изменен с момента подписания. Пока файл не будет изменен, пользователи могут снабжать его подписями. Цифровую подпись можно использовать для важных файлов. Цифровая подпись макроса гарантирует безопасность этого макроса. Макрос сохраняет подпись до тех пор, пока не будет изменен его текст.

Примечание. При добавлении в файл цифровой подписи важно понимать, что цифровая подпись, создаваемая Microsoft Office, может не иметь юридической силы во всех штатах США, провинциях Канады или в других странах. Прежде чем использовать цифровую подпись в качестве официальной личной подписи, ознакомьтесь с законодательством соответствующей страны или региона. Также следует понимать, что в некоторых ситациях проверить действительность цифрового сертифката, на котором основана цифровая подпись, невозможно. Поэтому перед использованием цифрового сертификата для подписания документа важно удостовериться в его действительности.

http://leo-arek.narod.ru/115.htm

Электронная цифровая подпись

Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП.

Электронно-цифровая подпись – это наиболее удобный современный инструмент для обмена экономически значимой документацией и совершения сделок в удаленном режиме. Благодаря внедрению механизма электронной подписи границы регионов России больше не являются ограничением для экономической деятельности. Перед предприятиями и организациями из всех российских регионов открывается возможность выйти на федеральный уровень, вести закупку и сбыт товаров с минимальными издержками, избавиться от бюрократических проволочек.

В системе электронных торгов поставщиками и заказчиками в удаленном режиме совершаются операции (подача ценового предложения поставщиком, объявление закупки заказчиком и др.), влекущие за собой определенные обязательства как с одной, так и с другой стороны. Обеспечить юридическую значимость этих операций призван механизм электронной цифровой подписи (ЭЦП).

По сути ЭЦП — это некая последовательность символов, которая получена в результате определенного преобразования исходного документа (или любой другой информации) при помощи специального программного обеспечения. ЭЦП добавляется при пересылке к исходному документу. Любое изменение исходного документа делает ЭЦП недействительной. На практике ЭЦП уникальна для каждого документа и не может быть перенесена на другой документ; невозможность подделки электронной цифровой подписи обеспечивается очень большим объёмом математических вычислений, необходимым для её подбора. Таким образом, при получении документа, подписанного ЭЦП, получатель может быть уверен в авторстве и неизменности текста данного документа.

ЭЦП является на сегодняшний день законодательно оформленной процедурой обмена защищенными данными через интернет. В статье закона, регулирующей документирование информации (Закон 149-ФЗ), говорится, что электронное сообщение, подписанное электронной цифровой подписью (ЭЦП), признается равнозначным документу, подписанному собственноручно, если иным нормативным актом не предусмотрена обязательность бумажного носителя.

Как применяется ЭЦП

Электронная цифровая подпись применяется для подтверждения авторства и неизменности информации (того или иного электронного документа). В системе электронных торгов поставщик, подавший ценовое предложение или заявку на конкурс, обязуется осуществить поставку товара или осуществить услуги на условиях, указанных в его предложении. Будучи подписанным ЭЦП, данное предложение обретает юридическую значимость и влечет за собой ответственность в соответствии с законодательством РФ. Таким образом, заказчик в системе электронных торгов имеет дело с реальными предложениями, исполнение которых гарантировано законодательством.

C другой стороны, заказчик, разместивший в системе электронных торгов предложение о закупке (в форме аукциона, конкурса или запроса котировок), берет на себя обязательство заключить контракт с поставщиком, предложившим лучшие условия. В этом плане механизм ЭЦП, реализованный в системе электронных торгов, предоставляет юридические гарантии заключения контакта для поставщиков.

Цифровая подпись предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:

Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.
Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.
Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом.
Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

Все эти свойства ЭЦП позволяют использовать её для следующих целей:

Декларирование товаров и услуг (таможенные декларации)
Регистрация сделок по объектам недвижимости
Использование в банковских системах
Электронная торговля и госзаказы
Контроль исполнения государственного бюджета
В системах обращения к органам власти
Для обязательной отчетности перед государственными учреждениями
Организация юридически значимого электронного документооборота
В расчетных и трейдинговых системах

http://cyfra05.ru/index.php?option=com_content&view=article&id=60&Itemid=55<< предыдущая страница