Формирование подписи и отправка сообщения
Для заданного электронного документа по стандартному алгоритму вычисляется хэш-функция. Вычисленное значение хэш-функции представляет собой один короткий блок информации, характеризующий весь документ в целом и обладает чувствительностью даже к перестановке символов сообщения. Кроме того хэш-функция имеет следующие особенности: фиксируемую длину, независимо от длины сообщения, уникальность для каждого сообщения, необратимость.
Далее полученный блок информации шифруется с помощью закрытого ключа автора и специального программного обеспечения. Получаемая при этом последовательность чисел представляет собой ЭЦП для данного документа. Расшифровать ЭЦП и получить исходный хэш-код, который будет соответствовать документу, можно только используя открытый ключ содержащийся в Сертификате открытого ключа автора. Таким образом, вычисление хэш-функции документа защищает его от модификации посторонними лицами после подписания, а шифрование личным ключом автора подтверждает авторство документа.
Проверка (верификация) подписи.
При проверке документа получатель сообщения вычисляет хэш-функцию принятого документа. Расшифровывает подпись с помощью своего открытого ключа и специального программного обеспечения. После чего отправитель проверяет, соответствует ли хэш принятого документа расшифрованной подписи. Если они равны, то документ считается подлинным. Электронная цифровая подпись подтверждает достоверность и целостность документа. Если в него в процессе пересылки были внесены какие-либо изменения, пусть даже совсем незначительные, то подмена обнаружится. Сертификат открытого ключа содержит персональную информацию о владельце закрытого ключа, что позволяет однозначно идентифицировать автора документа.
Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:
-Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.
-Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.
Одной из дополнительных возможностей при работе с ЭЦП является услуга фиксирования точного времени подписания документа ЭЦП - отметка точного времени. Отметка точного времени позволяет точно определить момент наложения ЭЦП, причем изменить, впоследствии, его значение даже лицом, которое наложило подпись невозможно. Возможно лишь повторное подписание с фиксацией нового времени. Отметка точного времени синхронизируется со Всемирным координированным временем (UTC) и проставляется с точностью до одной секунды.
В обычном документообороте документ считается таковым, если есть дата его регистрации. При электронном документообороте дата становится одним из важнейших реквизитов.
Допустим, что любой электронный документ, выходящий за пределы какой-либо замкнутой системы перед отправлением его в канал связи регистрируется и маркируется специальным атрибутом, в котором содержится точное время его отправки и сведения о том сервере, откуда он отправлен. Время прохождения сигнала электронного документа по каналам практически всегда заранее известно. Поэтому, получив сообщение с временной меткой всегда можно сверить время его прохождения. Если имеются различия во времени, например, задержка в его получении, то приемный сервер всегда может запросить у передающего подтверждение отправки документа. Если же сообщение, полученное после подтверждения, не совпадает с первоначально полученным, то можно с уверенностью говорить о несанкционированном вмешательстве.
Использование ЭЦП.
В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр.
Электронная цифровая подпись аналогична подписи человека, а для того чтобы убедиться в подлинности документов, подписываемых человеком, любая организация отправляет его сначала к нотариусу, который проверив дееспособность человека удостоверяет его собственноручную подпись на самых различных документах.
Организация, установив соответствующее программное обеспечение, может организовать собственный Удостоверяющий центр, но при этом следует иметь ввиду, что ЭЦП, наносимые работниками организации, не смогут иметь юридическое значение за пределами этой организации. Поэтому точно так же, как и при обращении к нотариусам, следует пользоваться услугами внешних аттестованных удостоверяющих центров. Подписав договор с Удостоверяющим Центром организация может получать от него сертификаты для своих работников, которые будут пользоваться ЭЦП.
Удостоверяющий центр - это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.
Центр сертификации ключей имеет право: предоставлять услуги по удостоверению сертификатов электронной цифровой подписи и обслуживать сертификаты открытых ключей, получать и проверять информацию, необходимую для создания соответствия информации указанной в сертификате ключа и предъявленными документами.
Российские удостоверяющие центры:
• Удостоверяющий Центр ЗАО "ПФ "СКБ Контур"
• Удостоверяющий Центр ФГУП НИИ "Восход"
• Удостоверяющий Центр DIP
• ООО Межрегиональный Удостоверяющий Центр
• НП "Национальный Удостоверяющий центр"
• ЗАО «АНК»
• ООО ПНК
• ЗАО Удостоверяющий Центр (Нижний Новгород)
• ЗАО Удостоверяющий Центр (Санкт-Петербург)
• ООО "Компания «Тензор»
• ОАО «Электронная Москва»
• Центр сертификации «Стандарт Тест»
• Всероссийский центр сертификации
• Удостоверяющий центр ЗАО "Сервер-Центр" (Владивосток)
• Удостоверяющий центр "ДСЦБИ "МАСКОМ" (Хабаровск)
В процессе создания сертификата каждому из таких работников будет сгенерирован закрытый ключ. Процедура создания ключей может выполняться по-разному. Ключи могут создаваться в Удостоверяющем центре и передаваться пользователям вместе с сертификатом. Ключи могут создаваться и на рабочем месте пользователя в организации, а открытая часть ключа пересылаться в Удостоверяющий центр для последующего изготовления сертификата.
Сертификат содержит всю необходимую информацию для проверки ЭЦП. Данные сертификата открыты и публичны. Поэтому обычно сертификаты хранятся в хранилище операционной системы (в каждом компьютере, в общем сетевом хранилище, в базе данных и т.п.). Конечно, все сертификаты всегда хранятся и в Удостоверяющем центре, точно так же, как и нотариус хранит всю необходимую информацию о человеке, выполнившем у него нотариальное действие.
Получение работником организации закрытого ключа, обеспечение его сохранности и действия с ним обычно регламентируется приказом по организации с утверждением инструктивных материалов. В них регламентируется порядок выпуска сертификатов, применение ключей для подписания документов, получение, замену, сдачу закрытого ключа работниками, и действия выполняемые при компрометации ключа. Последние аналогичны действиям выполняемым при потере банковской карты.
Создание ЭЦП представляет собой сложную математическую процедуру и ее выполняют специальные программы – криптопровайдеры. В современных операционных системах криптопровайдеры уже включены в их состав.
Однако в ряде случае законодательство требует применение сертифицированных государственными органами криптопровайдеров. В этом случае их придется покупать и устанавливать на всех компьютерах, на которых будут подписываться или проверяться ЭЦП. Создание же ключей и получение сертификатов будет возможно только после установки соответствующих криптопровайдеров, так как они будут использоваться в процессе создания ключей и дальнейших процессов формирования и проверки электронной цифровой подписи.
При самостоятельном выборе криптопровайдера следует учитывать, что не каждый удостоверяющий центр обслуживает всех возможных криптопровайдеров. Т.е. если партнерам, организующим электронный документооборот нужен конкретный криптопровайдер, следует выбирать удостоверяющий центр именно под него. Впрочем, большинство удостоверяющих центров работают со всеми наиболее популярными криптопровайдерами. Наиболее распространенные в России криптопровайдеры – это Microsoft Enchanced Provider и Microsoft Base Provider, «КриптоПРО» и Signal-COM.
Обеспечение применения электронной цифровой подписи реализуется с помощью специальных программных средств:
• "Крипто Банк" фирмы "Лан Крипто"
• Серия программ "КРИПТОН фирмы "Анкад"
• «КАРМА» компании "ЭОС"
Основное назначение системы криптографического обеспечения «КАРМА» - обеспечение применения электронной цифровой подписи и шифрования, в том числе и в юридически значимом электронном документообороте.
«КАРМА» может использоваться пользователем MS Windows для подписи, работы с ЭЦП файлов и шифрования файлов непосредственно в проводнике MS Windows.
«КАРМА» не требует специфических знаний по криптографии не только от пользователя, но и от программиста или системного администратора. Это становится возможным благодаря тому, что в системе криптографической защиты «КАРМА» используется высокоуровневый интерфейс и для обычного пользователя, и для пользователя – программиста. Система позволяет быстро и надежно дополнить любую прикладную систему средствами электронной цифровой подписи и шифрования.
Функции подписи и ЭЦП.
Любая подпись, будь-то обычная или цифровая, всегда выполняет, по крайней мере, три функции: удостоверение того, что подписавшийся является тем, за которого мы его принимаем (функция авторизации); подтверждение того, что подписавшийся не может отказаться от документа, который он подписал; удостоверение того, что отправитель подписал именно тот документ, который отправил, а не какой-либо иной.
Другими словами ему нельзя навязать другой или похожий документ, поскольку у него есть подписанная копия оригинала.
Заметим, что две первые функции обеспечивают защиту интересов лица, для которого предназначен документ (приемника), третья функция защищает интересы подписывающего (передатчика).
Во всех этих случаях “работает” свойство подписи, называемое аутентичность, т.е. подлинность. Это свойство переносится на документ, под которым стоит подпись.