-контроль
Разновидность хеширования – алгоритм вычисления контрольной суммы, или CRC (англ. Cyclic Redundancy Code – циклический избыточный код). Наиболее широко CRC-контроль применяется для проверки целостности передаваемых или преобразуемых информационных объектов. Например, файл A.doc передается с одного компьютера на другой не целиком, а частями. И отправитель, и получатель должны быть уверены, что из полученных по отдельности частей будет "собран, воссоздан" именно файл Adoc без искажений. Напомним, что в компьютере и в сети все информационные объекты представлены двоичными последовательностями (битовыми строками). Потеря или изменение одного бита может быть фатальной. Измененный файл либо не запустится, не откроется, либо его содержимое будет искажено.
Аналогичная проблема возникает при архивации. При выполнении преобразований А.dос → A.zip → А.dос (файл архивируется, архив хранится или передается, в необходимый момент документ надо извлечь, прочитать) у пользователей также должна быть уверенность в целостности распакованных (разархивированных) объектов.
Для решения проблемы к информационному объекту добавляется так называемая контрольная сумма, или CRC. Схема преобразований при архивировании/разархивировании выглядит следующим образом:
A.doc + CRC → A.zip → A.doc + CRC
Наличие избыточной информации (CRC) в архиве позволяет после распаковки файла Adoc подсчитать для него новую контрольную сумму CRC1 и убедиться, что она совпадает с исходной, полученной до архивирования CRC = CRC1. В этом случае можно уверенно сказать, что файл A.doc извлечен из архива без искажений.
Однако возникает парадокс: архивируя файл A.doc, мы уменьшаем его объем за счет устранения избыточности в нем самом. И в то же время добавляем в архив избыточную, кажущуюся лишней информацию – CRC. Парадокс еще и в том, что само значение CRC не должно пострадать при добавлении в архив и при извлечении из него, т.е. его правильность, целостность тоже очень важны. А кто это проконтролирует? Эта важная обязанность возложена па сам CRC, ведь недаром в его название входит слово избыточный. Алгоритм вычисления CRC для конкретного информационного объекта учитывает возможность искажения самого CRC при преобразованиях или при передаче по сети. В CRC вводится избыточная дополнительная информация, которая позволяет программе создания и чтения контрольных сумм определить наличие искажения, ошибки в коде.
Наиболее часто встречающиеся алгоритмы вычисления контрольных сумм CRC16 и CRC32 отличаются длиной формируемой двоичной последовательности.
В операциях чтения и записи информации на носители (диски, CD-ROM, DVD) применяют еще более сложные избыточные коды, способные не только сообщить о наличии в них ошибки, но и скорректировать, исправить их.
Электронная подпись
В соответствии со ст. 2 п. 1 Федерального закона от 6 апреля 2011 г. № 63-Φ3 "Об электронной подписи": электронная подпись (ЭП) – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
В ст. 2 п. 11.1 Федерального закона № 149-ФЗ "Об информации, информационных технологиях и о защите информации" определено понятие электронный документ – это документированная информация, представленная в электронной форме, т.е. в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.
В ст. 5 п. 1 Федерального закона № 63-Φ3 "Об электронной подписи" определены три вида ЭП: "Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее – неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее – квалифицированная электронная подпись)".
Простая ЭП – электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Следовательно, идентификация определенного лица, установившего на документы или сервисы парольную защиту, может повлечь в случае нарушения законодательства России ответственность этого лица по закону.
Неквалифицированной ЭП является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи. В данной подписи обязательно наличие ключа ЭП (ст. 2 и. 5 Федерального закона № 63-Φ3 "Об электронной подписи": "ключ электронной подписи – уникальная последовательность символов, предназначенная для создания электронной подписи"). Принципиальным моментом является вытекающее из ст. 5 юридическое и техническое различие понятий "пароль" и "ключ".
Квалифицированная ЭП – электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом № 63-Φ3 "Об электронной подписи".
Принципиальные отличия квалифицированной ЭП от других видов подписи четко прописаны в законе. Именно эта подпись должна выдаваться уполномоченным органом, выдающим квалифицированный сертификат, и использоваться для защиты информации ограниченного доступа, включая государственную тайну.
Для создания ЭП используется одна из разновидностей несимметричного шифрования, но содержимое документа не шифруется. Несимметричное шифрование применяется для создания временного слепка с документа – хеша. Он добавляется к исходному документу (момент подписания), и этот полученный документ передается по сети. При его получении пользователь с помощью специальной программы и известного ему открытого ключа несимметричного шифрования выделяет из полученного сообщения хеш, убеждаясь, что сообщение получено из достоверного источника и не подверглось изменению или раскрытию в процессе передачи.
Еще раз отметим главную особенность хеширования, или ЭП, исходный документ это преобразование не изменяет (не шифрует, не делает нечитаемым), только добавляет новый обычно скрытый реквизит, создаваемый с использованием несимметричного шифрования. Но реквизит очень чувствительный к малейшим изменениям в документе. Достаточно изменить хоть один символ в документе, либо изменить один из существующих реквизитов документа, либо просто открыть (почитать) его, и ЭП (хеш) документа уже будет иной.
Кроме собственно содержимого документа, в хеш "попадают" и свойства файла с документом (имя, тип, объем, атрибуты, дата создания, дата последнего изменения, дата последнего открытия, свойства собственно документа).
В форме ЭП имеем уникальное техническое средство, легко реализуемое на программном (или программно-аппаратном) уровне, позволяющее зафиксировать малейшие изменения в "подписанном" сообщении. Можем ли мы использовать это средство в юридической практике, имеем ли для этого законные основания?
Обратимся к гл. 28 "Заключение договора" Гражданского кодекса РФ (в ред. от 23 июля 2013 г.). Что говорится в ней о допустимости электронной формы сделки и применимости ЭП в качестве замены собственноручной подписи? Статья 434 ГК РФ "Форма договора" и. 1 гласит: "Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма". Там же, в п. 2 говорится: "...договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору". В ст. 160 ГК РФ "Письменная форма сделки" п. 2 говорится: "Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон".
Что предусматривает Федеральный закон № 63-Φ3 "Об электронной подписи" в ст. 1 п. 1? "Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами". Следовательно, имеем законные основания для практического применения ЭП.
В качестве примера применения ЭП рассмотрим процесс нотариального заверения документа.
В соответствии с ГОСТ Р5114-98 "Делопроизводство и архивное дело. Термины и определения" (утвержден Госстандартом 27 февраля 1998 г. № 28) "копия документа – это документ, полностью воспроизводящий информацию подписанного документа и все его внешние признаки или их часть". Там же, "заверенная копия – это копия документа, на который в соответствии с установленным порядком проставляют необходимые реквизиты, придающие ей юридическую силу".
Рассмотрим обычную нотариальную схему заверения документа (рис. 11.11, а).
Клиент (КЛ) предоставляет нотариусу (НТ) оригинальный документ (ДТ), копию документа для заверения (КД) и свои персональные данные (ПД). Нотариус предъявляет клиенту лицензию (ЛЦ), заверяет копию документа (ЗК) и вносит запись о заверении в реестр (PC).
Нотариус проверяет только юридическую силу оригинального документа (ДТ) и на этом основании заверяет (удостоверяет) копию. Ответственности за возможные ошибки в содержании ДТ он не несет.
Подобная схема пригодна для заверения только десятка документов в час. Для автоматизированных информацион-
Рис. 11.11. Нотариальные схемы заверения документа:
а – обычная; б – с ЭП
ных систем (до десятков тысяч банковских операций в час) она не пригодна. На помощь приходит ЭП (рис. 11.11,6).
Клиенты (Кл1 и Кл2) обмениваются документами (ДТ), подписанными ЭП. Для подписания и прочтения ЭП у них должны быть соответствующие ключи и единые программные (или программно-аппаратные) средства для осуществления этих операций. Это единство и уникальность каждой пары открытый – закрытый ключи обеспечивает удостоверяющий центр (УЦ). Так, УЦ выдает каждому клиенту сертификат ключа подписи (СК) и с ним открытый ключ, сертификат средств ЭП (СС) и закрытый ключ (лично). При получении сообщения, подписанного ЭП, клиент (например, Кл2) обращается в УЦ за получением открытого ключа клиента Кл1 и подтверждения о действительности сертификатов, выданных клиенту Кл1. Теперь клиент Кл2 может прочитать ЭП в присланном сообщении и быть уверенным, что оно пришло именно от клиента Кл1 и в процессе "путешествия" документ не подвергался изменению или прочтению.
Особенности применения ЭП. Клиенты Кл 1 и Кл2 могут находиться в разных регионах страны и пользоваться услугами разных удостоверяющих центров. Для обеспечения использования средств ЭП все региональные центры должны обеспечивать 24-часовую непрерывную связь не только с клиентами, но и между собой. Кроме того, должен существовать главный государственный удостоверяющий центр, обеспечивающий единство используемых средств ЭП в разных регионах и удостоверяющий статус региональных центров.
Потенциально государственная система использования ЭП должна быть рассчитана на полностью автоматическое (без участия человека) функционирование. Применение ключей (подписание или чтение ЭП), проверка подлинности и действительности сертификатов должны происходить полностью независимо от человека, иначе скорость обмена электронными сообщениями сделается настолько низкой, что использование автоматизированной информационной системы станет экономически неэффективным.
Применение ЭП в ряде случаев ограничивается отсутствием правового статуса электронного документа. Это относится к случаям хранения документов (в законе говорится только об электронных сообщениях, т.е. только о передаче информации).
В зависимости от формы документооборота используются разные виды ЭП.
Рассмотренная выше схема соответствует применению ЭП при обмене электронными сообщениями по информационно-телекоммуникационной сети. В этих случаях ЭП передается вместе с подписываемым сообщением.
При хранении электронных документов целесообразнее ЭП хранить отдельно на особо защищенном отдельном компьютере в виде отдельного документа (он обычно называется хеш-лист) или в специальной базе данных. Иначе документ вместе с ЭП можно будет выкрасть и подменить совсем другим документом, но тоже содержащим свою ЭП. Отдельное хранение ЭП применяется банками при поддержке электронных счетов клиентов. При каждом обращении к хранимому электронному счету автоматически создастся (вычисляется) его хеш, который сравнивается со значением, хранимым в хеш-листе. Если оба хеша совпадают, то операция клиенту разрешается. В противном случае выполнение операции приостанавливается или переводится в ручной (через офис банка) режим, так как несовпадение хешей свидетельствует о несанкционированном доступе к электронному счету клиента.
Нанесение хеша (ЭП) на графический объект выполняется встраиванием хеша внутрь файла. Подобное применение ЭП называют цифровыми водяными знаками. Если картинка небольшого размера, то получаемый для нее хеш тоже невелик и может быть размещен в описательной части файла. В этих случаях подписание происходит без искажения самого графического объекта. В более сложных случаях водяные знаки приходится встраивать внутрь самой картинки, внося при этом очень незначительные не воспринимаемые глазами человека искажения.