Контрольная работа по "Информатике"

Содержание

Введение 3

Понятие электронно-цифровой подписи и методы шифрования 5

Назначение  и применение электронно-цифровой подписи 7

Свойства  электронно-цифровой подписи 9

Правовые  аспекты 13

Заключение 17

Список использованной литературы 19

Введение

Электронная цифровая подпись  – реквизит электронного документа, предназначенный для защиты данного  электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной  цифровой подписи и позволяющей  идентифицировать владельца сертификата  ключа подписи, а также установить отсутствие искажений информации в  электронном документе. Электронная  цифровая подпись в электронном  документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

1. сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
2. подтверждена подлинностью электронной цифровой подписи в электронном документе;
3. электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

При этом электронной документ с электронной цифровой подписью имеет юридическое значение при  осуществлении отношений, указанных  в сертификате ключа подписи.

В скором будущем заключение договора будет возможно в электронной  форме, который будет иметь такую  же юридическую силу, как и письменный документ. Для этого он должен иметь  механизм электронной цифровой подписи, подтверждаемый сертификатом. Владелец сертификата ключа подписи владеет  закрытым ключом электронной цифровой подписи, что позволяет ему с  помощью средств электронной  цифровой подписи создавать свою электронную цифровую подпись в  электронных документах (подписывать  электронные документы). Для того, чтобы электронный документ могли открыть и другие пользователи, разработана система открытого ключа электронной подписи.

Для того, чтобы иметь возможность скреплять электронный документ механизмом электронной цифровой подписи, необходимо обратиться в удостоверяющий центр за получением сертификата ключа подписи. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи.

Первый в России такой  удостоверяющий центр запущен в  сентябре 2002 г. российским НИИ развития общих сетей (РосНИИРОС). Удостоверяющий центр по закону должен подтверждать подлинность открытого ключа электронной цифровой подписи.

Понятие электронно-цифровой подписи и методы шифрования

Электронно-цифровая подпись (ЭЦП) - это криптографическое средство, которое позволяет удостовериться в отсутствие искажений в тексте электронного документа, а в соответствующих  случаях - идентифицировать лицо, создавшее  такую подпись.

В развитых странах мира, электронно-цифровая подпись широко используется в хозяйственном обороте. Алгоритм применения ЭЦП состоит  из ряда операций:

1. генерируется пара ключей: открытых и закрытых;
2. открытый ключ передается заинтересованной стороне (получателю документов, подписанных стороной, сгенерировавшей ключи);
3. отправитель сообщения шифрует его своим закрытым ключом и передает получателю по каналам связи;
4. получатель дешифрует сообщение открытым ключом отправителя.

Суть в том, что создать  зашифрованное сообщение, при расшифровке  которого открытым ключом получается исходный текст, может только обладатель закрытого ключа, т. е. отправитель  сообщения. Использовать для этого  открытый ключ невозможно.

Для обеспечения конфиденциальности (секретности) сообщения применяется  шифрование. Для шифрования сообщения  используется пара открытого и закрытого  ключей, тех же, что и для формирования ЭЦП. Для шифрования сообщения (возможно, уже подписанного ЭЦП) используется открытый ключ адресата, а полученное зашифрованное сообщение может  расшифровать только сам адресат  с использованием своего закрытого  ключа. Даже отправитель, только что  зашифровавший сообщение, не может  его расшифровать. Таким образом, для подписания сообщения используется закрытый ключ отправителя, а для  шифрования - открытый ключ получателя. Соответственно, получатель применяет  свой закрытый ключ для дешифрования и открытый ключ отправителя для  проверки подлинности ЭЦП.¹

ЭЦП и шифрование сообщений  может использоваться как совместно, так и по отдельности, по усмотрению пользователя. Например, приказ директора  по организации должен быть подписан ЭЦП для подтверждения его  достоверности, но не должен быть зашифрован. Сертификат ключа подписи служит для дополнительной защиты открытого  ключа (подтверждения принадлежности открытого ключа конкретному  пользователю), в случае компрометации  закрытого ключа Сертификат отзывается, срок действия - 1 год, после чего Сертификат автоматически попадает в разряд недействительных и требуется получить новый Сертификат. Для защиты информации, содержащейся в Сертификате, используется ЭЦП Удостоверяющего центра (УЦ).

Защиту данных криптографическими методами принято классифицировать по месту применения шифрования:

1. уровень приложений;
2. уровень файловой системы;
3. сетевой уровень;
4. уровень устройства.

Защита на уровне приложений оптимальна в том смысле, что на уровне приложений исходно формулируется  ценность данных и риски, связанные  с нарушением информационной безопасности.

Несмотря на то, что с  общей точки зрения сервер базы данных может рассматриваться как приложение по отношению к оперативной системе, как правило, бизнес-логика находится  выше, не только выше таблиц и столбцов, но и выше пользовательских схем. СЭД - хороший пример.

Как правило, документ существует в паре со своей электронной регистрационной  карточкой. В процессе обработке  документа к нему присоединяются еще ряд объектов - резолюции, связанные  с ними задания, согласование и утверждения. В таком контексте управленческий документ - зафиксированная история  возникновения, обработке и принятия решений по управленческому событию. Полномочия на принятия решений являются важнейшим ресурсом предприятия  и должны контролироваться соответствующим  образом.

Для создания задачи надо так  же иметь в виду единство целей  информационной безопасности, определяемое в виде триады:

1. целостность;
2. конфиденциальность;
3. доступность.

Электронно-цифровая подпись  попадает в основном в цели защиты целостности, а шифрование - в цели защиты конфиденциальности. Это различие надо иметь в виду, несмотря на общую  для этих задач технологическую  базу - архитектуру открытых ключей.² 

Назначение и применение электронно-цифровой подписи

Электронная подпись предназначена  для идентификации лица, подписавшего электронный документ и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных законом.

Использование электронной  подписи позволяет осуществить:

1. контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему;
2. защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев;
3. невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом;
4. доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.³

По сути ЭЦП - это некая  последовательность символов, которая  получена в результате определенного  преобразования исходного документа (или любой другой информации) при  помощи специального программного обеспечения. ЭЦП добавляется при пересылке  к исходному документу. Любое  изменение исходного документа  делает ЭЦП недействительной. На практике ЭЦП уникальна для каждого  документа и не может быть перенесена на другой документ; невозможность  подделки электронной цифровой подписи  обеспечивается очень большим объёмом  математических вычислений, необходимым  для её подбора. Таким образом, при  получении документа, подписанного ЭЦП, получатель может быть уверен в  авторстве и неизменности текста данного документа.

Электронно-цифровая подпись  применяется для подтверждения  авторства и неизменности информации (того или иного электронного документа). В системе электронных торгов поставщик, подавший ценовое предложение  или заявку на конкурс, обязуется  осуществить поставку товара или  осуществить услуги на условиях, указанных  в его предложении. Будучи подписанным ЭЦП, данное предложение обретает юридическую значимость и влечет за собой ответственность в соответствии с законодательством. Таким образом, заказчик в системе электронных торгов имеет дело с реальными предложениями, исполнение которых гарантировано законодательством.

Используется ЭЦП в  следующих случаях:

1. для электронных торгов: поставщик может подписать ЭЦП предложение на торгах и это гарантирует юридическую значимость его предложения, заказчик может подписать ЭЦП размещенное в системе электронных торгов предложение о закупке.
2. при заключении договоров: если контракт подписан ЭЦП - он имеет юридическую силу. При этом осуществляется подпись ЭЦП электронных документов, т.е. можно, например, подписать ЭЦП документ word.⁴

В статье 4. Назначение электронной  цифровой подписи, закона Украины «Об  электронных документах и электронном  документообороте» говорится, что  электронно-цифровая подпись предназначена  для обеспечения деятельности физических и юридических лиц, которая осуществляется с использованием электронных документовю.⁵

Электронная цифровая подпись  используется физическими и юридическими лицами - субъектами электронного документооборота для идентификации подписанта и  подтверждения целостности данных в электронной форме.

Использование электронной  цифровой подписи не изменяет порядок  подписания договоров и других документов, установленный законом для совершения сделок в письменной форме.

Нотариальные действия по удостоверению подлинности электронной  цифровой подписи на электронных  документах совершаются в соответствии с порядком, установленным законом.⁶

Свойства электронно-цифровой подписи

Это возможность использования  несертифицированных средств ЭЦП.

Закон допускает использование  средств ЭЦП, не имеющих сертификата. При этом владелец несертифицированных  средств ЭЦП (владелец закрытого  ключа подписи) обязан заявить об отсутствии сертификата на него всем пользователям открытого ключа, создаваемого этим средством. В этом случае риск убытков от использования  несертифицированных средств ЭЦП  ложиться на владельца закрытого  ключа и пользователя открытого  ключа. При желании обеспечить более  высокий уровень защиты стороны  вправе договориться об обязательном использовании сертифицированных  средств ЭЦП.

Закон требует использования  сертифицированных средств ЭЦП  только в рамках публично-правовых отношений.

Корпоративные системы решают этот вопрос самостоятельно. Обязательная сертификация накладна для больших  корпоративных систем, т. к. действие сертификата ограничено во времени, и по окончании срока его действия придется заменить средства ЭЦП всем участникам системы.

Директива СЕ допускает возможность  использования несертифицированных  средств ЭЦП. Федеральный закон  №1 требует обязательную сертификацию, «если иное не установлено соглашением  сторон» и сертификация средств  ЭЦП рассматривается как условие  признания ЭЦП.

Средства ЭЦП не относятся  к средствам шифрования.

Это положение существенно  для российских условий, где нормативными правовыми актами установлены жесткие  ограничения (обязательное лицензирование) на создание, распространение и, главное, использование средств шифрования. Кроме того, средства ЭЦП не являются средствами шифрования в общепринятом смысле: использование ЭЦП не защищает подписанную информацию от несанкционированного доступа, кодирования подписанного сообщения не происходит (при создании ЭЦП используется хэш-функция).

Кстати, в Директиве СЕ средства шифрования упоминаются наряду со средствами ЭЦП, что свидетельствует  об их различии.

Государственная аккредитация центров регистрации открытых ключей.

Центры регистрации открытых ключей создаются для удостоверения  ЭЦП и идентификации лица, подписавшего электронный документ. Центры выдают свидетельства на открытый ключ ЭЦП, где указано, кому принадлежит ключ и кто, соответственно, подписал электронное сообщение.

Работа таких центров  может осуществляться только в разрешительном (лицензирование) порядке.

В свою очередь, Директива  СЕ предусматривает добровольную аккредитацию Центров. Они должны свободно предлагать свои услуги без предварительно полученного  разрешения, деятельность их не должна быть связана с получением лицензии. Дополнительные требования могут вводиться  отдельными странами, но это не должно препятствовать оказанию трансграничных услуг для граждан и свободному обращению услуг на внутреннем рынке.

Возможность использования  открытых ключей ЭЦП, не имеющих свидетельства  удостоверяющего центра.

Требование обязательного  наличия сертификата на открытый ключ ЭЦП устанавливается законом  только для публично-правовых отношений, но оно может также выводиться по соглашению сторон и в частноправовых отношениях. Органы государственной  власти и органы местного самоуправления обязаны иметь сертификат ключа  подписи, а также сообщения, направляемые в эти органы и подписанные  ЭЦП, принимаются органами при наличии  сертификата ключа подписи. Распространение  данного требования на все отношения  затруднит использование ЭЦП  субъектами в ситуациях, когда степень  доверия к партнеру не требует  дополнительного подтверждения  его личности или когда субъекты действуют в доверительной среде (корпоративные системы) либо просто не видят необходимости в использовании  сверхнадежных средств ЭЦП. Следовательно, признание ЭЦП не должно связываться  с наличием сертификата ключа  подписи.

В соответствии с Директивой СЕ отсутствие сертификата на открытый ключ ЭЦП не является основанием для  непризнания электронной подписи. Настоящий Федеральный закон  одним из условий подлинности  ЭЦП является наличие выданного  Удостоверяющим центром сертификата  ключа подписи.

Условия использования ЭЦП  в корпоративных системах устанавливают  участники этих систем.

Закон предусматривает, что  корпоративные (закрытые) системы вправе самостоятельно устанавливать порядок  использования ЭЦП.

Согласно Директиве СЕ, общее регулирование не является необходимым для ЭЦП, которое  используется исключительно внутри закрытых систем.

Ограниченная ответственность  организаций, удостоверяющих ЭЦП.

Согласно закону Удостоверяющий центр несет ответственность  только в размере прямого реального  ущерба (т. е. не включаются штрафные санкции, возмещение упущенной выгоды, компенсация  морального вреда и др.). Кроме  того, Центр не несет ответственность  за ущерб, понесенный лицом не по вине Центра. Для обеспечения ответственности  предусмотрено условие деятельности Центра – наличие у него уставного  капитала.

Полная ответственность  Центра представляется неоправданной, поскольку она, прежде всего, не соответствует  степени возможной вины. Например, Центр выдал сертификат, не проверив должным образом данные на владельца  закрытого ключа подписи, а потом  подтвердил эту подпись по запросу  заинтересованного лица. Лицо, доверившись  подписи, понесло какие-то убытки. Но Центр может отвечать только за ненадлежащее выполнение своих функций, а не за весь убыток, величина которого зависит  от множества иных факторов.

Директива СЕ предусматривает, что пределы ответственности  Центра могут быть установлены в  сертификате.

Юридическая сила ЭЦП и  признание ее в качестве доказательства в суде.

Закон предусматривает, что  любая ЭЦП, используемая по соглашению сторон или в соответствии с требованиями закона, равнозначна собственноручной подписи лица, если:

1. Прошла проверку на подлинность при помощи открытого ключа, имеющего сертификат Удостоверяющего центра или в порядке, предусмотренном соглашением сторон;
2. Подписавшее лицо правомерно владеет закрытым ключом;
3. ЭЦП является действующей на момент подписания;

В соответствии с этим допускается  предоставление в качестве судебных доказательств электронных данных (сообщений), подписанных ЭЦП.

Директива СЕ признает ЭЦП  равнозначной собственноручной подписи  и при этом предостерегает, что  нельзя отрицать юридическую силу электронной  подписи или опровергать использование  электронной подписи в судебных процедурах только на том основании, что она в электронной форме, не имеет особого сертификата, и  не создана надежным 9сертифицированным) устройством электронной цифровой подписи.

Федеральный закон допускает  предоставление электронных данных, подписанных ЭЦП, в качестве судебных доказательств только при наличии  сертификата ключа подписи, выданного  в соответствии с федеральным  законом.

Предмет и сфера действия федерального закона.

Предмет данного закона –  ЭЦП, которая определяется как электронные данные, полученные в результате преобразования исходных электронных данных при помощи закрытого ключа, что позволяет:

1. Подтвердить неизменность электронных данных;
2. Установить, что ЭЦП создана с помощью закрытого ключа, соответствующего открытому;
3. Установить владельца открытого ключа.

Предметом регулирования  в законе является только ЭЦП, иные аналоги собственноручной подписи  не рассматриваются.

Таким образом, сфера действия закона охватывает только использование  ЭЦП.

Директива СЕ распространяется на электронные подписи, что включает ЭЦП, но не ограничивается ею. Также  Директива не ограничивает сферу  использования электронной подписи, но устанавливает требование, чтобы  условия использования были направлены на ее свободное обращение на внутреннем рынке.

В российском законе присутствует технологическое определение ЭЦП, а сфера использования ЭЦП  ограничена процессами обмена электронными данными.

Правовые аспекты

В статье под названием "Правовые аспекты  организации электронных платежей", опубликованной в N 4 журнала "Российская юстиция" за этот год, к сожалению, не был освещен такой важный и  существенный вопрос - как должно быть подписано платежное поручение, переданное в электронной форме.

Этот  аспект заслуживает специального рассмотрения.

Электронный документооборот, несмотря на свою прогрессивность, в силу ряда технических причин создает  дополнительные возможности для  нарушения правил совершения расчетно-кассовых операций.

Для наглядности рассмотрим следующую  ситуацию. Некий мошенник, выдающий себя за должностное лицо компании "N", направляет банку последней  посредством средств электронной  связи платежное поручение с  указанием перечислить 100 млн.рублей на счет, который мошенник предварительно открыл в другом банке.

Законодательство  РФ предусматривает ответственность  лиц, завладевших чужим имуществом путем мошенничества. Однако существующие нормы в Гражданском и Уголовном  кодексах РФ вряд ли удовлетворят пользователей  электронных систем платежей. Для  обеспечения того, чтобы сообщения  в банк не передавались неуполномоченными  лицами, в договорах на расчетно-кассовое обслуживание с использованием системы  электронных платежей необходимо устанавливать  процедуры безопасности, обычно включающие использование электронной цифровой подписи и системы шифрования. Такая возможность предусмотрена п.3 ст.847 ГК РФ, в соответствии с которой договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи, кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.

Документ, исходящий от организации, должен отвечать определенным требованиям, в том  числе иметь соответствующие  реквизиты и быть подписан компетентным должностным лицом. Что касается подписей лиц, уполномоченных распоряжаться  счетом, то при их отсутствии ни один расчетно-кассовый документ не может  считаться оформленным надлежащим образом. Однако если документ изготовлен в электронной форме, он не может  быть подписан обычным способом (физическая подпись). Практика выработала иную систему  подписи - электронную цифровую подпись (ЭЦП). В соответствии с п.2 ст.160 ГК РФ использование при совершении сделок ЭЦП допускается в случаях и порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

ЭЦП представляет собой набор байтов, который является результатом работы программы генерации цифровой подписи  ЭЦП. ЭЦП является аналогом физической подписи и обладает двумя основными  свойствами: воспроизводима только одним  лицом, а подлинность ее может  быть удостоверена многими; она неразрывно связана с конкретным документом и только с ним. ЭЦП предназначена для обеспечения подлинности, целостности и авторства документов, обрабатываемых с помощью вычислительной техники. ЭЦП жестко увязывает в одно целое содержание документа и секретный ключ подписывающего и делает невозможным изменение документа без нарушения подлинности этой подписи.

Суть  процедуры использования ЭЦП  состоит в том, что каждый пользователь программного обеспечения имеет  возможность изготовить пару индивидуальных ключей: секретного - для формирования цифрового аналога подписи под  документом и парного с ним, открытого - для проверки достоверности цифровых подписей, вычисленных с помощью  данного секретного ключа. С помощью  открытого ключа пользователя можно  гарантированно подтверждать подлинность  и авторство электронных документов, что именно данная последовательность бит была передана и подписана  обладателем секретного ключа, соответствующего открытому ключу проверки.

Секретный ключ для электронной цифровой подписи  может храниться в виде файла  на дискете или на специальном  устройстве - "таблетке" (Touch-Memory). Их называют носителями секретного ключа.

Для обеспечения целостности и достоверности  сообщений, циркулирующих в системе  Центрального банка Российской Федерации, приказом ЦБ РФ от 21 сентября 1993 г. N 02-159 был введен в действие стандарт Центрального банка Российской Федерации "Подпись  цифровая электронная".

Для обеспечения безопасности электронных  платежей наряду с использованием ЭЦП  может дополнительно применяться  шифрование электронных документов. Для этой цели используются специальные  ключи для шифрования (дешифрования), изготавливаемые, как правило, банком.

Поскольку применение ЭЦП в современном  деловом обороте Российской Федерации  стало реальностью, закономерно  поставить вопрос о доказательственной силе заверенных ЭЦП документов. В  связи с использованием таких  документов на практике могут возникать  споры, в процессе рассмотрения которых  такие документы будут представляться сторонами в качестве доказательств  по делу. Сейчас можно достаточно уверенно признать за документами в электронной форме, подписанными с помощью ЭЦП, доказательственную силу.

Следует отметить, что этот вопрос был положительно решен в письме Высшего Арбитражного Суда Российской Федерации от 19 августа 1994 г. N С1-7/ОП-587 "Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной  практике". В договоре между сторонами об использовании во взаимоотношениях между ними документов в электронной форме должна быть предусмотрена процедура согласования возможных разногласий. Если же между сторонами возник спор о наличии договора и других документов, подписанных цифровой (электронной) подписью, арбитражному суду предлагается запросить у сторон выписку из договора, в котором указана процедура порядка согласования разногласий, на какой стороне лежит бремя доказывания тех или иных фактов и достоверности подписи. С учетом этой процедуры арбитражный суд должен проверить достоверность представленных сторонами доказательств, а при необходимости вправе назначить экспертизу по спорному вопросу, используя при этом предусмотренную договором процедуру. В случае отсутствия в таком договоре процедуры согласования разногласий и порядка доказывания подлинности договора и других документов, а одна из сторон оспаривает наличие подписанного договора и других документов, арбитражный суд вправе не принимать в качестве доказательств документы, подписанные цифровой (электронной) подписью. Еще до появления указанного выше разъяснения в практике были случаи признания в качестве доказательств документов в электронной форме, подписанных с помощью ЭЦП.

Первым  в России использовал электронную  подпись Межбанковский финансовый дом. Летом 1993 года юридическая фирма  ЮКОН по заказу МФД разработала методику заключения финансовых сделок с использованием модема и электронной подписи. Договор  об оплате заказа также был заключен с использованием электронной подписи. Далее заказчик отказался оплатить услуги партнера, тем самым спровоцировав  передачу дела в арбитражный суд  г.Москвы. Появился первый прецедент рассмотрения судом финансового спора по электронному договору. 28 июля того же года арбитражный суд завершился определением в пользу истца, признанием договора с электронной подписью правомочным. МФД, с которого по постановлению суда взыскали 100 тыс.рублей, трактует это как доказательство законности электронной подписи.