logo search
Pravovaya_informatika_konspekt

19.Организационно обеспечение эцп

Для функционирования системы оборота электронных документов необходима соответствующая организационная инфраструктура, которая позволит разрешить 2 проблемы.

Проблема 1. Надежность ЭЦП определяется длиной ключа шифрования (это тот параметр, который может определяться пользователем) и применяемыми программно-техническими средствами, обеспечивающими выработку и проверку ЭЦП.

Разные средства могут использовать отличающиеся алгоритмы криптографических преобразований, поэтому стойкость шифра при одинаковой длине ключа может быть разной. Пользователь данный параметр в большинстве случаев оценить не может, т.к. надежный и ненадежный шифр внешне выглядят одинаково. Кроме того, алгоритмы, применяемы в различных средствах ЭЦП не являются совместимыми. Поэтому в РБ введена система государственной сертификации средств ЭЦП.

Проблема 2. Необходимо однозначно связать открытый ключ проверки подписи с владельцем личного ключа, поскольку возможны 2 угрозы:

-Отказ подписавшегося личным ключом от своей подписи.

-Перехват и фальсификация сообщений 3-им лицом.

Злоумышленник В перехватывает предназначающийся пользователю Б открытый ключ пользователя А. Вместо него он от имени А направляет свой открытый ключ, который Б принимает за открытый ключ пользователя А. Таким образом, В получает возможность читать сообщения от А к Б и вносить изменения в документы, следующие от Б к А.

Вывод: принадлежность открытого ключ проверки подписи владельцу личного ключа должна быть удостоверена.

NB: удостоверяется именно принадлежность ключа владельцу!!!!

Принадлежность открытого ключа владельцу может быть удостоверена при передаче при личной встрече пользователей А и Б путем составления специального документа. Этот подход экономически невыгоден. Второй подход - удостоверение принадлежности открытого ключа владельцу закрытого ключа специально назначенной третьей стороной. В зарубежной практике эта третья сторона именуется "центр сертификации", "удостоверительный центр". В законодательстве РФ под ним понимается "юридическое лицо или обособленное подразделение юридического лица, обладающие правомочиями на удостоверение принадлежности конкретного открытого ключа ЭЦП владельцу сертификата." Сама сертификация предусматривает проверку соответствия представленных пользователем А личного и открытого ключей и защиту открытого ключа личным ключом самого удостоверяющего центра. Т.е. никто, кроме удостоверяющего центра, не может изменить содержания защищенного открытого ключа

пользователя А. В данном случае удостоверяется исключительно связь открытого ключа с конкретным лицом, а не его деловая репутация ли законопослушность.

В мировой практике сложилось две модели сертификации открытых ключей:

  1. Централизованная - в основе ее 1 уполномоченный орган сертификации открытых

ключей (корневой центр сертификации) и доверенные центры сертификации.

  1. Децентрализованная (сетевая) - взаимная сертификация пользователей друг друга.

В РБ Законом об ЭД предусматривается следующий механизм удостоверения принадлежности открытого ключа проверки подписи.

Создается документ - карточка открытого ключа проверки подписи, который удостоверяется самим владельцем личного ключа путем постановки подписи (подписи и печати). Форма карточки устанавливается собственником информационных систем и сетей. Эта карточка передается владельцем пользователю открытого ключа путем:

1. Вручения карточки открытого ключа проверки подписи лично пользователю;

2. Рассылки по почте в виде документа на бумажном носителе

3. Рассылки в виде электронного документа

В последнем случае открытый ключ входит в общую часть электронного документа и вопрос "Кто ставит ЭЦП в особенной части" решается не Законом, а соглашением сторон.