Можно ли подделать электронную подпись. Новый способ увести деньги компании с помощью поддельной подписи

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

Основные положения

Виды алгоритмов

Подделка подписей

Управление ключами

Получение электронно-цифровой подписи (ЭЦП)

Список использованной литературы

Введение

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющей идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажений информации в электронном документе. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

· сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

· подтверждена подлинностью электронной цифровой подписи в электронном документе;

· электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

При этом электронной документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

В скором будущем заключение договора будет возможно в электронной форме, который будет иметь такую же юридическую силу, как и письменный документ. Для этого он должен иметь механизм электронной цифровой подписи, подтверждаемый сертификатом. Владелец сертификата ключа подписи владеет закрытым ключом электронной цифровой подписи, что позволяет ему с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). Для того, чтобы электронный документ могли открыть и другие пользователи, разработана система открытого ключа электронной подписи.

Для того, чтобы иметь возможность скреплять электронный документ механизмом электронной цифровой подписи, необходимо обратиться в удостоверяющий центр за получением сертификата ключа подписи. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи.

Первый в России такой удостоверяющий центр запущен в сентябре 2002 г. российским НИИ развития общих сетей (РосНИИРОС). Удостоверяющий центр по закону должен подтверждать подлинность открытого ключа электронной цифровой подписи.

Основные положения

Общая суть электронной подписи заключается в следующем. С помощью криптографической хэш-функции вычисляется относительно короткая строка символов фиксированной длины (хэш). Затем этот хэш шифруется закрытым ключом владельца - результатом является подпись документа. Подпись прикладывается к документу, таким образом получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным.

При ведении деловой переписки, при заключении контрактов подпись ответственного лица является непременным атрибутом документа, преследующим несколько целей:

· гарантирование истинности письма путем сличения подписи с имеющимся образцом;

· Выполнение данных требований основывается на следующих свойствах подписи:

· подпись аутентична, то есть с ее помощью получателю документа можно доказать, что она принадлежит подписывающему;

· подпись неподделываема; то есть служит доказательством, что только тот человек, чей автограф стоит на документе, мог подписать данный документ, и никто иной;

· подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно;

· документ с подписью является неизменяемым;

· подпись неоспорима;

· любое лицо, владеющее образцом подписи может удостоверится, что документ подписан владельцем подписи.

Развитие современных средств безбумажного документооборота, средств электронных платежей немыслимо без развития средств доказательства подлинности и целостности документа. Таким средством является электронно-цифровая подпись (ЭЦП), которая сохранила основные свойства обычной подписи.

ь Хеш-функция или Хеширование (англ. hashing) -- преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Такие преобразования также называются функциями свёртки, а их результаты называют хешем, хеш-кодом или дайджестом сообщения (англ. message digest).

Виды алгоритмов

1. Симметричная схема

Симметричные схемы ЭП менее распространены чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи, основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятия ЭП Диффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощью блочного шифра. Асимметричные схемы цифровой подписи опираются на вычислительно сложные задачи, сложность которых еще не доказана, поэтому невозможно определить, будут ли эти схемы сломаны в ближайшее время, как это произошло со схемой, основанной на задаче об укладке ранца. Также для увеличения криптостойкости нужно увеличивать длину ключей, что приводит к необходимости переписывать программы, реализующие асимметричные схемы, и в некоторых случаях перепроектировать аппаратуру. Симметричные схемы основаны на хорошо изученных блочных шифрах.

В связи с этим симметричные схемы имеют следующие преимущества:

· Стойкость симметричных схем ЭП вытекает из стойкости используемых блочных шифров, надежность которых также хорошо изучена.

· Если стойкость шифра окажется недостаточной, его легко можно будет заменить на более стойкий с минимальными изменениями в реализации.

Однако у симметричных ЭП есть и ряд недостатков:

Нужно подписывать отдельно каждый бит передаваемой информации, что приводит к значительному увеличению подписи. Подпись может превосходить сообщение по размеру на два порядка. Сгенерированные для подписи ключи могут быть использованы только один раз, так как после прописывания раскрывается половина секретного ключа.

Из-за рассмотренных недостатков симметричная схема ЭЦП Диффи-Хелмана не применяется, а используется её модификация, разработанная Березиным и Дорошкевичем, в которой подписывается сразу группа из нескольких бит. Это приводит к уменьшению размеров подписи, но к увеличению объема вычислений. Для преодоления проблемы «одноразовости» ключей используется генерация отдельных ключей из главного ключа.

2. Асимметричная схема

Схема, поясняющая алгоритмы подписи и проверки. Асимметричные схемы ЭП относятся к криптосистемам с открытым ключом. В отличие от асимметричных алгоритмов шифрования, в которых зашифровывание производится с помощью открытого ключа, а расшифровывание -- с помощью закрытого, в схемах цифровой подписи подписание производится с применением закрытого ключа, а проверка -- с применением открытого.

Общепризнанная схема цифровой подписи охватывает три процесса:

· Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.

· Формирование подписи. Для заданного электронного документа с помощью закрытого ключа вычисляется подпись.

· Проверка (верификация) подписи. Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.

Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:

· Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.

· Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.

Следует отличать электронную цифровую подпись от кода аутентичности сообщения (MAC).

3. Виды асимметричных алгоритмов ЭП

Как было сказано выше, чтобы применение ЭП имело смысл, необходимо, чтобы вычисление легитимной подписи без знания закрытого ключа было вычислительно сложным процессом.

Обеспечение этого во всех асимметричных алгоритмах цифровой подписи опирается на следующие вычислительные задачи:

· Задачу дискретного логарифмирования (EGSA)

· Задачу факторизации, то есть разложения числа на простые множители (RSA)

Вычисления тоже могут производиться двумя способами: на базе математического аппарата эллиптических кривых (ГОСТ Р 34.10-2001) и на базе полей Галуа (DSA). В настоящее время самые быстрые алгоритмы дискретного логарифмирования и факторизации являются субэкспоненциальными. Принадлежность самих задач к классу NP-полных не доказана.

Алгоритмы ЭП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением документа. При верификации цифровых подписей с восстановлением документа тело документа восстанавливается автоматически, его не нужно прикреплять к подписи. Обычные цифровые подписи требуют присоединение документа к подписи. Ясно, что все алгоритмы, подписывающие хеш документа, относятся к обычным ЭП. К ЭП с восстановлением документа относится, в частности, RSA.

Схемы электронной подписи могут быть одноразовыми и многоразовыми. В одноразовых схемах после проверки подлинности подписи необходимо провести замену ключей, в многоразовых схемах это делать не требуется.

Также алгоритмы ЭП делятся на детерминированные и вероятностные. Детерминированные ЭП при одинаковых входных данных вычисляют одинаковую подпись. Реализация вероятностных алгоритмов более сложна, так как требует надежный источник энтропии, но при одинаковых входных данных подписи могут быть различны, что увеличивает криптостойкость. В настоящее время многие детерминированные схемы модифицированы в вероятностные.

В некоторых случаях, таких как потоковая передача данных, алгоритмы ЭП могут оказаться слишком медленными. В таких случаях применяется быстрая цифровая подпись. Ускорение подписи достигается алгоритмами с меньшим количеством модульных вычислений и переходом к принципиально другим методам расчета.

Подделка подписей

электронный цифровой подпись криптографический

Анализ возможностей подделки подписей называется криптоанализ. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют «атака».

1. Модели атак и их возможные результаты

В своей работе Гольдвассер, Микали и Ривест описывают следующие модели атак, которые актуальны и в настоящее время:

· Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.

· Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.

· Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.

Также в работе описана классификация возможных результатов атак:

· Полный взлом цифровой подписи. Получение закрытого ключа, что означает полный взлом алгоритма.

· Универсальная подделка цифровой подписи. Нахождение алгоритма, аналогичного алгоритму подписи, что позволяет подделывать подписи для любого электронного документа.

· Выборочная подделка цифровой подписи. Возможность подделывать подписи для документов, выбранных криптоаналитиком.

· Экзистенциальная подделка цифровой подписи. Возможность получения допустимой подписи для какого-то документа, не выбираемого криптоаналитиком.

Ясно, что самой «опасной» атакой является адаптивная атака на основе выбранных сообщений, и при анализе алгоритмов ЭП на криптостойкость нужно рассматривать именно её (если нет каких-либо особых условий).

При безошибочной реализации современных алгоритмов ЭП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭП построена. Гораздо более вероятен поиск криптоаналитиком коллизий первого и второго рода. Коллизия первого рода эквивалентна экзистенциальной подделке, а коллизия второго рода -- выборочной. С учетом применения хеш-функций, нахождение коллизий для алгоритма подписи эквивалентно нахождению коллизий для самих хеш-функций.

1. Подделка документа (коллизия первого рода)

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

Документ представляет из себя осмысленный текст. Текст документа оформлен по установленной форме. Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML. Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

· Случайный набор байт должен подойти под сложно структурированный формат файла.

· То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.

· Текст должен быть осмысленным, грамотным и соответствующим теме документа.

Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.

Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма -- килобайты.

2. Получение двух документов с одинаковой подписью (коллизия второго рода)

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования MD5.

3. Социальные атаки

Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключами.

Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.

Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.

Основная идея «слепых подписей» заключается в следующем. Отправитель А посылает документ стороне В, который В подписывает и возвращает А. Используя полученную подпись, сторона А может вычислить подпись стороны В на более важном для себя сообщении t. По завершении этого протокола сторона В ничего не знает ни о сообщении t, ни о подписи под этим сообщением.

Эту схему можно сравнить с конвертом, в котором размещён документ и копировальный лист. Если подписать конверт, то подпись отпечатается на документе, и при вскрытии конверта документ уже будет подписан.

Цель слепой подписи состоит в том, чтобы воспрепятствовать подписывающему лицу В ознакомиться с сообщением стороны А, которое он подписывает, и с соответствующей подписью под этим сообщением. Поэтому в дальнейшем подписанное сообщение невозможно связать со стороной А.

Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.

Использование протоколов обмена ключами и защита закрытого ключа от несанкционированного доступа позволяет снизить опасность социальных атак.

Управление ключами

1. Управление открытыми ключами

Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации.

Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.

Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.

2. Хранение закрытого ключа

Смарт-карта и USB-брелоки eToken.

Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищенность ключа полностью зависит от защищенности компьютера, и пользователь может подписывать документы только на этом компьютере.

В настоящее время существуют следующие устройства хранения закрытого ключа:

§ Дискеты

§ Смарт-карты

§ USB-брелоки

§ Таблетки Touch-Memory

Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван.

Наиболее защищенный способ хранения закрытого ключа -- хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хэш передается в карту, её процессор осуществляет подписание хэша и передает подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты сложнее, чем с других устройств хранения.

В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несет сам.

Получение электронно - цифровой подписи (ЭЦП)

ЭЦП выдается специальными организациями -- удостоверяющими центрами (УЦ), имеющими соответствующие лицензии ФСБ РФ. Процесс выдачи ЭЦП представляет собой проверку документов получателя ЭЦП (иначе говоря, идентификацию предполагаемого владельца ключа), генерацию пары ключей (открытого ключа, на который выпускается сертификат ЭЦП и который будет виден всем участникам документооборота, и закрытого ключа, известного только владельцу ЭЦП) и выпуск удостоверяющим центром сертификата открытого ключа в бумажном и электронном виде.

Бумажный сертификат заверяется печатью УЦ и подписывается уполномоченным лицом УЦ, а электронный сертификат (как правило, представляющий собой файл с расширением.cer) подписывается уполномоченным лицом УЦ с помощью собственной ЭЦП.

После этого сертификат и ключевая пара записываются на ключевой носитель. В качестве ключевого носителя лучше всего использовать защищенные носители типа ruToken или eToken, представляющие собой флеш-устройства с интегрированными в них средствами обеспечения безопасности и конфиденциальности (требование введения пин-кода, невозможность удаления или копирования ключевой пары). Внимание -- закрытый ключ является секретной информацией владельца ЭЦП и не должен никому передаваться. Рекомендуется крайне внимательно относиться к ключевому носителю, не оставлять его без присмотра и не передавать третьим лицам.

Для работы с ЭЦП необходимо установить на компьютер специальное программное обеспечение -- криптопровайдер. Как правило, криптопровайдер можно приобрести в удостоверяющем центре вместе с ЭЦП. Наиболее распространенными криптопровайдерами являются программы производства ООО «Лисси» (криптопровайдер «Lissi CSP») и ООО «Крипто-Про» (криптопровайдер «CryptoPro CSP»). После установки криптопровайдера необходимо вставить в компьютер ключевой носитель, после чего появляется возможность подписания документов.

Сертификат ЭЦП выпускается на конкретное физическое лицо, являющееся сотрудником организации Участника размещения заказа. Необходимо получить ЭЦП на сотрудника, уполномоченного на получение аккредитации на электронной площадке от имени Участника размещения заказа, и на сотрудников, уполномоченных на осуществление действий от имени Участника размещения заказа по участию в открытых аукционах в электронной форме (в том числе на регистрацию на открытых аукционах и на подписание государственного контракта).

Можно получить ЭЦП только на одного сотрудника при условии, что этот сотрудник уполномочен осуществлять все перечисленные действия от имени Участника размещения заказа. Таким сотрудником может быть, например, руководитель организации Участника размещения заказа или лицо, имеющее соответствующую доверенность. При этом все документы, подтверждающие полномочия таких сотрудников, предоставляются оператору при получении аккредитации на электронной торговой площадке.

Список использованной литературы

1. Статьи сайта «безопасность информационных систем» http://infobez.com/

2. Материал из Википедии -- свободной энциклопедии http://ru.wikipedia.org/wiki/%D0%AD%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%86%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%BF%D0%B8%D1%81%D1%8C#.D0.9F.D0.BE.D0.B4.D0.B4.D0.B5.D0.BB.D0.BA.D0.B0_.D0.BF.D0.BE.D0.B4.D0.BF.D0.B8.D1.81.D0.B5.D0.B9

3. Данные сайта компании «Электронные офисные системы» http://www.eos.ru/eos_products/eos_karma/

4. Материал из Википедии -- свободной энциклопедии http://ru.wikipedia.org/wiki/%D0%A5%D0%B5%D1%88%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5

5. Данные сайта компании «Крипто - про» http://cryptopro.ru/products/csp/overview

6. Данные сайта Тендер - закупки http://tender-zakupki.ru/ecp.html

Размещено на Allbest.ru

Подобные документы

Назначение электронной цифровой подписи как реквизита электронного документа, предназначенного для его защиты с помощью криптографического ключа. Асимметричные алгоритмы шифрования и атаки на электронную подпись. Средства работы с цифровой подписью.

реферат , добавлен 09.10.2014

Назначение и применение электронной цифровой подписи, история ее возникновения и основные признаки. Виды электронных подписей в Российской Федерации. Перечень алгоритмов электронной подписи. Подделка подписей, управление открытыми и закрытыми ключами.

курсовая работа , добавлен 13.12.2012

Правовое регулирование отношений в области использования электронной цифровой подписи. Понятие и сущность электронной цифровой подписи как электронного аналога собственноручной подписи, условия ее использования. Признаки и функции электронного документа.

контрольная работа , добавлен 30.09.2013

Понятие, история создания электронной цифровой подписи. Ее разновидности и сфера применения. Использование ЭЦП в России и в других странах, ее алгоритмы и управление ключами. Способы ее подделки. Модели атак и их возможные результаты. Социальные атаки.

реферат , добавлен 15.12.2013

Назначение и особенности применения электронной цифровой подписи, история ее возникновения, алгоритмы, схемы. Использование хэш-функций. Подделка подписей, модели атак и их возможные результаты. Управление ключами открытого типа. Хранение закрытого ключа.

презентация , добавлен 18.05.2017

Изучение истории развития электронной цифровой подписи. Исследование её назначения, принципов работы, основных функций. Виды электронных подписей в Российской Федерации. Асимметричные алгоритмы подписей. Использование хеш-функций. Управление ключами.

реферат , добавлен 04.06.2014

Сфера правоотношений по применению электронной подписи в новом федеральном законе. Шифрование электронного документа на основе симметричных алгоритмов. Формирование цифровой подписи, схема процесса проверки, ее равнозначность бумажным документам.

курсовая работа , добавлен 12.11.2013

Назначение электронной цифровой подписи. Использование хеш-функций. Симметричная и асимметричная схема. Виды асимметричных алгоритмов электронной подписи. Создание закрытого ключа и получение сертификата. Особенности электронного документооборота.

реферат , добавлен 20.12.2011

Общая схема цифровой подписи. Особенности криптографической системы с открытым ключом, этапы шифровки. Основные функции электронной цифровой подписи, ее преимущества и недостатки. Управление ключами от ЭЦП. Использование ЭЦП в России и других странах.

курсовая работа , добавлен 27.02.2011

Схема формирования электронной цифровой подписи, её виды, методы построения и функции. Атаки на электронную цифровую подпись и правовое регулирование в России. Средства работы с электронной цифровой подписью, наиболее известные пакеты и их преимущества.

Оценили многие люди. При этом так как данное ПО в настоящее время является новинкой, многие пользователи не имеют представления о том, как выглядит ЭЦП.

Общие сведения

Все очень тривиально. Если наблюдается передача заверенного документа, то адресат получает файл подписи и файл, обнаруживающийся предметом трансляции.

Если адресату прибывает не вложение, а подписанное почтовое сообщение, то почтовая программа оповестит адресата, что подписано письмо и покажет плоды ревизии подписи.

Проверка осуществляется по тому же алгоритму, что и проверка обычной подписи на бумажном носителе.

Определение подлинности

Обращайте внимание на то, что знаний об ЭЦП как выглядит недостаточно. Важно убедиться в том, что документ заверен определённым человеком. Так если работник подпишет приказ гендиректора предприятия, то такая подпись вряд ли сделает действительным приказ. Чтобы убедиться, что подпись сделана нужным человеком, её сравнивают с идеальным образцом.

Электронная подпись является результатом криптографической реорганизации, где участвуют данные пользователя и данные подписываемого документа. Поэтому цифровая подпись разных документов не будет идентичной, сравнивать бессмысленно её с эталоном. Что делать в этом случае?

Сравнивают постоянную величину - данные пользователя. При этом полное раскрытие данных небезопасно. В качестве данных для цифровой подписи применяется пара, состоящая из засекреченного и не зашифрованного ключа. Это значит, что в пользовательских данных есть секретная часть, участвующая в формировании подписи и открытая, принимающая участие в её проверке.

Для связи не зашифрованного ключа с пользователем нужен паспорт, свидетельствующий на то, что этот ключ является открытым данного конкретного пользователя. В роли такого паспорта выступают цифровые сертификаты:

Имя человека
Незасекреченный ключ, подмахнутые доверенной третьей стороной (удостоверяющим центром), свидетельствующей эту связь своей подписью

Подобный паспорт ставится на компьютер один раз и все подмахивания на письмах, приобретенных от этого пользователя, впоследствии проверяются при поддержке этого сертификата, при этом ЭЦП как выглядит, уже адресат не задаёт вопроса, и сразу видит, действительна ли подпись.

У организаций воруют деньги с помощью поддельной электронной подписи. Мы узнали историю компании, которая столкнулась с таким мошенничеством и выяснили, как защититься.

Что делать, если у компании воруют деньги с помощью поддельной электронной подписи

Инспекторы сообщили компании, что за ней числится переплата, которой быть не должно. Оказалось, кто-то сдал за организацию уточненку и снизил сумму к уплате. Декларацию заверили электронной подписью директора.

Важная статья:

Налоговики рассказали, что у организации две электронные подписи, хотя она оформляла только одну. Инспекторы назвали удостоверяющий центр, который выпустил вторую подпись. Руководитель обратился туда и выяснил, что сертификат выдали по фальшивым документам. Директор его аннулировал.

С дублем электронной подписи мошенники могли перевести себе переплату компании, если им удалось бы открыть счет от ее имени. Мы спросили в удостоверяющих центрах, как защититься от такого мошенничества. В центрах знают о злоупотреблениях, но не могут их исключить.

«Центр выдает сертификат по доверенности и копиям документов. Их легко подделать. Но сотрудник центра не вправе отказаться оформлять подпись представителю компании, если он принес все нужные документы», - рассказал Михаил Добровольский, замруководителя УЦ СКБ Контур по технологическим вопросам.

У компаний есть выход - проверять, не выпустил ли кто-то от их имени электронную подпись. В этом помогут налоговики. Инспекторы рассказали нам, что по запросу директора дадут сведения обо всех электронных подписях компании. Если появились лишние, их надо срочно аннулировать.

К заявлению инспекторы просят приложить документы, которые подтверждают обращение в полицию. Например, копию уведомления о возбуждении уголовного дела. Тогда налоговики заблокируют прием документов с посторонними подписями.

Новый закон заменил личную подпись гражданина России набором символов.

8 апреля в России принят закон «Об электронной цифровой подписи», который позволяет обращаться за услугами органов власти через интернет, используя документы, заверенные электронной подписью. В силу закон вступит с июля 2011 года, но уже сейчас ряд государственных служб области активно принимают документы с такой подписью. О том, как жители области могут стать обладателями ЭЦП, где она может им понадобиться и что может затормозить процесс ее распространения, рассказал в интервью НГС.НОВОСТИ заместитель руководителя управления Росреестра по Новосибирской области Дмитрий Ламерт .

Справка : Электронная цифровая подпись (ЭЦП) – подпись, которой удостоверяют электронные документы при обращении в госслужбы через интернет. Электронная подпись имеет такую же юридическую силу, как и традиционная. Получить ЭЦП может любое заинтересованное лицо.

Что представляет собой электронная цифровая подпись? В чем, по-вашему, видятся ее удобства?

Электронная цифровая подпись – это удобный аналог подписи, которую человек ставит на каких-либо документах. Она удобна тем, что в короткие сроки может перемещаться на дальние расстояния. Подпись позволяет получить документы из регионов страны от органов власти, которые находятся далеко, отправив туда только запрос, удостоверенный ЭЦП. Электронная подпись – это набор символов, который размещается на электронных цифровых носителях, либо на дисках, либо на флеш-картах.

Кто сейчас в большей степени ею пользуется?

Сейчас подписи в основном имеют организации и индивидуальные предприниматели. В частности, она необходима для удобства кадастровых инженеров, которые подают в Росреестр документы для кадастрового учета, заверив их ЭЦП. Также с помощью подписи кадастровый инженер может обратиться за получением сведений из государственного кадастра недвижимости и получить сведения из единого государственного реестра прав.

Может ли обычный человек получить цифровую подпись?

Какого-то разделения на юридических и физических лиц нет, и в ближайшем будущем все граждане смогут иметь эту подпись.

Подпись позволит человеку самостоятельно представить все документы в органы власти, которые работают с ЭЦП.

Например, без помощи кадастрового инженера, но при наличии ЭЦП возможно сдать в Росреестр свой межевой план, а также получить выписку из единого государственного реестра.

Насколько обширны сферы, где можно использовать ЭЦП?

Закон, который вступает в силу, полностью вводит в действие ЭЦП: любой документ можно будет подписать ручкой, а можно удостоверять электронной цифровой подписью. Также закон говорит о том, что все органы власти должны будут перейти на работу с документами, которые станут заверять электронной подписью. В частности, в Росреестре можно использовать подпись при постановке объекта недвижимости на государственный кадастровый учет. В дальнейшем возможно использование ЭЦП в различных социальных сферах, куда можно будет отправить запрос и получить документ, не ожидая в очереди.

Каким образом человек сможет ее получить?

ЭЦП выдают удостоверяющие центры, где необходимо предоставить документы, удостоверяющие личность, а также правоустанавливающие документы на предприятие, если подпись оформляется на юридическое лицо.

Дмитрий Ламерт считает, что введение электронных цифровых подписей позволит сократить очереди.

Сегодня оформление электронной подписи стоит от 5000 до 7000 рублей. В ближайшее время ее стоимость будет снижаться.

Насколько проект важен государству? Возможно ли его финансирование из бюджета? Будет ли оформление бесплатным?

Пока речь о финансировании из бюджета не стоит, так как ЭЦП – это бизнес-услуга. Никто не отнимает у человека право обратиться с обычным подписанным документом, но если есть желание не являться лично в тот или иной орган власти, то можно оформить электронную подпись.

Можно ли подделать подпись? Какова у нее степень защиты?

Электронную подпись сложнее подделать, чем обычную. На 100 % нельзя гарантировать, что это не может произойти.

По крайней мере, ЭЦП в Новосибирской области еще ни разу не подделывали, в отличие от подписи ручкой.

Данные человека, которые удостоверяют его электронно-цифровую подпись, хранит удостоверяющий центр, а за сохранность самой подписи несет ответственность владелец. Если электронный носитель с подписью утерян, надо мгновенно сообщить в удостоверяющий центр, чтобы аннулировать сертификат о получении подписи.

Зачем введение электронной цифровой подписи государству?

Введение ЭЦП – это еще один шаг к улучшению качества услуг. Подпись можно будет использовать для получения какого-нибудь кредита, оформления права на свой объект недвижимости. Например, по какой-то причине вам понадобились справки из трех государственных органов. Сегодня вы должны будете либо отправить запросы во все эти органы конвертом по обычной почте, либо просто уйти с работы, отпроситься, чтобы подать запросы им лично. Наличие ЭЦП дает возможность в обеденный перерыв напечатать эти три запроса и отправить их со своего компьютера, удостоверив электронной подписью, и ждать, когда вам придут ответы.

Связана ли электронная подпись с универсальной электронной картой, которую начнут вводить с января 2012 года, чтобы объединить паспорт, страховой полис и прочие документы?

Прямой связи здесь нет, но работает карта по тому же принципу. Если ЭЦП дает возможность не подписывать, а удостоверить, то электронная карта позволяет не носить с собой большой объем документов.

Быстро ли подпись приобретет популярность и что будет тормозить ее внедрение?

Тормозить или ускорять этот процесс будет скорость внедрения ЭЦП во всех органах власти: чем быстрее эту услугу органы будут предоставлять, тем быстрее подпись будет распространяться. К тому же все новое пугает, а подпись – новый механизм, мощный рывок, не все его воспринимают на «ура».

Сами заведете себе электронную подпись?

Я приобрету себе такую подпись, как только все органы власти начнут активно предоставлять эту услугу.

Анализ возможностей подделки подписей называется криптоанализ. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют "атака".

Модели атак и их возможные результаты.

ѕ Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.

ѕ Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.

ѕ Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.

ѕ Полный взлом цифровой подписи. Получение закрытого ключа, что означает полный взлом алгоритма.

ѕ Универсальная подделка цифровой подписи. Нахождение алгоритма, аналогичного алгоритму подписи, что позволяет подделывать подписи для любого электронного документа.

ѕ Выборочная подделка цифровой подписи. Возможность подделывать подписи для документов, выбранных криптоаналитиком.

ѕ Документ представляет из себя осмысленный текст.

ѕ Текст документа оформлен по установленной форме.

Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

ѕ Случайный набор байт должен подойти под сложно структурированный формат файла.

ѕ То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.

ѕ Текст должен быть осмысленным, грамотным и соответствующим теме документа.

Получение двух документов с одинаковой подписью (коллизия второго рода).

Социальные атаки

ѕ Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.

ѕ Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.

ѕ Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.