Процедура перевірки цифрового підпису. Введення в криптографію з відкритим ключем Користування електронним підписом

Електронно-цифровий підпис (ЕЦП)- це реквізит електронного документа, призначений для захисту даного електронного документа від підробки, отриманий внаслідок криптографічного перетворення інформації з використанням закритого електронного ключа цифровий підписта дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити відсутність спотворення інформації в електронному документі.

Електронно-цифровий підпис - це програмно- криптографічний засіб, Що забезпечує:

перевірку цілісності документів;

конфіденційність документів;

встановлення особи, яка надіслала документ.

Переваги використання електронно-цифрового підпису

Використання електронно-цифрового підпису дозволяє:

значно скоротити час, що витрачається на оформлення правочину та обмін документацією;

удосконалити та здешевити процедуру підготовки, доставки, обліку та зберігання документів;

гарантувати достовірність документації;

мінімізувати ризик фінансових втрат за рахунок підвищення конфіденційності інформаційного обміну;

побудувати корпоративну системуобміну документами.

Види електронно-цифрового підпису

Існує три види електронного цифрового підпису:

Простий електронно-цифровий підпис

За допомогою використання кодів, паролів чи інших засобів, проста електронно-цифровий підписпідтверджує факт формування електронного підписупевною особою.

Простий електронно-цифровий підпис має низький ступінь захисту. Вона дає змогу лише визначити автора документа.

Простий електронно-цифровий підпис не захищає документ від підробки.

Посилений некваліфікований електронно-цифровий підпис

1) отримана внаслідок криптографічного перетворення інформації з використанням ключа електронного підпису;

2) дозволяє визначити особу, яка підписала електронний документ;

3) дозволяє виявити факт внесення змін до електронного документа після його підписання;

4) створюється з використанням коштів електронного підпису.

Посилений некваліфікований електронно-цифровий підпис має середній ступінь захисту.

Щоб використовувати некваліфікований електронний підпис, потрібний сертифікат ключа його перевірки.

Посилений кваліфікований електронно-цифровий підпис

Для кваліфікованого електронного підпису характерні ознаки некваліфікованого електронного підпису.

Посилений кваліфікований електронно-цифровий підпис відповідає наступним додатковим ознакам підпису:

1) ключ перевірки електронного підпису вказано у кваліфікованому сертифікаті;

2) для створення та перевірки електронного підпису використовуються засоби електронного підпису, які отримали підтвердження відповідності вимогам законодавства.

Посилений кваліфікований електронно-цифровий підпис є найбільш універсальним та стандартизованим підписом з високим ступенем захисту.

Документ, візований таким підписом, аналогічний паперовому варіанту із власноручним підписом.

Використовувати такий підпис можна і без будь-яких додаткових угод та регламентів між учасниками електронного документообігу.

Якщо під документом стоїть кваліфікований підпис, можна точно визначити, який саме співробітник організації його поставив.

А також встановити, чи документ змінювався вже після того, як був підписаний.

Коли застосовуються різні види підпису

Простий електронно-цифровий підпис

Звернення заявників - юридичних осіб за отриманням державних та муніципальних послуг здійснюється шляхом підписання звернення уповноваженою особою з використанням простого електронного підпису.

Використання простого електронного підпису для отримання державної або муніципальної послуги допускається, якщо федеральними законами або іншими нормативними актами не встановлено заборону на звернення за отриманням державної або муніципальної послуги в електронній формі, а також не встановлено використання з цією метою іншого виду електронного підпису

Посилений некваліфікований електронно-цифровий підпис

Випадки, у яких інформація в електронній формі, підписана некваліфікованим електронним підписом, визнається електронним документом, який є рівнозначним документу на паперовому носії, підписаному власноручним підписом, у Податковому кодексі не визначено.

На думку Мінфіну, для цілей податкового обліку документ, оформлений у електронному виглядіта підписаний некваліфікованим електронним підписом, не може бути документом, рівнозначним документу на паперовому носії, підписаному власноручним підписом.

Тому, хоча господарюючі сторони за наявності юридично дійсної угоди можуть організувати електронний документообіг, застосовуючи посилений некваліфікований електронний підпис, якщо є ймовірність виникнення суперечок з контролюючим органом, зміст таких документів втрачається.

Посилений кваліфікований електронно-цифровий підпис

Для деяких видів звітності використання кваліфікованого підпису прямо визначено нормативними документами.

Наприклад, такий порядок встановлений для:

річний бухгалтерської звітності, яку необхідно здати до Росстату;

форми РСВ-1 ПФР;

звітності до податкової інспекції – декларації.

Електронний рахунок-фактуру слід підписувати лише посиленим кваліфікованим електронним підписом керівника чи інших осіб, уповноважених цього наказом (іншим розпорядчим документом) чи довіреністю від імені організації, індивідуального підприємця.

Заява про постановку на облік (зняття з обліку) у податковому органі засвідчується лише посиленим кваліфікованим підписом.

Заяви про повернення або зарахування суми податку також приймаються лише у випадку, якщо їх візовано посиленим кваліфікованим електронним підписом.

Електронно-цифровий підпис (ЕЦП): подробиці для бухгалтера

• Чи можна застосовувати електронний цифровий підпис та факсимільний підпис під час оформлення бухгалтерських документів?

  Угодою сторін. Електронний цифровий підпис (ЕЦП) В даний час відносини в... детально про порядок застосування видів ЕЦП під час підписання документів бухгалтерського та...

• Електронна взаємодія працівника та роботодавця при оформленні трудових відносин

  Що електронний цифровий підпис (ЕЦП) на кадрових документах можна буде... обмежений перелік документів, що підписуються ЕЦП, з метою захисту прав... суттєвих інвестицій. Висока вартість випуску ЕЦП (з урахуванням випуску кваліфікованої... Складність "масового" отримання ЕЦП Неможливість підписання документів заднім числом... переходу до використання нових стандартів ЕЦП та функції хешування». Передбачалося, ... переходу до використання нових стандартів ЕЦП та функції хешування».

• Чим ризикує головбух: порівнюємо роботу з ТК РФ та ЦК РФ

  Пам'ятає, на кого було оформлено електронний цифровий підпис. Головний бухгалтер пояснила, що...

• Формули для визначення нормативних значень ключових показників економічної цінності підприємств

  Види: показники річної ЕЦП; показники періодної ЕЦП; показники загальної ЕЦП У свою... три підвиди: показники допрогнозної ЕЦП; очікувані показники прогнозної ЕЦП; передбачувані (можливі) ... підвидів) розрахункові нормативні показники ЕЦП. Прийняті вимірювачі ЕЦП – мільйони/тисячі фінансових... економічної одиниці, а фактичні показники ЕЦП – є обов'язковими звітними показниками... . Як зазначалося вище, показники ЕЦП характеризують товаропродуктивність та/або послугопродуктивність.

• Реєстрація бізнесу

  Потрібно заздалегідь придбати. Вартість такої ЕЦП варіюється приблизно в межах від... засновником вигода суттєва. Якщо, наприклад, ЕЦП буде придбано за 1000 руб... спрямовано вам електронно, з посиленою ЕЦП податкового органу. Сайт держпослуг надає...

• До питання про визначення понять загальної, періодної та річної економічної цінності підприємства

  Уявлення про економічну цінність підприємства (ЕЦП), то визначення цього поняття, виходячи з... вартості товарів, виглядає наступним чином: ЕЦП – ЦЕ РОЗРАХУНКОВА НОРМА ЧИСТОГО ДОХОДУ...

• Покрокова інструкція щодо отримання майнового відрахування

  Порядку? Тоді вводимо пароль від ЕЦП (електронного цифрового підпису). Якщо раніше... пароль від ЕЦП не було отримано, то зберігаємо... шостому кроці вводимо пароль від ЕЦП, який вигадали при її створенні...

• Електронний лікарняний – право, а чи не обов'язок

  Раніше знайденого лікарняного плагіну КриптоПро ЕЦП browser plug-in не бачить...

• Оформлення рахунків-фактур: перша половина 2017 року

  Цією метою використовується посилена кваліфікована ЕЦП (п. 6). Відповідно до... електронного зразка, підписаного посиленою кваліфікованою ЕЦП керівника компанії, неправомірно. Загалом...

• Порядок сплати ПДВ при імпорті товарів з Білорусі

  Яким є порядок сплати ПДВ при імпорті товарів з Беспубліки Білорусь (у тому числі терміни)? Яку звітність потрібно подати до податкового органу та митного органу? Яким є порядок сплати ПДВ при імпорті товарів з Беспубліки Білорусь (у тому числі терміни)? Яку звітність потрібно подати до податкового органу та митного органу? Розглянувши питання, ми дійшли наступного висновку: При імпорті товарів з Республіки Білорусь (далі - РБ) організація повинна сплатити ПДВ не пізніше 20 числа місяця, наступного за...

• Регістри бухгалтерського обліку у формі електронних документів

  Якщо регістри бухгалтерського обліку (первинні облікові документи) формуються в електронному вигляді, які вимоги щодо їх заповнення висуваються? Якщо регістри бухгалтерського обліку (первинні облікові документи) формуються в електронному вигляді, які вимоги щодо їх заповнення висуваються? Відповідно до п. 11 Інструкції № 157н регістри бухгалтерського обліку складаються за уніфікованими формами, встановленими в рамках бюджетного законодавства. Нагадаємо, що наразі необхідні форми...

  Заповнюється тільки заява (яка засвідчується ЕЦП кредитної організації), фотографія не потрібна.

• Зміни до Закону про контрактну систему: роз'яснення Мінфіну щодо перехідного періоду

  З 01.07.2018 набувають чинності окремі положення федеральних законів від 31.12.2017 № 504-ФЗ «Про внесення змін до Федерального закону «Про контрактну систему у сфері закупівель товарів, робіт, послуг для забезпечення державних та муніципальних потреб» та від 31.12.2017 № 505-ФЗ «Про внесення змін до окремих законодавчих актів Російської Федерації». У Листі від 25.06.2018 № 24-06-08/43650 Мінфіном повідомляється позиція щодо перехідного періоду з 01.07.2018 до 01.01. ...

Цифровий підпис

Електронний цифровий підпис (ЕЦП)- реквізит електронного документа, призначений для захисту даного електронного документавід підробки, отриманий в результаті криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису і що дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити відсутність спотворення інформації в електронному документі, а також забезпечує невідмовність підписувача.

Загальна схема

Схема електронного підпису зазвичай включає:

• алгоритм генерації ключових пар користувача;
• функцію обчислення підпису;
• функцію перевірки підпису.

Функція обчислення підпису на основі документа та секретного ключа користувача обчислює власне підпис. Залежно від алгоритму, функція обчислення підпису може бути детермінованою або імовірнісною. Детерміновані функції завжди обчислюють однаковий підпис за однаковими вхідними даними. Імовірнісні функції вносять до підпису елемент випадковості, що посилює криптостійкість алгоритмів ЕЦП. Однак, для ймовірнісних схем необхідний надійне джерело випадковості (або апаратний генератор шуму, або криптографічно надійний генератор псевдовипадкових біт), що ускладнює реалізацію.
Нині детерміновані схеми мало використовуються. Навіть спочатку детерміновані алгоритми зараз внесені модифікації, що перетворюють їх на імовірнісні (так, в алгоритм підпису PKCS#1 додала попереднє перетворення даних (OAEP), що включає, серед іншого, зашумлення).

Функція перевірки підпису перевіряє, чи цей підпис відповідає цьому документу та відкритому ключу користувача. Відкритий ключ користувача доступний всім, тому будь-хто може перевірити підпис під даним документом.

Оскільки документи, що підписуються, - змінної (і досить великої) довжини, в схемах ЕЦП найчастіше підпис ставиться не на сам документ, а на його хеш. Для обчислення хеш використовуються криптографічні хеш-функції, що гарантує виявлення змін документа під час перевірки підпису. Хеш-функції не є частиною алгоритму ЕЦП, тому у схемі може бути використана будь-яка надійна хеш-функція.

Алгоритми ЕЦП поділяються на два великі класи: звичайні цифрові підписи та цифрові підписи з відновленням документа. Звичайні цифрові підписи необхідно пристиковувати до документа, що підписується. До цього класу належать, наприклад, алгоритми, що ґрунтуються на еліптичних кривих (ГОСТ Р 34.10-2001, ДСТУ 4145-2002). Цифрові підписи з відновленням документа містять підписуваний документ: у процесі перевірки підпису автоматично обчислюється і тіло документа. До цього класу належить один із найпопулярніших алгоритмів - код автентичності повідомлення, незважаючи на схожість розв'язуваних завдань (забезпечення цілісності документа та невідмовності авторства). Алгоритми ЕЦП належать до класу асиметричних алгоритмів, тоді як коди автентичності обчислюються за симетричними схемами.

Захищеність

Цифровий підпис забезпечує:

• Посвідчення джерела документа. Залежно від деталей визначення документа може бути підписано такі поля, як «автор», «внесені зміни», «мітка часу» тощо.
• Захист від змін документа. При будь-якій випадковій чи навмисній зміні документа (або підпису) зміниться хеш, отже, підпис стане недійсним.
• Неможливість відмовитися від авторства. Так як створити коректний підпис можна лише знаючи закритий ключ, а він відомий тільки власнику, то власник не може відмовитися від свого підпису під документом.
• Підприємствам та комерційним організаціям подання фінансової звітності до державних установ в електронному вигляді;
• Організацію юридично значимого електронного документообігу.

Можливі атаки на ЕЦП такі…

Підробка підпису

Отримання фальшивого підпису, не маючи секретного ключа – завдання практично не вирішуване навіть для дуже слабких шифрів та хешів.

Підробка документа (колізія першого роду)

Зловмисник може спробувати підібрати документ до цього підпису, щоб підпис до нього підходив. Однак у переважній більшості випадків такий документ може бути лише один. Причина наступного:

• Документ є осмисленим текстом.
• Текст документа оформлений за встановленою формою.
• Документи рідко оформлюють у вигляді Plain Text - файлу, найчастіше в форматі DOCабо HTML.

Якщо у фальшивого набору байт і відбудеться колізія з хешем вихідного документа, то повинні виконатися 3 наступні умови:

• Випадковий набір байт повинен підійти під складний структурований формат файлу.
• Те, що текстовий редакторпрочитає у випадковому наборі байт, що має утворювати текст, оформлений за встановленою формою.
• Текст має бути осмисленим, грамотним та відповідним до теми документа.

Втім, у багатьох структурованих наборах даних можна вставити довільні дані до деяких службових полів, не змінивши вигляд документа для користувача. Саме цим користуються зловмисники, підробляючи документи.

Імовірність подібної події також дуже мала. Можна вважати, що на практиці такого трапитися не може навіть з ненадійними хеш-функціями, оскільки документи зазвичай великого обсягу – кілобайти.

Отримання двох документів з однаковим підписом (колізія другого роду)

Куди вірогідніша атака другого роду. У цьому випадку зловмисник фабрикує два документи з однаковим підписом і в потрібний момент підміняє один іншим. При використанні надійної хеш-функції така атака має бути також обчислювально складною. Однак ці загрози можуть реалізуватися через слабкості конкретних алгоритмів хешування, підпису або помилок у їх реалізаціях. Зокрема, таким чином можна провести атаку на SSL-сертифікати та алгоритм хешування.

Соціальні атаки

Соціальні атаки спрямовані на «слабку ланку» криптосистеми – людину.

• Зловмисник, який викрав закритий ключ, може підписати будь-який документ від імені власника ключа.
• Зловмисник може обманом змусити власника підписати будь-який документ, наприклад, використовуючи протокол сліпого підпису.
• Зловмисник може підмінити відкритий ключ власника (див. управління ключами) на власний, видаючи себе за нього.

Алгоритми ЕЦП

• Американські стандарти електронного цифрового підпису: ECDSA
• Російські стандарти електронного цифрового підпису: ГОСТ Р 34.10-94 (нині діє), ГОСТ Р 34.10-2001
• Український стандарт електронного цифрового підпису: ДСТУ 4145-2002
• Стандарт RSA
• схема Шнорра

Керування ключами

Юридичні аспекти

У Росії юридично значимий сертифікат електронного підпису видає центр, що засвідчує. Правові умови використання електронного цифрового підпису в електронних документах регламентує ФЕДЕРАЛЬНИЙ ЗАКОН ВІД 10.01.2002 N 1-ФЗ «ПРО ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС»

Використання ЕЦП у Росії

Після становлення ЕЦП при використанні в електронному документообігу між кредитними організаціями та кредитними бюро у 2005 році активно почала розвиватися інфраструктура електронного ДОП між податковими органамита платниками податків. Почав працювати наказ Міністерства з податків і зборів Російської Федерації від 2 квітня 2002 р. N БГ-3-32/169 "Порядок подання податкової декларації в електронному вигляді по телекомунікаційним каналам зв'язку". Порядок подання податкової декларації в електронному вигляді на телекомунікаційних каналах зв'язку визначає загальні принципиорганізації інформаційного обміну при поданні платниками податків податкової декларації в електронному вигляді телекомунікаційними каналами зв'язку.

У Законі РФ від 10.01.2002 № 1-ФЗ «ПРО ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС» прописані умови використання електронного цифрового підпису, особливості його використання у сферах державного управління та в корпоративній інформаційній системі. Завдяки електронному цифровому підпису тепер, зокрема, багато російських компаній здійснюють свою торгово-закупівельну діяльність в Інтернеті, через «Системи електронної торгівлі», обмінюючись з контрагентами необхідними документамив електронному вигляді, підписаними ЕЦП. Це значно спрощує та прискорює проведення конкурсних торгових процедур.

У Москві в рамках реалізації ГЦП (Міський цільової програми) "Електронна Москва" було утворено Уповноважений посвідчувальний Центр ВАТ "Електронна Москва" (http://www.uc-em.ru) для вирішення завдань координації робіт та залучення інвестицій при виконанні Міської цільової програми.

Використання ЕЦП в інших країнах

Система електронних підписів широко використовується в Естонській Республіці, де введено програму ID-карт, якими забезпечено 3/4 населення країни. За допомогою електронного підпису у березні 2007 року було проведено вибори до місцевого парламенту – Рійгікогу. Під час голосування електронний підпис використали 400 000 осіб. Крім того, за допомогою електронного підпису можна надіслати податкову декларацію, митну декларацію, різні анкети як до місцевих самоврядувань, так і до державних органів. У великих містах за допомогою ID-картки можливе придбання місячних автобусних квитків. Все це здійснюється через центральний цивільний портал Eesti.ee. Естонська ID-картка є обов'язковою для всіх жителів з 15 років, які проживають тимчасово чи постійно на території Естонії.

Примітки

Федеральний закон №149 – ФЗ від 27 липня 2006р. "Про інформацію, інформаційні технології та про захист інформації" - http://uc-em.ru/download/02.doc

Федеральний закон № 126 – ФЗ від 07 липня 2003р. "Про зв'язок" - http://uc-em.ru/download/03.doc

Постанова Уряду РФ №319 від 30 червня 2004р. "Про затвердження Положення про Федеральне агентство по інформаційним технологіям- http://uc-em.ru/download/05.doc

Постанова Уряду Москви №495 – ПП від 19 червня 2007р. "Про затвердження Положення про Головний центр міста Москви, що засвідчує" - http://uc-em.ru/download/06.doc

Постанова Уряду Москви №249 – ПП від 10 квітня 2007р. "Про затвердження порядку роботи органів виконавчої влади міста Москви, державних установ та державних унітарних підприємств міста Москви з електронними документами, підписаними електронним цифровим підписом" - http://uc-em.ru/download/07.doc

Постанова Уряду Москви №997 – ПП від 19 грудня 2006р. "Про затвердження порядку використання електронного цифрового підпису органами виконавчої влади міста та державними замовниками при розміщенні державного замовлення міста Москви" - http://uc-em.ru/download/08.doc

Постанова Уряду Москви №544 - ВП "Про затвердження Положення про Систему уповноважених центрів органів виконавчої влади міста Москви" - http://uc-em.ru/download/09.doc

Постанова Уряду Москви №450 – ПП від 6 липня 2004р. "Про додаткові заходи щодо забезпечення ефективного використання бюджетних коштів при формуванні, розміщенні та виконанні міського державного замовлення та створення Єдиного реєстру контрактів та торгів міста Москви" - http://uc-em.ru/download/10.doc

Постанова Уряди Москви №299-ПП від 11 травня 2004р. "Про затвердження Положення про порядок організації видачі та відкликання сертифікатів ключів електронних цифрових підписів уповноважених осіборганів виконавчої влади міста Москви" - http://uc-em.ru/download/11.doc

Постанова Уряди Москви №1079-ПП від 30 грудня 2003р. "Про уповноважений орган у сфері використання електронного цифрового підпису в інформаційних системахорганів виконавчої влади міста Москви" - http://uc-em.ru/download/12.doc

Про визначення уповноважених центрів, що посвідчують, - http://uc-em.ru/download/14.doc

Посилання

• www.ECM-Journal.ru - Блоги та статті. Просто про електронний документообіг

також

• Звичайний підпис
• Швидкий цифровий підпис

Wikimedia Foundation. 2010 .

• Цифрова прірва
• Цифран

Дивитись що таке "Цифровий підпис" в інших словниках:

цифровий підпис- ЦПД Дані, додані до блоку даних, або криптографічне перетворення блоку даних, що дозволяє одержувачу даних переконатися в походженні та цілісності блоку даних та забезпечити захист від шахрайства, наприклад, одержувачем. Довідник технічного перекладача

цифровий підпис- 3.25 цифровий підпис (digital signature): Криптографічне перетворення, яке, будучи пов'язане з елементом даних, забезпечує послуги з автентифікації джерела, цілісності даних та невідмовності сторони, що підписала. … … Словник-довідник термінів нормативно-технічної документації- числове значення, що обчислюється за текстом повідомлення за допомогою секретного ключа відправника, а перевіряється відкритим ключем, що відповідає секретному ключу відправника. Свідчить, що документ походить від тієї особи, чий цифровий підпис… … Тлумачний словник з інформаційному суспільствута новій економіці

Електронний цифровий підпис- Стиль цієї статті неенциклопедичний чи порушує норми російської мови. Статтю слід виправити згідно з стилістичними правилами Вікіпедії. Електронний підпис (ЕП) інформація в електронній формі, приєднана до іншої інформації в електронній формі.

ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС- (ЕЦП, цифровий підпис, електронний підпис, англ. digital signature), криптографічний засіб, аналог підпису, що дозволяє підтвердити справжність електронного документа, створеного за допомогою комп'ютера (див. КОМП'ЮТЕР). ЕЦП представляє… … Енциклопедичний словник, О. Н. Герман, Ю. В. Нестеренко. Підручник створений відповідно до Федерального державного освітнього стандарту за напрямами підготовки Інформаційна безпекаі Математика (кваліфікація бакалавр). У…

• Директор інформаційної служби №07/2017, Відкриті системи. «Директор інформаційної служби» (CIO.ru) – журнал для менеджерів, які відповідають за ідеологію, стратегію та реалізацію інформаційної підтримкибізнесу, керівників ІТ-підрозділів підприємств… Купити за 629 руб електронна книга

Електронний цифровий підпис зараз на слуху - багато сучасних компаній потихеньку переходять на електронний документообіг. Та й у повсякденному житті ти, напевно, стикався з цією штукою. Якщо двома словами, суть ЕЦП дуже проста: є центр, що засвідчує, є генератор ключів, ще трохи магії, і вуаля - всі документи підписані. Залишилося розібратися, що ж за магія дозволяє цифровому підпису працювати.

Roadmap

Це п'ятий урок із циклу «Занурення у крипту». Усі уроки циклу у хронологічному порядку:

1. Генерація ключів

Причина стійкості RSA у складності факторизації великих чисел. Іншими словами, перебором дуже важко підібрати такі прості числа, які у творі дають модуль n. Ключі генеруються однаково для підпису та шифрування.

Коли ключі згенеровані, можна розпочати обчислення електронного підпису.

2. Обчислення електронного підпису

3. Перевірка електронного підпису

RSA, як відомо, збирається йти на пенсію, тому що обчислювальні потужностіростуть не щодня, а щогодини. Неподалік той день, коли 1024-бітний ключ RSA можна буде підібрати за лічені хвилини. Втім, про квантові комп'ютери ми поговоримо наступного разу.

Загалом не варто покладатися на стійкість цієї схеми підпису RSA, особливо з такими «криптостійкими» ключами, як у нашому прикладі.

Продовження доступне лише учасникам

Варіант 1. Приєднайтесь до спільноти «сайт», щоб читати всі матеріали на сайті

Членство у спільноті протягом зазначеного терміну відкриє тобі доступ до ВСІХ матеріалів «Хакера», збільшить особисту накопичувальну знижку та дозволить накопичувати професійний рейтинг Xakep Score!

Електронний підпис – це математична схема, призначена для відображення справжності електронних повідомленьчи документів. Дійсний цифровий підпис надає всі підстави для одержувача вважати, що повідомлення було створено за допомогою відомого відправника, що воно дійсно відправлене (автентифікація та безвідмовність), а також те, що листа не змінили в процесі передачі (цілісність).

Відповідаючи на запитання: "ЕЦП - що це таке?" - слід зазначити, що є стандартним елементом більшості криптографічних наборів протоколів і зазвичай використовуються поширення ПЗ, здійснення фінансових операцій, соціальній та багатьох інших випадках, коли це важливо визначення підробки чи фальсифікації.

Цифрові підписи часто використовуються для реалізації електронних підписів. Це більш широкий термін, який стосується будь-яких даних електронного типу. Водночас не кожен електронний підпис є цифровим.

Цифрові підписи використовують асиметричну криптографію. У багатьох випадках вони забезпечують певний рівень перевірки та безпеки для повідомлень, надісланих незахищеним каналом. Будучи правильно реалізованим, цифровий підпис дозволяє вважати, що повідомлення було надіслано за допомогою заявленого відправника. Цифрові печатки та підписи еквівалентні власноручним підписам та реальним печаткам.

ЕЦП – що це таке?

Цифрові підписи подібні до традиційних власноручних підписів у багатьох відношеннях, при цьому їх важче підробити, ніж рукописні. Цифрові схеми підпису мають криптографічні основи і мають бути виконані належним чином, ніж втратити ефективність. Як підписати документ ЕЦП? Потрібно використовувати 2 парних кріптоключа.

ЕЦП можуть реалізувати принцип безвідмовності. Це означає, що передплатник не може успішно стверджувати, що він не підписував повідомлення. Крім того, деякі схеми пропонують тимчасову мітку для цифрового підпису і навіть якщо закритий ключ піддається впливу, підпис залишається дійсним. ЕЦП можуть бути представлені у вигляді бітового рядка і можуть бути застосовані в електронною поштою, контракти або повідомлення, надісланому за допомогою будь-якого криптографічного протоколу.

Криптографія з відкритим ключем або структура ЕЦП

Що таке? Цифрова схема підпису включає одночасно три алгоритми.

Алгоритм генерації ключа, який вибирає секретний ключ рівномірним і випадковим чином з безлічі можливих приватних. Він видає ключ секретний і відкритий, що йде з ним у парі.

Алгоритм підпису, який, враховуючи повідомлення та закритий ключ, власне і здійснює підпис.

Перевірочний алгоритм підпису, який враховує повідомлення, відкритий ключ і підпис і приймає або відхиляє відправлення листа, визначаючи справжність.

Як встановити ЕЦП?

Щоб використовувати цифровий підпис, необхідно наділити його двома основними властивостями. Що потрібно враховувати перед тим, як підписати документ ЕЦП?

По-перше, справжність підпису, що генерується з фіксованого повідомлення та секретного ключа, може бути перевірена за допомогою відповідної відкритої інформації.

По-друге, має бути обчислювально неможливим підібрати правильний підпис не знаючи секретного ключа. ЕЦП є механізмом аутентифікації, який дозволяє творцю повідомлення прикріпити код, який діє як підпис.

Застосування цифрових підписів

Оскільки сучасні організації поступово відходять від паперових документів із підписами, виконаними чорнилом, ЕЦП можуть забезпечити додаткове засвідчення справжності та доказ авторства, ідентичності та статусу документа. Крім того, цифровий підпис може бути засобом, що підтверджує поінформовану згоду та схвалення сторони, що підписала. Таким чином, ЕЦП для фізичних осіб- Реальність.

Аутентифікація

Незважаючи на те, що листи можуть включати в себе детальну інформацію, який завжди можна достовірно визначити відправника. Цифрові підписи можна використовувати для автентифікації джерела повідомлень. Коли секретний ключ ЕЦП прив'язаний до конкретного користувача, це підтверджує, що повідомлення надіслано саме їм. Значення впевненості в тому, що відправник справжній, особливо очевидний у фінансових сферах.

Цілісність

У багатьох сценаріях відправник та одержувач листа потребують точного підтвердження, що він не був змінений під час передачі. Хоча шифрування приховує вміст відправленого об'єкта, можна лише змінити зашифроване повідомлення, без розуміння його сенсу. Деякі здатні запобігти цьому, але не завжди. У будь-якому випадку перевірка ЕЦП під час розшифровки виявить порушення цілісності листа.

Однак, якщо повідомлення підписано цифровим підписом, будь-яка зміна в ньому після підписання дезавуює підпис. Крім того, не існує ефективного методузмінити повідомлення та зробити нове з дійсним підписом, тому що це вважається обчислювально неможливим.

Невідмовність

Незаперечність чи неможливість заперечення походження листа є важливим аспектом у розвитку ЕЦП. Що таке? Це означає, що юридична особа, що надіслав деяку інформацію, не може надалі заперечувати, що підписало її. Аналогічно доступ до відкритого ключа не дозволяє зловмисникам підробляти дійсний підпис. Такі ж наслідки несе застосування ЕЦП для фізичних осіб.

У цьому слід акцентувати у тому, що це властивості справжності, безвідмовності тощо. залежить від секретного ключа, який має бути відкликаний до його використання. Відкриті ключі також повинні бути анульовані в парі із секретними після використання. Перевірка ЕЦП щодо «відкликання» відбувається за певним запитом.

Введення секретного ключа на смарт-картці

Усі криптосистеми, що функціонують за принципами використання відкритого/закритого ключа, повністю залежить від змісту даних у секреті. Секретний ключ ЕЦП може зберігатися на комп'ютері користувача та бути захищеним локальним паролем. Однак такий спосіб має два недоліки:

• користувач може підписувати документи виключно на цьому конкретному комп'ютері;
• Безпека секретного ключа залежить від безпеки комп'ютера.

Більш надійна альтернатива для зберігання секретного ключа – смарт-карта. Багато смарт-карток оснащені захистом від несанкціонованого втручання.

Як правило, користувач повинен активувати свою смарт-карту, ввівши персональний ідентифікаційний номер або PIN-код (у такий спосіб забезпечуючи це може бути влаштовано так, що закритий ключ ніколи не залишає смарт-карту, хоча це не завжди реалізується в криптопро ЕЦП).

Якщо смарт-картка вкрадена, зловмиснику, як і раніше, потрібен PIN-код для створення цифрового підпису. Це дещо знижує безпеку цієї схеми. Пом'якшуючим фактором є те, що згенеровані ключі, якщо вони зберігаються на смарт-картах, зазвичай важко скопіювати, передбачається, що вони існують тільки в одному екземплярі. Таким чином, коли втрата смарт-картки буде виявлена ​​власником, відповідний сертифікат може бути негайно відкликаний. Закриті ключі, захищені тільки програмним забезпеченням, Простіше скопіювати, і такі витоки набагато важче виявити. Тому використання ЕЦПбез додаткового захисту небезпечно.