Административно-правовые средства защиты информации с использованием электронной цифровой подписи

(Ильин А. Ю.)

(«Административное и муниципальное право», 2009, N 2)

АДМИНИСТРАТИВНО-ПРАВОВЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

С ИСПОЛЬЗОВАНИЕМ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ

А. Ю. ИЛЬИН

Ильин Александр Юрьевич, кандидат юридических наук, доцент кафедры финансового и административного права Всероссийской государственной налоговой академии Министерства финансов РФ.

В настоящее время приняла грандиозные масштабы научно-техническая революция в области информатизации общества на базе современных средств вычислительной техники, связи, а также современных методов автоматизированной обработки информации. Применение этих средств и методов приняло всеобщий характер, а создаваемые при этом информационно-вычислительные системы и сети становятся глобальными как в смысле территориальной распределенности, так и в смысле широты охвата в рамках единых технологий процессов сбора, передачи, накопления, хранения, поиска, переработки информации и выдачи ее для использования.

Информация в современном обществе — одна из самых ценных вещей в жизни, требующая защиты от несанкционированного проникновения лиц, не имеющих к ней доступа.

Появление в середине двадцатого столетия первых электронно-вычислительных машин кардинально изменило ситуацию в области шифрования (криптографии). С проникновением компьютеров в различные сферы жизни возникла принципиально новая отрасль — информационная индустрия.

В 60-х и частично в 70-х годах проблема защиты информации решалась достаточно эффективно применением в основном организационных мер. К ним относились прежде всего режимные мероприятия, охрана, сигнализация и простейшие программные средства защиты информации. Эффективность использования указанных средств достигалась за счет концентрации информации на вычислительных центрах, как правило, автономных, что способствовало обеспечению защиты относительно малыми средствами.

Рассосредоточение информации по местам ее хранения и обработки, чему в немалой степени способствовало появление в огромных количествах дешевых персональных компьютеров и построенных на их основе локальных и глобальных национальных и транснациональных сетей ЭВМ, использующих спутниковые каналы связи, создание высокоэффективных систем разведки и добычи информации, обострило ситуацию с защитой информации.

Проблема обеспечения необходимого уровня защиты информации оказалась весьма сложной, требующей для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специфических средств и методов, а создания целостной системы организационных мероприятий и применения специфических средств и методов по защите информации.

Задача криптографии, т. е. тайной передачи, возникает только для информации, которая нуждается в защите. В таких случаях говорят, что информация содержит тайну или является защищаемой, приватной, конфиденциальной, секретной. Для наиболее типичных, часто встречающихся ситуаций такого типа введены специальные понятия:

— государственная тайна;

— служебная тайна;

— коммерческая тайна;

— налоговая тайна;

— банковская тайна;

— врачебная тайна и т. д.

Говоря о информационной безопасности, необходимо иметь в виду, что:

— имеется какой-то определенный круг законных пользователей, которые имеют право владеть этой информацией;

— имеются незаконные пользователи, которые стремятся овладеть этой информацией, с тем чтобы обратить ее себе во благо, а законным пользователям во вред.

Защита информации в настоящее время возможна с использованием различных правовых и технических средств.

Одним из распространенных сейчас способов защиты информации является применение электронной цифровой подписи.

Это криптографическое средство, которое позволяет удостовериться в отсутствии искажений в тексте электронного документа, а в соответствующих случаях — идентифицировать лицо, создавшее такую подпись.

В развитых странах мира, в том числе и в России, электронная цифровая подпись широко используется в финансово-хозяйственном обороте. Центральный банк РФ и коммерческие банки эффективно используют электронную цифровую подпись для осуществления банковских операций путем пересылки банковских электронных документов по корпоративным и общедоступным телекоммуникационным сетям.

Последовательность действий применения электронной цифровой подписи состоит из ряда операций:

— генерируется пара ключей: открытый и закрытый;

— открытый ключ передается заинтересованной стороне (получателю документов, подписанных стороной, сгенерировавшей ключи);

— отправитель сообщения шифрует его своим закрытым ключом и передает получателю по каналам связи;

— получатель дешифрует сообщение открытым ключом отправителя.

Суть применения этих операций в том, что создается зашифрованное сообщение, при расшифровке которого открытым ключом получается исходный текст. Зашифровать текст и быть его автором может только обладатель закрытого ключа, т. е. отправитель сообщения. Использовать для этого открытый ключ невозможно.

Компьютерное шифрование основано на науке шифрования, которая используется на протяжении всей истории цивилизации. До момента компьютерного шифрования криптография использовалась для передачи информации на правительственном уровне.

Закодированные сообщения были обнаружены еще в Римской империи. Но основные формы криптографии, которые существуют в наши дни, полагаются только на компьютеры, просто потому, что кодирование, произведенное человеком, слишком уязвимо и легко может быть раскодировано с помощью компьютера.

При использовании симметричного ключа каждый компьютер имеет секретный ключ (код), который он может использовать для шифрования пакета информации перед его отправкой по сети другому компьютеру. Использование симметричного ключа предполагает, что обладатель информации знает, какие компьютеры будут передавать сообщения друг другу, чтобы предварительно установить каждому компьютеру ключ. Симметричный ключ, по большому счету, — это только секретный код, который должны знать оба компьютера, дабы иметь возможность расшифровывать сообщения друг друга. В секретном коде содержится ключ для расшифровки сообщений.

Шифрование открытым ключом использует комбинацию из секретного ключа и открытого ключа. Секретный ключ известен только компьютеру обладателя информации, в то время как открытый ключ свободно передается компьютером обладателя информации любым другим компьютерам, которые хотят вести с ним зашифрованное общение. Для раскодирования зашифрованного сообщения компьютер должен использовать оба ключа — секретный и открытый. Популярная программа для использования шифрования открытым ключом — это PCP (pretty good privacy), которая позволяет кодировать почти любые типы данных.

Для использования шифрования открытым ключом в большем масштабе, например при безопасном соединении с веб-сервером, требуется другой подход. Здесь используются цифровые удостоверения (digital certifcates). Цифровое удостоверение — это кусок данных, который оповещает, что веб-сервер является доверенным независимого источника, известного как удостоверяющий орган (certificate authority). Удостоверяющий орган действует как посредник, которому доверяют оба компьютера. Он подтверждает, что каждый компьютер на самом деле является тем компьютером, которым он себя обозначает, и после этого обеспечивает открытым ключом одного компьютера другой компьютер.

Совместно с электронной цифровой подписью обычно применяются хэш-функции. Они служат для того, чтобы, помимо аутентификации отправителя, обеспечиваемой ЭЦП, гарантировать, что сообщение не имеет искажений и получатель получил именно то сообщение, которое подписал и отправил ему отправитель.

Хэш-функция — это процедура обработки сообщения, в результате действия которой формируется строка символов (дайджест сообщения) фиксированного размера. Малейшие изменения в тексте сообщения приводят к изменению дайджеста при обработке сообщения хэш-функцией. Таким образом, любые искажения, внесенные в текст сообщения, отразятся в дайджесте.

Алгоритм применения хэш-функции заключается в следующем:

— перед отправлением сообщение обрабатывается при помощи хэш-функции. В результате получается его сжатый вариант (дайджест). Само сообщение при этом не изменяется и для передачи по каналам связи нуждается в шифровании описанными выше методами;

— полученный дайджест шифруется закрытым ключом отправителя (подписывается ЭЦП) и пересылается получателю вместе с сообщением;

— получатель расшифровывает дайджест сообщения открытым ключом отправителя;

— получатель обрабатывает сообщение той же хэш-функцией, что и отправитель, и получает его дайджест. Если дайджест, присланный отправителем, и дайджест, полученный в результате обработки сообщения получателем, совпадают, значит, в сообщение не было внесено искажений.

Существует несколько широко применяемых хэш-функций: MD5, SHA-1 и др.

Сертификаты служат для подтверждения того факта, что данный открытый ключ принадлежит конкретному лицу и никому другому. Это необходимо для предотвращения мошенничества.

Сертификаты выдаются специальными компаниями (центрами сертификации) и подписываются ЭЦП этих компаний. Любой желающий может ознакомиться с сертификатом, выданным центром сертификации, и убедиться, что данный открытый ключ принадлежит именно тому лицу, которое в нем указано.

Для получения сертификата заинтересованному лицу необходимо обратиться в центр сертификации и предоставить информацию о себе. Центр сертификации осуществит проверку этой информации и в случае ее достоверности выдаст сертификат. Как правило, сертификат выдается на год с возможностью продления после оплаты очередного взноса.

Лица, обладающие сертификатами, могут заключать между собой сделки через Интернет, подписывая документы ЭЦП, не опасаясь отказа друг друга от обязательств по сделке.

Наиболее известными центрами сертификации являются компании VeriSign (www. vaerisign. com) и Thawte (www. thawte. com).

Протокол SSL (Secure Socket Layer) используется для защиты данных, передаваемых через Интернет. Этот протокол основан на комбинации алгоритмов асимметричного и симметричного шифрования.

Протокол может работать в трех режимах:

— при взаимной аутентификации сторон;

— при аутентификации сервера и анонимности клиента;

— при взаимной анонимности сторон.

При установлении соединения по протоколу SSL для данной сессии связи генерируется разовый ключ, который служит для симметричного шифрования данных, передаваемых в течение данной сессии. Разовый ключ генерируется на этапе установления соединения. При этом используются асимметричные алгоритмы шифрования.

Технология SET (Secure Electronic Transactions) появилась в 1996 году. Ее основными разработчиками стали MasterCard International и Visa International.

SET предусматривает использование цифровых сертификатов всеми участниками сделки, что позволяет проводить их однозначную взаимную аутентификацию.

Технология SET направлена на организацию максимально защищенных трансакций с присвоением кредитных карт.

Взаимная аутентификация сторон и использование ЭЦП позволяют избежать проблем с отказами сторон от обязательств по сделкам и полностью закрыть проблему необоснованного отзыва плательщиками своих платежей.

В основе процедур защиты информации, используемых SET, лежат технологии RSA и DES, что обеспечивает высокий уровень безопасности.

В общем случае алгоритм взаимодействия участников сделки по технологии SET выглядит следующим образом:

— перед началом работы с использованием SET все участники сделки получают цифровые сертификаты у соответствующей сертифицирующей организации. Таким образом, устанавливается однозначное соответствие между участником и его ЭЦП;

— оформляя заказ, покупатель указывает способ оплаты при помощи кредитной карты;

— покупатель и продавец предъявляют друг другу свои сертификаты;

— продавец инициирует проверку платежной системой предоставленной клиентом информации. Платежная система передает продавцу результаты проверки;

— при положительных результатах проверки по запросу продавца совершается перечисление денег.

Открытый торговый протокол Интернет (IOTR, Internet Open Trading Protocol) создан как элемент инфраструктуры сетевого бизнеса. Протокол не зависит от используемой платежной системы. IOTR обеспечивает оформление и отслеживание доставки товаров и прохождения платежей. IOTR призван прежде всего решить проблему коммуникаций между различными программными решениями. Схемы платежей, которые поддерживает IOTR, включают MasterCard Credit, Visa Credit, Mondex Cash, Visa Cash, GoldKarte, eCash, CyberCoin, Millicent, Proton и др.

IOTR предлагает стандартные рамки для использования различных платежных протоколов. Это означает, что разные средства платежей могут взаимодействовать, если они встроены в программы, следующие протоколу IOTR.

Протокол описывает содержимое, формат и последовательность сообщений, которые пересылаются между партнерами электронной торговли — покупателями, торговцами, банками или финансовыми организациями.

Протокол спроектирован так, чтобы обеспечить его применимость при любых схемах электронных платежей, так как он реализует весь процесс продажи, включающий набор различных операций IOTR:

— покупку. Реализует предложение, оплату и доставку (при необходимости);

— возврат. Производит возврат платежа для покупки, выполненной ранее;

— обмен ценностями. Включает в себя два платежа, например в случае обмена валют;

— аутентификацию. Производит проверку для организации или частного лица — являются ли они тем, за кого себя выдают;

— отзыв платежа. Осуществляет отзыв электронного платежа из финансового учреждения;

— депозит. Поддерживает управление депозитом средств в финансовом учреждении;

— запрос. Выполняет запрос состояния операции IOTR, которая находится в процессе реализации или уже выполнена;

— тестовый запрос («пинг»). Простой запрос от одного приложения IORR с целью проверки, функционирует ли другое приложение IOTR.

IOTR разделяет всех участников сделки по их ролям в процессе продажи:

— покупатель. Это физическое лицо или организация, получатель товара или услуги и плательщик;

— продавец. Человек (или организация), у которого приобретается товар или услуга, который официально ответствен за их предоставление и который извлекает выгоду в результате продажи;

— оператор платежей. Субъект, который получает платеж от потребителя в пользу торговой фирмы или физического лица;

— оператор доставки. Субъект, который доставляет товар или предоставляет услугу потребителю от торговой фирмы или лица;

— лицо, обслуживающее клиента торговой фирмы.

Роли могут выполняться одной организацией или различными организациями:

— в наиболее простом случае одна организация (например, продавец) может оформлять покупку, принимать платеж, доставлять товар и осуществлять обслуживание покупателя;

— в более сложном случае продавец может оформить покупку, но предложить покупателю осуществить платеж в банке, попросить специализированную компанию доставить товар и обратиться к третьей фирме, обеспечивающей круглосуточное обслуживание, с просьбой помочь покупателю в случае возникновения каких-то непредвиденных проблем.

IOTR использует четыре основные торговые операции («обмена»). Название «обмен» связано с тем, что операции совершаются путем обмена сообщениями (информацией) между участниками, играющими определенные роли в сделке:

— предложение (Ofer Exchange) — предполагает, что продавец предоставляет покупателю причины того, что сделка покупателю необходима;

— оплата (Payment Exchange) — предполагает осуществление какого-либо платежа. Направление платежа может быть любым;

— доставка (Delivery Exchange) — сопряжена с передачей товаров или доставкой информации о товарах агентом доставки покупателю;

— аутентификация (Authentication Exchange) — может использоваться любой стороной сделки для аутентификации другой стороны.

Сделки на основе IOTR состоят из различных комбинаций этих операций. Например, операция покупки IOTR включает в себя предложение, оплату и доставку. Операция обмена валют по IOTR состоит из предложения и двух обменов оплаты.

Обеспечение правовых условий для использования электронной цифровой подписи в электронных документах при соблюдении которых электронная цифровая подпись признается юридически равнозначной собственноручной подписи человека в документе на бумажном носителе, осуществляется Федеральным законом от 10 января 2002 г. «Об электронной цифровой подписи». В Законе устанавливаются права и обязанности обладателя электронной цифровой подписи.

В соответствии с Законом владельцем сертификата ключа подписи (обладателем электронной цифровой подписи) является физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись на электронных документах (подписывать электронные документы). Статья 12 Федерального закона от 10 января 2002 г. «Об электронной цифровой подписи» владельца сертификата ключа подписи обязывает:

1. Не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее.

2. Хранить в тайне закрытый ключ электронной цифровой подписи.

3. Немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.

При несоблюдении требований возмещение причиненных убытков возлагается на владельца сертификата ключа подписи.

Определены требования к сертификату ключа подписи, выдаваемому удостоверяющим центром для обеспечения возможности подтверждения подлинности ЭЦП. Устанавливается состав сведений, содержащихся в сертификате ключа подписи, срок и порядок его хранения, а также порядок ведения реестров сертификатов.

Электронная цифровая подпись документов производится шифром, который называется ключом. Фактически ключ — это большой цифровой код (более 1000 цифр), который создается специально для его владельца. Этот персональный, принадлежащий только ему ключ записывается на ключевую дискету, которую он должен хранить таким образом, чтобы ее никто не мог украсть или скопировать, ведь иначе злоумышленник, обладая таким секретным ключом, сможет подписывать любые документы от его имени. Ключи электронных цифровых подписей используются на основании соответствующих сертификатов. Этим секретным ключом производится непосредственно электронная цифровая подпись.

Для того чтобы получатель документа мог проверить электронную подпись лица на полученном документе, ему необходимо иметь открытый ключ. Открытый ключ — это маленькая часть секретного ключа, достаточная только для проверки подписи (но не для подписания документа от имени владельца электронной цифровой подписи).

Следует сказать, что, несмотря на существование Закона «Об электронно-цифровой подписи», механизмы ответственности за его нарушения не проработаны. В результате если заинтересованное лицо захочет доказать, что им электронный документ не подписывался, то сделать это будет крайне сложно.

Удостоверяющие центры сертификатов существуют только на бумаге, поэтому невозможно использовать универсальную ЭЦП. Клиент, имеющий означенную подпись, может применять ее только в одном банке, что никак не способствует распространению ЭЦП и электронного документооборота в целом.

Необходимость принятия такого федерального закона обусловлена тем, что при использовании ЭЦП возникают новые права и обязанности субъектов правоотношений, для удостоверения подлинности ЭЦП формируется система специальных организаций, права, обязанности и ответственность которых также должны быть законодательно установлены. Нормативным актом, устанавливающим права, обязанности и ответственность субъектов, может быть только закон. Подзаконные акты вправе конкретизировать правовые механизмы, им установленные. С учетом таких актов впоследствии будет сформировано российское законодательство об ЭЦП. Очевидно, что Закон «Об электронно-цифровой подписи» нуждается в совершенствовании, подкреплении дополнительными подзаконными актами. Но здесь возникает вопрос: какая структура сегодня станет заниматься этим? Ранее данная задача была возложена на уже упраздненное Федеральное агентство правительственной связи и информации при Президенте РФ.

Ряд развитых стран, в частности США, Канада, Германия и другие европейские страны, также приняли соответствующие нормативные акты. Например, Закон Германии «Об электронной цифровой подписи» 1997 года, Закон штата Юта (США) «Об электронной цифровой подписи» 1996 года, Постановления штата Флорида «Об электронной цифровой подписи» 1996 года. Аналогичные законопроекты существуют в Великобритании, Швеции, Франции, Испании, Дании, Австрии, Финляндии и др. Европейским союзом в июне 1999 года принята Директива «Об общих условиях использования электронных подписей».

Для использования ЭЦП в России частично правовую базу создают отдельные немногочисленные положения, содержащиеся в ст. ст. 160, 434, 847 ГК РФ, Федеральный закон от 27 июля 2006 г. «Об информации, информационных технологиях и защите информации».

Настоящий Федеральный закон регулирует отношения, возникающие при:

1) осуществлении права на поиск, получение, передачу, производство и распространение информации;

2) применении информационных технологий;

3) обеспечении защиты информации.

Еще одним правовым документом, регулирующим вопросы защиты информации, является Федеральный закон от 7 августа 2001 г. «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», который имеет непосредственное отношение к развитию отечественного интернет-банкинга. Данный нормативный правовой акт может сдерживать развитие одной из наиболее востребованных услуг интернет-банкинга — дистанционного размещения вкладов, поскольку согласно вышеназванному нормативному правовому акту кредитные организации не имеют права открывать счета без присутствия клиента или его представителя. Однако Закон не расшифровывает, где именно обязан находиться клиент в момент открытия счета, поэтому Федеральная служба по финансовому мониторингу может трактовать это положение как запрет на открытие вкладов через Интернет. Во избежание подобных разночтений Ассоциация российских банков и ЦБ РФ начнут совместно разрабатывать проект единой с комитетом позиции по обозначенному вопросу.

В заключение следует сказать, что с усложнением информационных взаимодействий в обществе возникли и продолжают возникать новые задачи по защите информации. Некоторые из них были решены в рамках применения электронной цифровой подписи. Но, по нашему мнению, наибольших успехов в области информационной безопасности можно достичь только при комплексном подходе к этому вопросу, обеспечив правовое регулирование технических условий защиты информации.

Библиографический список

1. Баричев С. А. Криптография без секретов. М., 1999.

2. Алексенцев А. И. Информационная безопасность. М., 2006.

3. Носов В. А. Вводный курс по дисциплине «Информационная безопасность». М., 2001.

4. Соловьева Т. В. Информационная безопасность: криптографические методы защиты информации. М., 2002.

——————————————————————