Электронная цифровая подпись.РЕФЕРАТ по дисциплине «Документирование управленческой деятельности» - Різне - Скачать бесплатно
Министерство образования Российской Федерации
Южно-Уральский Государственный Университет
Кафедра информатики
|
Выполнил: Пичик М.М.
Группа: ЭиУ-378
Проверил: Горных Е.Н.
Дата: _____________
Подпись: _____________
|
|
Реферат
По дисциплине «Документирование управленческой деятельности»
На тему
«Электронная цифровая подпись»
|
Содержание.................................................................................................................................... 2
Введение......................................................................................................................................... 3
1.Основные положения................................................................................................................ 5
2.Атаки на электронную цифровую подпись.............................................................................. 8
3.Правовое регулирование электронной цифровой подписи в России................................. 10
4.Средства работы с электронной цифровой подписью......................................................... 13
4.1 PGP...................................................................................................................................... 13
4.2 GNU Privacy Guard (GnuPG)............................................................................................... 14
4.3 Криптон.............................................................................................................................. 14
Заключение.................................................................................................................................. 15
Список используемой литературы............................................................................................. 16
Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющей идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажений информации в электронном документе. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
· сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
· подтверждена подлинностью электронной цифровой подписи в электронном документе;
· электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
При этом электронной документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.
В скором будущем заключение договора будет возможно в электронной форме, который будет иметь такую же юридическую силу, как и письменный документ. Для этого он должен иметь механизм электронной цифровой подписи, подтверждаемый сертификатом. Владелец сертификата ключа подписи владеет закрытым ключом электронной цифровой подписи, что позволяет ему с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). Для того, чтобы электронный документ могли открыть и другие пользователи, разработана система открытого ключа электронной подписи.
Для того, чтобы иметь возможность скреплять электронный документ механизмом электронной цифровой подписи, необходимо обратиться в удостоверяющий центр за получением сертификата ключа подписи. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи. Первый в России такой удостоверяющий центр запущен в сентябре 2002 г. российским НИИ развития общих сетей (РосНИИРОС). Удостоверяющий центр по закону должен подтверждать подлинность открытого ключа электронной цифровой подписи.
Общая суть электронной подписи заключается в следующем. С помощью криптографической хэш-функции вычисляется относительно короткая строка символов фиксированной длины (хэш). Затем этот хэш шифруется закрытым ключом владельца - результатом является подпись документа. Подпись прикладывается к документу, таким образом получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным.
При ведении деловой переписки, при заключении контрактов подпись ответственного лица является непременным атрибутом документа, преследующим несколько целей:
· гарантирование истинности письма путем сличения подписи с имеющимся образцом;
· гарантирование авторства документа (с юридической точки зрения).
Выполнение данных требований основывается на следующих свойствах подписи:
· подпись аутентична, то есть с ее помощью получателю документа можно доказать, что она принадлежит подписывающему;
· подпись неподделываема; то есть служит доказательством, что только тот человек, чей автограф стоит на документе, мог подписать данный документ, и никто иной;
· подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно;
· документ с подписью является неизменяемым;
· подпись неоспорима;
· любое лицо, владеющее образцом подписи может удостоверится, что документ подписан владельцем подписи.
Развитие современных средств безбумажного документооборота, средств электронных платежей немыслимо без развития средств доказательства подлинности и целостности документа. Таким средством является электронно-цифровая подпись (ЭЦП), которая сохранила основные свойства обычной подписи.
Существует несколько методов построения ЭЦП, а именно:
· шифрование электронного документа (ЭД) на основе симметричных алгоритмов. Данная схема предусматривает наличие в системе третьего лица – арбитра, пользующегося доверием обеих сторон. Авторизацией документа в данной схеме является сам факт шифрования ЭД секретным ключом и передачи его арбитру.
· Использование ассиметричных алгоритмов шифрования. Фактом подписания документа является шифрование его на секретном ключе отправителя.
· Развитием предыдущей идеи стала наиболее распространенная схема ЭЦП – шифрование окончательного результата обработки ЭД хеш-функцией при помощи ассиметричного алгоритма.
Появление этих разновидностей обусловлено разнообразием задач, решаемых с помощью электронных технологий передачи и обработки электронных документов.
При генерации ЭЦП используются параметры трех групп:
· общие параметры
· секретный ключ
· открытый ключ
Отечественным стандартом на процедуры выработки и проверки ЭЦП является ГОСТ Р 34.10-94.
Стойкость большинства схем ЭЦП зависит от стойкости ассиметричных алгоритмов шифрования и хэш-функций.
Существует следующая классификация атак на схемы ЭЦП:
· атака с известным открытым ключом.
· Атака с известными подписанными сообщениями – противник, кроме открытого ключа имеет и набор подписанных сообщений.
· Простая атака с выбором подписанных сообщений – противник имеет возможность выбирать сообщения, при этом открытый ключ он получает после выбора сообщения.
· Направленная атака с выбором сообщения
· Адаптивная атака с выбором сообщения.
Каждая атака преследует определенную цель, которые можно разделить на несколько классов:
· полное раскрытие. Противник находит секретный ключ пользователя.
· Универсальная подделка. Противник находит алгоритм, функционально аналогичный алгоритму генерации ЭЦП.
· Селективная подделка. Подделка подписи под выбранным сообщением.
· Экзистенциальная подделка. Подделка подписи хотя бы для одного случайно выбранного сообщения.
На практике применение ЭЦП позволяет выявить или предотвратить следующие действия нарушителя:
· отказ одного из участников авторства документа.
· Модификация принятого электронного документа.
· Подделка документа.
· Навязывание сообщений в процессе передачи – противник перехватывает обмен сообщениями и модифицирует их.
Так же существуют нарушения, от которых невозможно оградить систему обмена сообщениями – это повтор передачи сообщения и фальсификация времени отправления сообщения. Противодействие данным нарушениям может основываться на использовании временных вставок и строгом учете входящих сообщений.
В развитых странах мира, в том числе и в Российской Федерации, электронная цифровая подпись широко используется в хозяйственном обороте. Банк России и другие банки Российской Федерации эффективно используют ЭЦП для осуществления своих операций путем пересылки банковских электронных документов по корпоративным и общедоступным телекоммуникационным сетям.
Для преодоления всех существующих в данной области отношений препятствий необходимо создание унифицированных правил, при помощи которых страны могут в национальном законодательстве решить основные проблемы, связанные с юридической значимостью записей в памяти ЭВМ, письменной формой электронных данных (в том числе и документов), подписью под такими данными, оригиналом и копиями электронных данных, а также признанием в качестве судебных доказательств электронных данных, заверенных электронной подписью.
10 января 2002 года был принят Федеральный Закон «Об электронной цифровой подписи», вступивший в силу с 22 января текущего года, который закладывает основы решения проблемы обеспечения правовых условий для использования электронной цифровой подписи в процессах обмена электронными документами, при соблюдении которых электронная цифровая подпись признается юридически равнозначной собственноручной подписи человека в документе на бумажном носителе.
Федеральный Закон «Об электронной цифровой подписи» определяет условия использования ЭЦП в электронных документах органами государственной власти и государственными организациями, а также юридическими и физическими лицами, при соблюдении которых:
· средства создания подписи признаются надежными;
· сама ЭЦП признается достоверной, а ее подделка или фальсификация подписанных данных могут быть точно установлены;
· предоставляются юридические гарантии безопасности передачи информации по открытым телекоммуникационным каналам;
· соблюдаются правовые нормы, содержащие требования к письменной форме документа;
· сохраняются все традиционные процессуальные функции подписи, в том числе удостоверение полномочий подписавшей стороны, установление подписавшего лица и содержания сообщения, а также роль подписи в качестве судебного доказательства;
· обеспечивается охрана персональной информации.
В Законе устанавливаются права и обязанности обладателя электронной цифровой подписи.
В соответствии с законом владельцем сертификата ключа подписи (обладателем электронной цифровой подписи) является физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись электронных документах (подписывать электронные документы).
Владелец сертификата ключа подписи обязан:
· Хранить в тайне закрытый ключ электронной цифровой подписи;
· Не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;
· Немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.
Согласно ст. 6 данного Закона сертификат ключа подписи должен содержать следующие сведения:
· Уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;
· Фамилия, имя, отчество владельца сертификата ключа подписи или псевдоним владельца;
· Открытый ключ электронной цифровой подписи;
· Наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи;
· Сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.
Наиболее известный - это пакет PGP (Pretty Good Privacy) – (www.pgpi.org), без сомнений являющийся на сегодня самым распространенным программным продуктом, позволяющим использовать современные надежные криптографические алгоритмы для защиты информации в персональных компьютерах.
К основным преимуществам данного пакета, выделяющим его среди других аналогичных продуктов следует отнести следующие:
ü Открытость. Исходный код всех версий программ PGP доступен в открытом виде. Любой эксперт может убедиться в том, что в программе эффективно реализованы криптоалгоритмы. Так как сам способ реализации известных алгоритмов был доступен специалистам, то открытость повлекла за собой и другое преимущество - эффективность программного кода.
ü Стойкость. Для реализации основных функций использованы лучшие (по крайней мере на начало 90-х) из известных алгоритмов, при этом допуская использование достаточно большой длины ключа для надежной защиты данных
ü Бесплатность. Готовые базовые продукты PGP (равно как и исходные тексты программ) доступны в Интернете в частности на официальном сайте PGP Inc. ( www.pgpi.org ).
ü Поддержка как централизованной (через серверы ключей) так и децентрализованной (через «сеть доверия») модели распределения открытых ключей.
ü Удобство программного интерфейса. PGP изначально создавалась как продукт для широкого круга пользователей, поэтому освоение основных приемов работы отнимает всего несколько часов.
GnuPG (www.gnupg.org ) - полная и свободно распространяемая замена для пакета PGP. Этот пакет не использует патентованный алгоритм IDEA, и поэтому может быть использован без каких-нибудь ограничений. GnuPG соответсвует стандарту RFC2440 (OpenPGP).
Пакет программ Криптон (www.ancud.ru) предназначен для использования электронной цифровой подписи (ЭЦП) электронных документов.
В стандартной поставке для хранения файлов открытых ключей используются дискеты. Помимо дискет, пакет Криптон дает возможность использования всех типов ключевых носителей (смарт-карт, электронных таблеток Touch Memory и др.).
Цифровая подпись обеспечивает:
· Удостоверение источника документа. В зависимости от деталей определения «документа» могут быть подписаны такие поля как автор, внесённые изменения, метка времени и т. д.
· Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно подпись станет недействительной.
· Невозможность отказа от авторства. Так как создать корректную подпись можно лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
Возможны следующие угрозы цифровой подписи:
· Злоумышленник может попытаться подделать подпись для выбранного им документа.
· Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила.
При использовании надёжной хэш-функции, вычислительно сложно создать поддельный документ с таким же хэшем, как у подлинного. Однако, эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях.
Тем не менее, возможны ещё такие угрозы системам цифровой подписи:
· Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
· Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.
· Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.
1. Федеральный закон «Об электронной цифровой подписи» от 10 января 2002 года №1-ФЗ
2. Электронная подпись и шифрование // МО ПНИЭИ (www.security.ru/el.wright.html)
3. Совpеменные кpиптогpафические методы защиты инфоpмации - системы с откpытым ключом ( http://ppt.newmail.ru/crypto04.htm#Heading20 )
|
