Правовое обеспечение электронной цифровой подписи направляться осознавать не только как совокупность нормативно-правовых актов, снабжающих правовой режим ЭЦП и средств ЭЦП. Это значительно более широкое понятие. Оно только начинается с национального закона об электронной цифровой подписи, но начинается потом и потом охватывает все теоретические и практические вопросы, которые связаны с электронной коммерцией по большому счету.
Становление законодательства об электронной подписи
Первый в мире закон об электронной цифровой подписи был принят в марте 1995 г. Законодательным собранием штата Юта (США) и утвержден Губернатором штата. Закон стал называться Utah Digital Signature Act. Ближайшими последователями штата Юта стали штаты Калифорния, Флорида, Вашингтон, где скоро также были приняты соответствующие законы.
В качестве фундаментальных целей первого закона об электронной подписи были провозглашены:
§ минимизация ущерба от событий подделки и незаконного использования электронной цифровой подписи;
§ обеспечение правовой базы для деятельности систем и верификации документов и органов сертификации, имеющих электронную природу;
§ правовая помощь электронной коммерции (коммерческих операций, совершаемых с применением средств вычислительной техники);
§ придание правового характера некоторым техническим стандартам, ранее введенным Интернациональным альянсом связи (ITU — International Telecommunication Union) и Национальным университетом стандартизации США (ANSI — American National Standards Institute), и рекомендациям Наблюдательного совета Интернета (IAB — Internet Activity Board), выраженным в документах RFC 1421 — RFC 1424.
Закон складывается из пяти частей:
1. В первой части вводятся определения и основные понятия, которые связаны с применением ЭЦП и функционированием средств ЭЦП. Тут же рассматриваются формальные требования к содержательной части электронного сертификата, удостоверяющего принадлежность открытого ключа юридическому либо физическому лицу.
2. Вторая часть закона посвящена правовому регулированию и лицензированию деятельности центров сертификации.
В первую очередь, тут оговорены условия, которым должны удовлетворять физические и юридические лица для получения соответствующей лицензии, порядок ее получения, условия и ограничения лицензии ее отзыва. Серьёзным моментом данного раздела являются условия признания действительности сертификатов, выданных нелицензированными удостоверителями, в случае, если участники электронной сделки выразили им совместное доверие и отразили его в собственном контракте. Практически тут закрепляется правовой режим сетевой модели сертификации, рассмотренной нами выше.
Помимо этого, во второй части закона выяснен порядок контроля центров и квалификации сертификации за их деятельностью при помощи внешнего аудита. Тут же рассмотрены практические вопросы, которые связаны с ведением регистров изданных сертификатов и порядком прекращения деятельности центра сертификации.
3. В третьей части закона сформулированы владельцев центров ключей и обязанности сертификации. В частности, тут рассмотрены:
• порядок выдачи сертификата;
• порядок открытого ключа и предъявления сертификата;
• условия хранения закрытого ключа;
• действия обладателя сертификата при компрометации закрытого ключа;
• порядок отзыва сертификата;
• срок действия сертификата;
• условия освобождения центра сертификации от ответственности за неправомерное применение средств и сертификата ЭЦП;
• использования и порядок создания страховых фондов, предназначенных для компенсации ущерба третьим лицам, появившегося в следствии неправомочного применения ЭЦП.
4. Четвертая часть закона посвящена конкретно цифровой подписи. Ее главное положение содержится в том, что документ, подписанный цифровой подписью, имеет ту же силу, что и простой документ, подписанный рукописной подписью.
5. В пятой части закона рассмотрены вопросы сотрудничества центров сертификации с административными властями, и порядок функционирования так называемых репозитариев — электронных баз данных, в которых сохраняются сведения об изданных и отозванных сертификатах.
В целом закон об ЭЦП штата Юта отличается от других подобных правовых актов высокой подробностью.
Закон об электронной подписи Германии
Германский закон об электронной подписи (Signaturgesetz) был введен в воздействие в 1997 г. и стал первым европейским законом для того чтобы рода. Целью закона заявлено создание неспециализированных условий для для того чтобы применения электронной подписи, при котором ее подделка либо фальсификация подписанных разрешённых могут быть надежно установлены.
В Законе прослеживаются следующие главные направления:
• установление четких определений и понятий;
• подробное регулирование процедуры процедуры органов сертификации и лицензирования сертификации открытых ключей пользователей средств ЭЦП (правовой статус, порядок функционирования центров сертификации, их сотрудничество с другими центрами и государственными органами сертификации, требования к сертификату открытого ключа электронной подписи);
• рассмотрение вопросов защищенности цифровой подписи и данных, подписанных с ее помощью, от фальсификации;
• порядок признания действительности сертификатов открытых ключей.
По собственному духу германский Закон об электронной подписи есть регулирующим.
Закон об электронной подписи США
К моменту написания данной книги Закон США об электронной подписи принят Конгрессом, но еще не вступил в воздействие (он начинает действовать 1 октября 2000 г.). В отличие от подобного закона Германии, Закон об электронной подписи США есть координирующим правовым актом. Это связано с тем, что ко времени его принятия соответствующее регулирующее законодательство уже сложилось в большинстве отдельных штатов.
Как видно из заглавия Закона (Electronic Signatures in Global and National Commerce Act), его главное назначение пребывает в обеспечении правового режима цифровой электронной подписи в электронной коммерции. Подписание Закона Аммериканским президентом прошло в сутки национального праздника — 4 июля 2000 г. (Сутки независимости), что должно придать этому законодательному акту особенное значение. Согласно точки зрения корреспондентов принятие данного закона символизирует вступление человечества в новую эру — эру электронной коммерции.
По содержанию Закон отличается краткостью. Он вводит ограниченное число главных понятий, устанавливает правовой режим электронной подписи и определяет компетенцию национальных органов, важных за функционирование ее инфраструктуры. Не сосредоточиваясь на обязанностях центров и конкретных правах сертификации, которым уделяется особенное внимание в законодательствах других государств, Закон США относит их к понятию инфраструктура ЭЦП и в самых неспециализированных чертах оговаривает сотрудничество элементов данной структуры с правительственными органами.
Проект закона об электронной подписи РФ
В РФ Закон об электронной подписи на данный момент еще не принят, но с его главными положениями возможно познакомиться на примере проекта. В соответствии с проекту, Закон складывается из пяти глав и содержит более двадцати статей.
1. В первой главе рассмотрены неспециализированные положения, относящиеся к Закону. Как и подобные законы вторых стран, российский закон опирается на несимметричную криптографию. Фундаментальной целью Закона провозглашается обеспечение правовых условий для применения ЭЦП в реализации услуг и электронном документообороте по удостоверению ЭЦП участников договорных взаимоотношений.
2. Во второй главе рассмотрены условия и принципы применения электронной подписи. Тут, во-первых, выражена возможность, а во-вторых, приведены условия равнозначности рукописной и электронной подписи. Помимо этого, очень акцентировано внимание на характерных преимуществах ЭЦП:
• лицо может иметь неограниченное количество закрытых ключей ЭЦП, другими словами, создать себе различные электронные автографы и применять их в различных условиях;
• все экземпляры документа, подписанные ЭЦП, имеют силу оригинала.
Проект русского Закона предусматривает возможность ограничения сферы применения ЭЦП. Эти ограничения смогут накладываться законами , и вводиться самими участниками электронных сделок и отражаться в соглашениях между ними.
Весьма интересно положение статьи о средствах ЭЦП, в которой закрепляется утверждение о том, что «средства ЭЦП не относятся к средствам, снабжающим конфиденциальность информации». В действительности это не совсем так. По собственной природе средства ЭЦП, основанные на механизмах несимметричной криптографии, конечно же, смогут употребляться для защиты информации. Быть может, это положение включено чтобы избежать коллизий с другими нормативными актами, ограничивающими использование средств криптографии в обществе.
Ответственным отличием от подобных законов вторых стран есть положение русского законопроекта о том, что обладатель закрытого ключа несет ответственность перед пользователем соответствующего открытого ключа за убытки, появляющиеся при ненадлежащим образом организованной охраны закрытого ключа.
Еще одной отличительной чертой русского законопроекта есть перечень требований к формату электронного сертификата. Наровне с общепринятыми полями, рассмотренными нами выше, русский законодатель требует необходимого включения в состав сертификата наименования средств ЭЦП, с которыми возможно применять этот открытый ключ, номер сертификата на это срок и средство его действия, юридический адрес и наименование центра сертификации, выдавшего этот сертификат, номер лицензии этого центра и дату ее выдачи. В зарубежном законодательстве и в западных стандартах мы не находим требований столь подробного описания программного средства ЭЦП, благодаря которому генерировался открытый ключ. По-видимому, это требование русского законопроекта продиктовано заинтересованностями безопасности страны.
Массовое использование ПО, исходный код которого не опубликован и потому не может быть изучен экспертами, воображает публичную угрозу. Это относится не только к программным средствам ЭЦП, но и по большому счету к любому ПО, начиная с операционных совокупностей и заканчивая прикладными программами.
Российская Федерация не единственная страна в мире, проявляющая осторожность в вопросе применения на собственной территории закрытых программных средств с неизданным содержанием, не прошедшим всесторонней проверки в виде исходного кода. Беспечность в этом вопросе может приводить к стратегическому ущербу не только в смысле национальной, но и в смысле экономической безопасности. Такую же осторожность проявляют Франция, Китай и другие страны.
3. В третьей главе рассмотрен правовой статус центров сертификации (в терминологии законопроекта — удостоверяющих центров открытых ключей электронной подписи). В РФ оказание услуг по сертификации электронной подписи есть лицензируемым видом деятельности, которым смогут заниматься лишь юридические лица. Удостоверение электронной подписи национальных учреждений смогут осуществлять лишь национальные удостоверяющие центры.
Закон предусматривает материальную ответственность удостоверяющего центра за убытки лиц, пострадавших в следствии доверия к сведениям, указанным в сертификате, каковые центр был обязан проверить и подтвердить. Эта ответственность исчисляется в размере настоящего ущерба и не включает санкции, потерянную пользу, возмещение морального ущерба.
По собственному характеру структура органов сертификации — централизованная иерархическая.
4. Содержание четвертой главы русского законопроекта определяет самые неспециализированные черты порядка применения электронной цифровой подписи. Ответственным положением данной главы есть то, что в корпоративных информационных совокупностях применение ЭЦП может регламентироваться внутренними нормативными документами совокупности, соглашениями между участниками совокупности либо между ее пользователями и владельцами. Указанные нормативные документы либо соглашения должны содержать положения о правах, ответственности и обязанностях лиц, применяющих ЭЦП, и о распределении рисков убытков при применении недостоверной ЭЦП между участниками совокупности.
5. Пятая глава законопроекта именуется «Последние положения» и разглядывает:
• вопросы признания зарубежных сертификатов на открытые ключи электронной подписи;
• вопросы применения документов, подписанных ЭЦП, в судебном слушании;
• ответственность за нарушение законодательства при применении ЭЦП;
• порядок разрешения споров.
Интернациональное признание электронной подписи
Ответственный ход в деле координации законодательств разных стран в области электронной цифровой подписи предприняла Рабочая группа ООН по интернациональному торговому праву (UNCITRAL). Она создала модельный закон, что предлагается применять в качестве базы при разработке законодательств . Данный закон был размещён в 1995 г.
Сейчас в большинстве национальных законов вопрос интернационального признания электронной подписи (и связанных с ней их сертификатов и ключей) обеспечивается включением соответствующих положений. В частности, в большинстве случаев в них говорится, что электронная подпись, которая возможно проверена открытым ключом, имеющим зарубежный сертификат, согласится такой, в случае, если с страной, орган которого выдал сертификат, имеется соглашение о признании таких свидетельств.
Но существуют и другие занимательные правовые конструкции. Так, к примеру, в Своде правительственных актов штата Калифорния (California Government Code) сообщено, что «…цифровая подпись — это электронный идентификатор, созданный средствами вычислительной техники, владеющий всеми нужным атрибутами полноценной общепризнанной подписи, как то: возможностью и уникальностью проверки; находящийся в нераздельном распоряжении собственного обладателя, который связан с документом так, что при трансформации документа подпись нарушается, и признанный в качестве стандартного по крайней мере двумя из следующих организаций:
• Интернациональный альянс связи ITU;
• Национальный университет стандартизации США ANSI;
• Наблюдательный совет Интернета IAB;
• науки и Национальный институт технологии США NIST;
• Интернациональная организация по стандартизации ISO».
Это пример эластичного подхода к признанию интернациональных документов, подписанных электронной подписью.
Практическое занятие
На этом занятии мы отработаем приемы практической работы с программным средством ЭЦП. В качестве учебного средства употребляется программа Pretty Good Privacy (PGP), взять которую возможно на одном из бессчётных серверов, поставляющих бесплатное и условно-бесплатное ПО.
В РФ имеются нормативно-правовые акты, ограничивающие эксплуатацию нелицензированных программных средств, основанных на криптографии. Поэтому правовой режим практической эксплуатации программы PGP в России на данный момент не выяснен. В этом случае речь заходит лишь об ее применении в качестве самая доступной учебной модели.
Упражнение 9.1. Создание ключей в совокупности PGP
15 мин
Это и последующие упражнения предполагают, что на компьютере установлена программа PGP, машинально стартующая при запуске ОС.
1. Щелкните на значке PGPtray на панели индикации правой кнопкой мыши и выберите в контекстном меню пункт PGPkeys. Откроется окно служебного средства PGPkeys.
2. Щелкните на кнопке Generate new keypair (Сгенерировать новую несколько ключей). Случится запуск Мастера генерации ключей (Key Generation Wizard). Щелкните на кнопке Потом.
3. Введите собственный полное имя в поле Full name (Полное имя) и собственный адрес электронной почты в поле Email address (Адрес электронной почты). Открытые ключи, не которые содержат полной и правильной информации, не воспринимаются серьезно. Щелкните на кнопке Потом.
4. Установите тумблер Diffie-Hellman/DSS. Это более современный метод генерации пары ключей. Щелкните на кнопке Потом.
5. Установите тумблер 2048 bits (2048 бит), определяющий длину ключа. Щелкните на кнопке Потом. (По надежности ключ таковой длины соответствует приблизительно 128-битному ключу для симметричного шифрования.)
6. Для данного упражнения установите тумблер Key pair never expires (Пара ключей действует бессрочно). На практике рекомендуется задавать ограниченный срок действия ключей. Щелкните на кнопке Потом.
7. Два раза введите произвольную парольную фразу (Passphrase) в соответствующие поля. Так как в этом случае настоящая секретность не значительна, возможно скинуть флажок Hide Typing (Скрыть ввод), дабы вводимый текст отображался на экране. Рекомендуется, дабы парольная фраза легко запоминалась, но наряду с этим содержала пробелы, буквы различного регистра, цифры, особые знаки. Уровень качества (трудность подбора) главной фразы отображается посредством индикатора Passphrase Quality (Уровень качества главной фразы). Комфортно применять какую-нибудь известную цитату либо пословицу на русском, но вводить ее в латинском регистре. По окончании того как парольная фраза введена два раза, щелкните на кнопке Потом.
8. Просмотрите за процессом генерации пары ключей, что может занять до нескольких мин.. По окончании появления сообщения Complete (Готово) щелкните на кнопке Потом. После этого может потребоваться еще пара щелчков на кнопках Потом и, в конце, Готово, дабы завершить создание ключей (публикацию ключа на сервере делать не нужно).
9. Посмотрите, как отображается только что созданный ключ в перечне Keys (Ключи). Убедитесь, что данный ключ машинально подписывается его создателем, что, как предполагается, полностью доверяет самому себе.
10. Щелкните на ключе правой кнопкой мыши и выберите в контекстном меню пункт Key Properties (Свойства ключа). Ознакомьтесь со особенностями ключа, а также с «отпечатком» (fingerprint), предназначенным для подтверждения правильности ключа, к примеру по телефону. Убедитесь, что установлен флажок Implicit Trust (Полное доверие), показывающий, что вы доверяете обладателю данного ключа, другими словами самому себе.
В этом упражнении мы обучились создавать несколько ключей, применяемых для несимметричного шифрования в совокупности PGP. Мы кроме этого познакомились с механизмом доверия, применяемым для подтверждения подлинности ключей.
Упражнение 9.2. Передача открытого ключа PGP обозревателям
20 мин
1. Щелкните на значке PGPtray на панели индикации правой кнопкой мыши и выберите в контекстном меню пункт PGPkeys. Откроется окно служебного средства PGPkeys.
2. Выберите в перечне ключ, что планируется передать обозревателю, и дайте приказ Edit Copy (Правка Копировать).
3. Запустите применяемую по умолчанию программу электронной почты. Потом мы будем предполагать, что это программа Outlook Express (Пуск Программы Outlook Express).
4. Щелкните на кнопке Создать сообщение. В окне создания нового сообщения введите условный адрес обозревателя, тему сообщения (к примеру, Мой открытый ключ) и произвольный текст сообщения, растолковывающий его назначение.
5. Поместите курсор в финиш сообщения и щелкните на кнопке Засунуть на панели инструментов. Убедитесь, что в текст сообщения был засунут символьный блок, обрисовывающий открытый ключ. Сохраните сообщение (отправлять его не обязательно).
6. Удостоверьтесь в надежности, возможно ли перенести ключ в сообщение электронной почты способом перетаскивания.
7. Сейчас предположим, что только что созданное сообщение в действительности было получено по email. Порядок действий в этом случае весьма похож на тот, что употреблялся для отправки ключа.
8. Выделите текст ключа, включая особые строчки, обрисовывающие его конец и начало.
9. Скопируйте ключ в буфер обмена посредством комбинации клавиш CTRL+C.
10. Переключитесь на программу PGPkeys.
11. Надавите комбинацию клавиш CTRL+V. В открывшемся диалоговом окне щелкните на кнопке Select All (Выбрать все), а после этого на кнопке Import (Импортировать).
12. В самом окне PGPkeys вы затем никаких трансформаций не найдёте, поскольку соответствующий ключ уже хранится на данном компьютере.
13. В действительности, пересылать ключи по email не в полной мере корректно, поскольку при таких условиях обозреватель имеет естественное право на сомнение: вправду ли ключ поступил от вас. Ключ возможно сохранить в файле и передать обозревателю лично, при встрече.
14. Дабы экспортировать ключ в файл, выберите его и дайте приказ Keys Export (Ключи Экспортировать).
15. Выберите каталог и укажите имя файла. Щелкните на кнопке Сохранить, дабы записать ключ в текстовый файл.
16. Самостоятельно выполните импорт ключа, сохраненного в файле,как минимум двумя различными методами.
В этом упражнении мы обучились передавать открытые ключи совокупности PGP своим обозревателям, и приобретать ключи для расшифровки поступающих сообщений. Мы выяснили, что ключ может передаваться по email либо, что предпочтительнее, при личной встрече. Мы кроме этого узнали, что ключ, практически, представляет собой долгую последовательность алфавитно-цифровых знаков.
Упражнение 9.3. Передача защищенных и подписанных сообщений посредством совокупности PGP
20 мин
1. Запустите программу Outlook Express (Пуск Программы Outlook Express).
2. Щелкните на кнопке Создать сообщение. В окне создания нового сообщения введите адрес электронной почты, использованный при создании пары ключей, в качестве адреса отправителя, и произвольные текст и тему сообщения.
3. Обратите внимание, что на панели инструментов в окне создания сообщения имеются кнопки Encrypt (PGP) (Зашифровать) и Sign (PGP) (Подписать), действующие в качестве тумблера. Щелкните на кнопке Sign (PGP) (Подписать), дабы она была включена. Убедитесь, что шифрование отключено.
4. Щелкните на кнопке Послать. Подключения к Интернету не нужно, поскольку мы будем разбирать оказавшееся сообщение в папке Исходящие. В открывшемся диалоговом окне введите парольную фразу, заданную при создании ключей, и щелкните на кнопке ОК.
5. Откройте папку Исходящие и выберите только что созданное сообщение. Просмотрите его текст. Обратите внимание на добавленные электронную подпись и служебные строки в виде последовательности знаков, не имеющей видимой закономерности.
6. Выделите целый текст сообщения и надавите комбинацию клавиш CTRL+C. Щелкните правой кнопкой мыши на значке PGPtray на панели индикации и выберите в контекстном меню команду Clipboard Decrypt Verify (Буфер обмена Расшифровать и проверить). В открывшемся диалоговом окне обратите внимание на сообщение *** PGP Signature Status: good, говорящее о целостности сообщения.
7. Откройте это сообщение, внесите произвольные (громадные либо маленькие) трансформации в текст сообщения либо в саму подпись, по окончании чего выполните повторную диагностику, как обрисовано в п. 6. Убедитесь, что программа PGP нашла нарушение целостности сообщения.
8. Создайте новое сообщение, как обрисовано в п. 2. В этом случае включите обе кнопки: Encrypt (PGP) (Зашифровать) и Sign (PGP) (Подписать). Выполните отправку сообщения, как обрисовано в п. 4.
9. Посмотрите, как выглядит посланное сообщение в папке Исходящие. Убедитесь, что посторонний не имеет возможности прочесть его.
10. Скопируйте текст зашифрованного сообщения в буфер обмена и выполните его расшифровку, как продемонстрировано в п. 6. По запросу введите парольную фразу. Убедитесь, что наряду с этим как отображается текст исходного сообщения, так и выдается информация о его целостности.
11. Щелкните на кнопке Copy to Clipboard (Копировать в буфер обмена), дабы поместить расшифрованный текст в буфер обмена.
12. Засуньте расшифрованный текст в любом текстовом процессоре и сохраните его как файл.
В этом упражнении мы обучились отправлять по email сообщения, снабженные электронной цифровой подписью, и зашифрованные сообщения. Мы выяснили, что при шифровании сообщения употребляется открытый ключ получателя, а при создании цифровой подписи — закрытый ключ отправителя. Это гарантирует, что получатель сообщения сможет узнать необходимую информацию, а никому постороннему она не будет дешева.
Упражнение 9.4. Шифрование данных на твёрдом диске при помощи совокупности PGP
20 мин
Совокупность PGP может кроме этого употребляться для защищенного хранения файлов на твёрдом диске. Для расшифровки и шифрования файлов смогут употребляться разные механизмы.
1. Посредством текстового редактора WordPad создайте произвольный документ и сохраните его под именем pgp-test.doc. Возможно кроме этого скопировать под этим именем какой-либо из уже существующих файлов документов.
2. Откройте данный документ в программе WordPad и дайте приказ Правка Выделить все. Надавите комбинацию клавиш CTRL+C.
3. Щелкните правой кнопкой мыши на значке PGPtray на панели индикации и выберите в контекстном меню команду Clipboard Encrypt Sign (Буфер обмена Зашифровать и подписать).
4. В открывшемся диалоговом окне перетащите созданный вами ключ в перечень Recipients (Получатели) и щелкните на кнопке ОК.
5. Введите парольную фразу, применяемую для электронной подписи, и щелкните на кнопке ОК.
6. Возвратитесь в программу WordPad, надавите клавишу DELETE и потом комбинацию CTRL+V. Сохраните документ под именем pgp-test-clp.doc. Закройте программу WordPad.
7. Любым методом запустите программу Проводник и откройте папку, в которой лежит файл pgp-test.doc.
8. Щелкните правой кнопкой мыши на значке файла и выберите в контекстном меню команду PGP Encrypt Sign (PGP Зашифровать и подписать). Потом действуйте в соответствии с пп. 4-5.
9. Убедитесь, что в папке показался файл pgp-test.doc.pgp.
10. Сейчас расшифруем созданные файлы. Запустите программу WordPad и откройте файл pgp-test-clp. doc.
11. Щелкните правой кнопкой мыши на значке PGPtray на панели индикации и выберите в контекстном меню команду Current Window Decrypt Verify (Текущее окно Расшифровать и проверить).
12. Введите парольную фразу и щелкните на кнопке ОК.
13. В открывшемся диалоговом окне Text Viewer (Просмотр текста) щелкните на кнопке Copy to Clipboard (Скопировать в буфер обмена).
14. Засуньте текст в окно программы WordPad и сохраните полученный файл.
15. Откройте программу Проводник и разыщите файл pgp-test.doc.pgp. Два раза щелкните на его значке.
16. Введите парольную фразу и щелкните на кнопке ОК.
17. Так как оригинал файла не был стёрт с лица земли, программа предложит указать, под каким именем направляться сохранить файл. Введите это имя по собственному усмотрению.
Мы обучились отправлять файлы на защищенное хранение, шифруя их при помощи программы PGP. Мы узнали, что для текстовых данных эту операцию возможно использовать конкретно в текущем окне редактора либо к данным, находящимся в буфере обмена. Для произвольных файлов выполнить шифрование возможно через контекстное меню. Мы кроме этого выяснили, как расшифровывать зашифрованные файлы, применяя различные методы.