Электронная цифровая подпись, электронная подпись и цифровая подпись (понятия, отличия). Электронная цифровая подпись (понятие, виды, особенности и пределы использования). Структура цифровой подписи. Алгоритм работы с ЭЦП

В наш век компьютерных технологий для заверения документов стала применяться, так называемая электронная цифровая подпись или сокращенно ЭЦП. Однако в этом вопросе у многих нет четкого понимания того, зачем это нужно, ведь большинство привыкло работать по старинке, подписывая документы вручную. О том, как подписать документы электронной подписью, далее и пойдет речь.

цифровая подпись или ЭЦП?

ЭЦП представляет собой некий объект в электронном виде, по которому сразу же можно определить лицо, его сформировавшее, установить авторство, проверить аутентичность документа и т. д.

Естественно, визуально ЭЦП может выглядеть как обычная подпись в виде графического объекта, вставленного в документ. На самом деле здесь работают алгоритмы асимметричного шифрования и криптографии. Сама же ЭЦП использует закрытый ключ и сертификат ключа, что и позволяет определить доверенное лицо и принадлежность подписи именно ему, целостность документа и подтверждение факта его подписания.

Почему следует подписывать документы ЭЦП

Многие несколько недоумевают по поводу того, нужно ли и можно ли подписывать документы электронной подписью. На такой вопрос можно дать только утвердительный ответ. Для упрощенного понимания рассмотрим один пример.

Предположим, компания в лице генерального директора должна оформить двусторонний контракт. Понятно, что визировать его придется в любом случае, поскольку без этого он не будет иметь юридической силы. Но пересылка готового договора, скажем, по факсу оказывается невозможной. При отправке по электронной почте графический формат отсканированного документа не приветствуется, ведь подпись можно подделать. Таким образом, приходится отправлять тот же самый файл Word, а вот такой документ и должен быть подписан. Но как подписать документ «Ворд» электронной подписью? В общем-то, в этом нет ничего особо сложного. Далее будет рассмотрено несколько простых методов создания ЭЦП. А пока остановимся на правовых вопросах.

Нужно ли подписывать документы с электронной подписью вручную?

Многие офисные работники и руководители считают, что визировать документы, в которых имеется ЭЦП, дополнительно (вручную) нужно (так сказать, на всякий случай). Явное заблуждение. Это совершенно необязательно.

Дело в том, что при создании цифровой подписи и сертификата оформляется специальный договор с удостоверяющим центром и заверяется нотариусом, а на стадии формирования сертификата выдается закрытый ключ. С юридической точки зрения, это и есть подтверждение владельца ЭЦП. Таким образом, вывод напрашивается сам собой: вторичное визирование не нужно.

Алгоритм работы с ЭЦП

Выясним, как подписать документ и посмотрим на то, как все это работает.

В основу таких процессов положено создание криптограммы, которая хэширует заверяемый файл, определяя данные владельца, авторство и целостность данных. Созданный хэш на следующем этапе шифруется при помощи закрытого ключа, после чего происходит формирование либо целого документа с ЭЦП, либо отдельного файла подписи, привязанного к документу.

Получатель для расшифровки, аутентификации (подлинности) и проверки целостности документа использует открытый ключ. Конечно же, в общих чертах большинство алгоритмов очень похожи между собой. Разница может проявиться только в зависимости от типа используемого программного обеспечения.

Как подписать документ Word электронной подписью средствами редактора?

Многие пользователи даже не догадываются о том, что ЭЦП можно совершенно просто создать даже в офисном редакторе Word. Как подписать «вордовский» документ электронной подписью? Проще простого. Действия в разных версиях редактора несколько различаются, но в целом суть одна и та же. Рассмотрим создание подписи на примере Word 2007.

Итак, как подписать документы электронной подписью, используя только Word? Для этого после установки курсора в место, где предполагается поставить подпись, используется меню вставки, в котором выбирается пункт текста. Затем следует найти пункт строки подписи и в установить строку подписи MS Office.

В диалоговом окне настройки нужно указать данные лица, подписывающего документ, затем выбрать скан оригинальной подписи, после чего ввести собственное имя в поле рядом со значком «x». После этого будет отображена печатная версия подписи.

На планшете с рукописным вводом подпись можно поставить собственноручно. Если требуется подписать документ от имени нескольких лиц, нужно будет настроить поля подписей для каждого лица.

Можно поступить и проще, выбрав в меню кнопки «Офиса» строку «Подготовить», далее указать добавление подписи, затем использовать цель подписания документа, после этого сделать выбор подписи, и, наконец, - пункт «Подписать». Подписание будет подтверждено появившимся красным значком на панели и надписью, гласящей, что документ содержит ЭЦП.

Самые популярные инструменты для создания ЭЦП

Теперь посмотрим, каково может быть решение проблемы того, как подписать документ Для этого желательно использовать стороннее программное обеспечение.

Из русскоязычного ПО самыми популярными и наиболее распространенными являются следующие программные пакеты:

• «КриптоАРМ»;
• «Крипто ПРО»;
• «КриптоТри».

Первая программа выглядит самой простой, поэтому далее будет рассмотрено, как подписать документы электронной подписью, именно с ее помощью.

Создание ЭЦП на примере приложения «КриптоАРМ»

Для создания цифровой подписи при помощи этого приложения есть два метода: использование контекстного меню и выполнение действий через главный интерфейс программы. Для более простого понимания процесса остановимся на первом варианте, тем более что второй практически идентичен, только основное действие вызывается непосредственно из программы. Предположим, необходимо установить цифровую подпись на документ Word.

Сначала в «Проводнике» необходимо выбрать интересующий нас документ и в меню ПКМ выбрать строку «Подписать». После этого появится окно «Мастера», который поможет выполнить все дальнейшие действия. Нажимаем кнопку продолжения и проверяем, тот ли файл выбран. При необходимости можно добавить еще несколько объектов, чтобы осуществить их одновременное подписание.

Снова нажимаем кнопку «Далее» и в следующем окне выбираем метод кодировки. В принципе, можно ничего не менять и оставить настройки, предложенные по умолчанию. На следующем этапе можно ввести дополнительные данные (штамп времени, визу и т. д.). Попутно можно установить флажок в поле сохранения подписи в виде отдельного объекта (при последующей проверке подписи в документе потребуются оба файла). Если галочку не ставить, файл подписи будет объединен с документом.

После продолжения потребуется выбрать сертификат, который был выдан соответствующим удостоверяющим центром (он может находиться на внешнем носителе eToken или прописан в системном реестре). После этого остальные параметры можно не менять. По окончании всех действий останется только нажать кнопку «Готово».

Примечание: если для подписи выбрался отдельный файл, как правило, он будет располагаться в той же директории, что и исходный подписываемый документ, и иметь расширение SIG.

Особенности подписи документов PDF, HTML и XML

Наконец, несколько слов о других форматах. В принципе, для PDF-документов действия будут теми же, однако в силу специфики других программ от компании Adobe целесообразно отделять файл подписи от основного документа.

Возможна ситуация, когда получатель документа сначала захочет ознакомиться с его содержимым, используя для этого тот же Acrobat (Reader), а только потом станет проверять подпись. Кстати, некоторые приложения от Adobe тоже позволяют подписывать файлы собственными штатными средствами.

Если встраивать подпись в документы формата HTML при работе с тонкими клиентами, в браузере потребуется нажать «Подписать и отправить», после чего будет активирован скрипт разработчика, формирующий строковую переменную с данными по верификации документа, которая будет введена в специальное hidden-поле, подписана и передана на сервер POST-методом. Затем последует проверка документа и подписи, после чего на сервере сформируется таблица с полями самого подписанного документа и его ЭЦП.

Можно подписать как обычные документы, использовать средство «Офиса» InfoPath или создать специальный атрибут тэга в самом документе.

Краткие итоги

Вот кратко и все о том, как подписать документы электронной подписью. Конечно, здесь были приведены далеко не все методы, которые позволяют произвести такие операции, и рассмотрены не все программы для создания ЭЦП. Однако даже по такому краткому описанию уже можно понять, для чего нужна электронная подпись, и как в основе своей работают все необходимые алгоритмы.

Если посмотреть не некоторые типы программного обеспечения, в частности, офисные программы или наиболее популярные продукты от Adobe, можно использовать и их собственные средства. Однако в плане упрощения работы, по крайней мере, начинающему пользователю лучше использовать сторонние утилиты в виде примера с «КриптоАРМ». Само собой разумеется, что не следует забывать и о юридической стороне вопроса. Некоторые компании создают электронные подписи и сертификаты самостоятельно, но в конечном итоге они не то чтобы оказываются недействительными, но вот юридической силы не имеют.

Информационные системы, компьютерные сети, электронная почта – вот далеко не полный перечень тех средств, с помощью которых происходит обмен данными в электронном виде. В последнее десятилетие появились и получили распространение новые инструментальные средства эффективного обеспечения управленческих процессов. В том числе речь идет о программном обеспечении, предназначенном для обработки управленческих документов. Здесь, прежде всего, следует упомянуть программное обеспечение классов «системы управления документами» и «системы управления деловыми процессами»sub_99112. Такие системы представляют собой программные комплексы, применимые для решения ряда задач, в том числе и для построения корпоративных систем электронного документооборота. В рамках автоматизации процесса обработки документа в организации с момента его создания или получения до момента отправки корреспонденту или завершения исполнения и списания в дело должно быть обеспечено решение следующих функций:

· регистрация входящих в организацию документов, исходящих из организации документов и внутренних документов;

· учет резолюций, выданных по документам руководством организации, и постановка документов на контроль;

· централизованный контроль исполнения документов;

· списание документов в дело;

· ведение информационно-справочной работы;

· формирование делопроизводственных отчетов по организации в целом.

Использование системы электронного документооборота позволяет организовать передачу данных о ходе исполнения документов в электронном виде, что качественно меняет организацию контроля исполнения документов. Карточки централизованно зарегистрированных документов с резолюциями руководства рассылаются в электронном виде сотрудникам соответствующих подразделений. Они дополняют их резолюциями по исполнению документов, выдаваемыми руководителями структурных подразделений. По мере появления данных о ходе исполнения документов эти данные вносятся в систему. При этом система автоматически отслеживает наступление даты предварительного уведомления о приближении срока исполнения и наступление самого этого срока. Заинтересованные пользователи системы информируются о названных сроках. Также значительно видоизменяется процесс согласования проектов документов, в рамках которого сотрудники, участвующие в процессе согласования, получают возможность обмениваться электронными версиями согласуемых проектов. Такая технология позволяет сократить время, затрачиваемое на передачу проектов в бумажном виде.

Система электронного документооборота обязательно включает текущий электронный архив, который решает проблемы оперативного доступа к информации и наличия возможности одновременного использования документа несколькими сотрудниками. Такая форма организации хранения значительно снижает вероятность потери информации и повышает оперативность работы за счет сокращения времени поиска нужного документа. Хранение текстов документов в электронном виде позволяет реализовать полнотекстовый поиск, что открывает принципиально новые возможности при ведении информационно-справочной работы, например, позволяет делать тематические подборки документов по их содержанию. Использование электронного архива избавляет от необходимости создавать фонд пользования архивными документами, так как по запросу в любой момент может быть выдана электронная копия документа.

С юридической точки зрения, понятие электронного документооборота отличается от понятия электронного обмена данными. В основе первого лежит легитимность (процессуальная допустимость и доказательственная сила) электронных документов. Поэтому наряду с совершенствованием информационных технологий важную роль в процессе создания инфраструктуры электронного документооборота должна сыграть его законодательная поддержка, суть которой состоит в придании данным, создаваемым и передаваемым электронным способом, юридического статуса документаsub_99113.

Основной функцией традиционного документа является удостоверение некоторой информации. При составлении и использовании документа присутствуют два аспекта: во-первых, некоторая информация, а во-вторых, сам документ как материальная вещь, которую можно предъявить или передать. Наличие этой материальной вещи позволяет подтвердить истинность информации, содержащейся в документе. Возможно, для подтверждения истинности необходимо проделать некую процедуру – экспертизу по проверке подлинности документа. Саму информацию, содержащуюся в документе, тоже можно разделить на две части. Первая часть – непосредственно содержание, вторая – вспомогательная информация, которая дает возможность установить его аутентичность (подлинность). К ней относятся реквизиты типа исходящего номера, подписей и печатей.

В состав информации, как содержательной, так и о носителе, могут входить и данные о времени, условиях и месте составления документа.

Необходимо также отметить, что в случае бумажного документа оригинал существует в ограниченном, известном заранее количестве экземпляров. Например, может быть указано, что договор совершен в трех экземплярах, имеющих равную силу. Любой дополнительный экземпляр явится копией, что в принципе, может быть проверено путем проведения соответствующей экспертизы. В ряде случаев существенно наличие именно оригинала документа. Например, продажа акции, выпущенной в документарной форме, вовсе не равносильна продаже копии ее сертификата, даже заверенной нотариально.

Таким образом, документ выполняет следующие функции:

– фиксация некоторой (содержательной) информации;

– фиксация лица, подписавшего документ;

– фиксация условий составления документа;

– доказательство в судебном разбирательстве;

– функция оригинала, обеспечиваемая его уникальностью.

В России 10 января 2002 г. принят Закон об ЭЦП (электронной цифровой подписи). Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. В Законе дано определение электронного документа как документа, в котором информация представлена в электронно-цифровой форме (ст. 3).

В законодательстве определены условия, при соблюдении которых электронный документ приобретает статус письменного документа и может служить доказательством в судебном разбирательстве. Так, ГК РФ связывает признание за электронным документом статуса письменного документа с наличием электронной цифровой подписи. В п. 2 ст. 160 ГК РФ электронная цифровая подпись упоминается наряду с факсимильным воспроизведением подписи как один из аналогов собственноручной подписи. В ст. 75 АПК РФ указано, что наличие электронной цифровой подписи позволяет закрепить за электронным документом статус письменного доказательства. В Законе об информации электронная цифровая подпись (ЭЦП) называется реквизитом, закрепляющим за данным видом документа правовой статус документа.

Таким образом, данные законодательные акты связывали материально-правовое значение ЭЦП с приданием информации, представленной в электронно-цифровой форме, правового статуса документа или письменного документа (доказательства). Несмотря на то, что ГК РФ и АПК РФ рассматривают ЭЦП как аналог собственноручной подписи, они не допускали юридического отождествления ЭЦП с собственноручной (физической) подписью человека на бумажном документе. Акцент делался на закреплении одинакового правового статуса электронного документа и традиционного письменного документа с использованием для данной цели различных правовых и технических средствsub_99114.

Электронная цифровая подпись – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. Закона об ЭЦП). С юридической точки зрения, электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при соблюдении определенных условий.

Рассмотрим основные отличия этих двух видов подписи. Рукописная подпись подтверждает факт взаимосвязи между сведениями, содержащимися в документе, и лицом, подписавшим документ, то есть является одним из средств идентификации личности. В основу использования рукописной подписи как средства идентификации положена гипотеза об уникальности личных биометрических параметров человека. Механизм выполнения физической подписи непосредственно обусловлен психофизиологическими характеристиками организма человека, и в силу этого подпись неразрывно связана с личностью подписывающего. Поэтому и возможна идентификация лица по его подписи.

Характерной особенностью рукописной подписи является ее неразрывная физическая связь с носителем информации. То есть рукописная подпись возможна только на документах, имеющих материальную природу. Электронные документы, имеющие логическую природу, к этой категории не относятся. Таким образом, при совершении сделок, факт которых удостоверяется рукописной подписью, стороны-участники должны находиться либо в непосредственном контакте, либо в опосредованном – через материальный носитель и услуги сторонних организаций. Другой недостаток рукописной подписи является функциональным. Он связан с тем, что рукописная подпись обеспечивает только идентификацию документа, то есть подтверждает его отношение к лицу, поставившему подпись, но ни в коей мере не обеспечивает аутентификации документа, то есть его целостности и неизменности. Без специальных дополнительных мер защиты рукописная подпись не гарантирует тот факт, что документ не подвергся содержательным изменениям в ходе хранения или транспортировки.

В отличие от рукописной подписи, электронная цифровая подпись имеет не физическую, а логическую природу – это просто последовательность символов, которая позволяет однозначно связать лицо, подписавшее документ, содержание документа и владельца ЭЦП. Логический характер электронной подписи делает ее независимой от материальной природы документа. С ее помощью можно подписывать документы, имеющие электронную природу (исполненные на магнитных, оптических, кристаллических и иных носителях, распределенные в компьютерных сетях и т. п.).

Согласно Закону, ЭЦП должна решать следующие задачи: защиту электронного документа от подделки, установление отсутствия искажений информации в электронном документе, идентификацию владельца сертификата ключа подписи (ст. 3).

Таким образом, ЭЦП должна обеспечить идентификацию (документ подписан определенным лицом) и аутентификацию (содержание не претерпело изменений с момента его подписания) электронного документа. Однако следует отметить, что сущность же ЭЦП такова, что она не может непосредственно характеризовать владельца ЭЦП как личность. Связь же между ЭЦП и человеком, ее проставившим, носит не биологический, а социальный характер. Возникновение, существование и прекращение данной связи обусловлены совокупностью различных правовых, организационных и технических факторов. Определение подлинности ЭЦП свидетельствует только о знании лицом, ее проставившим, закрытого ключа ЭЦП. Для того чтобы выяснить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо установить помимо факта подлинности ЭЦП и идентификацию человека, ее поставившего. Идентификация человека в традиционном понимании, как это происходит по личной подписи, непосредственно по ЭЦП невозможна. Независимость ЭЦП от носителя позволяет использовать ее в электронном документообороте. При использовании ЭЦП возможны договорные отношения между удаленными юридическими и физическими лицами без прямого или опосредованного физического контакта. Это свойство ЭЦП лежит в основе электронной коммерции.

Логическая природа ЭЦП позволяет не различать копии одного документа и сделать их равнозначными. Снимается естественное различие между оригиналом документа и его копиями, полученными в результате тиражирования (размножения). Механизм обслуживания ЭЦП основан на программных и аппаратных средствах вычислительной техники, поэтому он хорошо автоматизируется. Все стадии обслуживания (создание, применение, удостоверение и проверка ЭЦП) автоматизированы, что значительно повышает эффективность документооборота. Вместе с тем автоматизация хоть и способствует повышению производительности труда, она выводит механизм подписи из-под контроля естественными методами (например, визуальными) и может создавать иллюзию благополучия. Поэтому для использования ЭЦП необходимо специальное техническое, организационное и правовое обеспечение.

Техническое обеспечение электронной цифровой подписи основано на использовании методов криптографии. Любой документ можно рассматривать как уникальную последовательность символов. Изменение хотя бы одного символа в последовательности будет означать, что в результате получится уже совсем другой документ, отличный от исходного. Чтобы последовательность символов, представляющих документ, могла, во-первых, идентифицировать ее отправителя, а во-вторых, подтвердить ее неизменность с момента отправления, она должна обладать уникальными признаками, известными только отправителю и получателю сообщения. Для этого используются различные средства шифрования, создаваемые и изучаемые наукой криптографией.

Для шифрования и дешифрования информации необходимо знать метод и ключ шифрования. Метод шифрования – это формальный алгоритм, описывающий порядок преобразования исходного сообщения в результирующее. Ключ шифрования – это набор параметров (данных), необходимых для применения метода. Так, например, буквы любой последовательности символов можно заменить на соответствующую комбинацию цифр – это метод шифрования. А конкретное указание, какую букву заменить на какую последовательность цифр, является ключом.

Существуют симметричные и несимметричные методы шифрования. Симметричный метод шифрования состоит в том, что партнер создает ключ шифрования, который передает другому партнеру. Сообщение шифруется и дешифруется одним ключом. Этот алгоритм трудно напрямую использовать, например, в электронной коммерции, так как возникает проблема идентификации удаленного партнера.

Несимметричная (асимметричная) криптография использует специальные математические методы. В результате применения этих методов создается пара ключей: то, что зашифровано одним ключом, может быть дешифровано другим, и наоборот. Владелец ключей один оставляет у себя, а другой может распространить, например, прямой рассылкой через Интернет. Ключ, оставленный у владельца, называется закрытым или личным, другой – открытым или публичным. Закрытый ключ электронной цифровой подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи (ст. 3 Закона об ЭЦП). Открытый ключ электронной цифровой подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе (ст. 3 Закона об ЭЦП).

Закрытый ключ может быть скомпрометирован различными способами:

· хищение ключа путем копирования в результате несанкционированного доступа к оборудованию (прямого или удаленного), на котором он хранится;

· получение ключа путем ответа на запрос, использованный с признаками мошенничества или подлога;

· хищение ключа в результате хищения оборудования, на котором он хранится;

· хищение ключа в результате сговора с лицами, имеющими право на его использование (даже рядовой факт увольнения сотрудника, имевшего доступ к закрытому ключу организации, рассматривается как компрометация ключа).

Незаконность данных традиционных методов компрометации обеспечивает законодательство. Это не относится к нетрадиционным методам реконструкции закрытого ключа по исходным данным, полученным вполне легально, в частности по открытому ключу. Возможность реконструкции определяется тем, что открытый и закрытый ключи связаны определенными математическими соотношениями. Теоретически знание открытого ключа дает возможность восстановить закрытый ключ. Однако на практике это связано с наличием специальных программных и аппаратных средств и огромными затратами вычислительного времени. Существует специальная отрасль науки, называемая криптоанализом, которая позволяет воспроизводить зашифрованную информацию и оценивать степень защиты информации.

Поскольку от алгоритмов, на основе которых действует средство ЭЦП, зависят надежность и устойчивость документооборота, к средствам ЭЦП предъявляются специальные требования.

Средства электронной цифровой подписи – аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.

При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи (п. 2 ст. 5). Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается (п. 3 ст. 5). В России деятельность по разработке средств ЭЦП относится к лицензируемым видам деятельности (Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности».

Открытый ключ потому и называется открытым, что он доступен каждому из партнеров владельца закрытого ключа. Есть очень простой прием подмены открытого ключа с целью создания ложного канала связи. Допустим, сторона C желает перехватить чужие данные. В этом случае она может с помощью средств ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера B. Тогда все сообщения от партнера А к партнеру B будут легко перехватываться и читаться стороной C, причем ни A, ни B не будут даже догадываться о том, что C участвует в «договорных» отношениях.

Эта форма злоупотребления основана на том, что хотя в открытом ключе и приводятся данные о его владельце, в нем нет средств, удостоверяющих, что эти данные подлинные. Без разрешения этого вопроса механизм ЭЦП не может быть использован ни в электронной коммерции, ни в электронном документообороте.

Таким образом, одним из основополагающих моментов использования электронной цифровой подписи для установления подлинности, целостности и аутентичности документов, хранимых, обрабатываемых и передаваемых с помощью информационных и телекоммуникационных систем, является подтверждение принадлежности открытого ключа ЭЦП конкретному лицу посредством выдачи сертификата ключа подписи. Поэтому значительная часть Федерального закона «Об электронной цифровой подписи» посвящена механизму удостоверения личности владельца открытого ключа.

Во всех случаях этот механизм основан на том, что вводится (назначается) дополнительная сторона, удостоверяющая принадлежность открытого ключа конкретному юридическому или физическому лицу. Вопросы: кто именно имеет право удостоверять открытые ключи, когда и как – в законодательстве различных государств решаются по-разному. В частности, это может быть государственный орган или организация, уполномоченная государством для ведения данной деятельности. Возможно, что для внутреннего документооборота предприятия эту функцию можно поручить лицу, назначенному руководством, а для документооборота внутри ведомства – уполномоченному подразделению.

На практике сертификация открытых ключей выполняется следующим образом.

1. Лицо (юридическое или физическое), создавшее себе пару ключей (открытый и закрытый) с помощью средства ЭЦП, должно обратиться в орган, уполномоченный выполнить сертификацию. Этот орган называется удостоверяющим центром (Закон об ЭЦП).

2. Удостоверяющий центр проверяет принадлежность открытого ключа заявителю и удостоверяет этот факт добавлением к открытому ключу своей подписи, завизированной собственным закрытым ключом.

3. Любой партнер, желающий вступить в контакт с владельцем открытого ключа, может прочитать удостоверяющую запись с помощью открытого ключа удостоверяющего центра. Если целостность этой записи не нарушена, то он может использовать открытый ключ партнера для связи с ним.

Следует четко понимать, что удостоверяющий центр заверяет только факт принадлежности открытого ключа конкретному лицу или организации. Наличие полноценного сертификата открытого ключа говорит о том, что ключ можно использовать для удостоверения личности партнера в договорных отношениях. Но законность этих отношений удостоверяющим центром не подтверждается.

К удостоверяющим центрам предъявляются особые требования. Это обусловлено тем, что участники электронного документооборота не могут проверить корректность осуществления подобными организациями своих функций. Поэтому в целях защиты прав участников электронного документооборота государство берет на себя регулирование деятельности этих центров посредством выдачи лицензии на их работу со стороны соответствующего уполномоченного государственного органа.

Так, Закон об ЭЦП устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая организация, осуществляющая свою деятельность на основании лицензии. При оформлении лицензии организация, претендующая на ее получение, должна представить обоснование своей способности нести гражданскую ответственность (ст. 8).

В настоящее время, в соответствии с рекомендациями Европейского Совета, национальное законодательство стран Европы в части требований к удостоверяющим центрам должно содержать требования одобрения или лицензирования деятельности удостоверяющих центров, проверку соблюдения этими центрами необходимых для их деятельности условий, а также требование к уровню надежности технических и программных средств, используемых этими центрами, и т. д. В части экономического обоснования возможности удостоверяющего центра нести гражданскую ответственность за ненадлежащее исполнение своих обязанностей необходимо выделить три критерия:

1) наличие собственного минимально установленного капитала, выраженного в абсолютной сумме;

2) подтверждение этой суммы банковской гарантией;

3) наличие страховки.

Значительно более трудной представляется задача практического создания в нашей стране инфраструктуры открытых ключей (PKI – Public Key Infrastructure) в системах электронного документооборота и электронной торговли.

Термин «инфраструктура открытых ключей» включает в себя полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования открытых ключей. Основным компонентом инфраструктуры является собственно система удостоверяющих центров. Для создания целостной системы удостоверяющих центров необходимо определить модель и общую структуру системы, степень участия в ее построении различных государственных органов и коммерческих структур; используемые при создании информационные технологии.

Иерархический принцип построения государственного управления подразумевает достаточно естественную структуру построения в перспективе системы удостоверяющих центров системы электронного документооборота: от федерального уровня, через региональные центры и до ведомственных структур и конечных пользователей.

В данной модели определяющую роль выполняет совокупность удостоверяющих центров верхнего уровня, которые должны удовлетворять самым высоким требованиям по информационной безопасности. От надежности защиты этого уровня и доверия к нему в большой мере зависит надежность всей системы в целом и степень доверия к ней.

В настоящее время распространение получили две структурные модели системы сертификации – централизованная и децентрализованная. Централизованная модель имеет иерархический характер и наиболее соответствует потребностям служебного документооборота. Децентрализованная модель имеет сетевой характер и может использоваться, например, в гражданском электронном документообороте. В основе централизованной модели сертификации находится один уполномоченный орган сертификации. Такой орган называется корневым удостоверяющим центром (корневым центром сертификации). Если чисто технически корневой центр не может обеспечить все запросы на выдачу и проверку сертификатов, поступающие от юридических и физических лиц, то он может сертифицировать другие дополнительные органы, называемые доверенными удостоверяющими центрами (доверенными центрами сертификации). Доверенные центры тоже могут удостоверять чужие открытые ключи своими открытыми ключами, но при этом их открытые ключи тоже нуждаются в удостоверении. Их удостоверяет своим закрытым ключом вышестоящий центр сертификации.

Таким образом, участник электронного документооборота, получивший откуда-то открытый ключ неизвестного партнера, может:

· установить наличие сертификата, удостоверенного электронной подписью удостоверяющего центра;

· проверить действительность подписи центра сертификации в вышестоящем удостоверяющем центре;

· если вышестоящий центр тоже является не корневым, а доверенным, то и его подпись можно проверить в вышестоящем центре, и так далее, пока проверка не дойдет до корневого удостоверяющего центра.

Такую проверку надо выполнить только один раз. Убедившись в правомочности корневого удостоверяющего центра, можно настроить свое программное обеспечение так, чтобы в дальнейшем доверие ему выражалось автоматически. И лишь в случаях, когда цепочку сертификатов не удается проследить до ранее проверенного доверенного центра (или до корневого центра), программное обеспечение выдаст предупреждение о том, что открытый ключ не имеет удостоверенного сертификата и пользоваться им нельзя.

Сетевая модель сертификации основана на взаимных договоренностях сторон (в последнем случае они будут иметь правовое значение, только если прямо отражены в двусторонних договорах). Так, например, при отсутствии централизованной структуры доверенных удостоверяющих центров (или параллельно с ней, если законодательство это допускает) могут существовать сетевые модели сертификации. Такие модели охватывают группы юридических и физических лиц, например, по ведомственной принадлежности.

Два юридических или физических лица, вступающих в электронные коммерческие взаимоотношения, могут сами взаимно заверить друг другу открытые ключи, если обменяются ими при личной встрече с предъявлением друг другу учредительных документов или удостоверений личности (для физических лиц). В этом случае у них нет оснований сомневаться в истинной принадлежности открытых ключей.

Однако, например, электронная коммерция строится исходя из того факта, что участники не нуждаются в очной встрече. В этом случае две стороны могут договориться о том, что им взаимно заверит ключи третья сторона, которую они выберут сами. Так же могут договориться и прочие участники рынка. В результате возникает сложная структура, в которой все участники связаны, с одной стороны, двусторонними договорными отношениями, а с другой стороны, еще и выполняют функции заверителей для своих традиционных партнеров. С точки зрения отдельного коммерсанта, доверие к его открытому ключу будет тем выше, чем большее количество сертификатов он получит от прочих участников рынка.

В этой статье будут даны конкретные инструкции по установке ЭЦП в программе документооборота, в том числе ЭЦП фирмы КриптоПро для «1С:Документоборот». Мы также разместили для вас видео-ролик, показывающий все шаги. Но сначала немного об электронно-цифровых подписях в нашей жизни.

Мировое сообщество информационных технологий не стоит на месте, а уверено шагает в ногу со временем. На сегодняшний день трудно себе представить компанию, в которой не существовало бы компьютеров, принтеров и другой офисной техники. Век печатных машинок остался в прошлом и на сегодняшний день практически все применяют электронные документы вместо бумажного «документооборота» . И дело даже не в том, что в случае небольшой ошибки, допущенной во время набора текста, приходиться переводить бумагу на макулатуру, важнее всего время, которое будет потрачено на написание нового документа.

В электронном виде документооборот становится удобным и быстрым видом передачи документов. Достаточно сохранять шаблоны, а потом только подставлять данные, изменять или исправлять ошибки. Электронный обмен документами также не требует затрат на бумагу, на оплату услуг курьера и т.д.

Вот только с приходом новых технологий мошенники тоже «не дремлют» и стараются придумывать все новые способы для обмана. Например, при обмене электронными документами недобросовестные партнеры могут изменить в документе некоторые цифры, а потом выдавать этот документ за оригинал. Как раз для того, чтобы защитить себя в таких случаях стали разрабатываться и применяться разные методы защиты данных. Одной из самых популярных на сегодняшнее время является электронно-цифровая подпись.

Необходимость в ЭЦП возникла, когда нужно было скрыть от чужих глаз важную информацию, а также как подтверждение того, что документ не подвергался изменению за время прохождения по каналам связи. Механизм цифровой подписи был создан как побочный эффект криптографического шифрования с открытым ключом. Следствием такого подхода к шифрованию данных появилась возможность применения двух ключей – секретного и открытого.

Секретный ключ применяется собственно для самой подписи и доступен только автору информации, а открытый ключ предназначен для проверки подлинности документа и, как правило, является общедоступным. Чтобы проверить подлинность документа, открытый ключ, шифро-текст и исходный текст сопоставляются между собой. Если результаты проверки идентичны, значит, документ не подвергался изменениям. Шифро-текст не доступен никому, кроме обладателя секретного ключа, а потому он выступает гарантом подлинности и считается личной подписью владельца ключа – электронно-цифровой подписью.

Поскольку цифровая подпись является полным аналогом собственноручной подписи правомочного лица на бумажном документе, такой юридически значимый документооборот имеет полную законную силу. Файл (документ), заверенный электронной подписью, гарантирует целостность документов, их конфиденциальность, дает возможность установить личность отправителя. Использование такого документооборота не только сокращает время доставки и финансовые затраты компании, но и делает процедуру оформления, подготовки, хранения и учета документации более эффективной.

Электронный документооборот происходит следующим образом: сначала стороны договариваются между собой о средствах ЭЦП, которые будут использоваться в процессе обмена файлами. В России наиболее приемлемым и сертифицированным является программный или программно-аппаратный комплекс. После того, как средство выбрано и одобрено обеими сторонами, партнеры выполняют генерирование ключей по секретному и открытому ключу для каждой стороны. Для того, чтобы партнеры могли убедиться в подлинности ЭЦП, они обмениваются открытыми ключами. Этот процесс нужен для предотвращения конфликтной ситуации, которая может возникнуть в случае, если один из партнеров обнаружит при проверке, что личная подпись другой стороны не прошла идентификацию. Далее из исходного документа (файла) и его ЭЦП составляется непосредственно сам электронный документ. Такой документ состоит из двух частей: из общей, в которой содержится сам текст документа, и особой, содержащей все обязательные ЭЦП .

Видео-ролик о работе с ЭЦП в программе «1С:Документооборот»

Ролик показывает все процессы подключения ЭЦП к «1С:Документооборот» от скачивания и установки Крипто-Про до настройки «1С:Документооборот». Данный ролик записан нашими партнерами. Перейдите к следующей странице для просмотра.

20.Электронный документооборот. Электронная цифровая подпись

Понятие, виды электронного документооборота.

Правовое обеспечение понятию «электронный документ» устанавливает Закон Республики Беларусь от 01.01.2001 г. «Об электронном документе и электронной цифровой подписи».

Электронный документ – документ в электронном виде с реквизитами, позволяющими установить его целостность и подлинность (здесь и далее по разделу понятие электронного документа отражается с точки зрения применения ЭЦП, в узкой трактовке данного понятия, согласно указанному Закону).

Согласно главе 3 вышеупомянутого Закона, электронные документы могут применяться во всех сферах деятельности, где используются программные, программно-технические и технические средства, необходимые для создания, обработки, хранения, передачи и приема информации в электронном виде.

Ограничения на применение электронных документов устанавливаются законодательством по решению сторон договора.

Представления критериев, которым должен соответствовать электронный документ по законодательству РБ, чтобы называться таковым, значительно строже общемировой практики ввиду обязательного наличия неотъемлемой особенной части электронного документа (электронной цифровой подписи) и является узким вариантом толкования данного понятия. Полагаем правильным руководствоваться приведенным выше определением электронного документа только в целях применения законодательства об электронной цифровой подписи.

Электронный документ должен соответствовать следующим требованиям:

создаваться, обрабатываться, храниться, передаваться и приниматься с помощью программных, программно-технических и технических средств; иметь структуру, состоящую из общей и особенной части. Общая часть электронного документа состоит из информации, составляющей содержание документа. Особенная часть электронного документа состоит из одной или нескольких электронных цифровых подписей, а также может содержать дополнительные данные, необходимые для проверки электронной цифровой подписи (электронных цифровых подписей) и идентификации электронного документа, которые устанавливаются техническими нормативными правовыми актами ; быть представляемым в форме, доступной и понятной для восприятия человеком.

Электронный документ по законодательству РБ имеет две формы представления: внутреннюю и внешнюю. Внутренней формой представления электронного документа является запись информации, составляющей электронный документ, на электронном носителе информации. Внешней формой представления электронного документа является воспроизведение электронного документа на электронном средстве отображения информации, на бумажном либо ином материальном носителе в форме, доступной и понятной для восприятия человеком.

Оригинал электронного документа существует только в электронном виде. Все идентичные экземпляры электронного документа являются оригиналами и имеют одинаковую юридическую силу. Документы, созданные организацией или физическим лицом на бумажном носителе и в электронном виде, идентичные по содержанию, имеют одинаковую юридическую силу. В этом случае документ на бумажном носителе не является копией электронного документа.

Копией электронного документа считается его создание путем удостоверения в порядке, установленном законодательством Республики Беларусь, формы внешнего представления электронного документа на бумажном носителе. При этом копия электронного документа должна содержать указание на то, что она является копией соответствующего электронного документа.

Юридическая сила электронного документа.

Электронный документ приравнивается к документу на бумажном носителе, подписанному собственноручно, и имеет одинаковую с ним юридическую силу. Если в соответствии с законодательством Республики Беларусь требуется, чтобы документ был оформлен в письменной форме, то электронный документ и его копия считаются соответствующими этому требованию. В случае, если в соответствии с законодательством Республики Беларусь требуется нотариальное удостоверение и (или) государственная регистрация документа, а документ создан в электронном виде, нотариальному удостоверению и (или) государственной регистрации подлежат электронный документ или его копия.

Электронная цифровая подпись, электронная подпись и цифровая подпись (понятия, отличия).

В мире существует множественность подходов к определению понятий «электронная цифровая подпись», «электронная подпись», «цифровая подпись». В одних случаях законодательство государств говорит, что самое широкое понятие имеет электронная подпись, под которой часто понимают и электронную цифровую подпись, и цифровую подпись. При таких подходах под электронной подписью понимают любые включаемые в электронный документ элементы.

Электронная подпись – электронный звук, символ или процесс, прикрепленный или логически связанный с документом и выполненный или принятый лицом с намерением подписать документ (Uniform Electronic Transactions Act or «UETA» опубликован NCCUSL в 1999 году, США). Такая подпись прилагается к электронному документу, является аналогом собственноручной подписи. Примером электронной подписи может служить в равной степени как подпись, совершенная при помощи специальной цифровой ручки, так и отсканированное изображение подписи человека и пр. При этом гарантий, что лицо действительно подписало какой-либо документ при использовании электронной подписи, нет, поскольку такую подпись достаточно легко можно скопировать и вставить в конкретный документ.

Такой подход определения электронной подписи характерен при регулировании международной торговли (например, типовой закон ЮНИСТРАЛ, от 01.01.2001 г. «Об электронных подписях») используется в США и ряде других стран.

Следует все же отличать электронную подпись от цифровой. Потому что всякая электронная подпись – цифровая, но не всякая цифровая подпись – электронная. Поскольку цифровая подпись содержит шифрование (в основе алгоритмы шифрования), открытый и закрытый ключ, позволяющий идентифицировать принадлежность документа владельцу , а также подлинность и целостность документа.

Считается, что цифровую подпись нельзя подделать, скопировать, изменить, поскольку в ее основе используется криптографический метод защиты информации с использованием инфраструктуры открытых ключей (Public Key Infrastructure – PKI), что гарантирует целостность данных и, как следствие, безотказность документов и сделок.

По белорусскому законодательству электронная цифровая подпись – последовательность символов, являющаяся реквизитом электронного документа и предназначенная для подтверждения его целостности и подлинности. Характерным атрибутом ЭЦП является обязательное наличие сертификата открытого ключа. Сертификат открытого ключа – электронный документ, изданный поставщиком услуг и содержащий информацию, подтверждающую принадлежность указанного в нем открытого ключа определенной организации или физическому лицу, и иную информацию.

Подобный более строгий, чем в США, подход к понятию электронной подписи характерен для европейских стран.

Назначение электронной цифровой подписи.

Электронная цифровая подпись:

удостоверяет информацию, составляющую общую часть электронного документа; подтверждает целостность и подлинность электронного документа; является аналогом собственноручной подписи, может применяться как аналог оттиска печати или штампа.

Виды ЭЦП, особенности и пределы использования.

Поскольку в нашей стране практика использования ЭЦП только начинает набирать свои обороты, обратимся к опыту РФ, где буквально в 2011 году был принят ФЗ «Об электронной подписи», который установил следующие виды ЭЦП:

простая электронная подпись (ПЭП); усиленная электронная подпись (УЭП); усиленная неквалифицированная электронная подпись (НЭП); усиленная квалифицированная электронная подпись (КЭП).

Особенности использования связаны непосредственно с практикой применения, так называемая ПЭП предназначена для подписания электронных сообщений, направляемых в государственный орган, орган местного самоуправления или должностному лицу, и подтверждает, что электронное сообщение отправлено конкретным лицом. В свою очередь, НЭП – электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа подписи. Позволяет не только идентифицировать лицо, подписавшее электронный документ, но и обнаружить факт внесения изменений в электронный документ после его подписания. Применяется во всех видах отношений, если иное не установлено нормативным правовым актом или соглашением участников отношений. КЭП дополнительно подтверждается сертификатом от аккредитованного удостоверяющего центра.

То есть использование того или иного вида ЭЦП зависит от задачи, для решения которой эта подпись нужна. Чем проще задача – тем проще и требование к виду ЭЦП.

Мировая практика использования электронной подписи.

Любопытно при этом отметить, что первым аналогом использования электронной подписи можно назвать электронный телеграф. Так, в 1860-х годах в США с его помощью заключались контракты. В 1869 году суд США признал использование телеграфа при заключении сделки законным: «Нет никакой разницы, делает ли оператор оферту или акцепт… с помощью дюймового пера, прикрепленного в ручку для пера, или же его пером будет медная проволока длиною в несколько тысяч километров. В любом случае мысль передается на бумагу при помощи пальцев в руке, и не имеет значения, что в одном случае для записи используются обычные чернила, в то время как в другом более подходящим является поток, известный как электричество…».

Суды разных юрисдикций признают юридическую силу электронной подписи, которая может включать соглашения, совершенные через электронную почту, идентификационный ПИН, через банкомат , цифровой ручкой либо путем принятия интерактивной кликовой онлайн-лицензии. Такой подход позволяет учитывать многообразие форм осуществления юридически значимых действий и существенно экономить время и средства при взаимоотношениях между различными субъектами.

Правовой статус документов с ЭЦП по белорусскому законодательству.

Правовой статус ЭПЦ устанавливается ГК РБ, в частности ст. 161, 404 а также Закон Республики Беларусь от 01.01.2001 г. «Об электронном документе и электронной цифровой подписи.

По ГК РБ допускается, чтобы лицо осуществило сделку с использованием при совершении электронно-цифровой подписи либо иного аналога собственноручной подписи в случаях и порядке, предусмотренных законодательством или соглашением сторон.

Сам же Закон «Об электронном документе и электронной цифровой подписи» направлен на установление правовых основ применения электронных документов, определение основных требований, предъявляемых к электронным документам, а также правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе является равнозначной собственноручной подписи в документе на бумажном носителе.

Действие вышеуказанного Закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи, а также при обращении документов в электронном виде, подтверждение целостности и подлинности которых осуществляется без применения сертифицированных средств электронной цифровой подписи.

Субъектами правоотношений являются государственные органы, другие организации и физические лица.

Удостоверяющие центры

Удостоверяющий центр – юридическое лицо, выполняющее функции создания, хранения и распространения сертификатов открытых ключей проверки электронной цифровой подписи и списков отозванных сертификатов открытых ключей проверки электронной цифровой подписи уполномоченных сотрудников регистрирующих органов и субъектов учета (постановление Совета Министров Республики Беларусь от 01.01.2001 г. № 000). Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

Ситуация с Удостоверяющими центрами в Республике Беларусь сегодня следующая. Отдельно взятая организация создает свой Удостоверяющий центр на базе своего предприятия и выпускает серфтификаты открытых ключей, обеспечивает соответствующим программным обеспечением , формирует локальные документы, регламентирующие работы Удостоверяющего цента (такие как Политика безопасности Удостоверяющего центра и др.).

Сертификат открытого ключа, как правило, содержит следующие сведения:

уникальный регистрационный номер сертификата, даты начала и окончания срока его действия; ФИО владельца сертификата открытого ключа или его псевдоним; открытый ключ ЭЦП; наименование средств ЭЦП, с которыми данный открытый ключ электронной цифровой подписи используется; наименование и местонахождение Удостоверяющего центра, выдавшего сертификат; сведения об отношениях, при осуществлении которых электронный документ, заверенный ЭЦП, будет иметь юридическое значение; при необходимости в сертификате могут указываться дополнительные сведения.

В качестве примеров функционирования Удостоверяющих центров можно указать: Министерство юстиции Республики Беларусь (на примере АИС «Взаимодействие»), Министерство по налогам и сборам (при электронном декларировании), Национальный центр маркетинга и конъюнктуры цен для участия в электронных аукционах субъектов хозяйствования), единым порталом государственных услуг (на базе Министерства связи и информатизации Республики Беларусь), Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь (для целей подачи сведений по ФСЗН), универсальная торговая биржа » (для обслуживания процесса оформления биржевых сделок) и др.

Таким образом, сегодня Удостоверяющие центры существуют на уровне отдельных ведомств , структур и организаций. В ближайшем будущем планируется, что роль единого Удостоверяющего центра будет реализовывать Оперативно-аналитический центр при Президенте Республики Беларусь. Это должно позволить в полной мере заработать единой государственной системе управления открытыми ключами проверки электронной цифровой подписи. В дальнейшем предусматривается интеграция с Удостоверяющими центрами в РФ.

Удостоверяющий центр, как правило, выполняет следующие функции:

определяет порядок информационного взаимодействия; осуществляет контроль за соблюдением организациями – участницами информационного взаимодействия правил информационного взаимодействия; проводит выпуск сертификатов открытых ключей проверки электронной цифровой подписи и выдачу носителей ключевой информации пользователям в соответствии с регламентом, устанавливаемым уполномоченным органом; проводит выдачу программного обеспечения для оснащения автоматизированных мест пользователей для пользования ЭЦП; обеспечивает защиту от несанкционированного доступа; обеспечивает бесперебойную работу центрального узла АИС; обеспечивает доступ пользователей к АИС в строгом соответствии с их полномочиями; обеспечивает техническую поддержку пользователей АИС.

Электронный документооборот

Электронный документооборот -- система ведения документации, при которой весь массив создаваемых, передаваемых и хранимых документов поддерживается с помощью информационно-коммуникационных технологий на компьютерах, объединенных в сетевую структуру, предусматривающую возможность формирования и ведения распределенной базы данных. При этом не отрицается использование бумажных документов, но приоритетным признается электронный документ, создаваемый, корректируемый и хранимый в компьютере.

Кроме того, электронный документооборот -- высокотехнологичное решение проблемы повышения эффективности работы любых организаций, в первую очередь проектных, конструкторских, строительных, научных, ремонтных и обслуживающих.Автоматическое отслеживание перемещения потоков информации внутри предприятия, а также порядка передачи конфиденциальных сведений позволяет значительно снизить трудозатраты делопроизводителей. Сквозной контроль исполнения на всех этапах работы способствует своевременной подготовке документации и существенному повышению качества работы исполнителей.

Информационные компьютерные технологии образуют основу решений, обеспечивающих централизованный автоматизированный обмен знаниями и позволяющих извлекать из всех доступных источников лишь необходимую информацию.

Система автоматизации документооборота, система электронного документооборота (СЭДО) -- автоматизированная многопользовательская система, сопровождающая процесс управления работой иерархической организации с целью обеспечения выполнения этой организацией своих функций. При этом предполагается, что процесс управления опирается на читаемые человеком документы, содержащие инструкции для сотрудников организации, необходимые к исполнению.

Основные принципы электронного документооборота:

Однократная регистрация документа, позволяющая однозначно идентифицировать документ;

Возможность параллельного выполнения операций, позволяющая сократить время движения документов и повышения оперативности их исполнения;

Непрерывность движения документа, позволяющая идентифицировать ответственного за исполнение документа (задачи) в каждый момент времени жизни документа (процесса);

Единая (или согласованная распределённая) база документной информации, позволяющая исключить возможность дублирования документов;

Эффективно организованная система поиска документа, позволяющая находить документ, обладая минимальной информацией о нём.

Электронная цифровая подпись, электронная подпись и цифровая подпись (понятия, отличия). Электронная цифровая подпись (понятие, виды, особенности и пределы использования)

Электронная цифровая подпись (ЭЦП) - последовательность символов, полученная в результате криптографического преобразования электронных данных. ЭЦП добавляется к блоку данных и позволяет получателю блока проверить источник и целостность данных и защититься от подделки. ЭЦП используется в качестве аналога собственноручной подписи.

Документ, заверенный электронной цифровой подписью (ЭЦП), считается принадлежащим соответствующей Стороне, если он подписан ЭЦП.

ЭЦП предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:

Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему;

Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев;

Доказательное подтверждение авторства документа. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.;

Все эти свойства ЭЦП позволяют использовать её для участия в электронных аукционах, а также подписи документов для участия в торгах государственных закупок.

Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов.

Электронная подпись (ЭП) -- реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП. В России федеральным законом № 63-ФЗ от 6 апреля 2011 г. наименование «электронная цифровая подпись» заменено словами «электронная подпись» (аббревиатура -- «ЭП»).

Виды электронных подписей:

В ст. 5 Закона об электронной подписи установлены следующие виды электронных подписей, которые регулируются Законом: простая электронная подпись и усиленная электронная подпись. При этом усиленная электронная подпись может быть квалифицированной и неквалифицированной. Указанные виды идентификации участника правоотношений в сфере электронного документооборота отличаются по надежности и сложности получения.

В новом Законе установлено, что простой электронной подписью является такая подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт ее формирования определенным лицом (п. 2 ст. 5).

Для усиленных электронных подписей в Законе предусмотрены более строгие требования. Так, неквалифицированная электронная подпись должна отвечать следующим признакам:

1) получается в результате криптографического преобразования информации с использованием ключа электронной подписи;

2) позволяет определить лицо, подписавшее электронный документ;

3) позволяет обнаружить факт внесения изменений в электронный документ после его подписания;

4) создается с использованием средств электронной подписи.

Эти признаки разработчики Закона об электронной подписи взяли из Директивы ЕС N 1999/93/ЕС (п. 2 ст. 5).

1) получен квалифицированный сертификат, в котором указывается ключ проверки такой электронной подписи;

2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в Законе об электронной подписи.

Цифровая подпись -- это блок данных, сгенерированный с использованием некоторого секретного ключа. При этом с помощью открытого ключа можно проверить, что данные были действительно сгенерированы с помощью этого секретного ключа. Алгоритм генерации цифровой подписи должен обеспечивать, чтобы было невозможно без секретного ключа создать подпись, которая при проверке окажется правильной.

Цифровые подписи используются для того, чтобы подтвердить, что сообщение пришло действительно от данного отправителя (в предположении, что лишь отправитель обладает секретным ключом, соответствующим его открытому ключу). Также их можно использовать для удостоверения (сертификации - to certify) того, что документ принадлежит определенному лицу.

Цифровая подпись также включает в документ отметку времени; по сути это означает, что время подписания документа является частью этой подписи. Поэтому если кто-то попытается изменить документ, при проверке подписи это будет обнаружено. Некоторые почтовые программы, например Exmh или KMail, включенная в KDE, предоставляют возможность подписывать документы с помощью GnuPG прямо в интерфейсе программы. Используются два типа цифровых подписей: clearsigned (явно подписанные) документы и detached signatures (отдельно подписанные). Оба типа подписей включают одинаковую степень защиты подлинности, и не требуют от получателя расшифровывать всё сообщение.Цифровую подпись в цифровых документах ставят в тех же случаях, что и в бумажных.

Цифровые подписи помогают удостоверить следующее:

Подлинность - цифровая подпись помогает гарантировать, что поставивший подпись -- тот, кем он является в действительности.

Целостность - цифровая подпись помогает гарантировать, что содержимое документа не менялось и не подделывалось после ввода цифровой подписи.

Неотрекаемость - цифровая подпись помогает доказать любой из сторон авторство подписанного содержимого. «Отказ» означает, что владелец подписи отрицает свою связь с подписанным содержимым.

Для выполнения этих гарантий создатель документа должен заверить его содержимое цифровой подписью, которая удовлетворяет следующим требованиям:

Цифровая подпись является действующей.Это значит, что сертификат данной цифровой подписи является действующим (не просроченным).Лицо или организация, поставившая цифровую подпись, именуемая издателем, является законным владельцем цифровой подписи;

Сертификат цифровой подписи выдан издателю компетентным Удостоверяющим центром.

Правовой статус документов с ЭЦП по российскому законодательству

Принятый Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи" (далее - Закон об электронной подписи, новый Закон) существенным образом изменяет правовое регулирование отношений, связанных с подписанием электронных документов. Ранее данные отношения регулировались исключительно Федеральным законом от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи" (далее - Закон об ЭЦП), который перестанет действовать с 01.07.2012, однако сертификаты электронных цифровых подписей (далее - ЭЦП), выданные в соответствии с этим нормативным актом, можно будет использовать и далее.

Закон об ЭЦП в принципе не позволяет выдавать сертификаты ЭЦП юридическим лицам - при том, что именно эти участники оборота чаще используют электронные документы. Закон об электронной подписи устраняет это ограничение, что должно способствовать более широкому распространению электронных подписей в России.

Расширяется и сфера действия электронных подписей, которые теперь можно использовать не только при совершении гражданско-правовых сделок (п. 2 ст. 1 Закона об ЭЦП), но и при оказании государственных и муниципальных услуг, а также "при совершении иных юридически значимых действий" (ст. 1 Закона об электронной подписи).

Закон об электронной подписи вступил в силу 08.04.2011г.,допускает применение любой информационной технологии средств шифрования и любых криптографических технических устройств, если они соответствуют определенным требованиям надежности (п. 2 ст. 4 Закона).