В чём польза электронно-цифровой подписи (ЭЦП)? — Она позволяет зафиксировать и удостоверить содержание цифрового документа. Фактически, сделать то же самое, что мы делаем, подписывая бумажный документ авторучкой.
Цифровым документом может быть не только текст, например, в rtf- или pdf-файле, но и любой иной компьютерный файл, содержащий графику, звук, видео, программу. Подписью их можно защитит от изменения и подтвердить своё авторство.
ЭЦП особенно полезна, а иногда просто необходима при взаимодействии с разными организациями: коммерческими, государственными и прочими. Она позволяет легко и быстро удостоверить документ-файл и переслать его контрагенту на любое расстояние.
Несмотря на уже продолжительную практику использования цифровых подписей, многие не совсем понимают их сути и поэтому совершают ошибки или действуют нерационально.
Мы объясним суть предмета. При этом, мы не будем углубляться в математические основы криптографии, а расскажем только самое важное для практического применения электронно-цифровой подписи.
Что такое ЭЦП?
«В быту» электронно-цифровой подписью часто называют её носитель: флэшку, смарт-карту, таблетку touch memory или дискету.
Это совсем неверно, потому что к ЭЦП имеют отношение лишь файлы, размещённые на этих носителях. Всего их три: 1) секретный ключ; 2) публичный (открытый) ключ и 3) сертификат публичного ключа.
В принципе, эти файлы можно разместить, где угодно — хоть в какой-нибудь папке на жёстком диске вашего компьютера. Но при этом надо помнить о том, что секретный ключ должен всегда оставаться… в секрете! То есть хранить его нужно в месте, совершенно недоступном посторонним лицам.
Однако и эти файлы сами по себе электронно-цифровой подписью не являются. Но они используются для постановки подписи под тем или иным документом.
Например, подпись текста: «Я, Пётр Петрович Петров, 20 октября 2018 года взял взаймы у Ивана Ивановича Иванова 100 (сто) рублей. Обязуюсь вернуть указанную сумму не позже 20 ноября 2018 года» могла бы выглядеть так.
Взяли текст, который требовалось заверить подписью. Затем по специальному математическому алгоритму к нему применили секретный ключ подписывающего. И в результате, образовалась представленная цепочка символов, получить которую мог только владелец секретного ключа.
В наших примерах имеются допущения и упрощения, которые могут вызвать критику специалиста в области криптографии и защиты информации. Они сделаны намеренно, чтобы обилие подробностей не заслонило самые важные моменты.
Что такое ключи ЭЦП?
Для обработки электронно-цифровой подписи используется пара криптографических ключей: секретный и публичный.
Секретный — позволяет зашифровать содержание подписываемого документа в уникальную последовательность символов, то есть заверить документ.
Открытый — позволяет расшифровать подпись и тем самым её проверить.
Число вариантов ключей и их сочетаний столь велико, что сегодня подобрать подходящие к конкретному документу даже с использованием самых мощных компьютеров (из числа имеющихся) практически невозможно. То есть злоумышленник не сможет подделать чужую подпись или незаметно изменить содержание документа.
Если потребуется, подбор ключей можно усложнить, увеличив их длину. Сейчас считаются безопасными ключи с длиной от 2048 битов.
Математически пара ключей создаётся так, что операции с ними возможны только в одном направлении. Если для шифрования использовался секретный ключ, для расшифровки нужен — открытый. Если для шифрования использовался открытый ключ, для расшифровки нужен — секретный.
Такой порядок соответствует двум способам использования пары.
Важно запомнить, что ассиметричные алгоритмы устроены так, что зашифрованные данные практически невозможно восстановить даже, если у вас есть ключ, которым эти данные были зашифрованы. — Для расшифровки обязательно нужен другой ключ из пары.
Что такое сертификат ЭЦП?
Теперь мы знаем, как удостоверить документ электронно-цифровой подписью. Но как удостоверить её саму?
В материальном мире свою подпись можно подтвердить, например, паспортом, в котором есть её образец, и в котором указаны персональные данные её владельца.
При этом важными обстоятельствами являются следующие: 1) паспорт трудно подделать; 2) паспорт изготовлен учреждением, которому доверяют (или должны доверять) на всей территории действия паспорта.
«Паспортом» электронно-цифровой подписи является её сертификат, в котором зафиксированы:
- открытый ключ владельца подписи;
- данные владельца подписи;
- электронно-цифровая подпись удостоверяющего цента.
Некоторый диссонанс в восприятии ЭЦП может возникать из-за того, что подпись каждого нового документа одного и того же лица всякий раз выглядит по-разному, в то время, как в материальном мире внешний вид подписи более или менее постоянен.
Это связано с тем, что ЭЦП зависит не только от её владельца, но и от содержания подписываемого документа. Подпись не только удостоверяет документ, но и фиксирует его. При любых изменениях в документе, которые могут быть внесены в него после его подписания, подпись перестанет ему соответствовать.
В случае ЭЦП постоянным элементом является её публичный ключ, который связан с владельцем подписи. И эту связь подтверждает её сертификат, полученный в удостоверяющем центре.
Соответственно, область действия ЭЦП совпадает с областью доверия к удостоверяющему центру (УЦ), который выдал её сертификат.
Если удостоверяющий центр учреждён каким-то предприятием, его сертификаты будут признаваться только в рамках этого предприятия.
Если удостоверяющий центр аккредитован Министерством связи, его сертификаты будут иметь юридическое значение на всей территории страны.
Список УЦ, аккредитованных правительством Российской Федерации, опубликован здесь.
Не все удостоверяющие центры, указанные в этом реестре, выдают сертификаты ЭЦП всем желающим. Некоторые из них обслуживают только юридические лица, другие — вроде, банков, телекоммуникационных операторов и т. п. — выдают сертификаты только своим клиентам.
Однако найти центр, который обслуживает всех и выдаст вам сертификат за определённую плату, не очень сложно.
Нам осталось уточнить, какие услуги удостоверяющих центров вам действительно могут потребоваться.
Что продают удостоверяющие центры?
Если вы обратитесь в удостоверяющий центр и сообщите ему, что нужна электронная подпись, вам предложат примерно следующее:
- сертификат вашей электронно-цифровой подписи (файл);
- носитель для хранения вашей электронно-цифровой подписи (например, флэшку);
- программу для операций с вашей электронно-цифровой подписью.
Сертификат
Напомним, сертификат — это файл, который удостоверяет ваш публичный ключ, которым можно проверить подписанный вами документ. И этот файл — главное, что требуется от удостоверяющего центра!
В зависимости от финансового аппетита руководства удостоверяющего центра, получение файла с сертификатом может стоить от нескольких сотен до нескольких тысяч рублей.
Любопытно то, что некоторые удостоверяющие центры пытаются связать свой сертификат с местом его использования. За этим стоит довольно странная логика, напоминающая примечания на некоторых справках о месте их предъявления. — А что, содержание справки должно зависеть от какого-то места?
Настоящая «цифровизация» страны начнётся лишь тогда, когда получение универсального сертификата ЭЦП любым желающим будет простым, удобным и недорогим.
Важно уточнить и подчеркнуть, что сертификат содержит лишь публичный ключ владельца ЭЦП. Секретный ключ должен находиться только у владельца подписи. На практике же, оба ключа часто генерируются работником удостоверяющего центра, и это является поразительным нарушением фундаментальной логики электронно-цифровой подписи.
Почему сложился такой порядок? — Очень многие из числа получающих сертификат ЭЦП, к сожалению, не понимают её сути. Пару ключей можно и нужно генерировать самостоятельно, а на удостоверение требуется передавать только публичный ключ!
Вот сокращённый пример реального сертификата электронно-цифровой подписи.
Носитель
Как уже было сказано, секретный ключ должен находиться в месте, полностью исключающем доступ к нему посторонних лиц.
Такое безопасное место можно организовать самостоятельно, например, зашифровав флэшку или логический диск, на которых будет храниться секретный ключ.
Но если вы не знаете, как создать ключи самостоятельно, проще приобрести уже защищённый носитель данных. Сегодня он может стоить от одной до нескольких тысяч рублей.
Программа
Многие современные офисные, почтовые и прочие программы уже умеют работать с электронно-цифровыми подписями и их сертификатами. Но не все! Поэтому в некоторых случаях вам может потребоваться независимый инструмент, позволяющий удостоверить произвольные данные: текст, файл и пр.
Прежде чем приобретать такую программу в удостоверяющем центре убедитесь в том, что она вам действительно нужна. Кроме того, сравните цены в разных местах её продажи. Вполне возможно, что на сайте разработчика она окажется дешевле. Впрочем, возможна и обратная ситуация.
Заключение
В этой статье мы не касались ни математических, ни алгоритмических основ электронно-цифровой подписи. Это сделано намеренно, чтобы не пугать и не путать читателя непривычными и многочисленными деталями, а рассказать о практической стороне применения ЭЦП.
Например, в устройстве автомобиля имеется много тонкостей, но для его ежедневного использования совсем не обязательно глубоко разбираться в них. Также и с электронно-цифровой подписью важно понимать то, что непосредственно влияет на успешное и безопасное её применение.
Кратко перечислим основные факты об ЭЦП.
- Для использования электронно-цифровой подписи требуется пара криптографических ключей: секретного и публичного.
- Криптографические ключи — это файлы, содержащие длинные цепочки символов.
- Ключи, образующие пару, математически связаны между собой.
- Секретный ключ должен всегда оставаться в секрете (!), то есть храниться в месте, исключающем доступ к нему посторонних.
- Носители файлов с криптографическими ключами электронно-цифровой-подписью не являются и сами нуждаются в безопасном хранении и использовании.
- Электронно-цифровая подпись — это конкретная уникальная цепочка символов, связанная с секретным ключом и содержанием подписанного документа по известной методике.
- Электронно-цифровая подпись может быть проверена с помощью открытого ключа, соответствующего секретному, с помощью которого эта подпись была создана.
- Для использования электронно-цифровая подписи в публичном документообороте соответствующий ей открытый ключ должен быть зарегистрирован официальным удостоверяющим центом.
- Электронно-цифровая подпись всегда принадлежит какому-то конкретному физическому или юридическому лицу, которая владеет соответствующим секретным ключом.
- Подтверждением принадлежности электронно-цифровой подписи служит сертификат открытого ключа.