Электронная цифровая подпись. Законы и реалии

Виктор Любезный

В начале текущего года Президент РФ подписал Федеральный закон "Об электронной цифровой подписи" (№1-ФЗ от 10 января 2002 г.). В настоящее время идет подготовка к реализации положений этого закона. Официальный текст закона опубликован в "Российской газете" № 6 (2874) от 12 января 2002 г. (правда, комментарии к нему там, мягко говоря, не слишком компетентные с точки зрения программиста). В этой статье я постараюсь просто и, надеюсь, доступно объяснить, что же действительно представляет собой электронная цифровая подпись и, каким образом она должна применяться согласно закону.

Понятие и принцип действия

Согласно статье 3 закона, электронная цифровая подпись (ЭЦП) - это "реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе". Попробую на примере объяснить смысл этой формулировки более развернуто.

Допустим, вы - глава организации и решили перейти на электронный документооборот внутри своей конторы. Вы издаете какой-нибудь приказ в электронном виде и распространяете его среди сотрудников. Как известно, приказ должен быть подписан. Но электронный документ не подпишешь обычным способом: это вам не бумажка. Можно, конечно, сохранять приказы на дискеты и подписывать этикетки. Однако нет никакой гарантии, что какой-нибудь умник не захочет подправить содержимое дискеты в свою пользу, тем более что доказать исправление можно далеко не всегда.

То же самое может произойти, если добавить в электронный документ какой-нибудь логотип либо факсимиле подписи: его слишком легко скопировать и поставить в другой документ. Выход только один: подпись должна зависеть от каждого символа значимой информации в подписываемом документе (простейший вариант - подпись содержит контрольную сумму всех символов документа). В этом случае уже можно обнаружить наличие в документе несанкционированных изменений с помощью специальной программы, проверяющей соответствие информации в документе данным подписи.

Подпись также будет формироваться специальной программой. Но этого недостаточно.
Представьте себе, что вы обзавелись несколькими замами, которые должны издавать письменные распоряжения и, соответственно, подписывать их. Одну подпись на всех по понятным причинам использовать нельзя, а писать программы подписывания и проверки подлинности документов (каждому свою программу со своим алгоритмом) накладно, да и подчиненным неудобно запускать на каждого начальника свою программу проверки подлинности подписи.

Решить эту проблему можно с помощью разработки таких алгоритмов подписывания и проверки ЭЦП, чтобы помимо значимой информации в подписи учитывался и так называемый ключ ЭЦП. Ключом может быть случайное число или последовательность символов, уникальная для каждого начальника. Можно заложить эти ключи непосредственно в программы, но это повлечет за собой необходимость переписывания программ в случае изменения структуры управленческого аппарата организации или смены начальства.

Можно брать ключи из специально заведенной базы данных, что очень удобно, если компьютеры предприятия объединены в сеть. Однако это может привести к тому, что ключи ЭЦП будут узнаны злоумышленниками и использованы для подделки документов со всеми вытекающими отсюда последствиями. Поэтому закон знает только двухключевую систему ЭЦП. При использовании этой системы, на каждое должностное лицо заводятся два разных ключа - открытый и закрытый.

Здесь уместно будет привести некоторые определения из статьи 3 закона:

"...закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи..."

"...открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе..."

"...средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание открытых и закрытых ключей электронных цифровых подписей..."

Открытый ключ ЭЦП распространяется публично среди участников информационной системы и используется для проверки подлинности подписанного ЭЦП документа. Закрытый же ключ используется для подписывания документов, а потому должен быть известен только обладателю подписи. Поскольку открытый и закрытый ключи отличаются друг от друга, алгоритмы подписывания и проверки подлинности документа тоже разные. При этом они должны разрабатываться таким образом, чтобы при наличии открытого ключа и (или) подписанного документа вычислить открытый ключ было бы крайне сложно либо вообще невозможно.

Законы и реалии

ЭЦП была известна и использовалась еще задолго до принятия закона. Центральный банк РФ в 1993 г. утвердил внутренний стандарт ЭЦП. Были сообщения об использовании ЭЦП при приеме отчетности Пенсионным фондом РФ от организаций через интернет. Законодатели тоже не остались в стороне. Так, статья 160 Гражданского кодекса РФ допускает возможность использования ЭЦП и других аналогов собственноручной подписи при заключении и совершении гражданско-правовых письменных сделок "в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон".

Казалось бы, есть все для того, чтобы электронные документы широко использовались при заключении сделок. Однако здесь есть один неприятный момент. Известно, что если есть сделки, то есть и споры по сделкам. Иногда спорящие стороны доходят до суда. Для решения отдельных вопросов суд должен принять электронный документ, подписанный ЭЦП, в качестве доказательства существования сделки либо тех или иных обстоятельств совершения сделки.

Однако любая из спорящих сторон могла в своих целях откреститься от такого документа, заявив, что противная сторона его подделала. Разобраться, кто прав, а кто виноват, часто не могла даже квалифицированная экспертиза. Позиция арбитражных судов по этому вопросу изложена в письме Высшего арбитражного суда РФ от 19 августа 1994 г. № С1-7/ОП-587. Согласно ему, арбитражный суд может не считать электронный документ доказательством по делу без наличия подтверждающих факторов или однозначного экспертного заключения, если хотя бы одна из спорящих сторон не признала существование или подлинность документа.

После вступления в силу закона об ЭЦП суд, по идее, может при возникновении споров подтвердить подлинность документа, подписанного ЭЦП, в независимых удостоверяющих центрах, выдавших сторонам ключи подписей.

Попробую кратко изложить отдельные положения закона об ЭЦП и разъяснить непонятные моменты.
Согласно пункту 1 статьи 1, закон обеспечивает правовые условия, при соблюдении которых ЭЦП признается равнозначной собственноручной подписи на бумажном документе. Насколько хорошо он их обеспечивает, будет разобрано ниже.

Действие закона распространяется "на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях" (ст. 1, п. 2). Однако непонятно, что делать с электронными документами, требующими, например, нотариального заверения или государственной регистрации: нужен порядок выполнения этих действий, соответствующая техническая база и т. д.

Не совсем грамотно определено законом понятие информационной системы общего пользования. Статья 3 гласит, что это "информационная система, которая открыта для использования всеми физическими и юридическими лицами и, в услугах которой этим лицам не может быть отказано". Вроде бы все правильно, однако юристы могут придраться к этой формулировке, ибо даже информационный сервер, доступный через интернет, не очень-то подпадает под такое определение, поскольку открыт только для лиц, имеющих техническую возможность подключиться к Сети либо физический доступ к консоли сервера.

Приведу оттуда же еще одно понятие:
"...корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы...".

Здесь законодатели допустили ляп: корпоративная информационная система может иметь и не одного владельца, а владельцы системы могут не являться ее участниками.

Помимо основных понятий и целей закон содержит нормы применения ЭЦП. Рассмотрим эти нормы.
Генерация ключей ЭЦП в информационной системе общего пользования может быть осуществлена как участником системы, так и специальной организацией, называемой удостоверяющим центром. Деятельность этой организации подлежит лицензированию в соответствии с законодательством (Федеральный закон №128-ФЗ от 8 августа 2001 г. "О лицензировании отдельных видов деятельности" должен вступить в силу в феврале 2002 г.). Удостоверяющий центр выполняет следующие задачи:

1. Генерация уникальных ключей ЭЦП по обращению участников информационной системы;
2. Выдача закрытых ключей ЭЦП владельцам, оформление и выдача участникам информационной системы сертификатов ключей ЭЦП, ведение реестра сертификатов ключей ЭЦП;
3. Хранение сертификатов ключей в порядке и на сроки, установленные статьей 7 закона;
4. Уведомление владельца ЭЦП ("владельца сертификата ключа") о фактах, которые стали известны удостоверяющему центру и которые существенным образом могут сказаться на возможности дальнейшего использования данного ключа;
5. Приостановление действия и аннулирование сертификатов ключей ЭЦП в порядке, установленном статьями 13 и 14 закона.

Каждый участник информационной системы вправе обладать как одной, так и несколькими разными ЭЦП (ключами ЭЦП). На каждую сгенерированную пару (открытый и закрытый) ключей удостоверяющий центр оформляет сертификат ключа ЭЦП. Этот сертификат должен содержать открытый ключ, ФИО или псевдоним владельца ключа, даты начала и окончания срока действия ключа, а также сведения об отношениях, при осуществлении которых документ, подлинность которого подтверждена открытым ключом, указанном в сертификате, будет иметь юридическое значение (грубо говоря, какие документы можно подписывать этой подписью).

Сертификаты ключей могут распространяться среди участников информационной системы как в бумажном, так и в электронном виде. Бумажный сертификат должен быть оформлен на бланке удостоверяющего центра и заверен подписью уполномоченного лица с печатью центра. Электронный сертификат должен быть заверен ЭЦП удостоверяющего центра.

Не запрещается выкладывать сертификаты ключей на общий доступ в информационную систему, где эти сертификаты применяются, при условии невозможности внесения в них посторонних изменений. В этом случае средства проверки подлинности ЭЦП могут автоматически извлекать открытые ключи из системы. В целях сохранения тайны закрытого ключа его нельзя включать в сертификат.

Оформленный сертификат ключа ЭЦП должен быть внесен в реестр сертификатов не позднее начала срока действия подписи.

Генерация ключей ЭЦП, предназначенных для использования в информационной системе общего пользования, должна осуществляться только сертифицированными средствами ЭЦП (ст. 5, п. 2). "Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств, в соответствии с законодательством Российской Федерации" (ст. 5, п. 3). Кто будет проводить сертификацию, в законе не определено, но, скорее всего, эту обязанность возложат на ФАПСИ или Гостехкомиссию при Президенте РФ.

В ближайшее время должны быть приняты соответствующие нормативно-правовые акты.
Неясны следующие моменты:

1. Как известно, обдурить можно и сертифицированную систему. Однако закон не говорит, кто может выложить энную сумму за ущерб, причиненный последствиями использования ключей ЭЦП, сгенерированных сертифицированными средствами.

2. В пункте 2 статьи 5 говорится про сертификацию средств только для генерации ключей ЭЦП. Между тем, вычислить закрытый ключ (при большой его длине и надежном алгоритме) можно только с помощью анализа алгоритмов подписывания документов и проверки ЭЦП, при наличии открытого ключа и (или) подписанного документа. Средства только для генерации ключей не содержат этих алгоритмов, а хранение средств генерации полученных закрытых ключей ЭЦП хоть и не запрещено законом, при условии сохранения тайны, но все же нежелательно.

Кроме того, статья 3 определяет подтверждение подлинности ЭЦП в электронном документе как "положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи, с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе".

Причем это определение дано и для корпоративных информационных систем. Получается, что сертификации не требуют только средства генерации ключей ЭЦП для корпоративных систем. Что ж, возможно, законодатели и правы.

3. Пункт 1 статьи 5 официально разрешает самостоятельную генерацию ключей ЭЦП участниками информационной системы общего пользования. Однако статья 3 нигде не использует понятие владельца подписи - везде "владелец сертификата ключа". В то же время, участник информационной системы не обязан оформлять и регистрировать сертификаты своих ключей ЭЦП. Такой безалаберный подход к законотворчеству может создать ряд проблем. Дело в том, что в законе не оговорено, чтобы в документах, подписанных ЭЦП, были указаны данные сертификатов ключей ЭЦП и реквизиты удостоверяющих центров, выдавших эти сертификаты, куда суд может обратиться при возникновении споров.

Получается, что заинтересованная сторона может заявить суду о самостоятельной генерации ключей. Законом это разрешается, а суд в этом случае не сможет запросить нейтральную организацию о подтверждении подлинности ЭЦП, в результате чего действие закона сводится на нет. Отсюда совет: при заключении договоров с использованием ЭЦП настаивайте, чтобы стороны договора указали в нем реквизиты (название, номер и дата выдачи лицензии, адрес) удостоверяющего центра, выдавшего сертификат ключа ЭЦП, а также номер сертификата. Не забудьте проверить полученные сведения. Самостоятельная генерация ключей противоположной стороной должна настораживать.

Надеюсь, что эти вопросы будут решены. А сейчас продолжим изучение закона.

Корпоративные информационные системы органов государственной власти и органов местного самоуправления могут использовать только сертифицированные средства ЭЦП (ст. 5, п. 3). С этим вроде бы все понятно. Однако не очень-то ясна позиция закона по другим корпоративным информационным системам. Пункт 1 статьи 17 гласит, что "корпоративная информационная система, предоставляющая участникам информационной системы общего пользования услуги удостоверяющего центра корпоративной информационной системы, должна соответствовать требованиям, установленным настоящим Федеральным законом для информационных систем общего пользования".

Возможно, законодатели хотели сказать, что корпоративные информационные системы должны соответствовать требованиям для информационных систем общего пользования, если они (системы) дают ключи ЭЦП новым пользователям корпоративной системы, работающим с ней через интернет или другие общедоступные сети. Однако не забывайте сказанное в Disclaimer.

Владелец сертификата ключа обязан "не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее", хранить закрытый ключ в тайне и немедленно требовать у удостоверяющего центра приостановления действия сертификата ключа, если есть достаточно обоснованное предположение о нарушении тайны закрытого ключа ЭЦП. В случае невыполнения этих требований ответственность за последствия несет владелец сертификата ключа. Это описано в статье 12 закона.

Непонятно там только процитированное требование. Толковать его можно по-разному. Мое личное мнение таково: если выданный открытый ключ используется (использовался) владельцем при проверке подлинности ЭЦП других участников информационной системы либо выдавался кому-то ранее (конечно, если владелец ключа об этом знает), то эту подпись использовать запрещено.

Вот и все, что я могу сказать по итогам изучения закона об ЭЦП. Пусть не везде однозначный, но он (закон) появился. Конечно, разные лица (физические и юридические) толкуют законодательство по-разному и толкование законов, приведенное в статье, не обязательно будет совпадать с толкованием законов судами при рассмотрении дел.

Да и, чтобы этот закон работал, требуется еще много чего: довести до ума законодательство, разработать порядок лицензирования удостоверяющих центров, подготовить другие документы. Однако государственные органы уже работают над этим. Будем надеяться, что все это будет сделано в сроки, установленные статьей 20 закона. И тогда, полагаю, начнется приведение закона в порядок.

***

За огромную помощь в подготовке данной статьи автор выражает искреннюю благодарность будущему юристу Сухановой А. С.

Источник: http://www.computery.ru/upgrade/