Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Министерство финансов Российской Федерации

ВСЕРОССИЙСКАЯ ГОСУДАРСТВЕННАЯ НАЛОГОВАЯ АКАДЕМИЯ

КУРСОВАЯ РАБОТА

По дисциплине: «Информационная безопасность»

На тему

ИСПОЛЬЗОВАНИЕ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ ДЛЯ ЗАЩИТЫ СИСТЕМ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА

Группа: ИНФО-401

Студент И.С. Михалькевич

Преподаватель Е.Н. Каширская

МОСКВА 2012г.



ВВЕДЕНИЕ

Как сообщает РИА Новости, 27 апреля текущего года компания «СКБ Контур» провела первую международную конференцию «Запуск электронных счетов фактур в России». В ходе мероприятия эксперты выразили мнение о том, что бизнес в России сможет полностью отказаться от бумажных документов в течение нескольких лет.

Дмитрий Мраморов, генеральный директор «СКБ Контур», в свою очередь, отметил, что 11 апреля Минюст РФ зарегистрировал Приказ ФНС РФ об утверждении форматов электронных счетов-фактур. По словам главы компании, эту дату можно считать началом электронного документооборота в России.

«Это новая эра в развитии бизнеса. Бумажные счета-фактуры - документы, которые до недавнего времени серьезно сдерживали развитие всего электронного документооборота. Мы стремимся к тому, чтобы документы были только в электронном виде, только без бумаги, только на компьютере», - уверен Мраморов.

Кроме того, в рамках мероприятия руководитель консультационного отдела компании Tieto Бо Харальд (Bo Harald) поделился европейским опытом внедрения электронных счетов-фактур. Среди преимуществ такого документооборота эксперт отметил заметную экономию средств. Так, по его данным, Германии удалось сократить таким образом расходы на 54 миллиарда евро.

«Мы все понимаем, что у бумажных счетов-фактур нет будущего. В отличие от Европы, в России работает единый формат счетов-фактур. Это значительно ускорило их перевод в электронный вид. Прекрасно, что компании-операторы электронного документооборота уже договорились о роуминге. Потому что если вы хотите идти быстро, идите в одиночку, если далеко - идите вместе», - пояснил Харальд.



СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА. СХЕМА ПОТОКОВ ДАННЫХ

Система автоматизации документооборота, система электронного документооборота (СЭДО) -- автоматизированная многопользовательская система, сопровождающая процесс управления работой иерархической организации с целью обеспечения выполнения этой организацией своих функций. При этом предполагается, что процесс управления опирается на человеко-читаемые документы, содержащие инструкции для сотрудников организации, необходимые к исполнению.

Основные принципы электронного документооборота

· Однократная регистрация документа, позволяющая однозначно идентифицировать документ.

· Возможность параллельного выполнения операций, позволяющая сократить время движения документов и повышения оперативности их исполнения

· Непрерывность движения документа, позволяющая идентифицировать ответственного за исполнение документа (задачи) в каждый момент времени жизни документа (процесса).

· Единая (или согласованная распределённая) база документной информации, позволяющая исключить возможность дублирования документов.

· Эффективно организованная система поиска документа, позволяющая находить документ, обладая минимальной информацией о нём.

· Развитая система отчётности по различным статусам и атрибутам документов, позволяющая контролировать движение документов по процессам документооборота и принимать управленческие решения, основываясь на данных из отчётов.

Классификация систем электронного документооборота

1. Универсальные «коробочные» СЭДО:

o стандартный набор функций;

o невозможность полного соответствия потребностям конкретной организации;

o низкие временные затраты на приобретение и установку;

o относительно низкая стоимость;

o необходимость приобретения лицензии на каждое внедряемое рабочее место.

2. Индивидуально разрабатываемые СЭДО:

o максимально персонифицированная система;

o большие временные затраты;

o высокая стоимость разработки;

o сопутствующие расходы: затраты на обучение сотрудников, покупку нового оборудования и программного обеспечения.

3. Комбинированные СЭДО:

o базовая платформа, к которой разрабатываются необходимые дополнительные модули;

o полное соответствие нуждам предприятия;

o небольшие временные затраты на разработку и внедрение;

o стоимость включает: цену базовой платформы и стоимость индивидуальной доработки, зависящей от сложности заказа;

o передача заказчику прав на продукт;

o простота освоения и использования;

o полная русификация;

o удобный интерфейс;

o взаимодействие с существующими офисными приложениями.

Сложность документооборота компаний можно оценить по сложности схем (примеры ниже), на которых отражается чаще всего лишь один бизнес-процесс и сопутствующий ему документооборот.

Схемы документооборота и бизнес-процессов часто описывают в нотации BPMN, которая создана как раз для наилучшего понимания представителей бизнеса и ИТ-подразделений.

Существуют и другие приемы для описания бизнес-процесоов, например, при помощи моделей типа Work Flow (поток работ).

ПРИЧИНЫ УЯЗВИМОСТЕЙ СЭДО

На разных уровнях системы существует множество уязвимостей. Выделим наиболее актуальные из них:

- не отвечающий требованиям подход к регистрации, мониторингу и обнаружению аномалий на уровне сети и узлов

- неадекватное управление доступом на уровне маршрутизатора

- незащищённые и неконтролируемые пункты удалённого доступа

- слабые пароли

- отсутствие разграничения доступа

- халатность пользователей

ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ

Электромнная помдпись (ЭП) -- информация в электронной форме, присоединенная к другой информации в электронной форме (электронный документ) или иным образом связанная с такой информацией. Используется для определения лица, подписавшего информацию (электронный документ).

По своему существу электронная подпись представляет собой реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.

Электронная подпись предназначена для идентификации лица, подписавшего электронный документ и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных законом.

Использование электронной подписи позволяет осуществить:

· Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.

· Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.

· Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом.

· Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

Виды электронных подписей в Российской Федерации

Федеральный закон РФ от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» устанавливает следующие виды ЭП:

· Простая электронная подпись (ПЭП);

· Усиленная электронная подпись (УЭП);

o Усиленная неквалифицированная электронная подпись (НЭП);

o Усиленная квалифицированная электронная подпись (КЭП).



Алгоритмы

Существует следующие схемы построения цифровой подписи:

· На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица -- арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру.

· На основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭП наиболее распространены и находят широкое применение.

Кроме этого, существуют другие разновидности цифровых подписей (групповая подпись, неоспоримая подпись, доверенная подпись), которые являются модификациями описанных выше схем. Их появление обусловлено разнообразием задач, решаемых с помощью ЭП.

Использование хеш-функций

электронный документооборот подпись ключ хеш

Поскольку подписываемые документы -- переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хеш. Для вычисления хэша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хеш-функция.

Использование хеш-функций даёт следующие преимущества:

· Вычислительная сложность. Обычно хеш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хеша являются более быстрыми, чем алгоритмы ЭП. Поэтому формировать хэш документа и подписывать его получается намного быстрее, чем подписывать сам документ.

· Совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хеш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат.

· Целостность. Без использования хеш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.

Стоит заметить, что использование хеш-функции не обязательно при электронной подписи, а сама функция не является частью алгоритма ЭП, поэтому хеш-функция может использоваться любая или не использоваться вообще.

В большинстве ранних систем ЭП использовались функции с секретом, которые по своему назначению близки к односторонним функциям. Такие системы уязвимы к атакам с использованием открытого ключа (см. ниже), так как, выбрав произвольную цифровую подпись и применив к ней алгоритм верификации, можно получить исходный текст. Чтобы избежать этого, вместе с цифровой подписью используется хеш-функция, то есть, вычисление подписи осуществляется не относительно самого документа, а относительно его хеша. В этом случае в результате верификации можно получить только хеш исходного текста, следовательно, если используемая хеш-функция криптографически стойкая, то получить исходный текст будет вычислительно сложно, а значит атака такого типа становится невозможной.



Ассиметричная схема

Схема, поясняющая алгоритмы подписи и проверки

Асимметричные схемы ЭП относятся к криптосистемам с открытым ключом. В отличие от симметричных алгоритмов шифрования, в которых зашифрование производится с помощью открытого ключа, а расшифрование с помощью закрытого, в схемах цифровой подписи подписывание производится с применением закрытого ключа, а проверка -- с применением открытого.

Общепризнанная схема цифровой подписи охватывает три процесса:

· Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.

· Формирование подписи. Для заданного электронного документа с помощью закрытого ключа вычисляется подпись.

· Проверка (верификация) подписи. Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.

Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:

· Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.

· Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.

Следует отличать электронную цифровую подпись от кода аутентичности сообщения (MAC).

Виды ассиметричных алгоритмов ЭП

Как было сказано выше, чтобы применение ЭП имело смысл, необходимо, чтобы вычисление легитимной подписи без знания закрытого ключа было вычислительно сложным процессом.

Обеспечение этого во всех асимметричных алгоритмах цифровой подписи опирается на следующие вычислительные задачи:

· Задачу дискретного логарифмирования (EGSA)

· Задачу факторизации, то есть разложения числа на простые множители (RSA)

Вычисления тоже могут производиться двумя способами: на базе математического аппарата эллиптических кривых (ГОСТ Р 34.10-2001) и на базе полей Галуа (DSA). В настоящее время самые быстрые алгоритмы дискретного логарифмирования и факторизации являются субэкспоненциальными. Принадлежность самих задач к классу NP-полных не доказана.

Алгоритмы ЭП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением документа. При верификации цифровых подписей с восстановлением документа тело документа восстанавливается автоматически, его не нужно прикреплять к подписи. Обычные цифровые подписи требуют присоединение документа к подписи. Ясно, что все алгоритмы, подписывающие хеш документа, относятся к обычным ЭП. К ЭП с восстановлением документа относится, в частности, RSA.

Схемы электронной подписи могут быть одноразовыми и многоразовыми. В одноразовых схемах после проверки подлинности подписи необходимо провести замену ключей, в многоразовых схемах это делать не требуется.

Также алгоритмы ЭП делятся на детерминированные и вероятностные. Детерминированные ЭП при одинаковых входных данных вычисляют одинаковую подпись. Реализация вероятностных алгоритмов более сложна, так как требует надежный источник энтропии, но при одинаковых входных данных подписи могут быть различны, что увеличивает криптостойкость. В настоящее время многие детерминированные схемы модифицированы в вероятностные. В настоящее время детерминированые схемы практически не используются.

В некоторых случаях, таких как потоковая передача данных, алгоритмы ЭП могут оказаться слишком медленными. В таких случаях применяется быстрая цифровая подпись. Ускорение подписи достигается алгоритмами с меньшим количеством модульных вычислений и переходом к принципиально другим методам расчета.

Управление открытыми ключами

Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации.

Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.

Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.

Хранение закрытого ключа

Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищенность ключа полностью зависит от защищенности компьютера, и пользователь может подписывать документы только на этом компьютере.

В настоящее время существуют следующие устройства хранения закрытого ключа:

· Дискеты

· Смарт-карты

· USB-брелоки

· Таблетки Touch-Memory

Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван.

Наиболее защищенный способ хранения закрытого ключа -- хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хэш передается в карту, её процессор осуществляет подписывание хеша и передает подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты сложнее, чем с других устройств хранения.

В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несет сам.

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».

ИСПОЛЬЗОВАНИЕ ЭЦП В СЭД

Рассмотрим возможность создания защищенной системы ЭДО с применением ЭЦП. Такая система представляется на базе удостоверяющего центра (УЦ), который состоит из трех основных компонентов: центра сертификации (ЦС), центра регистрации (ЦР), АРМ Администратора (АРМА).

Основным элементом УЦ является ЦС, к функциям которого относятся:

· выработка и удаление сертификатов ЭЦП зарегистрированных пользователей;

· хранение базы данных сертификатов и соответствующих им закрытых ключей ЭЦП;

· обеспечение шифрования и целостности передаваемых данных;

· обеспечение уникальности открытого ключа и серийного номера в сертификатах.

ЦР - компонент УЦ, отвечающий за регистрацию и хранение информации о пользователях, а также являющийся связующим звеном между пользователями системы и ЦС. Это единственная точка входа зарегистрированного пользователя в систему. К его функциям относятся:

· создание и ведение базы данных зарегистрированных пользователей;

· обеспечение шифрования и целостности передаваемых данных;

· обеспечение взаимодействия с ЦС всех узлов;

· формирование списка отозванных сертификатов (СОС).

АРМА предназначен для организационно-технических мероприятий, то есть для поддержания работоспособности УЦ и внесения необходимых изменений в базы данных ЦР и ЦС. Он является консолью УЦ. Функции АРМА - обеспечение шифрования и целостности данных, передаваемых на ЦР с двусторонней аутентификацией по протоколу TLS, а также организация взаимодействия с ЦР, а именно:

· создание запросов на создание, удаление пользователей, а также внесение изменений в существующие профили в ЦР;

· создание запросов на выдачу и отзыв сертификатов передаваемых в ЦС через ЦР;

· проверка состояния отправленных запросов.

У каждого узла есть своя цифровая подпись.

На всех компонентах УЦ и пользовательских ЭВМ запрещается использование средств удаленного администрирования. ЦР и ЦС должны осуществлять резервное копирование и восстановление информации в случае повреждения системы. Права доступа на них должны быть разграничены между как минимум двумя пользователями по принципу комплиментарности.

Размещено на Allbest.ru