Электронная цифровая подпись в контексте информационной безопасности

Размещено на http://www.allbest.ru

Электронная цифровая подпись в контексте информационной безопасности

Шандрович А.В.

Демкин Д.А.

Shandrovich A. V., Demkin D.A.

ELECTRONIC DIGITAL SIGNATURE

IN CONTEXT INFORMATION SECURITY

Abstract

widespread adoption of digital technologies has led to an increased dependence on electronic documents and transactions, highlighting the need for secure and reliable authentication and verification methods. The article discusses the main aspects of electronic digital signatures in the context of information security.

Keywords: digital signature, information security, authentication, integrity, cryptography.

Аннотация

широкое внедрение цифровых технологий привело к увеличению зависимости от электронных документов и транзакций, подчеркнув необходимость в безопасных и надежных методах аутентификации и верификации. электронная цифровая подпись токен

В статье рассматриваются основные аспекты электронной цифровой подписи в контексте информационной безопасности, включая типы токенов, криптографические алгоритмы, виды электронных подписей, роли удостоверяющего центра и риски, связанные с использованием электронной подписи. Также обсуждаются область законодательства в сфере ЭЦП.

Ключевые слова: ЭЦП, информационная безопасность, аутентификация, целостность, криптография.

Цифровая подпись - это математический метод, используемый для проверки подлинности и целостности цифрового документа, сообщения или программного обеспечения. Это цифровой эквивалент рукописной подписи или печати, но он обеспечивает гораздо более высокий уровень безопасности. Цифровая подпись предназначена для решения проблемы фальсификации и выдачи себя за другое лицо в цифровых коммуникациях.

Цифровые подписи могут служить доказательством происхождения, идентичности и статуса электронных документов, транзакций и цифровых сообщений. Подписавшие также могут использовать их для подтверждения информированного согласия.

В связи с увеличением числа электронных документов, в 2011 году был принят Федеральный закон «Об электронной подписи» № 63-ФЗ. После его введения, согласно российскому законодательству, ЭЦП - это «информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию» [1].

Электронная подпись (ЭЦП), по 63-ФЗ об электронной подписи, может выдаваться исключительно на ключевых носителях (токенах), которые сертифицированы ФСТЭК и ФСБ России. Сами токены бывают двух видов:

-- USB-токен - USB-устройство, подключается к компьютеру через USB-порт,

-- смарт-карта - пластиковая карта с микропроцессором, вставляется в карт-ридер, подключенный к компьютеру.

Цифровые подписи основаны на криптографии с открытым ключом, также известной как асимметричная криптография. Используя алгоритм открытого ключа, такой как Rivest-Shamir-Adleman или RSA , генерируются два ключа, создавая математически связанную пару ключей: один закрытый и один открытый.

Цифровые подписи работают через два взаимно аутентифицирующих криптографических ключа шифрования с открытым ключом. Для шифрования и дешифрования лицо, создающее цифровую подпись, использует закрытый ключ для шифрования данных, связанных с подписью. Единственный способ расшифровать эти данные - использовать открытый ключ подписавшего.

Если получатель не может открыть документ с помощью открытого ключа подписчика, это указывает на проблему с документом или подписью. Так аутентифицируются цифровые подписи [2].

Технология цифровой подписи требует, чтобы все стороны были уверены в том, что лицо, создающее изображение подписи, сохранило секретный ключ в секрете. Если кто-то другой имеет доступ к закрытому ключу подписи, эта сторона может создать мошеннические цифровые подписи от имени владельца закрытого ключа.

Сертификаты цифровой подписи, также называемые сертификатами открытого ключа, используются для проверки принадлежности открытого ключа эмитенту. Сертификаты подписи отправляются с открытым ключом, они содержат информацию о владельце сертификата, сроке действия и цифровой подписи эмитента сертификата.

Законом № 63-ФЗ предусмотрено несколько видов электронных подписей:

простая,

неквалифицированная,

квалифицированная.

Простая электронная подпись фактически представляет собой различные коды и пароль, подтверждающие факт формирования электронной подписи. Неквалифицированная электронная подпись создается с помощью средств шифрования, специальной программы, которая имеет сертификат ФСБ. Квалифицированная электронная подпись отличается от неквалифицированной тем, что ее выпускают в удостоверяющем центре [3].

Основной задачей удостоверяющего центра является обеспечение привязки выдаваемого сертификата к реальной личности, поэтому, центр обязан установить личность лица, обратившегося за выдачей квалифицированного сертификата ЭЦП. Удостоверяющий центр проходит обязательную сертификацию ФСБ и аккредитацию у Минкомсвязи для работы с ЭЦП [4].

Основная доля рисков для владельца ЭЦП связана с недостаточно ответственным отношением к обращению с носителем закрытого ключа. Большая часть преступлений с использованием электронной подписи связана с компрометацией её закрытого ключа, хранить который в тайне - обязанность владельца ЭЦП.

В №63-ФЗ говорится о том, что участники взаимодействия с применением ЭЦП не должны допускать использования своей электронной подписи другими лицами. Главное правило владельца - никогда и ни при каких условиях не передавать другим людям свой носитель электронной подписи, не терять его и не оставлять в доступности посторонних лиц.

Еще один риск связан с хакерскими атаками - получением доступа к компьютеру или ноутбуку владельца подписи для похищения ключа. Предотвратить это можно простыми правилами - не переходить по подозрительным ссылкам, не загружать файлы из неизвестных источников, не использовать потенциально зараженные USB-носители.

В контексте информационной безопасности ЭЦП используется в различных областях, таких как:

электронная коммерция для обеспечения подлинности и целостности электронных транзакций,

электронное правительство для обеспечения подлинности и целостности электронных документов и услуг,

финансовые услуги для обеспечения подлинности и целостности электронных транзакций и документов,

здравоохранение для обеспечения подлинности и целостности электронных медицинских записей и документов.

ЭЦП является эффективным средством для обеспечения информационной безопасности в электронных системах и документообороте.

Список литературы

Федеральный закон от 06 апреля 2011 № 63-ФЗ «Об электронной подписи» // Собрание законодательства РФ. 2011. № 15. Ст. 2036;

Digital Signature / TechTarget [Электронный ресурс] -- URL:

https://www.techtarget.com/searchsecurity/defmition/digitaLsignature (дата обращения

29.06.2024);

Какие существуют виды электронной подписи? / Минфцифры России [Электронный ресурс] -- URL: https://digital.gov.ru/ru/appeals/faq/32/ (дата обращения 29.06.2024);

Попов С.С. Система электронной подписи в современном документообороте // Молодой ученый 2019. №6(244). С. 86-88

Размещено на Allbest.ru