Понятие электронно-цифровой подписи

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

1. Определение ЭЦП

Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП.

2. Основные сферы применения ЭЦП

цифровой электронный подпись документ

Цифровая подпись предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:

· Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.

· Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.

· Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом.

· Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т.д.

Все эти свойства ЭЦП позволяют использовать её для следующих целей:

· Декларирование товаров и услуг (таможенные декларации)

· Регистрация сделок по объектам недвижимости

· Использование в банковских системах

· Электронная торговля и госзаказы

· Контроль исполнения государственного бюджета

· В системах обращения к органам власти

· Для обязательной отчетности перед государственными учреждениями

· Организация юридически значимого электронного документооборота

· В расчетных и трейдинговых системах

В развитых странах мира, в том числе и в Российской Федерации, электронная цифровая подпись широко используется в хозяйственном обороте. Банк России и другие банки Российской Федерации эффективно используют ЭЦП для осуществления своих операций путем пересылки банковских электронных документов по корпоративным и общедоступным телекоммуникационным сетям.

Для преодоления всех существующих в данной области отношений препятствий необходимо создание унифицированных правил, при помощи которых страны могут в национальном законодательстве решить основные проблемы, связанные с юридической значимостью записей в памяти ЭВМ, письменной формой электронных данных (в том числе и документов), подписью под такими данными, оригиналом и копиями электронных данных, а также признанием в качестве судебных доказательств электронных данных, заверенных электронной подписью.

Безопасность информации хранящейся на компьютерах и передающейся через интернет достигается с помощью различных методов. Простой и надежный способ это держать важную информацию на съёмных носителях информации таких, например как флоппи диски или перезаписываемые компакт-диски, флэш-карты. Но самые распространенные виды безопасности данных полагаются на шифрование, это процесс кодирования информации таким образом, что только человек (или компьютер) обладающий ключом может раскодировать данные.

3. Идентификация

Как заявлялось ранее, шифрование - это процесс, когда два компьютера общаются между собой с помощью зашифрованных данных передаваемых одним компьютером другому в такой форме, что только получивший их компьютер может их расшифровать. Другой процесс «идентификация» используется для проверки того, что информация или данные поступают к вам от доверенного источника. В основном, если данные поступают от доверенного источника, вы знаете, откуда они поступили, и вы знаете, что данные не были изменены, так как были отправлены именно известным вам человеком. Эти два процесса, шифрование и идентификация, работают рука об руку, чтобы создать безопасную среду. Есть несколько способов для идентификации на компьютере:

· Пароль - использование имени пользователя и пароля обеспечивает самую часто используемую форму идентификации. Вы вводите свое имя и пароль, когда у вас это запрашивает компьютер. После ввода ваши данные проверяются с помощью сверки с данными, хранящимися в специальном защищенном файле. Если введенные данные и данные из файла не совпадают, то вам отказывают в доступе.

· Карты допуска - эти карты могут разного типа, от простой карты с магнитной дорожкой, схожей с кредитной картой, до более сложных смарт карт в которые имеют внедренный компьютерный чип.

· Цифровая подпись - в основном это способ убедиться в том, что электронный документ (например, e-mail) является подлинным. Стандарт Цифровых Подписей (Digital Signature Standard (DSS)) основывается на модели шифрования открытым ключом, которая использует Алгоритм Цифровых Подписей (Digital Signature Algorithm (DSA)). DSS это формат цифровых подписей, который был одобрен правительством США. Алгоритм DSA состоит из секретного ключа, известного только создателю документа (подписавшей его персоной) и открытого ключа. Если какая-либо часть документа была изменена после его подписи, то изменение также повлечет за собой изменение цифровой подписи и сделает ее недействительной.

Также недавно появились, более утонченные способы идентификации, которые защищают домашние и офисные компьютерные системы. Большинство из этих новых систем используют формы биометрии для идентификации. При биометрии используется биологическая информация для идентификации объекта. Методы биометрической идентификации включают в себя:

· Сканирование отпечатков пальцев

· Сканирование сетчатки глаза

· Сканирование лица

· Идентификация по голосу

Другой необходимостью для обеспечения безопасности и надежности является возможность проверки того, что данные не были повреждены во время передачи. Есть пара распространенных способов для обеспечения такой проверки:

Контрольная сумма (checksum) - вероятно самый старый из методов проверки правильности данных, контрольная сумма также обеспечивает определенную форму идентификации, так как неправильная контрольная сумма предполагает, что данные были повреждены или изменены.

Контроль с помощью циклического избыточного кода (Cyclic Redundancy Check (CRC)) - CRC имеет схожий принцип действия, что и контрольная сумма, но использует деление на многочлены, чтобы определить значение CRC, которое обычно имеет длину 16 или 32 битов. Отличительная черта CRC это точность. Даже если был изменен только 1 бит, значения CRC не будут совпадать. Обе техники, контрольная сумма и CRC, хороши для предотвращения случайных ошибок при передаче данных, но представляют собой слабую защиту от умышленного изменения данных. Симметричное шифрование и шифрование открытым ключом намного более безопасны в этом плане.

Все описанные процессы работают для обеспечения вас инструментарием необходимым для обеспечения безопасности ваших данных, которые вы отправляете и получаете по Интернет. На самом деле, отправка информации в компьютерных сетях намного более безопасна, чем ее отправка каким-либо иным способом. Телефоны, особенно беспроводные, поддаются прослушиванию, например с помощью радио сканеров. Обыкновенная почта и другие физические средства передачи часто должны пройти через многие руки по пути к месту назначения, увеличивая возможность искажения или умышленного изменения (обычное воровство или халатность также уместно тут упомянуть).

4. Атаки на ЭЦП

Стойкость большинства схем ЭЦП зависит от стойкости ассиметричных алгоритмов шифрования и хэш-функций.

Существует следующая классификация атак на схемы ЭЦП:

· атака с известным открытым ключом.

· атака и известными подписанными сообщениями - противник, кроме открытого ключа имеет и набор подписанных сообщений.

· простая атака с выбором подписанных сообщений - противник имеет возможность выбирать сообщения, при этом открытый ключ он получает после выбора сообщения.

· направленная атака с выбором сообщения

· адаптивная атака с выбором сообщения.

Каждая атака преследует определенную цель, которые можно разделить на несколько классов:

· полное раскрытие. Противник находит секретный ключ пользователя

· универсальная подделка. Противник находит алгоритм, функционально аналогичный алгоритму генерации ЭЦП

· селективная подделка. Подделка подписи под выбранным сообщением.

· экзистенциальная подделка. Подделка подписи хотя бы для одного случайно выбранного сообщения.

На практике применение ЭЦП позволяет выявить или предотвратить следующие действия нарушителя:

· отказ одного из участников авторства документа.

· модификация принятого электронного документа.

· подделка документа.

· навязывание сообщений в процессе передачи - противник перехватывает обмен сообщениями и модифицирует их.

· имитация передачи сообщения.

Так же существуют нарушения, от которых невозможно оградить систему обмена сообщениями - это повтор передачи сообщения и фальсификация времени отправления сообщения. Противодействие данным нарушениям может основываться на использовании временных вставок и строгом учете входящих сообщений.

В настоящее время существует большое количество комплексов для работы с электронной подписью или использующие ее.

Заключение

Электронная цифровая подпись - эффективное решение для всех, кто хочет идти в ногу с новыми требованием времени. Если у Вас нет времени ждать прихода курьерской почты за многие сотни километров, чтобы проверить подтвердить заключение сделки или подлинность полученной информации. Преимущества ЭЦП очевидны - документы, подписанные электронной цифровой подписью, могут быть переданы к месту назначения в течение нескольких секунд. Все участники электронного обмена документами получают равные возможности независимо от их удаленности друг от друга. Границы благодаря новым технологиям стираются в 21 веке.

Подделать ЭЦП невозможно - для этого требуется огромного количества вычислений, которые не могут быть реализованы при современном уровне вычислительной техники и математики за приемлемое время, то есть пока информация, содержащаяся в подписанном документе, сохраняет актуальность.

Дополнительная защита от подделки обеспечивается сертификацией Удостоверяющим центром открытого ключа подписи. Кроме того по желанию клиента Удостоверяющий центр может застраховать ЭЦП клиента.

С использованием ЭЦП меняется мышление схема работы «разработка проекта в электронном виде - создание бумажной копии для подписи - пересылка бумажной копии с подписью - рассмотрение бумажной копии - перенос ее в электронном виде на компьютер» уходит в прошлое.

Предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

1. Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую - упоминавшиеся выше генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

2. Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

3. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

4. Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки - высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

По степени распространения и доступности выделяются программные средства, поэтому далее они рассматриваются более подробно (см. «Стандартные методы шифрования и криптографические системы» и «Программные средства защиты информации»). Другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.

Размещено на Allbest.ru