презентация маслов

Маслов Юрий, ООО «КРИПТО-ПРО»[email protected]

Виды электронной подписи и их применение

Выбери вид электронной подписи на вебинаре RISSPA

Виды электронной подписи, допустимые законодательством на текущий момент

1. Аналог собственноручной подписи

2. Электронная цифровая подпись

3. Простая электронная подпись

4. Усиленная неквалифицированная электронная подпись

5. Усиленная квалифицированная электронная подпись

Ст. 160 ГК РФ

1-ФЗ «Об ЭЦП»

63-ФЗ «Об ЭП»

Остановимся на видах электронной подписи по закону «Об электронной подписи»

1. Аналог собственноручной подписи

2. Электронная цифровая подпись

Регулируется только договорными отношениями и не регулируется законодательно

С 1 июля 2013 года должна выйти из обращения в связи с прекращением действия 1-ФЗ «Об ЭЦП»

Простая электронная подпись

Подтверждает исключительно факт формирования ЭП определённым лицом, без контроля целостности документа

Документ подписан простой ЭП

ЭП содержится внутри

электронного документа

Ключ ЭП есть элемент системы аутентификации ИС

ИЛИ

Должны быть определены случаи признания электронных документов, подписанных простой ЭП, равнозначными документам на бумажных

носителях и правила определения лица, подписывающего электронный документ, по его простой ЭП (при обеспечении

конфиденциальности ключа простой ЭП)Не применяется к документам, требующим оттиск печати

Усиленная неквалифицированная электронная подпись

В случаях, определённых соглашением сторон, если для этих случаев не определён иной вид электронной подписи в нормативных актах или законах

Условия использования должны быть определены соглашением сторон, с учётом установленных законом:

• Получена в результате криптографических преобразований• Обеспечивает контроль целостности после подписания• Создаётся с использование средств ЭП• Позволяет определить лицо, подписавшее документ

Должен быть определён порядок проверки электронной подписи

Усиленная квалифицированная электронная подпись

Может использоваться в любых случаях

Условия использования:• Квалифицированный СКПЭП изготовленный и выданный

аккредитованным УЦ• Используются сертифицированные ФСБ России средства ЭП,

указанные в СКПЭП

Не требует превентивного заключения соглашения сторон о порядке применения ЭП

В 63-ФЗ «Об ЭП» явно разрешено то, что не запрещал 1-ФЗ «Об ЭЦП»

Могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов)

Сертификат ключа проверки электронной подписи юридического лица

Автоматическое создание и/или автоматическая проверка электронных подписей

Допускается передача ключей электронной подписи для их использования другим лицом от имени владельца

в качестве владельца СКПЭП наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности;

допускается не указывать в качестве владельца СКПЭП физическое лицо, действующее от имени юридического лица, в СКПЭП, используемом для автоматического создания и (или) автоматической проверки ЭП в ИС при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами

Что такое пакет электронных документов и их связи, включая форматы, должны быть описаны в регламентирующем документе системы электронного документооборота

Какой вид электронной подписи выбрать?

Затраты на ЭПЗатраты на ЭП Ущерб от применения ЭПУщерб от применения ЭП

Оптимальный вид электронной подписи соответствует оптимальному балансу между затратами на использование данного вида ЭП в данной ИС и потенциальным размером ущерба в случае реализации рисков её применения

Для любого вида ЭП, равно как и для собственноручной подписи, есть риски применения, с которыми связаны риски ущерба.

Угрозы как следствие наличия неопределённостей

Неопределённости в применении ЭП порождают потенциальную возможность наступления неблагоприятных последствий как для лица, подписавшего документ, так и для лица принявшего документ к исполнению

Уменьшение неопределённостей уменьшает вероятность возникновения угрозы

Возможно не получится доказать, что подпись не могла быть сделана

посторонним лицом

Возможно не получится доказать, что документ был неизменён после

подписания

Лицо может принять к исполнению электронный документ,

удостоверенный недействительной электронной подписью, а

подписант может отказаться от факта подписания именно это

документа

Неопределённости Угрозы

Возможно не получится доказать, что лицо могло определить

действительность электронной подписи

Возможно не получится доказать, что действительность электронной

подписи является неизменяемым во времени

Лицо может не принять к исполнению документ, удостоверенное действительной электронной

подписью

Определение меры неопределённости

Мера неопределённости - вероятность наступления событий, от которых зависит возникновение угрозы.

Мера неопределённости определим как произведение вероятностей событий:

Перечень событий (независимых и совместных)

Лица, подписавшее электронный документ, определено однозначно:

- ключ подписи и ключ проверки подписи являются уникальными

- существует однозначная связь между ключом подписи и ключом проверки подписи

- существует однозначная связь между ключом проверки подписи и его владельцем

Доказано отсутствие изменения в документе после подписания:

- однозначность механизма контроля целостности подписи документа и подписи

Доказана действительность электронной подписи на любой момент времени:

- однозначность механизма информирования участников системы о факте аннулирования ключа проверки подписи

- однозначность механизма проверки статуса ключа проверки подписи на момент времени

Оценим вероятности событий

Неопределённости

Без криптографических средств (для простой ЭП)

Однозначность определения лица, подписавшего электронный документ:

- уникальность ключа подписи и ключа проверки подписи

0.5

- однозначная связь между ключом подписи и ключом проверки подписи

0.5

- однозначная связь между ключом проверки подписи и его владельцем

0.5

Доказуемость отсутствия изменения в документе после подписания:


0.5

Доказуемость действительности электронной подписи на любой момент времени


0.5


0.5

В связи с невозможностью использования объективных методов определения вероятности исхода в неопределённости (нет статистики), используется субъективный метод оценки

(на суждениях и личном опыте) вероятности исхода неопределённости

Надёжность методов и технологий

основывается на экспертной

оценке. Вероятность

дана с учётом состязательности процесса.



Криптографические неГОСТ средства ЭП без СКПЭП



0.8


0.8


0.5



0.8



0.5


0.5

Средства ЭП криптографические, но реализованы с использованием не ГОСТ алгоритмов и без удостоверяющего центра

Пусть и не ГОСТ, но всё таки экспертам труднее найти дыры в технологии

Так как нет СКПЭП, то механизм связи может быть экспертами рассмотрен и так и так.



Криптографические ГОСТ средства ЭП без СКПЭП



0.9


1


0.5



1



0.5


0.5

Средства ЭП криптографические, реализованы с использованием ГОСТ алгоритмов, но не сертифицированы ФСБ России и без удостоверяющего центра

Пусть и ГОСТ, но нет экспертно подтверждённых условий эксплуатации, при которых невозможен доступ посторонних лиц к ключу подписи

Так как нет СКПЭП, то механизм связи может быть экспертами рассмотрен и так и так.

Надёжность методов и технологий основывается на экспертной оценке.



Криптографические неГОСТ средства ЭП с СКПЭП



0.8


0.8


0.8



0.8



0.8


0.8

Средства ЭП криптографические, реализованы с использованием не ГОСТ алгоритмов, но не сертифицированы ФСБ России, и есть удостоверяющий центр

Пусть и не ГОСТ, но всё таки экспертам труднее найти дыры в технологии и в реализации

Есть СКПЭП, но экспертно не оценена реализация средства УЦ и меры его информационной безопасности



Криптографические ГОСТ средства ЭП с СКПЭП



0.9


1


0.9



1



1


0.9

Средства ЭП криптографические, реализованы с использованием ГОСТ алгоритмов, но не сертифицированы ФСБ России и есть удостоверяющий центр

Надёжные ГОСТ алгоритмы, но экспертно не оцененная реализация, которая даёт свободу состязательности в её оценке

Единица достигается использованием ГОСТ алгоритмов

Тут предполагается с использованием механизм CRL, поэтому и нет практической достоверности



Сертифицированные средства ЭП с СКПЭП



1


1


1



1



1


1

Используется квалифицированная ЭП, т.е. средства ЭП криптографические, реализованы с использованием ГОСТ алгоритмов, сертифицированы ФСБ России и есть аккредитованный

удостоверяющий центр

Всё доказуемо. Т.е. все события практически достоверные.

Эта единица в предположении, что используются штамп времени в качестве доказательства момента подписи

Мера неопределённости зависит от технологии, используемой для применения ЭП


Без криптографических средств (для простой ЭП)

Криптографические неГОСТ средства ЭП без СКПЭП

Криптографические ГОСТ средства ЭП без СКПЭП

Криптографические неГОСТ средства ЭП с СКПЭП

Криптографические ГОСТ средства ЭП с СКПЭП

Сертифицированные средства ЭП с СКПЭП


0.125 0.32 0.45 0.512 0.81 1


0.5 0.8 0.9 0.8 0.9 1


0.5 0.8 1 0.8 1 1


0.5 0.5 0.5 0.8 0.9 1


0.5 0.8 1 0.8 1 1


0.5 0.8 1 0.8 1 1


0.25 0.25 0.25 0.64 0.9 1


0.5 0.5 0.5 0.8 1 1


0.5 0.5 0.5 0.8 0.9 1

Мера неопределённости 0.016 0.064 0.113 0.262 0.729 1

Структура затрат на применение ЭП

Затраты на организацию применения ЭП

Разработка и утверждение НПА и/или соглашений по использованию ЭП в ИС

Встраивание средства ЭП в программное обеспечение ИС

Приобретение средств ЭП

Приобретение ключевых носителей (устройств хранения ключей ЭП)

Обеспечение пользователей ключами ЭП

Обеспечение пользователей ключами проверки ЭП или СКПЭП (услуги удостоверяющего центра)

Установка и настройка средств ЭП на рабочих местах пользователей

Затраты на обеспечение применения ЭП

Актуализация нормативно-правовых актов и/или соглашений по использованию ЭП в ИС

Техническая и консультативная поддержка пользователей ИС в части средств ЭП и применения ЭП

Обновление ключей ЭП и ключей проверки ЭП или СКПЭП (плановое и неплановое)

Обновление средств ЭП

Выводы

В этом докладе для каждого вида ЭП дана оценка вероятности того, будет ли принят арбитром электронный документ с ЭП в качестве письменного доказательства

презентация маслов

Documents