Настал ли час электронной цифровой подписи?
Некоторые методические аспекты построения систем защищенного электронного документооборота: необходимость сертифицированных средств, информационные риски при использовании ЭЦП, проблемы, связанные с использованием документов в машиночитаемом виде.
День рождения закона об ЭЦП
Прошло больше года с того дня, когда законопроект "Об электронной цифровой подписи (ЭЦП)", после положенного числа чтений в Государственной Думе, был подписан Президентом Российской Федерации и стал Федеральным законом N 1-ФЗ от 10 января 2002 г. Самое время подводить некоторые итоги и снова попытаться осмыслить вопросы, возникающие в связи с принятием этого закона.
Первый год шествия закона об ЭЦП по стране трудно назвать победоносным - ведь фактически закон еще не работает. Но в то же время его появление, само по себе сопровождавшееся большим количеством обсуждений, толков и спекуляций, всколыхнуло мир систем электронного документооборота.
Многие вопросы, которые ранее приходилось так или иначе решать или обходить, снова были подняты именно в свете этого закона. В связи с некоторыми вопросами было заметно оживление и ожидание: может быть, теперь они решаются легче, чем раньше? В отношении других проблем, напротив, наблюдалось некоторое беспокойство: может быть, использовавшиеся ранее решения с вступлением в силу закона об ЭЦП больше не могут применяться? Авторы ряда статей предлагали пока оставить все как есть, выждать, пока вся инфраструктура, определенная законом, не будет развернута. С другой стороны, модными стали отсылки типа "система построена в соответствии с Федеральным законом об ЭЦП", при ближайшем рассмотрении означавшие все что угодно - от простого использования сертифицированных средств криптографической защиты информации (СКЗИ) до попытки эксплуатации удостоверяющего центра.
Так или иначе, никто, конечно, не сомневается в том, что внедрение систем безбумажного документооборота нужно и полезно, дает прямой материальный результат и делает удобнее повседневную работу. Очевидно также, что по-настоящему эффективно внедрять системы безбумажного документооборота можно только тогда, когда они становятся подлинно безбумажными, т. е. когда для идентификации автора документа в системе используется ЭЦП. Но, как нам кажется, множество вопросов, которые остаются без ответов или, наоборот, находят диаметрально противоположные решения, отпугивает потенциальных потребителей таких систем от того, чтобы реально отказаться от бумаги и личных контактов в рутине трудовой деятельности.
Ниже мы попытаемся осветить некоторые аспекты применения ЭЦП в системе безбумажного документооборота, опираясь на свой опыт разработки и внедрения подобных систем.
Значимость документов
Значимость бумажных документов обеспечивается наличием на них собственноручной подписи должностного лица и, возможно, печати организации (последнее не относится к внутрикорпоративному документообороту). Верно ли, что юридическая значимость документов в электронном виде обеспечивается лишь наличием ЭЦП? Закон отвечает на этот вопрос положительно, но оговаривает, что открытый ключ ЭЦП должен быть надлежащим образом заверен в лицензированном центре сертификации, а средство ЭЦП, с помощью которого ставится подпись, должно быть сертифицировано ФАПСИ.
Напомним, что по положению, которое известно под названием ПКЗ-99 ("Положение о криптографической защите", приказ ФАПСИ N 158 от 23.03.1999) в корпоративных системах документооборота могут применяться и несертифицированные СКЗИ, и лишь если один из участников системы документооборота - государственный орган*, применение сертифицированных СКЗИ становится строго обязательным. На ПКЗ-99 часто ссылаются именно в вопросе о том, нужно ли использовать сертифицированные СКЗИ, подчас забывая о том, что средства ЭЦП и средства КЗИ (шифровальные средства) - вообще говоря, совершенно разные вещи.
Конечно, подавляющая часть представленных на рынке СКЗИ имеет такую функциональную возможность, как осуществление электронной подписи. Программы же, которые умеют только ставить ЭЦП, но не умеют выполнять шифрование, автору неизвестны. Но смешивать лишь на этом основании СКЗИ и средства ЭЦП ошибочно, поскольку их предназначение различно. СКЗИ обеспечивают защиту информации от несанкционированного доступа путем шифрования. Средства ЭЦП, напротив, этой задачи не решают, зато обеспечивают идентификацию автора документа и дают возможность проверить целостность документа (защищают его от позднейших вставок и искажений). Мы рассматриваем здесь системы, в которых необходима ЭЦП, вне зависимости от того, подлежит ли шифрованию обращающаяся в них информация. Тем не менее, поскольку в настоящее время все известные автору средства ЭЦП — это одновременно и СКЗИ, мы будем пользоваться популярной аббревиатурой СКЗИ для обозначения программного продукта, способного осуществлять те или иные криптографические преобразования, в том числе ставить ЭЦП.
Так что же говорят законодательные нормы по поводу необходимости именно сертифицированных средств ЭЦП? Практически ничего, и тому есть естественное объяснение. Электронная цифровая подпись еще до принятия закона весьма широко применялась в многочисленных клиент-банковских системах, в системах документооборота министерств и ведомств, на онлайновых торговых площадках и т. д. В этих системах эксплуатировались самые разнообразные средства ЭЦП — сертифицированные и несертифицированные, известных разработчиков и доморощенные, импортные и отечественные... В любом случае необходимость применения ЭЦП определялась участниками системы документооборота по добровольному соглашению. Для каждой системы, в которой ЭЦП выступала единственным средством заверения документов, создавался свой регламент, определяющий порядок генерации криптографических ключей, разбора конфликтных ситуаций, порядок подписи тех или иных документов и т. д. Ведь отсутствие закона об ЭЦП не делало применение ЭЦП незаконным. Просто сама по себе ЭЦП не являлась носителем юридической силы, и ее применение в любом случае оговаривалось специальным договором. А участники документооборота имеют право договориться о чем угодно: например, о том, чтобы использовать и признавать в качестве средства заверения документов ЭЦП. Более того, если стороны согласны считать это достаточным, то они могут вообще не использовать средства ЭЦП, а применять для проверки авторства и целостности документа, например, контрольную сумму или факт доступа по паролю. Все определяется согласованным уровнем доверия и безопасности в системе документооборота.
Собственно говоря, с этой точки зрения с принятием закона об ЭЦП мало что изменилось. И сейчас можно договориться о применении любой технологии установления авторства и/или целостности документов, особенно в рамках закрытой корпоративной системы, и это не будет никак противоречить закону об ЭЦП. Дело в том, что закон принципиально относится к другому кругу вопросов.
Закон об электронной цифровой подписи определяет условия, при которых ЭЦП является юридически значимым аналогом обычной подписи без каких-либо специальных договоренностей и условий. Условно говоря, когда закон об ЭЦП заработает, любой человек сможет, согласно этому закону, сгенерировать себе пару ключей, сертифицировать открытый ключ в лицензированном удостоверяющем центре, подписать с помощью сертифицированного ЭЦП электронную форму квитанции об уплате за детский садик... и справедливо полагать, что ему не могут отказать в приеме этой квитанции.
Но в настоящий момент в России нет ни одного лицензированного удостоверяющего центра. Несколько УЦ работают в режиме опытной эксплуатации, на основании имеющихся лицензий на распространение, техобслуживание СКЗИ и предоставление услуг в области шифрования. Однако ни одной лицензии на право осуществлять деятельность в качестве УЦ пока не выдано, за отсутствием Положения о лицензировании. Ни один юридически значимый «сам по себе» — без дополнительных договоренностей — подписанный электронный документ не был создан. Следовательно, пока что закон об ЭЦП реально не работает. Имеющиеся системы электронного документооборота как жили, так и живут — не вне закона, но в стороне от области его действия, а любые фразы типа «полностью соответствует закону об ЭЦП» носят по большей части рекламный характер.
Использовать ли сертифицированные СКЗИ
Выходит, что закон об ЭЦП пока никак не касается корпоративных систем электронного документооборота. Почему же тогда в последнее время очень сильно выражена тенденция к переводу систем «клиент-банк» и других систем электронного документооборота на сертифицированные СКЗИ и, более того, повсеместный отказ от схем с прямым распределением ключей в пользу инфраструктуры открытых ключей стандарта Х.509, с удостоверяющим центром** в качестве арбитра и центра доверия? Разумно ли это? Стоит ли переходить на сертифицированные СКЗИ, на работу с удостоверяющими центрами или повременить с этим? Ведь сертифицированные СКЗИ дороже, а деятельность удостоверяющих центров общего пользования*** в отсутствие положения о лицензировании несколько подвешена в воздухе.
Наше мнение на этот счет однозначно: смотреть в будущее надо уже сегодня, время пришло. А в будущем (насколько близким оно будет, сейчас трудно предсказать) каждое предприятие и каждый сотрудник будут вовлечены в большое количество систем безбумажного документооборота. Сдача отчетности в налоговую инспекцию, обмен платежными документами с кредитными организациями и договорами с партнерами, удаленные конференции и совещания... Безудержный оптимизм неуместен, все это будет нескоро. Тем не менее понятно, что использование нестандартных средств в локальных системах ни к чему хорошему не приведет — ведь для внешнего взаимодействия все равно придется переходить к сертифицированным СКЗИ.
Но не будем заглядывать так далеко в будущее. Простой анализ информационных рисков, которые возникают при использовании несертифицированных СКЗИ без каких-либо оговорок, уже дает достаточно оснований, чтобы делать выбор в пользу применения сертифицированных ФАПСИ средств для осуществления ЭЦП.
Информационные риски
Итак, пусть в некоторой системе безбумажного документооборота используется несертифицированное средство электронной цифровой подписи. Покажем, что из-за этого в системе возникают определенные, вполне реальные информационные риски, которые могут быть использованы злонамеренно действующими пользователями системы или третьими лицами.
Собственно риск фальсификации электронной подписи вряд ли можно считать значимым. Во-первых, многие несертифицированные средства ЭЦП используются уже очень давно и на практике доказали свою надежность; во-вторых, даже для того, чтобы фальсифицировать подпись, которая ставится с помощью какого-либо несовершенного алгоритма, могут понадобиться весьма значительные затраты. Между тем есть гораздо менее затратные способы компрометации системы, нежели попытки прямого взлома.
Первый риск заключается в том, что участник системы документооборота может, ссылаясь на то, что средство ЭЦП не сертифицировано (а значит, не имеет гарантий криптографической стойкости), заявить, что его подпись была подделана, и отозвать таким образом электронный документ со своей подписью. Заметим, что для этого вовсе не требуется, чтобы подделка действительно имела место! Виртуальный, по большому счету, риск фальсификации ЭЦП порождает абсолютно реальный риск отказа от ЭЦП.
С этой проблемой в системах документооборота, использующих несертифицированные средства, справляются единственным образом: заключая дополнительные соглашения между участниками документооборота, в которых стороны признают данное средство ЭЦП как достаточное для обеспечения юридической силы подписанных ЭЦП документов. Подписывая такое соглашение, участники документооборота фактически признают, что используемое средство ЭЦП обладает высоким уровнем криптостойкости, подпись не может быть подделана, а потому они добровольно отказываются от возможности подать рекламацию в связи с фальсификацией подписи. Загвоздка в том, что подписание такого соглашения требует изрядной смелости — ведь рядовой участник документооборота вряд ли способен самостоятельно провести экспертизу и удостовериться в истинности того утверждения, под которым он подписывается.
Другой риск, связанный с возможностью отказаться от авторства подписанного документа, еще более серьезен. Дело в том, что несертифицированное средство ЭЦП никто не проверял, во-первых, на качество выполнения основной функции (и на этом основан описанный выше риск), а во-вторых, на отсутствие побочного действия. Автор заверенного ЭЦП электронного документа может в принципе попытаться отказаться от содержимого этого документа, утверждая, что средство ЭЦП неадекватно преобразовало предложенный ему файл: не только поставило ЭЦП, но и «нечаянно» что-то еще изменило в файле в силу ошибки в программе. Скорее всего это утверждение ложно. Очень маловероятно, чтобы испытанное на практике средство ЭЦП действительно давало такой сбой. Риск неадекватного преобразования входного файла — чисто виртуальный. А вот основанный на нем риск отказа от содержимого файла совершенно реален. Автор утверждает, что программа дала сбой и на выходе получился правильно заверенный ЭЦП файл, отличный от того, который был передан программе на вход. Это неправда — но как это доказать?
Возможно, приведенный пример покажется читателю натянутым. Ведь автор документа, равно как и любой другой участник документооборота, легко может сравнить входной и выходной файлы и убедиться в их тождестве. Многие программы вообще дают возможность сформировать ЭЦП в виде отдельного файла, не изменяя при этом самого документа. Но тогда, может быть, более убедительным покажется пример с использованием несертифицированного СКЗИ не для ЭЦП, а для шифрования? Как в этом случае проверить, адекватно ли такое СКЗИ преобразует файлы? Кто сможет это гарантировать? При использовании сертифицированных СКЗИ гарантом качества выполнения основной функции и отсутствия побочного действия выступает ФАПСИ. А при использовании несертифицированных СКЗИ?
На этом аспекте электронного документооборота, связанном с принципиальной возможностью отказа от авторства в ситуации, когда электронные документы обрабатываются различными программами, стоит остановиться подробнее.
Практические советы
1. Используйте сертифицированные средства электронной цифровой подписи.
2. Создайте Положение о системе корпоративного документооборота, в котором, в частности, будет строго определено следующее:
- используемые средства ЭЦП;
- порядок обращения с ключевой информацией;
- порядок отзыва компрометированных ключей;
- порядок разбора конфликтных ситуаций;
- форматы электронных документов, допустимые к обращению в системе, и программные средства, используемые для их обработки.
3. Создайте Положение о конфиденциальной информации, в котором, в частности, будет строго определено следующее:
- классификация информации по степеням конфиденциальности;
- разграничение доступа к тем или иным видам информации;
- необходимость шифрования тех или иных видов информации при обращении ее в тех или иных сетях;
- используемые средства шифрования, если есть необходимость в шифровании.
Обмен документами в машиночитаемом виде
На самом деле отказ от авторства при использовании несертифицированных СКЗИ — частный случай общего механизма компрометации систем, основанных на обмене документами в машиночитаемом виде. Проблема заключается в том, что никем и никак не специфицированы процессы преобразования информации из «человекочитаемого» вида в машиночитаемый. Поскольку содержание машиночитаемого документа может и не быть понятно (более того, и не обязано быть понятно!) человеку, ему нужны гарантии того, что содержимое машиночитаемого документа совпадает с содержимым человекочитаемого документа, который им представляется. Без такой гарантии автор документа всегда будет иметь возможность отказаться от его содержимого, утверждая, что искажение произошло на стадии перевода информации из одной формы представления в другую. Помимо этого, как мы увидим, обмен информацией в машиночитаемом виде таит в себе и другие опасности, связанные с неоднозначной трактовкой содержимого электронных документов.
*) Или предприятие, выполняющее государственный заказ, или... - более точную, развернутую формулировку можно найти в ПКЗ-99. Ниже мы иногда будем давать краткие или частичные формулировки, отражающие только наиболее важные на практике случаи.
**) Организационная структура и схема работы удостоверяющих центров, система сертификатов открытых ключей Х.509 и их применение в рамках отечественного законодательства в области защиты информации — очень интересная тема, которая заслуживает отдельного развернутого обсуждения.
***) Но не корпоративных удостоверяющих центров. Работа УЦ внутри корпоративной системы документооборота никак не подпадает под действие закона. Значимость документов, использование сертификатов открытых ключей, ответственность УЦ в такой системе определяется исключительно внутренним положением о системе.
Л. Волков
Опубликовано: Журнал "BYTE/Россия" N 3, март 2003 г.