Сергей Лосев
Применение ЭЦП в электронном документообороте предприятия позволяет не только контролировать и гарантировать целостность и подлинность электронных данных, но и обеспечивать возможность их хранения в течение пяти лет. Однако из-за пробелов в законодательстве и сегодняшней реализации этой технологии усложняется проверка подлинности ЭЦП и момента ее создания при возникновении конфликтных ситуаций.
Классическая ЭЦП гарантирует авторство
Классическая технология формирования электронной подписи в соответствии с ГОСТ 34.10-94 и 34.10-2001 сводится к написанию хэш-кода документа, его шифрованию закрытым ключом владельца подписи, подписанию документа и его передаче адресату вместе с открытым ключом владельца, который вычисляется из соответствующего секретного ключа; при проверке же подлинности в удостоверяющем центре проверяется сертификат открытого ключа. Содержимое этих ключей и сертификатов позволяет установить авторство электронного документа, однако в используемом сегодня формате ЭЦП не фиксируется время её создания и статус сертификата открытого ключа на момент подписи (действителен, аннулирован, приостановлен), что в конечном счете затрудняет юридически значимый электронный документооборот и процедуру доказательства подлинности ЭЦП.
"Мы проводили компьютерно-технические экспертизы, - рассказал Юрий Маслов, заместитель коммерческого директора компании "Крипто-Про", - участвовали вместе с юристами в различных судебных практиках, когда в доказательство вины использовались документы с ЭЦП. И столкнулись с такой проблемой: факт подписи доказать невозможно. Это приводит к тому, что арбитр или дознаватель не принимают электронный документ в качестве доказательства в судебных и досудебных процедурах".
Одна из причин невозможности обеспечить юридическую значимость электронных документов заключается в том, что формулировки федерального закона "Об электронной цифровой подписи" от 10 января 2002 года выглядят весьма расплывчато. Так, в статье № 4 этого закона говорится: "...электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий...". При этом первое условие такое: "…если сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания".
На пути к новому формату ЭЦП
В текущем формате ЭЦП, как уже отмечалось, отсутствуют данные о том, когда была сделана электронная цифровая подпись. "Классическая" ЭЦП умещается в 256 битах, которые однозначно идентифицируют документ, однако отсутствие сведений о времени создания и удостоверения подписи затрудняет проверку и определение статуса сертификата открытого ключа при долговременном хранении электронных документов.
При использовании так называемой улучшенной, или расширенной ЭЦП, опирающейся на европейские стандарты, можно разом решить все эти проблемы. Новый формат усовершенствованной подписи предложен компанией "Крипто-Про на базе стандарта "CMS Advanced Electronic Signatures" (CadES). В него включаются доказательства момента подписания документа и действительности сертификата в этот момент. С такой целью используются штампы времени в соответствии с рекомендациями RFC 3161 "Internet X.509 Public Key Infrastructure Time-Stamp Protocol" (TSP).
"При подписании документа, - говорит Юрий Маслов, - помимо владельца подписи в процессе участвует еще одна сторона - удостверяющий центр. При этом в цифровой документ вкладываются сведения о штампах времени и о статусах сертификатов доверенного удостоверяющего центра, промежуточные сертификаты и ответы доверенной службы актуальных статусов (OCSP. - Прим. ред.), также подписанные ЭЦП. В конечном итоге формируются два штампа времени: первый доказывает, что документ подписан не позднее указанного времени, второй фиксирует достоверность сертификата на момент подписи". Такая процедура позволяет доказать подлинность ЭЦП по прошествии длительного времени, причем даже в тех случаях, когда действие сертификата ключа подписи, ограниченное одним годом, прекращается. Как отмечает Юрий Маслов, в новом формате ЭЦП вся необходимая информация для проверки подлинности ЭЦП находится в реквизитах документа, поэтому для сохранения юридической значимости электронных документов при архивном хранении остается только обеспечить их целостность организационно-техническими мерами.
Усовершенствование ЭЦП в качестве стандарта
Для использования расширенного формата компания должна модернизировать инфраструктуру открытых ключей на базе сервисов - как собственных, так и внешних доверенных, которые объединяют удостоверяющий центр, службу актуальных статусов и службу штампов времени. Подобная инфраструктура пока еще не реализована в полном объеме, хотя сертифицированные ФСБ технологические решения для поддержки расширенных ЭЦП уже существуют. Их, в частности, бесплатно поставляют компании "Крипто-Про" и Digt. Поддержка усовершенствованной ЭЦП может быть встроена в любое приложение - при этом работа с подписью сводится к вызову двух функций: одна создает подпись, вторая проверяет ее.
"Новый формат, - резюмирует Юрий Маслов, - дает такие важные преимущества,
как возможность доказать достоверность сертификата на момент подписи и правильности
самой подписи, и решает проблему долговременного хранения документов".
При этом вложение в реквизиты документа всех необходимых доказательств позволяет
проверять подлинность ЭЦП в офлайн-режиме. Доступ к репозиторию сертификатов,
службам OCSP и службам штампов времени необходим только в момент создания подписи.