|
В ходе оценки предметной области были поставлены задачи, для решения которых необходимо составить базу данных рабочих, присвоить каждому уникальный идентификационный номер, который необходим для применения электронной цифровой подписи. Идентификационный номер присваивается согласно установленному внутреннему уставу организации, на которой будет внедрена информационная система электронной цифровой подписи. Сама же информационная система отвечает всем нормативным актам установленном государством(приложение).
В данной информационной системе используется шифрование открытым ключом. Шифрование открытым ключом использует комбинацию из секретного ключа и открытого ключа. Секретный ключ известен только вашему компьютеру, в то время как открытый ключ свободно передается вашим компьютером любым другим компьютерам, которые хотят вести с вами зашифрованное общение. Для раскодирования зашифрованного сообщения, компьютер должен использовать оба ключа секретный и открытый. Популярная программа для использования шифрования открытым ключом это PGP (pretty good privacy), которая позволяет кодировать почти любые типы данных.
Использование цифровой подписи для подтверждения авторства документов между организациями возможно в случае заключения ими предварительного соглашения об этом, что предусмотрено в Гражданском кодексе. Заключение предварительного соглашения делает систему электронного документооборота замкнутой, и закон "Об ЭЦП" здесь применим в том смысле, что согласно ему, правила работы в подобной системе устанавливаются ее организатором. На сегодняшний день это самая распространенная и едва ли не единственная применяемая схема. Между тем, обязательность заключения предварительного соглашения перед началом работы в ряде ситуаций оказывается несколько неудобной. Так, в случае, если участники системы электронного документооборота производят с ее помощью разовые сделки, то, поскольку перед сделкой им все равно придется встречаться и подписывать традиционный бумажный документ, все преимущества электронного характера документооборота пропадают. В случае территориальной удаленности сторон даже при нескольких дальнейших электронных транзакциях необходимость первоначального подписания соглашения также существенно снижает эффективность решения. Применяемые в такой схеме алгоритмы цифровой подписи формально могут быть любыми (законодательных и иных ограничений нет) - главное, чтобы используемая технология удовлетворяла каждую из сторон. Конечно, отсутствие четких предписаний в этом вопросе дает дополнительную свободу и, как следствие, возможность применения штатных механизмов формирования и проверки ЭЦП, которые встроены в большинство операционных систем. Например, используемые в Windows алгоритмы обеспечивают допустимый уровень безопасности, однако корректность их реализации проверить невозможно. Существуют и бесплатно распространяемые криптографические модули, которые, вроде бы, тоже "должны обеспечивать", но никто этого не гарантирует. Однако, если стороны согласятся им доверять, это позволит существенно сократить затраты на создание системы: не надо покупать дополнительное программное обеспечение, а также, что немаловажно для географически распределенных систем, не требуется доставка дистрибутива до каждого конечного пользователя.
Тем не менее, практика показывает, что чаще всего электронный документооборот применяется либо между несколькими крупными компаниями, где все участники в той или иной мере равноправны, либо между выделенным организатором и большим числом клиентов (например, системы "клиент - банк" или Internet-трейдинг). В первом случае стоимость электронных сделок достаточно велика и участники предпочитают не экономить за счет свободно распространяемых программ и приобретают коммерческие версии средств криптографической защиты, в которых стойкий алгоритм ЭЦП не только заявлен, но и проверен (чаще всего такой проверкой служит сертификация в ФАПСИ).
Вторая схема оставляет выбор технологии цифровой подписи за организатором системы электронного документооборота; подключающиеся клиенты могут либо согласиться применить ее, либо вообще отказаться от участия в ней. Поэтому перед организатором стоит непростая задача - ему надо предложить технологию, удовлетворяющую всех. Для обеспечения этого опять же большинство прибегает к средствам, имеющим сертификат ФАПСИ.
Стоит отметить, что в последние два-три года наблюдается устойчивая тенденция перевода систем электронного документооборота, в которых изначально были выбраны более дешевые варианты средств цифровой подписи, на сертифицированные средства. Количество систем, в которых используются встроенные в ОС технологии ЭЦП, снижается. При выборе, например, системы электронных банковских платежей, следует учесть, что использование сертифицированных средств цифровой подписи заслуженно считается конкурентным преимуществом. Наряду с выбором алгоритма и технологии, его реализующей, немаловажную роль играет выбранный механизм распределения и обмена ключей, т.е. криптопротокол. Здесь ситуация выглядит не столь оптимистично. Некоторые серьезные банки или даже операторы по сдаче налоговой отчетности выбирают схему, которая сразу ставит их клиентов в незавидное положение, несмотря на то, что все законодательные требования формально выполнены.
Аутентифицировать автора сообщения позволяют конфиденциальность закрытого ключа подписи (он известен только автору сообщения и никому больше, иначе ЭЦП можно подделать) и целостность доступного для всех открытого ключа (для корректной проверки ЭЦП
Do'stlaringiz bilan baham: |
