Эффект от внедрения ЦП и УД

Сейчас в России на рынке услуг по ЭЦП около 200 действующих удостоверяющих центров (УЦ). Они зарабатывают на продаже сертификатов и ежегодном абонентском обслуживании и позволяют на законных основаниях использовать ЭЦП.

Работа УЦ похожа на деятельность нотариуса, он сконцентрирован на выпуске и обслуживании сертификатов. Для него обязательны лицензии на обслуживание, распространение криптосредств.

УЦ в идеале не должен заниматься и продажей сертификатов ЭЦП. Для этого разворачивается сеть регистрационных центров. Особенность выдачи сертификата ЭЦП как услуги заключается в том, что потребитель должен представить определенный пакет документов в подлиннике, поскольку необходимо удостовериться, что человек, желающий получить подпись, — именно тот, за кого себя выдает. Процедура получения ЭЦП по важности и ответственности сравнима с выдачей паспорта. Поэтому УЦ должен иметь представительства, точки, куда можно прийти и предъявить документы на получение ЭЦП. По расчетам, регистрационный центр должен приходиться на каждые 100 тыс. жителей. Регистрационные центры после проверки документов подают заявку на выдачу ЭЦП в УЦ, подтверждая заявку собственной подписью. Они не выполняют работ, связанных с лицензируемой деятельностью.

По мнению специалистов, инвестиции в создание УЦ составляют от 50 до 100 тыс. долл., примерно 50% стоит его поддержание в течение года, кроме того, оплата разработчика ПО — не менее трети всех отчислений. Сам сертификат стоит около 20 долл., ежегодная абонентская плата — столько же. Таким образом, на точку безубыточности УЦ могут выйти, когда будет собрано около 5 тыс. пользователей, а окупить затраты — за 3—5 лет. Регистрационный центр, как правило, получает половину от прибыли с каждой продажи сертификата.

Средства ЦП, построенные без использования системы сертификатов ключа подписи, а именно такие системы в большинстве используют потребители в России, не являются системами ЭЦП с точки зрения определения Закона «Об электронной цифровой подписи».

Системы с использованием сертификатов, но без создания удостоверяющих центров, а также системы, в которых подписи зарегистрированы на юридическое лицо, с точки зрения рассматриваемого закона относятся к иным аналогам собственноручной подписи и рассматриваемым законом не регулируются.

К системам ЭЦП не относятся системы, в которых АСП, в том числе ЦП, используются для подписи данных, не являющихся электронными документами.

Работа с ЭЦП включает в себя три этапа:

• 1) подготовка ключей;
• 2) подписание документа;
• 3) проверка подлинности подписи на документе.

Подготовка ключей. ЭЦП реализуется с помощью системы с открытым ключом. Данная система подразумевает использование ключевой пары, состоящей из открытого ключа и секретного ключа. Секретный ключ (private key) — ключ, известный только своему владельцу, представляет собой индивидуальное число, которое порождается при помощи генератора случайных чисел и сохраняется пользователем в секрете все время его действия. Открытый ключ (public key) — ключ, доступный всем пользователям системы, он по известному алгоритму вычисляется из индивидуального закрытого ключа и предоставляется всем, кому это необходимо для проверки подлинности цифровой подписи.

Главное свойство ключевой пары: по секретному ключу легко вычисляется открытый ключ, но по известному открытому ключу практически невозможно вычислить секретный. В алгоритмах ЭЦП подпись обычно ставится на секретном ключе пользователя, а проверяется на открытом. Таким образом, любой может проверить, действительно ли данный пользователь поставил данную подпись. Тем самым асимметричные алгоритмы обеспечивают не только целостность информации, но и ее аутентичность.

Ключевая пара может быть сгенерирована с помощью специальной программы подготовки ключей ЭЦП, установленной на соответствующем аппаратно-техническом комплексе в УЦ, при этом открытый ключ регистрируется, вносится в сертификат и выдается пользователю. Секретный ключ нигде не регистрируется и выдается пользователю. Возможна генерация ключевой пары самим пользователем, при этом в УЦ направляется для регистрации и выдачи сертификата только открытый ключ.

Подписание документа. В формировании подписи используется закрытый ключ пользователя. ЭЦП представляет собой математическую функцию от содержимого подписываемых данных и секретного ключа, вычисляемую по стандартизованному алгоритму, предусмотренному ГОСТ 34.10−2002.

В результате вычисления формируется пара чисел — префикс и суффикс ЭЦП. Байтовые представления полученных чисел, записанные друг за другом, объявляются цифровой подписью.

Для проверки подлинности подписи на документе должны использоваться открытые ключи, которыми участники процесса совместной работы с данными должны обменяться друг с другом. Одним из возможных решений является использование сертификатов ключа.

Процедура проверки подлинности подписи включает в себя следующую последовательность шагов. Сначала из ЭЦП подписи выделяются ее префикс и суффикс. Затем с использованием специальной математической процедуры и открытого ключа вычисляется значение, которое должно быть префиксом ЭЦП. Затем оба полученных значения сравниваются. Если они совпадают, данные считаются подлинными; если не совпадают, подпись считается недействительной.

Таким образом, для проверки подписи необходим открытый ключ или его сертификат. Использование сертификата предпочтительнее, поскольку он содержит не только открытый ключ, но и данные о владельце.

При использовании в качестве формы представления информации электронного документа в него помимо ЭЦП необходимо включить сертификат, поскольку в противном случае идентификация автора будет затруднена. Соответственно, корректно оформленный электронный документ должен содержать помимо содержательной части заголовок, одну или несколько ЭЦП и соответствующее число сертификатов.