Uma assinatura digital eletrônica consiste em duas partes. Tipos de assinatura eletrônica (EDS)

“Instituições públicas: auditorias e auditorias de atividades financeiras e económicas”, 2011, N 8

Sobre estágio atual desenvolvimento da sociedade russa, novas tecnologias de informação e telecomunicações de alto desempenho estão sendo ativamente introduzidas nos processos das atividades diárias. O processo de troca de documentos eletrônicos difere significativamente da troca de documentos em papel, pois existe o problema de verificação da autenticidade das informações neles contidas e de sua conformidade com o sentido da vontade de uma pessoa, o que se resolve com o uso Assinatura Eletrônica. A assinatura eletrônica é amplamente utilizada nas atividades das instituições estaduais (municipais), tanto na prestação de serviços estaduais (municipais), na interação com a Fazenda Federal, na elaboração de relatórios e em diversos outros casos.

Em 8 de abril de 2011, entrou em vigor a Lei Federal nº 63-FZ de 6 de abril de 2011 “Sobre Assinatura Eletrônica” (doravante denominada Lei Federal nº 63-FZ), que regulamenta as relações no domínio do uso de assinaturas eletrônicas nas transações de direito civil, na prestação de serviços estaduais e municipais, no desempenho de funções estaduais e municipais, na prática de outras ações juridicamente significativas. Em conexão com a sua publicação a partir de 01.07.2012 a Lei Federal de 10.01.2002 N 1-FZ “Sobre Eletrônico assinatura digital"(doravante - Lei Federal N 1-FZ).

Quais as razões para a aprovação da nova Lei?

A Lei Federal N 1-FZ apresenta deficiências conceituais, jurídicas e técnicas que não permitiram fornecer condições legais para o uso generalizado da assinatura digital eletrônica na Federação Russa, em particular:

• a utilização de uma tecnologia única de assinatura digital eletrónica (baseada na chamada tecnologia de chave de assinatura assimétrica) leva à necessidade de utilização de um sistema hierárquico único de centros de certificação e obriga à utilização de ferramentas de assinatura digital eletrónica certificadas;
• as disposições da Lei não atendem aos princípios básicos implementados na legislação estrangeira e lei internacional na implementação da regulamentação legal das assinaturas electrónicas, tais como “neutralidade tecnológica” da legislação, reconhecimento legal de vários tipos de assinaturas electrónicas, utilização gratuita de ferramentas de assinatura electrónica, acreditação de centros de certificação;
• o âmbito de regulamentação da Lei é insuficiente: exclui relações tanto sobre a utilização de outros tipos de assinatura eletrónica, como aquelas que não são transações de direito civil;
• não é permitida assinatura digital eletrônica de pessoas jurídicas.

Essas deficiências não permitem que as disposições da Lei Federal N 1-FZ sejam amplamente utilizadas na prática policial. A Lei Federal N 63-FZ adotada visa eliminar as desvantagens acima, ampliando o escopo de utilização e os tipos permitidos de assinaturas eletrônicas. Ao mesmo tempo, mantém a prática atual de utilização de assinatura digital eletrónica.

Quais são os tipos de assinatura eletrônica?

De acordo com art. 2 Lei Federal N 63-FZ Assinatura Eletrônica- trata-se de informação em formato eletrónico que está anexada a outra informação em formato eletrónico (informação assinada) ou de outra forma associada a ela e que é utilizada para identificar a pessoa que assina a informação.

Para referência. O artigo 3º da Lei Federal N 1-FZ caracteriza a assinatura eletrônica como um elemento de um documento eletrônico destinado a protegê-lo contra falsificação, obtido a partir da transformação criptográfica de informações utilizando a chave privada de uma assinatura digital eletrônica e permitindo identificar o titular do certificado de chave de assinatura, bem como estabelecer a ausência de distorção de informação V documento eletrônico.

De acordo com o art. 5º da Lei Federal N 63-FZ, a assinatura eletrônica pode ser de dois tipos: simples e aprimorada. Por sua vez, uma assinatura eletrônica aprimorada pode ser não qualificada ou qualificada. Ressalte-se que a Lei Federal nº 1-FZ não prevê divisão semelhante, conforme mencionamos acima.

Assinatura eletrônica simples. Assinatura eletrônica simples é aquela que, por meio de códigos, senhas ou outros meios, confirma o fato da formação de assinatura eletrônica por determinada pessoa (artigo 2º, artigo 5º da Lei Federal N 63-FZ).

Um documento eletrônico é considerado assinado com assinatura eletrônica simples se uma das seguintes condições for atendida (cláusula 1ª, artigo 9º da Lei Federal N 63-FZ):

• uma assinatura eletrônica simples está contida no próprio documento eletrônico;
• uma chave simples de assinatura eletrônica (uma sequência única de caracteres destinada à criação de uma assinatura eletrônica) é utilizada de acordo com as regras estabelecidas pelo operador do sistema de informação, que é utilizada para criar e (ou) enviar um documento eletrônico, e o documento eletrônico criado e (ou) enviado contém informações que indicam a pessoa em nome de quem o documento eletrônico foi criado e (ou) enviado.

Para utilizar uma assinatura eletrónica simples, bem como para reconhecer os documentos eletrónicos como equivalentes aos documentos em papel, os acordos entre os participantes na interação eletrónica (atos jurídicos regulamentares) devem necessariamente prever:

• regras para determinar quem assina um documento eletrônico por sua simples assinatura eletrônica;
• a obrigação de uma pessoa criar e (ou) usar uma simples chave de assinatura eletrônica para mantê-la confidencial.

Vale lembrar que documento eletrônico é a informação documentada apresentada em formato eletrônico, ou seja, em formato adequado à percepção humana por meio de computadores eletrônicos, bem como para transmissão em redes de informação e telecomunicações ou processamento em sistemas de informação (artigo 2º da Lei Federal de 27 de julho de 2006 N 149-FZ “Sobre Informação, Tecnologias da Informação e Proteção da Informação”).

Observação! Não é permitida a utilização de simples assinatura eletrônica para assinar documentos eletrônicos que contenham informações que constituam segredo de Estado, ou em sistema de informação que contenha informações que constituam segredo de Estado (artigo 4º, art. 9º da Lei Federal N 63-FZ).

Assinatura eletrônica aprimorada. Ao contrário da simples, a assinatura eletrônica aprimorada é utilizada nos casos em que, de acordo com a legislação ou costumes comerciais vigentes, um documento não deve ser assinado apenas pelo titular de uma instituição estadual (municipal) (pessoa por ele autorizada), mas também certificado com selo (artigo 3º do art. 6º da Lei Federal N 63-FZ).

Conforme já observado, uma assinatura eletrônica aprimorada pode ser não qualificada e qualificada.

De acordo com o art. 10 da Lei Federal N 63-FZ, ao utilizar assinaturas eletrônicas aprimoradas, é necessário:

• garantir a confidencialidade das chaves de assinatura eletrónica, nomeadamente, impedir a utilização de chaves de assinatura eletrónica pertencentes à instituição sem o seu consentimento;
• notificar o centro de certificação que emitiu o certificado da chave de verificação de assinatura eletrônica e demais participantes da interação eletrônica sobre a violação da confidencialidade da chave de assinatura eletrônica no prazo máximo de um dia útil a partir da data de recebimento da informação sobre tal violação;
• não utilizar a chave de assinatura eletrônica se houver motivos para acreditar que sua confidencialidade foi violada;
• utilização para a criação e verificação de assinaturas eletrónicas qualificadas, a criação de chaves para assinaturas eletrónicas qualificadas e chaves para a sua verificação de ferramentas de assinatura eletrónica que tenham recebido confirmação de cumprimento dos requisitos.

Os documentos eletrônicos são reconhecidos como equivalentes aos documentos em papel?

A informação em formato eletrónico, assinada com assinatura eletrónica qualificada, é reconhecida como documento eletrónico, equivalente a documento em papel assinado com assinatura manuscrita, salvo nos casos em que a lei estabeleça a exigência de que o documento seja lavrado exclusivamente em papel. Além do mais, regulamentos ou um acordo entre os participantes da interação eletrônica pode prever requisitos adicionais para um documento eletrônico, a fim de reconhecê-lo como equivalente a um documento em papel, certificado por um selo.

A assinatura qualificada é reconhecida como válida até determinação em contrário do tribunal, desde que cumpridas as seguintes condições (artigo 11 da Lei Federal N 63-FZ):

• o certificado qualificado foi criado e emitido por uma autoridade de certificação acreditada, cuja acreditação é válida no dia da emissão do certificado especificado;
• o certificado qualificado é válido no momento da assinatura do documento eletrônico (se houver informação confiável sobre o momento da assinatura do documento eletrônico) ou no dia da verificação da validade do certificado especificado, se o momento da assinatura do documento eletrônico for não determinado;
• disponível resultado positivo verificação de que o titular do certificado qualificado pertence à assinatura eletrónica qualificada com a qual o documento eletrónico é assinado, sendo confirmada a ausência de alterações neste documento após a sua assinatura;
• a assinatura eletrônica qualificada é utilizada sujeita às restrições contidas no certificado qualificado da pessoa que assina o documento eletrônico (se tais restrições forem definidas).

De acordo com o parágrafo 2º do art. 6º da Lei Federal N 63-FZ, o documento eletrônico assinado com assinatura eletrônica simples ou não qualificada é reconhecido como equivalente ao documento em papel assinado com assinatura manuscrita, nos casos previstos em lei ou por acordo entre os participantes da interação eletrônica. Além disso, esses acordos ou regulamentos devem prever o procedimento de verificação da assinatura eletrônica, bem como atender aos requisitos estabelecidos no art. 9º da Lei Federal N 63-FZ.

Como obter ferramentas de assinatura eletrônica?

Para criar e verificar uma assinatura eletrônica, criar uma chave de assinatura eletrônica e uma chave de verificação de assinatura eletrônica, devem ser utilizadas ferramentas de assinatura eletrônica, que (cláusula 1ª, artigo 12 da Lei Federal N 63-FZ):

• permitir estabelecer o fato de alteração do documento eletrônico assinado após o momento de sua assinatura;
• garantir a impossibilidade prática de calcular a chave da assinatura eletrónica a partir da assinatura eletrónica ou da sua chave de verificação.

Para obter ferramentas de assinatura eletrónica e celebrar um acordo para a sua manutenção, a instituição necessita de contactar um dos centros de certificação. Recorde-se que centro de certificação é a pessoa colectiva ou empresário individual que desempenha as funções de criação e emissão de certificados de chaves de verificação de assinatura electrónica, bem como outras funções (artigo 2.º da Lei Federal n.º 63-FZ). As tarefas da autoridade de certificação são a criação e emissão de certificados com base num acordo entre a autoridade de certificação e o requerente. Além disso, o centro de certificação (cláusula 1º, artigo 13 da Lei Federal N 63-FZ):

• estabelece os prazos de validade dos certificados de chaves de verificação de assinatura eletrônica;
• revoga os certificados de chaves de verificação de assinatura eletrônica emitidos por esta autoridade certificadora;
• emite, a pedido do requerente, meios de assinatura eletrónica contendo uma chave de assinatura eletrónica e uma chave de verificação de assinatura eletrónica (incluindo as criadas por uma autoridade de certificação) ou que prevê a possibilidade de criação de uma chave de assinatura eletrónica e de uma chave de verificação de assinatura eletrónica pelo candidato;
• mantém um registro de certificados de chaves de verificação de assinatura eletrônica emitidos e cancelados por este centro de certificação, incluindo informações contidas em certificados de chaves de verificação de assinatura eletrônica emitidos por este centro de certificação e informações sobre as datas de rescisão ou cancelamento de certificados de chaves de verificação de assinatura eletrônica e com base em tal rescisão ou cancelamento;
• estabelece o procedimento para manutenção do cadastro de certificados não qualificados e o procedimento de acesso ao mesmo, bem como dá acesso às pessoas às informações contidas no cadastro de certificados, inclusive por meio da Internet;
• cria, a pedido dos requerentes, chaves de assinatura eletrónica e chaves de verificação de assinatura eletrónica;
• verifica a exclusividade das chaves de verificação de assinaturas eletrônicas no registro de certificados;
• verifica assinaturas eletrônicas a pedido dos participantes da interação eletrônica;
• realiza outras atividades relacionadas ao uso de assinatura eletrônica.

Por exemplo, o fornecimento de ferramentas de assinatura eletrônica para fins de publicação de informações sobre pedidos no site oficial da Federação Russa na Internet para publicação de informações sobre pedidos de fornecimento de bens, execução de trabalho, prestação de serviços é realizado pelo Federal Tesouraria. O procedimento para fornecer uma assinatura eletrônica em este caso regulamentado pela Ordem do Ministério de Desenvolvimento Econômico da Rússia N 647, Tesouro Federal N 22n de 14 de dezembro de 2010 "Sobre a aprovação do procedimento de registro de usuários no site oficial Federação Russa na Internet para publicar informações sobre a realização de encomendas de fornecimento de bens, execução de trabalhos, prestação de serviços "(doravante designado por Procedimento). Assim, para obtenção de certificados, as chaves devem ser apresentadas ao órgão territorial do Fazenda Federal no local da instituição em papel (e se houver oportunidade técnica - na forma de documento eletrônico) em uma via:

• informações sobre a organização no formulário fornecido no Apêndice 1 da Carta do Tesouro da Federação Russa de 14 de março de 2011 N 42-7.4-05 / 10.0-160. É proibida a inclusão no formulário especificado de informações que constituam segredo de Estado;
• Cartão de amostras de assinaturas para contas pessoais (no formulário 0531753, aprovado pelo Despacho da Fazenda Federal de 10.07.2008 N 7n “Sobre o procedimento de abertura e manutenção de contas pessoais pela Fazenda Federal e seus órgãos territoriais” (doravante - Despacho N 7n ));
• cópia do documento constitutivo (estatuto), autenticado pelo fundador ou com firma reconhecida. Sua submissão não é exigida das autoridades poder estatal (governo local) ou seus órgãos territoriais, instituições estaduais federais que não possuem regulamento próprio (carta) e atuam com base em regulamento geral (carta), fundos não orçamentários estaduais territoriais, empresa estatal (empresa estatal);
• cópia do documento de registro estadual de pessoa jurídica, autenticado pelo fundador ou com firma reconhecida ou pelo órgão que realizou o registro estadual;
• cópia da certidão de registro da pessoa jurídica junto à autoridade fiscal, autenticada por notário ou pela autoridade fiscal que a emitiu;
• uma cópia do ato jurídico regulamentar da entidade constituinte da Federação Russa sobre a criação do fundo extra-orçamentário estadual territorial correspondente (apenas para fundos extra-orçamentários estaduais territoriais). A certificação da cópia especificada não é necessária;
• cópia do documento de abertura de conta em instituição de crédito, para a qual deverão ser transferidos os fundos dos participantes na colocação da ordem, emitido pelo órgão competente instituição de crédito, autenticada por notário, se a entidade competente não tiver aberto conta pessoal no Tesouro Federal (para empresa estatal, empresa estatal, empresa unitária, organização com participação estatal, entidade de monopólio natural).

Como é utilizada a assinatura eletrônica no atendimento aos órgãos da Fazenda Federal?

De acordo com a cláusula 1.3 do Procedimento para serviços de caixa para a execução do orçamento federal, os orçamentos das entidades constituintes da Federação Russa e os orçamentos locais e o procedimento para a implementação pelo Tesouro Federal de certas funções das autoridades financeiras do entidades constituintes da Federação Russa e municípios para a execução dos respectivos orçamentos, aprovado pela Portaria da Fazenda Federal de 10.10.2008 N 8n, a troca de informações entre instituições estaduais (municipais) e a Fazenda Federal ou órgãos da Fazenda Federal é realizada em meio eletrônico por meio de assinatura eletrônica em de acordo com a legislação da Federação Russa com base em um acordo (acordo) sobre a troca de documentos eletrônicos celebrado entre instituições e o Tesouro Federal, e os requisitos estabelecidos pela legislação da Federação Russa.

Ao concluir acordos sobre a troca de documentos eletrônicos com os principais administradores, administradores, destinatários, administradores de receitas, autoridades financeiras de todos os níveis do sistema orçamentário da Federação Russa, recomenda-se que os órgãos do Tesouro Federal celebrem acordos sobre a troca de documentos eletrônicos (ver Carta da Fazenda Federal de 20.03.2007 N 42-7.1-17 / 10.1-102 “Sobre acordo exemplar para troca de documentos eletrônicos”).

Ao aceitar documentos de pagamento apresentados em meio eletrônico de acordo com contrato de troca de documentos eletrônicos, os órgãos da Fazenda Federal utilizam o certificado de chave pública de assinatura eletrônica emitido na forma prescrita para a pessoa que assina os documentos de pagamento eletrônico para verificar a assinatura da pessoa quem assinou o documento de pagamento eletrônico com sua amostra. Ao mesmo tempo, um documento de pagamento eletrónico pode ser assinado simultaneamente por várias assinaturas eletrónicas de pessoas que tenham recebido um certificado de acordo com o procedimento estabelecido no contrato.

É possível utilizar assinatura eletrônica na prestação de serviços estaduais e municipais?

O procedimento para utilização das tecnologias de informação e telecomunicações na prestação de serviços estaduais e municipais é estabelecido pelo art. Arte. 21.1, 21.2 da Lei Federal de 27 de julho de 2010 N 210-FZ “Sobre a organização da prestação de serviços estaduais e municipais” (doravante - Lei Federal N 210-FZ).

Os serviços estaduais e municipais são fornecidos em formato eletrônico se estiverem incluídos na lista estabelecida pelo Governo da Federação Russa. O órgão executivo supremo do poder estatal de uma entidade constituinte da Federação Russa tem o direito de aprovar uma lista adicional de serviços prestados em uma entidade constituinte da Federação Russa por instituições estaduais e municipais e outras organizações que colocam uma tarefa estatal (ordem) de uma entidade constituinte da Federação Russa ou atribuição municipal(pedido) a ser inscrito no cadastro de serviços estaduais ou municipais e prestado em meio eletrônico.

A solicitação de recebimento e prestação de serviço estadual ou municipal poderá ser realizada por meio de documentos eletrônicos assinados com assinatura eletrônica de acordo com as exigências da Lei Federal N 63-FZ.

As regras para utilização de assinaturas eletrônicas simples na prestação de serviços estaduais e municipais, incluindo as regras para criação e emissão de chaves de assinaturas eletrônicas simples, e a lista de órgãos e organizações que têm o direito de criar e emitir chaves para assinaturas eletrônicas simples As assinaturas para a prestação de serviços estaduais e municipais são estabelecidas pelo Governo da Federação Russa e devem prever, entre outras coisas (artigo 21.2 da Lei Federal N 210-FZ):

• requisitos que devem cumprir as assinaturas eletrônicas simples e (ou) tecnologias para sua criação;
• formas de identificar uma pessoa ao emitir-lhe uma chave simples de assinatura eletrônica para receber serviços estaduais e municipais.

De acordo com o parágrafo 2º do art. 21.2 da Lei Federal N 210-FZ, na prestação de serviços estaduais e municipais por meio de assinatura eletrônica simples, deve-se garantir:

• oportunidade recibo grátis por qualquer pessoa chaves de assinatura eletrônica simples para uso no recebimento de serviços estaduais e municipais;
• não há necessidade de pessoas físicas e jurídicas utilizarem softwares e hardwares especialmente desenvolvidos para receber serviços estaduais e municipais por meio de assinatura eletrônica simples.

De referir que neste momento o portal de serviços públicos (www.gosuslugi.ru) está a funcionar em regime de teste, onde poderá receber alguns serviços públicos em formato eletrónico.

Yu.Vasiliev

CEO

A assinatura digital eletrônica é a base do gerenciamento eletrônico de documentos usando modernos tecnologias de informação. É parte integrante do trabalho de projetos como “Banco-Cliente” (sistemas bancários automatizados para acesso remoto), sistemas de pagamento baseados em cartões inteligentes, sistemas de pagamento eletrônico pela Internet, etc.

O que é um sistema de assinatura eletrônica digital

O principal objetivo de uma assinatura digital eletrônica, que é um esquema matemático especial, é confirmar a autenticidade de documentos ou mensagens eletrônicas. Uma assinatura digital segura garante ao destinatário que o documento foi criado pelo remetente e não foi alterado durante a transmissão.

As assinaturas digitais eletrônicas são ativamente utilizadas em transações financeiras, para distribuição de software, bem como em outros projetos que exigem a confirmação da autenticidade de uma mensagem eletrônica.

Vale a pena distinguir entre os conceitos de “assinatura digital” e “assinatura eletrônica”. O primeiro termo é mais geral porque se refere a quaisquer dados eletrônicos. No entanto, nem todas as assinaturas eletrônicas são digitais.

As assinaturas digitais usam criptografia assimétrica. Eles são projetados para proteger mensagens eletrônicas transmitidas por um canal inseguro. Uma assinatura digital, criada de acordo com todas as regras, garante que a mensagem foi enviada pelo originador. Na verdade, uma assinatura e um selo digital são um substituto completo para selos físicos e assinaturas manuais. A diferença é que os digitais são mais difíceis de falsificar.

Uma das áreas de aplicação da assinatura digital eletrônica é a confirmação da autenticidade de mensagens e documentos transmitidos via e-mail usando um protocolo criptográfico. A EDS baseia-se no princípio do não repúdio, segundo o qual quem assinou o documento não pode provar que não assinou a mensagem enviada.

O papel da assinatura digital no comércio eletrônico e no fluxo de trabalho

A popularidade do EP está crescendo constantemente. Os executivos da empresa desejam reduzir a carga de trabalho de seus funcionários e a quantidade de fluxo de trabalho em papel. Com efeito, com a ajuda do EDS, outros colaboradores poderão assinar documentos com muito mais rapidez, o que reduzirá o tempo de inatividade e aumentará a eficiência dos processos de negócio na organização.

A lei federal "Sobre Assinatura Digital Eletrônica" define um EDS como equivalente em força legal a uma assinatura manuscrita e um selo físico em um documento em papel tradicional. Isso permite que organizações de diversos setores e atividades o utilizem ativamente no gerenciamento eletrônico de documentos.

Mas o âmbito da EDS não se limita a isso. Também é utilizado para confirmar a autoria, integridade, autenticidade e relevância de quaisquer mensagens eletrônicas e permite verificar se foram feitas alterações no documento transmitido por pessoas não autorizadas.

A aceleração de todos os processos da vida e dos negócios está obrigando os proprietários das empresas a otimizar os processos organizacionais, implementar vários sistemas automação. O comércio eletrônico é uma dessas ferramentas. Para participar do leilão, você precisa de uma assinatura digital eletrônica, que permite:

• garantir a autenticidade dos documentos eletrônicos carregados pelos participantes;
• organizadores para assinar concursos, leilões e inscrições;
• assinar lances no leilão;
• utilizar documentos eletrônicos em pé de igualdade com os de papel;
• garantir a autenticidade e integridade dos documentos eletrônicos, evitando sua falsificação;
• evitar disputas por envio incorreto de documentos e arquivamento de pedidos.

A utilização de tecnologias digitais no comércio eletrónico pode levar a mudanças fundamentais na prática de condução de negociações comerciais num futuro próximo. Em primeiro lugar, pela utilização de canais de comunicação digitais e redução de custos de comunicação. Assim, uma assinatura digital eletrônica fornece aos proprietários de pequenas e médias empresas acesso aos mercados internacionais de comércio eletrônico.

No passado recente, o fax era utilizado para troca de mensagens ou documentos. Títulos também enviado por correio ou serviço de entrega rápida. Agora você pode enviar toda a documentação necessária, que tenha força legal adequada, no menor tempo possível e sem intermediários. Afinal, uma assinatura digital eletrônica em um fluxo de trabalho substitui completamente a manuscrita e confirma sua autenticidade, garantindo que nenhuma correção foi feita no documento por usuários não autorizados.

A viabilidade económica de mudar para a troca de documentos eletrónicos é óbvia: desta forma é mais fácil armazená-los e transferi-los. Para isso, basta emitir uma assinatura digital eletrônica em um dos centros de certificação especiais.

Outra vantagem do gerenciamento eletrônico de documentos é o alto grau de proteção dos dados transmitidos. Para EDS, é usado um provedor criptográfico especial com um certificado qualificado. Sua proteção máxima é fornecida por sistemas especiais de hardware e software (chaves I-Token ou cartões inteligentes), que contêm um armazenamento seguro para utilização de códigos PIN ao trabalhar com um certificado qualificado. Se forem feitas várias tentativas malsucedidas ao inserir o código PIN, o certificado será bloqueado e deixará de funcionar.

Recursos de uso de assinatura digital eletrônica

Antes de usar o EDS para aprovação de documentos, deve-se considerar o seguinte:

1. A autenticidade de uma assinatura pode ser verificada com base em dados disponíveis publicamente. Ao mesmo tempo, é criado a partir de uma mensagem fixa e de uma chave privada de assinatura digital eletrônica.
2. É impossível falsificar ou adivinhar uma assinatura sem uma chave secreta.

A utilização do EDS é expediente e relevante não só na organização do fluxo de trabalho de pessoas jurídicas (para certificação de autenticidade, autoria, identidade e situação de documentos), mas também de pessoas físicas. Por exemplo, pode ser utilizado para confirmar o consentimento informado ou aprovação de uma das partes do contrato.

Uma assinatura digital eletrônica é usada para autenticar a origem de uma carta. Isso porque mesmo que o documento contenha todas as informações necessárias, é difícil garantir a autenticidade do remetente. A chave da assinatura digital eletrônica é atribuída a um usuário específico. Este mecanismo garante que a carta foi enviada pelo proprietário do EDS. Isto é especialmente verdadeiro para organizações financeiras e bancárias.

Outra área de aplicação do EDS é a confirmação de que a carta foi entregue sã e salva e que nenhuma correção foi feita por intrusos durante a transmissão. A criptografia usando uma chave EDS não oferece 100% de proteção contra modificações na mensagem original por usuários não autorizados. Mas ao descriptografar uma carta, o destinatário receberá informações se a integridade da carta for violada. Isso se deve ao fato de que quaisquer ações com uma mensagem assinada com assinatura digital eletrônica levam à sua desativação. Para assinar novamente o documento modificado, você precisa ter acesso a ele. Portanto, a probabilidade de tal desenvolvimento de eventos é extremamente pequena.

Além disso, uma assinatura digital eletrônica é uma das ferramentas mais eficazes para confirmar a origem de um documento ou mensagem. Ou seja, a assinatura digital eletrônica para pessoas jurídicas é uma garantia de não negação ou impossibilidade de negar o fato de uma organização ter assinado um documento eletrônico. Este princípio de funcionamento do EDS também se aplica a particulares.

Deve-se ter em mente que a autenticidade e o não repúdio de uma carta assinada com EDS só são possíveis se a chave secreta não for revogada antes do uso. Neste caso, as chaves públicas são canceladas simultaneamente com as secretas. Mediante solicitação prévia, o ES é verificado quanto à possibilidade de revogação.

Quaisquer criptossistemas baseados na utilização de chave pública ou privada dependem diretamente do grau de sigilo desses dados. O usuário pode armazenar a chave de assinatura digital eletrônica em seu computador de trabalho, protegendo-o com uma senha. Mas esta opção tem suas desvantagens:

• os documentos só podem ser assinados no computador do titular do EDS;
• a segurança dos dados EDS depende diretamente da segurança do computador de trabalho do usuário.

É muito mais seguro armazenar a chave secreta em cartões inteligentes, pois a maioria deles possui um alto grau de proteção contra alterações por usuários não autorizados.

Para ativar o cartão inteligente, o usuário insere um código PIN especial. Este esquema de autenticação de dois fatores fornece proteção adicional para a assinatura digital eletrônica. Em caso de roubo ou extravio do cartão inteligente, para ativá-lo e utilizar o EDS, também será necessário inserir um código PIN, o que reduz o nível de segurança deste esquema. É encorajador que as chaves EDS nos cartões inteligentes existam em uma única cópia e não possam ser copiadas. Portanto, o titular de uma assinatura digital eletrônica, ao descobrir a perda, pode bloquear rapidamente sua ação. As chaves armazenadas no computador do usuário são muito mais fáceis de copiar e o fato do vazamento de informações é mais difícil de detectar. Portanto, é muito importante aplicar proteção adicional à assinatura digital eletrônica.

Quais algoritmos são usados ​​​​na assinatura digital eletrônica

O esquema de assinatura digital inclui simultaneamente três algoritmos de assinatura digital eletrônica:

1. Um algoritmo de geração de chave que seleciona uma chave secreta de maneira uniforme e aleatória a partir de um conjunto de possíveis escolhas privadas. Ao mesmo tempo, são geradas as chaves secreta e pública, que são emparelhadas.
2. Algoritmo de assinatura que, baseado em uma chave privada, assina uma mensagem eletrônica.
3. Algoritmo de verificação de assinatura digital eletrônica que, com base na chave pública, assinatura e mensagem, determina a autenticidade e decide se deve ou não enviar e-mail.

Algoritmo de assinatura digital RSA.

Um dos primeiros e mais comuns sistemas EDS é baseado no algoritmo RSA. Tudo começa com o cálculo das chaves pública e privada. Um remetente de e-mail deve calcular dois números primos grandes P e Q, e então calcular o produto e encontrar o valor da função:

N=P*Q; φ(N) = (P-1)(Q-1).

Então você precisa determinar o valor de E a partir das condições:

E £ φ (N), mdc (E, φ (N)) = 1

e valor D:

D< N, E*Dº 1 (mod j(N)).

Os números E e N representam a chave pública. O autor envia esses indicadores aos destinatários do e-mail para autenticação da assinatura digital eletrônica. O parâmetro D é a chave secreta com a qual o autor assina a mensagem. Esquematicamente, a operação do algoritmo é mostrada na figura:

Desvantagens de usar o algoritmo RSA para gerar uma assinatura digital eletrônica:

1. O cálculo dos valores dos parâmetros N, E e D é um processo trabalhoso, pois requer a verificação de um grande número de condições adicionais. Ao mesmo tempo, se pelo menos um deles não for cumprido, existe o risco de falsificação de assinatura digital eletrónica.
2. A alta resistência à falsificação de um EDS criado usando o algoritmo RSA é garantida por custos computacionais significativos (20-30% a mais que outros algoritmos).

Algoritmo de assinatura digital ElGamal (EGSA).

A ideia principal deste algoritmo é a impossibilidade de falsificar uma assinatura digital eletrônica. Para atingir esse objetivo, é necessário resolver um problema computacional mais complexo, e não apenas fatorar um número inteiro grande. Além disso, o desenvolvedor do El-Gamal conseguiu eliminar as deficiências do algoritmo RSA e prevenir os riscos de falsificação da assinatura digital sem determinar a chave secreta.

Para gerar uma chave pública e privada, você precisa escolher dois inteiros simples P e G, desde que G< P. Отправитель и адресат электронного документа, подписанного ЭЦП, применяют одинаковые большие несекретные числа P (~10 308 = ~2 1024) и G (~10 154 = ~1 512). Первый из них берёт случайное целое число X, 1 < X £ (P - 1), и вычисляет: Y = G X mod P.

O parâmetro Y é a chave pública usada para autenticar a assinatura digital do remetente. O parâmetro X é a chave secreta usada por ele para assinar documentos eletrônicos. Para assinar uma mensagem M, o remetente deve hash usando a função hash h em um inteiro m: m = h(M), 1< m < (P - 1), и сгенерировал случайное целое число К, 1 < K < (P - 1), при этом К и (P - 1) должны быть взаимно простыми. На следующем этапе он рассчитывает значение параметра a по формуле: a = G K mod P. На основе расширенного алгоритма Евклида с помощью секретного ключа Х определяет целое число b: m = X * a + K * b (mod (P - 1)). Пара чисел (a, b) формируют электронную цифровую подпись S: S = (a, b).

Os valores dos parâmetros M, a e b são transmitidos ao destinatário, e os valores dos números X e K não são divulgados. O destinatário da mensagem calcula então o valor de m usando a fórmula: m = h(M). A seguir, o valor do número A = Y a a b mod (P) é calculado. Se A = G m mod (P), a mensagem M é considerada autêntica.

Uma prova matemática rigorosa pode ser dada de que a última igualdade será verdadeira quando a assinatura S sob a mensagem M for calculada usando exatamente a chave secreta X, da qual a chave pública Y foi obtida.

Ao mesmo tempo, deve-se ter em mente que para criar cada assinatura digital eletrônica é necessário um novo valor do número K, que é determinado aleatoriamente.

O algoritmo EGSA é um exemplo clássico de como uma mensagem de texto simples é entregue junto com um autenticador (a, b). A diferença entre o algoritmo ElGamal e o algoritmo RSA:

1. Com um grau de segurança semelhante, o algoritmo EGSA funciona com números inteiros 25% menores que números semelhantes no algoritmo RSA. Isso reduz o tempo de cálculo em um fator de 2, em média.
2. Calcular o módulo de P é fácil, você só precisa ter certeza de que o número é primo e que o número (P - 1) tem um fator primo grande.
3. O algoritmo EGSA não permite assinar digitalmente novas mensagens sem conhecer a chave secreta.
4. A assinatura gerada pelo algoritmo EGSA é 1,5 vezes maior que a assinatura gerada pelo esquema RSA.

Algoritmo de assinatura digital DSA.

O algoritmo DSA (Algoritmo de Assinatura Digital) é uma versão melhorada dos algoritmos de assinatura digital EGSA e K. Schnorr. O remetente e o destinatário do e-mail calculam os números inteiros grandes G e P - números primos, L bits cada (512 £ L £ 1024), q - número primo com 160 bits de comprimento (divisor de número (P - 1)). Os números P, G, q são abertos e podem ser compartilhados pelos usuários. O remetente escolhe um inteiro aleatório X - a chave secreta da assinatura digital eletrônica, enquanto 1< X < q. Далее он рассчитывает значение параметра Y (открытого ключа) по формуле: Y = G X mod P. Для подписи сообщения М отправитель хэширует его в целое хэш-значение m: m = h(M), 1 < m < q, затем выбирает случайное целое число К, при условии, что 1 < K < q, и вычисляет значение параметра r по формуле: r = (G K mod P) mod q. Далее он находит число s по формуле: s = ((m + r * X)/ K) mod q.

Um par de números S = (r, s) forma uma assinatura digital eletrônica. O destino verifica se as condições foram atendidas: 0< r < q, 0 < s < q. Если хотя бы одно из них не выполнено, то подлинность ЭЦП не подтверждается. Если же выполнены все условия, то адресат рассчитывает значение w по формуле: w = (l/s) mod q, хэш-значения m = h(M) и числа u 1 = (m * w) mod q, u 2 = (r * w) mod q. Далее он с помощью открытого ключа Y вычисляет v по формуле: v = ((G u 1 * Y u 2) mod P) mod q. Подпись S считается подлинной при условии, что выполняется равенство v = r.

Podemos dar uma prova matemática de que a última igualdade será verdadeira quando a assinatura S sob a mensagem M for calculada usando exatamente a chave secreta X, da qual a chave pública Y foi obtida.

Vantagens do algoritmo DSA em comparação com o algoritmo EGSA:

1. O comprimento de uma assinatura digital eletrônica criada usando o algoritmo DSA é significativamente menor do que o de uma assinatura gerada usando o algoritmo EGSA. Ao mesmo tempo, o nível de resistência é o mesmo.
2. O tempo de cálculo da assinatura DSA é menor que no algoritmo EGSA.

As desvantagens do algoritmo DSA incluem a necessidade de operações complexas de divisão módulo q para verificar a autenticidade de uma assinatura digital eletrônica. Na prática, o trabalho do algoritmo DSA pode ser acelerado realizando cálculos preliminares. Vale a pena notar que o valor de r é independente da mensagem M e do seu valor de hash m.

Que tipos de assinatura digital eletrônica têm força legal

A Lei Federal “Sobre Assinatura Eletrônica” nº 63-FZ distingue dois tipos de assinaturas eletrônicas: simples e aprimoradas. Assinaturas aprimoradas são qualificadas e não qualificadas.

EDS simples.

Senhas, códigos e outros meios são usados ​​para criar tal assinatura. Uma assinatura digital eletrônica simples é uma ferramenta para confirmar a autenticidade dos dados eletrônicos pelo remetente. É considerado válido nas seguintes condições:

• o documento eletrônico é assinado com EDS;
• a chave de assinatura eletrónica foi criada de acordo com os requisitos do sistema de informação, que serviu para verificar e enviar mensagens eletrónicas pelo remetente.

Nos documentos normativos e legais, bem como nos contratos, os participantes devem determinar as regras básicas para a utilização de uma assinatura digital eletrônica simples:

• mecanismo de identificação do autor da assinatura em documento eletrônico;
• cumprimento obrigatório dos requisitos de confidencialidade na utilização de assinatura eletrónica pelos responsáveis;
• atendimento às exigências da Lei Federal nº 63-FZ quanto ao uso de assinatura digital eletrônica simples;
• a impossibilidade de aplicação de EDS a documentos secretos do governo.

EP não qualificado reforçado.

Para criar tal assinatura, é utilizado um programa criptográfico que funciona com base em uma chave de assinatura digital eletrônica. Uma assinatura não qualificada aprimorada permite determinar o autor do documento assinado e a presença de alterações na carta após sua assinatura. A utilização de ES não qualificado permite a não utilização de certificado de chave de assinatura digital eletrónica (sujeito ao cumprimento dos requisitos da lei, demais documentos regulamentares e acordos entre o remetente e o destinatário).

EDS qualificado aprimorado.

A peculiaridade desse tipo de assinatura digital eletrônica é a presença de uma chave de verificação especial contida em um certificado qualificado. A formação e verificação de um EDS qualificado aprimorado são realizadas usando meios especiais assinatura eletrônica que atenda aos requisitos da Lei Federal nº 63-FZ.

Os documentos em papel com assinatura manuscrita e os documentos eletrónicos com assinatura qualificada reforçada têm o mesmo valor jurídico (exceto nos casos que reconheçam apenas a assinatura manuscrita, previstos na legislação). A lei também permite o estabelecimento em regulamentos e acordos entre o remetente e o destinatário de requisitos adicionais para documentos eletrônicos assinados com assinatura qualificada aprimorada.

Vamos comparar os tipos considerados de assinatura digital eletrônica por analogia com os familiares significados físicos identificação pessoal:

Um ES simples é semelhante a um crachá - qualquer pessoa não autorizada pode utilizá-lo, portanto a responsabilidade pela segurança dos dados é do proprietário da assinatura.

Um ES não qualificado é semelhante a um passe em uma empresa, embora exista um certo nível de confiança entre as partes da transação.

Um ES qualificado como passaporte é a ferramenta de identificação mais importante, pois oferece a oportunidade de utilizar todos os serviços.

De acordo com o art. 7 da Lei Federal "Sobre Assinatura Eletrônica", os EDS criados de acordo com padrões estrangeiros na Federação Russa pertencem ao tipo de assinatura eletrônica, cujas características correspondem. A emissão de um certificado de chave num Estado estrangeiro não pode ser motivo para não reconhecer a força jurídica de um documento com tal assinatura.

Como e onde obter uma assinatura digital

Passo 1. Selecionando uma assinatura eletrônica.

Primeiro você precisa entender por que precisa de uma assinatura digital eletrônica. Por exemplo, você precisa de uma chave para trabalhar em um site de serviços governamentais. Ou você planeja enviar relatórios a fundos não orçamentários, autoridades fiscais, serviço federal de fiscalização financeira ou de outros órgãos estaduais e municipais. Você também precisará de um EDS para participar de leilões eletrônicos ou trabalhar em plataformas de negociação eletrônica.

Passo 2. Escolha de uma autoridade certificadora.

A lista de centros de certificação onde você pode obter uma assinatura digital eletrônica está localizada no site www.minsvyaz.ru (o recurso oficial da Internet do Ministério das Telecomunicações e Comunicações de Massa). Sobre pagina inicial site na seção “Importante” existe um link ativo “Acreditação de centros de certificação”, após clicar nele se abre uma janela oferecendo o download de um arquivo com a lista atualizada de centros de certificação credenciados. Em 6 de fevereiro de 2018, a lista incluía 469 organizações.

Passos 3 e 4. Preenchimento do requerimento e pagamento do serviço.

Após escolher um centro de certificação conveniente para o local, é necessário preencher e enviar um requerimento para emissão de assinatura digital eletrônica. Caso não seja possível preencher o requerimento no site, você pode escrevê-lo manualmente e transferi-lo para os funcionários do centro de certificação. No aplicativo, você deve especificar o nome completo do destinatário do EDS, endereço de e-mail e telefone de contato. Em seguida, pague pelo serviço.

Passo 5. Envio de documentos ao centro de certificação.

Simultaneamente à apresentação de um pedido de criação de um certificado de chave de assinatura digital eletrónica, é necessária a transferência de um determinado pacote de documentos.

Lista de documentos para obtenção de assinatura digital eletrônica por pessoas jurídicas

• certificado de registro estadual de pessoa jurídica (OGRN);
• certificado de registro na autoridade fiscal (TIN);
• extrato do Cadastro Único Estadual de Pessoas Jurídicas (original ou cópia autenticada). Os requisitos para o prazo de prescrição de um extrato diferem dos centros de certificação, mas geralmente não é superior a 6 meses a partir do momento em que foi recebido;
• certificado de seguro de pensões do Estado (SNILS) do futuro proprietário da assinatura digital eletrónica.

Caso o titular do EDS seja o titular da pessoa jurídica, também será necessário anexar documento comprovativo de sua nomeação para o cargo, certificado pela assinatura e carimbo da empresa.

Se estiver prevista a transferência da autoridade de titularidade de um EDS não para um gerente, mas para um funcionário da empresa (representante autorizado), é necessário anexar ao pacote de documentos uma procuração para transferir as funções relevantes para este funcionário, certificado pela assinatura e selo da empresa. Se este funcionário enviar todos Documentos exigidos e receber pessoalmente um EDS, também será necessário fornecer cópias das páginas de seu passaporte.

Lista de documentos para empreendedores individuais (IP)

• pedido de emissão de assinatura digital eletrônica;
• certificado de registro estadual de empresário individual;
• certificado de registro na autoridade fiscal (TIN);
• extrato do USRIP (original ou cópia autenticada). Os requisitos para o prazo de prescrição de um extrato de diferentes centros de certificação podem não coincidir, mas normalmente não é superior a 6 meses a partir do momento em que foi recebido;
• cópias das páginas do passaporte do futuro titular da assinatura digital eletrônica: com foto e dados cadastrais;
• certificado de seguro de pensão do Estado (SNILS).

Caso esteja previsto que a assinatura digital eletrônica do IP seja recebida por um representante autorizado do futuro proprietário do ES, uma procuração com firma reconhecida do representante especificado também deverá ser apresentada ao centro de certificação.

Numa situação em que o futuro titular de uma assinatura digital eletrónica pretenda delegar todas as responsabilidades pela sua obtenção ao seu representante autorizado, juntamente com o pacote principal de documentos, deverá fornecer o passaporte deste cidadão.

Etapa 6. Obtenção de um ES.

Para obter uma assinatura digital eletrônica, você deve fornecer ao centro de certificação selecionado os originais de todos os documentos. Após verificação das informações, elas são devolvidas ao proprietário do ES.

O preço do serviço de criação de assinatura digital eletrônica pode variar dependendo dos seguintes fatores:

• tipo e abrangência do PE;
• características de preços no centro de certificação;
• localização da autoridade de certificação.

O custo final do serviço consiste em vários componentes:

• registro e emissão de certificado de chave de assinatura digital;
• concessão de direitos para trabalhar com software especializado;
• disponibilização de programas para trabalho com assinatura digital eletrônica;
• transferência da chave de segurança do portador de assinatura digital eletrônica;
• suporte técnico ao trabalhar com uma assinatura digital eletrônica.

Por exemplo, o custo total de um EDS para trabalhar no comércio eletrônico é de 5 a 7 mil rublos.

O prazo para emissão de assinatura digital eletrônica pode variar de uma hora a uma semana. Tudo depende da rapidez no arquivamento de documentos e no pagamento dos serviços. Na maioria dos centros de certificação, o EDS é produzido em 2 a 3 dias úteis. Lembre-se que os extratos do Cadastro Único Estadual de Pessoas Jurídicas ou EGRIP são emitidos pelo fisco no prazo de 5 dias úteis. Portanto, vale a pena adquiri-los com antecedência.

O período de validade da assinatura digital eletrônica é de 1 ano. Portanto, precisa ser reeditado todos os anos. Isso pode ser feito em qualquer autoridade de certificação (não necessariamente onde você o recebeu).

Como a proteção confiável da assinatura digital eletrônica é implementada

Um dos problemas urgentes aplicação prática criptografia moderna - garantindo a proteção das informações da assinatura digital eletrônica, em primeiro lugar, a chave ES. Alto nível a força dos algoritmos criptográficos, inclusive os desenvolvidos em nosso país, obriga os invasores a roubar um arquivo de assinatura digital eletrônica com chaves, pois esta é a única forma possível de hackear. A seleção simples de teclas leva muito tempo e requer recursos de computação impressionantes.

De acordo com GOST R 34.10-2001, a chave secreta de uma assinatura digital eletrônica é de 256 bits de informação. Os invasores roubam esses dados dos arquivos do usuário, obtê-los da RAM ou do registro do sistema. Sobre mercado paralelo uma verdadeira indústria de hackers foi formada para a produção de software para roubar chaves secretas EDS: vários trojans, rootkits, vírus, exploits. Para roubar a chave não é necessário ser profissional, basta apenas ter acesso ao pendrive onde ela está armazenada.

Os criadores de ferramentas de assinatura digital eletrônica estão tentando fornecer a proteção necessária de chaves secretas. Existem diferentes métodos para criptografar a chave EDS armazenada no arquivo. O usuário cria uma senha que, com base em um algoritmo especial, se transforma em uma verdadeira chave de criptografia criptográfica. Com sua ajuda, o contêiner da chave é criptografado. A desvantagem é que esse tipo de proteção pode ser quebrado rapidamente usando um método simples de força bruta de senha. Um bônus para os invasores é um número ilimitado de tentativas e o único critério de correção (correspondência das chaves secreta e pública).

É tão fácil roubar uma chave secreta de assinatura digital do registro do sistema quanto de um contêiner de chave em um arquivo, porque o próprio registro também está no arquivo.

Existe outra dificuldade em garantir a segurança do armazenamento da chave EDS. Na sala de cirurgia Sistema Windows existe uma certa “vinculação” do contêiner de chave. Por exemplo, durante a primeira conexão, uma mídia FLASH com EDS é definida como "Disco removível G" e durante o trabalho subsequente como "Disco removível K". Como resultado, o provedor de criptografia não encontrará os contêineres de chave no novo caminho.

Além disso, se a chave secreta EDS estiver no registro do sistema, pode ser difícil transferi-la para outro computador.

Assim, garantir o armazenamento seguro da chave EDS está associado a muitas dificuldades. Mas quais são as consequências de roubar um contêiner de chave? Considere as opções potenciais para tal situação hipotética:

1. Os invasores podem roubar dinheiro da conta por meio do sistema bancário remoto (RBS). É quase impossível comprovar as ações ilegais dos hackers, pois todas as transações bancárias possuem sua assinatura digital eletrônica.
2. O sistema de segurança RBS impediu transferências não autorizadas Dinheiro bloqueando o acesso à conta bancária. O dinheiro está intacto, mas talvez transações importantes tenham falhado devido a atrasos no pagamento.
3. Seus concorrentes roubaram a chave EDS e assinaram uma oferta ou lance comercial falso. Como resultado, você gastará tempo e esforço para esclarecer a situação e sua empresa será suspensa do comércio eletrônico por má-fé.
4. Os invasores assinaram um relatório falso usando a chave EDS roubada e sua organização foi multada.

Assim, o roubo de uma chave de assinatura digital eletrônica ameaça com perda de recursos financeiros e de tempo, deterioração da reputação comercial, interrupção de transações importantes, bloqueio de contas bancárias e outras perdas potenciais e muito reais. Mesmo que você comprove o roubo de dados eletrônicos, é muito provável que o banco se recuse a devolver o dinheiro roubado.

Os hackers podem não arriscar e, em vez de roubar o contêiner da chave, podem simplesmente excluí-lo. Isso levará à perda de benefícios para o titular do EDS (perda de receitas, interrupção de transações) e despesas imprevistas (perda de tempo, pagamento por serviços de reemissão do EDS).

Conformidade com as regras segurança da informação ao utilizar e armazenar uma assinatura digital eletrónica, é uma garantia do bom funcionamento de todos os participantes na gestão eletrónica de documentos (bancos, pregões, proprietários de EDS, operadores de relatórios, etc.).

Deve-se ter em mente que o titular da assinatura eletrônica não deve ceder sua chave secreta a outros funcionários da empresa. Afinal, só ele é responsável por todos os documentos assinados pelos colegas. Havendo necessidade, deverá ser feita assinatura digital eletrônica separadamente para cada funcionário que tenha direito a assinar documentos.

Já falamos sobre a insegurança de armazenar um contêiner de chave em um arquivo. Para eliminar as deficiências de tal sistema de criptografia, eles criaram uma mídia alienável com seu próprio sistema de arquivos criptografados, no qual o contêiner da chave está localizado. Tal sistema possui seu próprio microprocessador de controle, o que limita o número de tentativas de hacking.

Por exemplo, cartões inteligentes e tokens USB são populares na prática doméstica. Para ativar a chave EDS secreta, o usuário insere um código PIN individual. Após várias tentativas de entrada incorretas, o acesso é bloqueado, o que limita as possibilidades de invasão por invasores.

Os tokens USB são populares na Rússia devido a uma série de características: confiabilidade, facilidade de uso e baixo custo. Assim, após a entrada no mercado do projeto Rutoken-2001, vários milhões de tokens USB desta empresa foram vendidos. Em algumas áreas (por exemplo, na apresentação de declarações fiscais e no comércio eletrônico), os Rutokens são considerados o padrão para o armazenamento seguro de contêineres de chaves.

Uma variação aprimorada da tecnologia de token USB funciona em algoritmos criptográficos imediatamente "integrados" na operadora. A chave secreta não está carregada em BATER computador, o que elimina a possibilidade de malware roubá-lo diretamente da memória do computador. Esta tecnologia é amplamente utilizada em vários instituições financeiras, em particular, em sistemas RBS de organizações, onde as perdas potenciais por roubo da chave secreta de uma assinatura digital eletrônica são especialmente altas.

Como a assinatura digital é autenticada

A verificação de uma assinatura digital eletrônica é realizada por meio de serviços online abertos e programas especializados. Os resultados da verificação permitem saber quem assinou o documento eletrónico, autenticar a assinatura e identificar alterações não autorizadas na mensagem.

Muitos sistemas de informação modernos verificam automaticamente a autenticidade de uma assinatura digital eletrônica. Assim, no site da Rosreestr (rosreestr.ru), você pode determinar facilmente a autenticidade de um EDS em um documento recebido em resposta a uma solicitação do usuário. Para fazer isso, você precisa fazer upload do arquivo recebido com a extensão *.sig para um serviço especial do site e clicar no botão.

Ferramentas de verificação semelhantes podem ser encontradas em outros sistemas de informação, por exemplo, em plataformas de negociação eletrônica. Os centros de certificação também fornecem aos usuários serviços de autenticação de assinatura digital. Além disso, os interessados ​​​​podem realizar esse procedimento por conta própria com o auxílio de programas especializados.

Durante a verificação de um documento eletrônico, são comparadas a assinatura digital eletrônica nele contida, a chave EDS recebida do remetente e o certificado CEP. Caso o destinatário do e-mail não esteja cadastrado em nenhum dos centros de certificação existentes, ele poderá verificar por conta própria a autenticidade da assinatura digital:

1. Em serviços online abertos como KonturCrypto, etc.
2. Instale o programa CryptoPro CSP em um computador pessoal ou de trabalho e baixe nele o banco de dados de certificados dos diretórios públicos dos centros de certificação.
3. No site www.gosuslugi.ru/pgu/eds, você pode verificar a assinatura digital eletrônica emitida apenas por CAs que foram credenciadas pelo estado.
4. Maioria jeito difícil- se você tem conhecimento profissional e habilidades e, em seguida, calcule funções hash com base no algoritmo de criptografia.

Vamos dar uma olhada nos três primeiros métodos, pois são mais acessíveis para usuários sem conhecimento de informática.

Verificando CryptoPro CSP.

No site oficial do desenvolvedor, você pode baixar uma versão demo do programa e usá-lo gratuitamente por duas semanas, e depois comprar versão completa. O CryptoPro CSP permite não apenas verificar EDS em documentos eletrônicos, mas também assinar seus próprios arquivos criados em MS Word. Depois de instalar o programa no menu suspenso, você pode selecionar a ação desejada.

No futuro, o CryptoPro CSP verificará de forma independente as assinaturas em todos os documentos abertos certificados pela EDS. Se for bem-sucedido, o usuário verá uma janela pop-up

Se durante a verificação o programa avisar que o certificado do documento eletrônico recebido não pode ser rastreado até o diretório raiz, o usuário deverá movê-lo para o armazenamento

Verificação de assinatura digital eletrónica no Portal de Serviços Públicos.

No site gosuslugi.ru, você pode verificar facilmente o seu próprio ES e o ES qualificado recebido do remetente em um documento eletrônico e seu certificado. O serviço online do site funciona tanto com arquivos com extensão *.sig quanto com documentos de texto, em cujo corpo está embutido um EDS.

Se o certificado e o ES tiverem sido verificados, aparece a mensagem "Válido". Caso contrário, o serviço revela o motivo: “Certificado revogado” ou “Falha na verificação”.

Com a ajuda deste serviço, você pode verificar facilmente o CEP. Em ambos os casos, a verificação ocorre apenas em relação às assinaturas qualificadas, uma vez que seus certificados-chave estão localizados em registros abertos de centros de certificação. A probabilidade de um documento ter uma assinatura digital inválida é extremamente baixa, uma vez que as CAs controlam a validade dos seus certificados.

Causas do funcionamento incorreto da assinatura digital eletrônica e como eliminá-las

A maioria dos usuários das plataformas de negociação eletrônica enfrenta dificuldades devido ao funcionamento incorreto da assinatura digital eletrônica. Tais problemas podem surgir no momento mais inoportuno, por exemplo, durante a negociação, o que levará a resultados indesejáveis:

• o pedido de participação no concurso não será apresentado atempadamente;
• o participante perde o leilão eletrônico;
• não será assinado contrato de prestação de serviços a autoridades públicas.

Dificuldades típicas ao trabalhar com assinatura digital eletrônica:

1. O certificado do participante da licitação não fica visível na plataforma de negociação eletrônica.
2. Não existe possibilidade técnica de assinar um documento eletrónico.
3. Ao tentar entrar na plataforma eletrônica, o usuário recebe uma mensagem de erro.

Na prática, existem outros problemas, mas consideraremos formas de resolver os mais populares deles.

O certificado da chave de assinatura não fica visível no site quando você tenta fazer login.

Isto pode ser devido à ação simultânea de vários fatores:

• O certificado da chave EDS está configurado incorretamente;
• O navegador da Internet não funciona corretamente;
• não há certificado raiz de CA.

Como resolver um problema?

Primeiramente verifique se a instalação da parte pública do certificado no computador por meio do programa CryptoPro foi concluída corretamente. Certifique-se também de que o seu sistema operacional suporta a versão do software instalado no seu computador. Em seguida, nas configurações do navegador, adicione os endereços de e-mail das plataformas de negociação à categoria confiável, habilitando todos os controles ActiveX. E no final, instale o certificado raiz da CA que emitiu a assinatura digital para autoridades de certificação raiz confiáveis.

Uma assinatura eletrônica apresenta um erro ao assinar documentos.

Esse problema pode ocorrer pelos seguintes motivos:

• sua versão do CryptoPro expirou;
• você inseriu mídia com um certificado diferente.

Como corrigi-lo?

Obtenha uma nova licença da CA, abra o programa CryptoPro em seu computador e insira os dados da licença.

Se o assunto for na mídia de assinatura digital, verifique todos os contêineres fechados nos conectores USB e o correto carregamento do certificado necessário.

O sistema apresenta erro ao entrar na plataforma eletrônica.

As raízes deste problema podem estar nas causas discutidas anteriormente. Normalmente surgem dificuldades devido à instalação incorreta da biblioteca Capicom. Para corrigir o problema, verifique se esta biblioteca está instalada em seu computador e se você copiou dois arquivos de sistema com extensão .dll em um dos Pastas do Windows, ao usar um sistema de 64 bits.

Um estudo preliminar das instruções de instalação e configuração de uma assinatura digital eletrônica ajudará a evitar o descrito situações problemáticas. Se ainda tiver dificuldades ao trabalhar com EDS, pode contactar os profissionais da nossa empresa.

Na Rússia, três tipos de assinaturas podem ser usados ​​no gerenciamento eletrônico de documentos: simples, aprimorada não qualificada e aprimorada qualificada. Vejamos como eles diferem entre si, em que condições são equivalentes aos manuscritos e conferem força jurídica aos arquivos assinados.

Assinatura eletrônica simples ou PES

Uma assinatura simples é familiar a todos, códigos de acesso de SMS, códigos de raspadinhas, pares “login-senha” em contas pessoais sites e e-mail. Uma assinatura simples é criada por meio do sistema de informação em que é utilizada e confirma que a assinatura eletrônica foi criada por uma determinada pessoa.

Onde é usado?

A assinatura eletrónica simples é mais frequentemente utilizada em operações bancárias, bem como para autenticação em sistemas de informação, para recepção de serviços públicos, para certificação de documentos no âmbito de um sistema de gestão eletrónica de documentos corporativo (doravante denominado EDF).

Uma simples assinatura eletrônica não pode ser utilizada na assinatura de documentos eletrônicos ou em um sistema de informação que contenha segredos de Estado.

Força legal

Uma assinatura simples é equiparada a uma assinatura manuscrita se for regulamentada por um ato jurídico regulamentar separado ou se tiver sido celebrado um acordo entre os participantes do FED, onde está escrito:

• regras pelas quais um signatário é determinado pela sua simples assinatura electrónica.
• a obrigação do utilizador de manter a confidencialidade da parte privada da chave PES (por exemplo, a palavra-passe no par “login-senha” ou o código SMS enviado para o telefone).

Em muitos sistemas de informação, o utilizador deve primeiro verificar a sua identidade durante uma visita ao operador do sistema para que o seu PES tenha força legal no futuro. Por exemplo, para obter uma confirmação conta no portal dos Serviços do Estado, você precisa comparecer pessoalmente a um dos centros de registro com documento de identidade.

Assinatura eletrônica não qualificada ou NEP

Uma assinatura eletrônica não qualificada aprimorada (doravante denominada NES) é criada usando programas criptográficos usando a chave privada da assinatura eletrônica. O NEP identifica a identidade do proprietário e também permite verificar se foram feitas alterações no arquivo desde o seu envio.

Uma pessoa recebe duas chaves de assinatura eletrônica em um centro de certificação: privada e pública. A chave privada é armazenada em um porta-chaves especial com um código PIN ou no computador do usuário - ela é conhecida apenas pelo proprietário e deve ser mantida em segredo. Utilizando a chave privada, o proprietário gera assinaturas eletrônicas com as quais assina documentos.

A chave pública da assinatura eletrônica está disponível para todos com quem seu titular realiza EDI. Está associado a uma chave privada e permite que todos os destinatários do documento assinado verifiquem a autenticidade do ES.

O fato de a chave pública pertencer ao proprietário da chave privada está escrito no certificado de assinatura eletrônica. O certificado também é emitido por uma autoridade de certificação. Mas ao usar o NEP, o certificado não pode ser criado. Os requisitos para a estrutura de um certificado não qualificado não estão estabelecidos na Lei Federal nº 63-FZ “Sobre Assinatura Eletrônica”.

Onde é usado?

O NEP pode ser utilizado para EDI interno e externo, desde que as partes tenham acordado previamente.

Força legal

Os participantes do EDI deverão cumprir condições adicionais para que os documentos eletrônicos certificados pelo NEP sejam considerados equivalentes aos documentos em papel com assinatura manuscrita. As partes devem necessariamente celebrar entre si um acordo sobre as regras de utilização da NEP e o reconhecimento mútuo da sua força jurídica.

O artigo fornece respostas às perguntas: “Como é uma assinatura eletrônica”, “Como funciona um EDS”, são consideradas suas capacidades e principais componentes, e um visual instrução passo a passo o processo de assinatura de um arquivo com assinatura eletrônica.

O que é uma assinatura eletrônica?

A assinatura eletrónica não é um objeto recolhível, mas sim um requisito documental que permite confirmar a pertença do EDS ao seu titular, bem como registar o estado da informação/dados (presença ou ausência de alterações) num documento eletrônico a partir do momento em que foi assinado.

Referência:

O nome abreviado (de acordo com a lei federal nº 63) é ES, mas mais frequentemente é usada a abreviatura desatualizada EDS (assinatura digital eletrônica). Isto, por exemplo, facilita a interação com motores de busca na Internet, uma vez que ES também pode significar fogão elétrico, locomotiva elétrica de passageiros, etc.

De acordo com a legislação da Federação Russa, uma assinatura eletrônica qualificada equivale a uma assinatura manuscrita com pleno valor legal. Além dos qualificados na Rússia, existem mais dois tipos de EDS:

- não qualificado - garante o significado jurídico do documento, mas somente após a celebração de acordos adicionais entre os signatários sobre as regras de aplicação e reconhecimento do EDS, permite confirmar a autoria do documento e controlar sua invariabilidade após a assinatura,

- simples - não confere valor jurídico ao documento assinado até a celebração de acordos adicionais entre os signatários sobre as regras de aplicação e reconhecimento do EDS e sem observar as condições legalmente fixadas para a sua utilização (deve constar uma assinatura eletrónica simples em o documento em si, sua chave deve ser aplicada de acordo com os requisitos do sistema de informação onde é utilizado, e assim sucessivamente de acordo com a Lei Federal 63, artigo 9º), não garante sua invariabilidade a partir do momento da assinatura, permite confirmar a autoria. Seu uso não é permitido em casos relacionados a segredos de Estado.

Possibilidades de assinatura eletrônica

A EDS fornece aos indivíduos interação remota com sistemas governamentais, educacionais, médicos e outros sistemas de informação através da Internet.

Para pessoas jurídicas, a assinatura eletrônica dá acesso à participação em negociações eletrônicas, permite organizar a gestão eletrônica de documentos (EDM) juridicamente significativos e enviar relatórios eletrônicos às autoridades reguladoras.

As oportunidades proporcionadas pelo EDS aos usuários tornaram-no um componente importante Vida cotidiana tanto cidadãos comuns como representantes de empresas.

O que significa a frase "o cliente recebeu uma assinatura eletrônica"? Qual é a aparência de um ECP?

A assinatura em si não é um objeto, mas o resultado de transformações criptográficas do documento assinado, e não pode ser emitida “fisicamente” em nenhum meio (token, cartão inteligente, etc.). Nem pode ser visto, no verdadeiro sentido da palavra; não se parece com um traço de caneta ou uma impressão figurada. Sobre, Qual é a aparência de uma assinatura eletrônica? contaremos a seguir.

Referência:

Uma transformação criptográfica é uma criptografia construída em um algoritmo que usa uma chave secreta. O processo de restauração dos dados originais após transformação criptográfica sem essa chave, segundo especialistas, deve demorar mais que o prazo de validade das informações extraídas.

A mídia flash é um meio de armazenamento compacto que inclui memória flash e um adaptador (unidade flash USB).

Um token é um dispositivo cujo corpo é semelhante ao de uma unidade flash USB, mas o cartão de memória é protegido por senha. As informações para a criação de um EDS ficam registradas no token. Para trabalhar com ele, você precisa conectar-se ao conector USB do computador e inserir uma senha.

Cartão inteligente é um cartão de plástico, que permite realizar operações criptográficas devido ao microcircuito incorporado nele.

Um cartão SIM com chip é um cartão operador móvel, equipado com um chip especial, no qual uma aplicação java é instalada com segurança na fase de produção, ampliando sua funcionalidade.

Como entender a frase “assinatura eletrônica emitida”, que está firmemente arraigada na discurso coloquial participantes do mercado? O que é uma assinatura eletrônica?

A assinatura eletrônica emitida consiste em 3 elementos:

1 - um meio de assinatura eletrónica, ou seja, uma ferramenta técnica necessária à implementação de um conjunto de algoritmos e funções criptográficas. Pode ser um provedor criptográfico instalado em um computador (CryptoPro CSP, ViPNet CSP) ou um token independente com um provedor criptográfico integrado (Rutoken EDS, JaCarta GOST) ou uma "nuvem eletrônica". Você pode ler mais sobre as tecnologias EDS relacionadas ao uso da “nuvem eletrônica” no próximo artigo do Portal Único de Assinatura Eletrônica.

Referência:

Um provedor de criptografia é um módulo independente que atua como um “intermediário” entre o sistema operacional, que o controla com um determinado conjunto de funções, e um programa ou complexo de hardware que realiza transformações criptográficas.

Importante: o token e os meios de um EDS qualificado nele contido devem ser certificados pelo Serviço Federal de Segurança da Federação Russa de acordo com os requisitos da Lei Federal nº 63.

2 - um par de chaves, que consiste em dois conjuntos impessoais de bytes formados por uma ferramenta de assinatura eletrônica. A primeira delas é a chave de assinatura eletrônica, chamada de “fechada”. É usado para formar a própria assinatura e deve ser mantido em segredo. Colocar uma chave “privada” em um computador e uma unidade flash é extremamente inseguro, em um token é um tanto inseguro, em um token/cartão inteligente/cartão SIM de forma irrecuperável é o mais seguro. A segunda é a chave de verificação de assinatura eletrônica, chamada de “aberta”. Não é mantido em segredo, está inequivocamente vinculado a uma chave “privada” e é necessário para que qualquer pessoa possa verificar a exatidão da assinatura eletrónica.

3 - Certificado de chave de verificação EDS emitido por uma autoridade certificadora (CA). Sua finalidade é associar um conjunto impessoal de bytes da chave “pública” à identidade do titular da assinatura eletrônica (pessoa ou organização). Na prática, é assim: por exemplo, Ivan Ivanovich Ivanov ( Individual) chega ao centro de certificação, apresenta um passaporte e a CA emite-lhe um certificado confirmando que a chave "pública" declarada pertence a Ivan Ivanovich Ivanov. Isto é necessário para evitar um esquema fraudulento, durante a implantação do qual um invasor, no processo de transmissão de um código "aberto", pode interceptá-lo e substituí-lo pelo seu próprio. Assim, o infrator poderá se passar pelo signatário. Futuramente, ao interceptar mensagens e fazer alterações, ele poderá confirmá-las com seu EDS. É por isso que o papel do certificado da chave de verificação de assinatura eletrónica é extremamente importante, cabendo ao centro de certificação a responsabilidade financeira e administrativa pela sua correção.

De acordo com a legislação da Federação Russa, existem:

- “certificado de chave de verificação de assinatura eletrônica” é gerado para uma assinatura digital não qualificada e pode ser emitido por um centro de certificação;

— o “certificado de chave de verificação de assinatura digital qualificada” é gerado para uma assinatura digital qualificada e só pode ser emitido por uma CA acreditada pelo Ministério das Telecomunicações e Comunicações de Massa.

Convencionalmente, pode-se indicar que as chaves para verificação de uma assinatura eletrônica (conjuntos de bytes) são conceitos técnicos, e o certificado de chave “pública” e o centro de certificação são conceitos organizacionais. Afinal, o CA é uma unidade estrutural responsável pela correspondência das chaves “abertas” e dos seus proprietários no âmbito das suas atividades financeiras e económicas.

Resumindo o que foi dito acima, a frase “o cliente recebeu uma assinatura eletrônica” consiste em três termos:

1. O cliente adquiriu uma ferramenta de assinatura eletrônica.
2. Ele recebeu uma chave “aberta” e “privada”, com a qual é gerado e verificado um EDS.
3. A CA emitiu um certificado ao cliente confirmando que a chave “pública” do par de chaves pertence a esta pessoa específica.

Problema de segurança

Propriedades exigidas de documentos assinados:

• integridade;
• autenticidade;
• autenticidade (autenticidade; “não repúdio” da autoria da informação).

Eles são fornecidos por algoritmos e protocolos criptográficos, bem como soluções de software e hardware-software baseados neles para a formação de uma assinatura eletrônica.

Com um certo grau de simplificação, podemos dizer que a segurança da assinatura electrónica e dos serviços nela prestados assenta no facto de as chaves “privadas” da assinatura electrónica serem mantidas secretas, de forma protegida, e de cada o usuário os mantém com responsabilidade e não permite incidentes.

Observação: ao adquirir um token, é importante alterar a senha de fábrica, para que ninguém possa acessar o mecanismo EDS, exceto seu proprietário.

Como assinar um arquivo com assinatura eletrônica?

Para assinar um arquivo de assinatura digital, você precisa realizar várias etapas. Como exemplo, consideremos como colocar uma assinatura eletrônica qualificada em um certificado de marca do Portal Unificado de Assinatura Eletrônica em formato .pdf. Preciso:

1. Clique no documento com o botão direito do mouse e selecione o provedor de criptografia (neste caso, CryptoARM) e a coluna “Assinar”.

2. Passe o caminho nas caixas de diálogo do provedor criptográfico:

Nesta etapa, se necessário, você pode selecionar outro arquivo para assinatura ou pular esta etapa e ir diretamente para a próxima caixa de diálogo.

Os campos Codificação e Extensão não requerem edição. Abaixo você pode escolher onde o arquivo assinado será salvo. No exemplo, o documento com assinatura digital será colocado na área de trabalho (Desktop).

No bloco "Propriedades da assinatura", selecione "Assinado", se necessário, você pode adicionar um comentário. Outros campos podem ser excluídos/selecionados conforme desejado.

No armazenamento de certificados, selecione aquele que você precisa.

Após verificar se o campo “Proprietário do Certificado” está correto, clique no botão “Avançar”.

Nesta caixa de diálogo é realizada a verificação final dos dados necessários à criação de uma assinatura eletrônica e, após clicar no botão “Concluir”, deverá aparecer a seguinte mensagem:

A conclusão bem-sucedida da operação significa que o arquivo foi convertido criptograficamente e contém o requisito que fixa a imutabilidade do documento após sua assinatura e garante seu significado jurídico.

Então, como é uma assinatura eletrônica em um documento?

Por exemplo, pegamos um arquivo assinado com assinatura eletrônica (salvo no formato .sig) e o abrimos por meio de um provedor de criptografia.

Fragmento da área de trabalho. À esquerda: um arquivo assinado com ES, à direita: um provedor criptográfico (por exemplo, CryptoARM).

A visualização da assinatura eletrônica no próprio documento quando este é aberto não é fornecida por ser um requisito. Mas há exceções, por exemplo, a assinatura eletrônica da Receita Federal mediante recebimento de extrato do Cadastro Único Estadual de Pessoas Jurídicas / EGRIP por meio serviço on-line exibido condicionalmente no próprio documento. A captura de tela pode ser encontrada em

Mas e no final "parece" EDS, ou melhor, como é indicado o fato da assinatura no documento?

Ao abrir a janela “Gerenciamento de dados assinados” através do provedor de criptografia, você pode ver informações sobre o arquivo e a assinatura.

Ao clicar no botão “Visualizar”, aparece uma janela contendo informações sobre a assinatura e o certificado.

A última captura de tela mostra claramente como é uma assinatura digital em um documento"de dentro".

Você pode comprar uma assinatura eletrônica em .

Tire outras dúvidas sobre o tema do artigo nos comentários, os especialistas do Portal Unificado de Assinatura Eletrônica com certeza responderão.

O artigo foi elaborado pelos editores do Portal Único do site de Assinatura Eletrônica a partir de materiais da SafeTech.

Com utilização total ou parcial do material, um hiperlink para www..

Tópico "Assinatura Digital Eletrônica"

1. O conceito de assinatura digital eletrônica e seu suporte técnico

2. Apoio organizacional e jurídico da assinatura digital eletrônica.

1. O conceito de assinatura digital eletrônica e sua técnica

segurança

No mundo dos documentos eletrônicos, assinar um arquivo com símbolos gráficos não faz sentido, pois um símbolo gráfico pode ser falsificado e copiado inúmeras vezes. Assinatura Digital Eletrônica (EDS)é um análogo eletrônico completo de uma assinatura convencional em papel, mas é implementado não com o auxílio de imagens gráficas, mas com o auxílio de transformações matemáticas do conteúdo do documento.

As características do algoritmo matemático para criação e verificação de um EDS garantem a impossibilidade de falsificação de tal assinatura por pessoas não autorizadas,

EDS - atributo de documento eletrônico destinado a proteger este documento contra falsificação, obtido a partir da transformação criptográfica da informação por meio da chave privada EDS e que permite identificar o titular da chave, e

estabelecer também a ausência de distorção de informações no documento eletrônico.

EDS é uma certa sequência de caracteres,

que é formado a partir da transformação do documento original (ou qualquer outra informação) por meio de um software especial. O EDS é adicionado ao documento original quando encaminhado. O EDS é único para cada documento e não pode ser transferido para outro documento. A impossibilidade de falsificar um EDS é garantida por uma quantidade significativa de cálculos matemáticos necessários para

a seleção dela. Assim, ao receber um documento assinado com EDS,

O uso de EDS fornece: simples resolução de disputas (registro de todas as ações do participante do sistema em tempo hábil),

a impossibilidade de alterar a inscrição do participante antes da data final da compra.

Além disso, a EDS contribui para: reduzindo o custo de envio de documentos, acesso rápido aos leilões realizados em qualquer lugar da Rússia.

Usar uma assinatura eletrônica é bastante simples. Nenhum conhecimento, habilidades e habilidades especiais são necessários para isso. Cada usuário EDS participante da troca de documentos eletrônicos,

gerado público e privado único (secreto)

chaves criptográficas.

Uma chave privada é um conjunto fechado e único de informações com volume de 256 bits, armazenado em local inacessível a outras pessoas em um disquete,

cartão inteligente, token ru. A chave privada só funciona quando emparelhada com a chave pública.

Chave pública - utilizada para verificar a assinatura digital dos documentos/arquivos recebidos. Tecnicamente, este é um conjunto de informações de 1024 bits.

A chave pública é transmitida junto com sua carta, assinada com EDS.

Uma segunda via da chave pública é enviada ao Centro de Certificação, onde foi criada a biblioteca de chaves públicas EDS. A biblioteca da Autoridade Certificadora fornece registro e armazenamento seguro de chaves públicas, a fim de evitar tentativas de falsificação ou distorção.

Você estabelece sua assinatura digital eletrônica no documento eletrônico. Ao mesmo tempo, com base na chave privada secreta do EDS e no conteúdo do documento, alguns grande número, que é o eletrônico

a assinatura digital deste usuário neste documento específico. Esse número é adicionado ao final do documento eletrônico ou armazenado em um arquivo separado.

A assinatura inclui as seguintes informações: nome

arquivo da chave pública da assinatura, informações sobre quem formou a assinatura, data de geração da assinatura.

O usuário que recebeu o documento assinado e possui a chave pública EDS do remetente realiza uma transformação criptográfica inversa com base no texto do documento e na chave pública do remetente, o que garante a verificação da assinatura digital eletrônica do remetente. Se o EDS do documento estiver correto, significa que o documento está realmente assinado pelo remetente e nenhuma alteração foi feita no texto do documento. Caso contrário, será exibida uma mensagem informando que o certificado do remetente não é válido.

Termos e definições: Documento eletrônico- um documento em

em que as informações são apresentadas em formato digital eletrônico.

Assinando o proprietário do certificado de chave - pessoa física em cujo nome o centro de certificação emitiu um certificado de chave de assinatura e que possui a correspondente chave privada da assinatura digital eletrônica, que permite utilizar ferramentas de assinatura digital eletrônica para criar sua própria assinatura digital eletrônica em documentos eletrônicos

(assinar documentos eletrônicos).

Meios de assinatura digital eletrônica - hardware e (ou)

ferramentas de software que garantem a implementação de pelo menos uma das seguintes funções - criação de uma assinatura digital eletrônica em um documento eletrônico usando a chave privada da assinatura digital eletrônica, confirmando a autenticidade da assinatura digital eletrônica em um documento eletrônico usando a chave pública da assinatura digital eletrônica, criando chaves privadas e públicas de assinaturas digitais eletrônicas.

Certificado de meio de assinatura digital eletrônica - um documento em papel emitido de acordo com as regras do sistema de certificação para confirmar a conformidade dos meios de assinatura eletrónica digital com os requisitos estabelecidos.

Certificado de chave de assinatura- um documento em papel ou um documento eletrônico com assinatura digital eletrônica de uma pessoa autorizada do centro de certificação, que inclui a chave pública da assinatura digital eletrônica e que é emitida pelo centro de certificação a um participante do sistema de informação para confirmação a autenticidade da assinatura digital eletrônica e identificar o proprietário do certificado da chave de assinatura.

Assinando usuário do certificado de chave - Individual,

usar informações sobre o certificado de chave de assinatura recebido no centro de certificação para verificar se a assinatura digital eletrônica pertence ao proprietário do certificado de chave de assinatura.

Sistema de informação pública - um sistema de informação aberto à utilização por todas as pessoas singulares e colectivas e cujos serviços não podem ser negados a essas pessoas.

Sistema de informações corporativas - um sistema de informação, cujos participantes podem ser um círculo limitado de pessoas,

determinado pelo seu proprietário ou por acordo dos participantes deste

sistema de informação.

Centro de verificação- pessoa jurídica que exerce as seguintes funções: produção de certificados de chave de assinatura, criação de chaves de assinatura digital eletrônica a pedido dos participantes do sistema de informação com garantia de guarda da chave secreta da assinatura digital eletrônica, suspensão e renovação da chave de assinatura certificados, bem como seu cancelamento,

manter o registo de certificados de chave de assinatura, garantindo a sua relevância e a possibilidade de livre acesso aos mesmos pelos participantes nos sistemas de informação, verificando a unicidade das chaves públicas de assinaturas digitais eletrónicas no registo de certificados de chave de assinatura e no arquivo do centro de certificação, emissão de certificados de chave de assinatura na forma de documentos em papel e (ou) na forma de eletrônico

documentos com informações sobre o seu funcionamento, implementação, a pedido dos utilizadores, de certificados de chaves de assinatura, confirmando a autenticidade de uma assinatura digital eletrónica num documento eletrónico em relação aos certificados de chaves de assinatura que lhes são emitidos, proporcionando aos participantes em sistemas de informação com outros serviços relacionados ao uso de assinaturas digitais eletrônicas.

Ao mesmo tempo, o centro de certificação deve ter as capacidades materiais e financeiras necessárias que lhe permitam assumir responsabilidade civil perante os utilizadores de certificados de chave de assinatura pelas perdas que possam incorrer devido à imprecisão das informações contidas nos certificados de chave de assinatura.

2. Apoio organizacional e jurídico do eletrônico

assinatura digital.

O suporte jurídico de uma assinatura digital eletrónica deve ser entendido não apenas como um conjunto de atos jurídicos,

fornecendo o regime jurídico das ferramentas EDS e EDS. Este é um conceito muito mais amplo. Apenas começa com Lei Estadual sobre assinatura digital eletrônica, mas se desenvolve e posteriormente cobre todas as questões teóricas e práticas relacionadas ao comércio eletrônico em geral.

A primeira lei de assinatura digital eletrônica do mundo foi aprovada em março de 1995 pela Assembleia Legislativa do Estado de Utah (EUA) e aprovada pelo Governador do Estado.

A lei é chamada de Lei de Assinatura Digital de Utah. Os seguidores mais próximos de Utah foram os estados da Califórnia, Flórida, Washington,

onde os atos legislativos correspondentes foram rapidamente adotados.

Os seguintes foram proclamados como principais objetivos da primeira lei de assinatura eletrônica:

Minimização de danos decorrentes de eventos de uso ilegal e falsificação de assinatura digital eletrônica;

fornecer base legal para as atividades de sistemas e órgãos de certificação e verificação de documentos de natureza eletrônica;

apoio jurídico ao comércio eletrónico (transações comerciais realizadas com recurso a tecnologia informática);

dar caráter jurídico a algumas normas técnicas,

anteriormente introduzido pela União Internacional de Telecomunicações (ITU - União Internacional de Telecomunicações) e pelo Instituto Nacional de Padrões dos EUA (ANSI - American National Standards Institute), bem como as recomendações do Internet Activity Board (IAB),

expresso em RFC 1421 - RFC 1424.

A lei consiste em cinco partes:

A primeira parte apresenta os conceitos básicos e definições relacionadas ao uso de EDS e ao funcionamento das ferramentas EDS. Discute também os requisitos formais para o conteúdo de um certificado eletrônico que certifica que uma chave pública pertence a uma pessoa física ou jurídica.

A segunda parte da lei é dedicada ao licenciamento e regulamentação legal dos centros de certificação.

Em primeiro lugar, estipula as condições que as pessoas singulares e colectivas devem satisfazer para obter a licença adequada, o procedimento para a sua obtenção, as restrições à licença e as condições para a sua retirada. Um ponto importante desta seção são as condições para reconhecer a validade dos certificados emitidos por autenticadores não licenciados, se os participantes da transação eletrônica manifestarem sua confiança conjunta e a refletirem em seu contrato. Na verdade, o regime jurídico do modelo de certificação em rede, que discutimos acima, é aqui fixado.

A terceira parte da lei define as responsabilidades das autoridades certificadoras e dos proprietários de chaves. Em particular, são considerados aqui os seguintes:

procedimento para emissão de certificado;

o procedimento para apresentação de certificado e chave pública;

condições de armazenamento da chave privada;

ações do proprietário do certificado em caso de comprometimento de um privado

procedimento de revogação de certificado;

período de validade do certificado;

condições para isentar o centro de certificação de responsabilidade pelo uso indevido do certificado e das ferramentas EDS;

o procedimento para a criação e utilização de fundos de seguros,

destinado a compensar danos a terceiros resultantes do uso não autorizado do EDS.

A quarta parte da lei é dedicada diretamente à assinatura digital.

Sua principal disposição é que um documento assinado com assinatura digital tenha a mesma validade de um documento normal,

assinado com assinatura manuscrita.

EM A quinta parte da lei trata das questões de interação dos centros de certificação com as autoridades administrativas, bem como do procedimento de funcionamento dos chamados repositórios - bases de dados eletrónicas que armazenam informações sobre certificados emitidos e revogados.

EM Em geral, a lei EDS do estado de Utah difere de outros atos jurídicos semelhantes em grande detalhe.

A Lei Alemã de Assinatura Eletrônica (Signaturgesetz) foi introduzida em 1997 e foi a primeira peça legislativa europeia desse tipo. O objetivo da lei é criar condições Gerais para tal uso de assinatura eletrônica, na qual sua falsificação ou falsificação de dados assinados possa ser estabelecida com segurança.

A Lei tem as seguintes orientações principais:

estabelecer conceitos e definições claros;

regulamentação detalhada do procedimento de licenciamento de organismos de certificação e do procedimento de certificação de chaves públicas de usuários de ferramentas EDS ( status legal, o procedimento para o funcionamento dos centros

certificação, sua interação com agências governamentais e outras autoridades de certificação, requisitos para um certificado de chave pública de assinatura eletrônica);

Consideração de questões de segurança de assinatura digital e dados,

assinado com a ajuda dela, contra falsificação;

O procedimento para reconhecer a validade dos certificados de chave pública.

O espírito da Lei Alemã de Assinatura Eletrônica é regulatório.

Ao contrário da lei semelhante na Alemanha, a Lei Federal de Assinatura Eletrônica dos EUA é um ato jurídico de coordenação. Isto porque, no momento em que foi promulgado, a legislação regulamentar relevante já estava em vigor na maioria dos estados.

Como se depreende do nome da Lei (Lei de Assinaturas Eletrônicas no Comércio Global e Nacional), seu principal objetivo é garantir o regime jurídico da assinatura eletrônica digital no comércio eletrônico. A assinatura da Lei pelo Presidente dos Estados Unidos ocorreu no dia do feriado nacional - 4 de julho de 2000 (Dia da Independência), o que deverá conferir a este ato legislativo um significado especial. Segundo observadores, a adoção desta lei simboliza a entrada da humanidade em uma nova era - a era do comércio eletrônico.

responsável pela operação de sua infraestrutura. Sem focar nos direitos e obrigações específicos das autoridades de certificação, que são dados Atenção especial nas leis de outros países, a Lei Federal dos EUA os remete ao conceito de infraestrutura EDS e, nos termos mais gerais, estipula a interação dos elementos dessa estrutura com órgãos governamentais.

Na Rússia, com as principais disposições da Lei Federal sobre

a assinatura eletrônica pode ser encontrada no exemplo do projeto. De acordo com o projeto, a Lei é composta por cinco capítulos e contém mais de vinte artigos.

O primeiro capítulo trata das disposições gerais relativas à Lei.

Tal como leis semelhantes noutros estados, o projeto de lei russo baseia-se na criptografia assimétrica. O principal objetivo da Lei é proporcionar as condições legais para a utilização de EDS na gestão eletrónica de documentos e a implementação de serviços de certificação de EDS dos participantes nas relações contratuais.

O segundo capítulo discute os princípios e condições de utilização da assinatura eletrônica. Aqui, em primeiro lugar, a possibilidade é expressa e, em segundo lugar,

são fornecidas as condições para a equivalência de assinatura manuscrita e eletrônica.

Além disso, é dada especial atenção às vantagens características do EDS:

uma pessoa pode ter um número ilimitado de chaves privadas EDS, ou seja, criar para si diferentes assinaturas eletrônicas e utilizá-las em diferentes condições;

Todas as cópias do documento assinado com a EDS têm a força do original.

O projeto de lei russa prevê a possibilidade de limitar o âmbito do EDS. Essas restrições podem ser aplicadas Leis federais, bem como introduzidos pelos participantes nas transações eletrônicas e refletidos nos contratos entre eles.

É interessante a disposição do artigo sobre meios EDS, no qual se fixa a afirmação de que “os meios EDS não pertencem aos meios

garantindo a confidencialidade das informações." Na verdade isso não é verdade. Pela sua natureza, as ferramentas EDS baseadas em mecanismos de criptografia assimétrica podem, obviamente, ser utilizadas para proteger informações. Talvez esta disposição seja incluída para evitar conflitos com outras regulamentações que restringem o uso de ferramentas criptográficas na sociedade.

Uma diferença importante em relação a leis semelhantes de outros estados é

a disposição do projeto de lei russo de que o proprietário da chave privada é responsável perante o usuário da chave pública correspondente por perdas decorrentes da proteção mal organizada da chave privada.

Outra característica distintiva do projeto de lei russo é a lista de requisitos para o formato do certificado eletrônico. Juntamente com os campos geralmente aceitos discutidos acima, o legislador russo exige a inclusão obrigatória no certificado do nome das ferramentas EDS com as quais esta chave pública pode ser usada, o número do certificado para esta ferramenta e seu período de validade,

o nome e endereço legal do centro de certificação que emitiu este certificado, o número da licença deste centro e a data de sua emissão. EM

legislação estrangeira e padrões internacionais, não encontramos tais requisitos descrição detalhada Ferramenta de software EDS, com

que gerou a chave pública. Aparentemente, esta exigência do projeto de lei russo é ditada pelos interesses da segurança do país.

A utilização massiva de software, cujo código-fonte não é publicado e, portanto, não pode ser investigado por especialistas, representa uma ameaça pública. Isto se aplica não apenas ao software EDS, mas em geral a qualquer Programas, começando com sistemas operacionais e terminando com aplicações.

O terceiro capítulo considera o estatuto jurídico dos centros de certificação (em

terminologia do projeto de lei - centros certificadores de chaves públicas com assinatura elétrica). Na Rússia, a prestação de serviços de certificação de assinaturas eletrônicas é uma atividade licenciada que só pode ser realizada por pessoas jurídicas. A certificação da assinatura eletrônica de instituições estaduais só pode ser realizada por centros de certificação estaduais.

Pela sua natureza, a estrutura dos organismos de certificação é