_ рассчитать экономическую эффективность системы.
В данной работе будет рассмотрено наиболее удобное средство защиты электронных документов от искажений, позволяющее при этом однозначно идентифицировать отправителя сообщения, является электронная цифровая подпись (ЭЦП).
В настоящее время многие предприятия используют те или иные методы безбумажной обработки и обмена документами. Использование подобных систем позволяет значительно сократить время, затрачиваемое на обмен документацией, усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов, построить корпоративную систему обмена документами. Однако при переходе на электронный документооборот встает вопрос авторства документа, достоверности и защиты от искажений.
Электронная цифровая подпись — это эффективное средство защиты информации от модификации, искажений, позволяющее при этом однозначно идентифицировать отправителя сообщения и перенести свойства реальной подписи под документом в область электронного документа. Электронная цифровая подпись является наиболее перспективным и широко используемым в мире способом защиты электронных документов от подделки и обеспечивает высокую достоверность сообщения.
1.1 Понятие ЭЦП. Основные алгоритмы реализации ЭЦП
Электронная цифровая подпись (ЭЦП)— реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.
Совместно с ЭЦП обычно применяются хэш-функции. Они служат для того, чтобы помимо аутентификации отправителя, обеспечиваемой ЭЦП, гарантировать, что сообщение не имеет искажений, и получатель получил именно то сообщение, которое подписал и отправил ему отправитель.
Электронная подпись статья по информатике и икт
... неизменности. Рис.1Схема подписания электронного документа и схема проверки его неизменности Согласно Федеральному закону №63-ФЗ «Об электронной подписи», имеет место деление на: простую электронную подпись; усиленную неквалифицированную электронную подпись; усиленную квалифицированную электронную подпись. Простая электронная подпись посредством использования ...
Хэш-функция — это процедура обработки сообщения, в результате действия которой формируется строка символов (дайджест сообщения) фиксированного размера. Малейшие изменения в тексте сообщения приводят к изменению дайджеста при обработке сообщения хэш-функцией. Таким образом, любые искажения, внесенные в текст сообщения, отразятся в дайджесте. . Анин «Защита компьютерной информации»
Алгоритм применения хэш-функции заключается в следующем:
- _ перед отправлением сообщение обрабатывается при помощи хэш-функции. В результате получается его сжатый вариант (дайджест).
Само сообщение при этом не изменяется и для передачи по каналам связи нуждается в шифровании описанными выше методами;
- _ полученный дайджест шифруется закрытым ключом отправителя (подписывается ЭЦП) и пересылается получателю вместе с сообщением;
- _ получатель расшифровывает дайджест сообщения открытым ключом отправителя;
— _ получатель обрабатывает сообщение той же хэш-функцией, что и отправитель и получает его дайджест. Если дайджест, присланный отправителем, и дайджест, полученный в результате обработки сообщения получателем, совпадают, значит, в сообщение не было внесено искажений.
Существует несколько широко применяемых хэш-функций: MD5, SHA-1 и др.
Схема электронной подписи обычно включает в себя:
- _ алгоритм генерации ключевых пар пользователя;
- _ функцию вычисления подписи;
- _ функцию проверки подписи.
Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. В зависимости от алгоритма функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным. Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.
В настоящее время детерминированные схемы практически не используются. Даже в изначально детерминированные алгоритмы сейчас внесены модификации, превращающие их в вероятностные (так, в алгоритм подписи RSA вторая версия стандарта PKCS#1 добавила предварительное преобразование данных (OAEP).
Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.
Поскольку подписываемые документы — переменной (и достаточно большой) длины, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш. Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.
Алгоритмы ЭЦП делятся на два больших класса: обычные цифровые подписи и цифровые подписи с восстановлением документа. Обычные цифровые подписи необходимо пристыковывать к подписываемому документу. К этому классу относятся, например, алгоритмы, основанные на эллиптических кривых. Цифровые подписи с восстановлением документа содержат в себе подписываемый документ: в процессе проверки подписи автоматически вычисляется и тело документа. К этому классу относится один из самых популярных алгоритмов — RSA.
Цифровая подпись
... электронной подписи Схема электронной подписи обычно включает в себя: 1) Алгоритм генерации ключевых пар пользователя; 2) Функцию вычисления подписи; 3) Функцию проверки подписи. Функция вычисления подписи на основе документа ... свойствами криптографии по открытому ключу исходное сообщение может быть восстановлено из такого ... 1973 году во внутренних документах центра, но эта работа не была раскрыта до ...
Следует различать электронную цифровую подпись и код аутентичности сообщения, несмотря на схожесть решаемых задач (обеспечение целостности документа и неотказуемости авторства).
Алгоритмы ЭЦП относятся к классу асимметричных алгоритмов, в то время как коды аутентичности вычисляются по симметричным схемам
Протокол SSL (Secure Socket Layer) используется для защиты данных, передаваемых через Интернет. Этот протокол основан на комбинации алгоритмов асимметричного и симметричного шифрования.
Протокол может работать в трех режимах:
- при взаимной аутентификации сторон;
- при аутентификации сервера и анонимности клиента;
- при взаимной анонимности сторон.
При установлении соединения по протоколу SSL для данной сессии связи генерируется разовый ключ, который служит для симметричного шифрования данных, передаваемых в течение данной сессии. Разовый ключ генерируется на этапе установления соединения. При этом используются асимметричные алгоритмы шифрования.
Технология SET (Secure Electronic Transactions) появилась в 1996 году. Ее основными разработчиками стали MasterCard International и Visa International.
SET предусматривает использование цифровых сертификатов всеми участниками сделки, что позволяет проводить их однозначную взаимную аутентификацию.
Технология SET направлена на организацию максимально защищенных транзакций с присвоением кредитных карт.
Взаимная аутентификация сторон и использование ЭЦП позволяют избежать проблем с отказами сторон от обязательств по сделкам и полностью закрыть проблему необоснованного отзыва плательщиками своих платежей.
В основе процедур защиты информации, используемых SET, лежат технологии RSA и DES, что обеспечивает высокий уровень безопасности.
В общем случае алгоритм взаимодействия участников сделки по технологии SET выглядит следующим образом:
- прежде чем начать работу с использованием SET все участники сделки получают цифровые сертификаты у соответствующей сертифицирующей организации. Таким образом, устанавливается однозначное соответствие между участником и его ЭЦП;
- посетив сайт продавца, покупатель оформляет заказ и указывает способ оплаты при помощи кредитной карты;
- покупатель и продавец предъявляют друг другу свои сертификаты;
- продавец инициирует проверку платежной системой предоставленной клиентом информации. Платежная система передает продавцу результаты проверки;
- ? при положительных результатах проверки по запросу продавца совершается перечисление денег.
Открытый торговый протокол Интернет (IOTP, Internet Open Trading Protocol) создан как элемент инфраструктуры сетевого бизнеса. Протокол не зависит от используемой платежной системы. IOTP обеспечивает оформление и отслеживание доставки товаров и прохождения платежей. IOTP призван, прежде всего, решить проблему коммуникаций между различными программными решениями. Схемы платежей, которые поддерживает IOTP, включают MasterCard Credit, Visa Credit, Mondex Cash, Visa Cash, GeldKarte, eCash, CyberCoin, Millicent, Proton и др.
Реферат сделки репо
... сделке явно выделяется. "Истинные РЕПО" охватывают как сделки с поставкой ценных бумаг, так и сделки без поставки ценных бумаг, обычно называемые РЕПО "у своего депозитария". Для кредитора (покупателя имущества) использование сделок РЕПО ... эквивалента стоимости, то с течением времени операции по товарному обмену усложнялись. Появились деньги, торговые действия вместо единичных случаев приобрели ...
IOTP предлагает стандартные рамки для использования различных платежных протоколов. Это означает, что разные средства платежей могут взаимодействовать, если они встроены в программы, следующие протоколу IOTP.
Протокол описывает содержимое, формат и последовательность сообщений, которые пересылаются между партнерами электронной торговли — покупателями, торговцами, банками или финансовыми организациями.
Протокол спроектирован так, чтобы обеспечить его применимость при любых схемах электронных платежей, так как он реализует весь процесс продажи, включающий набор различных операций IOTP:
- покупку. Реализует предложение, оплату и доставку (при необходимости);
- возврат. Производит возврат платежа для покупки, выполненной ранее;
- обмен ценностями. Включает в себя два платежа, например, в случае обмена валют;
- аутентификацию. Производит проверку для организации или частного лица — являются ли они тем, за кого себя выдают;
- отзыв платежа. Осуществляет отзыв электронного платежа из финансового учреждения;
- депозит. Поддерживает управление депозитом средств в финансовом учреждении;
- запрос. Выполняет запрос состояния операции IOTP, которая находится в процессе реализации или уже выполнена;
- тестовый запрос («пинг»).
Простой запрос от одного приложения IOTP с целью проверки, функционирует ли другое приложение IOTP.
IOTP разделяет всех участников сделки по их «ролям» в процессе продажи:
- покупатель. Это физическое лицо или организация, получатель товара или услуги и плательщик;
- продавец. Человек (или организация), у которого приобретается товар или услуга, который официально ответственен за их предоставление и который извлекает выгоду в результате продажи;
- оператор платежей. Субъект, который получает платеж от потребителя в пользу торговой фирмы или физического лица;
- оператор доставки. Субъект, который доставляет товар или предоставляет услугу потребителю от торговой фирмы или лица;
- лицо, обслуживающее клиента торговой фирмы.
Роли могут выполняться одной организацией или различными организациями:
- _ в наиболее простом случае одна организация (например, продавец) может оформлять покупку, принимать платеж, доставлять товар и осуществлять обслуживание покупателя;
— _ в более сложном случае, продавец может оформить покупку, но предложить покупателю осуществить платеж в банке, попросить специализированную компанию доставить товар и обратиться к третьей фирме, обеспечивающей круглосуточное обслуживание, с просьбой помочь покупателю в случае возникновения каких-то непредвиденных проблем.
IOTP использует четыре основных торговых операции («обмена»).
Название «обмен» связано с тем, что операции совершаются путем обмена сообщениями (информацией) между участниками, играющими определенные «роли» в сделке:
- предложение (Offer Exchange) — предполагает, что продавец предоставляет покупателю причины того, что сделка покупателю необходима;
- оплата (Payment Exchange) — предполагает осуществление какого-либо платежа. Направление платежа может быть любым;
- доставка (Delivery Exchange) — сопряжена с передачей товаров или доставкой информации о товарах агентом доставки покупателю;
- аутентификация (Authentication Exchange) — может использоваться любой стороной сделки для аутентификации другой стороны.
Сделки на основе IOTP состоят из различных комбинаций этих операций. Например, операция покупки IOTP включает в себя предложение, оплату и доставку. А операция обмена валют по IOTP состоит из предложения и двух обменов оплаты. Брюс Шнайер. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на Си.
Защита информации: цифровая подпись
... standart). RSA можно применять как для шифрования/расшифрования, так и для генерации/проверки электронно-цифровой подписи. Первым этапом любого асимметричного алгоритма является создание пары ключей : открытого ... "закрытым ключом". Таким образом, мы избавляемся от необходимости решать сложную задачу обмена секретными ключами. Напрашивается вопрос : "Почему, зная открытый ключ, нельзя вычислить ...
Электронно-цифровая подпись (ЭЦП) используется физическими и юридическими лицами в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица и скрепленного печатью.
Области применения ЭЦП
- электронная цифровая подпись (сертификаты ключей подписи) применяется в таких областях как:
- защита персональных данных
- системы электронного документооборота
- электронная коммерция
- защита программного обеспечения
- SSL-доступ
Защитить документы от искажения и подлога (чего нельзя сказать о сканированных копиях: на них легко можно поставить печати и подписи с помощью графических редакторов);
- При необходимости зашифровать секретную информацию;
- Отказаться от хранения оригиналов документов на бумажных носителях, так как документы, подписанные ЭЦП, имеют точно такую же юридическую силу.
ЭЦП применяется при заключении сделок купли-продажи в электронной коммерции, например, при совершении покупок через интернет-магазины. С помощью ЭЦП, а именно с помощью сертификата ключа подписи, магазин идентифицирует покупателя и решает можно ли доверять данному покупателю. Кроме того, электронные подписи покупателя и магазина на соответствующих электронных документах удостоверяют факт совершения сделки, что придает ей юридическую значимость. ЭЦП также применяется при осуществлении торгов через электронные торговые площадки. Но самое широкое применение, ЭЦП нашла в интернет-банкинге, поскольку является надежным и недорогим инструментом для защиты платежных документов от подделки.
ЭЦП применяется для подписания кодов программ, что позволяет конечному пользователю программного продукта удостовериться, что программный код не был изменен хакерами, подменен на вирусный код или случайно поврежден. Также подписывают и драйверы устройств. В таком случае ЭЦП обеспечивает доверие к драйверу, а значит и безопасность компьютера, на которое устанавливается данное устройство.
Для обеспечения безопасного обмена данными между компьютером пользователя и сетевым ресурсом применяется SSL-протокол (Secure Sockets Layer), по которому обмен производится в зашифрованном виде.
Безопасность такого обмена основана на применении цифровых сертификатов ключей шифрования и заключается:
- Во взаимной/односторонней идентификации сетевого ресурса и пользователя;
- В шифровании данных, которыми обмениваются сетевой ресурс и пользователь.
ЭЦП — средство, которое обеспечивает:
- проверку целостности документов;
- конфиденциальность документов;
- установление лица, отправившего документ
Использование ЭЦП позволит вам:
Электронно-цифровая подпись
... электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося. 1.Общая Схема ЭЦП Схема электронной подписи ... такие угрозы системам цифровой подписи: 1) Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ...
- значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
- усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;
- гарантировать достоверность документации;
- минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;
- построить корпоративную систему обмена документами.
Электронная цифровая подпись — эффективное решение для всех, кто не хочет ждать прихода фельдъегерской или курьерской почты за многие сотни километров, чтобы проверить подлинность полученной информации или подтвердить заключение сделки. Документы могут быть подписаны цифровой подписью и переданы к месту назначения в течение нескольких секунд. Все участники электронного обмена документами получают равные возможности независимо от их удаленности друг от друга.
Подделать ЭЦП невозможно — это требует огромного количества вычислений, которые не могут быть реализованы при современном уровне математики и вычислительной техники за приемлемое время, то есть пока информация, содержащаяся в подписанном документе, сохраняет актуальность. Дополнительная защита от подделки обеспечивается сертификацией Удостоверяющим центром открытого ключа подписи.
С использованием ЭЦП работа по схеме «разработка проекта в электронном виде — создание бумажной копии для подписи — пересылка бумажной копии с подписью — рассмотрение бумажной копии — перенос ее в электронном виде на компьютер» уходит в прошлое.
В настоящее время, редкая организация не использует компьютер при работе с документами. Информационные технологии активно применяются при организации делопроизводства, почти все документы подготавливаются в электронном виде, затем распечатываются на принтере и только после этого подписываются.
Основной целью применения электронной цифровой подписи (ЭЦП) является переход от бумажных документов к электронным. Это означает, что документы изначально оформляются в электронном виде и не переводятся на бумажные носители (не распечатываются).
Переход к электронному документообороту позволяет:
- существенно сократить сроки передачи документов между сотрудниками или организациями посредством передачи электронных документов по каналам электросвязи. Что позволит, например, исключить ошибки в оформлении налоговых или бухгалтерских отчетов, когда отчетный период необходимо закрывать, а оригиналы документов подтверждающих факт хозяйственной операции должны поступить по почте. Даже если почта не потерялась в процессе пересылки и приходит в срок, время на ее доставку требуется очень существенное;
- сократить размер накладных расходов: бумага, курьерская доставка, почтовые расходы и т.д.
ЭЦП обеспечивает следующие функции:
- Подтверждает, что подписывающий не случайно подписал электронный документ;
- Подтверждает, что только подписывающий и только он подписал электронный документ;
- ЭЦП должна зависеть от содержания подписанного документа и времени его подписания;
- Подписывающий не должен иметь возможности в дальнейшем отказаться от своей подписи.
Технология применения ЭЦП с каждым днем все глубже проникает в практику работы с электронными документами. На сегодняшний день более 750 000 лиц, являющихся налогоплательщиками, сдают в налоговые органы налоговые декларации и бухгалтерскую отчетность в электронной форме с ЭЦП, без подтверждения их в бумажной форме. Порядок сдачи был определен федеральной налоговой службой еще в 2002 году. Создано большое количество электронных торговых площадок, на которых проводятся торги и аукционы в электронной форме с использованием ЭЦП.
Поиск по Электронно-библиотечной системе СтГАУ
... – 117.8 Мб. Библиографическое описание электронных ресурсов План мероприятий по повышению ... V, 43, [1] с. Патентные документы Патент № 2637215 Российская Федерация, МПК ... Доступ из справ.-правовой системы «Консультант Плюс» (дата ... 57564–2017. Организация и проведение работ по международной стандартизации в ... Основы предпринимательской деятельности» : для бакалавров факультета социально-культурного ...
В связи с введением в действие федерального закона ФЗ от 10.01.2002 N1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»
некоторые потребители средств защиты информации проявляют озабоченность в связи с легальностью использования систем цифровой подписи и иных аналогов собственноручной подписи.
Цель настоящего документа разъяснить ситуацию, сложившуюся в связи с принятием закона, определить сферу его действия и порядок использования систем цифровой подписи, которые были введены в эксплуатацию до принятия закона.
До момента принятия закона единственной правовой основой для применения аналогов собственноручной подписи (АСП), в том числе в электронном документообороте являлась первая часть Гражданского Кодекса РФ (Статья 160, п. 2, Статья 434, п.1, Статья 434, п.2)
Статья 160 п. 2.
Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.
Статья 434 п.п. 1,2.
1. Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма.
Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась.
2. Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.
Дополнительные разъяснения, по порядку использования АСП давались в инструктивных материалах Высшего Арбитражного суда РФ.
Из формулировок вышеупомянутых статей ГК, прямо следует, что в случае отсутствия закона или иного нормативного акта, предусматривающего порядок использования АСП, порядок использования АСП определяется соглашением сторон. Именно по этой схеме действовали и действуют до настоящего времени все системы с использованием цифровой подписи, которая в соглашении сторон признается АСП.
Основной целью принятия закона «Об электронной цифровой подписи» являлось дополнение договорной схемы регулирования взаимоотношения сторон, предусмотренной ГК РФ законодательным регулированием, также предусмотренным ГК РФ.
Таким образом, закон об ЭЦП, дает возможность вступать в полноправные гражданско-правовые отношения с использованием ЭЦП в качестве АСП без предварительного заключения соглашения сторон».
Действие ГК РФ, как и конституционного закона, не может быть отменено или изменено иным нормативным актом, в том числе федеральным законом. В связи с этим федеральный закон «Об электронной цифровой подписи» лишь определяет порядок использования одного из АСП, а именно ЭЦП, строгое определение которого зафиксировано в законе.
Поскольку среди всех возможных АСП закон регулирует применение одного — ЭЦП, постольку регулирование порядка применения иных АСП остается неизменным, а именно основывается на ГК РФ, предусматривающим заключение соглашения сторон.
Таким образом, в связи с принятием закона изменился только порядок применения одного из АСП — ЭЦП.
На этот факт прямо указывает пункт 2 статьи 1 закона «Об электронной цифровой подписи».
Согласно п. 2. статьи 1.
Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.
Соотношение между АСП, Цифровой Подписью (ЦП) и ЭЦП
На сегодняшний день используется большой набор различных АСП — биометрические, PIN коды, факсимильные и т.д. В том числе широко используются системы цифровой подписи — ЦП. Технологии ЦП разнообразны и дифференцированы. Среди всех возможных технологий ЦП выбрана одна, строго определенная в законе и названная ЭЦП.
Следовательно, соотношение между АСП, ЦП и ЭЦП выглядит так.
Цифровая подпись (ЦП) является частным случаем аналога собственноручной подписи (АСП).
В свою очередь, электронная цифровая подпись (ЭЦП) является частным случаем цифровой подписи.
Понятие ЭЦП неразрывно связывается с понятием сертификата ключа, понятием криптографического преобразования и электронным документом.
Следовательно, к системам ЭЦП следует относить только системы подтверждения подлинности электронных документов с использованием сертификатов и основанных на криптографических преобразованиях. Кроме того, использование ЭЦП согласно закону, возможно только для электронных документов. Закон не распространяет свое действие на применение ЭЦП к другим типам документов.
Рассмотрим все признаки ЭЦП.
Непосредственно в законе дано определение сертификата ключа, электронной цифровой подписи.
Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
Строгое определение электронного документа сегодня отсутствует, тем не менее, на практике используется понятие, введенное в законе «Об информации, информатизации и защите информации»
Документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
- Как видно определение расплывчатое. В подготовленном законопроекте «Об электронном документе» указывается, какие именно реквизиты должны быть обязательны для документа:
- _ обозначение и наименование документа;
- _ даты создания, утверждения и последнего изменения;
- _ сведения о создателях;
- _ сведения о защите электронного документа;
- _ сведения о средствах электронной цифровой подписи или средствах хэширования, необходимых для проверки электронной цифровой подписи или контрольной характеристики данного электронного документа;
- _ сведения о технических и программных средствах, необходимых для воспроизведения электронного документа;
- _ сведения о составе электронного документа.
Хотя пока руководствоваться данными положениями нельзя, тем не менее, основываясь на определении из закона «Об информации, информатизации и защите информации» можно однозначно сказать, блоки данных, передаваемые по каналам связи (т.к. они не фиксируются на носителях) к документам не относятся, также к документам не могут быть отнесены пакеты данных, возникающие при обмене данными по Интернету и др.
Понятие криптографического преобразования в законе и иных нормативных документах, имеющих юридическую силу, отсутствует.
С другой стороны, понятие средств криптографической защиты информации (СКЗИ) и шифровальных средств имеется в ведомственных документах ФАПСИ. Так же некоторые производители позиционируют свою продукцию, как СКЗИ, или как шифровальные средства.
В связи с этим средства цифровой подписи (устоявшийся международный термин digital signature), построенные без использования системы сертификатов, а именно такие системы в большинстве используют Российские потребители не являются системами ЭЦП, с точки зрения определения закона.
Более того, системы с использованием сертификатов, но без создания удостоверяющих центров, а также системы, в которых подписи зарегистрированы на юридическое лицо, с точки зрения рассматриваемого закона относятся к иным аналогам собственноручной подписи и законом не регулируются.
Также к системам ЭЦП не относятся системы в которых АСП, в т.ч. ЦП используются для подписи данных, не являющихся электронными документами.
К системам ЭЦП следует относить только те системы, которые:
1. Используют систему сертификатов, в соответствии с определением сертификата, и выполнением требованиям к сертификатам, данным в законе об ЭЦП.
2. Используются для заверения электронных документов в смысле определения данным в законе «Об информации, информатизации и защите информации»
3. Позиционируются разработчиками, как криптографическое средство.
1.2 Аналоги информационной системы ЭЦП
Входе изучения аналогов продукции можно выделить следующие информационные системы:
_ Система «КриптоОфис»;
- Система «КриптоОфис» предназначена для защит данных от несанкционированного доступа и неавторизованной модификации при их хранении и обработки на персональном компьютере, а также при передаче по каналам связи.
В системе реализованы наиболее эффективные алгоритмы кодирования данных, управления ключами и цифровой подписи.
После установки данная системы предлагает создание секретных ключей (см. рис. 1.1.1).
Ключи можно устанавливать или заменять.
Для создания ключа необходимо полное имя пользователя после чего необходимо набрать на клавиатуре 128 случайных символов, необходимых для генерации ключа. Предусмотрена возможность автоматического набора случайных чисел, но ввод с клавиатуры считается более надежным способом.
Рисунок 1.1.1 — Мастер создания ключей «КриптоОфис»
Созданные ключи хранятся в хранилище (см. рис. 1.1.2).
Рисунок 1.1.2 — Хранилище ключей
Пакет «КриптоОфис» состоит из следующих компонентов:
- EMC -Easy Mail Crypto — дополняет программы MS Outlook, MS Outlook Express функциями подписи и защиты сообщений ;
- EDC — Easy Document Crypto — позволяет подписывать и кодировать документы внутри редактора Microsoft Word;
- EFC — Easy File Crypto — позволяет подписывать и кодировать файлы одним нажатием клавиши.
Программа EFC предназначена для защиты файлов и данных от несанкционированного доступа и гарантированного подтверждения личности абонента, предающего файл или данные.
Она включает в себя следующие возможности:
- Кодирование файлов;
- Раскодирование файлов;
- Подпись файлов;
- Проверка подписи.
Программа EFC использует различные алгоритмы кодирования, среди которых как алгоритмы наиболее распространенных в мине национальных стандартов, таки и собственная разработка фирмы «ЛАН Крипто» — надежный и быстрый алгоритм гарантированного закрытия данных Веста-2М и Викер98.
Программа обеспечивает несколько уровне надежной защиты информации.
EMC — Easy Mail Crypto — дополняет программы MS Outlook, MS Outlook Express следующими функциями:
- Кодирование сообщений;
- Раскодирование сообщений;
- Подпись сообщений;
- Проверка подписи под сообщениями.
Easy Document Crypto позволяет:
- Сделать документ юридически законным;
- Проверять подлинность документа;
- Защитить из от несанкционированного просмотра;
- Кодировать и декодировать документ.
Необходимо отметить, что закодированный документ практически не увеличивается в объеме. После кодирования вместо документа появляется просто одна страница, в которой сообщается, что данный документ закодирован.
_ «КриптоПро ЭЦП»;
— Компания КРИПТО-ПРО предлагает стандарт применения усовершенствованной электронной цифровой подписи. Опыт КРИПТО-ПРО — ведущей российской компании в области технологии ЭЦП — свидетельствует, что при использовании «классической» ЭЦП в юридически значимом электронном документообороте, в случае возникновения спора достаточно трудно, а подчас и невозможно, доказать подлинность ЭЦП и момент подписи (создания) ЭЦП. Эти трудности могут привести к тому, что арбитр не примет электронный документ в качестве письменного доказательства. Данные трудности порождаются рядом проблем, присущих «классической» ЭЦП, а именно:
- нет доказательства момента подписи;
- трудность доказывания статуса сертификата открытого ключа подписи на момент подписи (или действителен, или аннулирован, или приостановлен).
Предлагаемый КРИПТО-ПРО Стандарт применения усовершенствованной подписи позволяет решить все основные трудности, связанные с применением ЭЦП, и обеспечить участников электронного документооборота всей необходимой доказательной базой (причем собранной в самой ЭЦП в качестве реквизитов электронного документа), связанной с установлением момента подписи и статуса сертификата открытого ключа подписи на момент подписи.
Формат усовершенствованной подписи основан на европейском стандарте CAdES (ETSI TS 101 733).
Версия этого стандарта опубликована в виде RFC 5126 «CMS Advanced Electronic Signatures (CAdES)». Новый формат подписи решает описанные выше и множество других потенциальных проблем, обеспечивая:
- доказательство момента подписи документа и действительности сертификата ключа подписи на этот момент,
- отсутствие необходимости сетевых обращений при проверке подписи,
- архивное хранение электронных документов,
- простоту встраивания и отсутствие необходимости контроля встраивания.
Доказательство момента подписи документа и действительности сертификата ключа подписи на этот момент
Формат усовершенствованной подписи предусматривает обязательное включение в реквизиты подписанного документа доказательства момента создания подписи и доказательства действительности сертификата в момент создания подписи.
Для доказательства момента подписи используются штампы времени, соответствующие международной рекомендации RFC 3161 «Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)».
Доказательства действительности сертификата в момент подписи обеспечиваются вложением в реквизиты документа цепочки сертификатов до доверенного УЦ и OCSP-ответов. На эти доказательства также получается штамп времени, подтверждающий их целостность в момент проверки.
Вложение в реквизиты документа всех доказательств, необходимых для проверки подлинности ЭЦП, обеспечивает возможность оффлайн-проверки подлинности ЭЦП. Доступ к репозиторию сертификатов, службам OCSP и службам штампов времени необходим только в момент создания подписи.
Использование усовершенствованной подписи является необходимым условием архивного хранения электронных документов, удостоверенных ЭЦП.
В формате усовершенствованной подписи вся необходимая информация для проверки подлинности ЭЦП находится в реквизитах документа. Для сохранения юридической значимости электронных документов при архивном хранении остаётся только обеспечить их целостность организационно-техническими мерами. В этом случае подлинность ЭЦП может быть подтверждена через сколь угодно долгое время, в том числе и после истечения срока действия сертификата ключа подписи.
_ «Блокпост ЭЦП»
Система шифрования информации и создания электронной цифровой подписи — «Блокпост ЭЦП»
Система шифрования информации и создания электронной цифровой подписи (ЭЦП) — «Блокпост ЭЦП» предназначена для обеспечения конфиденциальности хранимых и передаваемых данных путем их шифрования, а также реализации принципа безотказности от содержания хранимого или передаваемого документа путем создания для этого документа ЭЦП — аналога собственноручной подписи, на основе цифровых сертификатов.
Программный продукт «Блокпост — ЭЦП» специально разработан для обеспечения конфиденциальности и создания ЭЦП на основе сертифицированных криптосредств отечественной разработки (КриптоПро CSP), но вместе с тем, «Блокпост — ЭЦП» может использовать также и встроенные в ОС семейства MS Windows криптографические средства.
Совместно с программно аппаратным комплексом СЗИ «Блокпост-98/2000/XP» программный продукт «Блокпост — ЭЦП» создает сертифицированное по требованиям ФСТЭК защищенное автоматизированное рабочее место (АРМ) для обработки конфиденциальной информации.
С помощью программного продукта «Блокпост — ЭЦП» пользователю предоставляются следующие возможности:
- шифрование/расшифрование файлов произвольного типа;
- создание/проверка электронной цифровой подписи для файлов произвольного типа;
- одновременное выполнение универсальной операции создание ЭЦП и шифрование файлов произвольного типа;
- одновременное выполнение универсальной операции расшифрование и проверка ЭПЦ для файлов произвольного типа;
- импорт, экспорт, просмотр сертификатов.
Разработанный нашей компанией программный продукт «Блокпост — ЭЦП» легко интегрируется в большинство операционных систем семейства MS Windows.
Для оценки стоимости ЭЦП приведены следующие данные:
Грядущие изменения в системе электронной отчетности обсуждались на семинаре с бухгалтерами предприятий и организаций Нальчика. Семинар был организован отделом по обработки данных и информатизации Управления МНС России по КБР, фирмами «АСКОМ» из Ставрополя и нальчикской «Бухгалтерией на компьютере».
Возможность одновременного использования АРМ ЭЦП несколькими лицами на одном компьютере
Возможность одновременной подписи файла несколькими лицами
К достоинствам можно отнести:
- _ каждая система переносит основной акцент работы на работу с пользователем, для этого каждая система имеет свою базу данных, которые по различным причинам имеют различную функциональную;
- _ высокая функциональность, возможность расчетов связанных со специфическими операциями с недвижимостью;
- _ максимально упрощенный интерфейс взаимодействия с пользователем и др. возможности и функции.
Недостатки систем:
- _ высокая трудоёмкость реализации проекта;
- _ относительно высокая стоимость.
1.3 Постановка задачи
Целью курсового проекта является разработка и создание системы электронной цифровой подписи, для коммерческой организации. Использование ЭЦП необходимо для внутренних целей:
- _ защита от несанкционированного доступа;
- _ организации электронного документооборота;
- _ установления авторства.
Данная информационная система должна решать следующие задачи:
- конфиденциальность документов;
- установление лица, отправившего документ;
— _ разграничение доступа по сотрудникам.
Для реализации поставленных задач необходимо определить аппаратные и программные требования (таблица 1.3.1):
Таблица 1.3.1. Аппаратные и программные требования
Процессор |
Pentium 1 гГц |
|
Оперативная память |
256 Мб ОЗУ |
|
Жесткий диск |
1 гб свободного места на жестком диске |
|
Операционная система |
Windows 98/Me/NT/2000/XP |
|
При этом необходимо учитывать, что база данных зависит от количества нуждающихся в ЭЦП, а это определить можно только на конкретном предприятии.
2.1 Моделирование бизнес — процессов
В ходе оценки предметной области были поставлены задачи, для решения которых необходимо составить базу данных рабочих, присвоить каждому уникальный идентификационный номер, который необходим для применения электронной цифровой подписи. Идентификационный номер присваивается согласно установленному внутреннему уставу организации, на которой будет внедрена информационная система электронной цифровой подписи. Сама же информационная система отвечает всем нормативным актам установленном государством(приложение).
В данной информационной системе используется шифрование открым ключом. Шифрование открытым ключом использует комбинацию из секретного ключа и открытого ключа. Секретный ключ известен только вашему компьютеру, в то время как открытый ключ свободно передается вашим компьютером любым другим компьютерам, которые хотят вести с вами зашифрованное общение. Для раскодирования зашифрованного сообщения, компьютер должен использовать оба ключа секретный и открытый. Популярная программа для использования шифрования открытым ключом это PGP (pretty good privacy), которая позволяет кодировать почти любые типы данных.
Использование цифровой подписи для подтверждения авторства документов между организациями возможно в случае заключения ими предварительного соглашения об этом, что предусмотрено в Гражданском кодексе. Заключение предварительного соглашения делает систему электронного документооборота замкнутой, и закон «Об ЭЦП» здесь применим в том смысле, что согласно ему правила работы в подобной системе устанавливаются ее организатором. На сегодняшний день это самая распространенная и едва ли не единственная применяемая схема. Между тем, обязательность заключения предварительного соглашения перед началом работы в ряде ситуаций оказывается несколько неудобной. Так, в случае, если участники системы электронного документооборота производят с ее помощью разовые сделки, то, поскольку перед сделкой им все равно придется встречаться и подписывать традиционный бумажный документ, все преимущества электронного характера документооборота пропадают. В случае территориальной удаленности сторон даже при нескольких дальнейших электронных транзакциях необходимость первоначального подписания соглашения также существенно снижает эффективность решения. Применяемые в такой схеме алгоритмы цифровой подписи формально могут быть любыми (законодательных и иных ограничений нет) — главное, чтобы используемая технология удовлетворяла каждую из сторон. Конечно, отсутствие четких предписаний в этом вопросе дает дополнительную свободу и, как следствие, возможность применения штатных механизмов формирования и проверки ЭЦП, которые встроены в большинство операционных систем. Например, используемые в Windows алгоритмы обеспечивают допустимый уровень безопасности, однако корректность их реализации проверить невозможно. Существуют и бесплатно распространяемые криптографические модули, которые, вроде бы, тоже «должны обеспечивать», но никто этого не гарантирует. Однако, если стороны согласятся им доверять, это позволит существенно сократить затраты на создание системы: не надо покупать дополнительное программное обеспечение, а также, что немаловажно для географически распределенных систем, не требуется доставка дистрибутива до каждого конечного пользователя.
Тем не менее, практика показывает, что чаще всего электронный документооборот применяется либо между несколькими крупными компаниями, где все участники в той или иной мере равноправны, либо между выделенным организатором и большим числом клиентов (например, системы «клиент — банк» или Internet-трейдинг).
В первом случае стоимость электронных сделок достаточно велика и участники предпочитают не экономить за счет свободно распространяемых программ и приобретают коммерческие версии средств криптографической защиты, в которых стойкий алгоритм ЭЦП не только заявлен, но и проверен (чаще всего такой проверкой служит сертификация в ФАПСИ).
Вторая схема оставляет выбор технологии цифровой подписи за организатором системы электронного документооборота; подключающиеся клиенты могут либо согласиться применить ее, либо вообще отказаться от участия в ней. Поэтому перед организатором стоит непростая задача — ему надо предложить технологию, удовлетворяющую всех. Для обеспечения этого опять же большинство прибегает к средствам, имеющим сертификат ФАПСИ.
Стоит отметить, что в последние два-три года наблюдается устойчивая тенденция перевода систем электронного документооборота, в которых изначально были выбраны более дешевые варианты средств цифровой подписи, на сертифицированные средства. Количество систем, в которых используются встроенные в ОС технологии ЭЦП, снижается. При выборе, например, системы электронных банковских платежей, следует учесть, что использование сертифицированных средств цифровой подписи заслуженно считается конкурентным преимуществом. Наряду с выбором алгоритма и технологии, его реализующей, немаловажную роль играет выбранный механизм распределения и обмена ключей, т.е. криптопротокол. Здесь ситуация выглядит не столь оптимистично. Некоторые серьезные банки или даже операторы по сдаче налоговой отчетности выбирают схему, которая сразу ставит их клиентов в незавидное положение, несмотря на то, что все законодательные требования формально выполнены.
Аутентифицировать автора сообщения позволяют конфиденциальность закрытого ключа подписи (он известен только автору сообщения и никому больше, иначе ЭЦП можно подделать) и целостность доступного для всех открытого ключа (для корректной проверки ЭЦП
2.2 Информационное моделирование
Анализ современного состояния рынка ИС показывает устойчивую тенденцию роста спроса на информационные системы организационного управления. При этом задачи, цели, источники информации и алгоритмы обработки на оперативном уровне заранее определены и в высокой степени структурированы. При этом информационные системы организационного управления должны быть защищены определенным образом, для этого и применяется ЭЦП.
Практически любая компьютерная программа требует для своей работы ввода исходных данных. Способ такого ввода и организации соответствующих данных существенно зависит от вида решаемых задач.
База данных, носит характер фактографической информационной системы и должна выдавать однозначные сведения на поставленные запросы. Конечными пользователями базы данных являются менеджеры салона красоты, которые относятся к категории пользователей не искушенных в вопросах ведения, администрирования баз данных и поддержании их в актуальном состоянии. Это накладывает определенные требования на разработку системы управления базой данных, при которой все методы доступа, поиска и большинство функций администрирования скрыты внутри программы и прозрачны при работе что, несомненно, скажется на разработке программного интерфейса.
Microsoft Access создана на основе реляционной модели базы данных и предназначена для создания быстрых, эффективных баз данных, применяемых в быту и бизнесе. Кроме того, она способна подключаться к другим базам данных, создавая для вас широкий фронт работы с данными, независимо от того, где они находятся.
При работе с СУБД Access на экран выводятся типовое окно WINDOWS-приложения, состоящее из рабочего поля и панели управления. Панель управления при этом включает меню, вспомогательную область управления и строку подсказки. Расположение этих областей на экране может быть произвольным и зависит от особенностей конкретной программы.
Строка меню содержит основные режимы программы. Выбрав один из них, получаем доступ к ниспадающему подменю, содержащему перечень входящих в него команд. В результате выбора некоторых команд ниспадающего меню появляются дополнительные подменю.
Вспомогательная область управления включает:
- _ строку состояния;
- _ панели инструментов;
- _ линейки прокрутки.
В строке состояния (статусной строке) найдем сведения о текущем режиме работы программы, имени файла текущей базы данных и т.п. Панель инструментов (пиктографическое меню) содержит определенное количество кнопок (пиктограмм), предназначенных для быстрой активизации выполнения определенных команд меню и функций программы.
Строка подсказки предназначена для выдачи сообщений пользователю относительно его возможных действий в данный момент.
Важная особенность СУБД Access использование буфера обмена при выполнении ряда операций. Буфер используется при выполнении команд копирования и перемещения для временного хранения копируемых или перемещаемых данных, после чего они направляются по новому адресу. При удалении данных они также помещаются в буфер. Содержимое буфера сохраняется до тех пор, пока не будет записана новая порция данных.
СУБД Access имеет достаточное количество команд, у каждой из которых возможны различные параметры (опции).
Выбор определенной команды из меню производится либо наведением курсора на выбранную в меню команду при помощи клавиш управления курсором и нажатием клавиши ввода, либо вводом с клавиатуры первой буквы выбранной команды.
Получить дополнительную информацию о командах, составляющих меню СУБД Access, и их использовании можно, войдя в режим помощи.
Совокупность команд, предоставляемых в ваше распоряжение СУБД Access, может быть условно разбита на следующие типовые группы:
- _ команды для работы с файлами;
- _ команды редактирования;
- _ команды форматирования;
- _ команды для работы с окнами;
- _ команды для работы в основных режимах СУБД (таблица, форма, запрос, отчет);
- _ получение справочной информации.
Работая с Access можно решать следующие задачи:
- _ вводить, изменять и находить нужные данные;
- _ разбивать данные на логически связанные части;
- _ находить подмножества данных по задаваемым условиям;
- _ создавать формы и отчеты;
- _ автоматизировать выполнение стандартных задач;
- _ графически устанавливать связи между данными;
- _ вставлять рисунки в формы и отчеты;
- _ создавать собственные, готовые к работе с базой данных программы, содержащие меню, диалоговые окна и командные кнопки.
Основным элементом Access является контейнер базы данных.
Контейнер базы данных — это именно то, как он звучит — хранилище объектов базы данных. База данных — это файл, включающий набор объектов, определенных в следующем списке:
Таблица — это фундаментальная структура базы данных, где они сохраняются в виде записей (рядов) и полей (столбцов).
Запрос используется для изменения, просмотра и анализа данных. Объекты — формы и отчеты часто используют запросы как источник записей.
Форма используется для различных целей, и не обязательно для представления данных из таблицы или запроса. Форму можно использовать для вывода данных как средство перемещения по элементам данных или как окно диалога для приема информации от пользователя.
Отчет — это способ представления данных в печатной форме и виде, определяемом пользователем. Отчеты полностью настраиваемы. Однако можно воспользоваться предопределенными отчетами, предоставляемыми Access.
Страницы — объекты, обеспечивающие доступ к информации базы данных из сети Интернет. Каждая страница представляет HTML-файл, с помощью которого пользователь Интернет получает доступ к базе данных.