Некоторую обеспокоенность вызывает неоднозначность пункта, в котором говорится, что при создании электронной подписи «средства электронной подписи должны показывать лицу, подписывающему документ, содержание информации, которую он подписывает». Здесь мы видим отсутствие определенности в том, как именно средство должно показывать лицу содержание информации. Появляется возможность злоупотребления данной статьей.
Электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи»
Апрельский федеральный закон «Об электронной подписи» всколыхнул массовые обсуждения этого нового, в принципе, явления на российском рынке. Некоторые компании, которые технический прогресс не оставляет равнодушными, внедрили ее у себя немедленно и уже сейчас пожинают плоды. Тем не менее подавляющее большинство работодателей не спешат осваивать новую электронную «фишку», и у всех на то свои причины. Кто-то говорит о ненадежности электронно-цифровой подписи и переживает, что ее могут подделать, кто-то не понимает технологию, а кого-то просто останавливает сложная и затратная процедура внедрения ЭЦП на предприятии.
Чтобы разобраться, чего же больше в электронной новинке — пользы или опасности, попробуем, прежде всего, понять, как работает ЭЦП, ну и, конечно, обратимся к истории ее возникновения. В конце концов, это к нам ЭЦП пришла совсем недавно, а в мире ее использование уже многие годы является частью привычной процедуры оформления любых электронных документов.
«Ничего, что моя подпись слишком простая? Две палочки и росчерк…»
Не знаю, как вам, а мне при словосочетании «электронная подпись» приходит в голову... обычное факсимиле. То есть подпись, поставленная на бумаге, отсканированная и таким образом ставшая «электронной». Ею можно «заверять» электронные документы, и выглядит она достаточно убедительно… Как показывает изучение соответствующих форумов, такие ассоциации возникают не только у меня — многие граждане, которым предложили создать собственную ЭЦП, озадачено спрашивали: «А ничего, что у меня подпись такая простая? Ее ведь так легко подделать — две палочки и росчерк». И искренне удивлялись, узнав, что электронная подпись не имеет ничего общего с тем мудреным (или не очень) символом, который мы так тщательно изобретали себе в старших классах школы.
Итак, рассеиваем сомнения. Электронная подпись — это не графический символ и даже не печать, которая видна глазу. Увидеть ЭЦП невозможно, это зашифрованный символьный код. Он получается в результате сложного криптографического преобразования информации, содержащейся в документе, с помощью специального ключа («инструмента» для шифрования), который как раз и позволяет идентифицировать владельца подписи и подлинность информации. ЭЦП никогда не повторяется, для каждого «подписанного» документа код создается заново и является уникальным. Чтобы понять, как работает вся система, нужно обратиться к основам криптографии, что на самом деле не так сложно, как кажется.
Процедура электронной подписи реализована с помощью использования зашифрованного кода, к которому есть два ключа: закрытый (секретный) и открытый (публичный) — так называемый криптографический принцип «ассиметричного ключа». Человек, желающий создать себе электронную подпись, получает на отдельном носителе специально сгенерированный закрытый ключ, который является строго секретной информацией. Доступ к ней имеет только владелец ключа, и он же несет полную личную ответственность за сохранность и конфиденциальность данных. Секретный ключ используется для того, чтобы производить шифрование документов и формировать электронно-цифровую подпись. Все заинтересованные лица, с которыми владелец подписи собирается обмениваться электронными документами, получают открытые (публичные) ключи, которые обеспечивают возможность проверки подлинность подписи в полученных файлах. Дублирующий экземпляр открытого ключа также направляется в удостоверяющий центр, где создана библиотека открытых ключей ЭЦП.
Получив свой закрытый ключ, пользователь может «подписать» электронный документ, то есть на основе своего закрытого ключа и содержания документа путем криптографического преобразования сгенерировать хэш-функцию*, иными словами, выразить текст документа в двоичном коде, хэш-функция впоследствии зашифровывается и превращается в некую символьную последовательность, собственно ЭЦП этого пользователя для конкретного документа. Код сохраняется в отдельном файле и содержит сведения о владельце подписи, дате ее создания и имени файла, который «закрыт» подписью. Все это — в зашифрованном виде, что невозможно увидеть или прочитать.
Полная версия статьи в печатной версии Журнала Управление персоналом или через 3 месяца на сайте.