Мифы и реальность применения ЭЦП в России

Александр Прохоров, Юрий Маслов

ЭЦП и юридическая значимость электронного документа

Защита целостности ЭД и обеспечение его юридической силы

Корневые УЦ

Почему необходим корневой УЦ

Примеры действующих информационных систем

   Пример 1. Торговая система оптового рынка электроэнергии ЕЭС России

   Пример 2. Сдача налоговой отчетности

Технические аспекты применения ЭЦП

 

Существует целый ряд мифов и заблуждений, связанных с применением электронной цифровой подписи в России. Дело в том, что использование ЭЦП требует как технического, так и организационно-правового обеспечения. В данной статье мы не будем касаться теории построения цифровой подписи на базе криптографии с открытым ключом, так как предполагаем, что об этой стороне вопроса читатель имеет определенное представление. Здесь мы остановимся на организационно-правовых вопросах применения ЭЦП в России, которые оказываются подчас не менее сложными, чем теория шифрования с открытым ключом.

Как показывает практика, незнание российских законов о применении ЭЦП порождает массу заблуждений. У нас, например, до сих пор бытует мнение, что если вы приобрели некоторое средство криптографии, позволяющее поставить цифровую подпись и защитить документ от искажения, то с этим документом вы сможете прийти в суд и доказать свое авторство на документ. Нередко можно услышать заявления о том, что закон об ЭЦП в России, принятый еще в 2002 году, до сих пор не действует или что ЭЦП в стране повсеместно не применяется, поскольку не введена система действия корневых удостоверяющих центров. Все это свидетельствует о незнании нормативно-правовой базы, обеспечивающей применение ЭЦП в России.

ЭЦП и юридическая значимость электронного документа

ЭЦП — один из реквизитов электронного документа. ЭЦП как таковая не может иметь юридической силы — можно говорить лишь о юридической силе электронного документа. Если электронный документ влечет правовые последствия, то в этом случае он имеет юридическую силу. При этом электронный документ может не иметь ЭЦП, но иметь юридическую силу, если стороны таким образом договорились между собой. Но если между участниками соглашения по договоренности или по закону определено, что документ должен исполняться только в электронной форме, удостоверенной ЭЦП, то данная ситуация однозначно подпадает под действие закона об электронной цифровой подписи.

В настоящее время применение ЭЦП регламентируется 11 федеральными законами. Целью Федерального закона от 10.01.2002 № 1-Ф3 «Об электронной цифровой подписи» является обеспечение правовых условий использования ЭЦП в электронных документах. Закон определяет, при выполнении каких условий ЭЦП будет признана равнозначной собственноручной подписи в документе на бумажном носителе. Сегодня насчитывается более 10 постановлений правительства, регламентирующих применение ЭЦП, и более 50 ведомственных федеральных актов. При этом, согласно Гражданскому кодексу, все, что не регламентируется законодательно, должно регулироваться соглашениями между участниками отношений.

Правовые конструкции применения ЭЦП определяет вышеупомянутый закон об ЭЦП, который, в частности, говорит о необходимости наличия удостоверяющего центра (УЦ). При этом в законе четко определено, что УЦ — это не аппаратно-программный комплекс, а организация. Деятельность УЦ автоматизируется с помощью программно-аппаратных средств как отечественного, так и импортного производства. ЭЦП нельзя купить — она каждый раз создается заново с использованием ключа подписи и сертификата ключа подписи, изготавливаемых этим УЦ.

Владельцем ключа и сертификата всегда является физическое лицо. Сегодня на территории Российской Федерации действует около 300 удостоверяющих центров, а правовые отношения с применением электронных документов, удостоверенных ЭЦП, в РФ поддерживают около 220 тыс. юридических лиц. Заверять ЭЦП может только конкретное физическое лицо, которое владеет ключом и сертификатом, то есть здесь просматривается полная аналогия с бумажными документами. В практике бумажного документооборота юридическое лицо (как небиологическая сущность) не имеет подписи, однако физическое лицо (имеющее подпись) может представлять юридическое лицо.

Закон об ЭЦП определяет, что УЦ может изготавливать ключи для участников информационных систем двух видов — для корпоративных информационных систем (КИС) и для информационных систем общего пользования (ИСОП) (рис. 1).

 

Рис. 1. Информационные системы КИС уже действуют, но системы ИСОП пока не имеют надлежащей законодательной базы

Согласно закону, ИСОП — это система открытого доступа, а это значит, что любому обратившемуся в данную систему не могут отказать в участии. Примерами таких ИСОП могут выступать электронные магазины или электронное правительство, принимающие документы, заверенные ЭЦП. Если электронное правительство принимает от граждан документы с ЭЦП, то оно не может отказать в подаче такого документа любому гражданину, подобно тому, как Интернет-магазин, принимающий документы, заверенные ЭЦП, не может отказать любому участнику, который акцептует ту или иную оферту.

В настоящий момент в России нет ни одной из вышеописанных ИСОП. Более того: в рамках существующего в России правового поля построить такую систему нельзя, ибо, в соответствии с законом, к УЦ, обеспечивающим своими услугами ИСОП, предъявляются особые требования. Эти требования должны регулироваться постановлениями правительства, однако пока этих подзаконных актов нет, а следовательно, не существует и подобных УЦ. Вернее, для таких УЦ еще нет правовой базы, в отличие от УЦ, обслуживающих КИС. Поэтому далее будем говорить именно о КИС и об УЦ для КИС.

Следует отметить, что КИС — это не всегда система, в которой работают сотрудники только одной корпорации, и в этом смысле важно прокомментировать еще одно заблуждение. Участниками КИС могут быть независимые юридические лица. По сути дела, система, в которой участники превентивно заключили соглашения о том, что они договариваются исполнять электронные документы, заверенные ЭЦП, и определяют условия исполнения этих документов, и называется КИС. В рамках КИС в России работают, как уже было сказано, порядка 220 тыс. юридических лиц.

Если в КИС участвуют независимые юридические лица, то для того, чтобы придать юридическую силу документам, заверяемым ЭЦП, у них должно быть соглашение, заключенное в традиционной бумажной форме. Предварительно они должны заключить соглашение о том, что договариваются принимать к исполнению электронные документы, удостоверенные ЭЦП, на условиях, определяемых конкретным соглашением. Это соглашение должно определять как средства ЭЦП, которые используются для формирования и проверки подписи, так и УЦ, сертификаты которых признаются участниками этой информационной системы. Чтобы сформировать ЭЦП, необходимы программные или аппаратные средства ЭЦП. Обычно применяют программные средства ЭЦП как более дешевые. Например, КриптоПро CSP1 реализует все функции (генерация ключей, создание подписи, проверка подписи), определенные законом об ЭЦП. В законе определено, что процедура подтверждения электронной цифровой подписи должна осуществляться с использованием сертифицированного средства ЭЦП, то есть программа должна быть сертифицирована, причем ФСБ РФ сертифицирует только отечественные разработки. Закон об ЭЦП говорит, что принятие сертификата, изданного нерезидентом Российской Федерации, то есть иностранной организацией, должно регулироваться межгосударственным соглашением.

Отсутствие в настоящее время подобных соглашений означает, что иностранные организации, изготавливающие сертификаты открытых ключей (в российской терминологии УЦ), не могут оказывать свои услуги на территории РФ. Поэтому, в соответствии с данной юридической нормой, импортная криптография (например, RSA или сертификаты от VeriSign) здесь использоваться не может.

Следует отметить, что если физическое лицо, обладающее ЭЦП, представляет негосударственное предприятие, то оно имеет право употреблять несертифицированные средства создания цифровой подписи, но при этом в суде данные документы не будут учитываться, так как они получены с нарушением действующего законодательства РФ. С учетом того, что ЭЦП нужна именно на случай обеспечения правовой основы, в частности для того, чтобы документ был принят в суде, понятна необходимость использования сертифицированных средств.

Правда, до 2002 года имелась возможность принятия в суде документов, заверенных иностранным УЦ, и даже в 2003 году такие случаи имели место, но за последнее время квалификация юристов и судей консультантов повысилась и сегодня, чтобы доказать юридическую силу электронного документа, заверенного ЭЦП, требуется соблюдение всех вышеуказанных норм.

В настоящее время уже существует достаточно обширная судебная практика, связанная с вопросами электронной цифровой подписи. Поэтому разговоры о том, что закон об ЭЦП в России не действует, совершенно необоснованны. Как любой нормативный акт, закон об ЭЦП должен исполняться, и суды обязаны принимать в качестве письменного доказательства электронные документы с ЭЦП. В качестве примера можно привести опыт компании «КРИПТО-ПРО», которая провела более 10 компьютерных экспертиз, в том числе по одному уголовному делу, где обвиняемому в качестве доказательства его вины предъявлялись только документы с ЭЦП на базе сертификатов, изданных удостоверяющим центром «КРИПТО-ПРО». Существует подобная практика и в гражданском, и в арбитражном суде. Все это говорит о том, что закон об ЭЦП действует и работает.

Защита целостности ЭД и обеспечение его юридической силы

У нас до сих пор иногда путают понятия обеспечения целостности ЭД на базе цифровой подписи и обеспечения юридической силы ЭД, заверенного ЭЦП. Когда мы говорим о защите обеспечения целостности информации с помощью цифровой подписи, то правильнее пользоваться термином «цифровая подпись», причем цифровая подпись — это не реквизит ЭД в плане подтверждения равнозначности собственноручной подписи. Если вы получили по электронной почте документ, подписанный цифровой подписью и с приложенным сертификатом, и там будет указана фамилия того, кто прислал вам этот документ, этого еще недостаточно, чтобы в суде приняли эти документы и установили их авторство. Поскольку в данном случае вовсе не очевидно, что тот УЦ, который выдал этот сертификат, имеет полную доказательную базу авторства. Поэтому здесь важно, что независимые юридические лица (на рис. 1 они показаны как «юр. лицо А» и «юр. лицо Б») должны вступить в договорные отношения, присоединиться к так называемому регламенту услуг УЦ, в котором обеспечивается такой порядок оказания услуг, чтобы УЦ имел всю необходимую доказательную базу владения ключом и сертификатом (на рис. 1 это «УЦ1»). После этого юридические лица «А» и «Б» должны заключить соглашение, по которому стороны договариваются, например, о том, что они будут исполнять документы в электронной форме, если они изданы удостоверяющим центром «УЦ1». Письма, подписанные сертификатом от некоего другого центра (на рис. 1 — от центра «УЦ2»), не подпадают под действие данного соглашения.

Необходимо подчеркнуть, что для защиты целостности документа не нужно ни организационной составляющей, ни дополнительных договоров, однако для защиты в суде они требуются. Для защиты целостности документа не нужны сертифицированные средства, а для ЭЦП, принимаемой судом, сертифицированные средства необходимы. Для защиты целостности не нужен удостоверяющий центр (УЦ), а достаточно лишь центра сертификации, которым может быть и организация, и программно-аппаратный комплекс, а УЦ, согласно законодательству РФ, — это всегда организация, носитель определенных прав и обязанностей, отвечающий по закону за достоверность данных, записанных в сертификате. В сертификате указывается, имеет ли право данное лицо подписывать тот или иной документ. Сертификат по закону должен содержать сведения об отношениях, при которых ЭД имеет юридическую силу. Обычно в сертификате указывается, какие именно документы можно подписывать данным сертификатом; например, там могут быть перечислены: договор оказания экспедиционных услуг; договор купли-продажи; акт сверки расчетов; акт зачета встречных требований и т.п.

Корневые УЦ

Теперь опровергнем миф о том, что ЭЦП в России не работает якобы потому, что не существует системы с федеральным (корневым) УЦ. Закон об ЭЦП не определяет, должен ли УЦ вступать в какие-то взаимоотношения с другими УЦ. Более того, УЦ всегда является организацией, поэтому если «УЦ1» и «УЦ2» (рис. 2) вступили в какие-то отношения в плане подчиненности некоторому корневому центру, то, в соответствии с нормами Гражданского кодекса РФ, это не означает, что участник информационной системы «ИС1» должен принимать к исполнению документы, заверенные центром «УЦ2». Если договор между «УЦ1» и «УЦ2» налагает обязательства на третью сторону, то эта сторона должна быть участником данного договора. Если же третья сторона не является участником данного договора, то такой договор не имеет юридической силы в части обязательств, налагаемых на третьих лиц.

 

Рис. 2. Если договор между УЦ1 и УЦ2 налагает обязательства на третью сторону, то она должна быть участником этого договора

Если речь идет о системе органов государственной власти, то обязательство может налагаться постановлением правительства или указом президента. Например, в этом документе может говориться о том, что создается система УЦ органов госвласти, которые издают сертификаты для госчиновников. И если такое решение принимается соответствующим органом, оно будет иметь правовую основу. В данном случае каждый орган госвласти, который имеет УЦ, входит в отношения доверия с некоторым корневым удостоверяющим центром. Такая модель правомочна, поскольку все чиновники — это госслужащие и им не нужно вступать в договорные отношения. Подобная модель создает единое информационное пространство, что весьма удобно для проверки подлинности ЭЦП.

Эти функции возложены на удостоверяющий корневой УЦ, созданный уполномоченным федеральным органом исполнительной власти УФО как основа объединения удостоверяющих центров органов государственной власти. При этом УЦ, работающие с КИС, могут и не входить в систему центров, объединяемых корневым УЦ (рис. 3).

 

Рис. 3. УЦ, работающие с КИС, могут не входить в систему центров, объединяемых корневым УЦ

Статус корневого УЦ и всей системы должен определиться указом президента РФ, проект которого уже подготовлен. Данный документ разработан Министерством экономического развития и торговли, прошел согласование с ФСБ России, с Министерством информационных технологий и связи и сейчас находится на рассмотрении в Министерстве юстиции. Таким образом, этот акт закрепит правовой статус федерального (корневого) удостоверяющего центра и определит правовую конструкцию «аккредитация удостоверяющих центров» как основу для построения системы удостоверяющих центров органов государственной власти. Аккредитация определит порядок вхождения в эту систему, но пока она отсутствует — корневой УЦ для органов власти является просто техническим субъектом, который позволяет создавать только ИТ-инфраструктуру. Следует отметить, что наличие или отсутствие корневого УЦ не мешает существующей практике применения ЭЦП. Постановление правительства может изменить эту практику, но пока такого постановления тоже не существует.

Работа с электронными документами, заверенными ЭЦП, ведется и в госструктурах. Например, УЦ есть и у администрации президента, и у аппарата правительства, и у Государственной Думы, и у Федеральной налоговой службы (ФНС), и у Федеральной таможенной службы (ФТС). Причем, в ФТС есть свой корневой УЦ и создается система УЦ ФТС; именно на этой основе осуществляется таможенное декларирование в электронном виде.

Почему необходим корневой УЦ

Если практика применения ЭЦП существует и правовые механизмы работают, в чем же заключается необходимость корневого УЦ? Рассмотрим недостатки работы госчиновников в случае отсутствия корневого УЦ. Допустим, некий чиновник посылает электронный документ с ЭЦП из одной федеральной службы в другую. Если ему нужно обмениваться документами с 17 министерствами, это значит, что он должен управлять 17 сертификатами.

Очевидно, что чем больше список доверенных центров сертификатов, тем труднее управлять такой системой. Поэтому целесообразно заменить все эти сертификаты на один корневой, а для этого требуется издать такое постановление, согласно которому, если ведомство входит в систему удостоверяющих центров, на всех его чиновников распространяются единые правила исполнения электронной документации. Вследствие этого уменьшаются межведомственные разногласия, а сама система становится более дешевой.

Уполномоченный федеральный орган исполнительной власти в области применения ЭЦП (УФО) в лице Росинформтехнологии определяет, что в создаваемой системе с корневым УЦ средства построения ЭЦП могут быть любыми, но они должны быть технически совместимыми. Поясним данный момент. Даже если все системы создания ЭЦП сертифицированы, то есть соответствуют ГОСТ, это отнюдь не гарантирует их совместимости, поскольку ГОСТ не определяет параметры алгоритмов криптографии. Таким образом, ЭЦП, созданная с помощью одного средства, не может быть проверена на другом.

В свое время компания «КРИПТО-ПРО» обратилась к ведущим разработчикам шифровально-криптографических средств с инициативой признать форматы «КРИПТО-ПРО» в качестве единого стандарта, и девять ведущих разработчиков присоединились к этому стандарту (среди них — ЗАО «Инфотекс», МО ПНИЭИ, ФГУП НТЦ «Атлас» ФСБ России и др.). Сегодня эта проблема частично решена: например, подпись, сделанная на СКЗИ Верба OW 6.1, проверяется на СКЗИ КриптоПро CSP, и наоборот. «КРИПТО-ПРО» предложила свои форматы мировому сообществу в IETF, и в настоящее время эти форматы определены на уровне RFC.

Организаторы корневого УЦ от имени Уполномоченного федерального органа исполнительной власти в области применения ЭЦП заявляют о необходимости совместимости средств реализации ЭЦП разных УЦ.

Однако некоторые разработчики выпускают сегодня и несертифицированные средства создания ЭЦП. Существует целый ряд коммерческих организаций (правда, их не очень много), которые не используют ЭЦП, а действуют посредством иных аналогов собственноручной подписи согласно нормам статьи 160 Гражданского кодекса. И хотя коммерческие организации могут договориться между собой и использовать не ЭЦП, а другой аналог собственноручной подписи, однако следует иметь в виду, что ЭЦП, в отличие от таких аналогов, обеспечивает меньше рисков. Электронная цифровая подпись шире по применению, поскольку федеральный закон об ЭЦП определяет условие равнозначности ЭЦП и собственноручной подписи в сфере гражданско-правовых отношений, а это более широкая сфера, чем договорные отношения, связанные с заключением договоров сделки.

В принципе, действующее законодательство налагает ограничения по использованию электронной формы только на такие документы, для которых определено, что они должны быть прошнурованы (например, счет-фактура, оригинал которого должен быть в бумажном виде). Это нашло отражение и в определениях Северо-Западного федерального арбитражного суда. Некоторые документы бессмысленно выпускать в электронной форме. Возьмем, например, товарно-транспортную накладную (документ для сопровождения груза): если ваш груз где-то в лесу остановит сотрудник транспортной инспекции или сотрудник ГИБДД, то ему бесполезно показывать дискету. Скорее всего, груз в этом случае просто будет арестован и доставлен на штрафную стоянку. Отсюда следует, что возможность ведения оригиналов документов в электронной форме определяется в каждой конкретной КИС.

Примеры действующих информационных систем

Чтобы окончательно убедить читателей в ложности отдельных мифов в области применения ЭЦП, приведем примеры существующих корпоративных информационных систем, действующих в правовом поле закона об электронной цифровой подписи (информация о них взята из открытых источников в Интернете).

Пример 1. Торговая система оптового рынка электроэнергии ЕЭС России

Администратор системы — некоммерческое партнерство «Администратор торговой системы» (www.np-ats.ru).

Деятельность системы регулируется регламентами оптового рынка электроэнергии, утверждаемыми НП «АТС» и публикуемыми на сайте администратора, и иными договорами, в том числе Соглашением о применении ЭЦП (http://www.np-ats.ru/index.jsp?pid=79).

Участники системы — генерирующие и энергосбытовые компании, оптовые потребители электроэнергии.

Участникам системы предоставляют услуги удостоверяющего центра сразу три организации: само НП «АТС» (http://www.np-ats.ru/index.jsp?pid=442), ООО «КРИПТО-ПРО» (http://ats.cryptopro.ru), удостоверяющий центр электронных цифровых подписей ОАО РАО «ЕЭС России».

Регламентными документами НП «АТС» в качестве корпоративного стандарта средства ЭЦП определено СКЗИ «КриптоПро CSP».

Типы документов, исполняемые в электронной форме, — договора купли-продажи электрической энергии, договора оказания услуг по оперативно-диспетчерскому управлению в электроэнергетике, договора об оказании услуг по передаче электрической энергии, иные договора, а также документы, связанные с исполнением договоров.

Согласно информации с сайта НП «АТС», среднесуточный объем сделок превышает 420 млн. руб.

Пример 2. Сдача налоговой отчетности

24 апреля на серверах системы «Контур-Экстерн» (http://www.kontur-extern.ru) заведена 100-тысячная учетная запись подключившегося абонента. Именно столько организаций и индивидуальных предпринимателей в России сдают налоговую и бухгалтерскую отчетность через Интернет с помощью системы «Контур-Экстерн», экономя время и силы.

Из всех представленных на рынке решений система «Контур-Экстерн» является единственным продуктом, полностью основанным на web-технологии тонкого клиента. Портальная организация серверов системы позволяет пользователям в единообразном технологическом процессе вести документооборот не только с налоговыми органами, но и (в ряде регионов) с территориальными подразделениями ПФР, Росстата и Соцстраха.

Юридическую значимость всех циркулирующих в системе «Контур-Экстерн» электронных документов обеспечивает удостоверяющий центр компании «СКБ Контур», построенный на базе ПАК «КриптоПро УЦ». Развиваясь вместе с системой, УЦ «СКБ Контур» стал к 2006 году самым крупным в России (рейтинг Cnews «TOP-15 удостоверяющих центров», http://www.cnews.ru/reviews/free/gov2006/articles/ecp_end.shtml#table). Система защиты конфиденциальной информации в среде «Контур-Экстерн» выстроена с помощью программных продуктов компании «КРИПТО-ПРО» криптопровайдера «КриптоПро CSP» и расширения для защиты трафика «КриптоПро TLS».

Технические аспекты применения ЭЦП

Мы не будем здесь рассматривать весь инструментарий управления жизненным циклом документов в электронной форме, предоставляемых специализированными системами автоматизации делопроизводства и документооборота, поскольку информацию о конкретных реализациях можно получить у разработчиков и интеграторов таких систем.

В настоящей статье мы расскажем об одном из вариантов применения ЭЦП при обмене электронными документами (и их исполнении) с ЭЦП.

Традиционная технология электронного документооборота строится на обмене документами, представленными в виде файлов. Документы в виде файлов формируются путем экспортирования из информационных систем, эксплуатируемых в организациях («1С:Бухгалтерия» и т.д.) или с использованием офисных приложений MS Word и Excel.

В качестве средства электронной цифровой подписи можно использовать средство криптографической защиты информации «КриптоПро CSP», сертифицированное в системе сертификации РОСС RU.0001.030001. Средство ЭЦП обеспечивает поддержку большого числа типов ключевых носителей (рис. 4), а конкретный тип определяется самой организацией.

 

Рис. 4. Панель управления позволяет пользователю настроить параметры работы программного средства ЭЦП

Для предоставления пользовательского интерфейса (рис. 5) к криптографическим функциям СКЗИ «КриптоПро CSP» и для автоматизации процедур формирования и проверки ЭЦП (в том числе множественной) можно использовать программное средство «КриптоАРМ» (http://www.trusted.ru/products/cryptography/trusteddesktop/). Это средство не обеспечивает автоматизацию функций делопроизводства и документооборота, а только работает с операциями ЭЦП и шифрования.

 

Рис. 5. Интерфейс процесса создания подписи — достаточно простой и интуитивно понятный

Не менее прост и нагляден процесс проверки ЭЦП в подписанном файле (рис. 6), выполняемом при исполнении документа в электронной форме.

 

Рис. 6. Информация о подписи должна представляться в максимально развернутом виде, чтобы исполнитель документа смог принять обдуманное решение по ЭЦП документа

Таким образом, сотрудники компаний, являющиеся участниками документооборота, получают удобный и функциональный пользовательский интерфейс, обеспечивающий создание и проверку подлинности ЭЦП на основе сертифицированного средства криптографической защиты информации. Передачу электронных документов, удостоверенных ЭЦП, можно осуществлять с использованием средств электронной почты, а также файловых протоколов передачи данных.

Средняя оценочная стоимость затрат на программные средства ЭЦП на одного сотрудника организации из числа участников электронного документооборота составляет 1800 руб. Следовательно, миф о том, что ЭЦП — это очень дорого, тоже можно опровергнуть.

 


1 КриптоПро CSP — это СКЗИ (средства криптографической защиты информации), разработанное ООО «Крипто-Про» (http://www.cryptopro.ru).

 

В начало В начало

КомпьютерПресс 6'2006