Дальнейшее развитие защищенного электронного документооборота во многом определяется применением технологий электронно-цифровой подписи.
Использование защищенного электронного документооборота в современных информационных системах — эффективное решение, которое уже имеет право считаться традиционным. Его дальнейшее развитие во многом определяется применением технологий электронно-цифровой подписи.
Авторство электронного документа
Системы электронного документооборота в том или ином виде присутствуют практически в любой корпоративной информационной системе, они позволяют не только обмениваться документами по каналам связи, но и организовать их хранение, обеспечивают доступ к различным вариантам документа, дают возможность отследить его «жизненный цикл». В последнее время наблюдается тенденция выхода подобных систем за рамки одной компании, речь идет уже о межкорпоративном документообороте.
Использование систем электронного документооборота значительно ускоряет и упрощает процесс подписания документов. Такие системы особенно эффективны при больших количествах обрабатываемых документов, что очень важно, например, для организаций, осуществляющих массовое обслуживание своих клиентов, — обычно они «задыхаются» в потоке бумаг. Удобно их применение и в случае, когда участники системы находятся далеко друг от друга, а стоимость сделки сравнительно невысока; при «бумажном» решении вопроса многие зачастую отказываются от взаимодействия с территориально удаленными контрагентами, даже если оно выгоднее предложений местных организаций.
При создании систем обмена документами между организациями (как правило, по открытым каналам связи, чаще всего через Internet) важным вопросом становится обеспечение информационной безопасности. Но если задача обеспечения конфиденциальности на сегодняшний день может считаться решенной (различные средства построения виртуальных частных сетей эффективны и широко распространены), то в вопросе подтверждения авторства и целостности документа единое мнение отсутствует даже у экспертов.
Технологии подтверждения авторства
Современные технологии подтверждения авторства и целостности основываются на формировании так называемой цифровой подписи (digital signature) — своего рода «добавки» к основному сообщению, которая с ним математически связана и, кроме того, уникальна для каждого автора. Формирование цифровой подписи основано на огромной (практически недостижимой) вычислительной сложности ее подделки без знания так называемого секретного ключа (он известен только автору подписи) и простоте проверки правильности уже известного значения цифровой подписи при знании открытого ключа (известен всем).
В общем случае для подтверждения авторства своего сообщения необходимо сформировать пару «открытый + секретный ключ», вычислить значение цифровой подписи на секретном ключе и сообщить всем участникам документооборота, проверяющим вашу цифровую подпись, ее открытый ключ. На такой схеме основаны все современные зарубежные и отечественные (ГОСТ Р 34.10/34.11-94) алгоритмы формирования цифровой подписи, которые исключают возможность подделки цифровой подписи на современных компьютерах в течение сотен лет.
Технологии цифровой подписи применяются в построении систем корпоративного и межкорпоративного документооборота. Возможность подобных отношений, выходящих за рамки одной компании, требует правового обоснования, однако правовая основа для этого была определена сравнительно недавно — в Гражданском кодексе РФ и в федеральном законе «Об ЭЦП».
Предварительное соглашение
Использование цифровой подписи для подтверждения авторства документов между организациями возможно в случае заключения ими предварительного соглашения об этом, что предусмотрено в Гражданском кодексе. Заключение предварительного соглашения делает систему электронного документооборота замкнутой, и закон «Об ЭЦП» здесь применим в том смысле, что согласно ему правила работы в подобной системе устанавливаются ее организатором. На сегодняшний день это самая распространенная и едва ли не единственная применяемая схема.
Между тем обязательность заключения предварительного соглашения перед началом работы в ряде ситуаций оказывается несколько неудобной. Так, в случае, если участники системы электронного документооборота производят с ее помощью разовые сделки, то все преимущества электронного характера документооборота пропадают, поскольку перед сделкой им все равно придется встречаться и подписывать традиционный бумажный документ. В случае территориальной удаленности сторон даже при нескольких дальнейших электронных транзакциях необходимость первоначального подписания соглашения также существенно снижает эффективность решения.
Применяемые в такой схеме алгоритмы цифровой подписи формально могут быть любыми (законодательных и иных ограничений нет) — главное, чтобы используемая технология удовлетворяла каждую из сторон. Конечно, отсутствие четких предписаний в этом вопросе дает дополнительную свободу и, как следствие, возможность применения штатных механизмов формирования и проверки ЭЦП, которые встроены в большинство операционных систем. Например, используемые в Windows алгоритмы обеспечивают достаточный уровень безопасности, однако корректность их реализации проверить невозможно. Существуют и бесплатно распространяемые криптографические модули, которые вроде бы тоже «должны обеспечивать», но никто этого не гарантирует. Однако, если стороны согласятся им доверять, это позволит существенно сократить затраты на создание системы: не надо покупать дополнительное программное обеспечение, а также, что немаловажно для географически распределенных систем, не требуется доставки дистрибутива до каждого конечного пользователя.
Тем не менее практика показывает, что чаще всего электронный документооборот применяется либо между несколькими крупными компаниями, где все участники в той или иной мере равноправны, либо между выделенным организатором и большим числом клиентов (например, системы «клиент — банк» или Internet-трейдинг). В первом случае стоимость электронных сделок достаточно велика и участники предпочитают не экономить за счет свободно распространяемых программ, а приобретают коммерческие версии средств криптографической защиты, в которых стойкий алгоритм ЭЦП не только заявлен, но и проверен (чаще всего такой проверкой служит сертификация в ФАПСИ).
Вторая схема оставляет выбор технологии цифровой подписи за организатором системы электронного документооборота; подключающиеся клиенты могут либо согласиться применить ее, либо вообще отказаться от участия в ней. Поэтому перед организатором стоит непростая задача — ему надо предложить технологию, удовлетворяющую всех. Для обеспечения этого большинство опять же прибегает к средствам, имеющим сертификат ФАПСИ.
Стоит отметить, что в последние два-три года наблюдается устойчивая тенденция перевода систем электронного документооборота, в которых изначально были выбраны более дешевые варианты средств цифровой подписи, на сертифицированные средства. Количество систем, в которых используются встроенные в ОС технологии ЭЦП, снижается. При выборе, например, системы электронных банковских платежей следует учесть, что использование сертифицированных средств цифровой подписи заслуженно считается конкурентным преимуществом.
Наряду с выбором алгоритма и технологии, его реализующей, немаловажную роль играет механизм распределения и обмена ключей, т. е. криптопротокол. Здесь ситуация выглядит не столь оптимистично. Некоторые серьезные банки или операторы по сдаче налоговой отчетности выбирают схему, которая сразу ставит их клиентов в незавидное положение, несмотря на то что все законодательные требования формально выполнены.
Аутентифицировать автора сообщения позволяют конфиденциальность закрытого ключа подписи (он известен только автору сообщения и никому больше, иначе ЭЦП можно подделать) и целостность доступного для всех открытого ключа (для корректной проверки ЭЦП). Укажем наиболее распространенные нарушения этих правил.
- Распространение закрытого ключа непосредственно организатором системы, а не формирование его клиентом. В таком случае обеспечивать конфиденциальность закрытого ключа будет не только его владелец, но и организатор, что создает дополнительные уязвимости и делает разбор конфликтных ситуаций абсурдным. Более того, это дает возможность организатору системы подписываться за своего клиента, что, конечно, недопустимо.
- В случае генерации закрытого ключа клиентом соответствующий ему открытый ключ передается по открытым каналам, где он может быть изменен. Это приведет к использованию для проверки сообщения неверного ключа, и правильная цифровая подпись будет принята другими участниками за ложную.
Первый недостаток в криптопротоколе более критичен: подделка сообщения может привести, например, к навязыванию невыгодных договорных условий или списанию денежных средств, что может стать причиной прямых финансовых потерь. Второй недостаток приводит к задержкам в подписании договоров или выполнении электронных поручений, так как для разрешения ситуации необходимо будет произвести смену ключей; финансовые потери в этом случае будут косвенными, связанными с приостановкой деятельности.
Удостоверяющий центр
Вторая правовая возможность подписания электронных документов цифровой подписью между организациями предусмотрена в сравнительно недавно принятом законе «Об ЭЦП». Ее основные преимущества — подписание документов без предварительного соглашения между сторонами, а также возможность проверки подлинности электронного документа третьей стороной.
Для того чтобы подписанный цифровой подписью электронный документ был признан полным аналогом бумажного документа, законом введены жесткие ограничения по технологии и организационным моментам.
Одно из таких ограничений — использование только сертифицированных технологий ЭЦП, которое продиктовано тем, что впоследствии электронные документы с цифровой подписью могут быть представлены третьим лицам, проверяющим (например, налоговым) органам или даже в суд. Использование слабых средств формирования ЭЦП позволило бы с легкостью подделывать документы, что, конечно, в такой ситуации недопустимо.
Для обеспечения доверия к открытым ключам в открытых информационных системах используется система распределения ключей, называемая инфраструктурой открытых ключей (Private Key Infrastructure, PKI), основанная на цифровых сертификатах, которые выдаются удостоверяющим центром — стороной, не участвующей в самом документообороте и пользующейся доверием его участников. Цифровой сертификат содержит в себе открытый ключ, данные, позволяющие идентифицировать его владельца, и дополнительную информацию (срок действия открытого ключа и т. п.). Чтобы исключить невозможность подмены открытого ключа, сам сертификат подписывается цифровой подписью удостоверяющего центра, открытый ключ которого каждый из участников получает при первоначальном подключении в систему.
Поскольку от качества услуг удостоверяющего центра зависит безопасность электронного документооборота, то (как обычно делается в аналогичных случаях, когда потребителю сложно разобраться в этом самостоятельно) введена система обязательного лицензирования его деятельности.
Построение системы электронного документооборота выглядит следующим образом: стороны подключаются к услугам удостоверяющего центра (между каждой из сторон и центром заключается соответствующий договор) и практически сразу могут приступить к подписанию электронных документов цифровой подписью. При этом, если у удостоверяющего центра есть региональные представительства, то стороны могут быть территориально удалены друг от друга. Разовые взаимоотношения сторон также не сказываются на эффективности электронного документооборота, так как, единожды заключив договор с удостоверяющим центром, обеспечивается возможность работы с любым из его клиентов.
Корпоративная или открытая?
Формально закон «Об ЭЦП» определяет оправданно жесткие требования к открытым (общедоступным) информационным системам, разрешая корпоративным самостоятельно определять правила работы с цифровой подписью. Тем не менее, предписав строить корпоративную систему на основании соглашения сторон, закон определяет цифровую подпись как аналог собственноручной не только для участников системы, но и для третьих лиц, не имеющих отношения к этому соглашению. Это несколько странно, поскольку возможность выбора нестойкой технологии и, соответственно, подделки ЭЦП может привести, например, к налоговым злоупотреблениям и «отмыванию денег» (из-за практически бесконтрольных переводов денежных средств и манипулирования отчетностью, в которых данное положение закона обязывает признать цифровую подпись правильной).
С другой стороны, и приведенная в законе «Об ЭЦП» граница между общедоступной и корпоративной системой также обладает недостатками. Отличительным признаком общедоступной системы является невозможность отказа в доступе к ней. Однако удостоверяющий центр всегда может отказать в предоставлении услуг даже без объяснения причин.
Поэтому, возможно, более правильно делать разделение на корпоративные и открытые информационные системы исходя из числа участвующих в них юридических лиц: в рамках одной организации система считается корпоративной, между несколькими — открытой. Таким образом, можно предположить, что после законодательного уточнения этого вопроса информационные системы холдинговых структур, которые сейчас работают как корпоративные, должны будут перейти в разряд открытых.
Перспективы
Несмотря на удобства, которые дает возможность использования услуг удостоверяющих центров, большинство систем электронного документооборота как были, так остаются корпоративными. Это в первую очередь связано с тем, что вопрос лицензирования деятельности удостоверяющих центров не проработан: не определен лицензирующий орган и даже не выработаны лицензионные требования. Поэтому работающим сегодня удостоверяющим центрам приходится опираться на разъяснительные письма ФАПСИ. В них определено, что до начала выдачи лицензий на предоставление услуг удостоверяющего центра ФАПСИ допускает работу удостоверяющих центров на основании трех своих лицензий: на услуги шифрования, распространение средств криптографической защиты и их обслуживание. Учитывая более высокий юридический статус федерального закона в сравнении с письмом контролирующего криптографию органа (который к тому же был расформирован), это выглядит не совсем строго.
Заложенная в законе иерархическая структура удостоверяющих центров с корневым федеральным центром должна обеспечивать возможность построения системы электронного документооборота с цифровой подписью между сторонами, которые пользуются услугами разных удостоверяющих центров. Однако на сегодняшний день подобной федеральной структуры не существует.
Крайне сомнительно, что появится коммерческий удостоверяющий центр, который другие удостоверяющие центры признают корневым: всякий хотел бы видеть на этом месте себя. Кроме того, современные технологии цифровой подписи лишь находятся на пути достижения совместимости (ведущие разработчики отечественной криптографии около года назад подписали соответствующее соглашение).
Для решения этого вопроса некоторые удостоверяющие центры, работающие на одной технологии, осуществляют взаимную сертификацию. Скорее всего, другие последуют их примеру, но это не является выходом из положения, так как каждый удостоверяющий центр должен обменяться сертификатами со всеми остальными, что при большом количестве удостоверяющих центров просто нереально.
Перспективы использования ЭЦП в электронном документообороте как внутри одной компании, так и между компаниями сомнений не вызывают, однако их реализация напрямую связана с построением системы удостоверяющих центров. В решении этой задачи остается немало подводных камней, из которых «самые опасные» описаны выше, а также ряд действительно нерешенных вопросов. При общей готовности как потенциальных потребителей, так и поставщиков решений следующий ход — за государством.
До наступления ясности в правовом вопросе использования цифровой подписи в открытых информационных системах, существующие системы электронного документооборота будут оставаться корпоративными. Самые современные из них будут формально готовы перейти в разряд общедоступных, как только это станет возможно.
Евгений Акимов — директор по развитию бизнеса компании «ИнфоТеКС Интернет Траст», akimov@infotecs.ru
Рекомендуемые типовые варианты построения инфраструктуры PKI в зависимости от решаемых задач
Электронный документооборот внутри одной или нескольких организаций (не требуется признание ЭЦП аналогом собственноручной подписи).
- Организуется подразделение для создания и поддержки инфраструктуры PKI.
- Выбирается технология ЭЦП, которая должна удовлетворять всех участников документооборота (не обязательно сертифицированная).
- Заключается соглашение между участвующими юридическими лицами (если их несколько) о признании договоров в электронном виде с подтверждением авторства по выбранной технологии правомочными или издается внутреннее распоряжение о введении электронного документооборота (внутри одной организации).
- Развертывается соответствующая технологическая структура и начинается функционирование электронного документооборота с ЭЦП.
Электронный документооборот в группе компаний или между компанией и клиентами (требуется признание ЭЦП аналогом собственноручной подписи с возможностью проверки ЭЦП третьей стороной).
- Выбирается удостоверяющий центр и технология ЭЦП (обязательно сертифицированная), которые должны удовлетворять всех участников документооборота.
- Каждое юридическое лицо заключает договор с удостоверяющим центром.
- Совместно с удостоверяющим центром развертывается соответствующая технологическая структура и начинается функционирование электронного документооборота с ЭЦП.
Примечание. Для возможности проверки ЭЦП третья сторона заключает договор с удостоверяющим центром.