Язев Андрей
Юридически значимый электронный документооборот (ЭДО) постепенно превращается из дискуссионной темы в реальность. Цель статьи — дать представление о теоретических основах ЭДО и электронно-цифровой подписи (ЭЦП) и привести примеры практического использования электронных документов в нынешних условиях. Как известно, закон об ЭЦП в Российской Федерации пока не принят (существуют различные варианты), и эта подпись применяется в замкнутых сообществах, связанных договорными отношениями. В предлагаемой вниманию читателя статье законопроекты и ситуация в случае принятия закона не рассматриваются.
С каждым днем электронный документооборот нарастает, особенно в связи с развитием Интернет-торговли на фондовом рынке. Безопасность торговли ценными бумагами через Сеть обеспечивается принципиально иными способами, чем при проведении торгов с использованием традиционных удаленных терминалов. Несанкционированный доступ к терминалам предотвращается путем их изоляции от внешнего мира: они устанавливаются в специальном помещении с особым режимом контроля и подключаются к торговой системе биржи с помощью выделенных каналов связи. Такая система достаточно надежна, но дорога, и потому круг ее пользователей существенно ограничен.
Интернет-трейдинг (онлайновая торговля ценными бумагами) в России начал активно развиваться после создания на Московской межбанковской валютной бирже универсального двунаправленного аппаратно-программного интерфейса (шлюза), позволяющего подключать к торговой системе биржи брокерские системы сбора клиентских заявок (приказов на покупку/продажу ценных бумаг), которые заполняются самими клиентами в электронной форме и передаются по компьютерным сетям.
Компьютерная обработка электронных заявок выполняется в тысячи раз быстрее, чем ручная обработка бумажных заявок. Электронные приказы проходят входной контроль с помощью специального программного обеспечения. Один из этапов такого контроля — проверка авторства и подлинности заявки. Необходимо убедиться, что: а) заявка не была искажена в процессе доставки по компьютерной сети от отправителя к получателю; б) заявку направило именно то физическое/юридическое лицо, от чьего имени она пришла. Технология проверки должна быть настолько убедительной, чтобы в случае судебного разбирательства судьи согласились использовать ее результаты для вынесения решения по спорному вопросу. Именно для этих целей и применяется электронно-цифровая подпись.
Что такое ЭЦП?
Известно, что содержимое любого документа (файла) представлено в компьютере как последовательность байтов и потому может быть однозначно описано определенным (очень длинным) числом или последовательностью нескольких более коротких чисел. Чтобы «укоротить» эту последовательность, не потеряв ее уникальности, применяют специальные математические алгоритмы, такие как контрольная сумма (control total) или хеш-функция (hash function). Если каждый байт файла умножить на его номер (позицию) в файле и полученные результаты суммировать, то получится более короткое, по сравнению с длиной файла, число. Изменение любого байта в исходном файле меняет итоговое число. На практике используются более сложные алгоритмы, исключающие возможность введения такой комбинации искажений, при которой итоговое число осталось бы неизменным. Хеш-функция определяется как уникальное число, полученное из исходного файла путем его «обсчета» с помощью сложного, но известного (открытого) алгоритма. Один из этих алгоритмов закреплен в ГОСТе Р 34.11-94 «Информационная технология. Криптографическая защита информации. Функция хеширования».
Теперь рассмотрим, как получается электронная подпись. Здесь требуется небольшое отступление. С древних времен известен криптографический метод, позднее названный шифрованием с помощью симметричного ключа, при использовании которого для зашифровки и расшифровки служит один и тот же ключ (шифр, способ). Главной проблемой симметричного шифрования является конфиденциальность передачи ключа от отправителя к получателю. Раскрытие ключа в процессе передачи равносильно раскрытию документа и предоставлению злоумышленнику возможности его подделать.
В 70-х гг. был изобретен алгоритм асимметричного шифрования. Суть его состоит в том, что зашифровывается документ одним ключом, а расшифровывается другим, причем по первому из них практически невозможно вычислить второй, и наоборот. Поэтому если отправитель зашифрует документ секретным ключом, а публичный, или открытый, ключ предоставит адресатам, то они смогут расшифровать документ, зашифрованный отправителем, и только им. Никто другой, не обладая секретным ключом отправителя, не сможет так зашифровать документ, чтобы он расшифровывался парным к секретному открытым ключом.
Отправитель, вычислив хеш-функцию документа, зашифровывает ее значение своим секретным ключом и передает результат вместе с текстом документа. Получатель по тому же алгоритму вычисляет хеш-функцию документа, потом с помощью предоставленного ему отправителем открытого ключа расшифровывает переданное значение хеш-функции и сравнивает вычисленное и расшифрованное значения. Если получатель смог расшифровать значение хеш-функции, используя открытый ключ отправителя, то зашифровал это значение именно отправитель. Чужой или искаженный ключ ничего не расшифрует. Если вычисленное и расшифрованное значения хеш-функции совпадают, то документ не был изменен. Любое искажение (умышленное или неумышленное) документа в процессе передачи даст новое значение вычисляемой получателем хеш-функции, и программа проверки подписи сообщит, что подпись под документом неверна.
Таким образом, в отличие от собственноручной подписи, ЭЦП неразрывно связана не с определенным лицом, а с документом и секретным ключом. Если дискетой с вашим секретным ключом завладеет кто-то другой, то он, естественно, сможет ставить подписи за вас. Однако вашу ЭЦП нельзя перенести с одного документа на какой-либо другой, ее невозможно скопировать, подделать — под каждым документом она уникальна. Процедуры хранения, использования, обновления и уничтожения ключей достаточно подробно расписаны в различных методических рекомендациях к системам ЭЦП.
Шифрование
Рассмотрим шифрование информации асимметричными ключами. Если поменять ключи местами, иными словами, секретным сделать ключ расшифровывания, а открытым (публичным) — ключ зашифровывания, то отправитель может зашифровать письмо открытым ключом получателя, и тогда прочитать письмо сумеет лишь тот, у кого имеется секретный парный ключ, т. е. только сам получатель. Великое преимущество асимметричной схемы шифрования в том и заключается, что отпадает необходимость в конфиденциальной передаче ключей. Открытый ключ можно сделать доступным на Web-сайте, передать по электронной почте и т. п., не опасаясь негативных последствий доступа к нему третьих лиц.
Для удобства шифрования и использования ЭЦП в корпоративных системах с большим числом абонентов применяются справочники открытых ключей. Каждый ключ имеет тело и номер, одинаковый для секретной и открытой частей ключа и уникальный для каждого абонента. Номер передается в открытом виде в заголовке зашифрованного документа или в заголовке ЭЦП. Получатель по этому номеру из соответствующего справочника выбирает сам ключ, который подставляется в процедуру расшифровывания или проверки подписи. Выполняется такая выборка, как правило, с помощью специальных программ, и вся процедура занимает доли секунды.
Управление ключевой системой
Важную роль в системе электронного документооборота играет администрация системы. Она обеспечивает контроль за соблюдением абонентами единых правил работы, участвует в разборе конфликтных ситуаций, управляет ключевой системой и, что очень важно, поддерживает у всех абонентов справочники открытых ключей в актуальном состоянии. Справочники меняются регулярно: при любом изменении списка участников, при замене каких-либо ключей. Необходимость замены ключей возникает, скажем, в случае их компрометации — под этим понимают ряд событий, при которых ключевая информация становится недоступной или возникает подозрение о несанкционированном доступе. К таким событиям относятся утрата ключевых дискет; утрата дискет с последующим обнаружением; повреждение дискет; увольнение сотрудника, имевшего доступ к ключевой информации; нарушение правил хранения и уничтожения (после окончания срока действия) секретных ключей и др.
При возникновении подобного события участник системы обязан незамедлительно уведомить администрацию системы (или ее подразделение — центр управления ключевой системой) о факте компрометации. В свою очередь, администрация должна блокировать открытый ключ участника в справочнике и оповестить об этом других участников (обновить у них справочники). Фиксация момента уведомления администрации о компрометации ключей очень важна. Действительными считаются только те документы участника, которые были получены до этого момента. Данный факт учитывается при разборе конфликтных ситуаций: прежде всего, проводится проверка, являлся ли ключ отправителя действующим на момент получения документа адресатом.
В том случае, когда в корпоративной системе документооборота предусмотрен обмен электронными документами лишь между центром (банком, брокерской фирмой, холдингом) и его клиентами, клиентам достаточно знать только один открытый ключ ЭЦП этого центра, последний же использует справочник открытых ключей всех клиентов. Если же в системе предусмотрена возможность обмена электронными документами между абонентами напрямую, то справочники с перечнями открытых ключей должны быть у всех участников и обновляться одновременно.
Пакет документов
Организация системы электронного документооборота не сводится к установке программного обеспечения. Значительно более сложным и трудоемким процессом (по крайней мере, на начальном этапе) является подготовка документов, подробно описывающих все процедуры функционирования системы, а также обучение сотрудников, которые будут обеспечивать ее работу. Упрощает ситуацию то, что образцы подобных документов уже существуют и можно заказать разработку всего пакета компании, имеющей опыт успешного применения ЭДО. Идеально, если эти документы прошли «проверку боем», то есть на их основе рассматривался конфликт в суде. Администрацию системы можно организовать на базе сторонней фирмы, располагающей соответствующими службами, квалифицированными сотрудниками, необходимыми комплектами договоров, определенным опытом обслуживания таких систем. Риск раскрытия конфиденциальной информации при этом отсутствует, поскольку секретными ключами участников администрация не обладает — она оперирует только справочниками открытых ключей. Важно, чтобы генерация ключей (включая секретные) проводилась уполномоченными сотрудниками участников (пусть и на территории лицензированной администрации, что будет описано ниже).
Необходимым элементом пакета документов по ЭДО является описание процедуры разбора конфликтной ситуации, когда одной из сторон необходимо доказать наличие и действительность ЭЦП другой стороны под электронным документом. Прежде всего, необходимо перечислить условия проверки ЭЦП: где проводится проверка, на каком аппаратном и программном обеспечении, кем, в какие сроки и т. д., а также какое решение принимается, если по каким-либо причинам эти условия не удается соблюсти. Сама процедура проверки должна быть описана по шагам, и исключать двойное толкование результатов; необходимо указать два типа действий — при положительном и отрицательном исходе выполнения каждого шага. Таким образом, у комиссии, занимающейся проверкой, после завершения процедуры должно сформироваться единое мнение, а затем конфликтующие стороны могут либо заключить мировое соглашение, либо обратиться в суд.
О сертификации
В суде может возникнуть вопрос о качестве программного обеспечения (ПО), с помощью которого формируется и проверяется ЭЦП; в таком случае потребуется экспертиза ПО. Если ПО сертифицировано, а правом сертифицировать средства криптозащиты информации у нас в стране обладает Федеральное агентство правительственной связи и информации (ФАПСИ), то экспертиза не нужна. Если же сертификата нет, на этом формальном основании суд может отклонить рассмотрение спора (поскольку выполнение экспертизы ПО с разумными финансовыми затратами и за короткое время вряд ли реально), а может и не отклонить (право в нашей стране не прецедентное) и вынести решение без экспертизы ПО (например, если в договоре указано, что стороны доверяют применяемым ими программным средствам криптозащиты информации).
К настоящему времени ФАПСИ сертифицировало достаточно много аппаратных средств и только одно программное средство криптозащиты информации — ПО «Верба-О» и его «производные», разработанные Московским отделением Пензенского научно-исследовательского электротехнического института. Несертифицированных средств известно достаточно много (платных и бесплатных, российских и зарубежных) — «ЛАН Крипто», PGP, Excellence и др. Почему же несертифицированные средства находят применение? На наш взгляд, наиболее существенной причиной (помимо стоимости ПО и противоречий в законодательстве) является то, что генерация ключей для «Вербы-О» производится только на компьютере со специальным программным обеспечением, который установлен в компании, имеющей соответствующую лицензию ФАПСИ. В результате теряется основное преимущество применяемых в данной системе асимметричных ключей — открытость передачи.
Клиент не может, как при использовании других систем, сгенерировать ключи на своем компьютере и отправить открытый ключ по электронной почте в центр (банку, брокеру, холдинговой компании) или особой администрации системы. Уполномоченный сотрудник клиента должен явиться в лицензированную компанию, осуществить генерацию ключей на этом специальном компьютере, распечатать карточку открытого ключа, отвезти ее в свою фирму и заверить у руководителя, наконец, отправить почтой или курьером обратно администрации ЭДО. Если администрация находится в Москве, а клиент на Камчатке, такая процедура окажется дорогой и длительной. Не возбраняется, конечно, доверить генерацию ключей администрации ЭДО, которая потом отошлет дискеты почтой, но тут не избежать угрозы несанкционированного доступа к секретным ключам и возможных отводов в суде.
О лицензировании
Обычно наряду с вопросом о сертификации поднимается и вопрос о лицензировании, т. е. о получении права на применение средств шифрования (к которым относится и ЭЦП). Существуют различные точки зрения на возможность безлицензионной деятельности в сфере шифрования и использования ЭЦП (или фактических аналогов такой деятельности, называемых другими терминами). Их аргументируют ссылками на статьи Федеральных законов и Гражданского кодекса, а также на ведомственные акты (например, Положения Банка России)*. Не углубляясь в эту дискуссионную тему, хотелось бы высказать ряд соображений.
Если организация приняла решение получить лицензию, надо учесть следующие моменты. Лицензии на применение средств шифрования, а также на их обслуживание и распространение выдает ФАПСИ. Лицензия предоставляется, как правило, на использование только сертифицированных средств шифрования, иными словами, получить лицензию на применение несертифицированных средств и тем более средств зарубежного производства практически невозможно. Затраты на все процедуры, связанные с выдачей лицензии, оцениваются производителями систем «Банк — Клиент» (наиболее часто применяющих ЭЦП), судя по их прейскурантам, в 3 — 3,5 тыс. долл. Кроме того, претендент на лицензию (заявитель) должен выполнить определенные требования ФАПСИ, в частности подготовить специально оборудованное помещение (двери, замки, решетки на окнах, сигнализация и т. д.), провести платное обучение специалистов в ФАПСИ, обеспечить наличие средств, необходимых для хранения и использования ключевой информации (сейфы, шкафы, инструкции, журналы, приказы и пр.). Проверку заявителя на соответствие этим требованиям выполняет специальная комиссия ФАПСИ, она же дает заключение о возможности предоставления лицензии.
Срок прохождения всех указанных процедур (от момента подачи заявления с пакетом документов до получения лицензии) — примерно полгода. Лицензированная организация защищена от обвинений в несоблюдении законодательства о защите информации, но вынуждена приобретать исключительно сертифицированные средства, поскольку лицензия распространяется только на них. При использовании «Вербы-О» затраты на приобретение специального программно-аппаратного обеспечения (за вычетом стоимости компьютера) составят около 1,3 — 1,5 тыс. долл. за комплект с возможностью генерации ключей шифрования и ЭЦП для 10 пользователей. На каждого последующего пользователя потребуется примерно 20 — 60 долл. (в зависимости от комплектации средств шифрования).
Существенным положительным моментом применения сертифицированного ПО является наличие разнообразной пользовательской и методической документации. В ней подробно описаны все процедуры управления системами шифрования и ЭЦП, перечислены требования к обеспечению информационной безопасности и вытекающие из них обязанности должностных лиц, а также приведены примеры используемых документов (журналов, рабочих тетрадей).
Практика применения систем ЭЦП
Электронный документооборот успешно применяется многими организациями, и одной из них является «Расчетный центр Финансового дома» (г. Санкт-Петербург). Программное обеспечение «Верба-О», сертифицированное ФАПСИ, используется здесь в системе клиринговых межбанковских расчетов. В отличие от многих систем ЭДО, поддерживающих лишь двусторонний обмен документами между банком и его клиентом, клиринговая система предусматривает многосторонний обмен. Поскольку участниками системы являются банки, пакет документов по ЭДО был проанализирован, отредактирован и, в конце концов, одобрен юридическими службами крупнейших банков Санкт-Петербурга. Это позволяет считать его достаточно полным, подробным и качественным.
В состав пакета входят: 1) «Соглашение об электронно-цифровом документообороте», в котором описаны единые для всех правила использования системы; 2) двусторонние договоры о ведении клирингового счета, в которых даются ссылки на «Соглашение...»; 3) «Положение о ключевом и парольном управлении», в котором представлены процедуры генерации, передачи, обновления, блокирования, хранения и уничтожения ключевой информации; 4) ряд приложений, в числе которых «Форматы электронных цифровых документов (ЭЦД)».
Описание форматов ЭЦД зачастую отсутствует в документации корпоративных систем ЭДО. В то же время едва ли найдется система, обеспечивающая передачу по сети изображений бумажных документов (например, платежных поручений). Как правило, передаются только заполняемые поля, записанные в определенной последовательности, которые затем подставляются программой в бланки для экранных и печатных форм. Электронная подпись ставится именно под отправляемым блоком изменяемых полей документа, а не под его изображением. Если формат сообщений сторонами изначально не согласован и не закреплен в специальном документе подписями и печатями, то в суде окажется очень трудно доказать, в какое поле экранной или печатной формы платежного поручения должно подставляться соответствующее значение из электронного документа. И тогда подписанный и переданный файл не будет иметь юридического значения.
Согласно действующим положениям, электронные документы должны храниться столько же, сколько и бумажные (например, платежные поручения — 5 лет). Хранение файлов на магнитных носителях в течение такого срока может привести к их утрате, поэтому рекомендуется формировать архивы электронных документов на компакт-дисках. Одной из типичных ошибок организаторов систем ЭДО является архивное хранение документов в зашифрованном виде. Считается, что если документы передаются по открытой сети зашифрованными (для обеспечения конфиденциальности), то и хранить их нужно так же. Но тогда при физической утрате ключевой дискеты или невозможности считать с нее секретный ключ весь зашифрованный архив станет недоступным. Кроме того, возникает необходимость либо хранить все секретные ключи за всю историю работы системы (регулярно проверяя их читаемость), либо вновь зашифровывать и перезаписывать архивы при каждой смене ключевых дискет.
В действительности после получения электронного документа адресатом потребность в шифровании отпадает. Задачу защиты от несанкционированного доступа к документам в своей локальной сети каждый решает сам. А для проверки ЭЦП отправителя ключевая дискета вообще не нужна — достаточно иметь открытый ключ ЭЦП отправителя или справочник открытых ключей, в котором он содержится. Документы, хранящиеся в электронном архиве, при необходимости можно распечатывать. При этом ЭЦП распечатывается в шестнадцатеричном виде. «Качество» подписи в таком случае не снижается, а в программу проверки, как правило, ее можно ввести и вручную. Если формат документов в системе описан нестрого (допускается, например, использовать два пробела вместо одного, или знаки табуляции вместо группы пробелов, или неотображаемые при печати символы), то и печатный текст самого документа необходимо продублировать в шестнадцатеричном виде. Иначе будет очень затруднительно воспроизвести оригинал документа на компьютере по его распечатанной копии. Наличие любого незамеченного или лишнего пробела либо знака приведет к тому, что программа проверки признает ЭЦП неверной.
Если все эти требования соблюдаются, то у электронного документооборота будет значительно меньше подводных камней. Остается пожелать удачи вам и вашим клиентам.