Содержание
Что такое электронная подпись — простым языком для новичков мира цифровой экономики
30 октября 2017
В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.
Что такое электронная подпись?
Электронная подпись – это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.
Справочно:
Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т. д.
Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:
— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,
— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.
Возможности электронной подписи
Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.
Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.
Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.
Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?
Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.
Справочно:
Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.
Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).
Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.
Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.
Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.
Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?
Выданная электронная подпись состоит из 3 элементов:
1 – средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако». Подробнее прочитать о технологиях ЭЦП, связанных с использованием «электронного облака», можно будет в следующей статье Единого портала Электронной подписи.
Справочно:
Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.
Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона № 63.
2 – ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них – ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете. Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым». Он не содержится в тайне, однозначно привязан к «закрытому» ключу и необходим, чтобы любой желающий мог проверить корректность электронной подписи.
3 – сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией). На практике это выглядит следующим образом: например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову. Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим. Таким образом, преступник получит возможность выдавать себя за подписанта. В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.
В соответствии с законодательством РФ различают:
— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;
— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.
Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр — понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.
Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:
- Клиент приобрел средство электронной подписи.
- Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.
- УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.
Вопрос безопасности
Требуемые свойства подписываемых документов:
- целостность;
- достоверность;
- аутентичность (подлинность; «неотрекаемость» от авторства информации).
Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.
С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.
Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.
Как подписать файл электронной подписью?
Для подписания файла ЭЦП нужно выполнить несколько шагов. В качестве примера рассмотрим, как поставить квалифицированную электронную подпись на свидетельство на товарный знак Единого портала Электронной подписи в формате .pdf. Нужно:
1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».
2. Пройти путь в диалоговых окнах криптопровайдера:
Выбрать кнопку «Далее».
На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.
Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).
В блоке «Свойства подписи» выбираете «Подписано», при необходимости можно добавить комментарий. Остальные поля можно исключить/выбрать по желанию.
Из хранилища сертификатов выбираете нужный.
После проверки правильности поля «Владелец сертификата», нажимайте кнопку «Далее».
В данном диалоговом окне проводится финальная проверка данных, необходимых для создания электронной подписи, а затем после клика на кнопку «Готово» должно всплыть следующее сообщение:
Успешное окончание операции означает, что файл был криптографически преобразован и содержит реквизит, фиксирующий неизменность документа после его подписания и обеспечивающий его юридическую значимость.
Итак, как же выглядит электронная подпись на документе?
Для примера берем файл, подписанный электронной подписью (сохраняется в формате .sig), и открываем его через криптопровайдер.
Фрагмент рабочего стола. Слева: файл, подписанный ЭП, справа: криптопровайдер (например, КриптоАРМ).
Визуализация электронной подписи в самом документе при его открытии не предусмотрена ввиду того, что она является реквизитом. Но есть исключения, например, электронная подпись ФНС при получении выписки из ЕГРЮЛ/ЕГРИП через онлайн сервис условно отображается на самом документе. Скриншот можно найти по ссылке.
Но как же в итоге «выглядит» ЭЦП, вернее, как факт подписания обозначается в документе?
Открыв через криптопровайдер окно «Управление подписанными данными», можно увидеть информацию о файле и подписи.
При нажатии на кнопку «Посмотреть» появляется окно, содержащее информацию о подписи и сертификате.
Последний скриншот наглядно демонстрирует как выглядит ЭЦП на документе «изнутри».
Приобрести электронную подпись можно по ссылке.
Задавайте другие вопросы по теме статьи в комментариях, эксперты Единого портала Электронной подписи обязательно ответят Вам.
Статья подготовлена редакцией Единого портала Электронной подписи iEcp.ru с использованием материалов компании SafeTech.
При полном или частичном использовании материала гиперссылка на www.iecp.ru обязательна.
Подписаться
23 августа 2017
Информационная безопасность в мире цифровой экономики
Цифровая экономика стремительно вытесняет старый уклад во всех сферах деятельности современного общества. Трансформируется частная жизнь и рабочие места, появляются новые профессии и инструменты взаимодействия. В эпоху столь масштабных преобразований всё большую актульность принимает проблема информационной безопасности в организациях. Исполнительный директор АЭТП Илия Димитров и заместитель директора Академии Информационных Систем Игорь Елисеев прокомментировали вопрос становления цифровой экономики и основные аспекты обеспечения ИБ в современных компаниях.
Что такое ЭЦП, для чего нужна и как ее получить
ЭЦП — это электронная цифровая подпись. Она имеет такую же юридическую силу, как и рукописная, и сильно облегчает документооборот и «общение» с государственными инстанциями. А если получить квалифицированную ЭЦП, можно заверять отчетные документы, декларации и заявления на участие в тендерах.
Подробнее о том, как выбрать и получить нужную ЭЦП, читайте в этой статье.
Какие бывают ЭЦП
Федеральным законом «Об электронной подписи» установлено два вида электронной цифровой подписи: простая и усиленная. Давайте разбираться, чем они отличаются и как их получить.
Простая электронная цифровая подпись
Простая ЭЦП формируется с помощью кодов и паролей.
Кому и где пригодится
Простой ЭЦП пользуются физические лица.
Для чего нужна простая ЭЦП:
- подать заявление на портале «Госуслуги»;
- подтвердить перевод денег через мобильное приложение банка;
- заверить заявление, подаваемое в госорганы, если оно подается удаленно;
- авторизоваться в личном кабинете, например в RU-CENTER, и т. п.
Как получить и поставить
Простая ЭЦП формируется при регистрации на сайтах, в приложениях и сервисах. Вы заполняете форму с вашими данными, вводите логин и пароль, а потом подтверждаете данные, вводя код из СМС или кликая по ссылке из email-рассылки. Код или переход по ссылке и будет вашей цифровой подписью.
Иногда для регистрации подписи нужно прийти с документами в соответствующий орган и подтвердить свою личность. Например, чтобы пользоваться всеми возможностями «Госуслуг», нужно подтвердить свою учетную запись. Для этого с паспортом и СНИЛС приходят в центр обслуживания населения «Мои документы», запрашивают доступ через аккаунт в Сбербанке, Тинькофф Банке, Почта Банке или получают код заказным письмом.
Усиленная электронная цифровая подпись
Усиленная ЭЦП бывает двух видов: неквалифицированная и квалифицированная. Может использоваться физическими и юридическими лицами.
Неквалифицированная электронная подпись — это подпись в виде ключа, хранящегося на USB-носителе. Ее оформляют платно в удостоверяющем центре. Применение неквалифицированной электронной подписи ограничено.
Квалифицированная электронная подпись отличается от неквалифицированной только тем, что ключ проверки будет сертифицирован.
Кому и где пригодится
Неквалифицированную электронную подпись можно использовать:
- в электронном документообороте внутри компании или с контрагентами;
- для участия в госзакупках;
- для подачи документов физическими лицами в налоговые органы через кабинет налогоплательщика.
Квалифицированную электронную подпись можно использовать:
- в тех же случаях, что и простую ЭЦП и неквалифицированную ЭЦП;
- для передачи электронных налоговых деклараций в ИФНС;
- для участия в электронных торгах, на которых подписываются заявки на тендеры и тендерная документация в электронном виде;
- для оформления документов в системе дистанционного банковского обслуживания.
Как поставить
Чтобы поставить неквалифицированную или квалифицированную ЭЦП, необходимо запустить на компьютере ключ с USB-носителя. Затем потребуется зайти в программу для криптозащиты информации (СКЗИ) и загрузить в нее документ, который нужно подписать.
Страница загрузки документов в программе для криптозащиты информации «Контур Крипто»
После того как вы загрузили документ, СКЗИ сама сгенерирует подпись.
Отправить подписанный документ можно через саму программу. Он появится во входящих сообщениях у вашего адресата. В программе «Контур Диадок» адресаты называются контрагентами.
Если нужно отправить документы тому, у кого нет электронного документооборота, можно сохранить файл на компьютере и отправить его по электронной почте.
Как получить
Получить неквалифицированную электронную подпись можно в удостоверяющем центре.
Квалифицированную подпись тоже выдают в удостоверяющем центре, но он обязательно должен быть сертифицирован ФСБ и аккредитован Министерством цифрового развития, связи и массовых коммуникаций. Оформляется только в вашем присутствии — сотрудник центра должен проверить и подтвердить вашу личность.
Список аккредитованных удостоверяющих центров можно посмотреть на сайте Министерства.
Документы, которые потребуются физическому лицу:
- паспорт;
- ИНН;
- свидетельство о регистрации деятельности, если подпись оформляется для ИП;
- СНИЛС.
Документы, которые потребуются юридическому лицу:
- паспорт и СНИЛС того человека, на чье имя будет оформлена подпись;
- свидетельство о постановке компании на учет в ИФНС;
- подтверждение занимаемой должности;
- копия устава компании;
- сведения о регистрации компании.
Вместе с подписью выдается сертификат, подтверждающий подлинность подписи конкретного лица и криптоключ.
Как ЭЦП может пригодиться в RU-CENTER
В RU-CENTER можно использовать электронную цифровую подпись для авторизации на сайте без ввода номера договора и пароля. Это удобно и безопасно. Подключить авторизацию через ЭЦП можно в личном кабинете. Рассказываем, как это сделать.
1. В верхнем меню раздела «Для клиентов» выберите «Договор» → «Настройки безопасности»:
2. Кликните на кнопку «Авторизация с ЭЦП»:
3. Перейдите по ссылке, если у вас не установлено программное обеспечение для работы с ЭЦП:
4. Если приложение установлено, нажмите «Включить»:
5. Выберите нужный сертификат для входа:
6. Готово! Вы подключили авторизацию с ЭЦП:
Теперь вам не нужно каждый раз вводить номер договора и пароль при входе в аккаунт. Для этого выберите «Вход по электронной подписи» на странице авторизации.
Страница авторизации RU-CENTER
Какой вид подписи нужен именно вам
Перед тем как оформить конкретный вид подписи, подумайте, для каких задач она потребуется.
- Если вы физическое лицо и подпись нужна вам для ежедневных задач, хватит и простой ЭЦП.
- Юридическим лицам для электронного документооборота и физическим лицам для подачи документов в налоговые органы будет достаточно неквалифицированной ЭЦП.
- Юридическим лицам для работы с государственными порталами, участия в электронных торгах нужна квалифицированная ЭЦП.
Понимание цифровых подписей | CISA
Просмотреть предыдущие советы
Исходная дата выпуска: 17 декабря 2009 г. | Последняя редакция: 24 августа 2020 г.
Термины «цифровая подпись» и «электронная подпись» иногда путают или используют как синонимы. Хотя цифровые подписи являются формой электронной подписи, не все электронные подписи являются цифровыми подписями. Электронные подписи, также называемые электронными подписями, — это любой звук, символ или процесс, которые показывают намерение что-то подписать. Это может быть скан вашей собственноручной подписи, печати или записанное устное подтверждение. Электронной подписью может быть даже ваше имя, напечатанное в строке подписи документа.
Что такое цифровая подпись?
Цифровая подпись — разновидность электронной подписи — представляет собой математический алгоритм, обычно используемый для проверки подлинности и целостности сообщения (например, электронного письма, транзакции по кредитной карте или цифрового документа). Цифровые подписи создают виртуальный отпечаток пальца, который уникален для физического или юридического лица и используется для идентификации пользователей и защиты информации в цифровых сообщениях или документах. В электронных письмах само содержимое электронной почты становится частью цифровой подписи. Цифровые подписи значительно более безопасны, чем другие формы электронных подписей.
Зачем использовать цифровую подпись?
Цифровые подписи повышают прозрачность онлайн-взаимодействий и укрепляют доверие между клиентами, деловыми партнерами и поставщиками.
Как работают цифровые подписи?
Ознакомьтесь со следующими терминами, чтобы лучше понять, как работают цифровые подписи:
- Хеш-функция — Хеш-функция (также называемая «хэшем») представляет собой строку фиксированной длины из цифр и букв, сгенерированную с помощью математического алгоритма. и файл произвольного размера, такой как электронная почта, документ, изображение или другой тип данных. Эта сгенерированная строка уникальна для хешируемого файла и представляет собой одностороннюю функцию — вычисленный хэш нельзя обратить вспять, чтобы найти другие файлы, которые могут генерировать такое же значение хеш-функции. Некоторые из наиболее популярных алгоритмов хеширования, используемых сегодня, — это алгоритм безопасного хеширования-1 (SHA-1), семейство алгоритмов безопасного хэширования-2 (SHA-2 и SHA-256) и дайджест сообщения 5 (MD5).
- Криптография с открытым ключом . Криптография с открытым ключом (также известная как асимметричное шифрование) представляет собой криптографический метод, использующий систему пар ключей. Один ключ, называемый открытым ключом, шифрует данные. Другой ключ, называемый закрытым ключом, расшифровывает данные. Криптография с открытым ключом может использоваться несколькими способами для обеспечения конфиденциальности, целостности и подлинности. Криптография с открытым ключом может
- Обеспечьте целостность, создав цифровую подпись сообщения с использованием закрытого ключа отправителя. Это делается путем хэширования сообщения и шифрования хэш-значения с помощью их закрытого ключа. При этом любые изменения в сообщении приведут к другому значению хеш-функции.
- Обеспечьте конфиденциальность, зашифровав все сообщение открытым ключом получателя. Это означает, что только получатель, владеющий соответствующим закрытым ключом, может прочитать сообщение.
- Подтвердите личность пользователя с помощью открытого ключа и сверьте его с центром сертификации.
- Инфраструктура открытых ключей (PKI) — PKI состоит из политик, стандартов, людей и систем, которые поддерживают распространение открытых ключей и проверку подлинности физических или юридических лиц с помощью цифровых сертификатов и центра сертификации.
- Центр сертификации (ЦС) . ЦС — это доверенная третья сторона, которая проверяет личность человека и либо создает пару открытого/закрытого ключа от его имени, либо связывает существующий открытый ключ, предоставленный лицом этому лицу. Как только ЦС подтверждает чью-либо личность, он выдает цифровой сертификат, подписанный ЦС в цифровой форме. Затем цифровой сертификат можно использовать для проверки лица, связанного с открытым ключом, по запросу.
- Цифровые сертификаты — Цифровые сертификаты аналогичны водительским удостоверениям в том смысле, что их цель — идентифицировать владельца сертификата. Цифровые сертификаты содержат открытый ключ лица или организации и имеют цифровую подпись ЦС. В сертификат также может быть включена другая информация об организации, физическом лице и ЦС.
- Pretty Good Privacy (PGP)/OpenPGP — PGP/OpenPGP является альтернативой PKI. При использовании PGP/OpenPGP пользователи «доверяют» другим пользователям, подписывая сертификаты людей с поддающейся проверке личностью. Чем более взаимосвязаны эти подписи, тем выше вероятность проверки конкретного пользователя в Интернете. Эта концепция называется «Сеть доверия».
Цифровые подписи доказывают, что цифровое сообщение или документ не были изменены — преднамеренно или непреднамеренно — с момента его подписания. Цифровые подписи делают это, генерируя уникальный хэш сообщения или документа и шифруя его с помощью закрытого ключа отправителя. Сгенерированный хэш уникален для сообщения или документа, и изменение любой его части полностью изменит хэш.
После завершения сообщение или цифровой документ подписывается цифровой подписью и отправляется получателю. Затем получатель генерирует собственный хэш сообщения или цифрового документа и расшифровывает хэш отправителя (включенный в исходное сообщение) с помощью открытого ключа отправителя. Получатель сравнивает сгенерированный им хэш с расшифрованным хэшем отправителя; если они совпадают, сообщение или цифровой документ не были изменены и отправитель аутентифицирован.
Почему следует использовать PKI или PGP с цифровыми подписями?
Использование цифровых подписей в сочетании с PKI или PGP усиливает их и снижает возможные проблемы безопасности, связанные с передачей открытых ключей, путем проверки принадлежности ключа отправителю и проверки личности отправителя. Безопасность цифровой подписи почти полностью зависит от того, насколько хорошо защищен закрытый ключ. Без PGP или PKI невозможно подтвердить чью-либо личность или отозвать скомпрометированный ключ; это может позволить злоумышленникам выдавать себя за кого-то без какого-либо метода подтверждения.
Благодаря использованию доверенной третьей стороны цифровые подписи могут использоваться для идентификации и проверки лиц и обеспечения целостности сообщения.
Поскольку безбумажные онлайн-взаимодействия используются все шире, цифровые подписи могут помочь вам защитить и защитить целостность ваших данных. Понимая и используя цифровые подписи, вы можете лучше защитить свою информацию, документы и транзакции.
Авторы
CISA
Этот продукт предоставляется в соответствии с настоящим Уведомлением и настоящей Политикой конфиденциальности и использования.
Пожалуйста, поделитесь своими мыслями.
Недавно мы обновили наш анонимный обзор продуктов; мы будем рады вашим отзывам.
Что такое цифровая подпись?
Безопасность
Цифровая подпись — это математический метод, используемый для проверки подлинности и целостности сообщения, программного обеспечения или цифрового документа. Это цифровой эквивалент собственноручной подписи или штампа, но он обеспечивает гораздо более высокий уровень безопасности. Цифровая подпись предназначена для решения проблемы фальсификации и выдачи себя за другое лицо в цифровых коммуникациях.
Цифровые подписи могут служить доказательством происхождения, идентичности и статуса электронных документов, транзакций или цифровых сообщений. Подписанты также могут использовать их для подтверждения информированного согласия.
Во многих странах, в том числе в США, цифровые подписи считаются юридически обязательными так же, как и традиционные рукописные подписи документов.
Как работают цифровые подписи?
Цифровые подписи основаны на криптографии с открытым ключом, также известной как асимметричная криптография . Используя алгоритм открытого ключа, такой как RSA (Rivest-Shamir-Adleman), генерируются два ключа, создавая математически связанную пару ключей, один закрытый и один открытый.
Цифровые подписи работают через два взаимно аутентифицирующих криптографических ключа криптографии с открытым ключом. Человек, который создает цифровую подпись, использует закрытый ключ для шифрования данных, связанных с подписью, в то время как единственный способ расшифровать эти данные — использовать открытый ключ подписавшего.
Если получатель не может открыть документ с помощью открытого ключа подписавшего, это признак проблемы с документом или подписью. Вот как аутентифицируются цифровые подписи.
Технология цифровой подписи требует, чтобы все стороны были уверены в том, что лицо, создавшее подпись, сохранило закрытый ключ в тайне. Если кто-то еще имеет доступ к закрытому ключу подписи, эта сторона может создать мошеннические цифровые подписи от имени владельца закрытого ключа.
Каковы преимущества цифровых подписей?
Безопасность — главное преимущество цифровых подписей. Возможности безопасности, встроенные в цифровые подписи, гарантируют, что документ не будет изменен, а подписи законны. Функции и методы безопасности, используемые в цифровых подписях, включают следующее:
- Персональные идентификационные номера (ПИН-коды), пароли и коды. Используется для аутентификации и проверки личности подписывающего лица и утверждения его подписи. Электронная почта, имя пользователя и пароль являются наиболее распространенными методами.
- Асимметричная криптография. Использует алгоритм с открытым ключом, который включает шифрование и аутентификацию с открытым и закрытым ключами.
- Контрольная сумма . Длинная строка букв и цифр, представляющая сумму правильных цифр в фрагменте цифровых данных, с которыми можно проводить сравнения для обнаружения ошибок или изменений. Контрольная сумма действует как отпечаток данных.
- Циклический контроль избыточности ( CRC ). Код обнаружения ошибок и функция проверки, используемые в цифровых сетях и устройствах хранения для обнаружения изменений в необработанных данных.
- Центр сертификации ( CA ) проверка. Центры сертификации выдают цифровые подписи и действуют как доверенные третьи стороны, принимая, аутентифицируя, выдавая и поддерживая цифровые сертификаты. Использование ЦС помогает избежать создания поддельных цифровых сертификатов.
- Проверка поставщика услуг доверия (TSP). TSP — это физическое или юридическое лицо, которое выполняет проверку цифровой подписи от имени компании и предоставляет отчеты о проверке подписи.
Другие преимущества использования цифровых подписей включают следующее:
- Отметка времени. Предоставляя данные и время цифровой подписи, отметка времени полезна, когда время имеет решающее значение, например, при торговле акциями, выпуске лотерейных билетов и судебных разбирательствах.
- Принят во всем мире и соответствует требованиям законодательства. Стандарт инфраструктуры открытых ключей (PKI) обеспечивает безопасное создание и хранение ключей, сгенерированных поставщиком. Из-за международного стандарта все большее число стран признают цифровые подписи юридически обязательными.
- Экономия времени. Цифровые подписи упрощают трудоемкие процессы подписания, хранения и обмена физическими документами, позволяя предприятиям быстро получать доступ к документам и подписывать их.
- Экономия средств. Организации могут отказаться от бумажных документов и сэкономить деньги, ранее потраченные на физические ресурсы, а также на время, персонал и офисные площади, используемые для управления ими и их транспортировки.
- Положительное воздействие на окружающую среду. Сокращение использования бумаги также снижает количество физических отходов, образующихся при использовании бумаги, и негативное воздействие транспортировки бумажных документов на окружающую среду.
- Прослеживаемость. Цифровые подписи создают контрольный журнал, упрощающий ведение внутренних записей для бизнеса. Когда все записывается и хранится в цифровом виде, у лица, подписывающего документы вручную, или у регистратора становится меньше возможностей ошибиться или что-то поставить не на место.
Как создать цифровую подпись?
Для создания цифровой подписи используется программное обеспечение для подписи, такое как программа электронной почты, для предоставления одностороннего хэша электронных данных, подлежащих подписи.
Хэш — это строка фиксированной длины из букв и цифр, сгенерированная алгоритмом. Затем закрытый ключ создателя цифровой подписи используется для шифрования хэша. Зашифрованный хеш вместе с другой информацией, такой как алгоритм хеширования, является цифровой подписью.
Причиной шифрования хеша вместо всего сообщения или документа является то, что хеш-функция может преобразовать произвольный ввод в значение фиксированной длины, которое обычно намного короче. Это экономит время, так как хеширование происходит намного быстрее, чем подпись.
Значение хэша уникально для хешированных данных. Любое изменение данных, даже изменение одного символа, приведет к другому значению. Этот атрибут позволяет другим использовать открытый ключ подписывающей стороны для расшифровки хэша для проверки целостности данных.
Если расшифрованный хэш совпадает со вторым вычисленным хэшем тех же данных, это доказывает, что данные не изменились с момента подписания. Если два хэша не совпадают, данные либо были каким-то образом изменены и скомпрометированы, либо подпись была создана с использованием закрытого ключа, который не соответствует открытому ключу, представленному подписывающей стороной — проблема с аутентификацией. .
Пользователь создает цифровую подпись, используя закрытый ключ для шифрования подписи. При этом хеш-данные создаются и шифруются. Получатель использует открытый ключ подписывающей стороны для расшифровки подписи.
Цифровая подпись может использоваться с любым типом сообщения, независимо от того, зашифровано оно или нет, просто чтобы получатель мог быть уверен в личности отправителя и в том, что сообщение доставлено в целости и сохранности. Цифровые подписи затрудняют для подписывающего лица отрицание того, что он что-то подписал, поскольку цифровая подпись уникальна как для документа, так и для подписывающего лица и связывает их вместе. Это свойство называется неотказуемость .
Цифровые подписи не следует путать с цифровыми сертификатами. Цифровой сертификат — это электронный документ, содержащий цифровую подпись выдавшего ЦС. Он связывает открытый ключ с удостоверением личности и может использоваться для проверки принадлежности открытого ключа конкретному лицу или организации.
Большинство современных программ электронной почты поддерживают использование цифровых подписей и цифровых сертификатов, что позволяет легко подписывать любые исходящие электронные письма и проверять входящие сообщения с цифровой подписью. Цифровые подписи также широко используются для подтверждения подлинности, целостности данных и неотказуемости сообщений и транзакций, проводимых через Интернет.
Классы и типы цифровых подписей
Существует три разных класса сертификатов цифровой подписи (DSC):
- Класс 1. Не может использоваться для юридических деловых документов, поскольку они проверяются только на основе идентификатора электронной почты и имени пользователя. Подписи класса 1 обеспечивают базовый уровень безопасности и используются в средах с низким риском компрометации данных.
- Класс 2. Часто используется для электронной подачи (электронной подачи) налоговых документов, включая декларации по подоходному налогу и декларации по налогу на товары и услуги (GST). Цифровые подписи класса 2 аутентифицируют личность подписавшего по предварительно проверенной базе данных. Цифровые подписи класса 2 используются в средах с умеренными рисками и последствиями компрометации данных.
- Класс 3. Самый высокий уровень цифровых подписей, подписи Класса 3 требуют, чтобы лицо или организация представились перед удостоверяющим центром, чтобы подтвердить свою личность перед подписанием. Цифровые подписи класса 3 используются для электронных аукционов, электронных торгов, электронных билетов, подачи документов в суд и в других средах, где высока угроза данным или последствия сбоя безопасности.
Использование цифровых подписей
Отрасли используют технологию цифровой подписи для оптимизации процессов и повышения целостности документов. Отрасли, в которых используются цифровые подписи, включают следующее:
- Правительство. Издательство правительства США (GPO) публикует электронные версии бюджетов, государственных и частных законов и законопроектов Конгресса с цифровыми подписями. Цифровые подписи используются правительствами по всему миру по разным причинам, включая обработку налоговых деклараций, проверку транзакций между бизнесом и государством (B2G), ратификацию законов и управление контрактами. Большинство государственных учреждений должны соблюдать строгие законы, правила и стандарты при использовании цифровых подписей. Многие правительства и корпорации также используют смарт-карты для идентификации своих граждан и сотрудников. Это физические карты с цифровой подписью, которые могут использоваться для предоставления держателю карты доступа к системам учреждения или физическим зданиям.
- Здравоохранение. Цифровые подписи используются в сфере здравоохранения для повышения эффективности лечения и административных процессов, для усиления безопасности данных, для электронных назначений и госпитализации. Использование цифровых подписей в здравоохранении должно соответствовать Закону о переносимости и подотчетности медицинского страхования (HIPAA) 1996 года.
- Производство. Компании-производители используют цифровые подписи для ускорения процессов, включая разработку продукта, обеспечение качества (QA), усовершенствование производства, маркетинг и продажи. Использование цифровых подписей в производстве регулируется сертификатом цифрового производства (DMC) Международной организации по стандартизации (ISO) и Национального института стандартов и технологий (NIST).
- Финансовые услуги. Финансовый сектор США использует цифровые подписи для контрактов, безбумажного банкинга, обработки кредитов, страховой документации, ипотеки и многого другого. Этот строго регулируемый сектор использует цифровые подписи с особым вниманием к правилам и рекомендациям, изложенным в Законе об электронных подписях в глобальной и национальной торговле (Закон об электронных подписях), положениях штата о Едином законе об электронных транзакциях (UETA), а также в Бюро финансовой защиты потребителей ( CFPB) и Федеральный совет по проверке финансовых учреждений (FFIEC).
- Криптовалюты. Цифровые подписи также используются в биткойнах и других криптовалютах для аутентификации блокчейна. Они также используются для управления данными транзакций, связанных с криптовалютой, и как способ для пользователей показать право собственности на валюту или свое участие в транзакции.
Зачем использовать PKI или PGP с цифровыми подписями?
Цифровые подписи используют стандарт PKI и программу шифрования Pretty Good Privacy (PGP), поскольку обе они уменьшают потенциальные проблемы безопасности, связанные с передачей открытых ключей. Они подтверждают, что открытый ключ отправителя принадлежит этому лицу, и проверяют личность отправителя.
PKI — это платформа для служб, которые генерируют, распространяют, контролируют и учитывают сертификаты открытых ключей. PGP — это разновидность стандарта PKI, использующая симметричный ключ и криптографию с открытым ключом, но отличающаяся тем, как привязывает открытые ключи к идентификаторам пользователей. PKI использует центры сертификации для проверки и привязки идентификатора пользователя к цифровому сертификату, тогда как PGP использует сеть доверия. Пользователи PGP выбирают, кому они доверяют и какие личности проверяются. Пользователи PKI доверяют доверенным центрам сертификации.
Эффективность защиты цифровой подписи зависит от надежности защиты закрытого ключа. Без PKI или PGP невозможно подтвердить чью-либо личность или отозвать скомпрометированный ключ, а злоумышленникам проще выдавать себя за людей.
В чем разница между цифровой подписью и электронной подписью?
Хотя эти два термина звучат одинаково, цифровые подписи отличаются от электронных подписей . Цифровая подпись — это технический термин, определяющий результат криптографического процесса или математического алгоритма, который можно использовать для аутентификации последовательности данных. Термин электронная подпись — или электронная подпись — является юридическим термином, который определен законодательно.
Например, в США в Законе об электронной подписи, принятом в 2000 году, электронная подпись определяется как «электронный звук, символ или процесс, прикрепленный к контракту или другой записи или логически связанный с ним и выполненный или принятый лицо, имеющее намерение подписать протокол».
Электронные подписи также определены в Директиве об электронных подписях, которую Европейский союз (ЕС) принял в 1999 г. и отменил в 2016 г. Она приравнивала их к физическим подписям. Этот закон был заменен eIDAS (услуги электронной идентификации, аутентификации и доверия), которые регулируют электронные подписи и транзакции, а также процессы внедрения, обеспечивающие безопасное ведение онлайн-бизнеса.
Это означает, что цифровая подпись, которая может быть выражена в цифровом виде в электронной форме и связана с представлением записи, может быть разновидностью электронной подписи. Однако в более общем плане электронная подпись может быть такой же простой, как имя подписавшего, введенное в форму на веб-странице.
Чтобы схемы электронной подписи считались действительными, они должны включать три вещи:
- способ проверки личности лица, подписавшего его;
- способ проверки подписывающего лица, предназначенного для подтверждения подписываемого документа; и
- способ проверки того, что электронная подпись связана с подписанным документом.
Цифровая подпись может сама по себе соответствовать следующим требованиям, чтобы служить электронной подписью:
- открытый ключ цифровой подписи связан с электронной идентификацией подписывающего лица;
- цифровая подпись может быть проставлена только владельцем открытого ключа, связанного с закрытым ключом, что подразумевает, что организация намеревается использовать его для подписи; и
- цифровая подпись будет аутентифицироваться только в том случае, если подписанные данные, т. е. документ или представление документа, неизменны — если документ изменен после подписания, цифровая подпись не будет аутентифицирована.
Хотя аутентифицированные цифровые подписи обеспечивают криптографическое доказательство того, что документ был подписан указанным лицом и документ не был изменен, не все электронные подписи обеспечивают одинаковые гарантии.
Узнайте, чем отличаются цифровые и электронные подписи.
Средства цифровой подписи и поставщики
Инструменты и услуги цифровой подписи обычно используются в отраслях с большим количеством контрактов. Например, когда внештатные авторы подписывают контракт, они могут согласиться на количество слов и оплату, используя Adobe Sign, чтобы поставить свою электронную подпись на документ.
К поставщикам услуг цифровой и электронной подписи относятся:
- Adobe Sign предназначен для предоставления безопасных, законных электронных подписей на всех типах устройств.
- Службы DocuSign на основе стандартов обеспечивают соответствие электронных подписей существующим нормам. Его услуги включают экспресс-подпись для основных глобальных транзакций и квалифицированную подпись ЕС, которая соответствует стандартам ЕС.
- GlobalSign предоставляет множество инструментов управления, интеграции и автоматизации для реализации PKI в корпоративных средах.
- SignEasy предлагает одноименную услугу электронной подписи для компаний и частных лиц, а также предоставляет интерфейсы прикладного программирования (API) для разработчиков.
- SignNow , который является частью бизнес-облака airSlate, предоставляет простой в использовании инструмент для подписи в формате Portable Document Format (PDF) для бизнеса.
- Vasco предоставляет продукт электронной подписи eSignLive в виде облачной службы и локально.
Последнее обновление: февраль 2021 г.
Продолжить чтение О цифровой подписи
- Исследователь обнаружил мошенничество с цифровыми сертификатами, используемое для распространения вредоносных программ
- 8 передовых методов электронной подписи, которые можно внедрить в рабочий процесс
- Можно ли аутентифицировать документ HTML5 с цифровой подписью?
- Как электронные подписи исправляют нарушенную оцифровку
- Решения PKI и 5 причин, по которым партнерам следует их рассмотреть
Копните глубже в управление идентификацией и доступом
Adobe Sign
Автор: Сара Льюис
Топ-6 поставщиков программного обеспечения для электронной подписи в 2022 году
Автор: Кристин Паризо
Каковы плюсы и минусы электронных подписей?
Автор: Лоуренс Харт
Чем отличаются электронные подписи от цифровых подписей?
Автор: Джеффри Бок
Сеть
-
Juniper CN2 поддерживает сеть Kubernetes на AWSJuniper упрощает работу с сетью Kubernetes в Amazon Elastic Kubernetes Service, добавляя виртуальные сети и многомерные . ..
-
Обеспечение устойчивости сети в плане аварийного восстановления сетиПлан аварийного восстановления сети не всегда означает устойчивость сети. Узнайте, как такие факторы, как финансирование, выявление потенциальных …
-
Cisco дразнит новые возможности с обновлением SD-WANУсовершенствования Cisco SD-WAN 17.10 дают предприятиям возможность использовать периферийных поставщиков услуг безопасности Cloudflare и Netskope в …
ИТ-директор
-
7 тенденций периферийных вычислений, за которыми стоит следить в 2023 году и далееПоскольку периферийные вычисления продолжают развиваться, организации пытаются приблизить данные к периферии. Мы определяем основные тенденции, которые они…
-
Заинтересованные стороны хотят большего, чем руководство по Биллю о правах ИИВ то время как такие организации, как The Brookings Institution, приветствуют план Белого дома по Биллю о правах ИИ, они также хотят . ..
-
Федеральная частная работа стимулирует прогресс в области наблюдения за ЗемлейНаблюдение за Землей является основным двигателем мировой космической экономики, и федеральные агентства сотрудничают с коммерческими …
Корпоративный настольный компьютер
-
Рынок корпоративных конечных устройств приближается к 2023 годуСовременные корпоративные организации имеют множество вариантов выбора на рынке конечных устройств. Узнайте о некоторых основных …
-
Как контролировать файлы Windows и какие инструменты использоватьМониторинг файлов в системах Windows имеет решающее значение для обнаружения подозрительных действий, но существует так много файлов и папок, которые необходимо хранить…
-
Как Microsoft Loop повлияет на службу Microsoft 365Хотя Microsoft Loop еще не общедоступен, Microsoft опубликовала подробную информацию о том, как Loop может соединять пользователей и проекты. ..
Облачные вычисления
-
Amazon, Google, Microsoft и Oracle выиграли контракт JWCCКонтракт Министерства обороны на совместные боевые действия в облаке позволяет отделам Министерства обороны приобретать облачные услуги и …
-
Обновления HPE GreenLake для частного облака расширяют возможности гибридных облаковHPE продолжает инвестировать в GreenLake для частных и гибридных облаков по мере роста спроса на эти услуги. Тем временем конкуренция…
-
Reynolds проводит первое облачное тестирование на производствеПроизводитель популярных бытовых брендов решит, поможет ли система IoT от DXC Technology сократить потребление природного газа в …
ComputerWeekly.com
-
Облачная система отпечатков пальцев для полиции Великобритании близится к завершениюПолицейская цифровая служба объявляет, что новая облачная система отпечатков пальцев, разработанная в рамках ее программы Transforming Forensics .