Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Новосибирский Государственный Технический Университет»

РЕФЕРАТ

на тему «ЭЛЕКТРОННАЯ ПОДПИСЬ»

по "Теории информации"

Выполнил Агибалов Алексей

ГруппаАТ-44

Преподаватель Рабинович Е. В.

Новосибирск 2016



Оглавление

• Введение
• Основные положения
• История возникновения
• Для чего нужна электронная подпись?
• Виды электронной подписи
• Правовое регулирование цифровой подписи
• Проверка подлинности цифровой подписи
• Функции цифровой подписи
• Методы построения цифровой подписи
• Атаки на цифровую подпись
• Средства работы с цифровыми подписями
• Хранение закрытого ключа
• Заключение
• Литература


Введение

электронный подпись атака подлинность

Сегодня сложно найти специалиста в области информатизации или телекоммуникаций, который бы не знал, что такое электронная подпись. Однако мало кто осознает, что само по себе использование этой технологии только создает предпосылки для организации юридически значимого электронного документооборота.

Электронная подпись - это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Из этого описания можно сделать вывод, что электронная подпись, как и обычная, идентифицирует лицо, которому она принадлежит, и выражает его согласие с содержанием подписанного документа.

Для своего широкого распространения электронная подпись должна иметь преимущества, которых нет у личной подписи на бумажных документах. Такие преимущества у электронной подписи действительно есть, и мы их рассмотрим.



Основные положения

Хэш-функция защищаемого электронного документа представляет собой уникальное число, получаемое из исходного документа путем его преобразования с помощью сложного, но известного алгоритма (хэш-функции).

Хэш-функция чувствительна к всевозможным искажениям исходного электронного документа, то есть изменение (искажение) хотя бы одного знака в исходном документе приводит в среднем к искажению половины знаков хэш-значения. Кроме того, она устроена таким образом, что, во-первых, по хэш-значению документа нельзя восстановить исходный электронный документ, а во-вторых, практически невозможно отыскать два различных электронных документа, которые обладали бы одним и тем же хэш-значением.

Схема формирования электронной цифровой подписи под электронным документом его создателем (отправителем) предусматривает вычисление хэш-функции этого документа и шифрование этого значения посредством секретного ключа отправителя.

Результатом шифрования и является значение ЭП как реквизит электронного документа, которое пересылается получателю вместе с этим документом.

Таким образом, электронная цифровая подпись увязывает содержание документа и секретный ключ для формирования ЭП и делает невозможным изменение документа без нарушения подлинности данной подписи.

История возникновения

В 1976 году Уитфилдом Диффи и Мартином Хеллманом было впервые предложено понятие «электронная цифровая подпись», хотя они всего лишь предполагали, что схемы ЭЦП могут существовать.

В 1977 году Рональд Ривест, Ади Шамир и Леонард Адлеман разработали криптографический алгоритм RSA, который без дополнительных модификаций можно использовать для создания примитивных цифровых подписей.

Вскоре после RSA были разработаны другие ЭЦП, такие, как алгоритмы цифровой подписи Рабина, Меркле.

В 1984 году Шафи Гольдвассер, Сильвио Микали и Рональд Ривест первыми строго определили требования безопасности к алгоритмам цифровой подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям (Криптосистема Гольдвассер -- Микали).

В России

В 1994 году Главным управлением безопасности связи ФАПСИ был разработан первый российский стандарт ЭЦП -- ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

В 2002 году для обеспечения большей криптостойкости алгоритма взамен ГОСТ Р 34.10-94 был введён одноимённый стандарт ГОСТ Р 34.10-2001, основанный на вычислениях в группе точек эллиптической кривой. В соответствии с этим стандартом, термины «электронная цифровая подпись» и «цифровая подпись» являются синонимами.

1 января 2013 года ГОСТ Р 34.10-2001 заменён на ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.»

Для чего нужна электронная подпись?

Прежде всего, такая подпись в гораздо большей степени подтверждает факт подписания документа (в данном случае, только электронного документа) определенным лицом. Обычную же личную подпись на бумажном носителе при нынешнем развитии технологий достаточно легко подделать.

Любят заявлять о подписании документов неустановленным лицом и налоговые органы, а это часто влечет за собой увеличение налоговой базы, штрафы и другие санкции. Независимая экспертиза личной подписи под значимыми документами не всегда может помочь, т.к. не во всех ситуациях позволяет подтвердить или опровергнуть факт подлинности из-за малого числа символов в подписи. Если же документ подписан электронной подписью, то сомневаться в ее авторстве уже не приходится.

Важно понимать, что равнозначной собственноручной подписи признается только усиленная квалифицированная электронная подпись.

Второе преимущество применения ЭП - это защита электронного документа от его несанкционированного изменения. Бумажные документы, даже при наличии на них подлинной подписи, можно подделать или дополнить. Кроме того, они могут быть случайно повреждены, утеряны, украдены и т.д., а отсутствие бумажных документов не позволит подтвердить какой-либо значимый факт.

Третья причина, по которой применение электронной подписи будет развиваться и дальше - это возможности для совершения действий или получения информации, не выходя из дома. Электронная подпись позволяет:

· Подать документы на регистрацию ИП или юридического лица.

· Совершать гражданско-правовые сделки.

· Получать государственные и муниципальные услуги.

· Вести защищенный документооборот.

· Сдавать отчетность.

· Работать с банковскими документами и распоряжаться средствами на расчетном счете.

· Участвовать в государственных закупках, торгах и тендерах.

· Осуществлять другие юридически значимые действия.

Наконец, при ведении предпринимательской деятельности в некоторых случаях без электронной подписи уже не обойтись. Так, отчетность по НДС и по работникам (если их больше 25 человек) сейчас принимается только в электронном виде.

Сдача отчетности в электронном виде и дальше будет только развиваться, ведь такой способ снижает затраты труда и времени тех, кто отчетность принимает и сдает, уменьшает число технических ошибок при заполнении форм и защищает отчетность от несанкционированного исправления или просмотра.

Виды электронной подписи

Видами электронных подписей (регулируются Федеральным законом «Об электронной подписи»), являются простая электронная подпись и усиленная электронная подпись. Различают неквалифицированную и квалифицированную усиленную электронную подпись.

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Такую подпись достаточно легко взломать.

Усиленная подпись (неквалифицированная и квалифицированная) формируется с помощью внешнего носителя - флэшки или дискеты.

Неквалифицированной электронной подписью является электронная подпись, которая:

1. Получена в результате криптографического преобразования информации с использованием ключа электронной подписи.

2. Позволяет определить лицо, подписавшее электронный документ.

3. Позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания.

4. Создается с использованием средств электронной подписи.

Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

1. Ключ проверки электронной подписи указан в квалифицированном сертификате.

2. Для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с законом.

При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.

Правовое регулирование электронной подписи

Первый закон об электронной подписи был принят в январе 2002 года (№1-ФЗ от 10.01.02). Правда, называлась подпись не просто электронной, а электронной цифровой подписью или ЭЦП. Такая аббревиатура встречается до сих пор, хотя правильно использовать другое сочетание - ЭП (электронная подпись).

Сейчас применение электронной подписи регулирует новый закон - от 06.04.2011 № 63-ФЗ. Упоминается ЭП и в других нормативно-правовых актах, например, в законе от 27 июля 2006 г. № 149-ФЗ, где она названа аналогом собственноручной подписи физического лица.

Озаботилась регулированием электронной подписи и Федеральная служба безопасности, которая Приказом от 27 декабря 2011 г. № 796 утвердила Требования к средствам электронной подписи и к средствам удостоверяющего центра.



Проверка подлинности электронной подписи

На портале «Государственные услуги» создан специальный сервис, который позволяет проверить подлинность ЭП. Для проверки надо загрузить электронный документ, подлинность подписи которого надо подтвердить, и файл самой электронной подписи. Страница с формой заполнения представлена на рисунке 1.

Рис. 1 - Подтверждение подлинности ЭП

В случае подлинности подписи и неизменности документа сервис выдаст сообщение о прохождении проверки, а также данные о владельце и издателе ЭП и срок ее действия.

Функции цифровой подписи

Поскольку электронная цифровая подпись - средство защиты информации, предоставляющее возможность контроля целостности и подтверждения подлинности электронного документа, то ЦП должна обеспечивать выполнение следующих основных функций:

· Подтверждать, что подписывающее лицо сознательно подписало электронный документ.

· Подтверждать, что документ подписало именно подписывающее лицо и только оно.

· ЦП должна существенно зависеть от подписываемого документа, в том числе от имеющихся в нем отметок времени.

· Подписывающее лицо не должно иметь возможности отказаться впоследствии от факта подписи электронного документа.

Общая суть электронной подписи заключается в следующем: с помощью криптографической хэш-функции вычисляется относительно короткая строка символов фиксированной длины (хэш). Затем этот хэш шифруется закрытым ключом владельца - результатом является подпись документа. Подпись прикладывается к документу. В результате этого получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным. При ведении деловой переписки, при заключении контрактов подпись ответственного лица является непременным атрибутом документа, преследующим несколько целей: гарантирование истинности письма путем сличения подписи с имеющимся образцом и гарантирование авторства документа (с юридической точки зрения). Выполнение данных требований основывается на следующих свойствах подписи:

· Подпись истина, то есть с ее помощью получателю документа можно доказать, что она принадлежит подписывающему.

· Подпись не подделываема, то есть служит доказательством, что только тот человек, чей автограф стоит на документе, мог подписать данный документ.

· Подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно.

· Документ с подписью является неизменяемым.

· Подпись неоспорима.

· Любое лицо, владеющее образцом подписи, может удостоверится, что документ подписан владельцем подписи.

Развитие современных средств безбумажного документооборота, средств электронных платежей немыслимо без развития средств доказательства подлинности и целостности документа. Таким средством является электронно-цифровая подпись (ЭЦП), которая сохранила основные свойства обычной подписи.

Методы построения цифровой подписи

· Шифрование электронного документа на основе симметричных алгоритмов. Данная схема предусматривает наличие в системе третьего лица - арбитра, пользующегося доверием обеих сторон. Авторизацией документа в данной схеме является сам факт шифрования электронного документа секретным ключом и передачи его арбитру.

· Использование ассиметричных алгоритмов шифрования. Фактом подписания документа является шифрование его на секретном ключе отправителя.

· Схема ЦП - шифрование окончательного результата обработки электронного документа хеш-функцией при помощи ассиметричного алгоритма.

Появление этих разновидностей обусловлено разнообразием задач, решаемых с помощью электронных технологий передачи и обработки электронных документов.

Атаки на цифровую подпись

Стойкость большинства схем цифровой подписи зависит от стойкости ассиметричных алгоритмов шифрования и хэш-функций.

Существует следующая классификация атак на схемы ЦП:

· Атака с известным открытым ключом.

· Атака с известными подписанными сообщениями - противник, кроме открытого ключа имеет и набор подписанных сообщений.

· Простая атака с выбором подписанных сообщений - противник имеет возможность выбирать сообщения, при этом открытый ключ он получает после выбора сообщения.

· Направленная атака с выбором сообщения

· Адаптивная атака с выбором сообщения.

Каждая атака преследует определенную цель, которые можно разделить на несколько классов:

· Полное раскрытие - противник находит секретный ключ пользователя.

· Универсальная подделка - противник находит алгоритм, функционально аналогичный алгоритму генерации ЦП.

· Селективная подделка - подделка подписи под выбранным сообщением.

· Экзистенциальная подделка - подделка подписи хотя бы для одного случайно выбранного сообщения.

На практике применение ЦП позволяет выявить или предотвратить следующие действия нарушителя:

· Отказ одного из участников авторства документа.

· Модификация принятого электронного документа.

· Подделка документа.

· Навязывание сообщений в процессе передачи - противник перехватывает обмен сообщениями и модифицирует их.

Так же существуют нарушения, от которых невозможно оградить систему обмена сообщениями - это повтор передачи сообщения и фальсификация времени отправления сообщения. Противодействие данным нарушениям может основываться на использовании временных вставок и строгом учете входящих сообщений.

Средства работы с цифровыми подписями

1) PGP

Наиболее известный - это пакет PGP (Pretty Good Privacy), являющийся на сегодня самым распространенным программным продуктом, позволяющим использовать современные надежные криптографические алгоритмы для защиты информации в персональных компьютерах. К основным преимуществам данного пакета, выделяющим его среди других аналогичных продуктов, следует отнести следующие:

· Открытость. Исходный код всех версий программ PGP доступен в открытом виде. Любой эксперт может убедиться в том, что в программе эффективно реализованы криптоалгоритмы. Так как сам способ реализации известных алгоритмов был доступен специалистам, то открытость повлекла за собой и другое преимущество - эффективность программного кода.

· Стойкость. Для реализации основных функций использованы лучшие из известных алгоритмов, при этом допускается использование достаточно большой длины ключа для надежной защиты данных

· Бесплатность. Готовые базовые продукты PGP (равно как и исходные тексты программ) доступны в Интернете в частности на официальном сайте PGP Inc.

· Поддержка как централизованной (через серверы ключей), так и децентрализованной (через «сеть доверия») модели распределения открытых ключей.

· Удобство программного интерфейса. PGP изначально создавалась как продукт для широкого круга пользователей, поэтому освоение основных приемов работы отнимает всего несколько часов.

2) GNU Privacy Guard (GnuPG)

GnuPG - полная и свободно распространяемая замена для пакета PGP. Этот пакет не использует патентованный алгоритм IDEA, и поэтому может быть использован без каких-нибудь ограничений. GnuPG соответствует стандарту RFC2440 (OpenPGP).

3) Криптон

Пакет программ Криптон предназначен для использования электронной цифровой подписи (ЭЦП) электронных документов. В стандартной поставке для хранения файлов открытых ключей используются дискеты. Помимо дискет, пакет Криптон дает возможность использования всех типов ключевых носителей (USB-брелоки, смарт-карт, электронные таблетки Touch Memory и др.).

Хранение закрытого ключа

Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищённость ключа полностью зависит от защищённости компьютера, и пользователь может подписывать документы только на этом компьютере.

В настоящее время существуют следующие устройства хранения закрытого ключа:

· Дискеты

· Смарт-карты

· USB-брелоки

· «Таблетки» Touch-Memory

· Реестр (в защищённой памяти компьютера)

Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат должен/может быть немедленно отозван.

Наиболее защищённый способ хранения закрытого ключа -- хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хэш передаётся в карту, её процессор осуществляет подписывание хэша и передаёт подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты немного сложнее, чем с других устройств хранения.

В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несёт сам.



Заключение

Самый обычный вопрос, который задаётся человеком, впервые столкнувшимся с необходимостью использования цифровой подписи, звучит примерно так: «А зачем мне вообще электронная цифровая подпись? И нужна ли она?».

Электронная цифровая подпись может использоваться в нескольких ролях. Закон «Об ЭЦП» определяет условия применения ЭЦП как ответственной подписи в документе, аналога собственноручной подписи и печати. Подобным образом ЭЦП используется в системах электронного документооборота различного назначения (организационно-распорядительного, кадрового, законотворческого, торгово-промышленного и прочего). Однако область применения ЭЦП не ограничивается приведенными областями. Сама по себе, электронная цифровая подпись - великолепный механизм обеспечения целостности и подтверждения авторства и актуальности любых данных, представленных в электронном виде.

Электронная подпись поможет проверить целостность электронного письма и убедиться в надёжности отправителя, однозначно определит автора статьи, опубликованной в Интернете, и укажет дату публикации, позволит написать собственное мнение о прочитанном документе в Microsoft Word и прикрепить его в виде «стикера» к файлу, не «испортив» сам файл своими пометками, при этом надёжно привязав такой «стикер» к текущему содержимому документа (при изменении текста документа «стикер» сразу обнаружит, что документ изменялся), оставит «визитную карточку» о действиях, совершённых в электронном мире, подтвердит полномочия и т.п.

Цифровая подпись обеспечивает:

· Удостоверение источника документа. В зависимости от деталей определения «документа» могут быть подписаны такие поля как: автор, внесённые изменения, метка времени и т. д.

· Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.

· Невозможность отказа от авторства. Так как создать корректную подпись можно лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.

Возможны следующие угрозы цифровой подписи:

· Злоумышленник может попытаться подделать подпись для выбранного им документа.

· Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила.

При использовании надёжной хэш-функции, вычислительно сложно создать поддельный документ с таким же хэшем, как у подлинного. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях.

Тем не менее, возможны ещё такие угрозы системам цифровой подписи:

· Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.

· Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.

· Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.



Литература

1. Электронная подпись: [Электронный ресурс]. URL: https://regberry.ru/malyy-biznes/elektronnaya-podpis. (Дата обращения: 21.05.2016).

2. Кирилловых А. А. Правовые аспекты механизма электронного взаимодействия в законодательстве об электронной подписи, 2011г.

3. Архипов С. П. Электронный документ как средство доказывания в гражданском и арбитражном судопроизводствах, 2010г.

4. Понятие электронной подписи [Электронный ресурс]. URL: http://www.referatbox.com/3555/elektronnaya-podpis/14. (Дата обращения: 22.05.2016).

5. Электронная подпись [Электронный ресурс]. URL: https://ru.wikipedia.org/wiki/Электронная_подпись. (Дата обращения: 25.05.2016).

Размещено на Allbest.ru

...