Функция, принятая в описанных стандартах, в качестве односторонней функции с секретом была предложена в 1977 г. американскими специалистами Р. Ривестом, А. Шамиром и Л. Адлеманом. Системы на основе этой функции получили название "RSA систем" (по первым буквам фамилий авторов).

Попытаемся проанализировать сравнительные характеристики различных способов подтверждения подлинности как традиционных документов, так и данных, обрабатываемых с помощью ЭВМ.

Бумажные документы заверяются обычно либо собственноручной подписью компетентного лица с указанием его полного имени и должности, либо мастичной печатью юридического лица (на практике часто используют оба эти способа одновременно; иногда вместо собственноручной подписи должностного лица пользуются штампом с ее факсимильным воспроизведением). В последнее время реже применяется ранее распространенный метод оттиска отпечатка пальца под документом. В случае компьютерных данных используются цифровая (электронно-цифровая) подпись, электронные (магнитные) карты/ключи, пароли.

Подпись требуется для идентификации подписывающего лица и для подтверждения того, что информация, приведенная в документе, достоверна. Традиционно считается, что собственноручная подпись под документом имеет достаточно высокий уровень надежности. За столетия своего развития графология достигла значительных успехов, и с ее помощью можно установить с высокой степенью точности подлинность традиционной подписи. Но тем не менее специалисты по графологии никогда не делают абсолютных заключений. Например, в практике Норвежского судопроизводства используются четыре уровня достоверности заключения о подлинности подписи: возможно, вероятно, очень вероятно, с уверенностью. В российской судебной практике используются аналогичные утверждения: не исключено, с большой степенью вероятности и т. п. Таким образом, собственноручная подпись не дает абсолютной защиты от фальсификации документов. Более надежным способом в этом смысле является оттиск отпечатка пальца под документом, потому что отпечаток пальца неповторим, уникален.

Использование штампов (печатей, факсимиле подписи и т. п.) также не может гарантировать от подделок. Кроме того, в этой ситуации возможен еще один способ фальсификации документов: печать может быть похищена, либо ее оттиск поставлен неуполномоченным лицом. А так как, в отличие от предыдущего случая, здесь нет физической связи между тем, кто заверяет документ, и полученным на бумаге оттиском, выяснить, кто в действительности поставил печать, практически невозможно (аналогичная ситуация складывается и с ЭЦП).

Использование электронных документов породило еще одну проблему, кроме указанных. Если для традиционных документов подпись или штамп всегда были жестко привязаны к самому документу, то, например, указание пароля либо предъявление магнитной карточки открывает вход в некую систему создания документов, и в дальнейшем такие документы не имеют жестко увязанного с ними подтверждения их подлинности. Например, вы вставляете магнитную карточку в банкомат и вводите ваш код, после этого делаете запрос (создаете электронный документ) на получение определенной суммы наличными. Никакого документа, аналогичного расходному ордеру с вашей подписью, который вы заполняете в сбербанке, в данной ситуации не существует. Поэтому для повышения безопасности таких систем часто используются комбинации различных методов (например, при оплате товара или услуги с помощью магнитной карточки приходится подписывать бумажный документ, подтверждающий платеж).

Таблица

----------------------------------------------------------------------------------------------------------------------------------------------

| | | | |

| Метод | II | III | IV |

|------------------------------------------|------------------------------------|------------------------------|----------------------------|

| Собственноручная |Физическая | Высокий | Высокая |

| подпись |характеристика | | |

|------------------------------------------|------------------------------------|------------------------------|----------------------------|

| | | | |

| Отпечаток |Физическая | Низкий | Высокая |

| пальца |характеристика | | |

|------------------------------------------|------------------------------------|------------------------------|----------------------------|

| | | | |

| Электронная |Имеет | Низкий | Очень |

| карточка/ключ | | | низкая |

|------------------------------------------|------------------------------------|------------------------------|----------------------------|

| | | | |

| Пароль |Знает | Средний | Очень |

| | | | Низкая |

|------------------------------------------|------------------------------------|------------------------------|----------------------------|

| Электронно-цифровая |Знает | Средний | Высокая |

| подпись | | | |

| | | | |

----------------------------------------------------------------------------------------------------------------------------------------------

В предлагаемой таблице отображены характеристики различных способов подтверждения подлинности документов. В столбце II указан тип связи между лицом, использующим соответствующий способ, и используемыми средствами; в столбце III - уровень возможности идентификации заверившего документ лица по самому документу; в столбце IV - степень привязки к документу.

Из приведенной таблицы видно, что цифровая подпись служит достаточно надежным способом подтверждения подлинности документов. Она обеспечивает высокий уровень защиты документа от внесения несанкционированных изменений (столбец II), подделать ее практически невозможно. Единственный ее недостаток, по сравнению с обычной подписью, в том, что по ней нельзя с такой же степенью уверенности определить, кто именно подписал документ ( столбец III). Это обусловлено тем, что некоторые физические характеристики человека практически неповторимы (почерк, отпечаток пальца и т. п.), а о секретном ключе человек может умышленно либо случайно кому-то рассказать, ключ могут подсмотреть или украсть, если его записали. Но данное свойство цифровой подписи не является непреодолимым препятствием для ее широкого использования в гражданском обороте. Достаточно, чтобы каждый из участников системы ЭДО объявил о признании своих обязательств по всем документам, заверенным его цифровой подписью, пока в системе не будет официально объявлено о компрометации секретного ключа (подробнее на этом остановимся в следующей статье).

Для того чтобы цифровая подпись широко вошла в гражданский оборот и применялась наряду с традиционной (используемой уже тысячелетиями) подписью, требовалось выполнить несколько условий как правового, так и неправового характера.

1. Субъекты гражданского оборота оценили удобство и выгодность ее использования. Ранее были показаны преимущества использования систем ЭДО. Однако если такие системы не позволят совершать гражданско-правовые сделки, а будут только удобным инструментом для быстрого обмена информацией, то экономический эффект от их использования, очевидно, снизится.

2. Математики-криптологи предложили достаточно надежный способ подтверждения подлинности электронных документов и убедили в его надежности и возможности практического использования потенциальных пользователей, а также законодателя.

3. Наконец, законодатель: а) определил, что (представляет собой цифровая подпись (в отличие от традиционной подписи от руки, которую можно считать объектом очевидным и не нуждающимся в определении); б) закрепил возможность и сферы применения электронных документов и цифровой подписи; в) установил допустимость использования электронных документов в качестве доказательств в суде.

Мы уже обсудили первые две проблемы и рассмотрели стандарты, связанные с использованием цифровой подписи. Очевидно, что без утвержденного государством определения ЭЦП можно было только теоретически рассуждать о том, что некоторая последовательность байт, добавленная к файлу, является аналогом (на самом деле, как было показано, неполным) собственноручной подписи и может быть использована там, где требуется подпись под документом. Но если вспомнить, что даже криптографическое определение ЭЦП вводится через объекты (односторонние функции с секретом), существование которых строго математически не доказано, а с обыденной точки зрения ЭЦП вообще похожа на строку кабалистических символов, то станет ясно: были необходимы нормативные акты, где давалось бы четкое юридическое определение электронно-цифровой подписи под электронным документом. Такими актами и стали упомянутые стандарты. Исходя из вышеизложенного, следует отметить, что цифровой подписью является только последовательность байт, полученная путем применения алгоритмов и функций, описанных в стандарте12. Если будут использованы другие функции или, например, длина числа, в которое хэш-функция преобразовывает документ, отличается от указанной в стандарте, то полученная подобным образом подпись не будет ЭЦП в юридическом смысле (хотя с точки зрения криптографии она ничем не хуже и не лучше "официальной"). И, следовательно, документ, подписанный "нестандартной" ЭЦП, с юридической точки зрения не может рассматриваться как документ, заверенный ЭЦП.

В данной статье мы остановились лишь на самых общих вопросах, связанных с использованием систем ЭДО (участники таких систем, понятие электронного документа, понятие цифровой подписи). В дальнейшем предполагается рассмотреть такие вопросы, как правовой режим электронного документа, распределение риска убытков среди участников системы ЭДО, возможность использования электронных документов в качестве доказательств в суде, лицензирование деятельности, связанной с созданием средств функционирования систем ЭДО и некоторые другие.

___________________________________

1 Society for Worldwide Interbank Financial Telecommunications - Всемирное общество межбанковских финансовых телекоммуникаций.

2 Tollvesenets Innforsels/utforsels system med naringslivet i Norge Импортно/экспортная система таможенного управления и норвежских предпринимателей.

3 The Journal of Business Strategy. 1990. Jan.

4 Cf Datatid. 1989. N 12.

5 Dawkins P. The functions required of software packages for EDI // EDI technology / Ed. M. Gifkins. L., 1989.

6 Palmer D. EDI - The nuts and the bolts // EDI technology / Ed. M. Gifkins. L., 1989.

7 The TEDIS Interchange Agreement // Final Draft. 1991. May.

8 См.: Дорохов В.Я. Понятие документа в советском праве // Правоведение. 1982. N 2. С. 55.

9 Любой документ можно представить себе как некоторое (может быть, очень большое) число. Один из возможных способов кодирования документа числом - обычное представление его в виде компьютерного файла, после чего получившаяся последовательность двоичных битов интерпретируется как число в двоичной системе счисления.

10 Здесь и далее мы используем словосочетания "можно вычислить достаточно просто", "за приемлемое время"; в строгом математическом определении, естественно, применяется другая терминология: "существует полиномиальный алгоритм вычисления значения функции" и т.п.

11 Второе свойство, очевидно, свидетельствует о сложности подделки цифровой подписи. Здесь мы опять используем термин "приемлемое время" вместо не очень понятных "полиномиальных алгоритмов". Для большей наглядности криптологи часто приводят такое разъяснение для "неприемлемого времени": если объединить сотню самых быстродействующих современных компьютеров и заставить их искать по известным в настоящее время алгоритмам секретный ключ по имеющимся документу и подписи под ним, то понадобится несколько сотен лет.

12 В юридической литературе (см. напр.: Право и рынок // N 11, 1996. С. 12) можно встретить определение ЭЦП через следующие характеристики: набор байтов, являющийся результатом работы программы генерации ЭЦП; ЭЦП является аналогом собственноручной подписи; она неразрывно связана с конкретным документом и только с ним; делает невозможным изменение документа без нарушения подлинности подписи. Ни одна из приведенных характеристик не является полностью справедливой для ЭЦП (а некоторые просто не верны). Во-первых, следовало бы уточнить, что программы генерации должны работать на основании алгоритмов, утвержденных ГОСТами. Во-вторых, не является полным аналогом собственноручной подписи (см. таблицу и пояснения к ней). В-третьих, поскольку множество возможных документов шире, чем множество подписей, то одна и та же подпись одного лица может быть связана с различными документами, по этой же причине в четвертой характеристике следует говорить о малой вероятности или практической невозможности подделки ЭЦП (см. сн. 11).

Страницы: 1, 2, 3