Электронная подпись и юридическая сила электронного документа

Банковское сообщество является уникальным экспериментатором в отношении применения на практике таких непростых сервисов безопасности, как аутентификация, электронная подпись (ЭП) и шифрование. При всей инертности и патологической тяге к строгому выполнению требований законодательства кредитно-финансовые организации одними из первых начали внедрять указанные сервисы ещё в начале 1990-х годов.

Следует коротко напомнить, что согласно ст. 5 № 63-ФЗ ЭП может быть трех видов: простая, усиленная и  квалифицированная. Банк имеет право использовать все три вида подписи. На момент написания данной статьи из 317 УЦ в реестре Минкомсвязи аккредитованы всего 5 УЦ кредитно-финансовой сферы: ОАО "Сбербанк России", ОАО "Акционерный коммерческий банк содействия коммерции и бизнесу", ОАО "Альфа-Банк", ЗАО "Первый Специализированный Депозитарий", ОАО Банк "Возрождение".

Сегодня в ведущих банках ЭП используется в нескольких ипостасях. Наибольшее распространение имеет применение ЭП для фиксирования волеизъявления клиента банка в системах ДБО. Для этого чаще всего используется усиленная подпись (УП) и усиленная квалифицированная подпись (УКП). Для УКП в качестве средства подписи применяется средство криптографической защиты информации (СКЗИ), сертифицированное по требованиям ФСБ России. СКЗИ также применяется для взаимодействия с государственными службами и фондами (ФНС, ФСС, ФОМС, ФССП, ПФР, Росстат, СБРФР и др.), в системах торговли ценными бумагами и электронной торговли. Согласно ст. 4 № 63-ФЗ наличие УКП приравнивает ЭП к собственноручной. Однако, по мнению специалистов, несмотря на это положение ФЗ, для обеспечения электронному документу юридической силы одной ЭП недостаточно.

На мой взгляд, необходимо создавать единое пространство доверия (ЕПД) не только к ЭП, но и к другим сервисам безопасности, предназначенным для обеспечения юридической силы ЭД. Как известно, ЕПД должно основываться на нормативно-правовой базе, организационных мероприятиях и иметь в активе соответствующую техническую базу.

С технической точки зрения юридическую силу ЭД может придать только совокупность применения нескольких доверенных сервисов (ДС). Перечислим минимальный набор ДС: инфраструктура и доверенные средства генерации, применения и проверки УКП; развитая система проставления меток доверенного времени, синхронизированного в каждом аккредитованном УЦ с временем корневого УЦ; поддерживаемая в актуальном состоянии с заданным интервалом времени (в часах) система реестров полномочий и правомочий владельцев УКП; ДС идентификации и аутентификации, строго регламентированные для каждого УЦ.

Электронная подпись является уникальным сервисом безопасности, вобравшем в себя сразу три ДС: аутентификация источника данных – подтверждение подлинности источника полученных данных (ISO 7498-2); обеспечение целостности данных, означающее, что данные не были модифицированы или уничтожены неавторизованным образом (ISO 7498-2); невозможность отрицания авторства (ISO/IEC 13888-1).

Аутентификация при удалённом взаимодействии также является ДС, состоящим из трёх составляющих: обеспечение подлинности предъявленного идентификатора (ISO/IEC 10181-2); принадлежность аутентификатора, с помощью которого производится доказательство подлинности, конкретному субъекту (ISO/IEC 10181-2); аутентификация сторон – подтверждение того, что взаимодействующая сторона является той, за которую себя выдаёт (ISO 7498-2).

Сервис доверенного времени совместно с сервисом штампов времени (RFC 3161 "Time-Stamp Protocol (TSP)") образуют службу доверенного времени для всех УЦ, участвующих в формировании и проверке статуса сертификата.

Сервис валидации (RFC 2459) входит в состав службы заверения электронных сообщений. Проверка действительности данных, связанных с подписанным сообщением или документом, а также сертификатов ключей подписи может проводиться по протоколу Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols (DVCS) с квитанцией за подписью сервера (RFC 3029). Для проверки статуса сертификата также используется On-line Certificate Status Protocol – OCSP (RFC 2560). Отдельно может проводиться проверка действительности сертификата открытого ключа – Validation of Public Key Certificates (VPKC).

Сервис проверки действительности правомочий и полномочий субъекта на момент подписи. Также подтверждается квитированием (подписанной сервером квитанцией).

Перечисленные сервисы могут стать доверенными при условии создания и поддержки соответствующих инфраструктурных решений.