НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Вот такое забавное определение ЭЦП (ЭЦ)

Андрей Колесов
12.04.2012 07:52:50

На предыдущий пост по поводу усилий правительства по электронизации собственной деятельности получил комментарий:

Цитата
Князева Татьяна (knyazeva_t@mail.ru)
10.04.2012 19:15:52

Согласна, Андрей! Мое любимое определение находится в новом ФЗ № 63 об Электронной подписи от 06.04.2011.

Для целей настоящего Федерального закона используются следующие основные понятия:
1) электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

Каково?
Прочитала несколько раз, но так и не поняла, что такое электронная подпись.



Да, странноватая формулировка. Особенно, если учесть, что речь идет не каком-то ведомственном документе, а о федеральном законе, вроде бы важном. Не говоря уже о том, в нашей стране (в отличие от прочего мира) ЭЦП (буду так по старинке называть, т.к. ЭЦ – слишком частое сокращение) является чуть ли не краеугольным камнем все российской ИТ-автоматизации.

Правда, мне как раз формулировка показалась как раз хотя и корявой, но, в общем-то понятной. НО! Явно неточной, верной, только на 30%, т.е. неверной в целом

1. Тут описана только одна задача ЭЦП – определение подписавшего лица. Но у нее есть и вторая, не менее важная – обеспечение целостности содержания документа, его подлинности. Т.е., что это именно тот документ, к которому относится подпись.

2. Под эту формулировку подходит многое что. В том числе реквизиты, хранимые в DOC-файле.



И вообще… Вопрос ЭЦП нельзя рассматривать в отрыве от общей проблематики обеспечения подлинности и значимости документов, понимая при этом, что ЭЦП – это совсем не единственный механизм решения всех этих задач.

С другой стороны: какая разница, что там пишут в законах и постановлениях законодатели и чиновники? Кажется, это никого у нас не интересует, к реальной жизни все это имеет какое-то далекое отношение. По крайней мере, такое впечатление складывается…

Комментариев: 16

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Сергей Курьянов
12.04.2012 08:38:04

Определение было бы лучше если бы в закон не была введена простая электронная подпись сверх квалифицированной.
Попытались сделать расширенное определение которое покрывало бы оба и накосячили.
Кстати, в новой версии Docsvision 5, которая выходит в понедельник, мы поддерживаем обе подписи по 63-му закону, в том числе и простую.

12.04.2012 08:44:26

Там в законе всё нормально прописано:

3. Неквалифицированной электронной подписью является электронная подпись, которая:

1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

2) позволяет определить лицо, подписавшее электронный документ;

3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

4) создается с использованием средств электронной подписи.

4. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

1) ключ проверки электронной подписи указан в квалифицированном сертификате;

2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

Vladislav Artukov
13.04.2012 13:39:28

В перевод с русского на русский:
* Электронная подпись - электронная подпись (в общем случае это может быть что угодно, хоть скан отпечатака пальца).
* Квалифицированная электронная подпись - электронная подпись, подтвержденная государством Россия.
(Тут с реализацией похуже, вместо использования биометрии нагромоздили новое здание на старый фундамент "государство Россия -> ФМС -> паспорт" и другие раскоряки.)

Лев Плинер
18.04.2012 08:16:17

Если просто присоединить к файлу какие то данные, то получится не более, чем простая электронная подпись. ЭЦП по 1-ФЗ соответствует усиленной электронной подписи по 63-ФЗ, то есть над подписываемой при помощи ключа подписи производятся криптографические преобразования, и результат этих криптографических преобразований (возможно, с какой-то ещё информацией) и есть усиленная электронная подпись.

В Вашем случае, если к документу просто присоединяются какие-то данные, при электронном взаимодействии необходимо обеспечить их конфиденциальность, поскольку они содержат ключ простой электронной подписи. Усиленную электронную подпись можно показывать всем желающим: она специфична для конкретного подписанного документа, её нельзя подделать без знания ключа подписи, с её помощью нельзя определить ключ подписи.

18.04.2012 08:56:42

Это все давно понятно. Ну и что?

Лев Плинер
18.04.2012 09:04:58

Ваши тезисы были такими.
1. Формулировка "неточная, верная, только на 30%, т.е. неверная в целом". Я постарался пояснить, почему это не так.
2. У человека, читающего Ваш пост, могло возникнуть ощущение, что формулировка 63-ФЗ в принципе не будет иметь никакого отношения к тому, каким образом будут защищаться электронные документы. Такое состояние человека вызывает у него недоверие к технологии, к деятельности удостоверяющих центров. Я постарался скорректировать.

18.04.2012 11:30:05

Извините, но все же я не могу понять, смысл ваших пояснений.

Например, п1. - что именно "не так"?
Вы с кем и о чем спорите?

Лев Плинер
18.04.2012 11:37:51

Определение электронной подписи из закона подходит для того, чтобы им называть тот реквизит электронного документа, который позволяет определить автора. Признаков усиленной подписи достаточно для того, чтобы называть усиленной подписью тот реквизит электронного документа, который позволяет определить автора и проверить, что документ не изменился.

Спорю с Вами о том, что определение неверное в целом.

18.04.2012 21:30:52

Понятно о чем спорите, но тезисы ваши мне лично не понятны.
Надеюсь, другие читатели вас лучше понимают smile:)

21.04.2012 10:23:27

Андрей, с моей точки зрения, данный законодательный "ляп" вышел по причине того, что не было описано точное назначение, характеристики, задачи которые выполняет данная подпись.
Смею предположить, что составители данного документа сами достаточно аморфно представляют что такое "электронная подпись", каким целям и задачам она служит. Это следствие того, что у нас еще с советских времен закрепилось - государством может управлять доярка. Как результат - людям поручают заниматься тем, в чем они собственно не разбираются, другие господа, которые в данном деле разбираются не лучше первых, эти документы утверждают.
С уверенностью 99% могу сказать, что в нашем государстве нет нормального управления HR-ресурсом. Даже если каждый из депутатов отличный управленец(что тоже не факт), то специалистом он может быть только в одной области. Знание вещь такая, тут или качество, или количество. Так что хорошо бы, чтоб всех наших депутатов аттестовали, и выявили кому какими вопросами можно заниматься. Потому что, когда спортсмен занимается ИТ, например, случаются казусы. Так же следуют законодательно утвердить, сколько человек и какой квалификации(как специалисты) должно быть и только после этого распределять места в парламентах и комитетах в данных парламентах.
К сожалению, в законодательной власти, да и других не меньше, места распределятся как привилегии, вотчины, нежели места работы, конкретными требованиями к квалификации.

Дмитрий Менщиков
27.04.2012 08:25:54

На мой взгляд определение электронной подписи в 63-ФЗ - правильное, потому что для целей этого закона важно именно функция установления авторства электронного документа. Остальные возможные функции каких-то вариантов электронной подписи - побочны.

27.04.2012 08:34:57

1. Установление авторства без обеспечения гарантий целостности документа - бессмыслица.
2. Под это определение подходит банальный набор атрибутов, хранимых в DOC-файле

Дмитрий Менщиков
27.04.2012 08:45:52

Ну да, если я работаю в доверенной корпоративной среде, где нет злоумышленников, то в качестве электронной подписи мне действительно подойдут атрибуты doc-файла.

Если надо защититься от злоумышленников, то лучше проверять целостность документа. Но это наверно не та функция электронной подписи, которая важна с точки зрения этого федерального закона.

02.05.2012 16:00:35

Дело не только в злоумышленниках, но и в ответственности за свою подпись.
В целом для "не автора" это вопрос доверия к документу.
Вы можете сначала подписать один текст, потом изменить его. Авторство останется, а содержание "документа" изменится. А первоначальный текст мог уже иметь последствия.
В этом смысле привлечение понятия "версия документа" (версия файла?) не всегда возможно.
Вообще, понятие подписи не имеет смысла без понятия "документ", поскольку является одним из его реквизитов. В прочих случаях, подпись (Вы правы) - это просто любые данные.
Подпись важнее, чем просто установление авторства. Важно также содержание документа и время подписания. Причем время изменения файла можно принять только в случае, когда Вы работаете на терминальном сервере и не можете изменить время сервера. И никто не может. И не можете скопировать файл с другого компьютера. Ну, здесь допущений может быть много. А речь идет о едином механизме.
Для своих нужд я определяю эл. документ как объект, для которого выполняются следующие условия:
1. Текст документа в смысле ГОСТа (не содержание, а именно представление, воспринимаемое человеком) одинаково воспринимается всеми "читателями", способными его воспринимать. Грубо говоря - зрячими и грамотными, знающими этот язык. Для аудиозаписи - слышащими smile:)
2. Объект обладает целостностью. Удаление либо изменение любой части объекта делает его другим объектом, что может быть обнаружено штатными средствами прикладной среды. Как и добавление любой части.
3. Для объекта определено авторство. Теми же штатными средствами можно узнать, кто создал этот объект либо его "текст".
4. Для объекта определено время создания. Ну, в контексте данного обсуждения - подписания.
5. Для объекта определена тема (причина, повод создания).
Если объект, как бы он ни назывался, не обладает хотя бы одним из этих свойств, он не может считаться документом.
Вот механизм получения (установления, восприятия) этих свойств - это отдельная интересная тема. Но обсуждать ее имеет смысл лишь при фиксации обязательного набора свойств.
Повторяю, этот набор свойств я определил для себя, для своих нужд. Это критерий, который мне нужен для выяснения для себя - с чем я имею дело, что содержится в системе: документы или просто "контент".
Кстати, в случае "бумажных" (железных, глиняных и т.п.) документов соответствующий механизм прикладной среды тоже существует. Это экспертиза авторства. Иногда достаточно собственного взгляда, иногда требуется "заверение", а иногда и привлечение экспертов. И всё это для того, чтобы выяснить, можно ли доверять объекту, представленному в качестве документа.

02.05.2012 18:07:58

Цитата
Для своих нужд я определяю эл. документ как объект, для которого выполняются следующие условия:

Я уверен, что если это вашей фразы убрать слово "эл.", отставив просто "документ", то все сказанное будет оставаться в силе.

А значит, нам уже давно пора отказаться от использования непонятного термина "электронный документ", и оперировать только понятием "документ".

02.05.2012 18:53:50

Ну, такова и была цель, чтобы добиться нормального состояния: эл. документ - это документ, остальное несущественные детали.
Просто в реальности приходится учитывать конкретные обстоятельства. Скажем, для оперативных документов (счета, платежные поручения и т.п.) всё получается просто, особенно "не у нас". Там существует установленный законом срок опротестования (или наоборот, акцептования) такого документа. Если документ акцептован (признан) получателем или прошел срок опротестования, то остальное никого не интересует, в том числе и носитель данных.
Другое дело - документ длительного действия или архивный документ. Там разница между бумажным и электронным документом очень существенная. Скажем, для бумажного документа понятие "компрометация подписи" не существует. А для электронного - доверие к подписи при длительном хранении - первейшее дело.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии