Стремительное развитие информационных технологий в мире вносит в нашу жизнь множество удобств и соблазнов. Приставка «e» («электронная» ) стала приклеиваться к самым разнообразным услугам, о которых вчера мы даже не задумывались: e-коммерция, e -управление, e-банкинг, e-подпись... Список этот открыт и пополняется непрерывно. 

 
У каждых из этих услуг своя история и свои успехи. К примеру, несмотря на то, что американцы ухлопали в рекламу электронной коммерции гигантские средства, она развивается вяло – как в США, так и во всем мире. А вот популярность e-банков растет семимильными шагами. Во всяком случае, в Литве. Причин неравномерности успеха много, но думаю, что не ошибусь, если главной назову вотум доверия к защите информации, которая обеспечивается в той или иной электронной отрасли. В частности, относительный прогресс e-банкинга обусловлен тем, что именно банки традиционно проявляли явный интерес к технологиям защиты информации и добились немалых успехов  в этом направлении.

Наболее полное воплощение разработанных к настоящему времени средств и методов криптографической защиты информации представляет собой PKI (Public Key Infrastructure), создание и применение которой является обязательным требованиям всех европейских проектов, связанных с электронным управлением (E-Government). Активное участие в создании PKI в Литве (по инициативе и при непосредственном руководстве государственных учреждений)  принимают специалисты граппы компаний «Penki kontinentai», которые приобрели и накопили большой опыт в применении криптографических методов защиты имеенно в банковских технологиях.

Применительно к  технологиям PKI  отношение публики характеризуется  двумя противоположными тенденциями:  повышенным интересом со стороны одних пользователей IT и порой неоправданной надеждой, что такие средства и методы  гарантируют абсолютно безопасность всего и всегда, и, напротив, мнением  других пользователей , что это никому не нужные вещи, которые коммерческие фирмы пытаются «впарить» доверчивым людям за немалые деньги. Негатив подогревается примерами из собственного или чужого опыта из других областей IT, связанного, к примеру,  с той же е-коммерцией, когда товар оставался лишь в виртуальном виде, а деньги исчезали.

Однако, попытаемся без эмоций разобраться, о чем же на самом деле идет речь.

Немного истории 

Чтобы закрыть доступ к информации ограниченного пользования, люди с давних времен ее шифровали. В результате появилась область науки и практики, именуемая криптографией. В течение длительного времени она была монополией исключительно военных и спецслужб, однако за последние 20 лет вошла в самые разные сферы жизни, в том числе и бытовую. Некогда закрытая область, сегодня стала вполне доступной – учебники и популярные (но далекие от достоверности) инструкции по ней можно найти даже в Интернете. И некоторые умельцы умудряются сами ввести защиту, чтобы юные отроки не могли влезть в сайт, или конкуренты не украли текст научной диссертации, над которой ты работаешь.

Первыми в гражданских целях крипотграфические методы стали широко применять банки, поскольку  безналичные денежные средства – это и есть информация, в отношении которой весьма вероятны своеокорыстные действия – убрать или добавить лишний нолик, чуть-чуть изменить номер счета и т.п. Поэтому именно банки дальше всех продвинулись в этой области,  несмотря на то, что развитие криптографии  никогда не являлось для них самоцелью.  Этот пример  является лучшим доказательством ее практической важности и необходимости.

Специфика использования методов криптографии в  гражданском обществе состоит в том, что упор делается не на  методах сокрытия информации , а на методах защиты информации  от подлога. Эти методы более сложные, чем, например, шифрование. Самым  популярным из них является метод «е-подписи». 

Электронная подпись 

Вокруг этого метода, который нынче у всех на слуху, особенно много фантастических домыслов, связанных с элементарным отсутствием достоверной и в то же время популярной информации .

В представлении многих это более совершенная  «копия» личной подписи, которую можно передавать по Интернету. На самом деле суть ее в том, чтобы защитить  от каких-либо изменений, то есть – от подлога, информацию, передаваемую или хранимую в электронном виде , а также идентифицировать ее автора или отправителя. Проще говоря, получив электронное сообщение или электронный документ, снабженный электронной подписью, можно одновременно проверить как подлинность документа, так и  личность отправителя. Если подпись верна, то у меня есть гарантия, что не был изменен ни один бит электронного послания.

Некоторые считают, что нужно подписывать электронной подписью бумажные документы, произведя визуализицию электронной подписи на бумаге . Это возможно, и иногда так поступают для того, чтобы напугать желающих подделать документ. Но суть е-подписи –  аутентификация именно электронного документа или сообщения. 

Электронным аналогом личной (физической) подписи является не сама электронная подпись, а «личный ключ» того, кто подписывает. Он всегда одинаков, как и наша подпись. А е-подпись всегда уникальна для каждого документа. Поэтому прямой аналогии между  личной и электронной подписями нет . Стоит изменить электронный документ хотя бы в одном бите информации, и меняется полностью вся е-подпись, в то время как одного личного ключа, в принципе, достаточно, чтобы подписывать неограниченное количество электронных сообщений. Обычно личных ключей бывает несколько и  каждый из них имеет собственное назначение  – один для подписи сообщений электронной почты,  другой для подписи важных документов или  подтверждения  полномочий владельца  и пр. 

Не следует думать, что метод электронной подписи используется только для аутентификации электронных документов и сообщений. Метод электронной подписи является стандартным методом криптографической защиты информации и, наряду с другими методами, включается  в различные криптографические протоколы.  Криптографический протокол, образно говоря, - это некий набор правил, сценарий, описывающий порядок применения средств и методов защиты информации. В качестве примера можно привести стандартизированный и наиболее часто используемый  в настоящее время  SSL-протокол, включающий в себя как шифрование передаваемой информации, так и аутентификацю участников обмена информации именно методом электронной подписи. Обменивающиеся информацией стороны могут быть уверены, что посылаемая информация не попадет в чужие руки.

Существуют и другие протоколы аутентификации участников обмена информацией, также использующие метод электронной подписи. Так при помощи данного метода узнают друг друга ваша платежная карточка и платежный терминал, когда вы расплачиваетесь за покупку. Вообще метод электронной подписи используется во многих устройствах и программах, которые стали абсолютно привычными для большинства рядовых пользователей. При этом пользователь не замечает ни момента генерации электронной подписи, ни ее проверки, скрытых внутри протокола аутентификации. 

Кому это надо? 

Тогда возникает естественный вопрос: «Зачем нужна рядовому гражданину информация об электронной подписи»?

Причин можно назвать, по крайней мере. В настоящее время в Литве широко внедряются по рекомендациям EС проекты «E-valdimas». Эти проекты  предполагают вовлечение всего населения Литвы  в обмен информацией между государственными, общественными организациями, частными предприятиями с одной стороны, и гражданами с другой стороны, в электронном виде. Цель – существенное улучшение управления и обслуживания граждан всеми учреждениями страны.  Расширяется количество предлагаемых информационных услуг посредством доступа через Интернет. При этом часто происходит обмен конфиденциальной информацией, например, личного характера (история болезни, задолженности, декларирование имущества и доходов, а также многое другое).

В этом случае пользователь должен быть уверен в получении достоверной информации, а также в том, что никто другой не должен получить предназначенную ему конфиденциальную информацию, и никто другой не может от его имени предоставить подложную, компрометирующую его информацию. Получая информацию через  открытую систему, как, например, Интернет, пользователь должен лично и сознательно идентифицировать себя перед другой стороной системы обмена информацией: эти обязанности не могут быть переданы ни компьютеру, ни какому-либо другому устройству или программе. Также сознательно пользователь должен лично инициировать процесс генерации электронной подписи со своим  личным секретным ключом, отправляя важные сведения о себе получателю.

Это вторая причина, по которой пользователь должен знать об электронной подписи. А первая причина состоит в том, что он не должен соглашаться на использование таких информационных услуг, которые не обеспечивают сохранность и конфиденциальность его информации.

Другими словами, прежде чем спешить обменяться информацией с провайдером услуг, следует поинтересоваться, какие методы защиты информации гарантируют ее безопасность в данном случае. Иначе могут быть большие неприятности. Представьте, что  вам предлагают информацию об оплате каких-либо услуг уважаемому и солидному предприятию - сумму и номер счета, куда ее следует перечислить, и происходит это, например, с подложного сайта...  Куда уйдут ваши деньги, если вы воспользуетесь подобной «услугой»? И что будет, если какой-либо шутник заполнит через Интернет от вашего имени налоговую декларацию с указанием ваших «заводов, газет, пароходов»?

Итак, понимание назначения и применения электронной подписи все-таки нужны рядовым пользователям. К сожалению популярной, доступной для понимания  литературы на данную тему очень мало, а в Литве практически нет.

Наша компания планирует  устранить этот пробел, создавая доступные популярные и учебные материалы об электронной подписи и PKI. Также мы попытаемся привести полезные для наших читателей сведения в наших последующих статьях.

Резюме

Замену  бумажных носителей информации на электронные приветствуют практически все: удобство, экономия, скорость... Однако, когда речь заходит о средствах защиты, в частности, о  технологиях PKI , е-подписи и т.п.,  и необходимости вкладывать в них, многие начинают выражать недовольство или сомнения. Между тем, в данном случае вопрос о том, нужно это или не нужно, внедрять или не внедрять – вообще не стоит. Потому что это звенья одной ситемы, без которых просто нельзя обойтись. Ибо, как только мы переходим на электронный документооборот, автоматически возникает вопрос о защите электронной информации. Перефразируя Остапа Бендера, можно сказать, что защита информации - не роскошь, а средство безопасного передвижения информации. 

Итак, вопрос лишь  в том: «переходить или не переходить на е-услуги и электронный документооборот?». Но утвердительный ответ на этот вопрос, кажется, уже дан? Есть сомнения?