Электронная подпись - не роскошь, а необходимость

Skaitmeninis ryšys

Стремительное развитие информационных технологий в мире вносит в нашу жизнь множество удобств и соблазнов. Приставка «e» («электронная» ) стала приклеиваться к самым разнообразным услугам, о которых вчера мы даже не задумывались: e-коммерция, e -управление, e-банкинг, e-подпись... Список этот открыт и пополняется непрерывно. 

 
У каждых из этих услуг своя история и свои успехи. К примеру, несмотря на то, что американцы ухлопали в рекламу электронной коммерции гигантские средства, она развивается вяло – как в США, так и во всем мире. А вот популярность e-банков растет семимильными шагами. Во всяком случае, в Литве. Причин неравномерности успеха много, но думаю, что не ошибусь, если главной назову вотум доверия к защите информации, которая обеспечивается в той или иной электронной отрасли. В частности, относительный прогресс e-банкинга обусловлен тем, что именно банки традиционно проявляли явный интерес к технологиям защиты информации и добились немалых успехов  в этом направлении.

Наболее полное воплощение разработанных к настоящему времени средств и методов криптографической защиты информации представляет собой PKI (Public Key Infrastructure), создание и применение которой является обязательным требованиям всех европейских проектов, связанных с электронным управлением (E-Government). Активное участие в создании PKI в Литве (по инициативе и при непосредственном руководстве государственных учреждений)  принимают специалисты граппы компаний «Penki kontinentai», которые приобрели и накопили большой опыт в применении криптографических методов защиты имеенно в банковских технологиях.


 

Применительно к  технологиям PKI  отношение публики характеризуется  двумя противоположными тенденциями:  повышенным интересом со стороны одних пользователей IT и порой неоправданной надеждой, что такие средства и методы  гарантируют абсолютно безопасность всего и всегда, и, напротив, мнением  других пользователей , что это никому не нужные вещи, которые коммерческие фирмы пытаются «впарить» доверчивым людям за немалые деньги. Негатив подогревается примерами из собственного или чужого опыта из других областей IT, связанного, к примеру,  с той же е-коммерцией, когда товар оставался лишь в виртуальном виде, а деньги исчезали.

Однако, попытаемся без эмоций разобраться, о чем же на самом деле идет речь.

Немного истории 

Чтобы закрыть доступ к информации ограниченного пользования, люди с давних времен ее шифровали. В результате появилась область науки и практики, именуемая криптографией. В течение длительного времени она была монополией исключительно военных и спецслужб, однако за последние 20 лет вошла в самые разные сферы жизни, в том числе и бытовую. Некогда закрытая область, сегодня стала вполне доступной – учебники и популярные (но далекие от достоверности) инструкции по ней можно найти даже в Интернете. И некоторые умельцы умудряются сами ввести защиту, чтобы юные отроки не могли влезть в сайт, или конкуренты не украли текст научной диссертации, над которой ты работаешь.

 

Первыми в гражданских целях крипотграфические методы стали широко применять банки, поскольку  безналичные денежные средства – это и есть информация, в отношении которой весьма вероятны своеокорыстные действия – убрать или добавить лишний нолик, чуть-чуть изменить номер счета и т.п. Поэтому именно банки дальше всех продвинулись в этой области,  несмотря на то, что развитие криптографии  никогда не являлось для них самоцелью.  Этот пример  является лучшим доказательством ее практической важности и необходимости.

Специфика использования методов криптографии в  гражданском обществе состоит в том, что упор делается не на  методах сокрытия информации , а на методах защиты информации  от подлога. Эти методы более сложные, чем, например, шифрование. Самым  популярным из них является метод «е-подписи». 

Электронная подпись 

s

Вокруг этого метода, который нынче у всех на слуху, особенно много фантастических домыслов, связанных с элементарным отсутствием достоверной и в то же время популярной информации .


 

В представлении многих это более совершенная  «копия» личной подписи, которую можно передавать по Интернету. На самом деле суть ее в том, чтобы защитить  от каких-либо изменений, то есть – от подлога, информацию, передаваемую или хранимую в электронном виде , а также идентифицировать ее автора или отправителя. Проще говоря, получив электронное сообщение или электронный документ, снабженный электронной подписью, можно одновременно проверить как подлинность документа, так и  личность отправителя. Если подпись верна, то у меня есть гарантия, что не был изменен ни один бит электронного послания.

Некоторые считают, что нужно подписывать электронной подписью бумажные документы, произведя визуализицию электронной подписи на бумаге . Это возможно, и иногда так поступают для того, чтобы напугать желающих подделать документ. Но суть е-подписи –  аутентификация именно электронного документа или сообщения. 

 

Электронным аналогом личной (физической) подписи является не сама электронная подпись, а «личный ключ» того, кто подписывает. Он всегда одинаков, как и наша подпись. А е-подпись всегда уникальна для каждого документа. Поэтому прямой аналогии между  личной и электронной подписями нет . Стоит изменить электронный документ хотя бы в одном бите информации, и меняется полностью вся е-подпись, в то время как одного личного ключа, в принципе, достаточно, чтобы подписывать неограниченное количество электронных сообщений. Обычно личных ключей бывает несколько и  каждый из них имеет собственное назначение  – один для подписи сообщений электронной почты,  другой для подписи важных документов или  подтверждения  полномочий владельца  и пр. 

Не следует думать, что метод электронной подписи используется только для аутентификации электронных документов и сообщений. Метод электронной подписи является стандартным методом криптографической защиты информации и, наряду с другими методами, включается  в различные криптографические протоколы.  Криптографический протокол, образно говоря, - это некий набор правил, сценарий, описывающий порядок применения средств и методов защиты информации. В качестве примера можно привести стандартизированный и наиболее часто используемый  в настоящее время  SSL-протокол, включающий в себя как шифрование передаваемой информации, так и аутентификацю участников обмена информации именно методом электронной подписи. Обменивающиеся информацией стороны могут быть уверены, что посылаемая информация не попадет в чужие руки.

 

Существуют и другие протоколы аутентификации участников обмена информацией, также использующие метод электронной подписи. Так при помощи данного метода узнают друг друга ваша платежная карточка и платежный терминал, когда вы расплачиваетесь за покупку. Вообще метод электронной подписи используется во многих устройствах и программах, которые стали абсолютно привычными для большинства рядовых пользователей. При этом пользователь не замечает ни момента генерации электронной подписи, ни ее проверки, скрытых внутри протокола аутентификации. 

Кому это надо? 

s

Тогда возникает естественный вопрос: «Зачем нужна рядовому гражданину информация об электронной подписи»?

Причин можно назвать, по крайней мере. В настоящее время в Литве широко внедряются по рекомендациям EС проекты «E-valdimas». Эти проекты  предполагают вовлечение всего населения Литвы  в обмен информацией между государственными, общественными организациями, частными предприятиями с одной стороны, и гражданами с другой стороны, в электронном виде. Цель – существенное улучшение управления и обслуживания граждан всеми учреждениями страны.  Расширяется количество предлагаемых информационных услуг посредством доступа через Интернет. При этом часто происходит обмен конфиденциальной информацией, например, личного характера (история болезни, задолженности, декларирование имущества и доходов, а также многое другое).

В этом случае пользователь должен быть уверен в получении достоверной информации, а также в том, что никто другой не должен получить предназначенную ему конфиденциальную информацию, и никто другой не может от его имени предоставить подложную, компрометирующую его информацию. Получая информацию через  открытую систему, как, например, Интернет, пользователь должен лично и сознательно идентифицировать себя перед другой стороной системы обмена информацией: эти обязанности не могут быть переданы ни компьютеру, ни какому-либо другому устройству или программе. Также сознательно пользователь должен лично инициировать процесс генерации электронной подписи со своим  личным секретным ключом, отправляя важные сведения о себе получателю.

Это вторая причина, по которой пользователь должен знать об электронной подписи. А первая причина состоит в том, что он не должен соглашаться на использование таких информационных услуг, которые не обеспечивают сохранность и конфиденциальность его информации.

Другими словами, прежде чем спешить обменяться информацией с провайдером услуг, следует поинтересоваться, какие методы защиты информации гарантируют ее безопасность в данном случае. Иначе могут быть большие неприятности. Представьте, что  вам предлагают информацию об оплате каких-либо услуг уважаемому и солидному предприятию - сумму и номер счета, куда ее следует перечислить, и происходит это, например, с подложного сайта...  Куда уйдут ваши деньги, если вы воспользуетесь подобной «услугой»? И что будет, если какой-либо шутник заполнит через Интернет от вашего имени налоговую декларацию с указанием ваших «заводов, газет, пароходов»?

 

Итак, понимание назначения и применения электронной подписи все-таки нужны рядовым пользователям. К сожалению популярной, доступной для понимания  литературы на данную тему очень мало, а в Литве практически нет.

Наша компания планирует  устранить этот пробел, создавая доступные популярные и учебные материалы об электронной подписи и PKI. Также мы попытаемся привести полезные для наших читателей сведения в наших последующих статьях.

Резюме

s

Замену  бумажных носителей информации на электронные приветствуют практически все: удобство, экономия, скорость... Однако, когда речь заходит о средствах защиты, в частности, о  технологиях PKI , е-подписи и т.п.,  и необходимости вкладывать в них, многие начинают выражать недовольство или сомнения. Между тем, в данном случае вопрос о том, нужно это или не нужно, внедрять или не внедрять – вообще не стоит. Потому что это звенья одной ситемы, без которых просто нельзя обойтись. Ибо, как только мы переходим на электронный документооборот, автоматически возникает вопрос о защите электронной информации. Перефразируя Остапа Бендера, можно сказать, что защита информации - не роскошь, а средство безопасного передвижения информации. 

 

Итак, вопрос лишь  в том: «переходить или не переходить на е-услуги и электронный документооборот?». Но утвердительный ответ на этот вопрос, кажется, уже дан? Есть сомнения?