Неизвестные люди оформили ЭЦП, подделав паспорт директора, чтобы отправлять по ТКС «левые» декларации. Можно ли подделать электронную подпись

Все больше новых технологий и терминов приходят в нашу жизнь. И далеко не все успевают эти технологии освоить и даже понять, для чего они. Сегодня мы поговорим об электронной подписи - новой технологии и явлении, с каждым днем получающим все более широкое распространение.

По своей сути, электронная подпись - это аналог обычной подписи человека, призванный идентифицировать его или закрепить его авторство в виртуальной среде. Чаще всего электронные подписи применяются в электронной почте, а также в банковской сфере и бухгалтерском электронном документообороте, являясь дополнительной защитой при проведении транзакций и пересылке важных документов.

Создание электронной подписи получается в результате криптографического преобразования информации с использованием закрытого ключа. Еще одна важная составная часть технологии - сертификат электронной подписи , выдаваемый уполномоченной организацией и позволяющий подтвердить подлинность подписи, исключив ее подделку.

В отличие от рукописного текста, электронный документ очень легко подделать, причем, незаметно для получателя. Вы просто удаляете отдельные слова или целые абзацы и вставляете новые - догадаться, что документ в процессе, например, пересылки был изменен, практически невозможно. Электронная подпись же дает гарантию, что подписанный документ изменить нельзя. То есть, помимо прочего, это еще и защита информации от изменения и подделки. В то же время, человек, подписавший документ электронной подписью, не сможет отказать от авторства документа, ведь электронная подпись - сугубо конфиденциальная информация, которая должна быть доступна только одному человеку.

Чаще всего ключ электронной подписи хранится на специальной флешке (как на снимке в начале статьи), которую нельзя ни скопировать, ни использовать каким-либо другим образом. Такие флешки есть у директоров и главных бухгалтеров компаний, подписывающих личными электронными подписыми банковские документы и бухгалтерскую отчетность, которая сегодня чаще всего передается в налоговые инспекции в электронном виде с помощью специальных систем.

Процесс подписания документа электронной подписью выглядит следующим образом: с помощью специального программного кода программы, используемой для подписи документа, создается специальная функция, так называемая хэш-функция, которая идентифицирует содержимое документа. Затем автор документа шифрует содержание хэш-функции своим персональным закрытым ключом - подписывает документ электронной подписью. Зашифрованная хэш-функция помещается в то же сообщение, что и сам документ. Полученное сообщение можно сохранить на любом носителе, пересылаться по электронной почте или, например, с помощью системы Клиент-банк. Хэш-функция имеет небольшой размер, поэтому практически не влияет на вес сообщения.

При получении, подписанного электронной подписью документа, пользователь имеет возможность убедиться в ее подлинности. Алгоритм подтверждения электронной подписи состоит в следующем: с помощью собственной программы, работающей с электронными подписями, получатель сообщения создает собственный вариант хэш-функции подписанного документа. Затем происходит расшифровка хеш-функции, которая содержится в сообщении и сравнение двух хэш-функций - отправленной и полученной. Их совпадение гарантирует подлинность содержимого документа и одновременно его авторство.

Можно ли подделать электронную подпись?

Теоретически, возможно все. Однако, трудозатраты на подделку электронной подписи, наложенную даже не сертифицированными средствами, то есть простыми программами, не прошедшими сертификацию, слишком велики. У хакеров существует масса более простых способов взлома системы, чем подделка электронной цифровой подписи. Так что электронная подпись считается достаточно надежным средством защиты информации.

Последние советы раздела «Наука & Техника»:

Зачем нужна рация
Что значит статическое электричество в нашей жизни
Что такое коптер
Как жить вечно

У организаций воруют деньги с помощью поддельной электронной подписи. Мы узнали историю компании, которая столкнулась с таким мошенничеством и выяснили, как защититься.

Что делать, если у компании воруют деньги с помощью поддельной электронной подписи

Инспекторы сообщили компании, что за ней числится переплата, которой быть не должно. Оказалось, кто-то сдал за организацию уточненку и снизил сумму к уплате. Декларацию заверили электронной подписью директора.

• Важная статья:

Налоговики рассказали, что у организации две электронные подписи, хотя она оформляла только одну. Инспекторы назвали удостоверяющий центр, который выпустил вторую подпись. Руководитель обратился туда и выяснил, что сертификат выдали по фальшивым документам. Директор его аннулировал.

С дублем электронной подписи мошенники могли перевести себе переплату компании, если им удалось бы открыть счет от ее имени. Мы спросили в удостоверяющих центрах, как защититься от такого мошенничества. В центрах знают о злоупотреблениях, но не могут их исключить.

«Центр выдает сертификат по доверенности и копиям документов. Их легко подделать. Но сотрудник центра не вправе отказаться оформлять подпись представителю компании, если он принес все нужные документы», - рассказал Михаил Добровольский, замруководителя УЦ СКБ Контур по технологическим вопросам.

У компаний есть выход - проверять, не выпустил ли кто-то от их имени электронную подпись. В этом помогут налоговики. Инспекторы рассказали нам, что по запросу директора дадут сведения обо всех электронных подписях компании. Если появились лишние, их надо срочно аннулировать.

К заявлению инспекторы просят приложить документы, которые подтверждают обращение в полицию. Например, копию уведомления о возбуждении уголовного дела. Тогда налоговики заблокируют прием документов с посторонними подписями.

Госдума приняла в третьем, окончательном чтении закон "Об электронной цифровой подписи". При необходимых 226 голосах за принятие данного документа проголосовали 367 депутатов, передает РИА "Новости".

Проект был одобрен правительством Российской Федерации в марте этого года, в июне правительственный вариант был принят Госдумой - в первом чтении. Теперь закон направлен на рассмотрение Совета Федерации.

Закон об электронной цифровой подписи (ЭЦП) ставит целью "обеспечение правовых условий для использования электронных цифровых подписей в процессах обмена электронными сообщениями, при соблюдении которых электронная цифровая подпись признается равнозначной собственноручной подписи" в документе на бумажном носителе. Требовалось также обеспечение правовых условий предоставления услуг по удостоверению электронных цифровых подписей.

Электронная цифровая подпись определяется в документе как "реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи". Это последовательность символов, которая позволяет пользователю открытого ключа ЭЦП, установить целостность и неизменность этой информации, а также владельца закрытого ключа ЭЦП.

Менее формально цифровую подпись можно определить как алгоритм, с помощью которого автор сообщения (официально он именуется владельцем ЭЦП) "подписывает" сообщение. По подписи получатель сообщения может удостовериться, что сообщение подписал именно автор, а не кто-то другой. Кроме того, подписанный таким образом документ уже невозможно изменить. ЭЦП гарантирует, что подписанный электронный документ нельзя ни подделать, ни изменить.

Реализация механизма ЭЦП использует два криптографических ключа - открытый и закрытый, которые генерирует автор сообщения.

Открытый ключ ЭЦП - это общедоступная последовательность символов, предназначенная для проверки электронной подписи. Получатель документа, используя "открытый" ключ, проверяет ЭЦП. Открытый ключ позволяет только проверять существующую ЭЦП, но не позволяет "расписаться". Создание ЭЦП возможно только с помощью закрытого ключа, который имеется только у владельца подписи.

Закрытый ключ ЭЦП - последовательность символов, предназначенная для выработки ЭЦП и известная только правомочному лицу - владельцу. Владелец использует этот ключ для создания своей подписи под каждым документам.

Для того, чтобы использовать ЭЦП требуется получить сертификат открытого ключа ЭЦП (сертификат ключа подписи) - документ, выданный и заверенный удостоверяющим центром, подтверждающий принадлежность открытого ключа ЭЦП определенному лицу. Открытый ключ указывается в сертификате, и как уже говорилось выше, доступен каждому.

Cертификат выдается на имя владельца, который может быть как физическим, так и юридическим лицом, и которое владеет закрытым ключом ЭЦП, соответствующим открытому ключу.

Планируется создание центров по удостоверению подлинности ЭЦП (так называемых удостоверяющих центров) - юридических лиц (или их подразделений), обладающих правомочиями на удостоверение принадлежности конкретного открытого ключа ЭЦП владельцу сертификата.

Сертификаты будут удостоверять соответствие необходимым требованиям т.н. "средства ЭЦП", то есть программ для создания и чтения подписей, - проще говоря, будут гарантировать качество электронных "бумаги и чернил".

Реализация проекта потребует учреждения специальных фирм, обладающей лицензией, оборудованием и программным обеспечением, позволяющим создавать и проверять ЭЦП.

Предполагается, что применение ЭЦП ускорит развитие электронного делооборота и торговли в интернете и обеспечит их безопасность.

Законы об электронной подписи, аналогичные американскому, приняли на сегодняшний момент многие страны мира, включая Европейский Союз, Таиланд и Белоруссию.

Что такое электронная цифровая подпись (ЭЦП)?

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Насколько сложно научиться пользоваться электронной цифровой подписью (ЭЦП)?

Несмотря на чрезвычайную сложность математического аппарата двухключевой криптографии и программных средств, его реализующих, пользование ЭЦП для его владельца на удивление просто и доступно любому человеку, вне зависимости от уровня владения персональным компьютером, образования и рода занятий.

Для того, чтобы подписать подготовленный электронный документ, владельцу ЭЦП достаточно вставить в дисковод компьютера дискету, содержащую принадлежащий ему секретный ключ, и щелкнуть мышкой по кнопке на экране компьютера. Все остальное компьютер сделает сам.

Проверить истинность подписи любого человека под любым электронным документом еще проще. Вызванный на экран компьютера подписанный электронный документ проверяется автоматически и поэтому сразу содержит информацию о том, кто его подписал, и истинна ли подпись.

Вместе с тем мы предоставляем и более сложные средства проверки электронной подписи, предназначенные для экспертов на случай, если по каким-либо причинам понадобится по другой схеме проверить и еще раз убедиться в подлинности документа.

Равнозначна ли электронная цифровая подпись подписи на бумаге?

Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

подтверждена подлинность электронной цифровой подписи в электронном документе;

электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Клиент может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

Можно ли подделать ЭЦП?

При правильном хранении секретного ключа его владельцем - нет. Выполняйте рекомендации по хранению и использованию ключа, содержащиеся в документации к абонентскому рабочему месту - и вы будете гарантированы от подделки вашей ЭЦП. На сегодняшний день на Земле не существует вычислительных мощностей, способных в сколько-нибудь приемлемые сроки взломать криптографию ЭЦП, и в ближайшие десятилетия это будет также невозможно.

Можно ли незаметно подделать текст электронного документа, подписанного ЭЦП?

Это невозможно. Любое изменение, несанкционированно внесенное в текст документа, будет обнаружено, проверка ЭЦП покажет, что она искажена.

Документы на бумажных носителях с подписью и печатью можно хранить, а можно ли хранить электронный документ, подписанный ЭЦП?

Конечно, и неизмеримо более удобно. Для электронных документов не нужны шкафы, папки и дыроколы. Вам не придется тратить драгоценные часы своего рабочего времени на перелистывание скоросшивателей в поисках потерявшегося документа и дышать бумажной пылью архивов. Архив, который в бумажном виде занял бы несколько стеллажей, в электронном виде умещается на маленьком диске, который при желании можно спрятать в несгораемый сейф, поместить в депозитарий банка, скопировать для надежности, зашифровать и придумать с ним еще множество операций, позволяющих уберечь вашу информацию от случайностей и злого умысла. Просканировать такой архив и найти в нем любой нужный документ - дело нескольких секунд.

И при этом, конечно же, вместе с документом в архиве сохранится и ЭЦП, которая даже спустя десятки лет сможет подтвердить вам и кому угодно его подлинность.

Впрочем, ничто не мешает вам распечатать любой документ, заверенный ЭЦП, и пользоваться им как обычным бумажным документом.

Если возникли споры, и дело дошло до арбитражного суда, будут ли документы, подписанные ЭЦП, иметь юридическую силу?

Да, безусловно имеют юридическую силу.

Что делать, если секретный ключ ЭЦП оказался рассекреченным при каких-то обстоятельствах?

Ну что ж, это возможно, но только в том случае, если вы допустили отклонение от наших рекомендаций по хранению секретного ключа.

Основная ваша задача в момент компрометации - как можно быстрее оповестить администратора Удостоверяющего центра о произошедшем, чтобы он вывел скомпрометированный ключ из действия в системе. С этого момента подпись теряет юридическую силу и Вы можете быть спокойны. После этого можно будет решать вопрос о выдаче вам новых ключей ЭЦП взамен скомпрометированных. Более подробный ответ на этот вопрос можно найти в инструкции, передаваемой клиенту вместе с ключами ЭЦП.

Может ли человек, подписавший документ, отказаться от своей подписи?

Если вы внимательно прочитали ответ на вопрос "Как работает электронная цифровая подпись", то уже должны знать, что ЭЦП обладает свойством неотказуемости. Это означает, что никто не может отказаться от своей электронной подписи, потому что ее принадлежность легко, однозначно и неоспоримо доказывается.

Как нужно хранить ключи ЭЦП?

Подробные рекомендации, как хранить ключи ЭЦП, изложены в договоре между Оператором и клиентом и документации к абонентскому комплекту. Кратко можно сказать следующее: храните их таким образом, чтобы быть уверенным, что ваш секретный ключ ни при каких обстоятельствах не может оказаться в руках человека, которому вы не доверяете. Лучше всего, если ваш секретный ключ будет доступен только вам лично, либо только одному особо доверенному лицу.

На сколько времени выдается ЭЦП?

Ваши ключи ЭЦП будут действительны в течение 12 месяцев, считая с момента введения вашей ЭЦП в действие.

Заблаговременно до истечения этого срока вы сможете получить новые ключи ЭЦП таким образом, чтобы не произошло перерыва в действии вашей ЭЦП при смене ключей. Эти ключи будут действовать в течение следующих 12 месяцев, и так далее.

Нужно ли секретить открытый ключ?

Открытый ключ потому и называется открытым, что его не только не нужно секретить, но наоборот, его свободное распространение как раз и является основой для работы системы ЭЦП. Любой человек, который хочет убедиться в подлинности вашей ЭЦП, должен будет воспользоваться для этой цели вашим открытым ключом.

Может ли один человек иметь несколько ЭЦП?

Да, один человек может иметь несколько ЭЦП. Это право закреплено п.2 ст.4 Федерального закона. 1-ФЗ "Об электронной цифровой подписи".

Очевидно, что эти ЭЦП должны различаться между собой. Удостоверяющий центр не выдает двух идентичных по назначению ЭЦП одному и тому же лицу.

Как можно убедиться, что человек, подписавший документ от имени предприятия, имеет на то полномочия?

Легко можно убедиться, посмотрев сертификат открытого ключа владельца ЭЦП.

Для получения ключей ЭЦП на сотрудника предприятия руководитель (подписывая договор и заверяя заявление сотрудника) подтверждает должность и полномочия своего сотрудника (какие документы он имеет право подписывать).

На основании подписанных руководителем документов (которые хранятся в Удостоверяющем центре) в сертификате открытого ключа ЭЦП указывается должность и полномочия владельца ЭЦП. А сертификат открытого ключа ЭЦП доступен всем клиентам.

Могут ли руководитель и его заместители, а также главный бухгалтер, иметь свои индивидуальные ЭЦП и при этом подписывать документы, в пределах своих полномочий, от имени предприятия своей ЭЦП?

Может ли предприятие работать с одной ЭЦП?

Что делать если сотрудник на которого была оформлена ЭЦП уволился с предприятия и может ли он при желании продолжать подписывать документы от имени предприятия?

Руководитель предприятия или сам владелец ЭЦП должны немедленно заявить администратору об отзыве сертификата. Администратор системы немедленно приостанавливает действие сертификата, а после получения письменного подтверждения (можно в электронном виде, если подпись ЭЦП) отзывает сертификат. Таким образом, с момента получения администратором информации, подпись сотрудника будет считаться недействительной, и никто с ним работать не будет (так клиенты перед расшифровкой подписи обязательно просматривают список отозванных сертификатов).

Обычно печать предприятия хранится в бухгалтерии, или у секретаря, или в другой службе, и они же ставят печать на подпись руководителя. А можно ли ЭЦП доверять так же, как и печать?

Личное дело руководителя кому доверять, ответственность все равно остается за ним и поэтому желательно, чтобы он предусмотрел все меры предосторожности.

Чем гарантируется надежность криптографической защиты и то, что ЭЦП нельзя подделать?

Надежность криптографической защиты, в том числе ЭЦП, обеспечивается применением только средств криптографической защиты информации (СКЗИ), имеющих сертификаты ФАПСИ и обеспечивающих требования ГОСТ Р34.10-94, ГОСТ Р34-11-94 и ГОСТ 28147-83.

Для чего используется электронная цифровая подпись?

Для обеспечения конфиденциальности передаваемой информации, подтверждения авторства целостности электронных документов и неотрекаемости от передачи электронных документов используется криптографическая защита информации -электронная цифровая подпись.

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Электронная цифровая подпись (ЭЦП) используется в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью и скрепленного печатью.

Каковы функции удостоверяющего центра?

Для обеспечения работы системы управления ключами и сертификатами функции удостоверяющего центра выполняет специализированный оператор связи. Основными функциями специализированный оператор связи являются:

Регистрация пользователей;

Изготовление сертификатов ключей подписей;

Создание ключей электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;

Приостановление и возобновление действия сертификатов ключей подписей, а также аннулирование их;

Ведение реестра сертификатов ключей подписей, обеспечение его актуальности и возможности свободного доступа к нему участников информационных систем;

Проверка уникальности открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;

Выдача сертификатов ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;

Осуществление по обращениям пользователей сертификатов ключей подписей подтверждения подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей.

Каковы обязательства удостоверяющего центра?

Специализированный оператор связи выполняющий функции удостоверяющего центра при изготовлении сертификата ключа подписи принимает на себя следующие обязательства по отношению к владельцу сертификата ключа подписи:

Вносить сертификат ключа подписи в реестр сертификатов ключей подписей;

Обеспечивать выдачу сертификата ключа подписи обратившимся к нему участникам информационных систем;

Приостанавливать действие сертификата ключа подписи по обращению его владельца;

Уведомлять владельца сертификата ключа подписи о фактах, которые стали известны удостоверяющему центру и которые существенным образом могут сказаться на возможности дальнейшего использования сертификата ключа подписи;

Иные установленные нормативными правовыми актами или соглашением сторон обязательства.

Каковы обязательства владельца ЭЦП?

Владелец сертификата ключа подписи обязан:

Не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;

Хранить в тайне закрытый ключ электронной цифровой подписи;

Немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.

При несоблюдении требований, изложенных в настоящей статье, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.

Электро́нная цифровая по́дпись (ЭЦП) - информация в электронной форме, присоединенная к другой информации в электронной форме (электронный документ) или иным образом связанная с такой информацией. Используется для определения лица, подписавшего информацию (электронный документ)

Анализ возможностей подделки подписей называется криптоанализ. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют «атака».

]Модели атак и их возможные результаты

· Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.

· Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.

· Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.

]Подделка документа (коллизия первого рода)

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один.

Получение двух документов с одинаковой подписью (коллизия второго рода)

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях

Социальные атаки

Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключам

· Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.

· Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.

· Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.

53. Понятие «защищенная система» свойства защищенных систем.

Защищенная система – это система обработки информации, в состав которой включен тот или иной набор средств защиты.Защищенная система обработки информации для определенных условий эксплуатации обеспечивает безопасность, конфиденциальность и целостность обрабатываемой информации и поддерживает свою работоспособность в условиях воздействия на нее любого множества угроз.

Защищенная система содержит достаточные условия безопасности и является качественной характеристикой информации.

Свойства защищенной системы информационной безопасности:

Под защищенной системой обработки информации предполагается понимать систему, которая обладает тремя свойствами:

1. осуществляет автоматизацию некоторого процесса обработки, конфидециальность информации, включая все аспекты этого процесса, связанные с обеспечением безопасности обрабатываемой информации.

2. успешно противостоит угрозам безопасности, действующим в определенной среде.

3. Система соответствует требованиям и критериям стандартов информационной безопасности.