Методика получения, хранения и использования ЭЦП

Краснодарский филиал федерального государственного бюджетного образовательного учреждения высшего профессионального образования

«Российский государственный торгово-экономический университет»

Учетно-финансовый факультет

Кафедра математики и прикладной информатики

КОНТРОЛЬНАЯ РАБОТА

По дисциплине «Электронно-цифровая подпись в торгово-экономической деятельности»

                                                  Выполнил студент 2 курса,10-СПОс-3Б группы

                                                   Специальность 080109- Бухгалтерский учет,              

                                                   анализ и аудит

Савенкова Анастасия Станиславовна

(фамилия, имя, отчество студента)

«_____»________________20___г.

_____________________

            (подпись студента)

Рецензент Лысенко Л.А.

                (должность, фамилия, имя, отчество       

преподавателя)

Краснодар 2011

Вопрос 1 Методика получения, хранения и использования ЭЦП

Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты такого документа от изменений. На технологическом уровне ЭЦП представляет собой последовательность символов, созданную в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и специального программного обеспечения — криптопровайдера. ЭЦП позволяет идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в исходном электронном документе, поскольку любое изменение исходного документа делает ЭЦП недействительной. ЭЦП уникальна и не может быть перенесена на другой документ, невозможность подделки ЭЦП обеспечивается колоссальным объемом математических вычислений, необходимым для её подбора. Таким образом, при получении подписанного с помощью ЭЦП документа, получатель может быть уверен в авторстве и подлинности такого документа. ЭЦП выдается специальными организациями — удостоверяющими центрами (УЦ), имеющими соответствующие лицензии ФСБ РФ. Процесс выдачи ЭЦП представляет собой проверку документов получателя ЭЦП (иначе говоря, идентификацию предполагаемого владельца ключа), генерацию пары ключей (открытого ключа, на который выпускается сертификат ЭЦП и который будет виден всем участникам документооборота, и закрытого ключа, известного только владельцу ЭЦП) и выпуск удостоверяющим центром сертификата открытого ключа в бумажном и электронном виде. Бумажный сертификат заверяется печатью УЦ и подписывается уполномоченным лицом УЦ, а электронный сертификат (как правило, представляющий собой файл с расширением .cer) подписывается уполномоченным лицом УЦ с помощью собственной ЭЦП. После этого сертификат и ключевая пара записываются на ключевой носитель. В качестве ключевого носителя лучше всего использовать защищенные носители типа ruToken или eToken, представляющие собой флеш-устройства с интегрированными в них средствами обеспечения безопасности и конфиденциальности (требование введения пин-кода, невозможность удаления или копирования ключевой пары). Внимание — закрытый ключ является секретной информацией владельца ЭЦП и не должен никому передаваться. Рекомендуется крайне внимательно относиться к ключевому носителю, не оставлять его без присмотра и не передавать третьим лицам.

Для работы с ЭЦП необходимо установить на компьютер специальное программное обеспечение — криптопровайдер. Как правило, криптопровайдер можно приобрести в удостоверяющем центре вместе с ЭЦП. Наиболее распространенными криптопровайдерами являются программы производства ООО «Лисси» (криптопровайдер «Lissi CSP») и ООО «Крипто-Про» (криптопровайдер «CryptoPro CSP»). После установки криптопровайдера необходимо вставить в компьютер ключевой носитель, после чего появляется возможность подписания документов.

Обращаем Ваше внимание на то, что для работы на ЕЭТП до 31.12.2010 г. подходят все ЭЦП, выданные удостоверяющими центрами, входящими в пространство доверия ЕЭТП (ссылка на список и координаты удостоверяющих центров, входящих в пространство доверия площадки, размещена на главной странице). С 01.01.2011 г. будут приниматься только ЭЦП, выданные авторизованными удостоверяющими центрами, т.е. удостоверяющими центрами, включенными в единое пространство доверия всех площадок и имеющими соответствующие соглашения. При заказе ЭЦП следует сообщить сотруднику удостоверяющего центра цель приобретения ключа (участие в электронных аукционах), поскольку для придания подписанным документом юридической значимости в документообороте, соответствующая информация должна быть прописана удостоверяющим центром в назначении сертификата.

Сертификат ЭЦП выпускается на конкретное физическое лицо, являющееся сотрудником организации Участника размещения заказа. Необходимо получить ЭЦП на сотрудника, уполномоченного на получение аккредитации на электронной площадке от имени Участника размещения заказа, и на сотрудников, уполномоченных на осуществление действий от имени Участника размещения заказа по участию в открытых аукционах в электронной форме (в том числе на регистрацию на открытых аукционах и на подписание государственного контракта). Можно получить ЭЦП только на одного сотрудника при условии, что этот сотрудник уполномочен осуществлять все перечисленные действия от имени Участника размещения заказа. Таким сотрудником может быть, например, руководитель организации Участника размещения заказа или лицо, имеющее соответствующую доверенность. При этом все документы, подтверждающие полномочия таких сотрудников, предоставляются оператору при получении аккредитации на электронной торговой площадке.

Защищенный носитель оснащен системой безопасности:

пин - кодом;

защитой от взлома;

защитой от несанкционированного копирования изнутри;

Часто сотрудниками фирм используются незащищенные носители, с которых ключи легко копируются. Помимо этого, существует  возможность запуска и использования ЭЦП непосредственно с компьютера, если она установлена на нем. С точки зрения безопасности, это в корне не правильно, возникает риск завладения ЭЦП третьими лицами.

Как показала практика, руководители предприятий предпочитают получать ЭЦП на свое имя, но, как правило, самостоятельно не работают на торговых площадках и копируют подпись для своих сотрудников. Следует учитывать, что, если Вы копируете подпись для нескольких подчиненных, в случае судебного разбирательства документы, подписанные данными ЭЦП, будут иметь полную юридическую силу. Соответственно, если кто-то подписал какой-либо документ ЭЦП руководителя, руководитель несет полную ответственность за действия, которые совершаются с помощью этой подписи.

Например, если секретарь или иной сотрудник фирмы по незнанию или по злому умыслу подписал какой-либо договор или контракт, то он имеет полную юридическую силу. В этом случае, во-первых, непонятно, кто и где подписывает документы, во-вторых, появляется возможность действий со стороны третьих лиц от имени организации без ведома руководства.

Правильнее выдать обычную бумажную доверенность уполномоченному лицу на получение еще одной ЭЦП, после получения которой он работает на торговой площадке от своего имени. Если допущена какая-либо ошибка, сразу понятно, кто ее совершил.

В доверенности указываются все полномочия, которыми наделен сотрудник: например, он может совершать все действия по подаче заявки и участию в аукционе, но не имеет права подписывать государственный контракт. Таким образом, сотрудник может совершать все действия по участию в размещении заказа, но право подписи контракта остается только у руководителя предприятия.

Пользоваться подписью очень просто. Никаких специальных знаний, навыков и умений для этого не потребуется. Каждому пользователю ЭЦП, участвующему в обмене электронными документами, генерируются уникальные открытый и закрытый (секретный) криптографические ключи.

Ключевым элементом является секретный ключ, с помощью него производится шифрование электронных документов и формируется электронно-цифровая подпись. Также секретный ключ остается у пользователя, выдается ему на отдельном носителе это может быть дискета, смарт-карта или touch memory. Хранить его нужно в секрете от других пользователей сети.

Для проверки подлинности ЭЦП используется открытый ключ. В Удостоверяющем Центре находится дубликат открытого ключа, создана библиотека сертификатов открытых ключей. Удостоверяющий Центр обеспечивает регистрацию и надежное хранение открытых ключей во избежание внесения искажений или попыток подделки.

Вы устанавливает под электронным документом свою электронную цифровую подпись. При этом на основе секретного ключа ЭЦП и содержимого документа путем криптографического преобразования вырабатывается некоторое большое число, которое и является электронно-цифровой подписью данного пользователя под данным конкретным документом. В конец электронного документа добавляется это число или сохраняется в отдельном файле. В подпись записывается следующая информация: имя файла открытого ключа подписи; информация о лице, сформировавшем подпись; дата формирования подписи.

Пользователь, получивший подписанный документ и имеющий открытый ключ ЭЦП отправителя на основании текста документа и открытого ключа отправителя выполняет обратное криптографическое преобразование, обеспечивающее проверку электронной цифровой подписи отправителя. Если ЭЦП под документом верна, то это значит, что документ действительно подписан отправителем и в текст документа не внесено никаких изменений. В противном случае будет выдаваться сообщение, что сертификат отправителя не является действительным.

Тест

Вариант №1

1. Различаются между собой понятия электронный документооборот и электронный обмен данными?

б)              Да;

2. Что из перечисленного не относится к свойствам подписи

б)              Неудаляемость;

3. Установление того факта, что документ санкционирован автором, и что он не изменен и не искажен называется:

б)              Аутентификацией;

4. Наука о методах вскрытия зашифрованных документов называется:

в)              Криптоанализ.

5. Дешифрование - процесс восстановления исходного текста при ключе

б)              Неизвестном ключе;

6. Какого типа алгоритма шифрования не существует:

а)              Косвенного;

7. Ключ, какой длины достаточно в настоящее время для «сильной» защиты при симметричном шифровании:

в)              256 бит.

Список Использованной литературы:

1. Методы и средства защиты информации (курс лекций) Авторские права: Беляев А.В. (http://wmv.citforum

2. Федеральный Закон РФ N 1-ФЗ от 10.01.02. Принят Гос. Думой 13.12.01

3. http://www.maximum44.ru/ispolzovaneeecp.html

4. http://www.nalvest.com/nv-articles/detail.php?ID=9030

5. http://www.citiorum.ru