Электронная цифровая подпись и особенности ее применения в органах власти и управления

     Выводы

     Криптография  сегодня - это важнейшая часть  всех информационных систем: от электронной  почты до сотовой связи, от доступа  к сети Internet до электронной наличности. Исторически первой задачей криптографии была защита передаваемых текстовых  сообщений от несанкционированного ознакомления с их содержанием, что нашло отражение в самом названии этой дисциплины. С усложнением информационных взаимодействий в человеческом обществе возникли и продолжают возникать новые задачи по их защите, некоторые из них были решены в рамках криптографии, что потребовало развития принципиально новых подходов и методов.

      ГЛАВА 3 РЕКОМЕНДАЦИИ ОТНОСИТЕЛЬНО СДАЧИ ОТЧЕТНОСТИ В ЭЛЕКТРОННОМ ВИДЕ

     3.1 Сдача отчетности  в электронном  виде - Приморский край

     Министерство  по налогам и сборам России начало активную работу по приёму налоговой и бухгалтерской отчётности от предприятий индивидуальных предпринимателей в электронном виде. Планируется, что к концу 2010 года 70 процентов налогоплательщиков будут подавать свои отчеты по телекоммуникационным каналам связи и на электронных носителях.

     Сегодня любой налогоплательщик, осуществляющий свою деятельность в Приморском крае, может обратиться в районную налоговую  инспекцию, где ему предоставят  программы для заполнения необходимых  документов. На официальном сайте Управления МНС России по Приморскому краю  (www.r25.nalog.ru) размещены программные продукты, которые свободно можно использовать в формировании безбумажной сдачи налоговой отчётности: «Налогоплательщик ЮЛ», программный комплекс: «Возмещение НДС: налогоплательщик», налоговая декларация на доходы физических лиц, программа подготовки документов для государственной регистрации юридических лиц, программный комплекс «Подготовка платёжных документов» и т.д.

     Переход на общепринятый в мире приём отчётности позволит значительно упростить взаимодействие между налоговыми инспекциями и налогоплательщиками и обеспечить построение деловых отношений в режиме реального времени.

     В рамках этой системы налогоплательщик получает возможности заполнения форм бухгалтерской и налоговой отчетности, автоматического контроля за правильностью заполнения форм и доставки в налоговую инспекцию в виде зашифрованных файлов. Такой порядок работы исключает потерю времени на стояние в очередях в налоговой инспекции, а также расширяет временные рамки сдачи налоговой отчетности, поскольку бухгалтер может отправить файлы до 24 часов последнего дня сдачи отчетности. Присланные налогоплательщиком данные проходят входной контроль и разносятся на лицевые счета автоматически, что исключает технические ошибки и повышает оперативность обработки информации.

     Немаловажным  преимуществом для налогоплательщиков, перешедшим на безбумажную технологию, является доступ к собственным лицевым  счетам. А это – реальная возможность  удостовериться в прохождении налоговых платежей в срок, отсутствии недоразумений с банком.

     В настоящее время Управление МНС  России по Приморскому краю решает проблему использования электронной  цифровой подписи. Организация -специализированный оператор связи – в недалеком  будущем будет присваивать налогоплательщикам,  желающим  предоставлять отчётность по телекоммуникационным каналам, электронную подпись. Документ в электронном виде, подписанный электронной цифровой подписью, приобретает статус оригинала, а организации и частные лица при этом освобождаются от необходимости готовить бумажный вариант документации.

     Акцентирую  внимание на том, что в Приморье все  большее число налогоплательщиков выбирает для себя прогрессивную  форму представления налоговой  отчетности – через телекоммуникационные каналы связи или Интернет. Если говорить о тех, кто предпочитает современные формы работы, то по состоянию на 1 января 2009 года 38 процентов юридических лиц и 35 предпринимателей уже и забыли о существовании бумажных носителей. 

     В начале текущего 2010 финансового года все бухгалтеры бюджетной сферы заняты подготовкой и сдачей бюджетной отчетности. И, естественно, им хотелось бы сдать отчеты с первого раза, без ошибок и исправлений. Порой это непросто, ведь наиболее существенные изменения в нормативные акты, регламентирующие порядок работы бухгалтеров, вносятся с переходом на новый отчетный финансовый год.

     Приказом  Минфина России от 09.11.2009 № 115н (далее - Приказ № 115н) были внесены изменения  в Инструкцию по бюджетной отчетности, которые необходимо учесть при подготовке отчетности за 2009 г. ³⁵

     Часть корректировок Инструкции №128н связана  с электронной формой обмена документами. По сути, представление отчетности только в электронном виде - нарушение законодательства, потому что есть разные понятия: "электронный документ" и "документ в электронной форме". Если осуществляется передача документа в электронной форме, то такой документ должен сопровождаться бумажным видом. С 2009 г.установлено требование о том, чтобы бюджетная отчетность на бумажном носителе представлялась исключительно главным бухгалтером субъекта отчетности или лицом, ответственным за ведение бюджетного учета.

     Кроме того, начиная с годового отчета за 2009 г. для всех субъектов РФ введена  обязательная процедура представления  электронных документов в части отчетности. То есть отчетность должна представляться не просто в электронном виде, а с электронно-цифровой подписью. По результатам принятия годового отчета финансовые органы будут формировать соответствующее извещение и отсылать его СБО.

     Переход на электронную форму обмена документами - очень актуальный вопрос. Тем более что Центробанк России принимает решение в части кассовых расходов только об электронной выписке со счета. Отмечу, что в связи с этим может последовать корректировка Инструкции №148н, в которой будут регламентированы вопросы работы с электронными выписками, вопросы обеспечения электронного хранения архивов этих выписок и т. п.

      3.2 Сложности, возникающие  при использовании  ЭЦП

     Существует  вероятность подделки цифровой подписи. Анализ возможностей подделки подписей называется криптоанализ. Попытку фальсифицировать подпись или подписанный документ, криптоаналитики называют «атака».

     Модели атак и их возможные результаты

     В своей работе Гольдвассер, Микали и  Ривест описывают следующие модели атак, которые актуальны и в настоящее время:

• Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.
• Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.
• Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.

     Также в работе описана классификация  возможных результатов атак:

• Полный взлом цифровой подписи. Получение закрытого ключа, что означает полный взлом алгоритма.
• Универсальная подделка цифровой подписи. Нахождение алгоритма, аналогичного алгоритму подписи, что позволяет подделывать подписи для любого электронного документа.
• Выборочная подделка цифровой подписи. Возможность подделывать подписи для документов, выбранных криптоаналитиком.
• Экзистенциальная подделка цифровой подписи. Возможность получения допустимой подписи для какого-то документа, не выбираемого криптоаналитиком.

     Ясно, что самой «опасной» атакой является адаптивная атака на основе выбранных сообщений, и при анализе алгоритмов ЭЦП на криптостойкость нужно рассматривать именно ее (если нет каких-либо особых условий).

     При безошибочной реализации современных  алгоритмов ЭЦП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭЦП построена. Гораздо более вероятен поиск криптоаналитиком коллизий первого и второго рода. Коллизия первого рода эквивалентна экзистенциальной подделке, а коллизия второго рода — выборочной. С учетом применения хеш-функций, нахождение коллизий для алгоритма подписи эквивалентно нахождению коллизий для самих хеш-функций.

     Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

• Документ представляет из себя осмысленный текст.
• Текст документа оформлен по установленной форме.
• Документы редко оформляют в виде Plain Text — файла, чаще всего в формате DOC или HTML.

     Если  у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

• Случайный набор байт должен подойти под сложно структурированный формат файла.
• То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
• Текст должен быть осмысленным, грамотным и соответствующий теме документа.

     Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.

     Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма — килобайты.

     Куда  более вероятна атака второго  рода. В этом случае злоумышленник  фабрикует два документа с  одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования MD5.

     Социальные  атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции  с открытым и закрытым ключами.

• Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
• Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.
• Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.

     Использование протоколов обмена ключами и защита закрытого ключа от несанкционированного доступа позволяет снизить опасность  социальных атак.

      3.3 Управление ключами

     Важной  проблемой всей криптографии с открытым ключом, в том числе и систем ЭЦП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации.

     Задача  защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые  в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.

     Центр сертификации формирует закрытый ключ и собственный сертификат, формирует  сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны (рис.8).

     Рис. 8 Смарт-карта и USB-брелоки eToken

     Закрытый  ключ является наиболее уязвимым компонентом  всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищенность ключа полностью зависит от защищенности компьютера, и пользователь может подписывать документы только на этом компьютере.