Desconocidos emitieron una firma electrónica, falsificando el pasaporte del director, para enviar declaraciones “incorrectas” a través de TCS. Una nueva forma de desviar dinero de la empresa mediante una firma falsa ¿Es posible falsificar una firma electrónica?

La nueva ley reemplazó la firma personal de un ciudadano ruso por un conjunto de caracteres.

El 8 de abril, Rusia adoptó la Ley "Sobre Firma Digital Electrónica", que permite solicitar servicios gubernamentales a través de Internet utilizando documentos certificados con firma electrónica. La ley entrará en vigor en julio de 2011, pero ya varios servicios gubernamentales de la región están aceptando activamente documentos con dicha firma. El jefe adjunto del departamento de Rosreestr para la región de Novosibirsk habló en una entrevista con NGS.NEWS sobre cómo los residentes de la región pueden convertirse en propietarios de una firma digital electrónica, dónde pueden necesitarla y qué puede ralentizar el proceso de su distribución. Dmitry Lamert.

Referencia: Firma digital electrónica (EDS): firma utilizada para certificar documentos electrónicos al contactar con servicios gubernamentales a través de Internet. Una firma electrónica tiene la misma fuerza jurídica que una tradicional. Cualquier persona interesada puede recibir una firma electrónica.

¿Qué es una firma digital electrónica? ¿Cuáles crees que son sus comodidades?

Una firma digital electrónica es un análogo conveniente de la firma que una persona pone en cualquier documento. Es conveniente porque puede recorrer largas distancias en poco tiempo. La firma permite recibir documentos de regiones del país de autoridades ubicadas muy alejadas, enviando allí únicamente una solicitud certificada con firma electrónica. Una firma electrónica es un conjunto de caracteres que se coloca en soportes digitales electrónicos, ya sea en discos o en tarjetas flash.

¿Quién lo usa más ahora?

Hoy en día, las firmas pertenecen principalmente a organizaciones y empresarios individuales. En particular, esto es necesario para comodidad de los ingenieros catastrales que presentan documentos para el registro catastral a Rosreestr, habiéndolos certificado con firma electrónica. Además, mediante una firma, un ingeniero catastral puede solicitar información del catastro estatal de bienes raíces y obtener información del registro estatal unificado de derechos.

¿Puede una persona promedio obtener una firma digital?

No existe división entre personas jurídicas y personas físicas, y en un futuro próximo todos los ciudadanos podrán tener esta firma.

La firma permitirá a una persona presentar de forma independiente todos los documentos a las autoridades que trabajan con firma digital.

Por ejemplo, sin la ayuda de un ingeniero catastral, pero con una firma digital electrónica, es posible presentar su plano de límites a Rosreestr, así como recibir un extracto del Registro Estatal Unificado.

¿Qué tan amplias son las áreas donde se pueden utilizar las firmas digitales?

La ley que entra en vigor introduce de lleno la firma digital: cualquier documento puede firmarse con bolígrafo o certificarse con firma digital electrónica. La ley también establece que todos los organismos gubernamentales deberán pasar a trabajar con documentos que estarán certificados con firma electrónica. En particular, en Rosreestr se puede utilizar una firma al registrar una propiedad para el registro catastral estatal. En el futuro, será posible utilizar firmas digitales en diversos ámbitos sociales, donde será posible enviar una solicitud y recibir un documento sin tener que hacer cola.

¿Cómo puede una persona conseguirlo?

Los EDS son emitidos por centros de certificación, donde es necesario proporcionar documentos de identificación, así como documentos de título de la empresa, si la firma se emite para una entidad legal.

Dmitry Lamert cree que la introducción de firmas digitales electrónicas reducirá las colas.

Hoy en día, emitir una firma electrónica cuesta entre 5.000 y 7.000 rublos. En un futuro próximo, su precio bajará.

¿Qué importancia tiene el proyecto para el estado? ¿Es posible financiarlo con cargo al presupuesto? ¿La inscripción será gratuita?

Por ahora no se habla de financiación con cargo al presupuesto, ya que la firma digital es un servicio empresarial. Nadie le quita a una persona el derecho a presentar una solicitud con un documento regular firmado, pero si no desea presentarse personalmente en una agencia gubernamental en particular, puede emitir una firma electrónica.

¿Es posible falsificar una firma? ¿Cuál es su nivel de protección?

Una firma electrónica es más difícil de falsificar que una normal. No existe una garantía del 100% de que esto no pueda suceder.

Al menos en la región de Novosibirsk nunca se ha falsificado una firma digital electrónica, a diferencia de una firma con bolígrafo.

Los datos de la persona que certifican su firma digital electrónica son almacenados por el centro de certificación y el propietario es responsable de la seguridad de la firma. Si se pierde el soporte electrónico con la firma, deberá informar inmediatamente al centro de certificación para cancelar el certificado de recepción de la firma.

¿Por qué el estado necesita introducir una firma digital electrónica?

La introducción de la firma digital es un paso más hacia la mejora de la calidad de los servicios. La firma se puede utilizar para obtener algún tipo de préstamo o registrar el derecho sobre su propiedad. Por ejemplo, por alguna razón necesitabas certificados de tres agencias gubernamentales. Hoy en día, tendrá que enviar solicitudes a todas estas autoridades en un sobre por correo postal, o simplemente dejar el trabajo y tomarse un tiempo libre para presentarles las solicitudes personalmente. Tener una firma digital electrónica permite escribir estas tres solicitudes durante la pausa del almuerzo y enviarlas desde su computadora, certificándolas con una firma electrónica, y esperar a que le lleguen las respuestas.

¿La firma electrónica está asociada a la tarjeta electrónica universal, que se introducirá en enero de 2012 para combinar pasaporte, póliza de seguro y otros documentos?

Aquí no existe una conexión directa, pero la tarjeta funciona según el mismo principio. Si una firma digital electrónica permite no firmar, sino certificar, entonces una tarjeta electrónica le permite no llevar consigo una gran cantidad de documentos.

¿La firma ganará rápidamente popularidad y qué frenará su implementación?

Este proceso se verá ralentizado o acelerado por la velocidad de implementación de las firmas digitales en todas las autoridades gubernamentales: cuanto más rápido las autoridades proporcionen este servicio, más rápido se distribuirá la firma. Además, todo lo nuevo da miedo y la firma es un nuevo mecanismo, un avance poderoso, no todo el mundo lo percibe con fuerza.

¿Crearás tu propia firma electrónica?

Adquiriré dicha firma tan pronto como todas las autoridades comiencen a brindar activamente este servicio.

Apreciado por mucha gente. Además, dado que este software es actualmente nuevo, muchos usuarios no tienen idea de cómo es una firma electrónica.

información general

Todo es muy trivial. Si se observa la transmisión de un documento certificado, el destinatario recibe un archivo de firma y un archivo encontrado por el sujeto de la transmisión.

Si el destinatario no recibe un archivo adjunto, sino un mensaje de correo firmado, el programa de correo notificará al destinatario que la carta ha sido firmada y le mostrará los resultados de la revisión de la firma.

La verificación se realiza según el mismo algoritmo que la verificación de una firma normal en papel.

Determinación de autenticidad

Tenga en cuenta que no basta con saber cómo es la firma digital. Es importante asegurarse de que el documento esté certificado por una determinada persona. Entonces, si un empleado firma una orden del director general de una empresa, es poco probable que dicha firma haga que la orden sea válida. Para garantizar que la firma fue realizada por la persona adecuada, se compara con una muestra ideal.

Una firma electrónica es el resultado de una reorganización criptográfica que involucra datos del usuario y datos del documento que se firma. Por tanto, la firma digital de diferentes documentos no será idéntica; ¿Qué hacer en este caso?

Se compara un valor constante: los datos del usuario. Sin embargo, la divulgación completa de datos no es segura. Como datos para una firma digital se utiliza un par que consta de una clave secreta y una no cifrada. Esto significa que los datos del usuario tienen una parte secreta que interviene en la formación de la firma y una parte abierta que interviene en su verificación.

Para conectar una clave no cifrada con un usuario, necesita un pasaporte que indique que esta clave es pública para ese usuario en particular. Los certificados digitales actúan como tal pasaporte:

Nombre de persona
Una clave no clasificada, firmada por un tercero de confianza (autoridad de certificación), que da fe de esta conexión con su firma.

Dicho pasaporte se coloca en la computadora una vez y todas las firmas en las cartas compradas a este usuario se verifican posteriormente con el respaldo de este certificado, mientras aparece la firma digital, el destinatario ya no hace preguntas e inmediatamente ve si la firma es válido.

Cada vez más tecnologías y términos nuevos llegan a nuestras vidas. Y no todo el mundo tiene tiempo para dominar estas tecnologías e incluso comprender para qué sirven. Hoy hablaremos de firma electrónica, una nueva tecnología y fenómeno que cada día está más extendido.

En esencia, una firma electrónica es un análogo de la firma habitual de una persona, diseñada para identificarla o asegurar su autoría en un entorno virtual. La mayoría de las veces, las firmas electrónicas se utilizan en el correo electrónico, así como en la gestión de documentos electrónicos bancarios y contables, lo que brinda protección adicional al realizar transacciones y enviar documentos importantes.

La creación de una firma electrónica se obtiene como resultado de la transformación criptográfica de la información mediante una clave privada. Otro componente importante de la tecnología es un certificado de firma electrónica emitido por una organización autorizada y que permite confirmar la autenticidad de la firma, eliminando su falsificación.

A diferencia del texto escrito a mano, un documento electrónico es muy fácil de falsificar y pasa desapercibido para el destinatario. Simplemente elimine palabras individuales o párrafos completos e inserte otras nuevas; es casi imposible adivinar que el documento se modificó durante el proceso de, por ejemplo, reenvío. Una firma electrónica garantiza que un documento firmado no se puede modificar. Es decir, entre otras cosas, también protege la información contra modificaciones y falsificaciones. Al mismo tiempo, una persona que firmó un documento con firma electrónica no podrá negar la autoría del documento, porque una firma electrónica es información altamente confidencial que solo debe estar disponible para una persona.

La mayoría de las veces, la clave de la firma electrónica se almacena en una unidad flash especial (como en la imagen al principio del artículo), que no se puede copiar ni utilizar de ninguna otra manera. Estas unidades flash están disponibles para directores y jefes de contabilidad de empresas que firman documentos bancarios y estados financieros con firmas electrónicas personales, que hoy en día se transmiten con mayor frecuencia a las inspecciones fiscales de forma electrónica mediante sistemas especiales.

El proceso de firma de un documento con firma electrónica es el siguiente: utilizando un código de programa especial del programa utilizado para firmar el documento, se crea una función especial, la llamada función hash, que identifica el contenido del documento. Luego, el autor del documento cifra el contenido de la función hash con su clave privada personal y firma el documento con una firma electrónica. La función hash cifrada se coloca en el mismo mensaje que el documento mismo. El mensaje recibido se puede guardar en cualquier medio, enviar por correo electrónico o, por ejemplo, utilizar el sistema Cliente-Banco. La función hash es de tamaño pequeño, por lo que prácticamente no tiene ningún efecto sobre el peso del mensaje.

Al recibir un documento firmado con firma electrónica, el usuario tiene la oportunidad de verificar su autenticidad. El algoritmo para confirmar una firma electrónica es el siguiente: utilizando su propio programa que trabaja con firmas electrónicas, el destinatario del mensaje crea su propia versión de la función hash del documento firmado. Luego, se descifra la función hash contenida en el mensaje y se comparan dos funciones hash: la enviada y la recibida. Su coincidencia garantiza la autenticidad del contenido del documento y al mismo tiempo su autoría.

¿Es posible falsificar una firma electrónica?

En teoría, todo es posible. Sin embargo, los costes laborales para falsificar una firma electrónica, aplicada incluso por medios no certificados, es decir, programas simples que no han sido certificados, son demasiado elevados. Los piratas informáticos tienen muchas formas más sencillas de piratear un sistema que falsificar una firma digital electrónica. Por tanto, una firma electrónica se considera un medio bastante fiable para proteger la información.

Últimos consejos de la sección Ciencia y Tecnología:

¿Por qué necesitas un walkie-talkie?
¿Qué significa la electricidad estática en nuestra vida?
¿Qué es un helicóptero?
Como vivir para siempre

El análisis de la capacidad de falsificar firmas se llama criptoanálisis. Los criptoanalistas llaman "ataque" a un intento de falsificar una firma o un documento firmado.

Modelos de ataque y sus posibles resultados.

Goldwasser, Micali y Rivest describen en su trabajo los siguientes modelos de ataque que siguen siendo relevantes en la actualidad:

* Ataque usando una clave pública. El criptoanalista sólo tiene la clave pública.

* Ataque basado en mensajes conocidos. El adversario tiene firmas válidas en un conjunto de documentos electrónicos que conoce, pero que no ha elegido.

* Ataque adaptativo basado en mensajes seleccionados. El criptoanalista puede obtener firmas de documentos electrónicos que él mismo elija.

* Hacking completo de firmas digitales. Obtener una clave privada, lo que supone romper completamente el algoritmo.

* Falsificación de firma digital universal. Encontrar un algoritmo similar al algoritmo de firma, que permite falsificar firmas para cualquier documento electrónico.

* Falsificación selectiva de firma digital. Capacidad para falsificar firmas de documentos seleccionados por un criptoanalista.

Con la implementación sin errores de los algoritmos ES modernos, obtener la clave privada del algoritmo es una tarea casi imposible debido a la complejidad computacional de las tareas sobre las que se construye el ES.

Un atacante puede intentar hacer coincidir un documento con una firma determinada para que la firma coincida con ella. Sin embargo, en la gran mayoría de los casos sólo puede haber un documento de este tipo. La razón es esta:

* El documento es un texto significativo.

* El texto del documento está formateado según la forma establecida.

Los documentos rara vez tienen el formato de texto sin formato, más a menudo en formato DOC o HTML.

Si un conjunto falso de bytes colisiona con el hash del documento original, se deben cumplir las siguientes 3 condiciones:

* Un conjunto aleatorio de bytes debe ajustarse al formato de archivo estructurado complejo.

* Lo que un editor de texto lee en un conjunto aleatorio de bytes debe formar texto formateado en una forma prescrita.

* El texto debe ser significativo, competente y relevante para el tema del documento.

Sin embargo, en muchos conjuntos de datos estructurados, puede insertar datos arbitrarios en algunos campos de servicio sin cambiar la apariencia del documento para el usuario. Esto es exactamente lo que aprovechan los atacantes cuando falsifican documentos.

La probabilidad de que se produzca un incidente de este tipo también es insignificante. Podemos suponer que en la práctica esto no puede suceder ni siquiera con funciones hash poco fiables, ya que los documentos suelen tener un tamaño grande: kilobytes.

Recibir dos documentos con la misma firma (colisión del segundo tipo).

Es mucho más probable que se produzca un ataque del segundo tipo. En este caso, el atacante fabrica dos documentos con la misma firma y, en el momento adecuado, sustituye uno por otro. Cuando se utiliza una función hash confiable, dicho ataque también debe ser computacionalmente complejo. Sin embargo, estas amenazas pueden materializarse debido a debilidades en algoritmos de firma y hash específicos, o errores en sus implementaciones. En particular, esto puede usarse para atacar certificados SSL y el algoritmo hash MD5.

Ataques sociales

Los ataques sociales no tienen como objetivo piratear algoritmos de firmas digitales, sino manipular claves públicas y privadas.

* Un atacante que ha robado una clave privada puede firmar cualquier documento en nombre del propietario de la clave.

* Un atacante puede engañar al propietario para que firme un documento, por ejemplo, utilizando un protocolo de firma ciega.

* Un atacante puede sustituir la clave pública del propietario por la suya propia, haciéndose pasar por él.

El uso de protocolos de intercambio de claves y la protección de la clave privada contra accesos no autorizados reduce el riesgo de ataques sociales.

firma digital electrónica(EDS): información en formato electrónico adjunta a otra información en formato electrónico (documento electrónico) o asociada de otro modo con dicha información. Se utiliza para identificar a la persona que firmó la información (documento electrónico)

El análisis de la capacidad de falsificar firmas se llama criptoanálisis. Los criptoanalistas llaman “ataque” a un intento de falsificar una firma o un documento firmado.

]Modelos de ataque y sus posibles resultados.

· Ataque de clave pública. El criptoanalista sólo tiene la clave pública.

· Ataque basado en mensajes conocidos. El adversario tiene firmas válidas en un conjunto de documentos electrónicos que conoce, pero que no ha elegido.

· Ataque adaptativo basado en mensajes seleccionados. El criptoanalista puede obtener firmas de documentos electrónicos que él mismo elija.

]Falsificación de un documento (colisión del primer tipo)

Recibir dos documentos con la misma firma (colisión del segundo tipo)

Ataques sociales

Los ataques sociales no tienen como objetivo hackear algoritmos de firmas digitales, sino manipular claves públicas y privadas.

· Un atacante que roba una clave privada puede firmar cualquier documento en nombre del propietario de la clave.

· Un atacante puede engañar al propietario para que firme un documento, por ejemplo, utilizando un protocolo de firma ciega.

· Un atacante puede sustituir la clave pública del propietario por la suya propia, haciéndose pasar por él.

53. El concepto de “sistema seguro” propiedades de los sistemas seguros.

Un sistema seguro es un sistema de procesamiento de información que incluye uno u otro conjunto de herramientas de seguridad. Un sistema de procesamiento de información seguro para determinadas condiciones operativas garantiza la seguridad, confidencialidad e integridad de la información procesada y mantiene su funcionalidad bajo la influencia de cualquier número de amenazas. .

Un sistema protegido contiene suficientes condiciones de seguridad y es una característica cualitativa de la información.

Propiedades de un sistema de seguridad de la información protegida:

Un sistema de procesamiento de información seguro debe entenderse como un sistema que tiene tres propiedades:

1. lleva a cabo la automatización de algún proceso de procesamiento, la confidencialidad de la información, incluidos todos los aspectos de este proceso relacionados con garantizar la seguridad de la información procesada.

2. contrarresta con éxito las amenazas a la seguridad que operan en un entorno específico.

3. El sistema cumple con los requisitos y criterios de las normas de seguridad de la información.