Неизвестные люди оформили ЭЦП, подделав паспорт директора, чтобы отправлять по ТКС «левые» декларации. Новый способ увести деньги компании с помощью поддельной подписи Можно ли подделать электронную подпись

Новый закон заменил личную подпись гражданина России набором символов.

8 апреля в России принят закон «Об электронной цифровой подписи», который позволяет обращаться за услугами органов власти через интернет, используя документы, заверенные электронной подписью. В силу закон вступит с июля 2011 года, но уже сейчас ряд государственных служб области активно принимают документы с такой подписью. О том, как жители области могут стать обладателями ЭЦП, где она может им понадобиться и что может затормозить процесс ее распространения, рассказал в интервью НГС.НОВОСТИ заместитель руководителя управления Росреестра по Новосибирской области Дмитрий Ламерт .

Справка : Электронная цифровая подпись (ЭЦП) – подпись, которой удостоверяют электронные документы при обращении в госслужбы через интернет. Электронная подпись имеет такую же юридическую силу, как и традиционная. Получить ЭЦП может любое заинтересованное лицо.

Что представляет собой электронная цифровая подпись? В чем, по-вашему, видятся ее удобства?

Электронная цифровая подпись – это удобный аналог подписи, которую человек ставит на каких-либо документах. Она удобна тем, что в короткие сроки может перемещаться на дальние расстояния. Подпись позволяет получить документы из регионов страны от органов власти, которые находятся далеко, отправив туда только запрос, удостоверенный ЭЦП. Электронная подпись – это набор символов, который размещается на электронных цифровых носителях, либо на дисках, либо на флеш-картах.

Кто сейчас в большей степени ею пользуется?

Сейчас подписи в основном имеют организации и индивидуальные предприниматели. В частности, она необходима для удобства кадастровых инженеров, которые подают в Росреестр документы для кадастрового учета, заверив их ЭЦП. Также с помощью подписи кадастровый инженер может обратиться за получением сведений из государственного кадастра недвижимости и получить сведения из единого государственного реестра прав.

Может ли обычный человек получить цифровую подпись?

Какого-то разделения на юридических и физических лиц нет, и в ближайшем будущем все граждане смогут иметь эту подпись.

Подпись позволит человеку самостоятельно представить все документы в органы власти, которые работают с ЭЦП.

Например, без помощи кадастрового инженера, но при наличии ЭЦП возможно сдать в Росреестр свой межевой план, а также получить выписку из единого государственного реестра.

Насколько обширны сферы, где можно использовать ЭЦП?

Закон, который вступает в силу, полностью вводит в действие ЭЦП: любой документ можно будет подписать ручкой, а можно удостоверять электронной цифровой подписью. Также закон говорит о том, что все органы власти должны будут перейти на работу с документами, которые станут заверять электронной подписью. В частности, в Росреестре можно использовать подпись при постановке объекта недвижимости на государственный кадастровый учет. В дальнейшем возможно использование ЭЦП в различных социальных сферах, куда можно будет отправить запрос и получить документ, не ожидая в очереди.

Каким образом человек сможет ее получить?

ЭЦП выдают удостоверяющие центры, где необходимо предоставить документы, удостоверяющие личность, а также правоустанавливающие документы на предприятие, если подпись оформляется на юридическое лицо.

Дмитрий Ламерт считает, что введение электронных цифровых подписей позволит сократить очереди.

Сегодня оформление электронной подписи стоит от 5000 до 7000 рублей. В ближайшее время ее стоимость будет снижаться.

Насколько проект важен государству? Возможно ли его финансирование из бюджета? Будет ли оформление бесплатным?

Пока речь о финансировании из бюджета не стоит, так как ЭЦП – это бизнес-услуга. Никто не отнимает у человека право обратиться с обычным подписанным документом, но если есть желание не являться лично в тот или иной орган власти, то можно оформить электронную подпись.

Можно ли подделать подпись? Какова у нее степень защиты?

Электронную подпись сложнее подделать, чем обычную. На 100 % нельзя гарантировать, что это не может произойти.

По крайней мере, ЭЦП в Новосибирской области еще ни разу не подделывали, в отличие от подписи ручкой.

Данные человека, которые удостоверяют его электронно-цифровую подпись, хранит удостоверяющий центр, а за сохранность самой подписи несет ответственность владелец. Если электронный носитель с подписью утерян, надо мгновенно сообщить в удостоверяющий центр, чтобы аннулировать сертификат о получении подписи.

Зачем введение электронной цифровой подписи государству?

Введение ЭЦП – это еще один шаг к улучшению качества услуг. Подпись можно будет использовать для получения какого-нибудь кредита, оформления права на свой объект недвижимости. Например, по какой-то причине вам понадобились справки из трех государственных органов. Сегодня вы должны будете либо отправить запросы во все эти органы конвертом по обычной почте, либо просто уйти с работы, отпроситься, чтобы подать запросы им лично. Наличие ЭЦП дает возможность в обеденный перерыв напечатать эти три запроса и отправить их со своего компьютера, удостоверив электронной подписью, и ждать, когда вам придут ответы.

Связана ли электронная подпись с универсальной электронной картой, которую начнут вводить с января 2012 года, чтобы объединить паспорт, страховой полис и прочие документы?

Прямой связи здесь нет, но работает карта по тому же принципу. Если ЭЦП дает возможность не подписывать, а удостоверить, то электронная карта позволяет не носить с собой большой объем документов.

Быстро ли подпись приобретет популярность и что будет тормозить ее внедрение?

Тормозить или ускорять этот процесс будет скорость внедрения ЭЦП во всех органах власти: чем быстрее эту услугу органы будут предоставлять, тем быстрее подпись будет распространяться. К тому же все новое пугает, а подпись – новый механизм, мощный рывок, не все его воспринимают на «ура».

Сами заведете себе электронную подпись?

Я приобрету себе такую подпись, как только все органы власти начнут активно предоставлять эту услугу.

Оценили многие люди. При этом так как данное ПО в настоящее время является новинкой, многие пользователи не имеют представления о том, как выглядит ЭЦП.

Общие сведения

Все очень тривиально. Если наблюдается передача заверенного документа, то адресат получает файл подписи и файл, обнаруживающийся предметом трансляции.

Если адресату прибывает не вложение, а подписанное почтовое сообщение, то почтовая программа оповестит адресата, что подписано письмо и покажет плоды ревизии подписи.

Проверка осуществляется по тому же алгоритму, что и проверка обычной подписи на бумажном носителе.

Определение подлинности

Обращайте внимание на то, что знаний об ЭЦП как выглядит недостаточно. Важно убедиться в том, что документ заверен определённым человеком. Так если работник подпишет приказ гендиректора предприятия, то такая подпись вряд ли сделает действительным приказ. Чтобы убедиться, что подпись сделана нужным человеком, её сравнивают с идеальным образцом.

Электронная подпись является результатом криптографической реорганизации, где участвуют данные пользователя и данные подписываемого документа. Поэтому цифровая подпись разных документов не будет идентичной, сравнивать бессмысленно её с эталоном. Что делать в этом случае?

Сравнивают постоянную величину - данные пользователя. При этом полное раскрытие данных небезопасно. В качестве данных для цифровой подписи применяется пара, состоящая из засекреченного и не зашифрованного ключа. Это значит, что в пользовательских данных есть секретная часть, участвующая в формировании подписи и открытая, принимающая участие в её проверке.

Для связи не зашифрованного ключа с пользователем нужен паспорт, свидетельствующий на то, что этот ключ является открытым данного конкретного пользователя. В роли такого паспорта выступают цифровые сертификаты:

Имя человека
Незасекреченный ключ, подмахнутые доверенной третьей стороной (удостоверяющим центром), свидетельствующей эту связь своей подписью

Подобный паспорт ставится на компьютер один раз и все подмахивания на письмах, приобретенных от этого пользователя, впоследствии проверяются при поддержке этого сертификата, при этом ЭЦП как выглядит, уже адресат не задаёт вопроса, и сразу видит, действительна ли подпись.

Все больше новых технологий и терминов приходят в нашу жизнь. И далеко не все успевают эти технологии освоить и даже понять, для чего они. Сегодня мы поговорим об электронной подписи - новой технологии и явлении, с каждым днем получающим все более широкое распространение.

По своей сути, электронная подпись - это аналог обычной подписи человека, призванный идентифицировать его или закрепить его авторство в виртуальной среде. Чаще всего электронные подписи применяются в электронной почте, а также в банковской сфере и бухгалтерском электронном документообороте, являясь дополнительной защитой при проведении транзакций и пересылке важных документов.

Создание электронной подписи получается в результате криптографического преобразования информации с использованием закрытого ключа. Еще одна важная составная часть технологии - сертификат электронной подписи , выдаваемый уполномоченной организацией и позволяющий подтвердить подлинность подписи, исключив ее подделку.

В отличие от рукописного текста, электронный документ очень легко подделать, причем, незаметно для получателя. Вы просто удаляете отдельные слова или целые абзацы и вставляете новые - догадаться, что документ в процессе, например, пересылки был изменен, практически невозможно. Электронная подпись же дает гарантию, что подписанный документ изменить нельзя. То есть, помимо прочего, это еще и защита информации от изменения и подделки. В то же время, человек, подписавший документ электронной подписью, не сможет отказать от авторства документа, ведь электронная подпись - сугубо конфиденциальная информация, которая должна быть доступна только одному человеку.

Чаще всего ключ электронной подписи хранится на специальной флешке (как на снимке в начале статьи), которую нельзя ни скопировать, ни использовать каким-либо другим образом. Такие флешки есть у директоров и главных бухгалтеров компаний, подписывающих личными электронными подписыми банковские документы и бухгалтерскую отчетность, которая сегодня чаще всего передается в налоговые инспекции в электронном виде с помощью специальных систем.

Процесс подписания документа электронной подписью выглядит следующим образом: с помощью специального программного кода программы, используемой для подписи документа, создается специальная функция, так называемая хэш-функция, которая идентифицирует содержимое документа. Затем автор документа шифрует содержание хэш-функции своим персональным закрытым ключом - подписывает документ электронной подписью. Зашифрованная хэш-функция помещается в то же сообщение, что и сам документ. Полученное сообщение можно сохранить на любом носителе, пересылаться по электронной почте или, например, с помощью системы Клиент-банк. Хэш-функция имеет небольшой размер, поэтому практически не влияет на вес сообщения.

При получении, подписанного электронной подписью документа, пользователь имеет возможность убедиться в ее подлинности. Алгоритм подтверждения электронной подписи состоит в следующем: с помощью собственной программы, работающей с электронными подписями, получатель сообщения создает собственный вариант хэш-функции подписанного документа. Затем происходит расшифровка хеш-функции, которая содержится в сообщении и сравнение двух хэш-функций - отправленной и полученной. Их совпадение гарантирует подлинность содержимого документа и одновременно его авторство.

Можно ли подделать электронную подпись?

Теоретически, возможно все. Однако, трудозатраты на подделку электронной подписи, наложенную даже не сертифицированными средствами, то есть простыми программами, не прошедшими сертификацию, слишком велики. У хакеров существует масса более простых способов взлома системы, чем подделка электронной цифровой подписи. Так что электронная подпись считается достаточно надежным средством защиты информации.

Последние советы раздела «Наука & Техника»:

Зачем нужна рация
Что значит статическое электричество в нашей жизни
Что такое коптер
Как жить вечно

Анализ возможностей подделки подписей называется криптоанализ. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют "атака".

Модели атак и их возможные результаты.

В своей работе Гольдвассер, Микали и Ривест описывают следующие модели атак, которые актуальны и в настоящее время:

ѕ Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.

ѕ Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.

ѕ Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.

ѕ Полный взлом цифровой подписи. Получение закрытого ключа, что означает полный взлом алгоритма.

ѕ Универсальная подделка цифровой подписи. Нахождение алгоритма, аналогичного алгоритму подписи, что позволяет подделывать подписи для любого электронного документа.

ѕ Выборочная подделка цифровой подписи. Возможность подделывать подписи для документов, выбранных криптоаналитиком.

При безошибочной реализации современных алгоритмов ЭП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭП построена.

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

ѕ Документ представляет из себя осмысленный текст.

ѕ Текст документа оформлен по установленной форме.

Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

ѕ Случайный набор байт должен подойти под сложно структурированный формат файла.

ѕ То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.

ѕ Текст должен быть осмысленным, грамотным и соответствующим теме документа.

Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.

Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма - килобайты.

Получение двух документов с одинаковой подписью (коллизия второго рода).

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования MD5.

Социальные атаки

Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключами.

ѕ Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.

ѕ Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.

ѕ Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.

Использование протоколов обмена ключами и защита закрытого ключа от несанкционированного доступа позволяет снизить опасность социальных атак.

Электро́нная цифровая по́дпись (ЭЦП) - информация в электронной форме, присоединенная к другой информации в электронной форме (электронный документ) или иным образом связанная с такой информацией. Используется для определения лица, подписавшего информацию (электронный документ)

Анализ возможностей подделки подписей называется криптоанализ. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют «атака».

]Модели атак и их возможные результаты

· Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.

· Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.

· Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.

]Подделка документа (коллизия первого рода)

Получение двух документов с одинаковой подписью (коллизия второго рода)

Социальные атаки

Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключам

· Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.

· Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.

· Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.

53. Понятие «защищенная система» свойства защищенных систем.

Защищенная система – это система обработки информации, в состав которой включен тот или иной набор средств защиты.Защищенная система обработки информации для определенных условий эксплуатации обеспечивает безопасность, конфиденциальность и целостность обрабатываемой информации и поддерживает свою работоспособность в условиях воздействия на нее любого множества угроз.

Защищенная система содержит достаточные условия безопасности и является качественной характеристикой информации.

Свойства защищенной системы информационной безопасности:

Под защищенной системой обработки информации предполагается понимать систему, которая обладает тремя свойствами:

1. осуществляет автоматизацию некоторого процесса обработки, конфидециальность информации, включая все аспекты этого процесса, связанные с обеспечением безопасности обрабатываемой информации.

2. успешно противостоит угрозам безопасности, действующим в определенной среде.

3. Система соответствует требованиям и критериям стандартов информационной безопасности.