Компрометация ключа электронной подписи что это

Обновлено: 07.07.2024

Электронная цифровая подпись (ЭЦП) – это специальная криптографическая комбинация, которая позволяет удостовериться в подлинности документа и/или авторстве человека, подписывающего его, а также проверить дату последних изменений. А вот компрометация ключа электронной подписи – это отсутствие доверия к ЭЦП, подразумевая факт причастности к данным третьих лиц. Рассмотрим этот момент подробнее.

Понятие

Как таковое определение компрометации ключа электронной подписи в действующем российском законодательстве отсутствует. Однако под нею принято понимать потерю доверия к тому, что используемые ключи обеспечивают безопасность информации (см. например, разд. 2 Регламента регистрации и подключения юридических и физических лиц к системе электронного документооборота ПФР, утв. постановлением Правления ПФР от 26.01.2001 № 15).

Как ни странно, про компрометацию ключа электронной подписи Федеральный закон «Об электронной подписи» 2011 года № 63-ФЗ ничего не говорит.

Вместе с тем за компрометацию ключа электронной подписи по 63-ФЗ отвечает не только её владелец, но и удостоверяющий центр. На основании п. 4 ч. 2 ст. 13 он обязан обеспечивать конфиденциальность сгенерированных ключей ЭП.

Когда наступает компрометация ключа ЭЦП

Ситуации, при которых можно усомниться в действительности электронной подписи, следующие:

Причина увольнения в таком случае не играет роли, поскольку если работник больше не числится в штате, то теоретически он может воспользоваться имеющимися данными по своему усмотрению

Владелец электронного ключа самостоятельно определяет риски и возможные последствия, при которых шифр мог оказаться у посторонних людей.

Напрямую ответственность за компрометацию ключа электронной подписи законом не установлена. Она может выражаться в отобрании ЭЦП, а также последующем преследовании за нарушение режима конфиденциальности закрытых сведений (например, когда компрометация ключа привела к разглашению коммерческой тайны).

Порядок действий при компрометации ключа

Пользователь, обнаруживший или заподозривший возможную компрометацию, по общему правилу обязан выполнить следующие шаги:

прекратить все действия в сети, которые связаны с использованием ЭЦП и личного шифра;
оповестить удостоверяющий центр, в котором был получен ключ, о факте компрометации; эту процедуру можно проделать как дистанционно (через электронную почту, телефон и т. п.), так и лично посетив учреждение;
отозвать скомпрометированный ключ – эта процедура идёт посредством подачи соответствующего заявления в УЦ только владельцем шифра.

Обычно скомпрометированный ключ отзывают в течение получаса после заявления, но при этом не удаляют из системы в целях безопасности. Далее пользователь по желанию может заказать изготовление нового шифра.

Это реквизит электронного документа, предназначенный для его защиты от подделки.

Электронная подпись (далее - ЭП) позволяет определить владельца подписи, а также определить отсутствие изменений в электронном документе после его подписания.

Что такое Сертификат ключа?

Сертификат представляет собой документ, связывающий данные для проверки подписи с определенным лицом, подтверждает идентичность этого лица и заверяется электронной подписью Удостоверяющего центра.

Что такое Удостоверяющий центр?

Это юридическое лицо или индивидуальный предприниматель, которые обеспечивают изготовление сертификатов открытых ключей и управление (аннулирование, приостановление, возобновление) ими, а также выполняет иные функции, установленные законодательством Российской Федерации.

Аккредитация удостоверяющего центра проводится уполномоченным федеральным органом Минкомсвязи России. Минкомсвязи фактически определяет, достоин ли удостоверяющий центр доверия (в приказе Минкомсвязи №320 «Об аккредитации удостоверяющих центов» от 23 ноября 2011 года описаны основные правила аккредитации и порядок проверки удостоверяющих центров).

Список аккредитованных Удостоверяющих Центров можно скачать на сайте Минкомсвязи. или посмотреть на сайте Госуслуг.

Сколько времени занимает выпуск сертификата ЭП?

Обычно не более 1 рабочего дня с момента оплаты услуг Удостоверяющего центра.

Может ли один человек быть владельцем нескольких ЭП?

Одно физическое или юридическое лицо может иметь неограниченное количество ЭП.

Как проверить подлинность сертификата ЭП?

Проверка подлинности сертификата электронной подписи может быть осуществлена, например, на портале Госуслуг.

При проверке сертификата проверяется его действительность и квалифицированность.

Портал Госуслуг в соответствии с Федеральным законом №63- ФЗ «Об электронной подписи» и с приказом ФСБ РФ, который определяет структуру квалифицированного сертификата, проверяет все поля сертификата, их наполнение и соответствие данным правилам.

Как работает электронная подпись?

С помощью ЭП информация не шифруется и остается доступной любому имеющему к ней доступ пользователю.

Для определения идентичности автора и подтверждения подлинности документа используется «хэш-функция».

На первом этапе формирования документа с помощью электронной подписи строится специальная хэш-функция, которая идентифицирует содержание документа.

На втором этапе автор документа шифрует содержание хэш-функции своим персональным закрытым ключом. При этом зашифрованная им хэш-функция помещается в сам документ, сохраняется и передается вместе с ним. Размер хэш-функции весьма незначителен, поэтому не происходит ощутимого увеличения размера документа.

При получении документа, адресат может убедиться в его подлинности. Для этого получатель строит собственный вариант хэш-функции полученного документа.

Далее расшифровывается хэш-функция, содержащаяся в документе, и происходит сравнение этих двух хэш-функций. Их совпадения является гарантией подлинности документа и его авторства.

Как долго можно хранить подписанные электронные документы?

Хранить подписанные электронные документы можно неограниченное количество времени.

Проблематика этого вопроса в том, что по истечению срока действия сертификата ключа подписи необходимо иметь доказательную базу, что в момент подписи сертификат был действителен и имел соответствующий 63-ФЗ статус: квалифицированный или нет.

Нормативно этот вопрос в нашей стране пока не регулируется. Для создания подобной доказательной базы могут использоваться различные методы.

Например, при прохождении документа через средства аттестованного Оператора электронного документооборота действительность подписи под документом проверяется, а сам факт прохождения и его дата фиксируются специальным документом с подписью Оператора.

Какие правила безопасности нужно соблюдать при использовании электронной подписи?

Хранить сертификат и закрытый ключ необходимо в месте, исключающем доступ посторонних (защищенный носитель, компьютер под паролем и т.д.);
Использовать программное обеспечение, защищающее компьютер от несанкционированного доступа;
Не передавать ключевой носитель и/или доступ к компьютеру посторонним лицам;
Немедленно информировать удостоверяющий центр о факте компрометации ключа ЭП.

Да, это возможно. Необходимо лишь посмотреть доступный всем пользователям сертификат владельца ЭП.

При получении ключей электронной подписи на сотрудника организации руководитель подтверждает должность и полномочия сотрудника (включая право подписи определенных категорий документов).

На основании этих данных в сертификате открытого ключа ЭП указывается должность и полномочия владельца электронной подписи.

Что делать, если сотрудник, на которого был оформлен сертификат электронной подписи, уволился?

В таком случае необходимо предоставить заявление на отзыв сертификата ключа подписи в Удостоверяющий центр, а также оформить заявку на получение нового сертификата.

Можно ли незаметно подделать текст электронного документа, который подписан ЭП?

Нет. Это невозможно, так как в случае любой несанкционированной модификации проверка ЭП покажет, что документ был изменен.

Что делать, если закрытый ключ ЭП утерян или оказался в руках неуполномоченного лица?

Это называется компрометацией ключа электронной подписи.

Первой задачей в такой ситуации является скорейшее уведомление Удостоверяющего центра о произошедшем для вывода скомпрометированного ключа из действия в системе.

С этого момента подпись теряет юридическую силу. После чего можно приступать к решению вопроса о получении нового сертификата ключа подписи.

Забыли пароль ЭП. Как восстановить ключ ЭП?

Если ключи хранились на сертифицированных носителях, то необходимо посмотреть в документации, прилагаемой к этим носителям о возможности разблокировки.

В остальных случаях необходимо получать новые в Удостоверяющем центре.

Цифровая экономика не только обеспечивает участников новыми возможностями, но и создает новые риски. Нестареющее правило «предупрежден — значит вооружен» здесь как никогда актуально.

Электронная подпись — это инструмент, снабженный максимальной «броней» от компрометации. Конечно, при условии ее корректного использования владельцем и недопущения злоумышленника к критическим точкам. Но даже это не мешает преступникам находить лазейки и использовать пресловутый человеческий фактор, позволяющий противоправно обогащаться за счет других.

Преступных схем огромное количество, иногда удивление вызывает фантазия мошенников, а иногда наивность владельцев ЭП.

Варианты мошенничества с электронной подписью

1) Физические преступления — для развертывания мошеннической схемы необходим контакт преступника с носителем.

1.1. Кража носителя — простая, как 5 копеек, схема, когда преступник похищает usb-токен, что позволяет ему свободно использовать чужую электронную подпись.

— установка пользовательского пароля — напомним, что носители выпускаются со стандартными заводскими паролями, которые находятся в свободном доступе в интернете и, соответственно, их важно заменить на числовую комбинацию, известную только владельцу. После 3 попыток злоумышленника подобрать пароль, usb-токен заблокируется.

1.2. Добровольная передача своей ЭП другому лицу — исходя из безграничного доверия, а скорее всего из-за непонимания возможных последствий, уполномоченные лица вместо делегирования прав совершать определенные действия передают подчиненным свою электронную подпись. Случаи, когда главные бухгалтера приводили компании к грани банкротства, выводя капитал с помощью ЭП директоров, до сих пор происходят с завидной регулярностью. Мошенническая схема может быть развернута и одномоментно, и отложено. Одномоментно — злоумышленник может использовать электронную подпись непосредственно во время нахождения у него чужого usb-токена. Отложено — в случае если закрытый ключ ЭП является извлекаемым, преступник может скопировать его и использовать в дальнейшем, уже после возврата носителя владельцу.

— никогда, никому и ни при каких обстоятельствах не передавать свою электронную подпись — наверное, самое простое правило, которым, к сожалению, часто пренебрегают. Обычно отговоркой служит желание сэкономить денежные средства в размере стоимости ЭП и время, необходимое на оформление доверенности. Но нельзя забывать насколько это малые величины в сравнении с рисками.

1.3. Наличие на токене недекларированных возможностей («закладок») — получение несертифицированных ключевых носителей из ненадежных источников чревато наличием в программном обеспечении не заявленных в документации включений. Через эти «кротовые норы» преступники могут похитить закрытый ключ электронной подписи.

— приобретение сертифицированных ФСТЭК носителей — удостовериться в отсутствии «закладок» можно с помощью просвечивания usb-токена рентгеном, что осуществляется в лабораториях Федеральной службы технического и экспортного контроля. Если в результате исследования не было выявлено «закладок», то ключевой носитель признается безопасным и на него выпускают сертификат ФСТЭК.

2) Технологичные преступления — для реализации подобных противоправных схем от мошенников в первую очередь требуются навыки в области IT-технологий и информационной безопасности.

2.1. Внедрение злоумышленника в «машину» владельца электронной подписи — мошенник, получивший доступ к компьютеру или ноутбуку жертвы может похитить ключ, скопировав его, в случае если он извлекаемый, или использовать ЭП без ведома владельца. Например, шпионская программа (Remote Access Tool или сокращенно RAT — на слэнге некоторых IT-специалистов «крыса») может перехватывать параметры вызовов функций, данные, которыми обмениваются приложения и прочее. Соответственно, это позволит преступнику узнать пароль токена и получить доступ к электронной подписи, хранящейся на нем.

— выполнение правил информационной гигиены — не переходить по подозрительным ссылкам (обратите внимание, что в письме может быть написан адрес надежного сайта, но при наведении курсором может высветиться совершенно другой адрес гиперссылки), не скачивать программы и файлы из ненадежных источников, не пользоваться потенциально зараженными флешками, установить на компьютер или ноутбук антивирусную программу и прочее. Кроме этого, следует упомянуть о важности корректной работы службы администрирования и информационной безопасности в компаниях.

2.2. Компрометация канала связи «токен-машина» — если злоумышленник проникает в канал передачи данных от usb-токена к компьютеру или ноутбуку, то это грозит, в зависимости от типа ключевого носителя, и компрометацией пароля, и компрометацией ключа.

— выполнение правил информационной гигиены + ФКН — способ предотвратить реализацию подобной схемы, аналогичен предыдущему. В качестве дополнительного средства обезопасить электронную подпись от компрометации можно упомянуть функциональный ключевой носитель (ФКН). ФКН отличается тем, что разделяет вычисления во время генерации ЭП между пользовательским приложением и токеном таким образом, что данные, которые передаются по каналу связи, не позволят преступнику сделать никаких выводов ни о ключе, ни о пароле.

3) Социальные преступления — мошеннические схемы, основанные на личных качествах людей, их способности имитировать других, вводить в заблуждение, подделывать документы. Подобные нарушения в большинстве своем сложно предупредить, но всем действующим и потенциальным владельцам ЭП нужно знать, что рынок нашел способ борьбы и с подобными преступлениями.

3.1. Получение электронной подписи другим человеком — преступник может завладеть документами нужного лица (найти, украсть) и, используя максимально похожего на него соучастника, получить ЭП.

— ответственное отношение к документам — необходимо хранить документы в надежных местах, а в случае их кражи незамедлительно сообщать в правоохранительные органы. Наличие заявления о потере или о краже будет дополнительным аргументов в случае судебного разбирательства по неправомерному выпуску ЭП и совершению значимых действий с ней. Доказательством того, что пострадавшее лицо не заполняло заявки на получение электронной подписи, будет графологическая экспертиза подписи.

3.2. Получение электронной подписи по поддельным документам и доверенности — регламент рынка электронной подписи подразумевает обязательную личную явку при первичном получении ЭП, а при повторном выпуске забрать ее можно, предоставив копии необходимых документов и доверенность. Этим и могут воспользоваться мошенники, подделав бумаги.

3.3. Недобросовестность сотрудников удостоверяющих центров — как и в любой системе, будь то правоохранительная, судебная или любая другая, ее рядовые пользователи зависят от тех, кто наделен полномочиями. Вот он наиболее негативный человеческий фактор — беззащитность перед находящимся «внутри» преступником. При подобных проникновениях любая система выходит из равновесия, и одна из самых надежных и легко приводимых в норму — это система выпуска электронной подписи.

Нейтрализация схем 3.2. и 3.3.:

— ответственное выполнение сотрудниками УЦ своих обязанностей — в этих случаях предотвращение возможно только внутри удостоверяющих центров при помощи слаженной работы менеджеров, выпускающих ЭП, служб информационной безопасности, подбора персонала и коллег потенциального злоумышленника, что и происходит на современном рынке ЭП. Но это по-прежнему не исключает человеческого фактора на 100%.

Но почему же эта система одна из самых надежных и легко приводимых в норму?

Во-первых,потому что удостоверяющие центры ввиду своей материальной ответственности крайне внимательно относятся к проверке документов заявителей, таким образом, минимизируя риски.

Во-вторых,существует внешняя система контроля деятельности удостоверяющих центров, выстроенная государственными структурами. Для начала деятельности УЦ должны получить лицензию ФСБ России, которая подтвердит их соответствие строгим требованиям службы. В случае если удостоверяющие центры планируют выпускать квалифицированную электронную подпись, то они также обязаны пройти аккредитацию при Минкомсвязи. УЦ, которые заинтересованы в работоспособности выпущенных ЭП во всем информационном пространстве страны, также проходят процесс авторизации при Ассоциации Электронных Торговых Площадок. Помимо этих стартовых процедур ФСБ, Минкомсвязи и АЭТП проводят ежегодные проверки деятельности удостоверяющих центров.

В-третьих,высокое качество персонала УЦ, например, чтобы получить лицензию ФСБ, в штате обязательно должны быть специалисты с профильным высшим образованием или окончившие 500-часовые курсы дополнительной подготовки. Отбор сотрудников удостоверяющих центров строгий, требуется специализация на соответствующем виде деятельности, заработные платы конкурентоспособны. Все это также является сдерживающими факторами, ведь решение поставить все на кон ради однократного преступного обогащения, которое в любом случае будет раскрыто, совсем не соответствует психологическому портрету высококлассного специалиста.

Схемы-«единороги»

Добавим пару слов о несуществующих схемах, которыми могут пугать новичков мира электронной подписи.

1) ЭП могут скопировать с подписанного электронного документа.

2) Теория заговора удостоверяющих центров, которые используют электронные подписи своих клиентов.

Выше уже была приведена аргументация, почему это не так.

3) Закрытый ключ ЭП могут подобрать с помощью открытого, что позволит мошенникам использовать подпись.

Дина ключа составляет 256 бит и, на самом деле, закрытый ключ можно рассекретить методом подбора, используя открытый ключ, но мощности современной вычислительной техники, включая суперкомпьютеры, не позволят этого сделать раньше, чем закончится срок действия ЭП.

Понятие

Когда наступает компрометация ключа ЭЦП

Ситуации, при которых можно усомниться в действительности электронной подписи, следующие:

Причина увольнения в таком случае не играет роли, поскольку если работник больше не числится в штате, то теоретически он может воспользоваться имеющимися данными по своему усмотрению

Порядок действий при компрометации ключа

прекратить все действия в сети, которые связаны с использованием ЭЦП и личного шифра;
оповестить удостоверяющий центр, в котором был получен ключ, о факте компрометации; эту процедуру можно проделать как дистанционно (через электронную почту, телефон и т. п.), так и лично посетив учреждение;
отозвать скомпрометированный ключ – эта процедура идёт посредством подачи соответствующего заявления в УЦ только владельцем шифра.

Читайте также: