Skupka-prestizh.ru

Документы и юриспруденция
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Что это такое компрометация ключа электронной подписи

Компрометация (криптография)

Компрометация в криптографии — факт доступа постороннего лица к защищаемой информации, а также подозрение на него. Чаще всего рассматривают компрометацию закрытого ключа, закрытого алгоритма, цифрового сертификата, учётных записей (паролей), абонентов или других защищаемых элементов, позволяющих удостоверить личность участника обмена информацией.

Содержание

  • 1 Случаи компрометации
  • 2 Действия при компрометации ключа
  • 3 Уменьшение вероятности компрометации ключа и ущерба от компрометации
  • 4 См. также
  • 5 Ссылки

Случаи компрометации

  • Физическая утеря носителя информации
  • Передача информации по открытым каналам связи
  • Несанкционированный доступ постороннего лица в место физического хранения носителя информации, к устройству хранения информации, визуальный осмотр носителя информации посторонним лицом или подозрение, что данные факты имели место (срабатывание сигнализации, повреждение устройств контроля НСД (слепков печатей), повреждение замков, взлом учётной записи пользователя и т. п.)
  • Скимминг и шимминг банковских карт
  • Перехват информации вредоносным ПО
  • Перехват (подслушивание) звуковой информации
  • Перехват ключа при распределении ключей
  • Перехват побочных электромагнитных излучений и наводок
  • Перехват информации с электрических каналов утечки
  • Сознательная передача информации постороннему лицу

и другие, в зависимости от вида носителя защищаемой информации и способов работы с ним.

Действия при компрометации ключа

  1. Скомпрометированный ключ сразу же выводится из действия, взамен него вводится запасной или новый ключ.
  2. О компрометации немедленно оповещаются все участники обмена информацией. Ключ или сертификат вносятся в специальные списки, содержащие скомпрометированные ключи (стоп-листы, списки отзыва сертификатов и т. п.)

Ключевые системы с несколькими ключами могут быть устойчивы к одной или нескольким компрометациям.

Компрометация ключа может также привести к компрометации информации, передававшейся с использованием данного ключа.

Уменьшение вероятности компрометации ключа и ущерба от компрометации

Чем дольше ключ находится в действии и чем интенсивнее он используется, тем больше вероятность того, что он будет скомпрометирован. При длительном пользовании одним и тем же ключом увеличивается также и потенциальный ущерб, который может быть нанесен в случае его компрометации. Одной из мер, направленных на уменьшение вероятности компрометации и ущерба от неё, является периодическая смена ключей.

См. также

  • Информационная безопасность
  • Управление ключами
  • Каналы утечки информации
  • Предотвращение утечек

Ссылки

  • [1]

Что такое wiki2.info Вики является главным информационным ресурсом в интернете. Она открыта для любого пользователя. Вики это библиотека, которая является общественной и многоязычной.

Основа этой страницы находится в Википедии. Текст доступен по лицензии CC BY-SA 3.0 Unported License.

Wikipedia® — зарегистрированный товарный знак организации Wikimedia Foundation, Inc. wiki2.info является независимой компанией и не аффилирована с Фондом Викимедиа (Wikimedia Foundation).

Что представляет собой компрометация ключей электронной подписи?

Компрометация ключей подписи – это утрата доверия к тому, что ключи могут обеспечить безопасность информации. Компрометация может привести к следующим негативным последствиям:

  • утечке информации;
  • переводу денежных средств с банковских счетов компании;
  • предоставлению данных третьей стороне, например, контрагентов;
  • передаче инсайдерских данных третьей стороне.

Компрометация ключей вызывает достаточно много судебных споров. Например, в Постановлении Арбитражного суда Московского округа от 09.02.2016 № Ф05-17738/2015 по делу № А40-20848/2015 рассматривался спор между компанией и банком в отношении компрометации ключа электронной подписи и списания денежных средств.

В этом споре суд встал на сторону клиента, указав, что компания своевременно известила банк о факте компрометации ключа электронной подписи доступным для него способом, в связи с чем банк должен был прибегнуть к осуществлению дополнительных мероприятий с целью установления действительного волеизъявления клиента на совершение спорных операций.

Вместе с тем, денежные средства были списаны. Решением Арбитражного суда города Москвы от 22.07.2015, оставленным без изменения постановлением Девятого арбитражного апелляционного суда от 19.10.2015, с ОАО «СБЕРБАНК РОССИИ» в пользу ООО «ГОРДОРСТРОЙ» взысканы денежные средства в размере 88 404 416 руб. 67 коп., из которых 86 000 000 руб. — сумма убытков, 2 404 416 руб. 67 коп. — проценты за пользование чужими денежными средствами.

Но существует и противоположная практика. В Определении Верховного Суда РФ от 17.12.2015 № 303-ЭС15-16315 по делу № А51-35104/2014 суд отказал в возмещении убытков, поскольку на момент приема к исполнению распоряжений клиента, а также на момент списания денежных средств с его счета сообщений заявителя в банке еще не имелось.

Данные случаи показывают, насколько серьезно нужно относиться к вопросам компрометации.

Причинами компрометации могут быть совершенно различные факторы, начиная от потери ключей, увольнения сотрудников, которые передают информацию о ключах конкурентам и мошенникам, и заканчивая утечками информации, использованием специальных технических средств.

Если произошла компрометация ключей, то необходимо сразу предупредить об этом оператора удостоверяющего центра. Нужно сообщить оператору следующую информацию:

  • свои идентификационные данные;
  • серийный номер сертификата ключа подписи, соответствующего скомпрометированному ключу;
  • секретное ключевое слово, полученное при регистрации.

Кроме того, часто в случае возникновения подозрений в компрометации закрытых ключей их действие временно приостанавливается. После этого выдаются другие ключи.

Горячая линия

Клуб профразвития

Обучающие мероприятия

(347) 291 20 70

Эксплуатация ЭЦП

Эксплуатация ЭЦП

Вопрос

Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты такого документа от изменений и присваивающий ему юридический статус.

Сфера применения ЭЦП

? Отправка отчетности в контролирующие органы по телекоммуникационным каналам связи

? Юридически значимый электронный документооборот

? Государственные и коммерческие закупки

? Системы типа «клиент – банк»

Информация содержащаяся в ЭЦП

? Фамилия Имя Отчество владельца ЭЦП

? Должность владельца ЭЦП

? ИНН владельца ЭЦП

? Название организации сокращенное

? ИНН, КПП и ОГРН организации

? Юридический адрес организации

? e-mail владельца ЭЦП

? Сроки действия ЭЦП

? В ЭЦП для участия в госторгах еще указываются полномочия владельца ЭЦП; администратор организации, уполномоченный специалист, специалист с правом подписи контракта

Причины для смены ЭЦП

? Смена владельца ЭЦП

? Смена ИНН, КПП или ОГРН организации

? Смена юридического адреса организации

? Смена названия организации

? Компрометация ключа ЭЦП

Компрометация ключа ЭЦП

Компрометация ключа — утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей относятся, включая, но не ограничиваясь, следующие:

? Потеря ключевых носителей.

? Потеря ключевых носителей с их последующим обнаружением.

? Увольнение сотрудников, имевших доступ к ключевой информации.

? Нарушение правил хранения и уничтожения (после окончания срока действия) секретного ключа.

? Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.

? Нарушение печати на сейфе с ключевыми носителями.

? Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того. что. данный факт произошел в результате несанкционированных действий злоумышленника).

Условия хранения ЭЦП

? При хранении ключей необходимо обеспечить невозможность доступа к ключевым носителям лиц, не назначенных для работы с конкретным ключевым носителем.

? Запрещается оставлять без контроля вычислительные средства, на которых эксплуатируется СКЗИ, после ввода ключевой информации;

? Пользователь несет персональную ответственность за хранение личных ключевых носителей.

? При наличии в организации, эксплуатирующей СКЗИ, администратора безопасности, и централизованном хранении ключевых носителей, администратор безопасности организации несет персональную ответственность за хранение личных ключевых носителей пользователей.

? При хранении ключей в реестре Windows и на HDD ПЭВМ требования по хранению личных ключевых носителей распространяются на ЭВМ (ЖД ЭВМ) (в том числе и после удаления ключей из реестра).

? В случае невозможности отчуждения ключевого носителя с ключевой информацией от ЭВМ организационно-техническими мероприятиями должен быть исключен доступ нарушителей к ЭВМ с ключами.

? При хранении ключей на HDD ПЭВМ необходимо использовать парольную защиту.

Действия при компрометации ключа или смене реквизитов компании

При обнаружении компрометации ЭЦП или смене реквизитов компании, а так же при смене владельца ЭЦП необходимо:

? Немедленно прекратить использование скомпрометированной ЭЦП

Направить запрос о выдаче новой ЭЦП в сервисный центр с указанием причины смены ЭЦП

Срок перевыдачи ЭЦП от 1-го до 3-х рабочих дней в зависимости от вашего тарифного плана

Компрометация ключа

«. Компрометация ключа — утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. «

Постановление Правления ПФ РФ от 26.01.2001 N 15 «О введении в системе Пенсионного фонда Российской Федерации криптографической защиты информации и электронной цифровой подписи» (вместе с «Регламентом регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации»)

«. Компрометация ключа — утрата доверия к тому, что используемые закрытые ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, в том числе, следующие:

— утрата ключевых носителей;

— утрата ключевых носителей с последующим обнаружением;

— увольнение сотрудников, имевших доступ к ключевой информации;

— возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

— нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания сейфов;

— утрата ключей от сейфов в момент нахождения в них ключевых носителей;

— утрата ключей от сейфов в момент нахождения в них ключевых носителей с последующим обнаружением;

— доступ посторонних лиц к ключевой информации. «

Приказ ФНС РФ от 18.12.2009 N ММ-7-6/691@ «Об утверждении Порядка регистрации участников электронного документооборота для представления налоговых деклараций (расчетов) и иных документов в электронном виде и информирования налогоплательщиков по телекоммуникационным каналам связи»

Официальная терминология . Академик.ру . 2012 .

  • Компрессорный способ добычи нефти
  • Компьютерная атака

Смотреть что такое «Компрометация ключа» в других словарях:

компрометация ключа — — [http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23] Тематики защита информации EN compromise of a key … Справочник технического переводчика

Компрометация (криптография) — В этой статье не хватает ссылок на источники информации. Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена. Вы можете отредактировать эту статью, добавив ссылки на авторитетные источники … Википедия

компрометация — компрометировать Компрометация это непреднамеренное раскрытие или обнаружение криптографического ключа или кода. [http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23] Тематики защита информации Синонимы компрометировать EN compromise … Справочник технического переводчика

Инфраструктура открытых ключей — У этого термина существуют и другие значения, см. PKI. У этого термина существуют и другие значения, см. инфраструктура. Инфраструктура открытых ключей (англ. PKI Public Key Infrastructure) набор средств (технических, материальных,… … Википедия

Управление ключами — состоит из процедур, обеспечивающих: включение пользователей в систему; выработку, распределение и введение в аппаратуру ключей; контроль использования ключей; смену и уничтожение ключей; архивирование, хранение и восстановление ключей.… … Википедия

Экономическая информационная система — (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединённых в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации, предназначенной для выполнения функций… … Википедия

ЭИС — Экономическая информационная система (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединенных в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации,… … Википедия

Читать еще:  Забалансовый учет материальных ценностей

Анонимные сети — Анонимные сети компьютерные сети, созданные для достижения анонимности в Интернете и работающие поверх глобальной сети. Специфика таких сетей заключается в том, что разработчики вынуждены идти на компромисс между степенью защиты и лёгкостью … Википедия

Что это такое компрометация ключа электронной подписи

Простейшая структура ЭЦП

В простейшем виде электронной цифровой подписи — это некоторые сведения о себе, например, фамилия, имя, отчество и должность, зашифрованные секретным ключом. Каждый, кто имеет открытый ключ, сможет ц эти сведения прочитать и убедиться, кто является автором сообщения. Таким образом, в простейшем смысле. ЭЦП — это средство идентификации отправителя. Однако на практике в. ЭЦП включают не только сведения об отправителе, но и дополнительные данані.

Понятие о компрометации ЭЦП

ЭЦП средство идентификации партнера более надежный, чем традиционный рукописный подпись. Однако и его можно фальсифицировать. Это может произойти, когда злоумышленник в тот или иной способ получит доступ к закрыт того ключа. Тогда говорят о компрометации закрытого ключа, из которой следует компрометация подписи, созданного по его работодателемгою.

Закрытый ключ может быть скомпрометирована традиционными и нетрадиционными способами

Традиционные способы компрометации, как правило, связаны с противозаконными действиями:

похищения ключа путем копирования в результате несанкционированного прямого физического или удаленного сетевого доступа к оборудованию, на котором он хранится;

получения ключа в результате ответа на запрос, выполненный с признаками мошенничества или подделки;

похищения ключа вместе с оборудованием, на котором он хранился (даже если похищение оборудования осуществляется не для доступа к ключу);

похищения ключа в результате сговора с лицами, имеющими право на его использование (даже факт увольнения сотрудника, который имел доступ к закрытому ключу организации, тоже рассматривается как компромет ция ключа.

Незаконность традиционных методов компрометации ключа позволяет в некоторой степени рассчитывать на то, что защита ключа, хотя и косвенно, обеспечивает законодательство. К сожалению, это не касается нетрадиционным их способов компрометации, базирующихся на реконструкции закрытого ключа с исходными данными, полученными легально, в частности по открытым ключом. Сейчас доказать незаконность действий по реконструкции чужого закрытого ключа практически невозможно (по крайней мере пока не произойдет событие незаконного использования реконструированного ключаа).

Предпосылки возможной реконструкции такие:

реконструктор имеет легальный доступ к открытому ключу, а он, как известно, связан с закрытым ключом определенными математическими соотношениями, поскольку вместе они образуют ключевую пару;

он может экспериментировать не на случайных, а на специально подобранных сообщениях, подготовленных собственноручно так, как ему удобно;

он имеет полный доступ к зашифрованным сообщений, поскольку сам может создать их с помощью открытого ключа;

ему известен метод шифрования и дешифрования, по которому работает программное средство. ЭЦП (в общем случае алгоритм не скрывается, а наоборот, широко публикуется для всеобщего тестирования)

криптостойкость средств ЭЦП

Теоретически знания метода шифрования, открытой половины ключа, исходного и зашифрованного текстов дают злоумышленнику полную возможность реконструкции закрытого ключа. На практике процесс реконструкции сти икаеться с наличием специальных аппаратных и программных средств, а также с огромными затратами вычислительного времяу.

Кроме криптографии, с криптоанализ — наука о методах раскрытия и / или подделки данных. Она разрабатывает метолы, позволяющие:

— воспроизводить зашифрованную информацию, т.е. снимать с
нее защиту;

— оценивать качество защиты информации, то есть давать
объективную оценку принятым методам защиты

При использовании криптографии качество защиты определяется одновременно как методами, так и данными. Метод в этом случае заложено в алгоритме шифрования. Данные заключаются в исходном сообщении и в ключе и шифрования. Зашифрованное сообщение может слабо противостоять методам криптоанализа по двум причинам: в связи с»слабостью»алгоритма, лежащего в основе действия средства. ЭЦП, и характерными чертами ключа ( неудачные свойства ключевой парылючової пари).

К проблеме оценки криптостойкости алгоритмов есть два подхода. Первый — централизованный, основывается на закрытости алгоритмов шифрования, и второй — децентрализованный, базируется на их открытости

По централизованного подхода ответственность за надежность средств шифрования вообще и средств. ЭЦП частности берет на себя государство в лице органа, уполномоченного разрабатывать средства. ЭЦП или давать оценку по средствам, выполненным другими разработчиками. В этом случае защита может основываться на»закрытости»алгоритм; алгоритму.

С точки зрения государства, это самый простой, дешевый и легко контролируемый путь. Уполномоченный административный орган может сделать секретным алгоритм, рекомендуется к общему применению, а ис истання других алгоритмов законодательно запретить. Это, конечно, осложнит реконструкцию закрытых ключей и подделку. ЭЦП, но многие потребители так и не знать об истинных свойствах защиты пред нований («навязанного») алгоритма им останется только доверять административном органу, уверяет в надежности алгоритмсті алгоритму.

В случае децентрализации алгоритм шифрования делается открытым. Он широко публикуется и каждый может самостоятельно проверить его криптостойкость. Разумеется, обычный пользователь не станет этого делать, но е он может быть уверенным в том, что множество специалистов, вооруженных и надлежащей техникой, и надлежащими методами, активно этим занимаются. Если они могут что-либо сделать, то на этом этапе развития то хнологии алгоритм можно считать надежным: ему можно доверять, пока в открытой печати не появятся сообщения о его опроверженииння.

На практике одновременно в разных сферах могут применяться различные подходы. Одно дело — защита гражданской электронной почты, другая — служебный и финансовый документооборот предприятий и, наконец, совсем другое дело — спецсредства, используемые там, где есть угроза безопасности государстви.

На криптостойкость. ЭЦП влияют также свойства пары ключей. Ключи создаются в результате применения средства. ЭЦП — программного или аппаратного обеспечения, генерирует пару ключей по запросу польз тувача. В основе этого средства также лежит некоторый алгоритм. Существует несколько разновидностей алгоритмов, с помощью которых создаются пары ключей, однако не все они имеют одинаковые свойства. Некоторые, на первый поглощения д, безупречные алгоритмы могут не всегда генерировать полноценные криптостойкие ключи, причем пользователь, создавший себе пару ключей с помощью приобретенного им средства. ЭЦП, никогда не узнает о деф екты ключа, пока не испытывает ущерба вследствие незаконного использования его. ЭЦП или потери важных даныаних.

На государственном уровне возможны два подхода к обеспечению устойчивости ключей, находящихся в обращении. Во-первых, возможна сертификация средств. ЭЦП уполномоченным органом. В этом случае средства. ЭЦП, не прошедших и экспертизу, не получают соответствующего сертификата и запрещаются к применению. Недостаток этого метода в том, что подобная сертификация связана со значительными затратами финансов и времени. Не каждый разработки ник средств. ЭЦП имеет возможность вложить необходимые средства в их сертификацию. Однако это страхует общество от использования средств. ЭЦП, выполненных неквалифицированным кадрамдрами.

Второй подход может заключаться в сертификации не средств. ЭЦП, а конкретных ключей, созданных с их помощью. В таком случае пару ключей (закрытый и открытый) нужно подавать органа, выполняющего сертиф ацию. Он принимает решение с учетом как относительную криптостойкость ключей, так и на характер деятельности заявителя. То, что допустимо для малого торгового предприятия, может быть неприемлемым для банков ской структуры. Недостатком такого подхода является наличие копий закрытых ключей в государственном органе, где их защиту от неправомочного использования (или потери) сомнительновний.

Возможны и комбинированные решения, сочетающие сертификацию средств. ЭЦП с сертификацией ключей

Ответственность за использование чужой электронной подписи

Электронная цифровая подпись содержит конфиденциальную информацию, и позволяет заверить документ, подтверждает авторство и неизменность содержания. Сегодня ЭЦП используются в электронном документообороте, на торговых площадках, в работе с государственными структурами и органами и т.д. Деятельность и силу цифровой подписи регулирует федеральный законопроект, в отдельной статье которого прописана и ответственность за использование чужой ЭЦП или компрометацию сертификата.

Условия исполнения закона о ЭЦП

Необходимость принятия федерального закона была обусловлена тем, что ЭЦП предоставляет новые права и обязанности субъектам правоотношений, а для удостоверения подлинности подписи сформирована целая система специализированных организаций. Все подзаконные акты, принятые вслед за ФЗ, лишь конкретизируют правовые механизмы и дополняют законодательную базу об ЭЦП.

ФЗ определяет условия использования ЭЦП, соблюдение которых не только признает средства ЭЦП надежными, но и позволяет обеспечить сохранность персональной информации и безопасную передачу данных даже по открытым каналам связи.

Закон прописывает также и ответственность владельца сертификата ключа. По ФЗ владелец ЭП обязан:

  • хранить закрытый ключ ЭЦП втайне;
  • не использовать ключи ЭЦП, если известно, что их конфиденциальность нарушена;
  • требовать приостановления действия сертификата ЭЦП при подозрении на нарушение тайны закрытого ключа.

Если требования соблюдены не были, то вся ответственность и возмещение возможных убытков ложится на владельца сертификата ЭЦП.

Ответственность за нарушение законодательства

Федеральный закон о ЭЦП был принят 10.01.2002 г., а вступил в силу на территории РФ 22.01.2009 г. Законопроект не только охватывает все сферы действия ЭЦП, но и содержит основные наказуемые случаи за нарушение правил использования цифровой подписи.

По ФЗ несут уголовную ответственность лица:

  • неправомерно использующие ЭЦП другого лица, в т.ч. неправомерно получившие доступ к закрытому ключу сертификата;
  • получившие неправомерный доступ к средствам ЭЦП;
  • незаконно создающие и/или использующие средства ЭЦП.

Гражданско-правовая ответственность налагается:

  • если были причинены убытки по причине несоответствия средств ЭЦП, заявленных компанией-производителем;
  • при нарушении процесса проверки средств цифровой подписи.

Возмещение убытков возможно, если:

  • убытки были причинены пользователю открытого ключа цифровой подписи из-за несанкционированного доступа третьих лиц к закрытому ключу;
  • доказана вина владельца открытого ключа, получившего доступ от владельца закрытого ключа по договору использования ЭЦП.

Если было доказано неправомерное использование электронной подписи или получение доступа к закрытому ключу, то наравне с уголовной ответственностью может налагаться гражданско-правовая или административная ответственность. Объясняется это тем, что наказуем не факт использования ключа ЭЦП, а его последствия (хищение денег, информации, интеллектуальной собственности и т.д.).

Процесс передачи ЭЦП

Цифровая подпись тождественна собственноручной оригинальной подписи, используемый в пространстве электронного документооборота. Передачи ЭЦП третьим лицам запрещена, и противоречит основному ФЗ-63. Основное положение этого законопроекта — электронная цифровая подпись идентифицирует своего владельца.

Однако при необходимости можно составить акт передачи электронной подписи, который должен соответствовать положениям федерального закона. По ФЗ-63 все участники ЭДО имеют право использовать электронную подпись любого типа, но обязаны обеспечить конфиденциальность. За сохранность подписи и область применения реквизита отвечает ее владелец. В случае возникновения спорных ситуаций такой документ будет иметь юридическую силу. Доверенность, составленная в устной форме между сотрудниками компании, при решении вопросов в судебном порядке иметь юридическую силу не будет.

Читать еще:  КБК по налогу на доходы физических лиц

Акт приема-передачи подписи

Пример акта приема-передачи ЭЦП:

Документ может быть составлен в произвольной форме, поскольку прямых требований законодательства к этому документу нет. Обязательно в нем указывают такие сведения, как:

  • дату составления;
  • ФИО владельца ЭЦП и лица, принимающего подпись на хранение;
  • наименование реквизитов, переданных на хранение и использование;
  • количество экземпляров;
  • подписи сторон.

Дополнительно можно включить цели передачи подписи и сроки действия договоренности, ответственность за использование цифровой подписи, условия ее хранения и возмещение ущерба при утере или компрометация ключа. Иногда дополнительно указывают стоимость сертификата. Если ЭП передается более, чем одному лицу, то в акте передачи указывается сразу несколько человек.

Компрометация ключа ЭП

В действующем ФЗ об электронной подписи определение компрометации отсутствует, но под ним обычно понимают потерю доверия к закрытому ключу. Однако по ФЗ ответственность за компрометация ключа несет не только владелец, но и УЦ, выдавший ЭЦП (п.4 ч.2 ст. 13).

В практике выделено несколько ситуаций, когда в сохранности и действительности ключа можно усомниться. К ним относят:

  • потерю ключа с его последующим нахождением. Есть шанс, что в этот период ключом могли воспользоваться третьи лица;
  • увольнение сотрудника, получившего ранее на хранение ЭЦП;
  • хранение ключа в общедоступных местах или в сейфе, на котором были обнаружены следы взлома;
  • нарушение целостности ключа.

Если была обнаружена компрометация или есть подозрения, что к средствам ЭЦП получили доступ третьи лица, то необходимо:

  • прекратить работу, требующую использования электронной подписи;
  • обратиться в УЦ, оформивший ЭП, с заявлением о факте компрометации;
  • отозвать потерявший доверия ключ ЭЦП. Сделать это может только владелец ЭП лично в офисе УЦ.

Скомпрометированную ЭП обычно отзывают в течение 30-40 минут после обращения, однако, в системе она хранится в течение нескольких месяцев. Далее, пользователю необходимо оформить новую электронную подпись, предоставив полный пакет документов и оплатив реквизит согласно выбранному тарифу.

Соблюдение основных положений по безопасности в работе с ЭЦП позволит избежать многих неприятных ситуаций, в т.ч. компрометирующих деятельность фирмы или юридического лица. Передача прав пользования ЭЦП законом не запрещена, но нежелательна: нарушение конфиденциальности закрытого ключа может привести к финансовым или иным потерям, а доказать в судебном порядке факт нарушения или хищения не всегда возможно.

Варианты мошенничества с электронной подписью

Цифровая экономика не только обеспечивает участников новыми возможностями, но и создает новые риски. Нестареющее правило «предупрежден — значит вооружен» здесь как никогда актуально.

Электронная подпись — это инструмент, снабженный максимальной «броней» от компрометации. Конечно, при условии ее корректного использования владельцем и недопущения злоумышленника к критическим точкам. Но даже это не мешает преступникам находить лазейки и использовать пресловутый человеческий фактор, позволяющий противоправно обогащаться за счет других.

Для понимания материала необходимо владеть базовой терминологией и понимать принципы работы электронной подписи. Если в этих знаниях имеются пробелы, то их легко восполнить с помощью статьи «Что такое электронная подпись — простым языком для новичков мира цифровой экономики».

***
Преступных схем огромное количество, иногда удивление вызывает фантазия мошенников, а иногда наивность владельцев ЭП.

Варианты мошенничества с электронной подписью:

1) Физические преступления для развертывания мошеннической схемы необходим контакт преступника с носителем.

1.1. Кража носителя — простая, как 5 копеек, схема, когда преступник похищает usb-токен, что позволяет ему свободно использовать чужую электронную подпись.

Нейтрализация:

— установка пользовательского пароля напомним, что носители выпускаются со стандартными заводскими паролями, которые находятся в свободном доступе в интернете и, соответственно, их важно заменить на числовую комбинацию, известную только владельцу. После 3 попыток злоумышленника подобрать пароль, usb-токен заблокируется.

1.2. Добровольная передача своей ЭП другому лицу — исходя из безграничного доверия, а скорее всего из-за непонимания возможных последствий, уполномоченные лица вместо делегирования прав совершать определенные действия передают подчиненным свою электронную подпись. Случаи, когда главные бухгалтера приводили компании к грани банкротства, выводя капитал с помощью ЭП директоров, до сих пор происходят с завидной регулярностью. Мошенническая схема может быть развернута и одномоментно, и отложено. Одномоментно — злоумышленник может использовать электронную подпись непосредственно во время нахождения у него чужого usb-токена. Отложено — в случае если закрытый ключ ЭП является извлекаемым, преступник может скопировать его и использовать в дальнейшем, уже после возврата носителя владельцу.

Нейтрализация:

— никогда, никому и ни при каких обстоятельствах не передавать свою электронную подпись — наверное, самое простое правило, которым, к сожалению, часто пренебрегают. Обычно отговоркой служит желание сэкономить денежные средства в размере стоимости ЭП и время, необходимое на оформление доверенности. Но нельзя забывать насколько это малые величины в сравнении с рисками.

Примечание: в разделе «Статьи» доступен отдельный материал, посвященный недопустимости передачи электронной подписи другим лицам.

1.3. Наличие на токене недекларированных возможностей («закладок») — получение несертифицированных ключевых носителей из ненадежных источников чревато наличием в программном обеспечении не заявленных в документации включений. Через эти «кротовые норы» преступники могут похитить закрытый ключ электронной подписи.

Нейтрализация:

— приобретение сертифицированных ФСТЭК носителей — удостовериться в отсутствии «закладок» можно с помощью просвечивания usb-токена рентгеном, что осуществляется в лабораториях Федеральной службы технического и экспортного контроля. Если в результате исследования не было выявлено «закладок», то ключевой носитель признается безопасным и на него выпускают сертификат ФСТЭК.

2) Технологичные преступления — для реализации подобных противоправных схем от мошенников в первую очередь требуются навыки в области IT-технологий и информационной безопасности.

2.1. Внедрение злоумышленника в «машину» владельца электронной подписи — мошенник, получивший доступ к компьютеру или ноутбуку жертвы может похитить ключ, скопировав его, в случае если он извлекаемый, или использовать ЭП без ведома владельца. Например, шпионская программа (Remote Access Tool или сокращенно RAT — на слэнге некоторых IT-специалистов «крыса») может перехватывать параметры вызовов функций, данные, которыми обмениваются приложения и прочее. Соответственно, это позволит преступнику узнать пароль токена и получить доступ к электронной подписи, хранящейся на нем.

Нейтрализация:

— выполнение правил информационной гигиены — не переходить по подозрительным ссылкам (обратите внимание, что в письме может быть написан адрес надежного сайта, но при наведении курсором может высветиться совершенно другой адрес гиперссылки), не скачивать программы и файлы из ненадежных источников, не пользоваться потенциально зараженными флешками, установить на компьютер или ноутбук антивирусную программу и прочее. Кроме этого, следует упомянуть о важности корректной работы службы администрирования и информационной безопасности в компаниях.

2.2. Компрометация канала связи «токен-машина» — если злоумышленник проникает в канал передачи данных от usb-токена к компьютеру или ноутбуку, то это грозит, в зависимости от типа ключевого носителя, и компрометацией пароля, и компрометацией ключа.

Нейтрализация:

— выполнение правил информационной гигиены + ФКН — способ предотвратить реализацию подобной схемы, аналогичен предыдущему. В качестве дополнительного средства обезопасить электронную подпись от компрометации можно упомянуть функциональный ключевой носитель (ФКН). ФКН отличается тем, что разделяет вычисления во время генерации ЭП между пользовательским приложением и токеном таким образом, что данные, которые передаются по каналу связи, не позволят преступнику сделать никаких выводов ни о ключе, ни о пароле.

3) Социальные преступления — мошеннические схемы, основанные на личных качествах людей, их способности имитировать других, вводить в заблуждение, подделывать документы. Подобные нарушения в большинстве своем сложно предупредить, но всем действующим и потенциальным владельцам ЭП нужно знать, что рынок нашел способ борьбы и с подобными преступлениями.

3.1. Получение электронной подписи другим человеком — преступник может завладеть документами нужного лица (найти, украсть) и, используя максимально похожего на него соучастника, получить ЭП.

UPD: Теперь можно проверить, выпущены ли на вас КЭП. С инструкцией «Как узнать о выпущенных на вас электронных подписях» можно ознакомиться по ссылке.

Нейтрализация:

— ответственное отношение к документам — необходимо хранить документы в надежных местах, а в случае их кражи незамедлительно сообщать в правоохранительные органы. Наличие заявления о потере или о краже будет дополнительным аргументов в случае судебного разбирательства по неправомерному выпуску ЭП и совершению значимых действий с ней. Доказательством того, что пострадавшее лицо не заполняло заявки на получение электронной подписи, будет графологическая экспертиза подписи.

3.2. Получение электронной подписи по поддельным документам и доверенности — регламент рынка электронной подписи подразумевает обязательную личную явку при первичном получении ЭП, а при повторном выпуске забрать ее можно, предоставив копии необходимых документов и доверенность. Этим и могут воспользоваться мошенники, подделав бумаги.

3.3. Недобросовестность сотрудников удостоверяющих центров — как и в любой системе, будь то правоохранительная, судебная или любая другая, ее рядовые пользователи зависят от тех, кто наделен полномочиями. Вот он наиболее негативный человеческий фактор — беззащитность перед находящимся «внутри» преступником. При подобных проникновениях любая система выходит из равновесия, и одна из самых надежных и легко приводимых в норму — это система выпуска электронной подписи.

Нейтрализация схем 3.2. и 3.3.:

— ответственное выполнение сотрудниками УЦ своих обязанностей — в этих случаях предотвращение возможно только внутри удостоверяющих центров при помощи слаженной работы менеджеров, выпускающих ЭП, служб информационной безопасности, подбора персонала и коллег потенциального злоумышленника, что и происходит на современном рынке ЭП. Но это по-прежнему не исключает человеческого фактора на 100%.

Но почему же эта система одна из самых надежных и легко приводимых в норму?

Во-первых, потому что удостоверяющие центры ввиду своей материальной ответственности крайне внимательно относятся к проверке документов заявителей, таким образом, минимизируя риски.

Во-вторых, существует внешняя система контроля деятельности удостоверяющих центров, выстроенная государственными структурами. Для начала деятельности УЦ должны получить лицензию ФСБ России, которая подтвердит их соответствие строгим требованиям службы. В случае если удостоверяющие центры планируют выпускать квалифицированную электронную подпись, то они также обязаны пройти аккредитацию при Минкомсвязи. УЦ, которые заинтересованы в работоспособности выпущенных ЭП во всем информационном пространстве страны, также проходят процесс авторизации при Ассоциации Электронных Торговых Площадок. Помимо этих стартовых процедур ФСБ, Минкомсвязи и АЭТП проводят ежегодные проверки деятельности удостоверяющих центров.

В-третьих, высокое качество персонала УЦ, например, чтобы получить лицензию ФСБ, в штате обязательно должны быть специалисты с профильным высшим образованием или окончившие 500-часовые курсы дополнительной подготовки. Отбор сотрудников удостоверяющих центров строгий, требуется специализация на соответствующем виде деятельности, заработные платы конкурентоспособны. Все это также является сдерживающими факторами, ведь решение поставить все на кон ради однократного преступного обогащения, которое в любом случае будет раскрыто, совсем не соответствует психологическому портрету высококлассного специалиста.

Предложение по улучшению системы выдачи ЭП от портала iEcp.ru: на текущий момент проверка предоставляемых заявителями документов проводится силами сотрудников УЦ. СМЭВ и ЕСИА могут оптимизировать эту работу. Напомним, что СМЭВ — это система межведомственного взаимодействия, в которой циркулируют документы россиян между государственными структурами (МВД, ФНС и т.д.); ЕСИА — это единая система идентификации и аутентификации, которая является частью СМЭВ, с ее помощью можно подтверждать свою личность в различных структурах (банки, удостоверяющие центры и т.д.). Таким образом, предоставление удостоверяющим центрам расширенного доступа к ЕСИА позволит еще быстрее и точнее подтверждать личность заявителей и проверять документы.

Читать еще:  Экспресс-оценка рисков

Бонус: Схемы-«единороги»

Добавим пару слов о несуществующих схемах, которыми могут пугать новичков мира электронной подписи.

1) ЭП могут скопировать с подписанного электронного документа.

Комментарий редакции портала iEcp.ru: нет, не могут.

2) Теория заговора удостоверяющих центров, которые используют электронные подписи своих клиентов.

Комментарий редакции портала iEcp.ru: выше уже была приведена аргументация, почему это не так.

3) Закрытый ключ ЭП могут подобрать с помощью открытого, что позволит мошенникам использовать подпись.

Комментарий редакции портала iEcp.ru: длинна ключа составляет 256 бит и, на самом деле, закрытый ключ можно рассекретить методом подбора, используя открытый ключ, но мощности современной вычислительной техники, включая суперкомпьютеры, не позволят этого сделать раньше, чем закончится срок действия ЭП.

Комфортной Вам работы с электронной подписью. А если остались вопросы, то специалисты портала iEcp.ru готовы на них ответить в соответствующей рубрике.

Upd. от 08.07.2019: Рекомендуем также ознакомиться со статьей портала iEcp.ru ««Самооборона» на рынке электронной подписи: как противостоять мошенникам».

Читайте также:

Сверхоперативный выпуск сертификатов ЭП в УЦ ПРОФИ Менеджер

Предлагаем Вам воспользоваться функционалом аккредитованного Удостоверяющего центра ПРОФИ Менеджер для выдачи квалифицированных сертификатов ключей проверки электронной подписи по требованиям ФЗ от 06.04.2011 №63 «Об электронной подписи».

Носитель ключа электронной подписи

При обращении в Удостоверяющий центр руководитель организации получает комплекс программных средств для создания ЭЦП, записанный на специальный носитель ключа электронной подписи. В настоящее время в этом качестве используются USB-устройство (eToken) и смарт-карта.

Какая информация записана на носителе

Система заверки и защиты электронных документов основана на следующем принципе. С помощью специальной программы шифрования отправителем формируется закрытый ключ ЭЦП — это уникальный набор символов, который никогда не повторяется. На основе закрытого ключа создается парный для него открытый ключ ЭЦП. С его помощью программа зашифровывает письмо, а получатель — проверяет наличие подписи, расшифровывает и прочитывает его. Таким образом, ключ проверки электронной подписи это открытый ключ, доступный всем пользователям системы электронного документооборота.

Право на передачу данных по системе ЭДО получает только пользователь, который в законном порядке приобрел ЭЦП в Удостоверяющем центре (УЦ). При этом он получает защищенный физический носитель, называемый eToken, который вставляется в любое устройство с USB-разъемом. Устройство имеет свою встроенную память, в которую записывается:

  • закрытый ключ для создания уникальной подписи отправителем;
  • открытый ключ партнера для шифрования передаваемого документа и проверки получаемых от него писем;
  • сертификат ключа проверки ЭЦП — файл, созданный УЦ, и подтверждающий принадлежность средства ЭП владельцу сертификата.

Таким образом, носитель ключа электронной подписи — это аппаратное средство, которое работает автономно от компьютера, и хранит все нужные для работы ЭЦП программы и сведения. Их нельзя переписать на другое устройство, а попытка взломать устройство физически заканчивается потерей информации. Его можно только потерять. Смарт-карта еще лучше защищает средства электронной подписи от взлома, но используется реже, так для ее использования требуется специальный считыватель.

Как получить ключ электронной подписи

Средства ЭЦП для обмена документами с государственными органами можно приобрести на платной основе только в аккредитованном УЦ. На сайте каждого из них можно найти информацию, как получить ключ электронной подписи. Как правило, для этого требуются лишь паспорт руководителя, и его СНИЛС. После оплаты услуги, заявитель получит на руки носитель ключа электронной подписи, инструкцию о том, как установить ключ ЭЦП, и сертификат в бумажной форме.

Для работы с ФНС, другими госорганами, владелец должен получить в УЦ на основании заявления ключ проверки электронной подписи — это, соответственно, открытый ключ организации, с которой он намерен обмениваться документами. Открытые ключи организаций и предпринимателей Удостоверяющий центр вносит в реестр, который предоставляет в пользование ФНС и другим организациям.

Компрометация ключа электронной подписи

Закрытый, или секретный ключ, должен храниться только у владельца. Он выполняет две функции:

  • формирует электронную подпись;
  • расшифровывает полученный файл.

При его утере, или краже, невозможно прочитать присланные документы. Если подобное все же случилось, или появилось подозрение, что ключ взломан (обнаруживается при запуске программы проверки подписи при получении документа), то ключ использовать больше нельзя.

Таким образом, компрометация ключа электронной подписи это факт доступа к ключу посторонних лиц, либо подозрение на возможность такого события. При его наступлении владелец ЭП должен уведомить Удостоверяющий центр, который внесет его в специальный список и отзовет сертификат. Подпись, созданная после этого момента, считается юридически недействительной.

Сертификат ключа электронной подписи

Электронная подпись — эффективное решение для электронного документооборота между физическими лицами, организациями, государственными структурами, позволяющее обмениваться защищенными данными через Интернет.

Для того чтобы начать пользоваться электронной подписью (подписывать документы, сдавать отчетность, участвовать в электронных торгах), необходимо получить сертификат электронной подписи в одном из удостоверяющих центров.

Состав сертификата ключа электронной подписи

Сертификат электронной подписи подтверждает принадлежность электронной подписи владельцу и содержит:

  • закрытый ключ — для генерации электронных подписей;
  • открытый ключ — для проверки подлинности подписи получателем;
  • сведения о владельце — для проверки получателем информации об авторе документа.

Для соблюдения правил информационной безопасности срок действия сертификата ограничен. Сертификат выдается владельцу не менее, чем на год, по истечении этого срока его необходимо перевыпустить.

Процесс работы удостоверяющего центра по перевыпуску сертификата занимает 1 сутки. С учетом необходимости формирования заявления и заполнения документов мы рекомендуем позаботиться об этом заранее и обратиться в удостоверяющий центр за несколько рабочих дней до истечения срока действия сертификата, чтобы вы внезапно не остались без электронной подписи.

Что нужно знать о сертификате ключа проверки электронной подписи

Термин «открытый ключ» или «сертификат ключа проверки» означает, что этот документ содержит необходимые данные о владельце закрытого ключа электронной подписи. За достоверность данных, содержащихся в открытом ключе, отвечает удостоверяющий центр.

В сертификате ключа проверки электронной подписи обязательно присутствуют сведения о названии средства электронной подписи, названии удостоверяющего центра, выпустившего сертификат, сроки начала и окончания действия сертификата, а также сведения о владельце электронной подписи.

Также сертификат ключа проверки электронной подписи может содержать сведения об области своего применения, дополнительную информацию о владельце и издателе сертификата, адрес службы штампов времени, адрес службы актуальных статусов сертификатов и другие сведения.

Сертификат ключа проверки электронной подписи является экспортируемым. Например, в соответствии с требованиями электронной торговой площадки может понадобиться выгрузка открытого ключа сертификата для осуществления проверки на возможность корректного применения сертификата. Если электронную подпись Ваша организация хранит на обычной флешкарте, то в корне носителя должен быть файл с расширением .cer — сертификат безопасности.

Экспорт открытого ключа возможен в том случае, если ЭП уже установлена на рабочем месте пользователя. Если ЭП на компьютере пользователя еще не установлена, ее необходимо установить, воспользовавшись инструкциями, которые есть в открытом доступе.

Экспорт открытого ключа можно выполнить самостоятельно по инструкции. Если экспортировать сертификат не удалось, то для получения файла открытого ключа следует обратиться в службу технической поддержки удостоверяющего центра, указав ИНН и КПП организации.

Что нужно знать о закрытом ключе сертификата

Если стороннему лицу открыт доступ к закрытому ключу вашей электронной подписи, последний может использовать её от вашего имени, что аналогично подделке подписи на бумажном документе. Поэтому необходимо обеспечить высокий уровень защиты закрытого ключа.

Наиболее распространенный вариант хранения закрытого ключа – на стационарном компьютере. В некоторых системах электронного документооборота реализована возможность использования хранилищ, например Рутокен, еТокен, Джакарта.

Это защищенное хранилище ключей в виде USB-брелоков и smart-карт, доступ к которому предоставляется только по pin-коду. При вводе неверного pin-кода более 3 раз хранилище блокируется, предотвращая попытки доступа к ключу путем подбора значения pin-кода. Все операции с ключом производятся в памяти хранилища, таким образом, исключается перехват ключа из оперативной памяти.

Использование специализированных хранилищ предполагает дополнительные расходы, но при этом значительно увеличивается уровень безопасности вашего ключа и электронного документооборота в целом. Поэтому эксперты рекомендуют использовать подобные устройства в работе, но окончательный выбор, конечно, всегда остается за вами.

Виды сертификата ключа электронной подписи

Существуют различные виды сертификата электронной подписи. Участники электронного документооборота вправе использовать электронную подпись в любом количестве и любого вида по своему усмотрению, если законодательство РФ не закрепляет использование конкретного вида подписи для конкретной задачи.

Каталог сертификатов

Электронная подпись для торгов

  • Сбербанк-АСТ
  • ЕЭТП
  • ОСЭТ Zakaz RF
  • ММВБ «Госзакупки»
  • РТС «Тендер»

Квалифицированная электронная подпись

  • Закупки и торги по 223-ФЗ
  • Портал госуслуг
  • ООО Zakupki.gov.ru
  • ЕФРСБ и ЕФРСДФЮЛ
  • Электронные торги

Квалифицированная электронная подпись для ЕГАИС

  • 5 площадок Госзаказа
  • Закупки и торги по 223-ФЗ
  • Электронные торги
  • Портал госуслуг
  • ЕФРСБ и ЕФРСДФЮЛ

Электронная подпись 3.0

  • 5 площадок Госзаказа
  • Закупки и торги по 223-ФЗ
  • Электронные торги
  • Портал госуслуг
  • ЕФРСБ и ЕФРСДФЮЛ

Выбор вида сертификата электронной подписи зависит от задач, которые необходимо решать с ее помощью.

Так, например, выдвигаются требования к выбору электронной подписи при работе с бухгалтерскими первичными документами: электронный счет-фактура является документом основанием для вычета сумм НДС только в том случае, если он подписан квалифицированной электронной подписью. Для сдачи отчетности в государственные органы потребуется использование усиленной квалифицированной электронной подписи.

В уже выпущенный сертификат нельзя добавить новые области применения. Для расширения области применения требуется получить новый соответствующий сертификат.

Приостановление действия или повреждение сертификата электронной подписи

Есть ряд объективных причин, по которым владельцу ключа следует принять решение отозвать или аннулировать свой сертификат:

  • Увольнение работника, на которого была оформлена подпись.
  • Изменение данных о пользователе сертификата.
  • Утеря ключа, его кража, иная компрометация.
  • Поломка носителя цифровой криптографической подписи, обнаружение в нем ошибок.
  • Отсутствие необходимости в электронном документообороте ближайшее время.

В случае собственного желания пользователем должна быть обязательно подана заявка на аннулирование сертификата ключа подписи. Без нее прекращение действия подписи невозможно. В случае истечения срока ключа никакое заявление на аннулирование электронной подписи не требуется. Удостоверяющий центр самостоятельно аннулирует сертификат.

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector