Согласно правилу Керкгоффса, надежность ЭЦП обеспечивается тайной исключительно исходных
данных (секретного ключа), а не принципов работы самой системы. Используемые алгоритмы не просто известны, а детально
документированы для предоставления возможности анализа криптографической стойкости и ее своевременного
улучшения.
Для пока еще традиционного бумажного документооборота в свое время потребовалось создать
государственную систему, обеспечивающую регистрацию образцов собственноручных подписей, печатей, их учет и возможность
криминалистической экспертизы (кстати говоря, посредственной) в спорных случаях. Аналогичная по функциям, но более
простая по исполнению система создана для электронной цифровой подписи. Ее ключевым звеном является Удостоверяющий Центр
(УЦ). Это уполномоченная организация, осуществляющая регистрацию, выдачу и обеспечивающая техническую возможность
использования ЭЦП. По желанию клиента УЦ может также предложить услугу ответственного хранения копии секретного ключа.
На мой типично параноидальный взгляд, такой договор стоит заключать лишь в том случае, если вы не планируете
использовать функцию шифрования и сомневаетесь в возможности самостоятельно сделать резервную копию.
Каждому
клиенту УЦ выдает сертификат ключа подписи для подтверждения подлинности его ЭЦП. Сертификат может быть как распечатан
на бумаге, так и передан в виде подписанного УЦ файла. В обоих случаях он содержит (помимо массы других данных)
заверенный образец открытого ключа. Именно эта мера и позволяет однозначно сопоставить цифровую подпись ее конкретному
владельцу.
В соответствии с упомянутым законом ЭЦП приравнена к собственноручной подписи, а согласно статье 19
того же закона, может заменять и печать. Она позволяет подписывать налоговые отчеты (и затем передавать их по
электронной почте), осуществлять удаленное взаимодействие в системах "клиент-банк", участвовать в электронных
торгах [См. Федеральный закон № 94-ФЗ от 21 июля 2005 года "О размещении заказов на поставки товаров, выполнение
работ, оказание услуг для государственных и муниципальных нужд"], получать и размещать заказы через Интернет,
подписывать любые юридические значимые документы без их распечатывания на бумаге.
Как всегда, человеческий фактор
вносит свои коррективы, а недостаточно продуманные организационные вопросы препятствуют распространению новых благ.
Несмотря на восьмилетнюю практику использования ЭЦП, до сих пор понятие цифровой подписи порой трактуется превратно. К
примеру, две крупные организации недавно подписали контракт на приличную сумму, выслав друг другу вордовские файлы со
вставленными в них картинками. На картинках были… да, именно - отсканированные варианты бумажной подписи. Стоит ли
говорить, что никакой юридической силы такой контракт не имеет? При этом как минимум одна из фирм в то же самое время
отсылала отчетность в пенсионный фонд, используя настоящую ЭЦП. Видимо, эти два процесса осуществлялись без понимания
сути, и связь между ними не улавливалась.
Более частый пример - невозможность использования ЭЦП из-за того, что
уволился сотрудник, на чье имя она регистрировалась. Аналогично регистрации доменов процедура получения ЭЦП практически
не контролируется внутри организации. В результате владельцами важных для компании нематериальных ценностей становятся
некогда свои, а теперь посторонние люди. Всплывают такие факты, как правило, при очередном требовании подтвердить свои
права. Часто они сопровождаются упущенной выгодой и всегда - дополнительными расходами.
Одной из причин трудностей
практического применения ЭЦП было отсутствие возможности подтвердить время подписания документа. Ведь согласно ст. 4
упомянутого закона, факт действительности подписи на момент подписания и проверки должен устанавливаться однозначно. В
доработанном стандарте применения ЭЦП используются штампы времени. В момент подписания документа к нему (в качестве
неотъемлемой части исходных данных) добавляется информация о времени и дате подписания.
Хоть юридически руки у
пользователей давно развязаны, недостаточная осведомленность об ЭЦП тоже сдерживает ее распространение. Ведь для
эффективного взаимодействия ее должны использовать все заинтересованные стороны. Если же фирма А заверяет документ
цифровой подписью, а в фирме B до сих пор принято только бумажное делопроизводство, они не смогут быстрее
взаимодействовать друг с другом.
