ЭЦП VS ЭП

Вместо введения

В начале апреля 2011 года вступил в силу Федеральный закон №63-ФЗ «Об электронной подписи». И всё бы ничего, но ещё 10 января 2002 был принят закон с очень похожим названием – «Об электронной цифровой подписи». Вроде бы и сейчас всё хорошо, но вот только последний признаётся утратившим силу только с 1 июля 2012. А если учесть, что области действия законов очень близки (если не сказать, одинаковы), получаем 14 месяцев «двоевластия». Вот теперь картина во всей красе – попробуем разобраться, что же к чему, и как старое соотносится с новым.

Как было

Как говорится в первой статье первого закона далекого второго года третьего тысячелетия (ну и завернул), его целью является «обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе». Ни больше, ни меньше. Под электронным документом в данном случаем понимается «документ, в котором информация представлена в электронно-цифровой форме». Так же стоит отметить, что термин «электронная цифровая подпись», или «цифровая подпись», или «digital signature» является общепринятым и понимается везде одинаково – это некий набор данных, полученный в результате криптографического преобразования подписываемой информации с использованием закрытого ключа ЭЦП, который позволяет идентифицировать владельца сертификата и определить наличие изменений в документе (объекте информационной системы в общем случае) после подписания. Примерно так же он определяется и в «старом» законе (будем так называть закон 2002 года) с той лишь разницей, что там ЭЦП является реквизитом, предназначенным «для защиты данного электронного документа от подделки». Корректность этого утверждения можно оспорить, ведь сама подпись ничего не защищает – она лишь предоставляет средства контроля, но не будем заострять на  этом внимание. Не будем так же касаться юридических тонкостей – об этом за 10 лет написано немало. Закон разобран по косточкам, найдены и взвешены все его плюсы и минусы, недочёты и недостатки. В любом случае, он заполнял тот правовой вакуум, который царил в области электронного документооборота. Далее, в обязательном порядке должен присутствовать удостоверяющий центр, который будет гарантом действительности сертификатов ключей подписи. В зависимости от того, где будет использоваться ЭЦП (в системе общего пользования или корпоративной информационной системе), он должен соответствовать требованиям законодательства (Закон Об ЭЦП, О лицензировании отдельных видов деятельности и др.) или решению владельца корпоративной информационной системы (её участников).

Итак, что мы имеем в итоге на основании Закона «Об электронной цифровой подписи»? При соблюдении необходимых условий электронный документ с ЭЦП признаётся равнозначным бумажному документу с собственноручной подписью. Подпись формируется только на основе криптографических преобразований с использованием закрытого ключа (читай, на основе асимметричного шифрования, хотя строго это нигде не указано). В обязательном порядке необходим удостоверяющий центр; сертификация средств ЭЦП – в зависимости от того, является ли информационная система системой общего пользования. С технологической стороны – полное соответствие «классическому» понятию ЭЦП.

Как стало

Сферой действия «нового» закона является регулирование отношений в области использования электронных подписей (ЭП, но не ЭЦП) при совершении различных сделок и других юридически значимых действий. Чувствуете разницу? Ни слова об электронных документах, по крайней мере, пока. Так что же такое электронная подпись? Как гласит Закон, «электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию». Отныне, а точнее, с момента вступления «нового» закона в силу, с помощью ЭП мы можем подтверждать не только авторство документов, но и выражать своё согласие с чем-либо (например, документ создаётся автоматически после ввода нами данных, то есть подписать мы его не можем, а электронная подпись связывается именно с этими введёнными данными). Описанная ситуация, в частности, была одной из причин введения нового понятия. Кроме этого, вводятся виды электронной подписи – простая и две усиленных: квалифицированная и не квалифицированная.

Простая ЭП – это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Под этот вид можно подвести так же метки голосом, подпись с помощью светового пера, подпись чего – либо своим ник-неймом  и так далее. Вот уж действительно, свобода творчества и изобретательности. Из функций ЭЦП здесь выполняется лишь одна – подтверждение авторства. Следовательно, «старая» ЭЦП не может стать «новой» простой ЭП.

ЭП будет усиленной неквалифицированной, если она:

• получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
• позволяет определить лицо, подписавшее электронный документ;
• позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
• создается с использованием средств электронной подписи.

Технически, усиленная квалифицированная ЭП – тоже, что и неквалифицированная, но к ней дополнительно предъявляются следующие требования:

• ключ проверки электронной подписи указан в квалифицированном сертификате;
• для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

И вот здесь на лицах наших появляется улыбка, потому что видим мы уже знакомые нам признаки ЭЦП. Введённое требование на использование средств электронной подписи становится необходимым, так как ЭП (в отличии от ЭЦП) не подразумевает их использование по умолчанию, а требования к квалифицированной ЭП в терминах «старого» закона будут звучать как использование сертифицированных средств электронной цифровой подписи и соответствие удостоверяющего центра, выдавшего сертификат ключа, требованиям закона.

Кроме этого, в законе об ЭП гораздо шире описаны организационные вопросы (которые, в свою очередь, порождают новые вопросы), но мы посмотрим на заголовок статьи, и не будем их касаться.

Как теперь быть

Теперь стало более или менее понятно, как соотносить термины «старого» закона и «нового». Как выяснилось – ЭЦП теперь это усиленная ЭП. На данный момент, скорее всего, все, даже сформированные с помощью сертифицированных средств, подписи, на которые выданы сертификаты удостоверяющими центрами, соответствующими требованиям законодательства, будут являться неквалифицированными. Почему? Ну, например, давайте вспомним ГОСТ Р 34.10-2001. Ему должны соответствовать средства создания подписи. А называется он «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Подчеркну, Электронной Цифровой Подписи. Как минимум, нужен акт, предписывающий сертифицировать средства создания ЭП по ГОСТу для ЭЦП. Наверно, можно найти и другие проблемы. Именно поэтому сроки действия «нового» и «старого» законов «наложились» – новый механизм ещё не оформился в полной мере, а работать то как-то надо.

Но возвратимся к нашему вопросу. При правильном развитии событий все используемые сейчас в России механизмы ЭЦП разделятся на механизмы квалифицированных и неквалифицированных ЭП. Их можно будет использовать не только для подписания электронных документов, но и любой информации (с целью доказательства авторства в дальнейшем, например), причём это действие будет юридически значимым (естественно, при выполнении предписанных законодательством требований). Появление же простой ЭП наконец – то узаконивает использование паролей на различных порталах, выполнение различных действий по кодовым словам (как это делается у операторов сотовой связи, например) и снятие денег с карточки, с использованием пин-кода. Да-да, ввод последнего в банкомате тоже можно рассматривать как простую электронную подпись, а раз не было такого понятия, то и с точки зрения закона все деньги с вашей карты снимались без соответствующей юридической основы.

Вот такие дела… Надеюсь, что за оставшиеся полгода все пробелы (ну или, хотя бы, самые критичные) в нормативной базе касаемо ЭП будут заполнены. И мы, пользуясь ей, будем чувствовать себя уверенно и защищённо.