Повна версія

Головна arrow Головна

  • Увеличить шрифт
  • Уменьшить шрифт


<<   ЗМІСТ   >>

-контроль

Різновид хеширования - алгоритм обчислення контрольної суми, або CRC (англ. Cyclic Redundancy Code - циклічний надлишковий код). Найбільш широко CRC-контроль застосовується для перевірки цілісності переданих або перетворюються інформаційних об'єктів. Наприклад, файл A.doc передається з одного комп'ютера на інший не цілком, а частинами. І відправник, і одержувач повинні бути впевнені, що з отриманих окремо частин буде "зібраний, відтворений" саме файл Adoc без спотворень. Нагадаємо, що в комп'ютері і в мережі все інформаційні об'єкти представлені двійковими послідовностями (бітовими рядками). Втрата або зміна одного біта може бути фатальною. Змінений файл або не запуститься, не відчиняться, або його вміст буде спотворено.

Аналогічна проблема виникає при архівації. При виконанні перетворень А.dос → A.zip → А.dос (файл архівується, архів зберігається або передається, в необхідний момент документ треба витягти, прочитати) у користувачів також повинна бути впевненість в цілісності розпакованих (розархівувати) об'єктів.

Для вирішення проблеми до інформаційного об'єкту додається так звана контрольна сума, або CRC. Схема перетворень при архівації / розархівуванні виглядає наступним чином:

A .doc + CRC → A.zip → A.doc + CRC

Наявність надлишкової інформації (CRC) в архіві дозволяє після розпакування файлу Adoc підрахувати для нього нову контрольну суму CRC1 і переконатися, що вона збігається з вихідною, отриманої до архівування CRC = CRC1. В цьому випадку можна впевнено сказати, що файл A.doc витягнутий з архіву без спотворень.

Однак виникає парадокс: архівуючи файл A.doc, ми зменшуємо його обсяг за рахунок усунення надмірності в ньому самому. І в той же час додаємо в архів надлишкову, що здається зайвою інформацію - CRC. Парадокс ще й у тому, що саме значення CRC не повинно постраждати при додаванні в архів і при вилученні з нього, тобто його правильність, цілісність теж дуже важливі. А хто це проконтролює? Ця важлива обов'язок покладено па сам CRC, адже недарма в його назву входить слово надлишковий. Алгоритм обчислення CRC для конкретного інформаційного об'єкта враховує можливість спотворення самого CRC при перетвореннях або при передачі по мережі. У CRC вводиться надлишкова додаткова інформація, яка дозволяє програмі створення та читання контрольних сум визначити наявність спотворення, помилки в коді.

Найбільш часто зустрічаються алгоритми обчислення контрольних сум CRC16 і CRC32 відрізняються довжиною формованої двійковій послідовності.

В операціях читання і запису інформації на носії (диски, CD-ROM, DVD) застосовують ще більш складні надлишкові коди, здатні не тільки повідомити про наявність в них помилки, але і скорегувати, виправити їх.

Електронний підпис

Відповідно до ст. 2 п. 1 Федерального закону від 6 квітня 2011 року № 63-Φ3 "Про електронний підпис": електронний підпис (ЕП) - інформація в електронній формі, яка приєднана до іншої інформації в електронній формі (підписується інформації) або іншим чином пов'язана з такою інформацією і яка використовується для визначення особи, яка підписує інформацію.

У ст. 2 п. 11.1 Закону № 149-ФЗ "Про інформацію, інформаційні технології і про захист інформації" визначено поняття електронний документ - це документована інформація, представлена в електронній формі, тобто у вигляді, придатному для сприйняття людиною з використанням електронних обчислювальних машин, а також для передачі по інформаційно-телекомунікаційних мереж або обробки в інформаційних системах.

У ст. 5 п. 1 Федерального закону № 63-Φ3 "Про електронний підпис" визначені три види ЕП: "Видами електронних підписів, відносини в галузі використання яких регулюються цим Законом, є проста електронний підпис і посилена електронний підпис. Розрізняються посилена некваліфікована електронний підпис ( далі - некваліфікована електронний підпис) і посилена кваліфікована електронний підпис (далі - кваліфікована електронний підпис) ".

Проста ЕП - електронний підпис, який за допомогою використання кодів, паролів або інших засобів підтверджує факт формування електронного підпису певною особою. Отже, ідентифікація певної особи, який встановив на документи або сервіси парольний захист, може спричинити в разі порушення законодавства Росії відповідальність цієї особи за законом.

Некваліфікованої ЕП є електронний підпис, який:

  • 1) отримана за результатом криптографічного перетворення інформації з використанням ключа електронного підпису;
  • 2) дозволяє визначити особу, яка підписала електронний документ;
  • 3) дозволяє виявити факт внесення змін до електронний документ після моменту його підписання;
  • 4) створюється з використанням засобів електронного підпису. У даній підписи обов'язково наявність ключа ЕП (ст. 2 і. 5 Федерального закону № 63-Φ3 "Про електронний підпис": "ключ електронного підпису - унікальна послідовність символів, призначена для створення електронного підпису"). Принциповим моментом є випливає з ст. 5 юридичну і технічну відмінність понять "пароль" і "ключ".

Кваліфікована ЕП - електронний підпис, який відповідає всім ознакам некваліфікованої електронного підпису і наступним додатковим ознаками:

  • 1) ключ перевірки електронного підпису вказано в кваліфікованому сертифікаті;
  • 2) для створення і перевірки електронного підпису використовуються засоби електронного підпису, що одержали підтвердження відповідності вимогам, встановленим відповідно до Федерального закону № 63-Φ3 "Про електронний підпис".

Принципові відмінності кваліфікованої ЕП від інших видів підписи чітко прописані в законі. Саме цей підпис повинна видаватися уповноваженим органом, що видає кваліфікаційний сертифікат, і використовуватися для захисту інформації обмеженого доступу, включаючи державну таємницю.

Для створення ЕП використовується один з різновидів несиметричного шифрування, але вміст документа не шифрується. Несиметричне шифрування застосовується для створення тимчасового зліпка з документа - хешу. Він додається до вхідного документа (момент підписання), і цей отриманий документ передається по мережі. При його одержанні користувач за допомогою спеціальної програми та відомого йому відкритого ключа несиметричного шифрування виділяє з отриманого повідомлення хеш, переконуючись, що повідомлення отримано з достовірного джерела і не піддалося зміні або розкриття в процесі передачі.

Ще раз відзначимо головну особливість хеширования, або ЕП, вихідний документ це перетворення не змінює (не шифрується, що не робить нечитабельним), тільки додає новий зазвичай прихований реквізит, який створюється з використанням несиметричного шифрування. Але реквізит дуже чутливий до найменших змін в документі. Досить змінити хоч один символ в документі, або змінити один з існуючих реквізитів документа, або просто відкрити (почитати) його, і ЕП (хеш) документа вже буде інший.

Крім власне вмісту документа, в хеш "потрапляють" і властивості файлу з документом (ім'я, тип, обсяг, атрибути, дата створення, дата останнього зміни, дата останнього відкриття, властивості власне документа).

У формі ЕП маємо унікальне технічне засіб, легко реалізоване на програмному (або програмно-апаратному) рівні, що дозволяє зафіксувати найменші зміни в "підписаному" повідомленні. Чи можемо ми використовувати цей засіб в юридичній практиці, чи маємо для цього законні підстави?

Звернемося до гл. 28 "Укладення договору" Цивільного кодексу РФ (в ред. Від 23 липня 2013). Що говориться в ній про допустимість електронної форми угоди і застосовності ЕП в якості заміни власноручного підпису? Стаття 434 ЦК України "Форма договору" і. 1 говорить: "Договір може бути укладений у будь-якій формі, передбаченої для здійснення угод, якщо законом для договорів даного виду не встановлена певна форма". Там же, в п. 2 говориться: "... договір в письмовій формі може бути укладений шляхом складання одного документа, підписаного сторонами, а також шляхом обміну документами за допомогою поштового, телеграфного, телетайпного, телефонного, електронного чи іншого зв'язку, що дозволяє достовірно встановити , що документ виходить від сторони за договором ". У ст. 160 ГК РФ "Письмова форма угоди" п. 2 говориться: "Використання при вчиненні правочинів факсимільного відтворення підпису за допомогою засобів механічного або іншого копіювання, електронно-цифрового підпису або іншого аналога власноручного підпису допускається у випадках і в порядку, передбачених законом, іншими правовими актами або угодою сторін ".

Що передбачає Федеральний закон № 63-Φ3 "Про електронний підпис" в ст. 1 п. 1? "Цей Закон регулює відносини у сфері використання електронних підписів при здійсненні цивільно-правових угод, надання державних та муніципальних послуг, виконанні державних і муніципальних функцій, при здійсненні інших юридично значимих дій, в тому числі у випадках, встановлених іншими федеральними законами". Отже, маємо законні підстави для практичного застосування ЕП.

Як приклад застосування ЕП розглянемо процес нотаріального завірення документа.

Відповідно до ГОСТ Р5114-98 "Діловодство і архівна справа. Терміни та визначення" (затверджений Держстандартом 27 лютого 1998 № 28) "копія документа - це документ, повністю відтворює інформацію підписаного документа і всі його зовнішні ознаки або їх частину". Там же, "завірена копія - це копія документа, на який відповідно до встановленого порядку проставляють необхідні реквізити, що надають їй юридичну силу".

Розглянемо звичайну нотаріальну схему запевнення документа (рис. 11.11, а).

Клієнт (КЛ) надає нотаріусу (НТ) оригінальний документ (ДТ), копію документа для завірення (КД) і свої персональні дані (ПД). Нотаріус пред'являє клієнту ліцензію (ЛЦ), засвідчує копію документа (ЗК) і вносить запис про завірення в реєстр (PC).

Нотаріус перевіряє тільки юридичну силу оригінального документа (ДТ) і на цій підставі запевняє (засвідчує) копію. Відповідальності за можливі помилки в змісті ДТ він не несе.

Подібна схема придатна для запевнення тільки десятка документів на годину. Для автоматизованих інформаційних

Нотаріальні схеми запевнення документа

Мал. 11.11. Нотаріальні схеми запевнення документа:

а - звичайна; б - з ЕП

них систем (до десятків тисяч банківських операцій на годину) вона не придатна. На допомогу приходить ЕП (рис. 11.11,6).

Клієнти (Кл1 і Кл2) обмінюються документами (ДТ), підписаними ЕП. Для підписання і прочитання ЕП у них повинні бути відповідні ключі і єдині програмні (або програмно-апаратні) засоби для здійснення цих операцій. Ця єдність і унікальність кожної пари відкритий - закритий ключі забезпечує засвідчує центр (УЦ). Так, УЦ видає кожному клієнту сертифікат ключа підпису (СК) і з ним відкритий ключ, сертифікат коштів ЕП (СС) і закритий ключ (особисто). При отриманні повідомлення, підписаного ЕП, клієнт (наприклад, Кл2) звертається в УЦ за отриманням відкритого ключа клієнта Кл1 і підтвердження про дійсності сертифікатів, виданих клієнту Кл1. Тепер клієнт Кл2 може прочитати ЕП в надісланому повідомленні і бути впевненим, що воно прийшло саме від клієнта Кл1 і в процесі "подорожі" документ не піддавався зміні або прочитання.

Особливості застосування ЕП. Клієнти Кл 1 і Кл2 можуть перебувати в різних регіонах країни і користуватися послугами різних центрів, що засвідчують. Для забезпечення використання коштів ЕП всі регіональні центри повинні забезпечувати 24-годинну безперервну зв'язок не тільки з клієнтами, але і між собою. Крім того, повинен існувати головний державний засвідчує центр, який забезпечує єдність використовуваних засобів ЕП в різних регіонах і засвідчує статус регіональних центрів.

Потенційно державна система використання ЕП повинна бути розрахована на повністю автоматичне (без участі людини) функціонування. Застосування ключів (підписання або читання ЕП), перевірка справжності і дійсності сертифікатів повинні відбуватися повністю незалежно від людини, інакше швидкість обміну електронними повідомленнями зробиться настільки низькою, що використання автоматизованої інформаційної системи стане економічно неефективним.

Застосування ЕП в ряді випадків обмежується відсутністю правового статусу електронного документа. Це стосується випадків зберігання документів (в законі йдеться лише про електронні повідомлення, тобто тільки про передачу інформації).

Залежно від форми документообігу використовуються різні види ЕП.

Розглянута вище схема відповідає застосуванню ЕП при обміні електронними повідомленнями з інформаційно-телекомунікаційної мережі. У цих випадках ЕП передається разом з підписаних повідомленням.

При зберіганні електронних документів доцільніше ЕП зберігати окремо на особливо захищеному окремому комп'ютері у вигляді окремого документа (він зазвичай називається хеш-лист) або в спеціальній базі даних. Інакше документ разом з ЕП можна буде викрасти і підмінити зовсім іншим документом, але теж містить свою ЕП. Окреме зберігання ЕП застосовується банками при підтримці електронних рахунків клієнтів. При кожному зверненні до збереженого електронного рахунку автоматично створиться (обчислюється) його хеш, який порівнюється зі значенням, збереженим в хеш-листі. Якщо обидва хешу збігаються, то операція клієнту дозволяється. В іншому випадку виконання операції припиняється або переводиться в ручний (через офіс банку) режим, так як розбіжність хешів свідчить про несанкціонований доступ до електронного рахунку клієнта.

Нанесення хешу (ЕП) на графічний об'єкт виконується встраиванием хешу всередину файлу. Подібне застосування ЕП називають цифровими водяними знаками. Якщо картинка невеликого розміру, то одержуваний для неї хеш теж невеликий і може бути розміщений в описовій частині файлу. У цих випадках підписання відбувається без спотворення самого графічного об'єкта. У більш складних випадках водяні знаки доводиться вбудовувати всередину самої картинки, вносячи при цьому дуже незначні які не сприймаються очима людини спотворення.

 
<<   ЗМІСТ   >>