Леонид Волков,
заместитель генерального директора по Интернет-технологиям "СКБ Контур" (Екатеринбург)
volkov@skbkontur.ru

Источник: http://www.bytemag.ru/

День рождения закона об ЭЦП

Прошло больше года с того дня, когда законопроект "Об электронной цифровой подписи (ЭЦП)", после положенного числа чтений в Государственной Думе, был подписан Президентом Российской Федерации и стал Федеральным законом № 1-ФЗ от 10 января 2002 г. Самое время подводить некоторые итоги и снова попытаться осмыслить вопросы, возникающие в связи с принятием этого закона.

Первый год шествия закона об ЭЦП по стране трудно назвать победоносным - ведь фактически закон еще не работает. Но в то же время его появление, само по себе сопровождавшееся большим количеством обсуждений, толков и спекуляций, всколыхнуло мир систем электронного документооборота.

Многие вопросы, которые ранее приходилось так или иначе решать или обходить, снова были подняты именно в свете этого закона. В связи с некоторыми вопросами было заметно оживление и ожидание: может быть, теперь они решаются легче, чем раньше? В отношении других проблем, напротив, наблюдалось некоторое беспокойство: может быть, использовавшиеся ранее решения с вступлением в силу закона об ЭЦП больше не могут применяться? Авторы ряда статей предлагали пока оставить все как есть, выждать, пока вся инфраструктура, определенная законом, не будет развернута. С другой стороны, модными стали отсылки типа "система построена в соответствии с Федеральным законом об ЭЦП", при ближайшем рассмотрении означавшие все что угодно - от простого использования сертифицированных средств криптографической защиты информации (СКЗИ) до попытки эксплуатации удостоверяющего центра.

Так или иначе, никто, конечно, не сомневается в том, что внедрение систем безбумажного документооборота нужно и полезно, дает прямой материальный результат и делает удобнее повседневную работу. Очевидно также, что по-настоящему эффективно внедрять системы безбумажного документооборота можно только тогда, когда они становятся подлинно безбумажными, т. е. когда для идентификации автора документа в системе используется ЭЦП. Но, как нам кажется, множество вопросов, которые остаются без ответов или, наоборот, находят диаметрально противоположные решения, отпугивает потенциальных потребителей таких систем от того, чтобы реально отказаться от бумаги и личных контактов в рутине трудовой деятельности.

Ниже мы попытаемся осветить некоторые аспекты применения ЭЦП в системе безбумажного документооборота, опираясь на свой опыт разработки и внедрения подобных систем.

Значимость документов

Значимость бумажных документов обеспечивается наличием на них собственноручной подписи должностного лица и, возможно, печати организации (последнее не относится к внутрикорпоративному документообороту). Верно ли, что юридическая значимость электронных документов обеспечивается лишь наличием ЭЦП? Закон отвечает на этот вопрос положительно, но оговаривает, что открытый ключ ЭЦП должен быть надлежащим образом заверен в лицензированном центре сертификации, а средство ЭЦП, с помощью которого ставится подпись, должно быть сертифицировано ФАПСИ.

Напомним, что по положению, которое известно под названием ПКЗ-99 ("Положение о криптографической защите", приказ ФАПСИ № 158 от 23.03.1999) в корпоративных системах документооборота могут применяться и несертифицированные СКЗИ, и лишь если один из участников системы документооборота - государственный орган*, применение сертифицированных СКЗИ становится строго обязательным. На ПКЗ-99 часто ссылаются именно в вопросе о том, нужно ли использовать сертифицированные СКЗИ, подчас забывая о том, что средства ЭЦП и средства КЗИ (шифровальные средства) - вообще говоря, совершенно разные вещи.

Конечно, подавляющая часть представленных на рынке СКЗИ имеет такую функциональную возможность, как осуществление электронной подписи. Программы же, которые умеют только ставить ЭЦП, но не умеют выполнять шифрование, автору неизвестны. Но смешивать лишь на этом основании СКЗИ и средства ЭЦП ошибочно, поскольку их предназначение различно. СКЗИ обеспечивают защиту информации от несанкционированного доступа путем шифрования. Средства ЭЦП, напротив, этой задачи не решают, зато обеспечивают идентификацию автора документа и дают возможность проверить целостность документа (защищают его от позднейших вставок и искажений). Мы рассматриваем здесь системы, в которых необходима ЭЦП, вне зависимости от того, подлежит ли шифрованию обращающаяся в них информация. Тем не менее, поскольку в настоящее время все известные автору средства ЭЦП - это одновременно и СКЗИ, мы будем пользоваться популярной аббревиатурой СКЗИ для обозначения программного продукта, способного осуществлять те или иные криптографические преобразования, в том числе ставить ЭЦП.

Так что же говорят законодательные нормы по поводу необходимости именно сертифицированных средств ЭЦП? Практически ничего, и тому есть естественное объяснение. Электронная цифровая подпись еще до принятия закона весьма широко применялась в многочисленных клиент-банковских системах, в системах документооборота министерств и ведомств, на онлайновых торговых площадках и т. д. В этих системах эксплуатировались самые разнообразные средства ЭЦП - сертифицированные и несертифицированные, известных разработчиков и доморощенные, импортные и отечественные... В любом случае необходимость применения ЭЦП определялась участниками системы документооборота по добровольному соглашению. Для каждой системы, в которой ЭЦП выступала единственным средством заверения документов, создавался свой регламент, определяющий порядок генерации криптографических ключей, разбора конфликтных ситуаций, порядок подписи тех или иных документов и т. д. Ведь отсутствие закона об ЭЦП не делало применение ЭЦП незаконным. Просто сама по себе ЭЦП не являлась носителем юридической силы, и ее применение в любом случае оговаривалось специальным договором. А участники документооборота имеют право договориться о чем угодно: например, о том, чтобы использовать и признавать в качестве средства заверения документов ЭЦП. Более того, если стороны согласны считать это достаточным, то они могут вообще не использовать средств ЭЦП, а применять для проверки авторства и целостности документа, например, контрольную сумму или факт доступа по паролю. Все определяется согласованным уровнем доверия и безопасности в системе документооборота.

Собственно говоря, с этой точки зрения с принятием закона об ЭЦП мало что изменилось. И сейчас можно договориться о применении любой технологии установления авторства и/или целостности документов, особенно в рамках закрытой корпоративной системы, и это не будет никак противоречить закону об ЭЦП. Дело в том, что закон принципиально относится к другому кругу вопросов.

Закон об электронной цифровой подписи определяет условия, при которых ЭЦП является юридически значимым аналогом обычной подписи без каких-либо специальных договоренностей и условий. Условно говоря, когда закон об ЭЦП заработает, любой человек сможет, согласно этому закону, сгенерировать себе пару ключей, сертифицировать открытый ключ в лицензированном удостоверяющем центре, подписать с помощью сертифицированного ЭЦП электронную форму квитанции об уплате за детский садик... и справедливо полагать, что ему не могут отказать в приеме этой квитанции.

Но в настоящий момент в России нет ни одного лицензированного удостоверяющего центра. Несколько УЦ работают в режиме опытной эксплуатации, на основании имеющихся лицензий на распространение, техобслуживание СКЗИ и предоставление услуг в области шифрования. Однако ни одной лицензии на право осуществлять деятельность в качестве УЦ пока не выдано, за отсутствием Положения о лицензировании. Ни один юридически значимый "сам по себе" - без дополнительных договоренностей - подписанный электронный документ не был создан. Следовательно, пока что закон об ЭЦП реально не работает. Имеющиеся системы электронного документооборота как жили, так и живут - не вне закона, но в стороне от области его действия, а любые фразы типа "полностью соответствует закону об ЭЦП" носят по большей части рекламный характер.

Использовать ли сертифицированные СКЗИ

Выходит, что закон об ЭЦП пока никак не касается корпоративных систем электронного документооборота. Почему же тогда в последнее время очень сильно выражена тенденция к переводу систем "клиент-банк" и других систем электронного документооборота на сертифицированные СКЗИ и, более того, повсеместный отказ от схем с прямым распределением ключей в пользу инфраструктуры открытых ключей стандарта X.509, с удостоверяющим центром** в качестве арбитра и центра доверия?

Разумно ли это? Стоит ли переходить на сертифицированные СКЗИ, на работу с удостоверяющими центрами или повременить с этим? Ведь сертифицированные СКЗИ дороже, а деятельность удостоверяющих центров общего пользования*** в отсутствие положения о лицензировании несколько подвешена в воздухе.

Наше мнение на этот счет однозначно: смотреть в будущее надо уже сегодня, время пришло. А в будущем (насколько близким оно будет, сейчас трудно предсказать) каждое предприятие и каждый сотрудник будут вовлечены в большое количество систем безбумажного документооборота. Сдача отчетности в налоговую инспекцию, обмен платежными документами с кредитными организациями и договорами с партнерами, удаленные конференции и совещания... Безудержный оптимизм неуместен, все это будет нескоро. Тем не менее понятно, что использование нестандартных средств в локальных системах ни к чему хорошему не приведет - ведь для внешнего взаимодействия все равно придется переходить к сертифицированным СКЗИ.

Но не будем заглядывать так далеко в будущее. Простой анализ информационных рисков, которые возникают при использовании несертифицированных СКЗИ без каких-либо оговорок, уже дает достаточно оснований, чтобы делать выбор в пользу применения сертифицированных ФАПСИ средств для осуществления ЭЦП.

Информационные риски

Итак, пусть в некоторой системе безбумажного документооборота используется несертифицированное средство электронной цифровой подписи. Покажем, что из-за этого в системе возникают определенные, вполне реальные информационные риски, которые могут быть использованы злонамеренно действующими пользователями системы или третьими лицами.

Собственно риск фальсификации электронной подписи вряд ли можно считать значимым. Во-первых, многие несертифицированные средства ЭЦП используются уже очень давно и на практике доказали свою надежность; во-вторых, даже для того, чтобы фальсифицировать подпись, которая ставится с помощью какого-либо несовершенного алгоритма, могут понадобиться весьма значительные затраты. Между тем есть гораздо менее затратные способы компрометации системы, нежели попытки прямого взлома.

Первый риск заключается в том, что участник системы документооборота может, ссылаясь на то, что средство ЭЦП не сертифицировано (а значит, не имеет гарантий криптографической стойкости), заявить, что его подпись была подделана, и отозвать таким образом электронный документ со своей подписью. Заметим, что для этого вовсе не требуется, чтобы подделка действительно имела место! Виртуальный, по большому счету, риск фальсификации ЭЦП порождает абсолютно реальный риск отказа от ЭЦП.

С этой проблемой в системах документооборота, использующих несертифицированные средства, справляются единственным образом: заключая дополнительные соглашения между участниками документооборота, в которых стороны признают данное средство ЭЦП как достаточное для обеспечения юридической силы подписанных ЭЦП документов. Подписывая такое соглашение, участники документооборота фактически признают, что используемое средство ЭЦП обладает высоким уровнем криптостойкости, подпись не может быть подделана, а потому они добровольно отказываются от возможности подать рекламацию в связи с фальсификацией подписи. Загвоздка в том, что подписание такого соглашения требует изрядной смелости - ведь рядовой участник документооборота вряд ли способен самостоятельно провести экспертизу и удостовериться в истинности того утверждения, под которым он подписывается.

Другой риск, связанный с возможностью отказаться от авторства подписанного документа, еще более серьезен. Дело в том, что несертифицированное средство ЭЦП никто не проверял, во-первых, на качество выполнения основной функции (и на этом основан описанный выше риск), а во-вторых, на отсутствие побочного действия. Автор заверенного ЭЦП электронного документа может в принципе попытаться отказаться от содержимого этого документа, утверждая, что средство ЭЦП неадекватно преобразовало предложенный ему файл: не только поставило ЭЦП, но и "нечаянно" что-то еще изменило в файле в силу ошибки в программе. Скорее всего это утверждение ложно. Очень маловероятно, чтобы испытанное на практике средство ЭЦП действительно давало такой сбой. Риск неадекватного преобразования входного файла - чисто виртуальный. А вот основанный на нем риск отказа от содержимого файла совершенно реален. Автор утверждает, что программа дала сбой и на выходе получился правильно заверенный ЭЦП файл, отличный от того, который был передан программе на вход. Это неправда - но как это доказать?

Возможно, приведенный пример покажется читателю натянутым. Ведь автор документа, равно как и любой другой участник документооборота, легко может сравнить входной и выходной файлы и убедиться в их тождестве. Многие программы вообще дают возможность сформировать ЭЦП в виде отдельного файла, не изменяя при этом самого документа. Но тогда, может быть, более убедительным покажется пример с использованием несертифицированного СКЗИ не для ЭЦП, а для шифрования? Как в этом случае проверить, адекватно ли такое СКЗИ преобразует файлы? Кто сможет это гарантировать? При использовании сертифицированных СКЗИ гарантом качества выполнения основной функции и отсутствия побочного действия выступает ФАПСИ. А при использовании несертифицированных СКЗИ?

На этом аспекте электронного документооборота, связанном с принципиальной возможностью отказа от авторства в ситуации, когда электронные документы обрабатываются различными программами, стоит остановиться подробнее.

Обмен документами в машиночитаемом виде

На самом деле отказ от авторства при использовании несертифицированных СКЗИ - частный случай общего механизма компрометации систем, основанных на обмене документами в машиночитаемом виде. Проблема заключается в том, что никем и никак не специфицированы процессы преобразования информации из "человекочитаемого" вида в машиночитаемый. Поскольку содержание машиночитаемого документа может и не быть понятно (более того, и не обязано быть понятно!) человеку, ему нужны гарантии того, что содержимое машиночитаемого документа совпадает с содержимым человекочитаемого документа, который им представляется. Без такой гарантии автор документа всегда будет иметь возможность отказаться от его содержимого, утверждая, что искажение произошло на стадии перевода информации из одной формы представления в другую. Помимо этого, как мы увидим, обмен информацией в машиночитаемом виде таит в себе и другие опасности, связанные с неоднозначной трактовкой содержимого электронных документов.

В настоящий момент автору неизвестно удовлетворительное решение этой проблемы. Все, что можно сделать, - это обозначить проблему, привлечь к ней внимание. Видимо, какой-то путь к решению должен быть предложен Федеральным законом "Об электронном документе" - этот законопроект с лета 2002 года находится на рассмотрении в Государственной Думе. В нем, в частности, предпринимается попытка определить понятие электронного документа. Увы, та формулировка, которая присутствует в тексте сейчас, никоим образом не снимает поставленные выше вопросы. В законопроекте читаем:

"Формой внешнего представления электронного документа является воспроизведение электронного документа на экране дисплея, на бумажном носителе либо отделимом от машинного носителя объекте в понятной для визуального обозрения и пригодной для восприятия человеком форме".

Представим себе электронный документ - например, файл в формате Microsoft Word. Тогда, безусловно, Microsoft Word - это программа, которая по такому электронному документу сможет построить его внешнее представление "в понятной и пригодной форме". Но где гарантия, что кто-то другой не напишет еще одну программу, которая, получив на вход точно такой же электронный документ, выдаст "на экран дисплея или бумажный носитель" данные в понятной для человека форме... но другие! Написать такую программу очень просто: например, она могла бы читать формат Word, потом заменять по словарю некоторые слова на какие-нибудь другие и только потом выводить текст на экран или на принтер.

Далее законопроект предлагает считать бумажной копией электронного документа его "внешнее представление, закрепленное на бумажном носителе, заверенное в установленном порядке нотариусом…". Очевидно, такое определение не может нас устроить. Некто формирует электронный документ, заверяет его своей ЭЦП, фиксируя тем самым авторство документа, дату создания и выходные данные. С этим документом его автор приходит к нотариусу, преобразовывает (с помощью некоторой программы!) в представление на бумажном носителе и заверяет копию. Затем автор документа приходит к другому нотариусу, с тем же документом, но с другой программой, и снова заверяет копию. Результатом будет крайне опасный нонсенс - два документа, которые представляют собой нотариально заверенные копии одного и того же электронного документа, но, возможно, не имеют ничего общего между собой!

Все эти проблемы возникают из-за того, что законопроект ничего не говорит о программном обеспечении, которое неизбежно используется при преобразовании документов из машиночитаемой формы в человекочитаемую и обратно.

Как образец разумного подхода, который можно взять за основу более корректного определения понятия человекочитаемого представления электронного документа, следует рассмотреть методику, принятую в системе налоговых органов. Бухгалтеры всех предприятий регулярно представляют налоговую отчетность в электронном виде на магнитных носителях или по каналам связи; в том числе законодательно предусмотрена и возможность безбумажного документооборота с использованием ЭЦП в качестве единственного и достаточного средства заверения форм отчетности.

В любом случае, для того чтобы сформировать отчетность в электронном виде, бухгалтерия использует специализированные программы. В экранные формы этих программ вводятся различные показатели, входящие в состав отчетности. Некоторые показатели рассчитываются на основании введенных бухгалтером. Затем программа формирует файл установленного МНС формата, который может быть воспринят системой автоматизированной обработки информации налоговых органов. При полностью безбумажном документообороте бухгалтер подписывает файл ЭЦП и только потом передает его в налоговый орган. Файл налоговой отчетности - это типичный машиночитаемый электронный документ, поэтому бухгалтер может попытаться воспользоваться предложенными выше схемами отказа от содержимого, несмотря на то, что электронный документ был подписан ЭЦП.

В самом деле, бухгалтер может утверждать, например, что расчет вычисляемых показателей по тем, которые он вводил в формы, был произведен неверно, и эти показатели попали в файл (например, он ввел суммы дохода по месяцам в размере 1000 рублей за каждый месяц, а программа подготовки отчетности, в силу некоей ошибки, рассчитала сумму годового дохода, равную 10 000 рублей, и эта сумма также попала в файл отчетности; бухгалтер подписал этот файл ЭЦП, но не имел возможности его проверить - по сути дела, не знал, что подписывает! - поскольку этот файл не имеет понятного для человека визуального представления. Либо же бухгалтер может заявить, что программа произвела какое-то другое некорректное преобразование данных, введенных в экранные формы: что-то не вывела в технологический файл, или вывела слишком много, или исказила и т. д.

Чтобы сделать невозможными подобные схемы отказа, ГНИВЦ МНС России разработал систему сертификации программных продуктов, используемых для подготовки и сдачи отчетности в электронном виде. Сертификат соответствия, выдаваемый ГНИВЦ, подтверждает фактически именно то, что сертифицированная программа выполняет взаимно-однозначное преобразование данных из экранных форм (человекочитаемый вид информации на дисплее компьютера) в файлы установленного формата (машиночитаемый вид информации на электронном носителе). Использование сертифицированных программ рекомендуется МНС для подготовки и сдачи отчетности, сопровождаемой бумажными бланками и является, согласно нормативным актам МНС, необходимым при сдаче отчетности с ЭЦП без дублирования на бумажном носителе.

Идея сертификации программ, переводящих документы из машиночитаемого вида в человекочитаемый и обратно, выглядит достаточно перспективным решением проблемы, связанной с отказом от авторства электронных документов. Заметим, кстати, что те же налоговые органы не до конца осознали эту идею - нет системы сертификации программ, выполняющих преобразование технологических файлов в печатную форму. А ведь потребность в таких программах неизбежно возникнет, как только какое-нибудь разбирательство будет проводиться на уровне арбитражного суда. Налоговому органу придется доказывать, что представленные им в суд распечатки на бумаге имеют то же самое содержание, что и технологические файлы, сданные налогоплательщиком и заверенные его ЭЦП. Как мы уже говорили, показать тождество данных в электронном формате и на бумаге не представляется возможным без выбора некоей "канонической" процедуры перевода информации из одного формата в другой.

Резюме

Мы показали, что использование несертифицированных СКЗИ в качестве средств ЭЦП таит в себе определенные риски, но даже при использовании сертифицированных СКЗИ остаются некоторые проблемы с юридической значимостью документов в системах полностью безбумажного документооборота, где носителем юридической силы является документ в машиночитаемом виде.

В своих рассуждениях мы достаточно много углублялись в теорию. В дополнение мы попытались сформулировать в виде кратких тезисов некоторые практические рекомендации (см. врезку); на наш взгляд, они позволят построить такую корпоративную систему документооборота, в которой авторство электронных документов будет доказуемо, а отказ от авторства или содержимого - невозможен.