Об электронной цифровой подписи
С середины 1990-х гг. наметился заметный прогресс в аутентификации электронных данных, в технологическом и правовом отношениях. В электронном документообороте все большее распространение получают электронные средства защиты целостности данных и их идентификации с определенным физическим лицом - так называемые цифровые (электронные цифровые) подписи и печати, электронные «водяные знаки», контрольные суммы файлов и т.п.
Автоматизация документооборота использует два класса цифровых подписей:
· с использованием биометрических параметров человека - отпечатков пальцев, тембра голоса, радужной оболочки глаз и т.п. (устройства, обеспечивающие документооборот банков, например);
· с применением методов криптографии. Последний класс получил название - «электронная цифровая подпись» (ЭЦП). Автоматизация документооборота предполагает, что ЭЦП является наиболее надежным средством аутентификации.
Правила электронного документооборота подразумевают конфиденциальность документооборота организации (связка «электронный документооборот - стандарт предприятия»). В правовом отношении ЭЦП долгое время находила применение лишь в частноправовой сфере. Для ее применения необходимо было заключение двусторонних или многосторонних договоров (на бумаге), в которых определялись все нюансы генерации, верификации, хранения ЭЦП и ответственность сторон. На рубеже веков автоматизация документооборота и электронные средства аутентификации стали сближаться. Законы об ЭЦП или электронном документе были приняты в большинстве развитых и многих развивающихся странах. Точно также будут меняться все нормы, темой которых являются понятия «документ, документооборот, порядок хранения и уничтожения документов».
Правовое признание ЭЦП (как требования документооборота) превращает этот реквизит в надежное средство автоматизации документооборота, обеспечивающее аутентичность и целостность электронных документов, однако только тех, которые находятся в оперативном использовании, со сроком хранения пять, максимум 10 лет. Для аутентификации документов на протяжении десятков лет ЭЦП не годится.
В основном это связано с тем, что подтверждение подлинности ЭЦП зависит от жизненного цикла конкретной системы криптографической защиты данных. В частности, аутентификация в системах автоматизации документооборота становится невозможной после смены технологической платформы или бесполезной после утраты юридической силы сертификата средства ЭЦП. Вследствие чего становятся недействительными такие нормативные документы как положение о документообороте, регламент документооборота, образец (протокол) обмена.
Немаловажен и вопрос о стойкости ЭЦП, которая в первую очередь зависит от длины открытого ключа подписи. В настоящее время при расчете стойкости алгоритмов генерации и верификации ЭЦП в системе документооборота во внимание принимается срок ответственности по основным банковским операциям. А он не превышает пяти лет.
Кроме того, есть фактор «необходимого удлинения ключа».Например, первый ГОСТ Р 34.10-94 использовал 512-битный алгоритм шифрования. ГОСТ Р 34.10-2001 использует уже 1024-битный алгоритм. По мнению экспертов, данный ГОСТ сможет сохранить устойчивость к вскрытию лишь в ближайшие 5-6 лет. То есть через 10-15 лет никто не гарантирует, что ЭЦП, сгенерированная с использованием этого ГОСТа, не была фальсифицирована неделю назад. На что любая система документооборота не может опираться.
Но главная проблема при аутентификации в системе документооборота состоит в том, что ЭЦП неразрывно связана с форматом документа, как этого требуют нормативные документы - положение о документообороте, регламент документооборота, образец (протокол) обмена. При переформатировании электронного документа (что неизбежно при долговременном хранении) проверка подлинности ЭЦП становится бессмысленной. Миграционная копия ЭЦП не будет иметь юридической силы. На что любая система документооборота также не может опираться.
Анализ электронного документооборота или общий анализ документооборота организации показывает, что обеспечение аутентичности электронных документов в долговременной перспективе - на сегодняшний день, пожалуй, самая острая и сложная проблема. Она формирует принципы документооборота и хранения документов, правовой статус «электронный документооборот - стандарт защиты». Четких рекомендаций, как ее решить, пока нет ни в нашей стране, ни за рубежом. Сейчас выход видится в одном: ни одна система документооборота не может хранить документы исключительно в электронном виде, если предполагается длительный срок хранения и серьезная ответственность сторон.
Напомним, что правила электронного документооборота (в ключе правовой статус «электронный документооборот - стандарт защиты») подразумевают конфиденциальность документооборота организации. В условиях нерешенности технологических проблем аутентификации электронной информации на первое место выходит «старый дедовский метод»: удостоверение подлинности электронных документов при передаче их на внешних носителях в архив с помощью документов на бумаге, оформленных в соответствии с требованиями ГОСТ 6.10.4-84 и ГОСТ 28388-89. Указанные ГОСТы технологически и концептуально давно устарели, многие их положения невыполнимы, если рассматривать их как нормативную базу системы документооборота. Однако они по-прежнему действуют и включают в себя рациональное ядро, которое можно использовать при разработке формы удостоверяющего документа, без которого ни одна современная система организации документооборота не может обойтись.
эта информация взята с сайта http://arhidelo.ru/article/detail.php?ID=3584