Последние записи

Менеджмент

Банки и финансы

Бизнес изнутри, или как заработать

Прочие

Стоит ли бояться собственной подписи?

До недавнего времени, самым веским аргументом в подтверждении взятых на себя обязательств, человек использовал рукописные иероглифы производимые им на бумаге. Парадоксально, но длительное выживание индивидуальных подписей некоторые специалисты склонны связывать не с отсутствием нужных технологий, а с психологическим аспектом — мнимой возможностью, в любой момент отказаться от подписи. Внедрение электронной подписи документов исключает такую возможность.

 

Подписи подделывали во все времена, а при наличии современной копирующе — воспроизводящей техники от подделки не спасает даже мокрая печать. По некоторым данным совокупный ущерб, приносимый государству и частному бизнесу использованием подложных документов, в том числе и в банковской сфере, соизмерим с четвертью суммы бюджетных поступлений. Для того, что бы уберечься от юридических и финансовых неприятностей при проведении сделок, проводке финансовых платежей и других не менее важных документов высоко технологичные страны предлагают объединить свои усилия в расширении правового статуса цифровой подписи.

В июне этого года Комиссия ООН по международному торговому законодательству (Uncitral) должна будет согласовать структуру, которая поможет государствам унифицировать свои законы о цифровой подписи. Но на сегодняшний день даже Директива ЕС о цифровых подписях оставляет государствам входящим в состав ее состав широкую свободу действий в области соответствующего законотворчества. Так что, даже европейские страны движутся в разных направления. Все это, как считают эксперты, может создать препятствия для принятия единого соглашения. Но даже после принятия общей структуры цифровой подписи пройдет не мало лет, прежде чем мир будет работать по одним законам.
С другой стороны, по прогнозам экспертов, с ростом числа онлайновых платежей, объемы незаконных операций к 2005 году могут составить от 5,7 до 15,5 млрд. долл. Однако эти данные неточны, поскольку все зависит от того, сколько средств будет вложено в технологии защиты.

Лишних средств, как известно у Молдовы нет, но кое-какие наработки и идеи в этой области все же отыскать можно.

Но сначала уточним…

 

О ЧЕМ КОНКРЕТНО ИДЕТ РЕЧЬ.

 

Современное понятие цифровой подписи включает в себя не просто ввод только вам известного пароля, хотя повседневно это именно так и выглядит, на самом деле она предусматривает ряд дополнительных компонентов и зависит от того, для какой сети предназначены документы. Для общедоступной, открытой сети, в первую очередь для Интернета, требуется унифицированная система подписи, основная цель которой идентификация и защита от подделки. Сегодня широкое применение получила так называемая система открытых ключей (DSA). В качестве защиты используются только программные возможности современной вычислительной техники.

Но для безопасного ведения бизнеса, проведения банковских операций, корпоративной переписки, т.е. в тех местах где необходима повышенная конфиденциальность и достоверность получаемой информации требуются иные программные подходы. Обычно такие системы укомплектовываются дополнительными, периферийными электронными устройствами. В самом простом исполнении, в качестве индивидуального ключа конечному пользователю выдается обычная дискета, на которой находится генератор электронного ключа, открывающий доступ в сеть и часть кода для идентификации пользователя, вторую часть пользователь должен вносить самостоятельно. Такой комплекс позволяет строго идентифицировать пользователя, причем идентификацию могут провести только те, кто имеет допуск к вашей информации. Система должна обеспечить, не только взаимопонимание среди пользователей, но и не допустить возможность обратной генерации — снятие слепка с вашего ключа. Подпись неразрывно увязывает в одно целое, включая в себя содержание документа и секретный ключ подписывающего, делая невозможным изменение документа без нарушения подлинности этой подписи.

На этом остановимся, иначе за относительной сложностью понимания самого процесса шифрования упустим главное.

 

А ДЛЯ ЧЕГО ВСЕ ЭТО НУЖНО?

 

Продавцы товаров и услуг говорят, что электронная коммерция помогает увеличить объемы и сократить сроки реализации товара. Банкиры настаивают на том, что внедрение онлайновой клиентской системы позволяет увеличить оборачиваемость денежной массы, и привлекать дополнительных клиентов. Контролирующие органы, просто в восторге, ведь если вся система товарно-денежного оборота будет компьютеризированная, за ней будет достаточно просто установить мониторинг, тем самым ни кого не обижая активно пополнять государственный бюджет. И наконец клиент — ничего бы из этого не получилось если бы не был заинтересован конечный пользователь. Интерес его состоит в том, что электронная система общения позволяет очень быстро решать все проблемы в не зависимости от места нахождения, получать оперативную информацию о качестве услуги или товара, быстро реагировать на изменяющиеся процессы. Цифровая подпись как раз и предназначена для того, чтобы безопасно осуществлять вышеназванные цели.  

Все это хорошо бы работало, и работает в тех случаях, когда идею подталкивает само Государство, без его поддержки такие проекты не развиваются или развиваются очень медленно. В принципе от государственного деятеля требуется не так уж и много — обеспечить общие правила — разработать и принять единый Закон.

В 1999 году, в США, для широкого внедрения в государтвенный бумажный оборот электронной подписи, было достаточно подзаконного Акта «О стандартах электронных подписей и защите прав потребителей в Интернете». В Акте указывалось, что если две стороны договариваются об использовании электронных подписей для утверждения своих транзакций, подпись не может быть признана юридически недействительной государственными законодательными органами. Но это было только началом, послужившим толчком в развитии целой государственной структуры, ставшей примером для многих развитых стран.

 

ЧТО ДЕЛАТЬ, КОГДА НЕТ ЗАКОНОДАТЕЛЬСТВА

 

На самом деле, эти проблемы давным-давно решены международным частным правом, есть несколько способов решения подобных вопросов. Возможны варианты, когда стороны сами договариваются о том, какой законный акт использовать, в зависимости от возникших разногласий, оговоривается место рассмотрения споров. Если контракт не содержит таких положений, то можно считать, что он не до конца продуман.

В случае же возникновения спора с недоработанным договором, когда дело доходит до арбитражного суда, последний определяет, на чей стороне лежит бремя доказательства тех или иных фактов, в том числе и достоверности электронной подписи. При необходимости проводится экспертиза. Если защиту подписи обеспечивает и предлагает одна из сторон, то она и обязана доказывать ее достоверность. Если же стороны равноправны, и речь идет только о переписке, или частном договоре, то в отсутствии конкретного законодательства суд чаще всего отказывает в рассмотрении дела.

Интересным моментом является требование сертифицировать код ключа — в противном случае владелец закрытого ключа несет ответственность за убытки, понесенные пользователем открытого ключа, но в случае если вторая сторона была проинформирована о сложившейся ситуации, прямая ответственность исключается.

Отсюда, для Молдовы, возникает еще одна проблема — кто будет сертифицировать, и выдавать регистрационное удостоверение, на использование закрытого ключа. По статусу этот центр должен будет проводить экспертизу подлинности подписи.

 

ТОНКОЕ МЕСТО

 

Алгоритм шифрования с открытым ключом и является основой всей электронной коммерции, обеспечивая конфиденциальность передаваемых по Интернету номеров кредитных карточек и другой персональной информации.
Хорошая криптосистема должна обеспечивать достаточный временной запас секретности. Это значит, что секретность коммерческой операции должна сохраняться в течение 10–20 лет со дня ее проведения, с учетом предстоящего прогресса в вычислительных возможностях злоумышленников.
К сожалению, сегодняшний общепринятый в Интернете алгоритм DSA такого запаса не обеспечивает. По крайней мере, так утверждают специалисты с лаборатории Белла (США) Прореха кроется в несовершенстве подпрограммы генерации псевдослучайных чисел. Вместо того, чтобы вычислять разные цифры с равной вероятностью, она выбирает числа из некоторого диапазона. Это смещение в выборе случайных чисел, а значит, и цифровой подписи заметно облегчает ее взлом на будущих суперкомпьютерах. Представители Национального Института Стандартов США согласились с выводами ученых и обещали устранить этот недостаток в ближайшее время.

Проблемы существуют и у закрытых систем. Особенно там, где используются обычные магнитные носители, из-за их недолговечности и неудобства в пользовании клиенты вынуждены создавать и хранить дополнительные копии таких носителей или записывать свои индивидуальные ключи на локальный диск, что позволяет злоумышленнику относительно просто добраться до конфиденциальной информации.

Но прогресс не остановишь, параллельно с компьютерными технологиями передачи информации, будет развиваться и криптография. При всех видимых недоработках в использовании цифровой идентификации, очевидным является факт ее значительного превосходства над обычной рукописью. В любом случае итог любой коммерческой сделки, или подтверждение ответсвенного решения, в большей степени зависит не от того, каким образом воспроизведена подпись, а от воспитанности партнера, чувства ответственности в выполнении взятых на себя обязательств.

 

Сергей БАЛАБАН

 

КОММЕНТАРИЙ СПЕЦИАЛИСТА

 

Вячеслав ОЛЕЙНИК

д.т.н, академик МАИ,

«DEKART» SRL

 

Корр.: — Какими преимуществами обладает цифровая подпись перед обычной?

В.О.: — Основной функцией любой подписи является подтверждение причастности лица к подписываемому документу. Подделкой обычной подписи сегодня уже никого не удивишь, а в одно время она была даже узаконена в виде клише, которым распоряжался секретарь. Другое дело - цифровая подпись в электронном документе. Она не только идентифицирует лицо, но и защищает сам документ от подделки. Подписанный цифровой подписью документ невозможно изменить, поскольку содержание документа через его дайджест “включается” в саму подпись. А желающие подделать ее должны будут потратить на это несколько своих жизней, я имею в виду временной диапазон.

Неоспоримым преимуществом является и конфиденциальность. Документ, подписанный обычной подписью, может быть прочитан любым лицом, которому он попал в руки. В случае применения системы цифровой подписи предусматривается режим, когда документ может быть прочитан только тем лицом, которому он адресован. Если учесть, что в системах, где циркулируют электронные документы, к целостности и аутентичности документов предъявляются повышенные требования, то альтернативы для цифровой подписи нет.

Корр.: — Что бы ни говорилось о защищенности подписанных цифровой подписью электронных документов, но везде, где присутствует комбинация нулей и единиц — другими словами «программный продукт», всегда имеется возможность выявить его принцип действия, а значит и получить доступ к паролю. Тому свидетельством являются хорошо организованные хакерские сообщества, пиратские диски, взломы корпоративных сетей.

 В.О.: — Могу добавить, что существуют способы дистанционного считывания нажатий клавиш на клавиатуры и изображения с монитора, прослушивания сети и прочие шпионские хитрости, но, во-первых, не все так просто, как это может показаться, во-вторых, это уже вчерашний день. Методы защиты информации всегда были, и будут на шаг впереди любых пиратских поползновений. Чаще всего в неприятной ситуации оказываются те фирмы и государственные учреждения, которые не заботятся или просто экономят средства на обновлении и внедрении новых технологий защиты данных. Вспомните всеобщую эйфорию, когда началось массовое внедрение пластиковых карточек с магнитным носителем, ее защита была вполне достаточна, чтобы просуществовать более двадцати лет, но на сегодня такая система практически себя изжила. Потери от злоупотреблений при их использовании огромны. Сегодня мир переходит на высокоинтеллектуальные чиповые карточки, обладающие специальными защищёнными от доступа из внешнего мира памятью и внутреннеми механизмами. Преимущества перед обычными магнитными носителями очевидны — они не размагничиваются, равнодушны к влаге и перепадам температуры, имеют защиту от физического взлома, любое несанкционированное программное вмешательство уничтожит или заблокирует данные. И здесь я бы хотел подчеркнуть, что современная полноценная защита информации немыслима без тандема — высоких специализированных электронных технологий и соответствующего программного обеспечения.

Корр.: — Что реально предлагается?

В.О.: — Предположим, вам потребовалось защитить информацию на компьютере от любого несанкционированного доступа, кстати, на винчестере могут храниться ваши ключи и для общения в Online, при этом не будет необходимости запоминать и вводить их с клавиатуры. При наличии программно-аппаратного комплекса с использованием smart-технологий вы сделаете диск невидимым, точнее говоря, информация будет, как бы фрагментирована и рассыпана по всему диску, собрать которую невозможно без вашей индивидуальной ключевой карты и специального кода (пароля) для неё. Если же вас будут пытать, требуя smart-карточку или пароль, всегда имеется возможность направить злоумышленника по ложному следу, указав ложный пароль в зависимости от которого вся информация удалится или откроется ложный диск с другими данными. Это одна лишь разработка из многих, которая уже проверена временем. Имеется также ряд разработок, позволяющих организовать систему безналичных расчетов или систему дисконтных корпоративных карт на микрочиповой основе, создавать защищённые системы типа клиент-сервер и защищать програмное обеспечение от незаконного тиражирования.

Корр.: — Как ведущий специалист в области криптографии, ответьте — достаточно ли хорошо защищены местные банковские технологии?

В.О.: — Вообще-то определять степень защищенности должен сам банк, ведь это его риск, и только узкому кругу его специалистов известны все тонкости построения его систем защиты. С плохой защитой он рискует потерять не только деньги, но и клиентов. Если система построена на основе морально устаревшей и в то же время наиболее широко используемой программе PGP, то такую защиту в ближайшем будущем ждут большие неприятности. Ведь известно, что в некоторых реализациях PGP найдены прорехи, которые позволяют злоумышленнику, например, изготовить дубликат секретного ключа и выпускать подложные документы. Одна из последних таких прорех очень похожа на специально установленную программную закладку. Есть и еще один немаловажный факт, связанный с PGP, о котором я пока умолчу, но в ближайшее время проинформирую вас.

Корр.: — Что, по вашему мнению, определяет степень защищённости данных в той или иной компании или банке.

В.О.: — Прежде всего методы и средства, используемые для защиты информации должны быть адекватны возможным действиям злоумышленника. Другими словами необходимо защищать там, где возможна утечка или злоупотребление и тем средством или методом, который является достаточным для этого. Далее, необходимо обеспечить правильное использование методов и средств, образно говоря, если вы установили металлическую дверь с суперсовременным замком, но ключ храните под ковриком”, то “грош цена” такой защите. Ну и последнее: любые меры, направленные на повышение уровня безопасности в информационных технологиях, должны быть комплексными. К примеру, мало иметь хорошие средства защиты необходимо также обеспечить соответствующий уровень дисциплины и ответственности персонала.

Корр.: — Кто координирует эти вопросы в республике? Разрабатывается ли законодательство по дистанционному электронному обмену документов, и цифровым подписям?

 В.О.: — В прошлом году по просьбе министерства связи нашими специалистами был разработан законопроект «о цифровой подписи», но, к сожалению “воз и ныне там”. Ситуация не из приятных, многие государства узаконили этот вопрос, не говоря уже о Западе, государственная отчетность которых скоро полностью перейдет в цифровой формат. К слову сказать, на Украине уже много лет функционирует система электронных межбанковских расчётов, несмотря на отсутствие соответствующей нормативной базы.

Да и по большому счету, основная причина здесь кроется даже не в отсутствии законов или стандартов, ведь нет же стандартов или специальных законов для обычной подписи. Причина в местных чиновниках, которые являются самым большим тормозом прогресса в любой области нашей деятельности.

Корр.: — Что нового вы планируете представить нашему рынку в ближайшее время.

В.О.: — Идей много, но для конечного пользователя самыми интересными и востребованными, на наш взгляд будут, системы защиты данных на основе новых USB совместимых ключей в виде брелка, с полноценными функциями smart-карточки.

 

 

 

 

 

 

Вставки

 

Согласно исследованиям аналитиков, незаконные онлайновые платежи с помощью кредитных карт сильно тормозят развитие электронной коммерции. Хотя масштабы сетевого мошенничества трудно поддаются оценке, по данным компании Meridien Research в 2000 году объем незаконных Интернет-платежей возрос до 1,6 млрд. долл., из которых большая часть приходится на Соединенные Штаты.

___________________

Wacom анонсировала относительно недорогое (100 долларов) устройство для оцифровки подписей под названием Graphire Inking Pen. Специальный планшет и перо подключаются к последовательному порту или USB компьютера. Бумажный документ укладывается на планшет, после чего на бумаге можно расписаться просто и привычно — получается одновременно и аналоговая, и цифровая подпись. Кроме того, устройством поддерживается чувствительность к силе нажима, одному из факторов, делающих подпись уникальной.

 

________________

 

05.04.2001 президент США Джордж Буш в на встрече с главными едакторами американских газет заявил, что прекращает переписываться со своими родными и близкими по электронной почте, как сказал сам Буш, "Я был активным пользователем e-mail, посылал письма, например, дочерям и отцу, но теперь я не хочу, чтобы мои письма стали публичным достоянием".

 

___________

В связи с развитием электронного рынка и ростом количества незаконных платежей, Visa намерена ужесточить контроль за идентификацией пользователей, используя пароли или коды, разрешающие владельцу карты совершать онлайновые платежи. До этого достаточно было ввести номер карточки. По мнению компании, такой подход сократит случаи мошенничества вдвое.







Если вам необходим почтовый аккаунт, тогда почта на Qip.ru - ваш выбор. Для хранения фото и видео рекомендуем бесплатный фотохостинг.
Для студентов и абитуриентов: крупнейшая библиотека рефератов и сочинений. Скриншот экрана - просто и удобно с QIP Shot.