Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования АМУРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ (ФГБОУ ВО «АмГУ») Факультет Математики и информатики Кафедра Информационных и управляющих систем Направление подготовки 09.03.02 «Информационные системы и технологии» Практическая работа «Федеральный закон № 63 – ФЗ «Об электронной подписи» по дисциплине «Правовое обеспечение безопасности информационных систем» Исполнитель студент группы 655 А.А. Филимонова (подпись, дата) М.И. Дьякова (подпись, дата) С.Н. Свечников (подпись, дата) Проверил доцент к.т.н. Н.П. Семичевская (подпись, дата) Благовещенск 2020 Цель: изучить законодательство Российской Федерации в области защиты документированной информации, изучить основные понятия, используемые в Федеральном законе № 63 – ФЗ «Об электронной подписи» Вопросы: 1. Какая сфера действия у Федерального закона № 63 – ФЗ «Об электронной подписи»? 2. Определить понятия, используемые в законе (электронная подпись, сертификат ключа проверки электронной подписи, ключ электронной подписи, ключ проверки электронной подписи, средства электронной подписи, корпоративная информационная система КИС, информационная система общего пользования) 3. Кто устанавливает виды электронных подписей? 4. Какие виды электронных подписей? (изучить статью 5) 5. Какие полномочия федеральных органов исполнительной власти в сфере использования электронной подписи? (изучить статью 8) 6. Когда используются усиленные электронные подписи, а когда простые? 7. Что позволяют средства электронной подписи? (изучить статью 12) Ответы: 1. Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданскоправовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий. 2. Для целей настоящего Федерального закона используются следующие основные понятия: электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию; сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи; квалифицированный сертификат ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (далее уполномоченный федеральный орган); владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи; ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи; ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи); удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом; аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям настоящего Федерального закона; средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи; средства удостоверяющего центра - программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра; участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане; корпоративная информационная система - информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц; информационная система общего пользования - информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано. 3. Отношения в регулируются области использования настоящим электронных Федеральным законом, подписей другими федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами, а также соглашениями между участниками электронного взаимодействия. Если иное не установлено федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или решением о создании корпоративной информационной системы, порядок использования электронной подписи в корпоративной информационной системе может устанавливаться оператором этой системы или соглашением между участниками электронного взаимодействия в ней. Виды электронных подписей, используемых органами исполнительной власти и органами местного самоуправления, порядок их использования, а также требования об обеспечении совместимости средств электронных подписей при организации электронного взаимодействия указанных органов между собой устанавливает Правительство Российской Федерации. 4. Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись). Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Неквалифицированной электронной подписью является электронная подпись, которая: получена в результате криптографического преобразования информации с использованием ключа электронной подписи; позволяет определить лицо, подписавшее электронный документ; позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания; создается с использованием средств электронной подписи. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам: ключ проверки электронной подписи указан в квалифицированном сертификате; для создания и проверки электронной подписи используются средства электронной подписи, требованиям, получившие установленным в подтверждение соответствии с соответствия настоящим Федеральным законом. При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи. 5. Уполномоченный федеральный орган определяется Правительством Российской Федерации. Уполномоченный федеральный орган: осуществляет аккредитацию удостоверяющих центров, проводит проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены настоящим Федеральным законом и на соответствие которым эти удостоверяющие центры были аккредитованы, и в случае выявления их несоблюдения выдает предписания об устранении выявленных нарушений; осуществляет функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров. Уполномоченный федеральный орган обязан обеспечить хранение следующей указанной в настоящей части информации и круглосуточный беспрепятственный доступ к ней с использованием информационнотелекоммуникационных сетей: наименования, адреса аккредитованных удостоверяющих центров; реестр выданных и аннулированных уполномоченным федеральным органом квалифицированных сертификатов; перечень удостоверяющих центров, аккредитация которых аннулирована; перечень аккредитованных удостоверяющих центров, аккредитация которых приостановлена; перечень аккредитованных удостоверяющих центров, деятельность которых прекращена; реестры квалифицированных сертификатов, переданные в уполномоченный федеральный орган в соответствии со статьей 15 настоящего Федерального закона. Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, устанавливает: порядок передачи реестров квалифицированных сертификатов и иной информации в прекращения уполномоченный деятельности федеральный аккредитованного орган в случае удостоверяющего центра; порядок формирования и ведения реестров квалифицированных сертификатов, а также предоставления информации из таких реестров; правила аккредитации удостоверяющих центров, порядок проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены настоящим Федеральным законом и на соответствие которым эти удостоверяющие центры были аккредитованы. Федеральный орган исполнительной власти в области обеспечения безопасности: устанавливает требования к форме квалифицированного сертификата; устанавливает требования к средствам электронной подписи и средствам удостоверяющего центра; осуществляет подписи и подтверждение средств соответствия удостоверяющего средств центра электронной требованиям, установленным в соответствии с настоящим Федеральным законом, и публикует перечень таких средств. 6. Электронный документ считается подписанным простой электронной подписью при выполнении в том числе одного из следующих условий: простая электронная подпись содержится в самом электронном документе; ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ. Использование электронных простой документов, электронной содержащих подписи сведения, для подписания составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается. При использовании усиленных электронных подписей участники электронного взаимодействия обязаны: обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия; уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении; не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена; использовать электронных для создания подписей, и создания проверки квалифицированных ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом. 7. Для создания и проверки электронной подписи, создания ключа электронной подписи и ключа проверки электронной подписи должны использоваться средства электронной подписи, которые: позволяют установить факт изменения подписанного электронного документа после момента его подписания; обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки. При создании электронной подписи средства электронной подписи должны: показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает; создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи; однозначно показывать, что электронная подпись создана. При проверке электронной подписи средства электронной подписи должны: показывать содержание электронного документа, подписанного электронной подписью; показывать информацию о внесении изменений в подписанный электронной подписью электронный документ; указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы. Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих сведения, составляющие государственную использования в составляющие государственную соответствия тайну, информационной обязательным или системе, тайну, требованиям предназначенные содержащей подлежат по для сведения, подтверждению защите сведений соответствующей степени секретности в соответствии с законодательством Российской Федерации. Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих информацию ограниченного доступа (в том числе персональные данные), не должны нарушать конфиденциальность такой информации. Контрольная работа №3 Описать криптографический протокол электронной подписи на базе схемы RSA. Первой и наиболее известной во всем мире конкретной системой ЭЦП стала система RSА, математическая схема которой была разработана в 1977 г. в Массачуссетском технологическом институте США. Сначала необходимо вычислить пару ключей (секретный ключ и открытый ключ). Для этого отправитель (автор) электронных документов вычисляет два больших простых числа p и q, затем находит их произведение N=p*q и значение функции f(N) = (p - 1)(q - 1). Далее отправитель вычисляет число Е из условий: E <= f(N), НОД(Е, f(N)) = 1 и число D из условий: D < N, E*D сравнимо с единицей по модулю f(N). Пара чисел (Е, N) является открытым ключом. Эту пару чисел автор передает партнерам по переписке для проверки его цифровых подписей. Число D сохраняется автором как секретный ключ для подписывания. Допустим, что отправитель хочет подписать сообщение М перед его отправкой. Сначала сообщение М (блок информации, файл, таблица) сжимают с помощью хэшфункции (см. хэш-функция) h(M) в целое число m: m = h(М). Затем вычисляют цифровую подпись S под электронным документом М, используя хэш-значение m и секретный ключ D: S = (m^D)(mod N). Пара (М,S) передается партнеру-получателю как электронный документ М, подписанный цифровой подписью S, причем подпись S сформирована обладателем секретного ключа D. После приема пары (М,S) получатель вычисляет хэш-значение сообидения М двумя разными способами. Прежде всего он восстанавливает хэш-значение m', применяя криптографическое преобразование подписи S с использованием открытого ключа Е: m' = (S^E)(mod N). Кроме того, он находит результат хэширования принятого сообщения М с помощью такой же хэш-функции h(M): m = h(М). Если соблюдается равенство вычисленных значений, т.е. (S^E)(mod N ) = h ( М ), то получатель признает пару (М,S) подлинной. Доказано, что только обладатель секретного ключа D может сформировать цифровую подпись S по документу М, а определить секретное число D по открытому числу Е не легче, чем разложить модуль N на множители. Кроме того, можно строго математически доказать, что результат проверки цифровой подписи S будет положительным только в том случае, если при вычислении S был использован секретный ключ D, соответствующий открытому ключу Е. Поэтому открытый подписавшего. ключ Е иногда называют "идентификатором"
