Электронная подпись (ЭП) — это не просто картинка в файле. За этим решением, с одной стороны, стоит сложная криптографическая защита, а с другой — продуманная регуляторная политика государства. Об этом 7 февраля «Известиям» заявил основатель и CEO Sign.Me Александр Кофанов.
«Достоверно изобразить чужую подпись на бумаге незаконно и довольно непросто. Если невооруженный взгляд этого не заметит, то почерковедческая экспертиза с большой вероятностью сможет определить подделку. В данном случае анализируются многие факторы: траектория движения, сила нажатия ручки на бумагу по всей длине росчерка и так далее. Однако что же делать с электронными документами? Они такой информации содержать не могут, да и если могли бы, то наши любимые ctrl+c и ctrl-v переносили всё это с одного документа на другой без каких-либо усилий. Вывод: если бы ЭП была графической закорючкой в документе, то сложность ее подделки была бы нулевой, как и доверие к ней», — сказал он.
Поэтому и инструменты для подписания документов в электронном виде должны гарантировать, что в документ не вносили изменения; что подпись создана именно тем человеком, кто указан в качестве подписанта, отметил специалист. По его словам, вся сложная криптография, которая используется для ЭП, нужна именно для выполнения этих двух требований, которые обеспечивают надежность и вызывают доверие.
«Усиленные виды электронной подписи создаются на базе криптографии (шифрования). Система криптографической защиты информации использует две уникальные последовательности знаков, связанные между собой математически: открытый и закрытый ключ. Открытый ключ доступен всем, с кем пользователь ведет электронный документооборот. Закрытый ключ доступен только владельцу подписи. Недоступность закрытого ключа во многом и является залогом безопасности электронной подписи. И здесь может возникнуть вопрос о том, можно ли обманом получить доступ к закрытому ключу. В современных решениях закрытый ключ не извлекаем. Это значит, что он всегда находится в зашифрованном виде в пределах носителя электронной подписи (например, USB-токена или мобильного приложения) и взломать или скачать его не получится. Угадать нужную комбинацию символов, составляющую закрытый ключ, тоже не выйдет», — объяснил он.
Но криптография не единственная защита, подчеркнул Кофанов. Дополнительные требования к безопасности и возможностям использования электронной подписи предъявляет закон. Государство регулирует требования к техническим средствам и административные принципы использования ЭП. Основным регулятором в этой области является Минцифры, предусматривающее очень продуманную законодательную базу. В законе четко соблюдается баланс между защищенностью и удобством применения этого решения, он не перегружает требованиями там, где это излишне, но при этом гарантирует защиту там, где это действительно необходимо.
«Например, усиленная квалифицированная электронная подпись (УКЭП), которая нужна для любого взаимодействия с госорганами, имеет сразу несколько дополнительных контуров защиты и контроля. Это и понятно: такая подпись нужна для самых важных процессов, например для перехода права на недвижимость, поэтому и требования к ней выше. Эту подпись можно получить только лично и только через специальную организацию — удостоверяющий центр, который обязан пройти аккредитацию Минцифры. Именно усиленный квалифицированный вид электронной подписи контролируется вторым регулятором — ФСБ, которая отвечает за надежность технических средств, создающих ЭП», — сказал эксперт.
Ранее, 16 января, Кофанов рассказал «Известиям» о видах хакерских атак на электронную подпись и способах защиты. По словам специалиста, в сфере электронной подписи можно выделить три вида мошеннических схем. Первая — атаки на программное обеспечение. Второй вид мошенничества — атаки на инфраструктуру (сетевое окружение, операционную систему). Третий вид — социальная инженерия (обман людей). Собеседник издания отметил, что 99% схем злоумышленников с электронной подписью — это именно мошенничество, а не хакерские атаки.