🚼 🔷 👩🏻‍🎤 Apa yang salah dengan hukum federal "On Electronic Signatures" (63-FZ), dan cara memperbaikinya 🖇️ 😺 ⬛️

Mesin menggambar di tempat kerja, © axisdraw.com

Tanda tangan elektronik di Rusia pertama kali muncul pada Januari 2002 bersamaan dengan penerapan hukum pertama "On electronic digital signature" ( 1-FZ ). Kemudian, 9 tahun kemudian, pada bulan April 2011, undang-undang baru "On Electronic Signatures" ( 63-FZ ) muncul. Setelah 8 tahun, pada awal musim panas 2019, publikasi yang mengerikan mulai muncul di media tentang bagaimana mereka mencuri apartemen menggunakan tanda tangan elektronik , bagaimana penipu mendaftar perusahaan fiktif untuk warga negara yang tidak menaruh curiga , dan seterusnya dan seterusnya .

Mari kita mencoba memahami masalah yang ada tanpa emosi yang tidak perlu dan memikirkan cara memperbaikinya.

Kata Pengantar

Artikel ini hanya akan fokus pada tanda tangan elektronik berkualitas yang disempurnakan (selanjutnya disebut sebagai tanda tangan elektronik).
Di mana pun otoritas sertifikasi dirujuk, mereka adalah otoritas sertifikasi yang terakreditasi.
Untuk menyederhanakan persepsi, artikel ini menggunakan sebagian istilah "populer" alih-alih konsep hukum yang ketat.

Bagian 1 - Masalah Legislasi

Masalah No. 1 - Identifikasi Klien oleh Otoritas Sertifikasi

© Yandex. Gambar

Dari sudut pandang keamanan informasi, semua insiden yang terdaftar pada awal artikel terjadi sebagai akibat dari kurangnya identifikasi oleh karyawan pusat sertifikasi klien mereka . Tetapi mengapa ini terjadi dalam organisasi yang memerlukan lisensi FSB Rusia dan akreditasi dari Kementerian Komunikasi untuk pekerjaan mereka?

Jawabannya sederhana: otoritas sertifikasi mendapat dari jumlah tanda tangan elektronik yang dijual. Prosedur identifikasi pelanggan yang lebih ketat akan mengurangi laba mereka.

Semua orang ingin semuanya sederhana, cepat, gratis, dan tanpa usaha. Ketika orang tersebut menghubungi pusat sertifikasi, ia ingin segera menerima tanda tangan elektronik, sehingga mereka tidak akan dicuri, dan tanpa kata sandi atau omong kosong lainnya. Orang yang menerima tanda tangan, sebagai suatu peraturan, menerimanya bukan untuk dirinya sendiri, tetapi untuk direktur atau akuntan perusahaan tempat ia bekerja. Selain mendapatkan tanda tangan, seseorang memiliki banyak hal yang harus dilakukan. Jika seseorang diberi tahu bahwa surat kuasa yang dengannya dia ingin menerima tanda tangan harus disahkan, maka orang tersebut menganggap ini sebagai birokrasi yang mengerikan. Lain kali, ketika seseorang ingin mendapatkan tanda tangan elektronik baru, ia akan mencoba menerapkan ke pusat sertifikasi lain yang lebih "berorientasi klien".

Dengan demikian, kami mendapatkan situasi ketika tidak menguntungkan untuk menjadi pusat sertifikasi yang tepat yang melakukan identifikasi pelanggan secara ketat. Akan selalu ada pusat sertifikasi lain yang terkait dengan masalah ini dengan kurang hormat, yang akan menarik pelanggan yang malas.

Mengeluarkan sertifikat palsu oleh penjahat cyber bukanlah masalah dari pusat sertifikasi tertentu, tetapi krisis sistemik tingkat legislasi federal. Anda dapat mengatakan lebih banyak lagi - ini adalah masalah global (contoh di sini dan di sini ) dari teknologi PKI itu sendiri, yang mendasari hukum.

Masalah No. 2 - Membatasi Penggunaan Tanda Tangan Elektronik

Tanda tangan elektronik, seperti teknologi lainnya, menjalani siklus pengembangan tertentu. Hukum saat ini "On tanda tangan elektronik" adalah hukum tahap mempopulerkan teknologi (tanda tangan elektronik sudah digunakan oleh masyarakat, tetapi penetrasi mereka masih jauh dari universal). Sebagai akibatnya, undang-undang ini lebih berorientasi pada karakter massa daripada keamanan tanda tangan elektronik.

Satu-satunya mekanisme untuk membatasi penggunaan tanda tangan elektronik diberikan dalam ayat 4 Seni. 11 63-FZ . Ini menyatakan, khususnya, bahwa tanda tangan elektronik yang berkualitas harus digunakan sesuai dengan batasan yang ditentukan dalam sertifikat kunci tanda tangan. Sayangnya, kata-kata ini tidak sepenuhnya melarang penerbitan dan penggunaan tanda tangan elektronik, sebagai akibatnya warga negara yang tidak pernah mengeluarkannya menderita tanda tangan elektronik (misalnya, korban insiden yang dikutip di awal artikel).

Terutama masalah akut pembatasan penggunaan tanda tangan elektronik menyangkut pejabat.

Saat ini, mereka dipaksa mengorbankan keamanan pribadi demi kepentingan majikan. Ini, khususnya, dimanifestasikan dalam kenyataan bahwa tanda tangan elektronik yang diberikan kepada mereka untuk memenuhi kebutuhan perusahaan dapat digunakan untuk kepentingan pribadi mereka, misalnya, untuk mendaftarkan ulang secara ilegal apartemen di Rosreestr.

Masalahnya diperparah oleh kenyataan bahwa jumlah orang yang mungkin memiliki akses ke tanda tangan elektronik dari seorang pejabat sulit untuk dibatasi dan praktis tidak tergantung pada kehendak pemilik tanda tangan. Contoh orang yang mungkin tersedia untuk tanda tangan elektronik seorang pejabat meliputi:

administrator sarana perlindungan informasi kriptografi (CIP), yang bertanggung jawab untuk mengeluarkan kunci kriptografi, termasuk kunci tanda tangan elektronik;
Pekerja IT menyiapkan sistem informasi untuk menggunakan tanda tangan elektronik;
auditor yang melakukan audit organisasi (misalnya, pentester);
karyawan badan kontrol negara yang melakukan tindakan kontrol terkait dengan organisasi;
petugas penegak hukum yang melakukan tindakan investigasi operasional terhadap perusahaan pemberi kerja;
tim manajer kebangkrutan yang mengelola perusahaan jika telah memulai proses kebangkrutan;
dan, sayangnya, orang lain.

Edisi 3 - Menerima Pemberitahuan Rilis Tanda Tangan Elektronik

(c) m / f “Tiga dari Prostokvashino”

Insiden yang melibatkan penyalahgunaan tanda tangan elektronik secara inheren sangat mirip dengan pencurian cyber yang dilakukan oleh penjahat cyber melalui sistem bank klien-Internet. Dalam kedua kasus, penyerang, setelah menyita informasi otentikasi korban, secara ilegal melakukan tindakan signifikan atas namanya: mereka mengeluarkan uang dari akun, mengeluarkan pinjaman, mendaftarkan perusahaan satu hari, dll.

Salah satu cara efektif untuk mengurangi kerusakan dari pencurian cyber adalah dengan memberi bank kesempatan bagi pelanggan mereka untuk memperjuangkan keamanan mereka sendiri. Setiap klien yang menggunakan layanan notifikasi akun (misalnya, menginformasikan SMS) dapat secara independen mendeteksi transaksi yang tidak sah dan memblokir akun untuk meminimalkan kerusakan.

Undang-Undang tentang Tanda Tangan Elektronik saat ini tidak memberikan bentuk perlindungan seperti itu. Tidak ada mekanisme untuk memberi tahu pemilik tentang masalah tanda tangan elektronik atas namanya.

Masalah No. 4 - Aturan untuk Menggunakan CIPF

(c) Gambar Yandex

Kerangka hukum saat ini yang mengatur penggunaan tanda tangan elektronik berisi persyaratan keamanan yang pada akhirnya bisa memiliki efek sebaliknya dan menetapkan preseden untuk menantang tanda tangan. Mari kita bereskan.

P.p. 2. Klausul 4, Artikel 5 63- menetapkan persyaratan untuk tanda tangan elektronik yang memenuhi syarat: " sarana tanda tangan elektronik digunakan untuk membuat dan memverifikasi tanda tangan elektronik, yang memiliki konfirmasi kepatuhan dengan persyaratan yang ditetapkan sesuai dengan Undang-Undang Federal ini."

Persyaratan yang ditentukan untuk tanda tangan elektronik didefinisikan dalam Pesanan Layanan Keamanan Federal Federasi Rusia tanggal 27 Desember 2011 N 796 . Paragraf 6 dokumen ini menyatakan bahwa tanda tangan elektronik berarti (dan ini adalah tindakan perlindungan informasi kriptografi) harus dioperasikan sesuai dengan PKZ-2005 . Di sana, pada gilirannya, tercatat bahwa tanda tangan elektronik (CIP) harus dioperasikan sesuai dengan aturan untuk menggunakannya (dokumentasi teknis) .

Ini segera menimbulkan pertanyaan apakah tanda tangan elektronik akan dianggap memenuhi syarat jika dibuat menggunakan sertifikat perlindungan informasi kriptografi bersertifikat, yang tidak dioperasikan dengan kepatuhan penuh dengan ketentuan penggunaan (dokumentasi teknis).

Undang-undang tidak mengandung jawaban pasti untuk pertanyaan ini. Akibatnya, mengingat daya saing proses hukum Rusia , keputusan yang bertentangan secara diametral akan dibuat dalam kasus serupa, yang pada akhirnya dapat menyebabkan penurunan kepercayaan pada tanda tangan elektronik dan membuatnya lebih rentan terhadap serangan penolakan.

Untuk menggambarkan masalah ini, kami mempertimbangkan situasi yang sering muncul ketika sertifikat kunci tanda tangan yang berkualitas diterima di pusat sertifikasi. Esensinya adalah bahwa masa berlaku sertifikat dapat ditentukan pada 5 tahun, dan masa berlaku kunci pribadi (ekstensi PrivateKeyUsagePeriod OID 2.5.29.16) pada 1 tahun 3 bulan. Timbul pertanyaan apakah tanda tangan elektronik yang dibuat untuk tahun ke-3 keberadaan sertifikat tersebut akan diakui memenuhi syarat.

Masalah No. 5 - Standarisasi Tanda Tangan Elektronik

(c) Gambar Yandex

Jika Anda pernah mengalami konfigurasi komputer untuk penerapan manajemen dokumen elektronik yang signifikan secara hukum dengan negara. organ, Anda mungkin ingat neraka yang muncul. Versi juggling dari penyedia kripto, browser dan plugin, sebagai akibatnya sistem entah bagaimana mulai bekerja, tidak memberikan penjelasan ilmiah. Tindakan ini lebih seperti tarian dukun yang memanggil roh-roh badai, bumi dan api pada api malam.

Pada saat yang sama, kegembiraan tuning yang sukses dengan cepat digantikan oleh depresi yang mengerikan, ketika ternyata karyawan yang melakukan tuning itu perlu mengirim laporan ke negara bagian lain. organ. Dan kemudian ada sistem perlindungan informasi kriptografinya sendiri, kunci sendiri dan, secara umum, sendiri. Nah, tentu saja, ceri pada kue adalah fakta bahwa dua sertifikat perlindungan informasi kriptografi bersertifikat pada satu komputer, pada prinsipnya, tidak rukun.

Dengan demikian, kurangnya standardisasi dan kompatibilitas antara sistem perlindungan informasi kriptografi yang digunakan untuk menghasilkan dan memverifikasi tanda tangan elektronik yang memenuhi syarat dapat ditambahkan dengan aman ke masalah hukum saat ini.

Keputusan Pemerintah Federasi Rusia 09.02.2012 N 111 "Tentang tanda tangan elektronik yang digunakan oleh otoritas eksekutif dan otoritas lokal dalam mengatur interaksi elektronik satu sama lain, tentang prosedur penggunaannya, serta tentang menetapkan persyaratan untuk memastikan kompatibilitas cara tanda tangan elektronik" tidak dihitung, karena hanya berlaku untuk kerja sama antarlembaga, dan pada kenyataannya tidak memberikan spesifik.

Edisi 6 - Tanda Tangan Lama

(c) Gambar Yandex

Mari kita tanyakan apa yang akan terjadi pada dokumen yang ditandatangani oleh tanda tangan elektronik dalam 30 tahun, dan dalam 100 tahun? Dari mana tanggalnya? Sederhana: transaksi real estat ditandai dengan kepemilikan properti jangka panjang. Itu sebabnya 30 tahun dan 100 tahun bukanlah batasnya. Sebagai contoh, Alexander II menjual Alaska ke Amerika pada tahun 1867, yaitu 152 tahun yang lalu.

Tetapi kembali ke tanda tangan elektronik. Dari sudut pandang teknologi, kekuatannya didasarkan pada sifat matematika dari algoritma kriptografi yang mendasarinya. Pada saat yang sama, kestabilan algoritma itu sendiri hanya didasarkan pada ketidaktahuan metode peretasan yang efektif. Jauh dari kenyataan bahwa metode-metode ini tidak, atau mereka tidak akan muncul setelah 37 menit. Misalnya, di era penjualan Alaska, sandi Vizhener dianggap kebal, dan sekarang para siswa membobolnya di laboratorium kriptografi pertama.

Tumpukan algoritma kriptografi saat ini yang digunakan untuk tanda tangan elektronik di Rusia didasarkan pada GOST R 34.10-2012 , GOST R 34.11-2012 , GOST 34.12-2015 dan sejumlah rekomendasi untuk standardisasi dan algoritma satelit yang tidak terbatas. Apa yang akan terjadi pada mereka dalam 30 tahun? Dipercayai bahwa tidak semuanya baik dengan mereka saat ini.

Masalah kerentanan dalam algoritme dan tanda tangan elektronik tidak sepenuhnya bersifat hipotesis. Praktik dunia telah menghadapi hal serupa, misalnya, kerentanan ROCA .

Dengan demikian, masalah lain dari undang-undang ini adalah kurangnya peraturan yang ditujukan untuk mempertahankan signifikansi hukum jangka panjang dari dokumen elektronik.

Masalah nomor 7 - "serang kembali ke masa depan"

(c) kisah film oleh Alexander Rowe

Serangan ini, mungkin, merupakan tonggak aspen di jantung manajemen dokumen elektronik, yang hanya menggunakan tanda tangan elektronik untuk mengesahkan dokumen.

Masalahnya adalah bahwa, dengan memanipulasi tanggal pembentukan tanda tangan elektronik, penyerang dapat mencapai pengakuan tanda tangan palsu dan penolakan legitimasi.

Contoh 1 - pengakuan tanda tangan palsu

Ada Yaropolk dan dia memimpin artel pengrajin batu luar negeri. Atas permintaan pelanggannya, Vsevolod, ia memutuskan untuk menyederhanakan pertukaran kertas terkutuk dan mengeluarkan sendiri sertifikat tanda tangan elektronik yang memenuhi syarat.

Yaropolk dan Vsevolod setuju bahwa alih-alih kertas perkamen yang ditulis tangan, mereka akan mengirim file email satu sama lain, dikompilasi dalam MS Word dan ditandatangani secara elektronik dengan CryptoPRO dan bersertifikat CryptoARM. Atas instruksi para magi, termasuk mereka yang mengetahuinya, mereka memutuskan untuk menulis tanggal penandatanganan dokumen dalam file elektronik sebelum mereka disertifikasi.

Kami menulis semua ini di atas perkamen dan menyegelnya dengan tanda tangan kami, menyebut dokumen ini "Perjanjian Manajemen Dokumen Elektronik".

Berapa lama, seberapa pendek mereka bekerja sesuai dengan skema ini. Tapi kemudian keserakahan diperas oleh Vsevolod katak yang berat, melemparkan pemikiran gelap bahwa ia membayar Yaropolk terlalu mahal. Pikiran pahit mulai mengganggu Vsevolod dengan berbagai cara: kurang tidur, tetapi merusak suasana hati.

Vsevolod memutuskan dengan kesedihannya untuk beralih ke dukun setempat, yang disebut Baba Yaga. Dengan biaya tertentu, Vsevolod dengan murah hati memikirkan kunci pribadi tanda tangan elektronik dari Yaropolk untuk dicuri. Seperti yang Anda ketahui, kunci itu terkandung dalam perangkat di luar negeri, mirip telur (token USB), terus-menerus tertahan di bagian belakang komputer.

Untuk rencana si pengkhianatnya, Vsevolod menyewa seorang pelacur bermata cokelat, sehingga dia akan mengaburkan pikiran Yaropolka dengan mantra asmara dan bijaksana untuk pergi ke kerajaan yang jauh.

Saat bepergian ke luar negeri Yaropolk dengan pelacur bersenang-senang, Vsevolod diam-diam merayap ke bangsal batu putih dan perangkat yang menyerupai telur yang berisi kunci Yaropolk, ia menariknya keluar dari bagian belakang komputer dan melarikannya.

Tetapi Vsevolod tidak tahu bahwa sebelum berangkat ke Yaropolk-nya, ia meminta penjaga untuk menaruh pesonanya di kamar-kamarnya. Mantra-mantra itu bekerja dan mengirim sinyal ke pasukan kota. Tiba di tempat itu dan tidak menemukan penjahat yang galak, para pejuang para pelayan Yaropolk dipanggil untuk memeriksa apakah ada barang yang dicuri. Petugas Yaropolk menemukan hilangnya "telur" kunci berharga yang berisi tanda tangan elektronik. Sadar akan perjanjian orang-orang Majus, dia segera menoleh kepada para tuan bahwa mereka telah membuat "telur" sehingga mereka akan menghancurkan kekuatan "telur" itu dengan mantera mereka. Master, mengikuti ajaran nenek moyang mereka, menambahkan sertifikat tanda tangan elektronik Yaropolk ke daftar sertifikat yang dicabut dan memerintahkan Yaropolk untuk tidak menggunakan "telur", bahkan jika ditemukan, dan bahwa ia akan datang untuk "telur" baru kepada mereka, dapatkan tanda tangan elektronik baru untuk mereka, dapatkan tanda tangan elektronik baru untuk mereka, .

Vsevolod mempelajari semua ini dan menjadi lebih sedih. Dia pergi dengan pikiran berat ke Baba Yaga untuk nasihat bijak. Mempelajari tentang kesedihan Vsevolod, Baba Yaga berguling-guling dengan tawa jahat dan, menerobos, mengatakan: "Ini bukan masalah! Dan Anda perlu melakukan hal berikut:

Mulai komputer Anda dan terjemahkan tanggal tiga bulan lalu ketika kunci Yaropolk masih berlaku.
Buat dokumen baru dan tulis di dalamnya bahwa Yaropolk mengambil banyak uang dari Anda dan berjanji untuk memberikannya dengan bunga dalam tiga bulan.
Saat tanggal penandatanganan dokumen, tunjukkan tanggal yang akan Anda miliki di komputer.
Tanda tangani dokumen ini dengan tanda tangan elektronik Anda dan tanda tangan Yaropolk. "

"Semangatku terasa," kata wanita tua itu, "bahwa Yaropolk meninggalkan kata sandi secara default di atas telur".

Vsevolod melakukan hal itu dan melalui pengadilan mengambil uang dari Yaropolk tampaknya tidak terlihat.

Karena, sesuai dengan ayat 2 Seni. 11 63- : “Tanda tangan elektronik yang memenuhi syarat akan dianggap sah ... dengan memperhatikan ketentuan berikut: ... sertifikat yang berkualifikasi berlaku pada saat penandatanganan dokumen elektronik (jika ada informasi yang dapat dipercaya tentang saat penandatanganan dokumen elektronik) atau pada hari verifikasi validitas sertifikat yang ditentukan, jika saat penandatanganan elektronik tersebut dokumen tidak didefinisikan; " dokumen itu palsu, disusun oleh Vsevolod, hakim memenuhi syarat sebagai hakim, karena ia disertifikasi dengan tanda tangan Yaropolk, dan tanggal pembentukan tanda tangan dengan periode ketika tanda tangan yang valid bertepatan. Yaropolk tidak bisa menentang tanggal terkutuk ini, karena sesuai dengan semua aturan "Perjanjian tentang manajemen dokumen elektronik" itu ditetapkan.

Contoh 2 - penolakan tanda tangan yang sah

Frustrasi oleh tragedi mengerikan, bernilai banyak uang, Yaropolk memutuskan untuk membalas dendam pada Vsevolod, begitu banyak sehingga dengan koin yang sama, sehingga dalam keadilan.

Yaropolk mulai membaca tulisan suci yang berisi UU 63-FZ. , … . , . , , : « , ...». , , .

, , , , , , . , , , , .

, , « » : . , , , , , . , . .

.

, «» , «» , . , «» .

, , . , . , , . , .

, . : « , „“ ».

, , , « ».

, , , , , , .

.2 . 11 63- : « … :… ( ) , ».

, , , .

2 —

vs.

« », . , « » ( ).

, , .

— , . — — . , .

, , . ?
— , . : . ?

- . :

, , , . , , .

, , . , , , .

, , . , : , . , — .

, .

№ 1 (« »)

. , — , — «». , . , .

:

( ), — , , .
. . , - , .
, , , . , , , .

. , , , . , :

-, (, , ...) - : , .
-, , .
-, , / .

, . . , . , , , .

. , :

( ).
, :
- , ( );
- , , .
( ) 3 ( ) .

, . , . , , :

. , .
. , .
. , ( ?).

. , , — .

, SIM-, «».

№ 2 (« »)

Teknologi PKI tidak mengandung cara untuk membatasi penerbitan dan penggunaan tanda tangan elektronik. Dipahami bahwa jika seseorang tidak membutuhkannya, maka dia tidak akan membuatnya. Jika tanda tangan elektronik dicuri, maka pemiliknya segera menghubungi pusat sertifikasi dan meminta diblokir. Penandatanganan diblokir dengan menambahkan sertifikat kunci verifikasi tanda tangan ke daftar sertifikat yang dicabut (daftar pencabutan sertifikat, selanjutnya - CRL ) dengan tanggal dan alasan pemblokiran.

Pada saat verifikasi tanda tangan elektronik di bawah dokumen, tanggal pembentukannya dianalisis. Jika tanggal ini lebih dari atau sama dengan tanggal pemblokiran, maka tanda tangan pada dokumen tersebut tidak valid.

Dengan demikian, CRL adalah elemen sentral dari teknologi PKI yang bertanggung jawab atas kepercayaan tanda tangan elektronik yang dikeluarkan. Tidak ada kesempatan untuk mempengaruhi tanda tangan elektronik "yang belum dirilis" melalui CRL.

Oleh karena itu, untuk memperbaiki masalah yang dipertimbangkan dalam undang-undang, teknologi PKI perlu dikembangkan lebih lanjut. Selain itu, perbaikan ini harus dilakukan dengan mempertimbangkan kompatibilitas ke belakang dengan sistem manajemen dokumen elektronik yang ada dan berfungsi.

Jika dalam PKI klasik pohon kepercayaan tumbuh dari otoritas sertifikasi akar, maka dalam kasus PKI negara, negara adalah sumber utama kepercayaan. Ini menyediakan infrastruktur kepercayaan di mana otoritas sertifikasi terakreditasi ada.

Negara di dalam badan badan resminya harus menerima permohonan dari warga negara (misalnya, melalui MFC atau "Layanan Negara") yang berisi pembatasan penerbitan dan pembatasan penggunaan tanda tangan elektronik. Data yang diterima harus dikonsolidasikan dalam sumber daya informasi negara - "Daftar pembatasan dan larangan penggunaan tanda tangan elektronik".

Pada tingkat hukum, otoritas sertifikasi harus berkewajiban untuk memverifikasi sumber daya ini untuk pembatasan yang ditetapkan pada saat menerbitkan tanda tangan elektronik.

Jika registrasi melarang penerbitan tanda tangan elektronik, maka pusat sertifikasi harus menolak untuk mengeluarkan pelamar. Jika registri berisi pembatasan penggunaan tanda tangan elektronik, maka tanda tersebut harus dimasukkan dalam tanda tangan elektronik kunci sertifikat sertifikat yang diterbitkan.

Tentang pembatasan penggunaan tanda tangan elektronik perlu bicara lebih banyak.
Faktanya adalah bahwa, meskipun disebutkan dalam ayat 4 Seni. 11 63-FZ , sebenarnya mekanisme ini tidak berfungsi, karena kerangka kerja legislatif saat ini tidak mengandung dokumen yang mengungkapkan prinsip operasinya.

Kami akan memperbaiki kekurangan ini dan mempertimbangkan salah satu opsi yang memungkinkan untuk menerapkan pembatasan penggunaan tanda tangan elektronik.

Langkah pertama kita perlu mengembangkan model yang akan menjelaskan pembatasan penggunaan tanda tangan elektronik. Yang paling tepat untuk tujuan ini adalah model akses diskresioner yang dijelaskan menggunakan daftar kontrol akses ( ACL ).

Daftar kontrol akses untuk tanda tangan elektronik harus berisi daftar area di mana tanda tangan elektronik diizinkan untuk digunakan untuk sertifikasi dokumen atau di mana tanda tangan dilarang untuk digunakan. Masalahnya adalah apa yang harus dipertimbangkan "area" ini.

Idealnya, ini harus menjadi sistem informasi di mana manajemen dokumen elektronik dilakukan. Tetapi cita-cita ini tidak mungkin tercapai, karena akan memerlukan penciptaan dan pemeliharaan registri global sistem informasi di dalam negara. Jika sistem informasi negara bagian atau kota masih dapat diperhitungkan bagaimanapun, maka sistem informasi dari organisasi komersial tidak dapat menerima prinsip akuntansi - banyak perusahaan sendiri tidak tahu sistem mana yang bekerja untuk mereka.

Sebagai alternatif, Anda dapat membedakan antara penggunaan tanda tangan elektronik di tingkat subjek hubungan hukum, yaitu, menunjukkan dalam tanda tangan elektronik itu sendiri yang dapat digunakan oleh perusahaan (serta individu atau badan pemerintah) dan yang tidak. Badan hukum dapat diidentifikasi menggunakan data dari Daftar Badan Hukum Negara Bersatu, misalnya, sesuai dengan kombinasi nilai TIN dan OGRN. Seorang individu dapat diidentifikasi dengan kombinasi TIN dan SNILS.

Mekanisme kontrol akses di atas (pembatasan dari registri negara) bersifat global di seluruh ruang kepercayaan yang dibentuk oleh negara. Pembatasan di atas harus diperhitungkan oleh semua otoritas sertifikasi ketika mengeluarkan tanda tangan elektronik.

Saat mengajukan permohonan ke pusat sertifikasi, pemohon dapat mengenakan batasan (pribadi) tambahan yang mempersempit ruang lingkup penggunaan tanda tangan elektronik. Ini akan memastikan penerbitan tanda tangan elektronik dengan berbagai bidang tindakan, yang akan relevan untuk perlindungan tanda tangan pejabat.

Menetapkan batasan global tentang penggunaan tanda tangan elektronik harus memunculkan penarikan kembali semua tanda tangan elektronik yang valid, ruang lingkup yang berada di luar ruang lingkup apa yang diizinkan.

Solusi untuk Masalah No. 3 ("menerima pemberitahuan masalah tanda tangan elektronik")

Memberi tahu warga tentang masalah tanda tangan elektronik pada mereka mungkin merupakan tugas paling sederhana dari semua yang diberikan dalam artikel ini. Ini bisa diselesaikan sebagai berikut:

Otoritas sertifikasi, mengeluarkan tanda tangan elektronik, mengirim salinan sertifikat ke badan negara yang berwenang.
Badan yang berwenang mengkonsolidasikan semua sertifikat yang diterima ke sumber daya informasi negara bagian - “Daftar Bersertifikat Sertifikat Kualifikasi Kunci Verifikasi Tanda Tangan Elektronik”.
Subjek hukum: badan hukum atau individu - akan dapat mencari tahu tentang masalah tanda tangan elektronik pada mereka dari portal Layanan Negara. Untuk meningkatkan efisiensi portal, Anda dapat melakukan peningkatan untuk berlangganan pemberitahuan untuk acara ini.

Tentu saja, tidak semua orang telah terhubung Layanan Negara, tetapi pada saat yang sama tidak ada yang mengganggu untuk menghubungkan mereka, semakin ada alasan yang baik.

Solusi untuk Masalah No. 4 ("Aturan untuk Menggunakan CIPF")

© Yandex. Gambar

Alat perlindungan informasi kriptografi modern dapat memberikan perlindungan yang memadai hanya jika sejumlah pembatasan ketat ditentukan dalam dokumentasi teknis. Misalnya, untuk semua alat perlindungan informasi kriptografis yang berjalan di komputer berbasis Windows, persyaratan ditetapkan untuk menghapus file halaman saat shutdown. Kegagalan untuk mematuhi persyaratan ini menyebabkan risiko pencurian kunci tanda tangan elektronik selama periode ketika komputer dimatikan.

Untuk menerapkan persyaratan ini atau tidak - sepenuhnya di bidang tanggung jawab penanda tangan. Pada umumnya tidak mungkin untuk melakukan kontrol negara yang tepat (karena negara adalah penyedia kepercayaan) atas kepatuhannya dengan persyaratan ini. Tetapi pada saat yang sama, jika tanda tangan telah diletakkan, maka metode pembentukannya tidak akan mempengaruhi pengakuan dan statusnya.

Oleh karena itu, kerangka kerja legislatif harus dimodernisasi sedemikian rupa untuk meminimalkan risiko penolakan untuk menandatangani atau mengubah statusnya karena tindakan (atau tidak bertindak) dari pihak yang menandatangani. Perubahan seperti itu sudah lama ditunggu, karena dokumen mendasar yang mengatur penggunaan langkah-langkah perlindungan informasi kriptografi ( PKZ-2005 , FAPSI 152 ) sudah usang.

Solusi untuk Masalah No. 5 ("Standarisasi Tanda Tangan Elektronik")

© Yandex. Gambar

Standarisasi tanda tangan elektronik berarti harus memastikan bahwa konsumen tidak peduli alat perlindungan informasi kriptografi standar mana yang digunakan.

Standarisasi harus:

Arsitektur dan struktur CIPF.
Applied Program Interfaces (APIs) digunakan untuk menjalankan fungsi CIPF dan berinteraksi dengan lingkungan fungsi fasilitas crypto (SFC).
Format informasi utama, direktori kunci publik, daftar sertifikat yang dipercaya dan dicabut, pesan input dan output.
Operator kunci.
Algoritma dan protokol terkait.
Parameter algoritma dan protokol kriptografi.

Saat ini, CIPF disertifikasi dalam 6 kelas: KS1, KS2, KS2, KV1, KV2, KA1. Setiap kelas hanya mendefinisikan ancaman yang harus dihadapi sistem perlindungan informasi kriptografis, tetapi tidak menetapkan persyaratan kompatibilitas apa pun. Akibatnya, dua cryptocurrency, katakanlah, dari kelas KC1 benar-benar tidak kompatibel satu sama lain.

Dengan demikian, dalam kerangka standardisasi, profil CIPF dari kelas yang sesuai harus dikembangkan, tetapi dengan pembatasan kompatibilitas dan dengan referensi ke lingkungan operasi tertentu. Misalnya, "Penyedia kriptografi standar KC1, untuk bekerja di sistem operasi Windows 10."

Memecahkan masalah No. 6 ("tanda tangan lama") dan No. 7 ("serang kembali ke masa depan")

© Yandex. Gambar

Masalah tanda tangan "lama", algoritma kriptografi yang diretas, dan penipuan dengan tanggal penandatanganan dokumen tidak dapat diselesaikan hanya dengan bantuan tanda tangan elektronik.

Untuk menghilangkan kekurangan ini, perlu dilakukan abstraksi dari penggunaan tanda tangan elektronik yang dangkal dan melihat masalahnya dari sudut pandang manajemen dokumen elektronik yang signifikan secara hukum.

Di sini, perlindungan yang diberikan oleh layanan pihak ketiga yang tepercaya dapat ditambahkan ke perlindungan yang diberikan oleh tanda tangan elektronik. Hanya dengan bantuan layanan ini dimungkinkan untuk menghilangkan masalah yang ditunjukkan.

Contoh layanan pihak ketiga yang tepercaya meliputi:

layanan cap waktu yang memungkinkan Anda untuk secara andal mengatur tanggal pembentukan tanda tangan elektronik;
layanan pengiriman pesan yang dijamin yang memungkinkan Anda untuk menetapkan fakta transfer dokumen antar peserta dalam manajemen dokumen elektronik;
layanan notaris elektronik, yang mengimplementasikan fungsi notaris, tetapi dengan merujuk pada dokumen elektronik;
layanan pengarsipan dan penyimpanan jangka panjang dokumen elektronik, yang memungkinkan untuk memastikan signifikansi hukum dari dokumen tersebut bahkan dalam kondisi kehilangan kekuatan algoritma kriptografi yang digunakan untuk menghasilkan tanda tangan elektronik;
dan lainnya

Tentunya, penggunaan layanan ini tidak akan gratis. Pengenalan mereka yang meluas sebagai persyaratan wajib dapat berdampak buruk pada popularisasi dan penggunaan massal manajemen dokumen elektronik yang signifikan secara hukum dalam perekonomian negara. Di sini, pendekatan yang berbeda diperlukan, di mana, tergantung pada pentingnya dokumen yang ditandatangani, wajib menggunakan layanan ini ditetapkan. Contoh dokumen yang sangat penting termasuk dokumen tentang transaksi real estat, keputusan pengadilan, tindakan legislatif, dll.

Kata penutup

Jadi, kami bertemu dengan beberapa masalah dalam undang-undang saat ini "On Electronic Signatures". Ada banyak masalah, tetapi bahkan dalam artikel ini kami tidak dapat mempertimbangkan semuanya. Namun, kami hanya membicarakan satu, bentuk tanda tangan elektronik yang paling signifikan - tanda tangan elektronik canggih yang berkualitas.

Penting untuk bertanya apakah tanda tangan elektronik lebih baik daripada merugikan.

Secara subyektif, banyak warga negara tidak percaya dengan tanda tangan elektronik, mengingat bahwa segala sesuatu yang terjadi di dunia digital dapat dengan mudah dipalsukan. Sebagian benar, tetapi apa alternatifnya? Tanda tangan dan dokumen kertas?

Jika saat ini baru diketahui sekitar dua kasus pencurian apartemen menggunakan tanda tangan elektronik, maka jumlah pencurian serupa yang dilakukan dengan menggunakan dokumen kertas tradisional akan melebihi angka ini dengan faktor seribu.

Gagasan kami tentang daya tahan dari tanda tangan tulisan tangan adalah ilusi dan berbatasan dengan penipuan diri. Tidak hanya itu dapat dipalsukan oleh siapa pun dengan keterampilan tangan motorik yang kurang lebih berkembang, sehingga sudah dapat direproduksi menggunakan mesin .

Sayangnya, tidak ada perlindungan yang benar-benar stabil. Ini berlaku untuk tanda tangan elektronik dan tulisan tangan.

Semakin besar tanda tangan elektronik akan digunakan, semakin sering mereka akan mencoba memalsukannya (itu ilegal untuk menggunakannya). Ini tidak bisa dihindari. Namun tetap saja, persentase penggunaan tanda tangan elektronik yang sah jauh di atas persentase ilegal, dan efek positif undang-undang melebihi negatif.

Penting untuk dengan cepat menambal "lubang" dalam undang-undang, terus-menerus meningkatkan batasan biaya bagi penjahat cyber untuk melakukan kejahatan. Pada saat yang sama, kait itu sendiri harus mudah diimplementasikan dan efektif.

Bahan tambahan

Direktori undang-undang Rusia tentang keamanan informasi - hukum dan peraturan dasar yang mengatur keamanan informasi di Rusia, termasuk tanda tangan elektronik.
Model Ancaman CIPF - menjelaskan ancaman sehubungan dengan CIPF dan penolakan-tanda tangan elektronik.
Blog Natalia Khramtsova "Siapa yang tidak maju, kembali" - banyak materi tentang masalah tanda tangan elektronik dan manajemen dokumen elektronik.

Apa yang salah dengan hukum federal "On Electronic Signatures" (63-FZ), dan cara memperbaikinya