Определение
Цифровая подпись — это специальный зашифрованный код, присоединяемый к электронному сообщению. Этот код позволяет получателю узнать, является ли отправитель сообщения тем человеком, за которого себя выдает. Это один из самых перспективных способов аутентификации и установления доверительных связей на рынке электронной коммерции. Но до сих пор не существует единого мнения о том, какая форма шифрования является наилучшей и каким образом можно организовать сети, в которых используются цифровые подписи

Словарь Уэбстера определяет подпись как «имя человека, написанное им собственноручно».

Замечательно. Но как вы можете убедиться, что подпись в киберпространстве настоящая?

Как отметил Пол Донфрайд, вице-президент компании Identrus, одна из основных задач в обеспечении безопасности транзакций электронной коммерции — снизить риск ошибочной идентификации.

Identrus была организована 12 крупнейшими мировыми банками с целью создания глобальной оболочки для проведения надежных коммерческих операций между компаниями.

Сейчас цифровые подписи — самое многообещающее решение, которое позволяет электронным компаниям разобраться в сложных вопросах идентификации риска и определения ответственности в киберпространстве.

Цифровая подпись связывает личность пользователя с некоторым частным ключом асимметричного шифрования. Этот частный ключ выдается только одному владельцу и используется для выполнения цифровой подписи и шифрования при передаче данных. Само сообщение может быть прочитано любым человеком, имеющим открытый ключ.

Системы цифровой подписи организуются внутри инфраструктуры открытого ключа (PKI — public key infrastructure), которая поддерживается уполномоченным по сертификатам. Уполномоченный по сертификатам отвечает за выдачу ключей и гарантирует подлинность сертификатов.

Базовые правила для каждой сети цифровой подписи должны быть тщательно проработаны. К примеру, необходимо определить, какой метод шифрования будет использоваться, кто будет выступать в роли уполномоченного по сертификатам.

В США 50 штатов уже подготовили свои законодательства по электронным подписям, причем каждый штат вводит собственные условия, дает свои определения и вносит свои поправки. Не говоря уж о недавно принятых федеральных и международных законах. (Подготовкой соответствующего законодательства заняты многие другие страны, в том числе, европейские, и даже Россия. — Прим. ред.)

Контракты старого мира

По иронии судьбы самой надежной системой для определения условий работы сети цифровой подписи являются традиционные письменные соглашения, которые подписываются всеми сторонами.

«Если участник транзакции придерживается условий контракта, то его действия получают законную силу», — заметил Тед Барасси, один из основателей компании Phlair, предлагающей приложения для защиты транзакций между компаниями. В 1995 году Phlair помогла разработать принципы использования цифровой подписи для Американской ассоциации штрихового кодирования.

«Это понятный способ согласовать и подтвердить условия применения цифровых подписей, не занимаясь анализом множества изменений во внутреннем законодательстве, придающих цифровым подписям законную силу», — сказал Барасси.

Позже конкретные вертикальные отрасли, главным образом банковская, автомобилестроительная и медицинская, начали создавать собственные сети PKI, которые определяют условия применения цифровых подписей в традиционных «бумажных» контрактах.

К примеру, в пилотном проекте Identrus две или более сторон, принимающие участие в сделке, подписывают юридически законные контракты, касающиеся использования цифровых подписей при выполнении конкретных условий.

В этой ситуации сами банки действуют как уполномоченные по сертификатам, управляют рисками и принимают на себя соответствующие обязательства, как это делают, скажем, Visa International или MasterCard International.

В случае транзакции между производителем и потребителем, никаких определенных контрактом гарантий нет... Пока.

Роб Стухмуллер, менеджер французской компании ActivCard Europe, считает, что это вопрос времени, и рано или поздно банки, выпускающие кредитные карточки, будут нести ответственность за интерактивные транзакции.

«Банки, которые уже сейчас выступают в роли доверительного лица, имеют прекрасную возможность стать независимыми доверителями и ответственными за PKI, — считает Стухмуллер. — Когда это произойдет, вы обнаружите эффект треугольника, когда в интерактивную транзакцию вовлечены три стороны — банк, вы и торговая организация».

Visa и другие компании тестировали такие технологии с 1995 года. Но проблемы с интероперабельностью препятствуют утверждению глобальных, основанных на контрактах взаимодействий между производителем и потребителем.

Хотя большинство производителей PKI поддерживают жесткие стандарты интероперабельности (x.509), аналитики считают, что по-прежнему очень трудно сертифицировать носителей цифровой подписи в PKI при такой мешанине продуктов различных производителей и множества уполномоченных по сертификатам.

«Это один из основных вопросов, над которыми приходится работать. Если стороны внешней торговой сети не используют одного и того же уполномоченного по сертификатам, то им придется решать вопросы о взаимном признании сертификатов», — отметил Джон Макгроу, аналитик по вопросам безопасности одной из американских фирм, предлагающих услуги независимого сопровождения информационных систем.

Отсутствие контрактной защиты потребителя очень дорого обходится и торговым компаниям, и покупателям, поскольку в такой ситуации утрачивается самый важный атрибут киберпространства — доверие.

«Отсутствует прецедентное право, определяющее юридическую законность цифровой подписи, — заметил Ларри Зандер, глава McBride Baker & Coles — юридической фирмы, занимающейся вопросами, связанными с информационными технологиями и электронной коммерцией. — Все боятся в какой-то момент обнаружить некредитоспособность партнера».


Невыполнение контракта в киберпространстве

Чтобы юридически законно поставить цифровую подпись, вы должны подписать контракт, который определяет и юридически закрепляет роли и обязанности участников. «Не пытайтесь составить такой контракт без участия юриста», — подчеркнул Пол Донфрейд, вице-президент Identrus — инфраструктуры электронной коммерции между компаниями, созданной 12 крупнейшими мировыми банками. Необходимо ответить на следующие основные вопросы.

  • Кто несет ответственность, если сделка не состоится?
  • Какова ответственность уполномоченного по сертификатам, если будет выявлено злоупотребление ключами или если ключи будут сфальсифицированы?
  • Какова ответственность конечного пользователя в случае утраты ключа или его фальсификации?
  • Какова ответственность самой системы за повреждение или разглашение ключа?
  • Как будет реализован контракт?
  • Как должны разрешаться споры?


Реальная сделка

По словам Паула Рейнса, вице-президента Федерального резервного банка по защите электронных транзакций, цифровые подписи служат для следующих целей.

  1. Целостность данных. Получатель может сказать, если данные были искажены.
  2. Конфиденциальность (шифрование).
  3. Невозможность одностороннего отказа. Вы не можете отказаться от получения сообщения, поскольку открытый ключ возвращает подтверждение о доставке.
  4. Аутентификация отправителя и получателя.

Поделитесь материалом с коллегами и друзьями