Об электронных документах и электронной цифровой подписи

(Иванов Н. А.) («Информационное право», 2006, N 3)

ОБ ЭЛЕКТРОННЫХ ДОКУМЕНТАХ И ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ

Н. А. ИВАНОВ

Иванов Н. А., заведующий сектором компьютерно-технических экспертиз ГУ «Омская лаборатория судебной экспертизы Минюста РФ», кандидат юридических наук.

Основу любого документа составляет документная информация в виде текста, изображения или их сочетания, нанесенная (или закрепленная) каким-либо способом на материальном носителе. Для того чтобы официальные документы, подтверждающие или устанавливающие какие-либо гражданско-правовые отношения, финансовые и иные документы, обладали юридической силой, они должны содержать определенный набор реквизитов, нанесение которых регулируется законодательными или нормативными актами. Для традиционных документов на бумажных носителях, называемых письменными документами (ПД), такими реквизитами являются рукописная подпись и оттиск мастичной или конгревной печати. Рукописная подпись является строго индивидуальным биометрическим показателем лица, уполномоченного подписывать тот или иной документ. Оттиск печати, содержащий текст и изображение (например, Герб РФ или логотип организации), может нанести любой человек, имеющий доступ к печати. При этом мы по каким-либо признакам оттиска никогда не сможем идентифицировать лицо, которое его нанесло. В практике современного документооборота исключен такой ранее широко использовавшийся биометрический способ аутентификации лица, завизировавшего документ, как нанесение его отпечатка пальца. Вероятно, это было сделано по эстетическим и гигиеническим соображениям. Если бы сегодня этот способ применялся, то руководителя или главного бухгалтера предприятия легко можно было бы опознать по въевшейся и неотмывающейся штемпельной краске на одном из пальцев руки. Сегодня нанесение отпечатка пальца в документах применяется в некоторых странах с низким уровнем грамотности для целей идентификации лиц лишь во время проведения избирательных кампаний. Современный научно-технический прогресс дал нам возможность создавать документы с помощью средств компьютерной техники и пересылать их по различным каналам связи. Документы, создаваемые с помощью аппаратных и программных средств компьютерной техники и специально предназначенные для осуществления документооборота, получили название электронных документов (ЭД). Мы не будем в данной работе подвергать критике определение «электронные документы», заложенное в различных законодательных и нормативных актах, а сразу дадим свое, на наш взгляд, наиболее корректное. Под электронным документом будем понимать документную информацию, содержащуюся в файле, созданном для целей хранения и передачи его во времени и пространстве, и соответственно под термином «файл» будем понимать совокупность ограниченных по объему сведений, записанных (зафиксированных) на машинном носителе в виде дискретных сигналов, представляющих собой единое целое по информационному значению. Не останавливаясь детально на структуре электронного документа, можем лишь утверждать, что содержащаяся в нем документная информация является лишь частью (причем не самой большой) общего объема файла. Последняя носит название «служебная часть файла» или «служебная информация». В служебной части файла содержится информация о том, с помощью каких программных и аппаратных средств он был создан, зафиксированы его основные свойства (имя файла, его объем, количество знаков для текстового файла, дата создания, последнего изменения и т. п.). Не рассматривая подробно способы и технологии создания и передачи во времени и в пространстве электронных документов (электронный документооборот (ЭДО)), остановимся только на вопросах придания им юридической силы. Юридическая сила документа, в том числе и ЭД, неразрывно связана с понятием его подлинности. ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения» подлинный документ определяет как «документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом документе или выявленные иным путем, подтверждают достоверность его происхождения» <*>. Здесь необходимо добавить еще несколько требований, о которых почему-то «забыл» законодатель, а именно: ——————————— <*> ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения» (утв. Постановлением Госстандарта РФ от 27 февраля 1998 г. N 28).

— содержание документной информации (а для ЭД и служебной), содержащейся в документе, умышленно и противоправно не изменялось; — использованы материалы, способы, технологии и технические средства для создания документа, защиты его от подделки, персонификации и идентификации, применяемые автором (изготовителем, отправителем) документа и (или) установленные специальными правилами (нормами). Реализовать эти требования можно было бы довольно легко. Создается письменный документ, на который наносится оттиск печати, и исполняется рукописная подпись уполномоченного лица. ПД сканируется и преобразовывается в ЭД, пересылается затем получателю. Если документ является многосторонним, то получатель распечатывает полученный ЭД, на машинограмме наносит подпись, оттиск печати и другие необходимые письменные реквизиты (например, дату подписания документа). Затем машинограмма снова сканируется в файл, пересылаемый обратно. Красивая и элегантная схема электронного документооборота, требующая только приобретения сканера стоимостью две-три тысячи рублей. Для того чтобы исключить возможность ознакомления сторонних лиц с документной информацией, содержащейся в пересылаемых ЭД, автор может осуществить специальную защиту информации, содержащейся в файле, от несанкционированного просмотра. Это легко сделать, используя различные доступные программные средства криптографической защиты. Отправитель и получатель ЭД каким-либо способом (например, при личном контакте) обмениваются паролями для обеспечения доступа к содержимому файла. Факт несанкционированного изменения документной или служебной информации, содержащейся в файле, легко может быть установлен при проверке контрольной суммы (CRC) файла, рассчитанной по протоколу MD5. Значение контрольной суммы пересылается в виде приложения к ЭД. Подобный способ осуществления электронного документооборота можно назвать «комбинированный ЭДО». Визирование ЭД можно осуществить и другим способом. С помощью текстового редактора составляется документ. Используя планшетный дигитайзер, лицо, уполномоченное подписывать ЭД, осуществляет вставку собственноручной подписи в виде ее изображения под текстом документа. Изображение рукописной подписи, внедренной подобным способом в ЭД, должно носить название «электронная подпись» или «электронная цифровая подпись», учитывая цифровые технологии преобразования аналоговой информации в цифровую. Подобная электронная собственноручная подпись (ЭСП) будет являться действительно аналогом собственноручной подписи, исполняемой в письменных документах, поскольку в ней полностью отражаются биометрические характеристики лица, подписавшего документ. Остальные операции по защите электронного документа с ЭСП от несанкционированного изменения и доступа можно осуществлять по аналогии с вышеописанным примером. С учетом вышеизложенного переходим к рассмотрению вопроса, вынесенного в название данной работы. Для решения вопросов об аутентификации автора ЭД, защиты ЭД от несанкционированного изменения и доступа к нему было предложено использовать специальную технологию криптографической защиты, названную «электронная цифровая подпись» (ЭЦП) <*> . Полагаем, технология использования ЭЦП в том виде, в котором она реализуется, не имеет никакого отношения к тому, что мы понимаем под «подписью». Показать это можно на одном примере. Сверните документ на бумажном носителе текстом внутрь. Образовавшийся рулон обвяжите нитью, концы которой залейте сургучом, и на последний нанесите рельефный оттиск конгревного клише. Подобную операцию вы наблюдали каждый раз, когда отправляли бандероли и посылки обычной почтой. Не правда ли, функции ЭЦП, в том понятии, которое придается ей сегодня, аналогичны вышеописанному примеру. То есть применяемую сегодня ЭЦП как способ криптографической защиты и аутентификации автора ЭД следовало бы назвать «электронная цифровая печать». В подтверждение данного тезиса можно добавить, что при использовании ЭЦП вы никоим образом не можете идентифицировать лицо, «подписавшее» электронный документ, с помощью существующей технологии. Кроме того, при использовании ЭЦП возникает ряд проблем, основной из которых является то, что ею может воспользоваться неуполномоченное на это лицо <**>. В этом случае согласно действующему законодательству лицо, на которое официально зарегистрировано ЭЦП, не сможет отказаться от обязательств, содержащихся в подписанном им с помощью ЭЦП документе. И как писала Н. Н. Лебедева, кто бы ни подписал электронный документ, «он будет считаться подлинным, если до момента подписания документа лицо, официально владеющее закрытым ключом ЭЦП, не известил всех участников системы электронного документооборота о необходимости аннулирования ЭЦП в связи с ее выходом из-под контроля» <***>. Не правда ли, ситуация очень напоминает вариант несанкционированного использования традиционной печати. И так же, как и в случае с традиционными печатями, одним из наиболее важных вопросов обеспечения безопасности документооборота является обеспечение защиты и сохранности закрытого ключа ЭЦП. Исключить возможность несанкционированного использования ЭЦП, а также обеспечить ее жесткую привязку только к ее владельцу можно лишь в том случае, если активация использования ЭЦП будет «завязана» на индивидуальных биометрических характеристиках ее владельца. В качестве таких биометрических характеристик могут выступать папиллярный узор пальца, рисунок радужной оболочки глаза или рукописная подпись человека. Но и при использовании последних технология криптографической защиты ЭД и аутентификации его автора все равно не должна носить название «электронная цифровая подпись», а определяться, например, как электронная биометрическая цифровая печать. Авторы Федерального закона «Об электронно-цифровой подписи», рассматривая пути решения защиты ЭД и аутентификации его автора, почему-то использовали только одну схему реализации данных процессов, хотя существуют различные системы аутентификации ЭД. Например, в США согласно Закону об электронных подписях в мировой и национальной торговле (Electronic Signatures in Global and National Commerce Act) аутентификация ЭД в системе электронной торговли может производиться любым «звуком, символом или процессом», который послан с помощью электронного средства обмена и указывает на согласие человека к взаимодействию. Звук, символ или процесс может представлять собой воспроизведение записи голоса, отправленного и полученного через Интернет, сканирование сетчатки глаза, отпечаток пальца, который послан с помощью электроники, рукописную подпись, отсканированную графически, частный номер (типа PIN) или даже просто сообщение электронной почты, в котором человек напечатает его или ее имя. ——————————— <*> Федеральный закон от 10 января 2002 г. N 1-ФЗ «Об электронной цифровой подписи». <**> Чикин В., Иващенко Н. ЭЦП как доказательство в суде // Консультант. 2005. N 1. С. 16. <***> Лебедева Н. Н. Право. Личность. Интернет. М.: Волтерс Клувер, 2004. С. 124.

Полагаем, что нецелесообразно в российских условиях разрабатывать и утверждать несколько законов, каждый из которых регламентирует какой-либо отдельный алгоритм создания, передачи и получения электронных документов, а разработать единый, назвав его, например, Закон «Об электронных документах, их персонификации и аутентификации».

——————————————————————