ПОДПИШИ ДОКУМЕНТ ВИРТУАЛЬНО

Спецвыпуск Xakep, номер #019, стр. 019-052-1

электронная подпись и ее баги

TANAT (tanat@yes.ru)

Электронная подпись - это такая штука, которую можно впарить в любой электронный документ, и он после этого возымеет юридическую силу. Если по-русски, то это аналог печати и обычной подписи на листке бумаги (или, выражаясь юридическим языком, бумажном носителе :)). Получается, что ты можешь, не отходя от компа, заключать сделки, руководить целой конторой и даже жениться! Ну или выйти замуж - прелестные создания, мы о вас не забыли ;). Круто, да? Похоже, что компьютер совершенно конкретно входит в нашу жизнь, да не просто входит, а еще и корни там пускает. Вот тут и начинается самое интересное! Где есть компьютер, там есть ламеры, а где есть ламеры, есть и мы (вечно ждущие, как бы кого-нибудь обхакать). Ну, это что-то типа "хищник-жертва", "борьба за выживание" или "поимей ближнего своего". Только тут фишка не простая: механизмы зашиты у электронной подписи разработаны не компанией Microsoft, следовательно, и эксплоит к ним на www.securityfocus.com не валяется. А придумало защиту к ней наше Государство. Ну, может, и не придумало, но организовало, так как в криптографии наши доблестные депутаты не сильны ;-).

Электронная цифровая подпись - реквизит электронного документа, предназначенный

для защиты данного электронного документа от подделки, полученный в результате

криптографического преобразования информации с использованием закрытого ключа

электронной цифровой подписи и позволяющий идентифицировать владельца

сертификата ключа подписи, а также установить отсутствие искажения информации в

электронном документе.

Закрытый ключ электронной цифровой подписи - уникальная последовательность

символов, известная владельцу сертификата ключа подписи и предназначенная для

создания в электронных документах электронной цифровой подписи с использованием

средств электронной цифровой подписи.

Президент Российской Федерации

В.ПУТИН

Москва, Кремль

10 января 2002 года

Теперь давай выясним, что там за чудо-сертификат имел в виду наш Президент (смотри врезку). Для того чтобы подписывать документы цифровой закорючкой, нужно получить "сертификат ключа подписи". Выдаются такие штуки в специальных "Удостоверяющих центрах". Это такие учреждения (которые, кстати, надо лицензировать - государство там все понюхает и попробует на вкус, прежде чем разрешит выдавать сертификаты), где за определенную сумму тугриков РФ ты получишь бумажку и так называемый "закрытый ключ". Вот с помощью последнего и осуществляется криптографическое кодирование. Самое интересное, что организовывать "честные" удостоверяющие центры выгодно, так как люди платят деньги за получение личного сертификата. "Честные" - это такие, которые не будут надувать потребителя. Дело в том, что есть закон, согласно которому эти центры несут ответственность за действия, способные причинить ущерб обладателю сертификата. И при этом они обязаны возместить все причиненные потери. Например, если такой центр выдаст тебе сертификат, а потом сообщит еще кому-то закрытый ключ, то этот кто-то сможет совершать сделки от твоего имени. А если удастся доказать, что виноват во всем данный центр, то с него можно столько