Идентификация личности в юриспруденции и бизнесе

 

Проблема идентификации личности традиционно представляла интерес для правоохранительных и финансовых органов. Ат­рибутами идентификации в криминалистике и судебно-медицинской экспертизе, как известно, служат отпечатки паль­цев, стилистический и графоаналитический анализ текстовой информации, анализ почерка противоправных действий и др.

Действенным средством решения проблем идентификации признаны информационные технологии [22], использующие возможности баз данных, математические алгоритмы иденти­фикации, возможности вывода заключений с помощью экс­пертных систем и баз знаний, технологии мультимедиа.

Повышенный интерес к вопросам идентификации наблюда­ется при организации перемещения граждан и товаров, выдаче виз, в сфере бизнеса и финансов. Так, для последней сферы дея­тельности характерны проблемы электронной подписи при со­вершении " электронных" платежей для ускорения финансовых расчетов между субъектами финансовой системы, а также для создания автоматизированной системы безналичных платежей с использованием пластиковых карточек (см. разд. 2.3 и 2.5). Нет нужды говорить о роли штрихкодов в торговле и склад­ском хозяйстве.

Введение понятия " степень различия (расстояния) между двумя идентифицируемыми образами" обеспечивает точку опоры для поиска вероятного решения или потенциальных кандидатов на роль поискового образа, в том числе при кри­миналистической экспертизе.

Далее в качестве примера систем идентификации личности остановимся на вопросах, связанных с электронной подписью.

8.7. Электронный ключ

 

На ранних этапах информатизации в сфере защиты информа­ции существовала единственная проблема - защита от несанк­ционированного доступа. Когда же программирование стало прибыльным, к уже имеющейся проблеме добавилась защита от несанкционированного копирования. Любая система защиты информации состоит из двух логических частей: ключа - уникального признака, присылаемого пользователю, и про­граммно-аппаратного контроллера, который про­веряет наличие и соответствие ключа: разрешить ли работу в системе. Человечество изобрело огромное количество ключе­вых признаков - от простого дверного ключа или пароля до рисунка сетчатки глаза или отпечатка пальца. Именно эти ха­рактеристики являются решающими при создании систем за­щиты для массового применения.

Широкое распространение в последнее время получили электронные ключи [2] - устройства, подключаемые к одному из внешних разъемов компьютера и " прозрачные" для внешних устройств. Электронный ключ представляет собой устройство, как правило, со специальной заказной микросхемой, предна­значенной для подключения к компьютеру. Принцип работы ключа основан на функциональном принципе шифрования. По сложности ключи можно разделить на три группы в зависимо­сти от строения входных и выходных данных:

• простейшие работают по принципу " есть ключ - нет ключа";

• стандартные работают по принципу внешнего запоми­нающего устройства, доступного для чтения заранее записан­ного туда шифра;

• сложные устроены по принципу реализованной аппаратно-математической функции с парольным ответом.

Согласно требованиям криптографии ключ - это число большой разрядности. С точки зрения пользователя об элек­тронном ключе нередко можно говорить точно так же, как о ключе от сейфа: его можно потерять, выкрасть, скопировать или подобрать при известном, разумеется, усердии. С помощью однажды заданного ключа осуществляется шифрование ин­формации, а программа-дешифратор должна обладать этим ключом или алгоритмом его использования. Защита информа­ции с помощью электронных ключей позволяет отказаться от жесткой привязки программ к ключевой дискете или к кон­кретному компьютеру. Электронный ключ не мешает нормаль­ной работе параллельного порта и полностью прозрачен для принтера.

С помощью электронных ключей можно эффективным и удобным для потребителей способом организовывать продажу и сопровождение ПО, прокат и абонементное обслуживание клиента, предоставляя ему, скажем, какую-либо информацию по модему.

Фирмы-разработчики криптографического программного обеспечения утверждают, что если пользователь сохранит в секрете ключи, изготовленные им самим с помощью фирмен­ных программ, то его " криптографический сейф" не удастся вскрыть никому, в том числе и разработчикам системы защиты.

Ключ является основным понятием также при организации электронных платежей. Ключ является уникальным идентифи­катором участника сеанса связи (расчетов). Ключами должны владеть как отправитель (плательщик), так и получатель, при­чем система должна защищать как одного, так и другого от возможных злоупотреблений как субъектов расчетов, так и третьих лиц.

При организации системы платежей обычно выделяется ко­ординационный центр, определяются принципы и алгоритмы, использующиеся участниками системы, для совершения элек­тронной подписи, а также регламент взаимодействия, юридиче­ские аспекты обмена взаимной информацией (взаимных расче­тов). При использовании системы взаимных расчетов или об­менов информации необходимо существенно структурировать передаваемую информацию и определить эти договоренности в регламенте взаимодействия.

Следует отметить неразвитость законодательства в вопросах электронных платежей, в связи с чем возникают проблемы с юридической поддержкой таких систем. В настоящее время по­добные системы функционируют преимущественно на основе взаимных или корпоративных договоренностей.

Необязательно распечатывать документлишь затем, чтобыподписатьего. Разработанные способыидентификации поэлектронной подписи основаны на использовании неповтори­мого секретного ключа: в общем случае он не совпадает с клю­чом шифрования.

8.8. Электронная подпись

 

Понятие электронной подписи стало актуальным в последнее десятилетие, а в России - в последние годы в связи с бурным развитием банковских технологий и совершенствованием сис­тем безналичных расчетов. Использовавшиеся для систем связи с ограниченным доступом криптографические методы дали толчок к применению информационных технологий и для ор­ганизации систем безналичных расчетов.

Электронная подпись - это некоторое информационное со­общение, признаваемое участниками данной ассоциации в ка­честве подписи. Процедура цифрового подписывания заключа­ется в том, что на основе содержимого файла и ключа подпи­сывания вычисляется некоторый набор символов, называемый цифровой подписью. Алгоритмы вычислений могут быть раз­личны, но все они используют сжатие исходного документа с получением hash-функции (hash - в дословном переводе -" салат", в математическом - " след").

На основании секретного ключа подписывания и hash-функции может формироваться цифровая подпись, а также не­кий открытый ключ для того, чтобы получатель смог ее прове­рить. При этом потенциальному злоумышленнику, который взялся бы по подписи автора отыскать его секретный ключ, предлагается задача, которая легко решаема в прямом направ­лении, но ее практически невозможно решить в обратном.

Для проверки авторства документа используется так назы­ваемый открытый образец цифровой подписи - значение, по­лучаемое автором из своего секретного ключа подписывания и сообщаемое всем, кто заинтересован в проверке авторства до­кумента. Сам секретный ключ, как ему и подобает, остается в секрете. Адресату, получившему документ по электронной поч­те, достаточно запустить программу, вычисляющую на основе содержимого файла и " цифровой подписи" некое новое значение и сравнивающую его с открытым образцом цифровой под­писи. Равенство значений доказывает, что документ не моди­фицировался, т.е. именно этот документ был подписан соответ­ствующим секретным ключом подписывания. Цифровая под­пись делает потенциально юридически полноценным докумен­том не распечатку, а сам компьютерный файл.

Электронная подпись (некий код) не является юридическим актом. Сегодня пытаются решить этот вопрос. В частности, в Гражданском кодексе эта проблема решается через договор между предприятиями, организациями или учреждениями, ко­торые заинтересованы в применении электронной подписи, что придаст ей юридическую силу.

Одним из разработчиков средств защиты информации явля­ется фирма " ЛАК Крипто". Эта фирма - одна из первых рос­сийских фирм, занимающаяся внедрением юридически значи­мых электронных документов на основе новейших достижений в мировой криптографии. Одной из первых она добилась также широкого использования цифровой электронной подписи и шифрования с открытым распределением ключей и решившая проблемы защиты информации в локальных вычислительных сетях. Технология оформления электронных документов, раз­работанная с учетом положений нового Гражданского кодекса и Закона " Об информации...", признана Высшим арбитражным судом России..

В частности, система НОТАРИУС - система цифровой под­писи позволяет подписывать документы в электронной форме и юридически точно устанавливать их авторство и подлинность. Используются: стандарт РФ (ГОСТ 34.10-94), стандарт США (DES), а также более совершенные фирменные алгоритмы. НОТАРИУС - это также библиотека программ цифровой под­писи и проверки подлинности электронных документов. НО­ТАРИУС позволяет заключать договоры, подписывать кон­тракты, проводить платежи, используя персональный компью­тер и модем. Электронные документы, оформленные нота­риусом, при наличии соответствующих договорных отношений между фирмами сохраняют юридическую значимость и не требуют бумажных копий. Как утверждают разработчики, для подделки подписи потребуется более 250 лет работы суперком­пьютера мощностью 100 млрд оп./с.

Библиотека программ шифрования файлов ВЕСТА реализу­ет стандарты шифрования ГОСТ 28147-89 (Россия), DES (США), FEAL (Япония), а также быстрые и надежные фирмен­ные алгоритмы, включает в себя систему открытого распреде­ления ключей, которая избавляет от необходимости содержать службу снабжения секретными ключами. ВЕСТА - библиотека программ шифрования, которые можно использовать как для обмена конфиденциальной информацией по открытым кана­лам связи, так и для хранения секретных данных на привычных магнитных носителях (жесткий диск или дискеты) без дополни­тельных средств защиты. Фирма " ЛАН Крипто" предлагает ВЕСТУ не только в виде библиотеки самостоятельных про­грамм, но и в виде модулей шифрования для использования в банковских программах, базах данных, других прикладных разработках пользователей.

Согласно Указу Президента РФ от 3.04.95 № 334 " О мерах по соблюдению законности в области разработки, производст­ва, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" за­прещается " использование государственными органами и предприятиями в информационно-телекоммуникационных сис­темах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обра­ботки и передачи информации, не имеющих сертификата Феде­рального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, ис­пользующих указанные технические и шифровальные средства, но не имеющих сертификата Федерального агентства при Пре­зиденте Российской Федерации." Для коммерческих структур действие данного Указа не имеет прямого действия, хотя обра­тить внимание на сертификацию все равно следует.