Слабость современных законов об ЭЦП
Несмотря на очевидную необходимость применения электронно-цифровой подписи в современном мире, дело продвигается с большим трудом. В США электронно-цифровая подпись признается только в некоторых штатах, да и то с оговорками. В России закон об ЭЦП откровенно слаб (и в техническом и в юридическом аспектах) и не может быть применен. Я читал драфт (модельный закон) об ЭЦП, выпущенный в 2007 году, но он ничем не лучше действующего. Европейская директива CADES существенно лучше, но она тоже ничего не раскрывает по существу дела. Хотя если ее принять у нас, то, конечно, это улучшит положение. Как практикующий специалист в области практической криптографии я остановлюсь на ряде моментов, которые представляются мне важными и которые либо не отражены, либо слабо отражены в российском законодательстве.
Апостиль
Несмотря на кажущиеся различия между законодательствами разных стран, юридическая практика, унаследованная нами от римского права, везде схожа. Людям всегда требуется одно и то тоже: регистрация сделок, признание и расторжение брака, наследство, права собственности и прочее. В современном мире, для которого характерна массовая и постоянная миграция людей, глобализация всех процессов, требуются универсальные механизмы признания юридических документов, оформленных в одной стране, на территории другой страны. Поскольку документы на иностранном языке ничтожны (не действительны), так как официально Вы не можете их прочесть и соответственно принять решение, требуется особая юридическая процедура признания документа. Для некоторых типов документов, например для доверенностей, на территории стран-участниц Конвенции, документы, оформленные на территории других стран признаются при наличии специального защищенного от подделки штампа и документа к нему, называемого апостиль. Апостиль и заверяемый им документ могут быть официально переведены и имеют юридическую силу.
В юридическом смысле аналогичная ситуация имеет место и с ЭЦП. Самый спорный момент – это момент наложения пользователем ЭЦП на документ, представленный в электронном виде. Бинарный (машинный) формат документа не может быть понятен пользователю. Соответственно, подпись, наложенная на бинарный документ – ipso facto – юридически незначима! Следовательно, ЭПЦ должна быть наложена на текстовое представление документа, которое безусловно необходимо показать пользователю перед моментом подписания. После подписания документ не может быть изменен. Как вариант, бинарный формат документа должен быть сертифицирован и должен существовать также сертифицированный экземпляр конвертера этого формата в текстовую форму и обратно. XML и соответствующий стандарт подписания неплохой кандидат на юридически признаваемую форму документа.
Свидетельства
Когда мы подписываем серьезный юридический документ, нам нужна гарантия признания его государством, чтобы иметь страховку на случай дальнейших споров и судебного разбирательства. Суд обязательно спросит: действительно ли имело место подписание этого документа? Был ли подписан именно этот документ именно этим лицом и в указанное время? Для доказательства этих фактов мы и отправляется к независимому свидетелю – нотариусу. Нотариус убеждается в подлинности лиц, подписей, непротиворечивости и законности договора и заверяет документ своей подписью и печатью (если предполагается перевод документа на другой язык – накладывает апостиль).
Для юридического признания ЭЦП нам, к сожалению, тоже нужен независимый свидетель. Иначе лицо, наложившее ЭЦП, может впоследствии отрицать факт подписания, сославшись на компьютерные вирусы, несовершенство системы измерения времени и прочие обстоятельства. В законе есть упоминание об этом, но по существу вопроса ничего не сказано.
Таким образом, необходимы технические средства, которые заверяют подпись документа с наложенной на него заверяемой ЭЦП. Это может быть сетевой сервер независимой компании или государственного учреждения, который накладывает поверх заверяемого документа свою ЭЦП, присоединив высокоточную отметку времени. Оригинальная подпись, разумеется, должна быть проверена. Технически это самый тяжело реализуемый момент. Ни в одной из существующих систем он не реализован целиком.
Экспертиза
Предположим, что конфликт все-таки произошел и лицо, наложившее подпись, официально, с суде, отрицает факт подписания документа, или, к примеру, отрицает время подписания. В этой ситуации суд обязан назначить проведение экспертизы технических средств и электронного документа. Производитель системы подписи обязан предоставить инструменты для такой экспертизы. Кроме того, документ должен иметь достаточно реквизитов, чтобы эта экспертиза была возможной. Минимально необходимый набор таков:
- 1. Сертификат открытого ключа лица, подписавшего документ и цепочка сертификатов, вплоть до корня, соотв. системы подписи;
- 2. Список отзыва, действительный на момент подписания документа;
- 3. Наложенная на подпись заверенная ЭЦП отметка времени и ее сертификат (и корень, если отличен от пункта 1)
В ходе экспертизы эксперты должны предоставить суду доказательства того, что:
- Сертификат подписавшего не был отозван на момент подписания и принадлежит подписавшему
- Сертификат подписавшего действительно выпущен указанным центром (проверка цепочки)
- Подпись документа верна
- ЭЦП отметки времени верна. ЭЦП отметки времени содержит корректный сертификат, не был отозван на момент подписания и был выпущен указанным УЦ.
Только при соблюдении указанных условий у нас появляется косвенное доказательство того, что документ был подписан, и причем в указанное время. Тем не менее, возможно, лицо подписавшее документ, действовало под принуждением. Также не исключен вариант, что лицо пало жертвой компьютерного вируса или программы-закладки, или программы удаленного управления, тайно внедренной на компьютер подписавшего. Ряд зарубежных систем ЭЦП имеют в своем техническом арсенале средство сигнализации “работаю под принуждением”, которое позволяет выявить этот факт при проверке. К сожалению, вопрос с вирусами остается открытым.
Идентификационные данные
Какого рода личные данные надо включить в сертификат, чтобы надежно удостовериться, что данный сертификат действительно принадлежит указанному лицу? Разумеется, никакие паспортные данные не могут быть гарантией. Надежную гарантию может предоставить только биометрические данные – отпечатки пальцев, фрагмент ДНК и пр. В настоящее время такие системы только начинают создаваться, и их успехи весьма скромны. Минимум такие системы являются дорогостоящими.
Заключение
Приведенные Выше соображения показывают, что юридическое признание электронно-цифровой подписи в настоящее время очень сложно осуществить, что и подтверждает практика.
