Описаны способы мошеннических действий с электронными подписями на документах – и это не всегда связано со взломом алгоритмов, есть достаточно обходных путей работы с «неопытными» владельцами ключей электронных подписей. Противостоять мошенникам можно, лишь понимая их приемы, на этом мы и сосредоточились в статье. Особо отмечено, что нужно учитывать при долгосрочном архивном хранении электронных документов. Кроме того, демонстрируются результаты нескольких экспериментов, в которых подписанный документ позже «меняет» отображаемую информацию, а электронная подпись на нем продолжает признаваться достоверной. Это впечатляет!

Технологии достаточно надежные, но…

Технологии электронных подписей и поддерживающая ее технология инфраструктуры открытых ключей имеют репутацию абсолютно надежных. В докладах нередко можно услышать, что их практически невозможно взломать. Но, как показывает практика, нет таких технологий, которые мошенники тем или иным способом не смогли бы обернуть себе на пользу, – и именно на это хотелось бы обратить внимание в первую очередь.

Это не первая технология, которая объявляется «пуленепробиваемой», и опыт уже показал, что не столько велика угроза возможных злоупотреблений при ее использовании (с которыми можно будет бороться), сколько опасна слепая вера общества и суда в надежность и непогрешимость данной технологии. Как следствие, пострадавшие от нового вида мошенничества люди могут сами быть заподозрены в мошенничестве и привлечены к ответственности.

Пример 1

В Великобритании при внедрении высокозащищенных банковских карт нескольких клиентов банков, первыми пострадавших от нового вида мошенничества и обратившихся за компенсацией, сначала отправили в тюрьму по обвинению в вымогательстве и лишь позже разобрались, что кражи совершали сотрудники банка.

Стоит также обратить внимание на то, что некоторые вопросы, связанные с предотвращением мошенничества с использованием электронных подписей, у нас не урегулированы законодательством, хотя уже имеется определенный зарубежный опыт. Негативную роль играет и то, что о проблемах и уязвимостях как-то не принято говорить открыто. Узкий круг специалистов в области информационной безопасности давно об этих проблемах знает, но вот широкие «народные массы» часто не в курсе того, что происходит. А тем временем сфера использования электронных подписей продолжает расширяться…

В мошенничестве с электронными подписями можно выделить 2 разновидности атак:

  • Технические атаки, которые в основном направлены на взлом алгоритмов хеширования. В настоящее время такой метод мошенничества не слишком опасен, поскольку алгоритмы регулярно обновляются, но вот историкам и тем, кому предстоит обеспечивать долговременное хранение электронных документов, стоит обратить на него самое пристальное внимание. Есть лица, которые заинтересованы в искажении или подделке исторических документов, и для этого им достаточно взломать старые, созданные 20 и более лет назад алгоритмы, а это существенно более простая задача. Документы длительного срока хранения могут иметь значительную ценность, соответственно, последствия мошенничества могут быть серьезными.
  • В настоящее время наиболее распространены другие методы мошенничества, связанные либо с обманом подписывающего документ человека, либо с кражей закрытых ключей. Кроме того, возрастают риски создания подставных аккредитованных удостоверяющих центров, способных выпустить квалифицированные сертификаты ключей электронных подписей без ведома людей, указанных в качестве их владельцев.

Существование и увеличение масштабов мошеннических действий с электронными подписями еще более усложняет проблему архивного хранения таких документов, поскольку архивам в своих стратегиях хранения придется учитывать риски подобного рода.

Доказательство компрометации алгоритма хеширования MD5 (2007-2008 гг.)

Технология электронных цифровых подписей использует метод ассиметричного шифрования, а также метод хеширования, который битовой строке произвольной длины ставит в соответствие битовую строку небольшой фиксированной длины, называемую хешем (дайджестом). Для этого разрабатываются специальные алгоритмы. В частности, алгоритм хеширования проектируется таким образом, чтобы вероятность коллизии – совпадения хешей двух различных строк битов, хотя теоретически и ненулевая, была бы настолько малой, что за разумное время с использованием самых мощных вычислительных систем сегодняшнего и завтрашнего дня невозможно было бы подобрать другую строку битов, хеш которой совпадает с хешем известной строки битов. На практике это означает невозможность подобрать альтернативное сообщение, на которое можно «перенести» электронную цифровую подпись под известным сообщением так, чтобы она успешно проверялась.

Однако то, что один человек создал, другой всегда сумеет сломать. К настоящему времени ранние алгоритмы ЭЦП уже взломаны. Теоретическая возможность коллизий для алгоритма хеширования MD5, который первоначально широко применялся при создании электронных подписей (и до сих пор все еще используется в ИТ-отрасли для электронного подписания компьютерных программ), была доказана еще в 2004 году группой проф. Ван Сяоюнь (Xiaoyun Wang), однако многие считали эту угрозу не имеющей практического значения.

В 2007 году группа голландских специалистов – Марк Стивенс (Marc Stevens), Арьен Ленстра (Arjen Lenstra) и Бенне де Вегер (Benne de Weger) пообещала предсказать итоги выборов 2008 года в США и сообщила хэш-значение PDF-файла с предсказанием. На самом деле группа подготовила 12 (!) документов, 10 из которых позже были выложены в Интернете, имевших один и тот же MD5-хэш, – на все возможные (и некоторые невозможные) исходы выборов, см. Пример 2.

Пример 2. Два из подготовленных документов: первый сообщает о победе на выборах Пэрис Хилтон, второй – о победе Барака Обамы (у всех документов один и тот же MD5-хэш: 3D515DEAD7AA16560ABA3E9DF05CBC80)

Вы видите 20% этой статьи. Выберите свой вариант доступа

Купить эту статью
за 300 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Внимание!
20% скидки на 2 полугодие 2021 г. на электронную версию журнала + специальный промокод от 10% на любой тип подписки (бумажная, электронная, комплект с доступом к базе знаний) = скидка от 30%

Рекомендовано для вас

Интервью с Алексеем Апкаликовым: последние тенденции в использовании электронных подписей

Ответы на актуальные вопросы дал исполняющий обязанности директора Удостоверяющего центра компании СберКорус Алексей Апкаликов. Какие события окончательно позволят перевести кадровые документы в цифру? Каким организациям может быть выгодно оформление электронных подписей (ЭП) своим работникам? Какие существуют ЭП по субъектам владения? На какой период выдаются и где их можно использовать? Сколько стоит их изготовление сейчас? Когда и для кого оно станет бесплатным? Может ли сотрудник, получивший подпись у работодателя, использовать ее где-то еще? Нужно ли что-то менять в случае изменения должности? Что нужно сделать при увольнении? Каких изменений нам ждать в ближайшем будущем?

Новая версия 2.7.1 формата обмена системы межведомственного электронного документооборота (МЭДО)

В марте 2021 вступил в силу совместный приказ Минцифры России и ФСО России от 04.12.2020 № 667/233, который утвердил взаимодействие по МЭДО в новой версии формата обмена 2.7.1. Объясняем цели Аппарата Правительства РФ и даем конкретный список произведенных в МЭДО изменений. Рассказываем о сроках и порядке перевода на обновленную технологию СЭД участников обмена, взаимодействующих через МЭДО.

Проверка орфографии и грамматики в MS Word 2016

Показываем, как выполняется автоматическая проверка текста документа (как подчеркиваются ошибки и как можно управлять этим процессом). Если вы станете обращать внимание на выделение ошибок в Word, то сможете их исправлять, и тогда ваши документы станут грамотнее. Можно выполнить проверку текста на правила и русского, и иностранных языков: доступны не только английский и немецкий, но и более редкие языки – азербайджанский, арабские и многие другие.

Цифровое поведение – разумный подход

Какие цифровые следы вы оставляете и кто их анализирует. Как очищать свою историю посещений сайтов, как просматривать их в режиме «Инкогнито». Как разумнее было бы вести себя, чтобы формировать в интернете нужный вам образ для потенциальных работодателей и др. К чему приводит человека бездумное поглощение информации.

Режим рецензирования в Word: автоматическое выявление правок

Режим «Рецензирование» существенно облегчает разработку, согласование вордовского документа группой людей – он автоматически фиксирует каждую вставку, удаление, перемещение текста, форматирование и все это пользователи еще могут комментировать! Показываем, как управлять отображением правок (каким способом, какие типы и от каких пользователей показывать, как определить автора изменений, как распечатать исходный или окончательный вариант текста). Как выявить правки, которые коллега пытался вставить незаметно! Можно объединить в одном документе правки от разных людей, присланные ими в разных версиях файла. А еще можно защитить документ от редактирования либо установить пользователям пределы дозволенного. Даже если режимом «Рецензирование» уже пользуетесь, из этой статьи сможете узнать новые «ювелирные» настройки, которые сделают вашу работу еще удобнее.

Презентация годового отчета и плана

Раскрыты секреты создания эффектной презентации в современном стиле для деловых отчетов и планов: как сделать данные наглядными, как привлекать внимание, как лучше форматировать гистограммы и диаграммы, как использовать шрифты, цвета и картинки, где взять бесплатные фото и иконки. Описаны интересные возможности программы PowerPoint из Microsoft Office, которые стоит применять.

Контроль исполнения поручений в MS Excel

Автор напоминает основные принципы организации контроля исполнения поручений, а потом подробно объясняет, как удобнее автоматизировать эту работу с использованием стандартных возможностей MS Excel (какие поля в таблице регистрационной формы пригодятся, как настроить фильтрацию данных и пользоваться ею, какие сведения удобно выделять автоматически). Статья особенно пригодится тем, кому на покупку специализированного программного обеспечения для автоматизации делопроизводства денег пока не дают.

Интервью с Алексеем Апкаликовым: последние тенденции в использовании электронных подписей

Ответы на актуальные вопросы дал исполняющий обязанности директора Удостоверяющего центра компании СберКорус Алексей Апкаликов. Какие события окончательно позволят перевести кадровые документы в цифру? Каким организациям может быть выгодно оформление электронных подписей (ЭП) своим работникам? Какие существуют ЭП по субъектам владения? На какой период выдаются и где их можно использовать? Сколько стоит их изготовление сейчас? Когда и для кого оно станет бесплатным? Может ли сотрудник, получивший подпись у работодателя, использовать ее где-то еще? Нужно ли что-то менять в случае изменения должности? Что нужно сделать при увольнении? Каких изменений нам ждать в ближайшем будущем?