Глава 5. Применение средств электронной цифровой
подписи
в банковских информационных системах
В настоящей главе на примере сети межбанковских расчетов Московского региона рассматривается проблематика применения электронной цифровой подписи в банковской информационной системе. При этом основное внимание уделено теоретическим, организационно-техническим и нормативно-правовым вопросам, которые необходимо решить при использовании средств ЭЦП для защиты электронных документов.
5.1. Место ЭЦП в ряду криптографических механизмов
Первый вопрос, который нужно разрешить, говоря о применении электронной цифровой подписи - это вопрос, а зачем же она нужна, какие задачи она позволяет решать.
Обычно говорят, что ЭЦП является средством обеспечения подлинности и авторства электронного документа. Это, безусловно, так, однако следует сразу же задать следующий вопрос: а для кого, собственно, нужно обеспечивать авторство и подлинность?
Давайте рассмотрим передачу электронного документа от отправителя к получателю. Если получатель хочет убедиться, что документ действительно был сформирован отправителем и не был при передаче искажен, можно, конечно, использовать ЭЦП, но с тем же успехом можно использовать более простой и дешевый механизм имитозащиты. Корректную имитовставку для документа может выработать только тот, кто знает секретный ключ. Поэтому, если этот ключ известен только отправителю и получателю, то положительный результат проверки полученной вместе с документом имитовставки дает получателю уверенность в том, что документ действительно сформирован отправителем и послан им именно в том виде, в котором получен.
В рассматриваемом случае у применения ЭЦП есть единственное отличие от имитовставки: получатель не сможет подделать ЭЦП под документом, а вот подделать имитовставку ему не составит труда. Но до тех пор, пока мы ограничиваем рассмотрение только двумя субъектами отношений, отправителем и получателем, подделка чего-либо получателем лишена всякого смысла: отправителя он обмануть все равно не сможет, так как тот достоверно знает, отправлял он документ или нет.
Таким образом, применение механизмов электронной цифровой подписи может стать осмысленным только в том случае, когда в отношения, связанные с электронным документом, вступает третий участник, пытающийся решить вопрос об авторстве этого документа. В деловой практике этим участником может быть арбитр, третейский судья и т.п. То есть применение ЭЦП целесообразно лишь тогда, когда отправитель и получатель электронного документа предполагают возможность арбитражного разрешения конфликта по поводу его подлинности.
Из всего сказанного следует, что вопрос о применении средств электронной цифровой подписи - это вопрос в первую очередь не криптографический и не технический, а организационно-правовой.
Поэтому при внедрении средств электронной цифровой подписи в банковские информационные системы основное внимание должно уделяться обеспечению условий, при которых возможен корректный разбор в арбитраже конфликтов, связанных с авторством и подлинностью электронных документов.
Назад к разделу "4.2. Платежные интернет-системы на основе виртуальных счетов"