Проблема совместимости технологических алгоритмов электронных подписей и сертификатов
Признание иностранных сертификатов ключей электронных цифровых подписей (усиленных и квалифицированных) на основе разработки «продуктивных» международных стандартов условий совместимости технологических алгоритмов электронных подписей, использующих асимметричную схему шифрования, в настоящее время и в обозримом будущем не представляется возможным.
Технологические алгоритмы цифровых электронных подписей опираются на сложные математически задачи, вычислительная сложность которых теоретически еще не доказана, поэтому рассчитать уровень их криптостойкости невозможно. Поэтому на международном уровне часто возникают неразрешимые противоречия в части признания иностранных стандартов в данной сфере.
Кроме того, получившая международное признание типовая ассиметричная схема применения электронной цифровой подписи включает следующие три процесса:
Генерация на основе применения датчика псевдослучайных чисел ключевой математически зависимой пары, включая:
закрытый ключ (private key), который сохраняется его владельцем в режиме тайны и используется им для подписи;
открытый ключ (public key), который может быть опубликован владельцем в справочнике открытых ключей и может использоваться для проверки подписи владельца закрытого ключа.
При этом по закрытому ключу легко вычислить открытый ключ, но наоборот -- практически невозможно.
Вычисление и формирование электронной подписи в электронном документе на основе применения закрытого ключа в качестве степени односторонней функции зашифрования -- функции дискретного возведения в степень в модульной арифметике хеша Полученного хешированием (от англ. hash -- превращать в мешанину; свертка сообщения в его дайджест) -- преобразованием массива данных произвольной длины в битовую строку определенной длины в шестнадцатиричном коде согласно принятому стандарту, например: ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования. М. : Стан- дартинформ, 2013. С. 25. (свертки, сигнатуры, хеш-суммы, хеш-кода) массива данных документа (или самого массива данных документа), обратить которую практически не представляется возможным.
Проверка и верификация подписи в принятом электронном документе на основе применения открытого ключа (из ключевой пары) в качестве степени той же самой функции дискретного возведения в степень в модульной арифметике для расшифрования и сравнения полученного результата -- хеша данных (сигнатуры) с рассчитанным хешем (сигнатурой) массива данных полученного электронного документа. В случае их равенства принимается решение, что подпись верна.
В результате обеспечивается целостность и аутентичность переданной информации и снимается организационно-техническая проблема управления (включая распространение, хранение, доставку) множеством ключей для многоабонентских информационных систем (сетей).
Вместе с тем сохраняется ряд технологических проблем, ограничивающих возможности кросс-сертификации криптоалгоритмов электронной подписи, среди которых следующие:
Как обеспечить стабильность источника случайных чисел, используемого для генерации ключевой пары?
Как обеспечить надежное хранение и своевременность смены закрытых ключей?
Как оценить уровень надежности и криптостойкости (необратимости с точки зрения извлечения как корней, так и логарифмов) используемых стандартизованных функций зашифрования в различных криптоалгоритмах в условиях роста производительности современных вычислительных средств, приближающейся к условному порогу, равному приблизительно 1040 операций в секунду (и, возможно, более, если верить иностранным источникам, что существуют вычислительные возможности обеспечения обратимости стандартизованных функций зашифрования)?
-- Как обеспечить оптимальное сочетание требований к производительности (быстроте передачи информации) и криптостойкости криптографических алгоритмов путем перехода к быстрым алгоритмам электронной подписи, основанным на принципиально других методах расчета (например, на теории графов вместо модульной арифметики), еще недостаточно хорошо изученных?
В связи с наличием перечисленных еще теоретически не решенных технологических проблем универсальная международная стандартизация условий совместимости технологических алгоритмов электронных подписей и сертификатов представляется преждевременной.
Вместе с тем опыт правовой регламентации взаимодействия международных субъектов в неопределенных условиях в других предметных областях Например, в области воздушных перевозок -- на основе признания сторонами стандартов и рекомендуемой практики (SARPs -- Standards and Recommended Practices) ИКАО (от англ. ICAO -- International Civil Aviation Organization -- Международная организация гражданской авиации) со штаб-квартирой в Монреале, Канада. позволяет сделать вывод о надежном способе взаимного признания иностранных сертификатов с технологической точки зрения -- это привлечение коммерческими организациями при заключении контрактов третьей квалифицированной стороны. В качестве такого арбитра может выступать крупная частная или государственная организация, имеющая международный авторитет в сфере кибербезопасности. Например, Национальный центр кибербезопасности Германии, Национальный центр кибербезопасности Великобритании (оказывает, в частности, поддержку частному сектору в вопросах промышленной кибербезопасности) и др.
Но более перспективным представля - ется способ заключения и выполнения международных коммерческих сделок (договоров, соглашений) в электронной форме на базе технологии блокчейн От англ. block chain -- цепочка блоков., для которой в принципе отсутствует проблема взаимного признания и совместимости иностранных алгоритмов электронных подписей и сертификатов, поскольку используются децентрализованные одноранговые P2P-сети От англ. peer-to-peer -- равный к равному. для записи информации в распределенном реестре на всех компьютерах сети одновременно. В частности, за последние 10 лет созданы и успешно функционируют частные трансграничные платформы: Cyber Fund, Satoshi Fund, «Голос» (Golos) и др.
Современные блокчейн-технологии, первоначально (в 2009 г.) созданные исключительно для оперативного децентрализованного (без доверенных посредников и ненужных звеньев) электронного обращения криптовалюты (биткоина), широко используются в различных сферах экономики и социальной сферы, включая электронную коммерцию, банковскую сферу, госуправление, страхование, здравоохранение и др., поскольку обладают рядом преимуществ, в том числе и в отношении живучести (информационно-физической безопасности) и повышенной информационной защищенности. Это обусловлено тем, что блокчейн-технологии, наряду с использованием электронных цифровых подписей и мультиподписей, используют последовательно взаимосвязанные цепочки зашифрованных блоков данных, в частности сетевых финансовых транзакций (записей), хранимых одновременно у всех независимых участников (простых пользователей и майнеров -- создателей блоков) блокчейн-платформы, поэтому взлом системы (т.е. географически распреде- ленно хранимого множества взаимодействующих идентичных копий единой базы данных) чрезвычайно затруднен. А взламывать каждый зашифрованный блок (содержит заголовок, ключи текущего и предыдущего блоков для обеспечения связности и целостности, набор записей-транзакций) и множество его копий, которые хранятся в разных местах, достаточно долго и дорого. Причем каждая попытка взлома любого блока из цепочки обязательно будет замечена другими участниками системы. Да и физически разрушить такие системы практически невозможно в связи с использованием значительного числа узлов (компьютеров) для хранения соответствующих копий с интерфейсами для доступа и подробной документацией, часто территориально разбросанных по всему миру.
Предположим, пользователь узла-компьютера В2В-сети, представляющий сторону А (первого контрагента), которая хочет заключить трансграничный коммерческий контракт со стороной B (вторым контрагентом), передает необходимую информацию на узел-компьютер представителя стороны B, с которого передается ответная информация. В В2Г-сети с помощью специальных алгоритмов осуществляется сетевая проверка данной транзакции (она проходит процедуру валидации) и статуса неизвестных (анонимных) пользователей. Подтвержденная транзакция, к слову, может содержать не только информацию о контракте, но и криптовалюту, записи о том или ином событии или вещи, и вообще другую, не связанную с финансами, информацию. Данная транзакция вместе с другими проверенными транзакциями в сети объединяется в очередной блок, который имеет свой хеш-код (контрольную сумму) данных и хеш-код предыдущего блока. Причем простые хеш-функции используются при проверке целостности передачи пакетов, например, по протоколу TCP/IP. А сложные хеш-функции, как в данном случае, используются для криптографических преобразований и электронной подписи, и главные условия для них -- невозможность по конечному результату вычислить начальный, а также стойкость к «коллизиям», т.е. невозможность получения двух одинаковых хеш-функций из двух разных массивов данных при обработке.
После сборки блоки рассылаются автоматически всем участникам P2P^™ для проверки, и если проблем или ошибок нет, то новый блок добавляется к существующей цепочке блоков таким образом, чтобы оставаться постоянным и неизменным. Так формируется цепочка блоков (блокчейн), содержащая информацию обо всех предыдущих и текущих транзакциях. Вся эта информация открыта и публична, и каждый человек может легко ее просмотреть (для этого существуют программы-парсеры Парсер (от англ. parser -- синтаксический анализатор) -- это программа, сервис или скрипт, который собирает открытую («белый», т.е. незапрещенный парсинг) интернет-информацию (о ценах, товарах, конкурентах, контрактах и др.) с указанных веб-ресурсов. или онлайн- сервисы), но она не содержит сведений об участниках транзакций. То есть обеспечивается полная анонимность (при этом существует возможность у самих участников от анонимности отказаться).
Прагматические достоинства хранения данных о заключении и выполнении трансграничных контрактов на блокчейн-платформе: абсолютная достоверность данных (это особенно ценно, когда блоки какого-либо процесса выполняются разными операторами), высокая надежность, исключающая возможность потери, искажения или уничтожения данных; принципиальная открытость данных, простота доступа и проверки базы данных на блокчейн- платформе устраняют возможность совершения коррупционных сделок с объектами недвижимости и др.; сокращаются издержки на ведение реестров, повышается оперативность предоставления данных сторонам договора, в том числе за счет исключения традиционных «посредников».
Заключение
Либерализация гражданского законодательства РФ в 2013 г. в отношении отмены положений о последствиях несоблюдения письменной формы внешнеэкономической сделки не исключила требования заключения международных коммерческих сделок в письменной форме в силу общего правила, предусмотренного в п. 1 ст. 161 ГК РФ. Сохраняет свою силу и оговорка, сделанная СССР, о неприменимости положения Венской конвенции 1980 г., предусматривающего возможность заключать договор не в письменной, а в любой форме, если хотя бы одна из сторон договора имеет свое коммерческое предприятие в СССР.
Анализ содержания ст. 13 Венской конвенции 1980 г. позволил авторам прийти к выводу о заложенном в ней противоречии, которое проявляется в том, что, с одной стороны, словосочетание «для целей настоящей Конвенции» указывает на необходимость толкования данной статьи в соответствии со ст. 7 этой же Конвенции, а именно принимая во внимание ее международный характер. С другой стороны, использование слова «также» явно указывает на неполный перечень возможных форм письменных документов. Авторы приходят к выводу, что в данном случае должно действовать общее правило, в рамках которого предусмотрено, что, поскольку обязательность соблюдения письменной формы вытекает из норм национального права государств, сделавших оговорку, этими нормами (а не Венской конвенцией) определяются и требования к ее соблюдению.
Соответственно, международные коммерческие сделки, заключенные в электронной форме, также будут включаться в сформулированное в Венской конвенции 1980 г. понятие «письменная форма», если таковая удовлетворяет требования национального законодательства государства, сделавшего оговорку в отношении обязательности письменной формы.
С 2019 г. в ГК РФ получила закрепление письменная форма электронной сделки, которая в соответствии с п. 1 ст. 160 ГК РФ будет считаться выполненной при возможности воспроизведения сделки на материальном носителе и идентификации лица, выразившего волю на ее заключение. Измененная редакция п. 1 ст. 160 ГК РФ позволяет сделать допущение, что письменная форма электронной сделки будет считаться соблюденной и при использовании простой и/или неквалифицированной электронных подписей, в отношении которых законодателем принят обратный подход, а именно электронные документы, подписанные такими видами электронной подписи, признаются равнозначными подписанным вручную документам на бумажном носителе, если это установлено федеральным законом или соглашением сторон.
В то же время сравнительный анализ указанного положения с положениями Нью-Йоркской конвенции 2005 г. позволил сделать заключение, что в последней предусмотрен более широкий подход к понятию письменной формы, в которой доступность информации для последующего использования не ограничивается возможностью воспроизведения сделки на материальном носителе.
В результате анализа п. 1 ст. 7 Федерального закона «Об электронной подписи» 2011 г., в которой предусмотрено отнесение иностранной подписи к тому виду, признакам которого она соответствует на основании указанного Закона, выявлены проблемы данного подхода ввиду того, что в разных государствах используются различные стандарты криптографических алгоритмов, лежащих в основе формирования открытого и закрытого ключа электронной подписи. Решение вопроса о признании иностранных электронных подписей (усиленных и квалифицированных) на основе международных стандартов условий совместимости технологических алгоритмов электронных подписей, использующих асимметричную схему шифрования, в настоящее время не представляется возможным. Технологические алгоритмы цифровых электронных подписей опираются на сложные математические задачи, вычислительная сложность которых теоретически еще не доказана, поэтому рассчитать уровень их криптостойкости невозможно. Вместе с тем опыт правовой регламентации взаимодействия международных субъектов в неопределенных условиях в других предметных областях позволяет сделать вывод о надежном способе взаимного признания иностранных сертификатов с технологической точки зрения -- это привлечение коммерческими организациями при заключении контрактов третьей квалифицированной стороны. В качестве такого арбитра может выступать крупная частная или государственная организация, имеющая международный авторитет в сфере кибербезопасности. Наиболее перспективным представляется способ заключения и выполнения международных коммерческих сделок (договоров, соглашений) в электронной форме на базе технологии блокчейн, для которой проблема взаимного признания и совместимости иностранных алгоритмов электронных подписей и сертификатов снимается в силу использования децентрализованных одноранговых PZP-сетей для записи информации в распределенном реестре на всех компьютерах сети одновременно.