Идентификация личности в юриспруденции и бизнесе
Идентификационные системы
Проблемы идентификации и распознавания образов являются не только юридическими: они традиционно рассматриваются в технических приложениях, в частности при идентификации технических объектов, а также в системах ограничения доступа. Особенность юридической сферы заключается в том, что основным объектом идентификации является личность, даже через распознавание объектов иной природы. Идентификацию используют [22]:
• в системах контроля доступа на территорию или в помещения, в том числе в досмотровых и таможенных системах для распознавания недозволенных грузов;
• в криминалистике при идентификации личности по отпечаткам;
• при поиске по вторичным признакам с использованием баз данных;
• в системахидентификации личности в деловых и банковских приложениях, в том числе с использованием пластиковыхкарточек;
• в правовом и налоговом аудите. Далее мы, естественно, сосредоточимся на применении идентификации в бизнесе.
Проблема идентификации личности традиционно представляла интерес для правоохранительных и финансовых органов. Атрибутами идентификации в криминалистике и судебно-медицинской экспертизе, как известно, служат отпечатки пальцев, стилистический и графоаналитический анализ текстовой информации, анализ почерка противоправных действий и др.
Действенным средством решения проблем идентификации признаны информационные технологии [22], использующие возможности баз данных, математические алгоритмы идентификации, возможности вывода заключений с помощью экспертных систем и баз знаний, технологии мультимедиа.
Повышенный интерес к вопросам идентификации наблюдается при организации перемещения граждан и товаров, выдаче виз, в сфере бизнеса и финансов. Так, для последней сферы деятельности характерны проблемы электронной подписи при совершении "электронных" платежей для ускорения финансовых расчетов между субъектами финансовой системы, а также для создания автоматизированной системы безналичных платежей с использованием пластиковых карточек (см. разд. 2.3 и 2.5). Нет нужды говорить о роли штрихкодов в торговле и складском хозяйстве.
Введение понятия "степень различия (расстояния) между двумя идентифицируемыми образами" обеспечивает точку опоры для поиска вероятного решения или потенциальных кандидатов на роль поискового образа, в том числе при криминалистической экспертизе.
Далее в качестве примера систем идентификации личности остановимся на вопросах, связанных с электронной подписью.
8.7. Электронный ключ
На ранних этапах информатизации в сфере защиты информации существовала единственная проблема - защита от несанкционированного доступа. Когда же программирование стало прибыльным, к уже имеющейся проблеме добавилась защита от несанкционированного копирования. Любая система защиты информации состоит из двух логических частей: ключа - уникального признака, присылаемого пользователю, и программно-аппаратного контроллера, который проверяет наличие и соответствие ключа: разрешить ли работу в системе. Человечество изобрело огромное количество ключевых признаков - от простого дверного ключа или пароля до рисунка сетчатки глаза или отпечатка пальца. Именно эти характеристики являются решающими при создании систем защиты для массового применения.
Широкое распространение в последнее время получили электронные ключи [2] - устройства, подключаемые к одному из внешних разъемов компьютера и "прозрачные" для внешних устройств. Электронный ключ представляет собой устройство, как правило, со специальной заказной микросхемой, предназначенной для подключения к компьютеру. Принцип работы ключа основан на функциональном принципе шифрования. По сложности ключи можно разделить на три группы в зависимости от строения входных и выходных данных:
• простейшие работают по принципу " есть ключ - нет ключа";
• стандартные работают по принципу внешнего запоминающего устройства, доступного для чтения заранее записанного туда шифра;
• сложные устроены по принципу реализованной аппаратно-математической функции с парольным ответом.
Согласно требованиям криптографии ключ - это число большой разрядности. С точки зрения пользователя об электронном ключе нередко можно говорить точно так же, как о ключе от сейфа: его можно потерять, выкрасть, скопировать или подобрать при известном, разумеется, усердии. С помощью однажды заданного ключа осуществляется шифрование информации, а программа-дешифратор должна обладать этим ключом или алгоритмом его использования. Защита информации с помощью электронных ключей позволяет отказаться от жесткой привязки программ к ключевой дискете или к конкретному компьютеру. Электронный ключ не мешает нормальной работе параллельного порта и полностью прозрачен для принтера.
С помощью электронных ключей можно эффективным и удобным для потребителей способом организовывать продажу и сопровождение ПО, прокат и абонементное обслуживание клиента, предоставляя ему, скажем, какую-либо информацию по модему.
Фирмы-разработчики криптографического программного обеспечения утверждают, что если пользователь сохранит в секрете ключи, изготовленные им самим с помощью фирменных программ, то его "криптографический сейф" не удастся вскрыть никому, в том числе и разработчикам системы защиты.
Ключ является основным понятием также при организации электронных платежей. Ключ является уникальным идентификатором участника сеанса связи (расчетов). Ключами должны владеть как отправитель (плательщик), так и получатель, причем система должна защищать как одного, так и другого от возможных злоупотреблений как субъектов расчетов, так и третьих лиц.
При организации системы платежей обычно выделяется координационный центр, определяются принципы и алгоритмы, использующиеся участниками системы, для совершения электронной подписи, а также регламент взаимодействия, юридические аспекты обмена взаимной информацией (взаимных расчетов). При использовании системы взаимных расчетов или обменов информации необходимо существенно структурировать передаваемую информацию и определить эти договоренности в регламенте взаимодействия.
Следует отметить неразвитость законодательства в вопросах электронных платежей, в связи с чем возникают проблемы с юридической поддержкой таких систем. В настоящее время подобные системы функционируют преимущественно на основе взаимных или корпоративных договоренностей.
Необязательно распечатывать документлишь затем, чтобыподписатьего. Разработанные способыидентификации поэлектронной подписи основаны на использовании неповторимого секретного ключа: в общем случае он не совпадает с ключом шифрования.
8.8. Электронная подпись
Понятие электронной подписи стало актуальным в последнее десятилетие, а в России - в последние годы в связи с бурным развитием банковских технологий и совершенствованием систем безналичных расчетов. Использовавшиеся для систем связи с ограниченным доступом криптографические методы дали толчок к применению информационных технологий и для организации систем безналичных расчетов.
Электронная подпись - это некоторое информационное сообщение, признаваемое участниками данной ассоциации в качестве подписи. Процедура цифрового подписывания заключается в том, что на основе содержимого файла и ключа подписывания вычисляется некоторый набор символов, называемый цифровой подписью. Алгоритмы вычислений могут быть различны, но все они используют сжатие исходного документа с получением hash-функции (hash - в дословном переводе -"салат", в математическом - "след").
На основании секретного ключа подписывания и hash-функции может формироваться цифровая подпись, а также некий открытый ключ для того, чтобы получатель смог ее проверить. При этом потенциальному злоумышленнику, который взялся бы по подписи автора отыскать его секретный ключ, предлагается задача, которая легко решаема в прямом направлении, но ее практически невозможно решить в обратном.
Для проверки авторства документа используется так называемый открытый образец цифровой подписи - значение, получаемое автором из своего секретного ключа подписывания и сообщаемое всем, кто заинтересован в проверке авторства документа. Сам секретный ключ, как ему и подобает, остается в секрете. Адресату, получившему документ по электронной почте, достаточно запустить программу, вычисляющую на основе содержимого файла и "цифровой подписи" некое новое значение и сравнивающую его с открытым образцом цифровой подписи. Равенство значений доказывает, что документ не модифицировался, т.е. именно этот документ был подписан соответствующим секретным ключом подписывания. Цифровая подпись делает потенциально юридически полноценным документом не распечатку, а сам компьютерный файл.
Электронная подпись (некий код) не является юридическим актом. Сегодня пытаются решить этот вопрос. В частности, в Гражданском кодексе эта проблема решается через договор между предприятиями, организациями или учреждениями, которые заинтересованы в применении электронной подписи, что придаст ей юридическую силу.
Одним из разработчиков средств защиты информации является фирма "ЛАК Крипто". Эта фирма - одна из первых российских фирм, занимающаяся внедрением юридически значимых электронных документов на основе новейших достижений в мировой криптографии. Одной из первых она добилась также широкого использования цифровой электронной подписи и шифрования с открытым распределением ключей и решившая проблемы защиты информации в локальных вычислительных сетях. Технология оформления электронных документов, разработанная с учетом положений нового Гражданского кодекса и Закона "Об информации...", признана Высшим арбитражным судом России..
В частности, система НОТАРИУС - система цифровой подписи позволяет подписывать документы в электронной форме и юридически точно устанавливать их авторство и подлинность. Используются: стандарт РФ (ГОСТ 34.10-94), стандарт США (DES), а также более совершенные фирменные алгоритмы. НОТАРИУС - это также библиотека программ цифровой подписи и проверки подлинности электронных документов. НОТАРИУС позволяет заключать договоры, подписывать контракты, проводить платежи, используя персональный компьютер и модем. Электронные документы, оформленные нотариусом, при наличии соответствующих договорных отношений между фирмами сохраняют юридическую значимость и не требуют бумажных копий. Как утверждают разработчики, для подделки подписи потребуется более 250 лет работы суперкомпьютера мощностью 100 млрд оп./с.
Библиотека программ шифрования файлов ВЕСТА реализует стандарты шифрования ГОСТ 28147-89 (Россия), DES (США), FEAL (Япония), а также быстрые и надежные фирменные алгоритмы, включает в себя систему открытого распределения ключей, которая избавляет от необходимости содержать службу снабжения секретными ключами. ВЕСТА - библиотека программ шифрования, которые можно использовать как для обмена конфиденциальной информацией по открытым каналам связи, так и для хранения секретных данных на привычных магнитных носителях (жесткий диск или дискеты) без дополнительных средств защиты. Фирма "ЛАН Крипто" предлагает ВЕСТУ не только в виде библиотеки самостоятельных программ, но и в виде модулей шифрования для использования в банковских программах, базах данных, других прикладных разработках пользователей.
Согласно Указу Президента РФ от 3.04.95 № 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" запрещается "использование государственными органами и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, но не имеющих сертификата Федерального агентства при Президенте Российской Федерации." Для коммерческих структур действие данного Указа не имеет прямого действия, хотя обратить внимание на сертификацию все равно следует.