Электронная цифровая подпись (ЭЦП) – это специальная криптографическая комбинация, которая позволяет удостовериться в подлинности документа и/или авторстве человека, подписывающего его, а также проверить дату последних изменений. А вот компрометация ключа электронной подписи – это отсутствие доверия к ЭЦП, подразумевая факт причастности к данным третьих лиц. Рассмотрим этот момент подробнее.
Понятие
Как таковое определение компрометации ключа электронной подписи в действующем российском законодательстве отсутствует. Однако под нею принято понимать потерю доверия к тому, что используемые ключи обеспечивают безопасность информации (см. например, разд. 2 Регламента регистрации и подключения юридических и физических лиц к системе электронного документооборота ПФР, утв. постановлением Правления ПФР от 26.01.2001 № 15).
Как ни странно, про компрометацию ключа электронной подписи Федеральный закон «Об электронной подписи» 2011 года № 63-ФЗ ничего не говорит.
Вместе с тем за компрометацию ключа электронной подписи по 63-ФЗ отвечает не только её владелец, но и удостоверяющий центр. На основании п. 4 ч. 2 ст. 13 он обязан обеспечивать конфиденциальность сгенерированных ключей ЭП.
Когда наступает компрометация ключа ЭЦП
Ситуации, при которых можно усомниться в действительности электронной подписи, следующие:
| Ситуация | Пояснение |
| Утеря личного шифра, включая его последующую находку | Если есть хоть один шанс на то, что ключом могли воспользоваться третьи лица в период между потерей и находкой, то комбинация не может считаться конфиденциальной, компрометируя тем самым ЭЦП |
| Увольнение сотрудников, у которых есть доступ к шифру |
|
| Подозрение на утечку информации | Это объясняется несанкционированными изменениями в документе, которые владелец электронной подписи не проводил |
| При хранении ключа в сейфе | Нарушенная целостность печати на нём или потеря доступа к сейфу автоматически приводит к компрометации шифра ЭЦП |
| Разрушение ключа | С подозрением на то, что им могли воспользоваться третьи лица до этого момента |
| Иные ситуации | Когда ключом могли воспользоваться злоумышленники |
Владелец электронного ключа самостоятельно определяет риски и возможные последствия, при которых шифр мог оказаться у посторонних людей.
Напрямую ответственность за компрометацию ключа электронной подписи законом не установлена. Она может выражаться в отобрании ЭЦП, а также последующем преследовании за нарушение режима конфиденциальности закрытых сведений (например, когда компрометация ключа привела к разглашению коммерческой тайны).
Порядок действий при компрометации ключа
Пользователь, обнаруживший или заподозривший возможную компрометацию, по общему правилу обязан выполнить следующие шаги:
- прекратить все действия в сети, которые связаны с использованием ЭЦП и личного шифра;
- оповестить удостоверяющий центр, в котором был получен ключ, о факте компрометации; эту процедуру можно проделать как дистанционно (через электронную почту, телефон и т. п.), так и лично посетив учреждение;
- отозвать скомпрометированный ключ – эта процедура идёт посредством подачи соответствующего заявления в УЦ только владельцем шифра.
Обычно скомпрометированный ключ отзывают в течение получаса после заявления, но при этом не удаляют из системы в целях безопасности. Далее пользователь по желанию может заказать изготовление нового шифра.
Также см. «Удостоверяющий центр ЭЦП».