При отправке «красных конвертов» на WeChat или совершении покупок на Taobao по началу у вас может возникнуть вопрос: надежно ли отправлять или получать деньги одним нажатием пальца на смартфон или щелчком компьютерной мыши? В этом нет никакой магии – в наше время, в эпоху интернета и цифровых технологий, всё чаще начинают использоваться электронные подписи (ЭП). В дополнение к описанным выше сценариям электронной торговли уже существует распространенная практика передачи и хранения файлов в электронных форматах для осуществления предпринимательской деятельности. Однако правовые документы, которые обладают более строгой отчётностью чем сделки электронной торговли – мало кто знает как правильно оформлять и удостоверять электронной подписью.
Поэтому на практике, когда требуется официально оформить юридические документы, люди чаще всего распечатывают их и ставят свои печати или подписи физически, как всегда, это делали. Это неизбежно влечёт за собой значительные временные затраты на процесс исполнения. Кроме того, учитывая постоянный выпуск «поддельных печатей», этот трудоёмкий традиционный подход не обязательно обеспечит более высокую надёжность.
Надежны ли электронные подписи?
Это объясняется двумя причинами. Во-первых, из-за отсутствия применимых законов и нормативных актов об электронной подписи в судебной практике нет авторитетных правил, на которые можно было бы опереться, и поэтому склонны не признавать подлинность электронных правовых документов; во-вторых, широкая общественность до сих пор преимущественно считает, что электронные документы уязвимы для подделки и поэтому невозможно обеспечить их подлинность.
Закон «Об электронной подписи» (или E-signature Law) Китайской Народной Республики, принятый в 2005 году и измененный в 2015 году, предоставляет правовые основания для определения действительности электронных правовых документов. По мере того как компьютерные технологии и криптография развиваются, а технологии становятся всё более надёжными для защиты электронных документов от подделки, общественное восприятие постепенно меняется, что, как мы надеемся, в один прекрасный день приведёт к популярности электронных юридических документов.
На основе Закона «Об электронной подписи» в данной статье даётся обзор электронной подписи, включая ее определение, порядок создания, ее применение и признание в судебной практике. Мы надеемся, что наши читатели найдут его полезным в практике, связанной с электронными правовыми инструментами.
Что представляет собой электронная подпись (ЭП или e-signatures)?
Функции физических подписей
Для понимания концепции ЭП полезно будет вкратце рассмотреть концепцию, функции и особенности физических подписей (включая собственноручные, отпечатки пальцев и проставленные печати). Под физической подписью подразумевается своего рода знак или процесс оставления такого знака. Он служит целям: (1) идентификации подписавшего; и (2) указания на согласие подписавшего с содержанием подписанных документов. Эти две функции основаны на определенных консенсусах (или предположениях):
- Одна собственноручная подпись или проставленная печать соответствует одному уникальному подписавшему: это предполагает, что каждый человек имеет свой собственный почерк и печати, и подделать печати или подделать подписи невозможно;
- Из подписи или печати на бумажных копиях документов следует, что подписавший признал то, что содержится в документах. Это основано на предположении, что разумный человек не стал бы этого делать на документе, не ознакомившись с ним;
- Документ, подписанный или скрепленный печатью, не подлежит изменению. Это также основано на предположении, что технически невозможно изменить содержание документа, напечатанного на бумажном носителе, или подпись или печать, проставленные на этих бумажных носителях.
Концепция e-signatures
Так же, как понимание физических подписей, электронная подпись также может интерпретироваться в два раза. Во-первых, это относится к типу данных. В статье 2 Закона «E-signature Law», заимствуя функции физических подписей, ЭП определяется с точки зрения её функций и последствий следующим образом: «для целей настоящего Закона электронная подпись означает данные в электронной форме, содержащиеся и прикрепленные к изложенным данным, которое будет использоваться для идентификации личности подписавшего и для того, чтобы показать, что подписывающее лицо распознает, что находится в сообщении.
Сообщение данных, упомянутое в настоящем Законе, означает информацию, генерируемую, отправляемую, полученную или хранимую с помощью электронных, оптических, магнитных или аналогичных средств». В статье 13 далее излагаются условия для надёжности электронной подписи, а именно: «(1) когда данные для создания ЭП используются для электронной подписи, она принадлежит исключительно электронной подписавшей стороне; (2) при вводе подписи данные о её создании контролируются только электронной подписью; (3) после того, как она введена, может быть обнаружено любое изменение, внесённое в электронную подпись; и (4) после ввода могут быть обнаружены любые изменения, внесенные в содержание и форму сообщённых данных». В статье 14 также прямо предусмотрено, что «надежная электронная подпись имеет равную юридическую силу с собственноручной подписью или печатью».
Во-вторых, ЭП относится к процессу (или методу) получения таких данных. Например, как поясняется в пункте 4 статьи 34, «данные о создании электронной подписи означают такие данные, как символы и коды, использующиеся в процессе e-signatures и которые надёжно связывают ЭП с электронной подписью».
Из вышеизложенного видно, что данный законодательный акт, определяя электронную подпись, фактически оговаривает её формы (т. е. данные в электронном виде, содержащиеся в сообщении данных), функции и последствия, не ограничивая конкретно подходы или технологии, используемые для реализации электронных подписей.
Технические подходы к внедрению e-signatures
Как отмечалось выше, действующее законодательство устанавливает только формы, а также требования к функциям и эффектам электронных подписей без указания подходов или технологий, используемых для их реализации. Таким образом, теоретически законом может быть принято более одной формы сообщения данных и электронной подписи. До тех пор, пока ЭП создается в порядке, предусмотренном законом, она будет иметь равную юридическую силу с собственноручной подписью или печатью.
Техническая реализация e-signatures может осуществляться с использованием различных подходов, в том числе:
- Цифровая подпись (ЦП или digital signature), использующая инфраструктуру открытых ключей, или технология открытых ключей на основе PKI;
- Подпись, основанная на данных, извлеченных из биологических характеристик (включая отпечаток ладони, голос и радужную оболочку);
- Код ключа, пароль или личный идентификационный номер (PIN-код), который позволяет получателю идентифицировать отправителя.
До настоящего времени первая техническая реализация была апробирована в судебной практике. Используя цифровую подпись трёх основных элементов, центр сертификации и доверенную временную метку, он использует технологию криптографии с открытым ключом для обеспечения надёжности ЭП и является одной из наиболее распространенных технических реализаций электронной подписи в мире. Этот раздел содержит краткое введение в его работу.
Digital signature
ЦП – это специфическая техническая реализация электронных подписей. Цифровая подпись в законодательстве не определена как технический, а не юридический термин. Он также несёт в себе двойное значение. Во-первых, он представляет собой тип данных, прикрепленных к электронным документам, что позволяет получателю электронного документа обнаруживать любые изменения, внесённые в электронный документ кем-либо. Во-вторых, он может относиться к набору методов и процессов, используемых для создания таких данных.
Следующая иллюстративная диаграмма показывает процесс, в котором работает digital signature. При отправке информационных данных отправитель сначала запускает их через хэш-функцию (HASH) для создания дайджеста информации, который затем шифруется с помощью закрытого ключа. Результирующий дайджест зашифрованного файла является цифровой подписью информационных данных. Затем ЦП будет отправлена получателю вместе с файлом. Используя ту же хэш-функцию, получатель сначала вычисляет другой дайджест информации из полученных файлов, а затем использует открытый ключ отправителя для расшифровки digital signature. Если вычисленный дайджест данных совпадает с расшифрованным, то получатель может установить, что цифровая подпись действительно от отправителя.
О хэш-функции (HASH) — это определенный метод обработки данных, который принимает несколько форм. Наиболее широко используемые HASH включают MD5 и SHA. Хэш-функции имеют некоторые общие черты и могут рассматриваться как чёрный ящик, преобразующий информацию на входе в дайджест на выходе. Чёрный ящик обладает следующими характеристиками:
- Он принимает входной битовый поток переменного размера и возвращает выходной битовый поток фиксированной длины;
- Легко вычислить выход из входного сигнала, но вычислительно неосуществимо вернуться, то есть найти вход с заданным выходным значением;
- Выходная длина намного меньше входной, и поэтому теоретически существует возможность столкновения, то есть два разных входа могут хэшировать один и тот же выход. Однако вычислительно невозможно найти два входных сигнала столкновения.
О закрытом ключе и открытом ключе: закрытые (ЗК) и открытые ключи (ОК) используются в асимметричной криптографии, с помощью которой:
- ЗК и ОК работают в паре и один открытый ключ соответствует одному уникальному закрытому ключу;
- Данные, зашифрованные с помощью ОК, могут быть расшифрованы только с помощью соответствующего ЗК и наоборот;
- ЗК хранится шифровальщиком в частном порядке, а ОК находится в открытом доступе.
Из вышеизложенного следует отметить, что цифровая подпись имеет следующие особенности: (1) данные о создании ЦП, а именно ЗК, хранятся подписавшим лицом. Таким образом, когда подпись вводится, данные о её создании контролируются подписавшим; (2) после ввода подписи, если подписавший внесёт какое-либо изменение в электронную подпись, а именно в хэш-значение дайджеста информации, оно будет легко обнаружено, поскольку такое изменение приведёт к сбою расшифровки или дайджесту, расшифрованному с помощью ОК, отличного от дайджеста, хэшированного из полученного файла, (3) после ввода подписи, если подписавший вносит какие-либо изменения в файл, это также может быть легко обнаружено как характеристики хэш-функций, изменённая информация будет хэшировано в дайджест, отличный от того, который был сгенерирован с исходным файлом.
Сравнивая особенности digital signature и требования к ЭП изложенные в законе «Об электронной подписи», можно увидеть, что цифровая подпись не гарантирует, что ЗК принадлежит исключительно электронному подписавшему. Эта проблема решается сертификационными органами.
Если вам понравилась статья или появились вопросы, оставьте ваш комментарий или обсудите эту статью на форуме.
Для Китая важно получить безопасный цифровой юань
Руководство по e-signatures с юридической точки зрения. Часть 2
Руководство по подписанию электронного трудового договора в Китае
