Сдача электронной отчетности через интернет

Для сдачи отчетности через Интернет необходимы четыре компонента:

· - электронная цифровая подпись;

· - программа криптографической защиты информации (СКЗИ);

· - программа для формирования и отправки отчетности;

· - услуги специализированного оператора связи.

Электронная цифровая подпись. Открытый и секретный ключи подписи.

Дадим основные определения.

Электронный документ

- документ, информация в котором представлена в электронно-цифровой форме. Юридическую значимость электронному документу придает электронная цифровая подпись.

Электронный документооборот

- осуществление информационного обмена установленными электронными документами между налогоплательщиками, получателем отчетности (налоговая инспекция, пенсионный фонд и т.д.) и специализированным оператором связи, через сервер которого проходят документы всех участников информационного обмена.

Электронная цифровая подпись (ЭЦП)— реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки.

ЭЦП - это программно-криптографическое средство, которое обеспечивает:

· - проверку целостности документов;

· - конфиденциальность документов;

· - установление лица, отправившего документ.

Электронная цифровая подпись (ЭЦП) в электронных документах заменяет рукописную подпись. ЭЦП имеет закрытый и открытый ключи.

С помощью закрытого ключа ЭЦП формируется. Закрытый ключ хранится у пользователя и известен только ему.

Открытый ключ ЭЦП доступен всем. С его помощью адресат, которому пользователь отправил документ, проверяет подлинность ЭЦП пользователя.

Сертификат ключа подписи – документ (на бумаге или электронный), который идентифицирует пользователя для других участников документооборота. Сертификат ключа подписи содержит открытый ключ ЭЦП пользователя.

Создание ЭЦП

Электронная цифровая подпись состоит из двух ключей — открытого и закрытого. Оба этих ключа создаются с помощью специальной шифровальной программы (например, «КриптоПро CSP»). Сначала создается закрытый ключ.

Затем та же программа на основании закрытого ключа создает открытый ключ (обратный процесс — подобрать закрытый ключ по открытому ключу — невозможен). Открытый ключ публикуется на сайтах удостоверяющих центров и спецоператора связи, чьими услугами пользуется владелец ключа, а закрытый ключ следует хранить со всеми возможными мерами предосторожности.

Использование ЭЦП

Рассмотрим процесс формирования и сдачи отчетности. Бухгалтер формирует файл с отчетностью (вносит данные организации в электронный формат декларации). Затем он подписывает файл с отчетностью своим закрытым ключом. Подписание образует новый, оригинальный файл. В подписанном ЭЦП документе ни получатель, ни отправитель уже не могут изменить ни одного символа — подобное нарушение целостности документа легко выявляется при проверке с помощью сертификата открытого ключа.

Далее программа, с помощью которой бухгалтер отправляет отчетность, шифрует декларацию открытым ключом инспекции. Зашифрованный файл отправляется в инспекцию. Инспектор получает файл и расшифровывает его своим закрытым ключом, затем проверяет ЭЦП плательщика с помощью реестра сертификатов открытых ключей. Проверка дает ответ на два вопроса: была ли после подписания ЭЦП плательщика нарушена целостность документа и действительно ли данная ЭЦП принадлежит плательщику, сдавшему отчетность.

После проверки инспекция отправляет организации протокол входного контроля. Инспектор подписывает протокол своим закрытым ключом. Затем шифрует протокол открытым ключом компании и направляет файл с зашифрованной информацией в адрес компании. Бухгалтер открывает зашифрованную в файле информацию своим закрытым ключом.

Теоретически перехватить зашифрованный файл может кто угодно. Однако расшифровать файл, направленный в адрес инспекции, можно только имея закрытый ключ инспекции. Соответственно, зашифрованный файл, направленный в компанию, может открыть только тот, у кого есть закрытый ключ компании.

Необходимость сохранить закрытый ключ

· - Необходимо исключить доступ к закрытому ключу посторонних. Имея закрытый ключ, какой-нибудь недоброжелатель может отправить за компанию заведомо ложную отчетность. Например, задолго до срока, в который бухгалтер планирует сдать отчетность, послать в инспекцию декларацию по НДС с огромными суммами к возмещению. В этом случае компании как минимум грозит утомительное разбирательство с налоговиками, которые уже приняли «ложную» отчетность и занесли ее в свою базу. А как максимум (если бухгалтер вовремя не обнаружит факт «ложной» отправки) — истребование документов в ходе углубленной камеральной проверки, доначисления, пени, штрафы и судебный процесс.

· - Необходимо избегать утраты закрытого ключа, выбирать надежный носитель. Дело в том, что никто не сможет выдать организации «дубликат» закрытого ключа — у удостоверяющего центра его просто-напросто нет, а воссоздать закрытый ключ по открытому невозможно. Без закрытого ключа компания не сможет подписать отчетность и расшифровать протоколы из инспекции, где сообщается о том, принята ли отчетность или не принята из-за каких-то ошибок. Единственный выход — получать новые ключи. Если эта процедура затянется, и информацию о новых ключах инспекция примет к сведению с опозданием, декларации придется сдавать лично или отправлять обыкновенной почтой.

Закрытые ключи, у которых истек срок действия, тоже следует хранить бережно. Этот тезис особенно актуален для бухгалтеров, которые хранят все сданные отчеты не на своем компьютере, а в зашифрованном виде на сервере спецоператора связи. Если они лишатся закрытого ключа, действовавшего, скажем, в 2006 году, то не смогут расшифровать собственную налоговую отчетность за этот год.

Удостоверяющие центры

За выдачу сертификата ЭЦП отвечают удостоверяющие центры. Они подтверждают подлинность информации о владельце электронной подписи и его полномочиях.
Удостоверяющим центром может стать организация, которая пропишет соответствующий вид деятельности в уставе и получит необходимые разрешения и лицензии. В данный момент на территории РФ активно работают около 100 удостоверяющих центров. Большую часть рынка делят между собой 7-10 крупнейших УЦ.

Для получения ЭЦП бухгалтер (руководитель) должен предоставить в УЦ документы, удостоверяющие его личность, доверенность от компании и пишет запрос на выдачу сертификата открытого ключа подписи. Центр выдает электронный и бумажный сертификаты открытого ключа подписи. Электронный сертификат — это файл, который представляет из себя открытый ключ клиента, подписанный ЭЦП удостоверяющего центра. Бумажный сертификат содержит следующие данные: открытый ключ ЭЦП, ФИО его владельца, срок действия сертификата (обычно один год), область применения ключа (перечень документов, которые можно подписывать с помощью ключа, на который выдан сертификат), информация об организации, представителем которой является владелец ключа.

Соответственно, после оформления документов в УЦ у клиента на руках оказывается бумажный сертификат и носитель информации (ру-токен, флэшка, дискета) на котором записаны следующие файлы: открытый ключ, закрытый ключ, сертификат открытого ключа.

Информационная безопасность, криптографическая защита информации

По закону сдавать отчетность в электронном виде можно только в том случае, если документооборот защищен, т. е. вся передаваемая информация закрыта от несанкционированного доступа. Защита информации обеспечивается средствами криптографической защиты информации.

Программа для шифрования (СКЗИ)

Аббревиатура СКЗИ означает «средство криптографической защиты информации». Так называют программу, с помощью которой создаются закрытый и открытый ключи ЭЦП. Например, в качестве СКЗИ могут использоваться системы КриптоПро CSP, LISSI-CSP, Signal-COMили Домен-К.

СКЗИ - это комплекс аппаратно-программных средств (шифрование и электронная цифровая подпись), обеспечивающих защиту информации в соответствии с утвержденными стандартами и сертифицированные в соответствии с действующим законодательством.

Цель шифрования файла – сделать невозможным прочтение хранящейся в нем информации посторонними людьми.

Использование электронной цифровой подписи (ЭЦП) документа и СКЗИ обеспечивает:

· - сохранение конфиденциальности переписки;

· - однозначность идентификации налогоплательщика, приславшего файлы отчетности;

· - защиту файлов отчетности от несанкционированных исправлений.

Криптология — наука, занимающаяся методами шифрования и дешифрования информации. Криптология состоит из двух частей — криптография и криптоанализ.

Криптография занимается разработкой методов шифрования данных, в то время как криптоанализ занимается оценкой сильных и слабых сторон методов шифрования, а также разработкой методов, позволяющих взламывать криптосистемы.

Криптография (от греч. криптос — скрытый и графо — пишу) — наука о математических методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.

Система криптографической защиты должна обеспечивать:

· - Конфиденциальность - информация должна быть защищена от несанкционированного прочтения как при хранении, так и при передаче. Если сравнивать с бумажной технологией, то это аналогично запечатыванию информации в конверт. Содержание становится известно только после того, как будет открыт запечатанный конверт. В системах криптографической защиты обеспечивается шифрованием.

· - Контроль доступа - информация должна быть доступна только для того, для кого она предназначена. Если сравнивать с бумажной технологией, то только разрешенный получатель может открыть запечатанный конверт. В системах криптографической защиты обеспечивается шифрованием.

· - Аутентификацию - возможность однозначно идентифицировать отправителя. Если сравнивать с бумажной технологией, то это аналогично подписи отправителя. В системах криптографической защиты обеспечивается электронной цифровой подписью и сертификатом.

· - Целостность - информация должна быть защищена от несанкционированной модификации как при хранении, так и при передаче. В системах криптографической защиты обеспечивается электронной цифровой подписью и имитозащитой.

· - Неотрекаемость- отправитель не может отказаться от совершенного действия. Если сравнивать с бумажной технологией, то это аналогично предъявлению отправителем паспорта перед выполнением действия. В системах криптографической защиты обеспечивается электронной цифровой подписью и сертификатом.

Криптографические методы защиты основаны на возможности осуществления некоторой операции преобразования информации, которая может выполняться одним или несколькими пользователями, обладающими некоторым секретом, без знания которого (с вероятностью близкой к единице за разумное время) невозможно осуществить эту операцию.

Криптографическое преобразование – это преобразование информации, основанное на некотором алгоритме, зависящем от изменяемого параметра (обычно называемого секретным ключом), и обладающее свойством невозможности восстановления исходной информации по преобразованной, без знания действующего ключа, с трудоемкостью меньше заранее заданной.

Некоторые определения

· - Открытый (исходный) текст — данные (не обязательно текстовые), передаваемые без использования криптографии.

· - Шифрованный (закрытый) текст — данные, полученные после применения криптосистемы с указанным ключом.

· - Криптосистема — семейство обратимых преобразований открытого текста в шифрованный.

· - Ключ — параметр шифра, определяющий выбор конкретного преобразования данного текста. В современных шифрах алгоритм шифрования известен и криптографическая стойкость шифра целиком определяется секретностью ключа

· - Шифрование — процесс нормального применения криптографического преобразования открытого текста на основе алгоритма и ключа в результате которого возникает шифрованный текст.

· - Расшифровывание — процесс нормального применения криптографического преобразования шифрованного текста в открытый.

· - Дешифрование (дешифровка) — процесс извлечения открытого текста без знания криптографического ключа на основе известного шифрованного.

· - Имитозащита — защита от навязывания ложной информации. Имитозащита достигается обычно за счет включения в пакет передаваемых данных имитовставки.

· - Имитовставка — блок информации, применяемый для имитозащиты, зависящий от ключа и данных. В частном случае обеспечивается ЭЦП.

К криптографическим методам защиты относятся:

· - шифрование информации (термин шифрование объединяет в себе два процесса: зашифровывание и расшифрование информации);

· - формирование и проверка цифровой подписи электронных документов.

Криптографические технологии защиты информации позволяют решать следующие задачи обеспечения безопасности участников электронного документооборота:

· - обеспечение конфиденциальности (защиты от разглашения) передаваемых или хранимых ЭД (электронных документов);

· - обеспечение целостности (защиты от модификации, подмены или фальсификации) ЭД;

· - обеспечение разграничения ответственности участников обмена ЭД за счет аутентичности (подтверждения авторства ЭД).

Основным достоинством криптографических методов является то, что они обеспечивают высокую гарантированную стойкость защиты, которую можно рассчитать и выразить в числовой форме (средним числом операций или временем, необходимым для раскрытия зашифрованной информации или вычисления ключей).

К числу основных недостатков криптографических методов следует отнести:

· - значительные затраты ресурсов (времени, производительности процессоров) на выполнение криптографических преобразований информации;

· - трудности совместного использования зашифрованной (подписанной) информации, связанные с управлением ключами (генерация, распределение и т. д.);

· - высокие требования к сохранности секретных ключей и защиты открытых ключей от подмены.

Применяемые в системе сдачи отчетности в государственные органы в электронном виде по телекоммуникационным каналам связи средства шифрования аналогичны средствам, которые используются в силовых ведомствах, спецслужбах, системах дипломатической связи, банковских системах и т.д.

Таким образом, передаваемая отчетность полностью защищена от внесения изменений в отчетность абонента. Прочесть файлы с документами может только сотрудник гос.органа, поскольку только он располагает ключами шифрования для расшифровки сообщения.

Криптоалгоритмы. Симметричные и ассиметричные алгоритмы

Криптоалгоритмом называется математическая формула, по которой зашифровывается информация, и расшифровать ее можно только с помощью криптоключа.

Для шифрования файлов используются симметричные и ассиметричные криптоалгоритмы.

Одним из первых шифрование информации (криптографию) на практике применил император Гай Юлий Цезарь. Он отправлял в удаленные провинции послания, где вместо буквы A ставил букву D, вместо буквы B — букву E и т. д. То есть использовал алфавитный сдвиг на три буквы. Этого было достаточно, чтобы враги, перехватившие послание, не могли его расшифровать. Зато адресаты в провинциях, которым секрет шифра был известен, легко читали распоряжения из столицы.
С тех пор прошло больше двух тысяч лет. За это время было придумано огромное множество шифров (у Цезаря это был простейший алфавитный сдвиг на 3 буквы, а в аппаратах-шифраторах второй мировой войны уже применялись жуткие тысячезначные числа). Однако вплоть до недавнего времени ничего принципиально нового наука о шифровании не изобретала. Суть оставалась прежней: до сеанса документооборота отправитель сообщения и его получатель должны были разделить секрет шифра (для чего требовалась либо личная встреча, либо использование каких-то сверхнадежных каналов связи). Такое шифрование, при котором участникам документооборота необходимо передать друг другу секрет шифра, называется симметричная криптография. При симметричном шифровании файл зашифровывается и дешифруется одним и тем же секретным ключом.

Однако в семидесятые годы прошлого века был изобретен принципиально новый способ криптографической защиты информации. Он не требует предварительного обмена секретом шифра, поэтому и был назван ассиметричной криптографией. Именно такой способ шифрования используется в работе ЭЦП. Чтобы послать кому-либо зашифрованную информацию, достаточно самому иметь ключи ЭЦП и знать открытый ключ адресата. Ассиметричное шифрование использует два разных ключа, из которых один – открытый, а другой – закрытый и находится в руках владельца файла.

Симметричные криптосистемы (также симметричное шифрование, симметричные шифры) — способ шифрования, в котором для шифрования и расшифровывания применяется один и тот же криптографический ключ. До изобретения схемы асимметричного шифрования единственным существовавшим способом являлось симметричное шифрование. Ключ алгоритма должен сохраняться в секрете обеими сторонами. Ключ алгоритма выбирается сторонами до начала обмена сообщениями.

В настоящее время симметричные шифры — это:

· - блочные шифры - Обрабатывают информацию блоками определенной длины (обычно 64, 128 бит), применяя к блоку ключ в установленном порядке, как правило, несколькими циклами перемешивания и подстановки, называемыми раундами. Результатом повторения раундов является лавинный эффект — нарастающая потеря соответствия битов между блоками открытых и зашифрованных данных.

· - поточные шифры, в которых шифрование проводится над каждым битом либо байтом исходного (открытого) текста с использованием гаммирования (метод шифрования, основанный на «наложении» гамма-последовательности на открытый текст).

Существует множество (не менее двух десятков) алгоритмов симметричных шифров, существенными параметрами которых являются:

· - стойкость, т. е. способность криптографического алгоритма противостоять возможным атакам на него;

· - длина ключа;

· - число раундов;

· - длина обрабатываемого блока;

· - сложность аппаратной/программной реализации.

Распространенные алгоритмы

· - AES - американский стандарт шифрования

· - ГОСТ 28147-89 — отечественный стандарт шифрования данных

· - DES - стандарт шифрования данных в США до AES

· - 3DES (Triple-DES, тройной DES)

· - RC6 (Шифр Ривеста)

· - Twofish

· - IDEA

· - SEED - корейский стандарт шифрования данных

· - Camellia – шифр, сертифицированный для использовании в Японии

· - CAST (по инициалам разработчиков Carlisle Adams и Stafford Tavares)

· - XTEA - наиболее простой в реализации алгоритм

Сравнение с ассиметричными криптоалгоритмами

Достоинства

· - скорость;

· - простота реализации (за счет более простых операций);

· - меньшая требуемая длина ключа для сопоставимой стойкости;

· - изученность (за счет большего возраста).

Недостатки

· - Сложность управления ключами в большой сети. Означает квадратичное возрастание числа пар ключей, которые надо генерировать, передавать, хранить и уничтожать в сети. Для сети в 10 абонентов требуется 45 ключей, для 100 уже 4950, для 1000 — 499500 и т. д.

· - Сложность обмена ключами. Для применения необходимо решить проблему надежной передачи ключей каждому абоненту, так как нужен секретный канал для передачи каждого ключа обеим сторонам.

Ассиметричные криптоалгоритмы

Ассиметричное шифрование (Криптография с открытым ключом) - асимметричная схема, в которой применяются пары ключей: открытый ключ, который зашифровывает данные, и соответствующий ему закрытый ключ, который их расшифровывает. Вы распространяете свой открытый ключ по всему свету, в то время как закрытый держите в тайне. Любой человек с копией вашего открытого ключа может зашифровать информацию, которую только вы сможете прочитать.

Хотя ключевая пара математически связана, вычисление закрытого ключа из открытого в практическом плане невыполнимо. Каждый, у кого есть ваш открытый ключ, сможет зашифровать данные, но не сможет их расшифровать. Только человек, обладающим соответствующим закрытым ключом может расшифровать информацию.

Главное достижение асимметричного шифрования в том, что оно позволяет людям, не имеющим существующей договоренности о безопасности, обмениваться секретными сообщениями. Необходимость отправителю и получателю согласовывать тайный ключ по специальному защищенному каналу полностью отпала. Все коммуникации затрагивают только открытые ключи, тогда как закрытые хранятся в безопасности.

Распространенные алгоритмы

· - Elgamal (назван в честь автора, Тахира Эльгамаля),

· - RSA (назван в честь изобретателей: Рона Ривеста, Ади Шамира и Леонарда Адлмана),

· - Diffie-Hellman (назван, правильно, в честь ее создателей)

· - DSA, Digital Signature Algorithm (изобретенДэвидомКравиом).

· - и, наиболее перспективный сегодня, алгоритм вычисления с использованием эллиптических кривых.

На последнем методе основан новый Российский стандарт ЭЦП - ГОСТ 34.10-2001.

Схема электронной подписи обычно включает в себя:

· - генерацию ключей пользователя;

· - вычисление подписи;

· - проверку подписи.

Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.

Для того чтобы подписать документ:

1.                 1. Сначала документ сжимается в некоторое число определенной длины. Эта процедура называется вычислением хеш-значения. Хеш-значение (некоторое количество битов) уникально и однозначно определяет содержимое этого документа, являясь его цифровым отпечатком.

2.                 2. Зашифровать с помощью закрытого ключа абонента хеш-значение от содержимого документа, в результате получаем электронную цифровую подпись. ЭЦП является неотъемлемой частью электронного документа и передается вместе с ним, внутри самого документа или в отдельном файле.

Чтобы проверить подпись, нужно:

3.                 3. Расшифровать с помощью открытого ключа значение подписи.

4.                 4. Убедиться, что оно равно хеш-значению подписанного документа. Не имея открытого ключа абонента, невозможно проверить его электронную цифровую подпись.

Таким образом, цифровая подпись - это зашифрованный хеш документа.

Носители ключевой информации

Ключевые носители — хранилища закрытых ключей, а также сертификатов открытых ключей.

В качестве носителя ключевой информации могут использоваться следующие типы носителей:

· - дискета;

· - компакт-диск;

· - флэш-накопитель;

· - защищенный флэш-накопитель (eToken, Rutoken, и др.);

· - смарт-карта;

Важными качествами каждого типа носителей являются:

· - физическая надежность (количество циклов перезаписи и срок эксплуатации носителя);

· - функция защиты информации.

Высокая физическая надежность носителя ключевой информации гарантирует то, что личный ключ ЭЦП, записанный на такой носитель, не будет испорчен в процессе длительной эксплуатации, в то время как носитель с низкой или средней физической надежностью такой гарантии не имеет.

В случае если носитель ключевой информации вышел из строя, был поврежден или испорчен, и личный ключ ЭЦП не читается, клиенту необходимо повторно пройти процедуру генерации ключей.

Что касается функции защиты информации, то при хранении личного ключа ЭЦП на носителе информации, в котором эта функция отсутствует, доступ к личному ключу может быть получен сразу же после ввода пароля к личному ключу (однофакторная аутентификация).

При хранении личного ключа ЭЦП на носителе, в котором функция защиты информации присутствует, доступ к личному ключу может быть получен только после ввода пароля, защищающего носитель и пароля к самому личному ключу ЭЦП (двухфакторная аутентификация).

Дискета 3,5"

Один из самых распространенных, но в то же время самый ненадежный вид ключевых носителей для сертификатов и ключей. Широко используется организациями, потому что стоимость дискеты — низкая. Используя дискету в качестве ключевого носителя для ваших ключей и сертификатов, вы должны быть аккуратными, так как дискета легко ломается, соответственно хранимая на ней информация может быть вами безвозвратно потеряна.

Компакт-диск (CD)

Преимущества:

· - не подвержен воздействию магнитных полей;

· - достаточно устойчив к механическим повреждениям;

· - информация на нем может храниться очень долго.

Недостатки:

· - со временем, при частом использовании данного носителя для подписания документов, поверхность диска может покрыться царапинами, и он перестанет нормально функционировать;

· - компакт-диск обладает средней физической надежностью, и не защищен от несанкционированного доступа.

Флэш-накопитель

Преимущества:

· - достаточно надежный носитель с точки зрения физической надежности.

Недостатки:

· - не обеспечивает защиту личного ключа ЭЦП от несанкционированного доступа;

· - личный ключ ЭЦП может быть стерт или перезаписан по неосторожности.

Защищенный флэш-накопитель и смарт-карта

Это портативные устройства, выполненные в форме USB-брелока, смарт-карты, обеспечивающие хранение конфиденциальной ключевой информации и аутентификацию пользователя. Наиболее функциональным, перспективным, удобным и эргономичным носителем ключевой информации в настоящее время считается USB-брелок. USB-брелок — это аутентификация пользователей, защита электронной переписки, безопасный доступ к ресурсам и приложениям, хранение паролей и сертификатов, единое устройство доступа в помещения и к компьютерам. Для получения доступа к защищенным на компьютере и в сети данным он не требует никаких дополнительных устройств считывания информации и подключается к компьютеру через USB-порт. USB-брелоки удобно и просто использовать. Нужно всего лишь вставить идентификатор в USB-порт, а затем набрать на клавиатуре PIN-код. USB-брелок удобно носить на связке ключей.

Преимущества:

· - наиболее надежные с физической точки зрения и с точки зрения безопасности.

Для работы с токеном не требуется дополнительное оборудование (считыватель), данные надежно хранятся в энергонезависимой памяти токена объемом до 128 Кб, прочный корпус Rutoken устойчив к внешним воздействиям. Основу Rutoken составляет микроконтроллер, который выполняет криптографическое преобразование данных, и память, в которой хранятся данные пользователя (пароли, сертификаты, ключи шифрования и т. д.).

Недостатки:

· - высокая, по сравнению с другими типами носителей, стоимость и необходимость предварительной установки программного обеспечения, позволяющего с ними работать (требуется предварительная установка драйверов устройства).

Решение о выборе типа носителя принимает пользователь, исходя из своих технических и финансовых возможностей.

На российском рынке в качестве ключевых носителей используются следующие USB-брелоки:

· - Rutoken — российское средство аутентификации и защиты информации компании «Актив»,

- eToken — персональное средство строгой аутентификации и хранения данных компании Aladdin.