Электронная цифровая подпись (ЭЦП) – специальная криптографическая комбинация, позволяющая удостовериться в подлинности документа, авторстве подписываемого человека, а также позволяет проверить дату последних изменений. Компрометация ключа электронной подписи – это отсутствие доверия к ЭЦП, подразумевая факт причастности к данным третьих лиц.
Когда наступает компрометация ключа ЭЦП
Ситуации, при которых можно усомниться в действительности электронной подписи, следующие:
· утеря личного шифра, включая его последующую находку – если есть хоть один шанс на то, что ключом могли воспользоваться третьи лица в период между потерей и находкой, то комбинация не может считаться конфиденциальной, компрометируя тем самым ЭЦП;
· увольнение сотрудников, у которых имеется доступ к шифру – причина увольнения в таком случае не играет роли, поскольку если работник больше не числится в штате, то теоретически он может воспользоваться имеющимися данными по своему усмотрению;
· подозрение на утечку информации – это объясняется несанкционированными изменениями в документе, которые не проводились владельцем электронной подписи;
· при хранении ключа в сейфе – нарушенная целостность печати или потеря доступа к сейфу автоматически приводит к компрометации шифра;
· разрушение ключа с подозрением на то, что им могли воспользоваться третьи лица до этого момента;
· иные ситуации, при которых ключом могли воспользоваться злоумышленники.
Владелец электронного ключа самостоятельно определяет риски и возможные последствия, при которых шифр мог оказаться у посторонних людей.
Порядок действий при компрометации ключа
Пользователь, обнаруживший или заподозривший возможную компрометацию, обязан выполнить следующие шаги:
· прекратить все действия в сети, которые связаны с использованием ЭЦП и личного шифра;
· оповестить удостоверяющий центр, в котором был получен ключ, о факте компрометации – процедуру можно осуществить как дистанционно (почта, телефон), так и лично посетив учреждение;
· отозвать скомпрометированный ключ – процедура осуществляется посредством подачи соответствующего заявления в УЦ только владельцем шифра.
Скомпрометированный ключ отзывается в течение получаса после заявления, но при этом не удаляется из системы в целях безопасности. Далее пользователь по желанию может заказать изготовление нового шифра.
