В процессе изучения проблемы долговременной юридической значимости электронного документа я столкнулся со странностями терминологии федерального закона от 06.04.2011 №63-ФЗ "Об электронной подписи". Но для начала я напомню неспециалистам технические аспекты электронной подписи на примере действующего в настоящее время стандарта ГОСТ Р 34.10-2012.
В данном стандарте, описывающем криптографическую схему формирования и проверки электронной подписи, используются термины ключ подписи, определяемый как "секретные данные, специфичные для субъекта и используемые только данным субъектом в процессе формирования подписи", и ключ проверки подписи, определяемый как "данные, математически связанные с ключом подписи и используемые проверяющей стороной в процессе проверки подписи". На практике слова "математически связанные" означают, что существует способ вычислить ключ проверки, если известен ключ подписи, при этом обратный процесс - вычисления ключа подписи по ключу проверки - трудоёмок настолько, что его можно считать невозможным.
Ключ подписи и ключ проверки подписи здесь - первичные сущности, всё остальное - подпись, сертификат ключа проверки, подписываемая информация, признание её юридической значимости и так далее - является либо предметом, к которому применяются ключи, либо результатом применения ключей. Ключи нематериальны, поэтому понятие "владение", "обладание" в отношении них равнозначно понятию "знание": как только ключ "узнал" кто-то ещё - он также становится "владельцем" этого ключа. Таким образом понятия "владение", "владелец" применимы только к ключу подписи, но не к ключу проверки.
Ещё в стандарте используется термин проверка подписи, определяемый как "процесс, в качестве исходных данных которого используются сообщение, ключ проверки подписи и параметры схемы ЭЦП, результатом которого является заключение о правильности или ошибочности цифровой подписи". Из текста стандарта (раздел 4 Общие положения) следует, что если в результате проверки подписи сделано заключение о правильности подписи, то можно говорить и о:
- целостности подписанной информации, т.е. отсутствии изменений, внесенных в неё после подписания;
- доказательном подтверждении авторства лица, подписавшего сообщение;
- защите от возможной подделки.
И вот тут важный вопрос об авторстве подписанта. Нужно понимать, что в контексте общепризнанной схемы электронной цифровой подписи под автором понимается лицо, единственно владеющее ключом подписи. Но как узнать, кто он? Для этого существует ещё один механизм - сертификат ключа проверки подписи. Он содержит ключ проверки подписи и сведения о владельце ключа подписи и существует одновременно в двух видах - на бумажном носителе, предоставляемым удостоверяющим центром и содержащим собственноручную подпись лица, которому выдаётся сертификат, и электронном, подписанным электронной подписью удостоверяющего центра. Я нигде не смог найти точное указание о том, какой из этих двух видов имеет большую юридическую силу, но считаю, что это бумажный - вопрос о достоверности бумажного документа гораздо лучше проработан.
Бумажный сертификат хранится в удостоверяющем центре и у лица, которому выдан и используется только в суде, а электронный сертификат, вместе с электронной подписью, передаётся проверяющей стороне (вообще говоря, то, что мы обычно называем электронной подписью, на самом деле является пакетом, включающим настоящую электронную подпись, декларируемые дату и время подписания и сертификат ключа проверки). А ещё электронный сертификат является подписанным электронным документом, следовательно, его тоже нужно проверять.
На этом я закончу обзор технических вопросов и перейду к, собственно, войне терминов.
Согласно закону сертификат ключа проверки электронной подписи подтверждает "принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи". Но сертификат ключ проверки это информация, которая должна быть предоставлена проверяющей стороне и говорить о "владении" им, как мне кажется, странно. Правильнее говорить о "владельце ключа подписи, соответствующего сертификату ключа проверки", тем более, что в законе используется понятие подтверждение владения ключом электронной подписи, в определении которого речь идёт именно о владении ключом подписи (п.15 ст.2) и даже о правилах подтверждения владения ключом электронной подписи (п.1 ч.5 ст.8).
Ещё в законе используется понятие дата начала и окончания срока действия сертификата ключа проверки, то есть по букве закона с этого момента ключ проверки использовать нельзя. Но это техническая глупость, поскольку схема цифровой подписи основана на секретности ключа подписи, а не ключа проверки. С точки зрения схемы электронной подписи речь должна идти о дате, начиная с которой нельзя формировать электронную подпись, но никак не проверять её.
Но дальше ещё интереснее. Одним из условий признания квалифицированной электронной подписи действительной в случае, когда нет достоверной информации о моменте подписания электронного документа, является действительность сертификата на день проверки его действительности (п.2 ст.11). Напомню, что сертификат существует в неизменном виде с момента его выдачи и присоединяется к каждой электронной подписи. Получив, например, подписанную информацию 1 марта, проверяющая сторона выполняет проверку его действительности. Тогда для любой новой информации, подписанной тем же ключом, полученной в любой последующий момент времени, это условие автоматически выполняется. И уже не важно, закончился ли срок действия ключа подписи - согласно букве закона все такие подписи должны быть признаны действительными.
Я, конечно, понимаю, что на практике скорее всего будут проверять действительность сертификата на момент проверки подписи. Но скорее всего не значит обязательно. И с этим нужно что-то делать.