लगभग एक महीने पहले, ड्यूमा ने "
ऑन इलेक्ट्रॉनिक हस्ताक्षर " कानून को अपनाया, जिसे अब रूस में इसके उपयोग के लिए शर्तों का निर्धारण करना चाहिए। इसके अलावा, 2002 से पुराना कानून "
इलेक्ट्रॉनिक डिजिटल हस्ताक्षर पर " लागू है, जो समान मुद्दों को नियंत्रित करता है। यह 1 जुलाई, 2012 तक वैध रहेगा, और इसकी वैधता अवधि के दौरान जारी किए गए हस्ताक्षर कुंजी इस तिथि के बाद मान्य रहेंगे।
नए कानून के लिए एक व्याख्यात्मक नोट में कहा गया है कि "पुरानी शैली" डिजिटल हस्ताक्षर लोकप्रिय नहीं था: 2007 तक, केवल दो सौ हजार हस्ताक्षर कुंजी प्रमाणपत्र जारी किए गए थे, इसका उपयोग करने वाले लोगों की संख्या रूसी आबादी का एक प्रतिशत से भी कम थी। इसने कई रूसियों को यह विश्वास दिलाया है कि "इलेक्ट्रॉनिक हस्ताक्षर रूस में काम नहीं करते हैं।" इसका एक लक्षण कई सुर्खियों में था कि नए सिरे से अपनाया गया कानून "इलेक्ट्रॉनिक हस्ताक्षर को वैध": वास्तव में, हमारे अधिकांश नागरिक रोजमर्रा की जिंदगी में इसका सामना नहीं करते हैं।
यह समझने के लिए कि हमें इलेक्ट्रॉनिक हस्ताक्षरों पर एक नए कानून की आवश्यकता क्यों है और इसके अपनाने से क्या बदल जाएगा, हमें रूसी "सिविल क्रिप्टोग्राफी" के इतिहास में थोड़ा सा बदलाव करने की आवश्यकता है, जो कि संदेशों को एन्क्रिप्ट और साइन करने के लिए डिज़ाइन किए गए प्रोग्राम हैं।
सबको सताया।
विभागीय के विपरीत, "नागरिक क्रिप्टोग्राफी" हमेशा "पक्षी अधिकारों पर" अस्तित्व में है। राज्य ने इसकी मांग को देखा, इसका कारण एन्क्रिप्शन फ़ंक्शन हैं जो इलेक्ट्रॉनिक हस्ताक्षर उत्पन्न करने की क्षमता के साथ ऐसे सॉफ़्टवेयर में मौजूद हैं। वास्तव में, एक "बैक डोर" के स्वतंत्र डेवलपर्स (जो कि कुंजी को जाने बिना संदेश को डिक्रिप्ट करने की क्षमता है) द्वारा बनाए गए कार्यक्रमों में अनुपस्थिति विशेष सेवाओं के काम को गंभीरता से जटिल करती है अगर वे अचानक इस बारे में पढ़ना चाहते हैं कि उपयोगकर्ता एक दूसरे से क्या बात कर रहे हैं।
अपनी शुरुआत से ही सिविल क्रिप्टोग्राफी को परेशान करना शुरू कर दिया गया था। नब्बे के दशक की शुरुआत में, प्रोग्रामर फिलिप ज़िमरमन ने पीजीपी ("प्रिटी गुड प्राइवेसी") प्रोग्राम बनाया, जो आज तक इस क्षेत्र में सबसे लोकप्रिय है। कार्यक्रम ने आपको संदेशों और फ़ाइलों पर हस्ताक्षर करने की अनुमति दी, साथ ही साथ उन्हें एन्क्रिप्ट भी किया। हस्ताक्षर और एन्क्रिप्शन के लिए, दो कुंजियों का उपयोग किया गया, सार्वजनिक और निजी। उपयोगकर्ताओं ने स्वतंत्र रूप से सार्वजनिक कुंजियों का आदान-प्रदान किया, और निजी कुंजी को गुप्त रखा जाना चाहिए था। संदेश को एन्क्रिप्ट करने के लिए, प्राप्तकर्ता की सार्वजनिक कुंजी और लेखक की निजी कुंजी के संयोजन का उपयोग किया गया था। डिक्रिप्शन के लिए, इसके विपरीत, पता करने वाले की निजी कुंजी और लेखक की सार्वजनिक कुंजी आवश्यक थी। इस तरह की एक योजना ने डिक्रिप्शन के लिए आवश्यक कुंजी को रोककर किसी के डर के बिना एन्क्रिप्टेड संदेशों का आदान-प्रदान करना संभव बना दिया, क्योंकि दो कुंजी का उपयोग किया गया था, और उनमें से एक को रोकना असंभव था। यह इस कारण से ठीक है कि सार्वजनिक कुंजी एन्क्रिप्शन (या, जैसा कि इसे "असममित एन्क्रिप्शन" भी कहा जाता है) इंटरनेट पर व्यापक हो गया है।
हालांकि, पीजीपी के निर्माण के तुरंत बाद, ज़िमरमन पर एक आपराधिक मामला खोला गया था। कारण यह था कि फिलिप ने कथित तौर पर संयुक्त राज्य अमेरिका से निर्यात पर प्रतिबंध का उल्लंघन किया था जो मजबूत एन्क्रिप्शन को लागू करता है। मामले को केवल तीन साल बाद खारिज कर दिया गया था, सभी शुल्क Zimmermann से हटा दिए गए थे। इसके तुरंत बाद, उन्होंने PGP, inc। की स्थापना की, जो कार्यक्रम को विकसित करना जारी रखा। और इसके निर्यात पर प्रतिबंध को बहुत सरलता से दरकिनार कर दिया गया। यह केवल इलेक्ट्रॉनिक प्रतियों में वितरित किया गया था, इसलिए PGP के "विदेशी" संस्करण को स्कैन किए गए स्रोत कोड से संकलित किया गया था, जिसे मुद्रित रूप में संयुक्त राज्य से निर्यात किया गया था। यह, निश्चित रूप से, विदेशी है, लेकिन कुछ इस तरह से राज्य ने रूस में नागरिक क्रिप्टोग्राफी का इलाज किया।
कई लोग येल्तसिन के "
डिक्री नंबर 334 " को याद करते हैं
, जो कि एफएपीएसआई द्वारा प्रमाणित किसी भी क्रिप्टोग्राफिक साधनों के उपयोग को मना करता है। इसके अलावा, प्रतिबंध केवल राज्य संगठनों पर लागू नहीं हुआ - सभी को उन्हें विकसित करने और रूस के क्षेत्र में आयात करने से मना किया गया था। सच है, डिक्री ने इस प्रतिबंध का उल्लंघन करने के लिए किसी भी जिम्मेदारी के लिए प्रदान नहीं किया था, इसलिए कई ने अपनी उंगलियों के माध्यम से उसे देखा।
यह अपने संचालन के दौरान था कि बड़े पैमाने पर एन्क्रिप्शन तकनीकों का प्रसार हुआ, जिसमें विंडोज ऑपरेटिंग सिस्टम, साथ ही साथ बहुत पीजीपी के साथ आने वाले कार्यक्रम शामिल हैं, जो आज इस क्षेत्र में वास्तविक मानक बन गया है।
और इसलिए, 2002 में, ईडीएस पर पहला कानून अपनाया गया था। इसने केवल नागरिक कानून के लेनदेन से उत्पन्न होने वाले कानूनी संबंधों को बढ़ाया। इस कानून के अनुसार, "पूर्ण" डिजिटल हस्ताक्षर बनाने के लिए एक प्रमाण पत्र होना चाहिए। अन्य सभी क्रिप्टोग्राफ़िक कार्यक्रमों ने तुरंत एक समझ से बाहर का दर्जा हासिल कर लिया: सैद्धांतिक रूप से, उनके साथ दस्तावेजों पर हस्ताक्षर करना संभव था, यह कानून द्वारा निषिद्ध नहीं था। लेकिन इस तरह के हस्ताक्षर की कानूनी स्थिति को किसी भी तरह से विनियमित नहीं किया गया था। कुंजियों को वितरित करने के लिए, "प्रमाणन केंद्रों" के नेटवर्क के निर्माण के लिए प्रदान किया गया कानून, ऐसे संगठन जो उपयोगकर्ताओं के अनुरोध पर चाबियाँ बनाने वाले थे। और, ऐसा लगता है, ठीक इसी वजह से, रूस में ईडीएस इतना अलोकप्रिय था।
जैसा कि आप जानते हैं, असममित एन्क्रिप्शन पर आधारित एक हस्ताक्षर के लिए दो कुंजी की आवश्यकता होती है - एक सार्वजनिक एक, जिसे कुंजी का मालिक स्वतंत्र रूप से विनिमय कर सकता है, और एक निजी एक, जिसे गुप्त रखा जाना चाहिए। किसी को भी आपकी निजी कुंजी का पता नहीं होना चाहिए, और ईडीएस पर रूसी कानून के अनुसार यह कुंजी "प्रमाणन केंद्र", यानी पूरी तरह से अजनबियों द्वारा उत्पन्न की गई थी। इसलिए, जारी किए गए हस्ताक्षर की इतनी कम संख्या समझ में आती है। कानून को कुंजी गुप्त गोपनीय रखने के लिए प्रमाणन प्राधिकरण की आवश्यकता थी, लेकिन एहतियात की प्राथमिक धारणाओं की आवश्यकता थी कि इस कुंजी को किसी पर भरोसा नहीं किया जाना चाहिए। सावधानी, एक नियम के रूप में, प्रबल।
जैसे यूरोप में
अपने पूर्ववर्ती की तुलना में, "
इलेक्ट्रॉनिक हस्ताक्षर पर " नया कानून, वास्तव में, उदारवाद की एक उत्कृष्ट कृति है। जारी करने और उसमें उपयोग की चाबियों के उपयोग के बुनियादी सिद्धांतों को मौलिक रूप से बदल दिया गया है, यूरोपीय संघ का निर्देश "इलेक्ट्रॉनिक संकेतों के सामान्य सिद्धांतों पर" नए नियमों के लिए एक मॉडल बन गया है। सबसे पहले, कानून न केवल नागरिक लेनदेन तक विस्तारित होता है: एक इलेक्ट्रॉनिक हस्ताक्षर का उपयोग करके, आप अब किसी भी "कानूनी रूप से महत्वपूर्ण कार्यों" को कर सकते हैं, उदाहरण के लिए, यह कानून "राज्य और नगरपालिका सेवाओं के प्रावधान" और "राज्य और नगरपालिका कार्यों के प्रदर्शन" को संदर्भित करता है।
निकट भविष्य में, रिकॉर्ड की गई चाबियों के साथ विशेष "फ्लैश ड्राइव" की बड़े पैमाने पर बिक्री शुरू होगी, जिसका उपयोग सार्वजनिक सेवाओं के पोर्टल तक पहुंचने के दौरान किया जा सकता है। कानून कई प्रकार के इलेक्ट्रॉनिक हस्ताक्षर पेश करता है, उनमें से सबसे सरल को "सरल" कहा जाता है। यह एक "इलेक्ट्रॉनिक हस्ताक्षर" है, जो कोड, पासवर्ड या अन्य माध्यमों के उपयोग के माध्यम से, इस तथ्य की पुष्टि करता है कि एक इलेक्ट्रॉनिक हस्ताक्षर एक निश्चित व्यक्ति द्वारा उत्पन्न होता है। भविष्य में, यह भ्रम का स्रोत बन सकता है, क्योंकि इससे पहले इसे "इलेक्ट्रॉनिक हस्ताक्षर" नहीं माना जाता था, लेकिन इसे "हस्तलिखित हस्ताक्षर का एनालॉग" कहा जाता था। ये विभिन्न पासवर्ड, पुष्टिकरण कोड और पहचान के अन्य साधन हैं।
"सरल" के अलावा, एक "मजबूत" इलेक्ट्रॉनिक हस्ताक्षर भी है, और अब इसमें पहले से ही एन्क्रिप्शन उपकरणों का उपयोग शामिल है। ऐसे उपकरणों की सूची सीमित नहीं है, उन्हें कानून के चौथे लेख में स्थापित न्यूनतम विश्वसनीयता आवश्यकताओं का पालन करना चाहिए। यह महत्वपूर्ण और उपयोगी नवाचारों में से एक है: अब आप हस्ताक्षर करने के लिए न केवल प्रमाणित कार्यक्रमों का उपयोग कर सकते हैं। किसी भी "संवर्धित" हस्ताक्षर के लिए एक सामान्य आवश्यकता एक प्रमाण पत्र प्राप्त करना है, अर्थात्, यह पुष्टि करता है कि निजी कुंजी एक निश्चित व्यक्ति की है। प्रमाण पत्र भी एक प्रमाणीकरण प्राधिकारी द्वारा जारी किया जाता है। हालांकि, यदि स्थापित आवश्यकताओं के साथ हस्ताक्षर का अनुपालन इसके बिना पुष्टि की जा सकती है, तो इसे प्राप्त करना आवश्यक नहीं है।
एक "मजबूत" हस्ताक्षर "अयोग्य" और "योग्य" हो सकता है - बाद वाले मामले में, प्रमाणन केंद्र की सेवाओं की आवश्यकता होती है। नए कानून के तहत ऐसे केंद्रों की कार्य प्रक्रिया पिछले एक के समान है: वे प्रमाणित कार्यक्रमों का उपयोग करके ग्राहकों के लिए हस्ताक्षर कुंजी भी बनाते हैं - वास्तव में, राज्य प्रमाणन और हस्ताक्षर को "योग्य" बनाता है।
पुराने कानून की अवधि के दौरान जारी की गई उन चाबियों को भविष्य में उपयोग किया जा सकता है, नए कानून के अनुसार उन्हें "उन्नत योग्य" हस्ताक्षर के रूप में मान्यता प्राप्त है। और एक अन्य महत्वपूर्ण नवाचार: प्रमाणीकरण अधिकारियों, नए कानून के तहत, "इलेक्ट्रॉनिक हस्ताक्षर एक इलेक्ट्रॉनिक हस्ताक्षर कुंजी और एक इलेक्ट्रॉनिक हस्ताक्षर सत्यापन कुंजी (एक प्रमाणीकरण केंद्र द्वारा बनाई गई सहित) या एक आवेदक द्वारा एक इलेक्ट्रॉनिक हस्ताक्षर कुंजी और एक इलेक्ट्रॉनिक हस्ताक्षर सत्यापन कुंजी बनाने की क्षमता प्रदान करने" का अर्थ है। यह भ्रामक शब्दों से पता चलता है कि कुंजी अब न केवल केंद्र द्वारा, बल्कि उपयोगकर्ता द्वारा भी उत्पन्न की जा सकती है। यही है, अपने चाचा पर भरोसा करना अब जरूरी नहीं है: सीए का मुख्य कार्य तथाकथित "प्रमुख प्रमाण पत्र" जारी करना है जो यह पुष्टि करता है कि यह कुंजी एक निश्चित व्यक्ति की है।
इसके अलावा, नए कानून ने कई अन्य उपयोगी नवाचारों की शुरुआत की, जो इलेक्ट्रॉनिक रूप से दस्तावेजों पर हस्ताक्षर करने वाले लोगों की संख्या में वृद्धि कर सकते हैं। इसलिए, पहले केवल व्यक्ति एक इलेक्ट्रॉनिक हस्ताक्षर का उपयोग कर सकते थे, और अब इस तरह के हस्ताक्षर एक संगठन, कानूनी इकाई या राज्य निकाय के हो सकते हैं। कानून ऐसे हस्ताक्षर के लिए आवश्यकताओं का वर्णन करता है, विशेष रूप से, एक प्रमाण पत्र प्राप्त होने पर, यह न केवल संगठन को इंगित करना चाहिए, बल्कि उस व्यक्ति को भी जो अपनी ओर से दस्तावेजों पर हस्ताक्षर करने के लिए अधिकृत है।
सच है, इस तरह के एक अधिकृत व्यक्ति को उसकी बर्खास्तगी, अटॉर्नी की शक्ति को समाप्त करने और अन्य अनिवार्य परिस्थितियों की स्थिति में कैसे प्रतिस्थापित किया जाए: यह स्पष्ट नहीं है कि ऐसे मामलों में प्रमाण पत्र के साथ क्या करना है, क्या यह संभव है कि एक नए कर्मचारी को शामिल किया जाए जो हस्ताक्षर का प्रबंधन करता है, या प्राप्त करना है या नहीं नया प्रमाणपत्र (या यहां तक कि हस्ताक्षर कुंजी को बदल दें)। एक "कागज़" दस्तावेज़ और उसकी इलेक्ट्रॉनिक प्रति की कानूनी वैधता के मुद्दे पर, कानून निम्नलिखित नियमों को स्थापित करता है: "डिफ़ॉल्ट रूप से", दस्तावेज़ की एक इलेक्ट्रॉनिक प्रति केवल कागज के समान माना जाता है, अगर इसे "योग्य" हस्ताक्षर के साथ हस्ताक्षरित किया जाता है, अर्थात प्रमाणित कार्यक्रमों का उपयोग करके। यदि प्रोग्राम में कोई प्रमाण पत्र नहीं है या "सरल" हस्ताक्षर का उपयोग किया जाता है, तो इलेक्ट्रॉनिक दस्तावेज़ को "पेपर" के लिए प्रासंगिक माना जाता है, यदि यह कानून में स्पष्ट रूप से निर्दिष्ट हो या पार्टियों के समझौते द्वारा स्थापित हो।