Ответственность за использование чужой ЭЦП - Форум по вопросам информационной безопасности

Из
"хранить в тайне закрытый ключ электронной цифровой подписи"
не следует
"передача ключа ЭЦП иному лицу строго говоря не допускается".
При передаче нормального ключевого носителя тайна закрытого ключа не нарушается :)

А в остальном я с вами согласен.

Ну, закон об ЭЦП вообще отличается несуразностями, тут его переплюнул разве 152-ФЗ сооварищи )
По его тексту все-таки везде идет стремление привязать ЭЦП к конкретному пользователю и только ему. Тут вопрос - что понимать под тайной :) .
Согласен, можно сказать, что тайна от передачи не нарушается, но даже в худшем случае, если кто-то с этим не согласится - все равно, ответственности сверх того, что и так есть - не прописано никакой :) . Даже действие ключа не прекращается )

malotavr , не придирайтесь :)
>Обогатите свой словарь термином "факсимиле"<
Мне знаком этот термин, как и соответствующие разделы законодательства
Ссылка на УК была скорее намеком на уровень ответственности, который может возникнуть при вольном обращении с СОБСТВЕННОРУЧНОЙ подписью (и её аналогом - ЭЦП).
Предложения городить огород с внутренними регламентами и юридическими тонкостями договорных документов доверяющими-передоверяющими право пользования СОБСТВЕННОРУЧНОЙ подписью ответственного лица, владеющего этим правом, конечно хороши, но не проще ли обеспечить сертификатом ключа ЭЦП всех, кто должен подписывать документы?

AIB
Я все пытаюсь донести до всех вас одно положение этого закона - "Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе"
Если вы это усвоите, то то, что вы называете несуразностями, перестанет ими быть.
Попробуйте СВОЮ подпись со всей прилагаемой к ней ответственностью доверить хоть кому нибудь? Скажите подчиненному - ты знаешь, как выглядит моя подпись? Черкани там за меня.
Готовы?
Отдавая в чужие руки носитель с сертификатом ключа ЭЦП вы отдаете и ответственность к нему присобаченую. И никому потом не докажете, что это не вы подписали. Даже если это просто письмо, в котором написана несусветная чушь! Впрочем, есть руководители, которые имеют привычку подписывать документы не читая их.

Все очень познавательно.
По крайней мере для меня.
Чтобы не раздувать огня и умерить страсти предлагаю моё ПРОВОКАНДО.
Суть:
Наши проблемы в ЭЦП и ЭДО от отсутствия правильной и юридически отлаженной службы электронного нотариата.
Много видел разных ЭДО но везде все на уровне песочницы - когда заходит разговор о Эл. нотариате для ЭДО (верификации соответствия ЭЦП лицу имеющему на нее право) все включая архитекторов системы начинают краснеть пятнами, выпучивать глаза и переходить на личности.
Когда У нас в стране если нет грамотной верхней процедуры - внизу будет гораздо хуже.
Я лично ждал от Матюхина с его командой в деп. Минсвязи (группа из ФАПСИ) грамотной отладки всей иерархии доверенных удостоверяющих центров ...но...не сумели хлопцы...
Где тот Матюхин...где структура УЦ? Где государственный регламент...?
Надо обьяснить сначала архитекторам и лицам принимающим решения что-есть-что и зачем а уж писать...

Прохожий, да вы гурман! :)

Да-с! Чем и горд! Еще и СНОБ!
Правда кое-кто поверхностно считает это паранойей
Если что-то не понимаю - пытаюсь разобраться.
Но вот эту нужную процедуру и службу даже в мелкоскоп в России не наблюдал.
Поделитесь - где оно есть?
Почему вообще возникает дурная идея использовать чужую ЭЦП без получения на это нотариации-верифицкации от администрации пардон за каламбур

> Мне знаком этот термин, как и соответствующие разделы законодательства

Я не придираюсь, мне действительно показалось, что вы не сталкивались с факсимильными подписями.

Никто ведь не говорит, что нужно вольно обращаться с аналогом собственоручной подписи. Большим дядям предпенсионного возраста так же сложно освоить ЭЦП, как и проставлять собственнуоручную подпись на куче бумаг. Использование факсимиле для них понятно, понятны ограничения, в пределах которых использование факсимиле можно поручить секретарю и до каких пределов секретарб можно доверять, понятна возможная ответственность, понятны нормы, которые нужно включить в регламенты делопроизводства. Просто уже есть отработаная десятилетиями и абсолютно легальная культура делегирования собственноручной подписи помощнику.

Честно говоря, не вижу ни одной причины, по которой использование факсимиле нельзя было бы один в один перенести на случай ЭЦП.

Дык ваш пример с чистым листом бумаги, подписанным директором, очень показателен.
Когда так делают, прекрасно осознают, что может получиться. потому и не злоупотребляют. Впрочем примеров, как таким способом нарываются на оч большие неприятности достаточно. А вот передавая носитель с сертификатом ключа ЭЦП никак не допрут, что делают то же самое. Чему пример топики в этой ветке. Обо всем, только не о главном - об ответственности за содержание подписанного. Глупость подписали - дураком назовут. Левую финансовую бумагу - могут и посадить.

Некто
Я немного лет несколько знимался вопросами ЭЦП и знаю закон ) поверьте, там есть замечательные несуразности. По приведенной же цитате:
"электронная цифровая подпись - реквизит электронного документа, <...> позволяющий идентифицировать владельца сертификата ключа подписи"
"владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи"

, а также
"Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе."
"Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность электронной цифровой подписи в электронном документе;
электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи."
"подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;"

Итак - при передаче ключа подписи ни одно условие не нарушено ;) .
В законе сказано, что ЭЦП равнозначна не просто "собственноручной" подписи, а "собственноручной подписи владельца сертификата" "при соблюдении указанных в законе условий" - а это существенное отличие.

К сожалению или счастью, СВОЮ подпись я передать не могу - она неотчуждаема от меня, т.к. со всеми своими особенностями является свойством моего организма (что там говорили про биометрию... :) ) . Если кто-то попробует поставить "мою" подпись, то он будет вынужден копировать мои движения и особенности, и это будет подделка документа. Аналогия со стороны ЭЦП - если этот человек попытается подобрать закрытый ключ, последствия аналогичны.
Если же я даю человеку факсимиле, и при том документально оформляю его право им пользоваься - почему нет. В данном случае, факсимиле (копия ключа) абсолютно неотличима от оригинала в силу своей цифровой природы.

Я согласен с тем, что часть авторов "закона об ЭЦП" могла хотеть закрепить ключ именно за конкретным человеком без права передачи, текст закона под это весьма заточен. Но что получилось - то получилось, за передачу своего ключа по закону несет оветственность толькоего законный владелец, причем по сути - ровно в том обьеме, какой бы он нес, если бы сам подписал те-же документы.