Мне кажется, «электронная подпись» в России мало распространена не по причине плохих законов, а потому что в самом этом вопросе мало кто разбирается. То есть – нужны внятные объяснения и инструкции.

1. Что вообще такое «электронная подпись».

Под «электронной цифровой подписью» понимается система взаимоотношений и программного обеспечения, обеспечивающая следующее:
1) аутентификацию: возможность однозначно идентифицировать совершающего действие;
2) целостность: информация должна быть защищена от несанкционированной модификации как при хранении, так и при передаче.
3) неотрекаемость: совершающий действие не может отказаться от совершенного действия.

2. Техническая реализация на базе RSA

Суть метода RSA в следующем: «ключ» к информации имеет две составляющие: «открытый ключ» и «закрытый ключ». Открытый – используется для шифрации и публичен, закрытый – используется для декодирования сообщений и секретен.

Важный момент: знание открытого ключа – не даёт возможности узнать закрытый ключ. Программное обеспечение по вашему требованию создаёт вашу личную пару ключей, из которых открытый – вы передаете вашим корреспондентам, а закрытый используете для раскодирования сообщений.

Для “подписи” документа не обязательно весь этот документ кодировать. Например, можно каким-либо методом создать “хэш” сообщения (например, методом MD5 хэш в 128 бит), т.е. как бы его “отпечаток”, что-то типа контрольной суммы, с помощью открытого ключа, а с помощью открытого ключа можно проверить, соответствует ли хэш этому документу – если он подвергся модификации, то соответствия не будет; если соответствует, значит, получен в точности тот самый документ, который был “подписан” этим отпечатком.

(Вообще говоря, возможна ситуация, что при искажении отпечаток не изменится, - но крайне маловероятна.)

Использование ключей для подписи документов регламентирует “сертификат”. С формальной точки зрения, электронный сертификат - цифровой документ (файл), который связывает ключ с определенным пользователем или приложением. Применяемые сейчас сертификаты описываются стандартом X.509 (см. RFC 3647).

Например, система WebMoney для каждого «кошелька» создаёт вам индивидуальный сертификат, и при установке программного обеспечения устанавливает на вашем компьютере свой (самой системы) сертификат – чтобы проверять сообщения от самой системы. Ваш личный сертификат содержит пару ключей (используется для «подписывания» документов), чужие сертификаты содержат открытые ключи.

Сайты интернета, использующие “защищенный” протокол доступа (https), предоставляют вам свои сертификаты. Эти сертификаты могут быть зарегистрированы в “сертификационном центре”, а ваше программное обеспечение может быть настроено так, чтобы “доверять” сайтам, зарегистрированным в сертификационных центрах. То есть, для заверения подлинности электронного сертификата используется электронная цифровая подпись доверенного центра (сертификационного центра). Если подписи доверителя нет - вы сами принимаете решение, доверять или нет.

3. Юридическая реализация

В соответствии с российским законодательством, сертификаты для электронной цифровой подписи признаются юридически значимыми (см. 1), если специальный "удостоверяющий центр" выдал сертификат ключа подписи (выдал как «…документ на бумажном носителе…»). Если срок этого сертификата не истек, то закон признает «неотрекаемость».

Система, использующая средства электронной цифровой подписи – должна быть сертифицирована (государством); если она не сертифицирована, то в случае понесения кем-либо убытков из-за неправильной работы иск можно предъявлять создателям и распространителям системы. (Т.е. не той фирме, которая у себя программу установила, а той, которая эту программу создала.) Т.е. если вы установили и используете систему не-собственной разработки, то в случае чего отвечает – разработчик либо его посредник (от кого вы это получили).

В сертификате (бумажном) на электронную подпись указывается не только срок, но еще и виды отношений, для которых этот ключ используется.

Удостоверяющий центр в этих отношениях подобен нотариальной конторе – он ведет реестр сертификатов и даёт ответы на официальные запросы относительно этих сертификатов. (Например, http://www.ekey.ru/, - уверяют, что имеют 150 отделений по всей стране.) Граждане и юридические лица имеют право получать сертификат (бумажный) в любом удостоверяющем центре.

Чтобы организация (банк, электронный магазин, платежная система) могла выдавать своим пользователям официальные сертификаты, ей нужно получить лицензию на деятельность в качестве удостоверяющего центра. Такие лицензии выдает "Росинформтехнология". При наличии этих сертификатов документы, подписанные цифровой подписью, признаются юридически значимыми.

Вот, вкратце, в чём суть закона об электронной цифровой подписи, принятого в начале 2002 года. На мой взгляд, очень хороший и удобный закон.