Signature Verification (Signature Verification)

Введение

Signature Verification (верификация подписи) – процедура подтверждения подлинности и достоверности подписи. В контексте информационных технологий термин применяется в двух основных значениях:

• Верификация цифровой подписи – криптографическая проверка, гарантирующая, что электронный документ был подписан конкретным лицом и не был изменён после подписания.
• Верификация рукописной подписи – биометрический анализ рукописных подписей для определения их подлинности, применяемый в банковской сфере и системах безопасности.

История и контекст

Цифровая подпись как концепция была предложена Уитфилдом Диффи и Мартином Хеллманом в 1976 году в рамках их работы по асимметричной криптографии. В 1977 году RSA предложил первый практический алгоритм цифровой подписи.

В России государственный стандарт электронной цифровой подписи ГОСТ Р 34.10-94 был введён в 1994 году, обновлён в 2001 и 2012 годах. Законодательную базу заложил Федеральный закон № 63-ФЗ «Об электронной подписи» (2011), заменивший ФЗ-1 об ЭЦП 2002 года. ФЗ-63 ввёл три вида ЭП: простую, усиленную неквалифицированную и усиленную квалифицированную.

Как работает верификация цифровой подписи

Процесс основан на асимметричной криптографии:

1. Подписание – из документа вычисляется хэш (SHA-256, ГОСТ Р 34.11). Хэш шифруется закрытым ключом подписанта, образуя цифровую подпись.
2. Верификация – получатель вычисляет хэш полученного документа. Затем дешифрует подпись открытым ключом подписанта, получая исходный хэш. Если хэши совпадают – подпись действительна.
3. Проверка сертификата – открытый ключ содержится в сертификате, выданном удостоверяющим центром (УЦ). Верификация включает проверку срока действия, статуса отзыва (CRL/OCSP) и цепочки доверия сертификата.

Для российских информационных систем обязателен алгоритм ГОСТ Р 34.10-2012 (эллиптические кривые, 256 или 512 бит).

Верификация рукописных подписей

Существуют два подхода:

• Статический анализ (offline) – анализ изображения готовой подписи: форма, соотношение элементов, характерные особенности. Применяется при сканировании бумажных документов.
• Динамический анализ (online) – захват процесса написания через графический планшет: скорость, давление, ускорение, наклон пера. Значительно труднее подделать.

Где применяется

• Электронный документооборот – верификация ЭП в СЭД при подписании договоров, приказов, отчётности.
• Государственные услуги – Госуслуги, СМЭВ, налоговая отчётность в ФНС через квалифицированную ЭП.
• Банки – верификация ЭП в системах ДБО, при подписании кредитных договоров.
• PKI-инфраструктура – проверка сертификатов TLS-сессий и code signing.
• Безопасность ПО – верификация подписи исполняемых файлов и пакетов обновлений.

Преимущества и ограничения

Преимущества:

• Гарантия целостности: любое изменение документа после подписания делает подпись недействительной.
• Неотказуемость: подписант не может отрицать факт подписания при наличии действующего ключа.
• Юридическая значимость: КЭП приравнивается к собственноручной подписи по ФЗ-63.

Ограничения:

• Скомпрометированный закрытый ключ делает все подписи потенциально недействительными.
• Зависимость от инфраструктуры УЦ: отзыв сертификата задним числом – юридически сложная ситуация.
• Проблемы долгосрочного хранения: алгоритмы устаревают, требуется перевыпуск или timestamping.

Связь с другими понятиями

Верификация подписи неотделима от инфраструктуры PKI (Public Key Infrastructure) и удостоверяющих центров. В России аккредитованные УЦ (КриптоПро, Контур, Такском) выдают квалифицированные ЭП согласно требованиям Минцифры. Инструменты проверки – КриптоПро CSP, ViPNet CryptoService. Для рукописных подписей применяются системы биометрической аутентификации. Smart Card является носителем закрытого ключа для формирования ЭП.