Это короткая заметка о том, что в англоязычной сфере встречаются два термина, взаимосвязанные друг с другом, но разные по сути. Это electronic signature и digital signature. Отличия их друг от друга полезно знать хотя бы для точного понимания статей, стандартов и законов.
Мой личный небольшой опрос коллег показывает, что далеко не все вообще видят разницу.
Digital Signature
Это термин криптографический, и он имеет отношение к науке, алгоритмам и стандартам. Если вспомнить названия из стандартов, то это будет Digital Signature Algorithm, Digital Signature Standard, Elliptic Curve Digital Signature Algorithm. В статьях и книгах по криптографии используется именно этот термин.
Electronic Signature
Это термин юридический из Reg (EU) No 910/2014, документа, определяющего понятие электронной подписи и её применение в Евросоюзе. Он описывает только общий механизм, который должен обладать заданными свойствами. Речи о реализации тут не идет. Даже понятие «certificate for electronic signature» определено абстрагировано от криптографии и ключей.
Т.е. если electronic signature - это своего рода рамочное понятие на уровне общих требований, то digital signature - это инструмент для реализации этих требований.
На основе этого можно сформулировать ряд следующих верных утверждений:
Digital signature не является разновидностью electronic signature.
Electronic signature может быть реализована на основе digital signature.
Если есть реализация electronic signature, то совершенно не обязательно, что в основе лежит digital signature.
В Reg No 910/2014 нет терминов advanced digital signature и qualified digital signature, а есть только advanced electronic signature и qualified electronic signature.
В принципе, в российской сфере можно выделить два аналогичных термина с аналогичными отличиями:
«электронная цифровая подпись» или «цифровая подпись» — это эквивалентные криптографические термины из ГОСТ Р 34.10-2012.
«электронная подпись» — юридический термин из N 63-ФЗ «Об электронной подписи».
В таком случае термин «квалифицированная ЭЦП» получается некорректным, хотя время от времени он почему-то используется.
SerjV
Причем в законе говорится "Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись)".
Т.е. никаких "ЭЦП" в законе нет, зато есть простая ЭП, усиленная ЭП, квалифицированная ЭП, т.е. очень похоже на Reg No 910/2014.
Точнее, больше нет никаких ЭЦП в законе - потому что Федеральный закон "Об электронной подписи" от 06.04.2011 №63-ФЗ заменил Федеральный закон от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи". Ну а ГОСТ - еще надо посмотреть, имеет ли этот ГОСТ нормативный статус или нет...
Но в ГОСТ сказано, что " Настоящий стандарт разработан с учетом терминологии и концепций международных стандартов ИСО 2382-2* [1], ИСО/МЭК 9796* [2]-[3], ИСО/МЭК 14888* [4]-[7] и ИСО/МЭК 10118* [8]-[11]" - и тут возникает вопрос: а точно "у буржуев" нет "электронных цифровых подписей" в стандартах серии ISO на языке оригинала?..
acordell
Да, так и есть. Была ЭЦП, стала ЭП. Пришлось шерстрить и править документацию.