Это короткая заметка о том, что в англоязычной сфере встречаются два термина, взаимосвязанные друг с другом, но разные по сути. Это electronic signature и digital signature. Отличия их друг от друга полезно знать хотя бы для точного понимания статей, стандартов и законов.

Мой личный небольшой опрос коллег показывает, что далеко не все вообще видят разницу.

Digital Signature

Это термин криптографический, и он имеет отношение к науке, алгоритмам и стандартам. Если вспомнить названия из стандартов, то это будет Digital Signature Algorithm, Digital Signature Standard, Elliptic Curve Digital Signature Algorithm. В статьях и книгах по криптографии используется именно этот термин.

Electronic Signature

Это термин юридический из Reg (EU) No 910/2014, документа, определяющего понятие электронной подписи и её применение в Евросоюзе. Он описывает только общий механизм, который должен обладать заданными свойствами. Речи о реализации тут не идет. Даже понятие «certificate for electronic signature» определено абстрагировано от криптографии и ключей.

Т.е. если electronic signature - это своего рода рамочное понятие на уровне общих требований, то digital signature - это инструмент для реализации этих требований.

На основе этого можно сформулировать ряд следующих верных утверждений:

  1. Digital signature не является разновидностью electronic signature.

  2. Electronic signature может быть реализована на основе digital signature.

  3. Если есть реализация electronic signature, то совершенно не обязательно, что в основе лежит digital signature.

  4. В Reg No 910/2014 нет терминов advanced digital signature и qualified digital signature, а есть только advanced electronic signature и qualified electronic signature.

В принципе, в российской сфере можно выделить два аналогичных термина с аналогичными отличиями:     

  1. «электронная цифровая подпись» или «цифровая подпись» — это эквивалентные криптографические термины из ГОСТ Р 34.10-2012.

  2. «электронная подпись» — юридический термин из  N 63-ФЗ «Об электронной подписи».

В таком случае термин «квалифицированная ЭЦП» получается некорректным, хотя время от времени он почему-то используется.

Комментарии (2)


  1. SerjV
    16.05.2022 16:12
    +1

    В таком случае термин «квалифицированная ЭЦП» получается некорректным, хотя время от времени он почему-то используется.

    Причем в законе говорится "Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись)".

    Т.е. никаких "ЭЦП" в законе нет, зато есть простая ЭП, усиленная ЭП, квалифицированная ЭП, т.е. очень похоже на Reg No 910/2014.

    Точнее, больше нет никаких ЭЦП в законе - потому что Федеральный закон "Об электронной подписи" от 06.04.2011 №63-ФЗ заменил Федеральный закон от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи". Ну а ГОСТ - еще надо посмотреть, имеет ли этот ГОСТ нормативный статус или нет...

    Но в ГОСТ сказано, что " Настоящий стандарт разработан с учетом терминологии и концепций международных стандартов ИСО 2382-2* [1], ИСО/МЭК 9796* [2]-[3], ИСО/МЭК 14888* [4]-[7] и ИСО/МЭК 10118* [8]-[11]" - и тут возникает вопрос: а точно "у буржуев" нет "электронных цифровых подписей" в стандартах серии ISO на языке оригинала?..


    1. acordell
      16.05.2022 18:11

      Да, так и есть. Была ЭЦП, стала ЭП. Пришлось шерстрить и править документацию.