Открыть сервис

Доверенная третья сторона

Доверенная третья сторона (англ. Trusted Third Party, TTP) — это юридическое или физическое лицо, организация, либо техническая система, которая выступает в качестве нейтрального и беспристрастного посредника при взаимодействии двух или более сторон, обеспечивая безопасность, конфиденциальность, целостность и подтверждение подлинности передаваемых данных, а также выполнение обязательств по сделкам. Доверенная третья сторона является ключевым элементом инфраструктуры с открытыми ключами (PKI), систем электронного документооборота, финансовых расчетов и юридически значимых транзакций.

История возникновения и развития

Концепция доверенной третьей стороны возникла задолго до появления цифровых технологий и восходит к институту нотариата, который в Древнем Риме выполнял функции независимого свидетеля и заверяющего лица при заключении сделок. В Средние века роль TTP играли купеческие гильдии и банкирские дома, гарантировавшие выполнение обязательств по векселям и торговым контрактам.

С развитием электронных коммуникаций в XX веке возникла потребность в автоматизации функций доверенной третьей стороны. В 1976 году Уитфилд Диффи и Мартин Хеллман в своей работе «Новые направления в криптографии» заложили теоретические основы асимметричного шифрования, что сделало возможным создание цифровых сертификатов и удостоверяющих центров. Первые коммерческие удостоверяющие центры (Certificate Authorities, CA) начали работу в середине 1990-х годов, например, компания VeriSign (основана в 1995 году). В России развитие TTP связано с принятием Федерального закона «Об электронной подписи» (№ 63-ФЗ) в 2011 году, который ввел понятие удостоверяющего центра и определил правовой статус доверенной третьей стороны.

Функции и принципы работы

Основная задача доверенной третьей стороны — создание доверенной среды для взаимодействия сторон, которые не имеют прямых доверительных отношений друг с другом. Для этого TTP выполняет следующие функции:

  • Аутентификация — проверка личности участников взаимодействия (например, выдача цифровых сертификатов, подтверждающих принадлежность открытого ключа конкретному лицу или организации).
  • Авторизация — определение прав доступа и полномочий сторон.
  • Шифрование и защита данных — обеспечение конфиденциальности передаваемой информации с использованием криптографических алгоритмов.
  • Подтверждение целостностигарантия того, что данные не были изменены в процессе передачи (с помощью электронной подписи или хеш-функций).
  • Неотказуемость — невозможность для стороны отказаться от факта совершения действия (например, от отправки сообщения или подписания документа).
  • Архивирование и хранение — долговременное хранение данных и доказательств транзакций для разрешения возможных споров.

Принцип работы TTP основан на том, что обе стороны взаимодействия заранее регистрируются у доверенной третьей стороны, предоставляя свои идентификационные данные. TTP выдает каждой стороне цифровые сертификаты, подписанные своим закрытым ключом. При обмене данными стороны проверяют подписи TTP, что позволяет им доверять друг другу без необходимости обмена секретами напрямую.

Виды доверенных третьих сторон

Классификация TTP может проводиться по различным признакам: сфере деятельности, юридическому статусу и технической реализации.

По сфере деятельности

  • Удостоверяющие центры (УЦ) — организации, выпускающие и управляющие цифровыми сертификатами для электронной подписи и шифрования. В России УЦ действуют на основании лицензии ФСБ России и аккредитации Минцифры. Примеры: АО «ПФ «СКБ Контур», ООО «Такском», АО «Аналитический центр».
  • Нотариальные конторы — в цифровой среде выполняют функции удостоверения сделок, заверения копий и хранения электронных документов. В России с 2014 года нотариусы могут удостоверять сделки в электронной форме.
  • Расчетные центры и клиринговые палаты — обеспечивают проведение финансовых транзакций и взаимозачетов между сторонами. Пример: Национальный расчетный депозитарий (НРД) в России.
  • Арбитражные и третейские суды — разрешают споры между сторонами на основании предоставленных доказательств, в том числе в электронной форме.
  • Центры сертификации ключей — специализированные организации, обеспечивающие проверку подлинности открытых ключей шифрования.

По юридическому статусу

  • Государственные — созданные и контролируемые государственными органами (например, Федеральная налоговая служба РФ в части ведения реестров сертификатов).
  • Коммерческие — частные организации, оказывающие услуги на платной основе.
  • Международные — организации, действующие на территории нескольких стран (например, корневые удостоверяющие центры, выпускающие сертификаты для глобальной инфраструктуры открытых ключей).

По технической реализации

  • Централизованные — единая организация, выполняющая все функции TTP для всех участников системы.
  • Децентрализованные — распределенные системы, где функции TTP выполняются несколькими независимыми узлами (например, блокчейн-платформы, где доверие обеспечивается консенсусом сети, а не единым центром).

Применение

Доверенные третьи стороны широко используются в различных сферах:

  • Электронный документооборот — обеспечение юридической значимости электронных документов, подписанных электронной подписью. В России системы ЭДО (например, «Диадок», «СБИС») используют УЦ для выпуска сертификатов.
  • Банковская сфера и финансы — проведение межбанковских переводов (система SWIFT), выпуск и обслуживание банковских карт (платежные системы Visa, Mastercard), операции с ценными бумагами (депозитарии).
  • Электронная коммерция — подтверждение личности продавцов и покупателей, защита платежных данных (например, протокол 3-D Secure, где банк-эмитент выступает TTP).
  • Государственные услугипортал «Госуслуги» (ЕСИА) использует доверенную третью сторону для аутентификации граждан и организаций при получении государственных услуг.
  • Здравоохранение — обмен медицинскими данными между клиниками и страховыми компаниями с гарантией конфиденциальности.
  • Интеллектуальная собственность — регистрация авторских прав и патентов через специализированные организации (например, Роспатент в России).

Критика и проблемы

Несмотря на широкое распространение, концепция доверенной третьей стороны имеет ряд недостатков и уязвимостей:

  • Единая точка отказа — если TTP выходит из строя или подвергается атаке, вся система взаимодействия может быть парализована. Например, компрометация корневого удостоверяющего центра может привести к необходимости перевыпуска миллионов сертификатов.
  • Риск злоупотреблений — TTP имеет доступ к конфиденциальной информации сторон (например, к содержанию зашифрованных сообщений, если используется шифрование с восстановлением ключа). Это создает угрозу утечки данных или использования информации в корыстных целях.
  • Зависимость от человеческого фактора — сотрудники TTP могут совершить ошибку при проверке документов или выпуске сертификата, что приведет к компрометации системы.
  • Юридические ограничения — в разных странах различаются требования к TTP, что затрудняет международное взаимодействие. Например, российские УЦ должны соответствовать требованиям ФСБ, что не всегда совместимо с иностранными стандартами.
  • Стоимость услуг — для малого бизнеса и частных лиц услуги TTP (например, получение квалифицированной электронной подписи) могут быть дорогими.

Альтернативы

В ответ на недостатки централизованных TTP были разработаны альтернативные подходы:

  • Децентрализованные системы идентификации (DID) — технология, позволяющая пользователям самостоятельно управлять своими идентификационными данными без участия единого центра (например, на основе блокчейна).
  • Сети доверия (Web of Trust) — модель, в которой доверие устанавливается не через единый центр, а через цепочку взаимных подтверждений между участниками (применяется в PGP).
  • Смарт-контракты — программные алгоритмы на блокчейне, автоматически выполняющие условия сделки без участия посредника.

Тем не менее, на практике централизованные TTP остаются доминирующей моделью в силу своей простоты, устоявшейся правовой базы и возможности разрешения споров.

Интересные факты

  • В 2011 году в результате взлома корневого удостоверяющего центра компании DigiNotar (Нидерланды) злоумышленники смогли выпустить поддельные сертификаты для таких доменов, как google.com и microsoft.com. После инцидента компания обанкротилась.
  • В России с 2022 года все удостоверяющие центры, выпускающие квалифицированные сертификаты, обязаны использовать сертифицированные ФСБ России криптографические средства.
  • Технология блокчейн, лежащая в основе криптовалют, иногда рассматривается как «машина доверия», заменяющая традиционную TTP, однако на практике для многих транзакций все равно требуются внешние оракулы и арбитры.

Источники

  1. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
  2. Diffie W., Hellman M. New Directions in Cryptography // IEEE Transactions on Information Theory. — 1976. — Vol. 22, No. 6.
  3. Schneier B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. — 2nd ed. — Wiley, 1996.
  4. Menezes A., van Oorschot P., Vanstone S. Handbook of Applied Cryptography. — CRC Press, 1996.
  5. Рекомендации по стандартизации Р 1323565.1.002-2018 «Информационная технология. Криптографическая защита информации. Инфраструктура открытых ключей. Основные положения».
  6. Материалы сайта Минцифры России (digital.gov.ru) — раздел «Электронная подпись».
  7. Отчет об инциденте DigiNotar (Fox-IT, 2011).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →