Защита ИС в IT: как хеш-сумма SHA-256 фиксирует права на цифровые активы

Проблема: юридически зафиксировать цифровые активы (исходный код, дизайн, базы данных) в договорах сложно. Традиционные методы, по типу именования или размера, ненадежны и легко подделываются, что создает риски при передаче прав и разрешении споров.

Решение: Использование криптографической хеш-суммы SHA-256. Это уникальный «цифровой отпечаток» файла, который генерируется алгоритмом. Любое, даже малейшее изменение в файле, приводит к совершенно другой хеш-сумме, что делает ее идеальным инструментом для проверки целостности и подлинности.

От названия файла к цифровому отпечатку: почему старые методы не работают?

Представьте, что вам нужно лицензировать 1000 фотографий. Кажется, что распечатать их все и приложить к договору — не лучшая идея. Даже если вы оформляетесь «по ЭДО» — договор на тысячу страниц будет выглядеть нелепо.

А файлы с совершенно разным содержанием могут иметь идентичное имя (“image.jpg”), одинаковый формат или даже вес. Название легко изменить, что делает его крайне ненадежным для использования в качестве доказательства в суде. Такая неопределенность создает серьезные риски для всех сторон договора.

Меня зовут Давид Замирович и я — тот самый юрист с IT-бэкграундом, который помогает технологическим компаниям и стартапам превращать их рабочие процессы в работающий юридический код. Веду телеграм канал “Юрист без багов” и сейчас разложу по полочкам, как легко решить эту задачу.

Технология на службе права: что такое SHA-256 и как он работает?

Хеш-сумма: цифровой «отпечаток» файла.

Криптографический хеш — математический алгоритм, который преобразует данные любого размера, будь то одна строка текста или многогигабайтный видеофайл, в строку символов фиксированной длины. Эта строка, называемая хеш-суммой, служит уникальным «цифровым отпечатком» исходного файла. В отличие от традиционных атрибутов файла, хеш-сумма имеет ряд ключевых свойств, которые делают ее идеальным инструментом для юридической фиксации.

Алгоритм SHA-256 (Secure Hash Algorithm 256) — один из наиболее надежных и широко используемых в современной криптографии. Название указывает на то, что он производит хеш фиксированного размера в 256 бит, что соответствует 64 символам в шестнадцатеричном формате.

Ключевые свойства, гарантирующие надежность

• Необратимость (Pre-Image Resistance). По хеш-сумме невозможно восстановить исходный файл. Это односторонняя функция, которая гарантирует, что конфиденциальные данные, такие как пароли или исходный код, остаются в безопасности.  
• Эффект лавины (Avalanche Effect). Даже самое незначительное изменение в исходном файле (например, один измененный пиксель в изображении или один символ в тексте) приводит к совершенно другой хеш-сумме. Это свойство обеспечивает целостность данных, так как любая попытка их модификации будет немедленно обнаружена при сверке хеша.
• Устойчивость к коллизиям (Collision Resistance). Это свойство означает, что вероятность получения одинаковой хеш-суммы для двух разных файлов крайне мала. Теоретически, коллизии возможны в любом хеш-алгоритме, что следует из так называемого «принципа Дирихле». Однако SHA-256 разработан таким образом, чтобы поиск коллизий был вычислительно неосуществим. Квантовые компьютеры пока до нас не добрались, поэтому на практике SHA-256 обеспечивает такой уровень надежности, который достаточный для использования в качестве доказательства в суде.  

Практика для юристов: как рассчитать хеш для любого файла

Возможность вычислить хеш-сумму большого количества файлов (например для тех же 1000 картинок) имеет решающее значение для масштабирования процесса. К счастью, существуют простые и доступные инструменты, встроенные в операционные системы, а также сторонние утилиты, которые позволяют автоматизировать эту задачу.

Windows:

• Открыть командную строку, нажав правой кнопкой мыши на меню «Пуск» и выбрав «Выполнить», затем ввести cmd.  
• Перейти в папку с файлами, используя команду cd.

Выполнить команду CertUtil -hashfile [FILENAME] SHA256. В ответ система выдаст хеш-сумму файла. Для пакетной обработки можно использовать PowerShell или добавить функцию расчета хеша в контекстное меню.

Существуют также онлайн-калькуляторы и специализированные программы, такие как Hash Tool, которые могут вычислять хеш-суммы для нескольких файлов одновременно.

Юридическая сила хеш-суммы: от технического решения к доказательству в суде

Как хеш-сумма превращается в юридически значимый факт?

Сама по себе хеш-сумма — лишь техническая информация, но она приобретает юридическую силу, когда есть связь с конкретным файлом и конкретным фактом, зафиксированным в договоре (например: с передачей файлов в момент подписания акта).

Именно в этом случае хеш-сумма выступает в роли цифрового отпечатка и доказательства, подтверждающего, что документ или файл, к которому она относится, не был изменен с момента передачи.

Российское законодательство и судебная практика давно адаптировались к работе с электронными доказательствами, такими как электронные документы, фотографии и скриншоты. Суды признают, что юридическую силу электронным документам придает усиленная квалифицированная электронная подпись (КЭП), которая подтверждает их подлинность и целостность.

Криптографическая хеш-функция, такая как SHA-256, лежит в основе механизма работы КЭП. По сути, хеш-сумма — это не просто «непонятная техническая штуковина», а неотъемлемая часть самой юридически значимой процедуры цифровой подписи. Поэтому фиксация хеш-суммы в договоре обеспечивает высокий уровень юридической защиты, понятный любому техническому специалисту.

Как зафиксировать хеш в договоре: формулировки и примеры

Вот простой пример юридической формулировки, который позволяет зафиксировать хеш-суммы передаваемых цифровых активов:

п.10. Описание объекта: Набор из 1000 фотографий для сайта: файл images_pack.zip, 9f8e4c7d2b1a5f6e8d2c1b4a6e5f8d2c1bf<….>

Юридическая формулировка: «Стороны подтверждают, что переданные цифровые материалы, описанные в п.10 настоящего Договора, имеют указанные хеш-суммы. Данные хеш-суммы являются неотъемлемым элементом настоящего Договора и служат доказательством целостности и идентичности передаваемых объектов на момент его подписания».

Судебная практика: оценка электронных доказательств

Представление в суд электронных доказательств, таких как цифровые документы, фотографии, аудио- и видеозаписи, а также скриншоты, стало обычным явлением. Все эти виды доказательств принимаются судами в арбитражных, гражданских и уголовных делах.

Суды оценивают электронные доказательства, принимая во внимание их форму, качество и достоверность, а также возможность их полноценного исследования. Давайте рассмотрим актуальную судебную практику по использованию SHA для фиксации и описания цифровых активов в договорах.

Есть общая тенденция к цифровизации юридических процедур как в России, так и в ЕС. Это включает развитие электронного документооборота, электронных исполнительных документов и оцифровку нотариальных услуг.

— Посмотрите на недавнее решение ФАС по одному из дел о нарушении антимонопольного законодательства: решение №3219/23 по делу № 002/01/11-2254/2022 от 28 марта 2023 г. Для определения тождественности файлов, предоставленных на аукцион от нескольких компаний для манипулирования результатами государственных торгов, ФАС применяет сверку хэш-сумм по алгоритмам CRC32, SHA1, BLAKE2sp. И на основании того, что выявлена абсолютная идентичность части файлов, содержащихся в заявках от разных участников — регулятор принимает решение о сговоре между участниками закупки, совместной подготовке документов, и признает их действия нарушением законодательства о конкуренции на торгах.

Суды комплексно рассматривают доказательства, основанные на применении хэширования в рамках процесса. Наиболее распространена ссылка на этот метод в уголовном процессе, но есть довольно много примеров его использования и в гражданских делах:

–Десятый арбитражный апелляционный суд 3 марта 2025 г. в решении по делу N 10АП-23662/24 по делу N А41-81728/2024 о взыскании компенсации за нарушение исключительных прав на РИД в размере 450 000 руб. указал, что исследование файлов и контрольных сумм по SHA достаточно для идентификации объектов, указанных в договоре:

Файлы РИД были исследованы некоммерческой организацией ЭНЦ СЭИ «Созидание», и по итогам проведенного компьютерно-технического исследования было подготовлено заключение специалиста 23-190, из которого следует, что название, размер, разрешение, контрольные суммы (MD5 и SHA-1) РИД идентичны данным из акта, а исследуемые файлы оригинальные.

Семнадцатый арбитражный апелляционный суда в своем решении от 3 октября 2024 г. N 17АП-7060/24 по делу N А60-71457/2023 о взыскании компенсации за нарушение исключительных прав на фотографическое произведение в размере 200 000 руб. рассмотрел заключение эксперта, который подтвердил, что название, размер, разрешение, контрольные суммы (MD5 и SHA-1) произведения полностью идентичны данным из Акта.

Успешные примеры кейсов, в которых рассматривалось применение SHA есть и на западе. Например, дело Lorraine v. Markel American Ins. Co, при разрешении которого Судья Пол Гримм отметил, что хэширование документа может помочь различать «окончательную» версию и более ранние версии.

Комплексная защита: сравнение хеширования с депонированием, нотариатом и Роспатентом

Хеширование — не единственный или всегда достаточный инструмент. Оно представляет собой фундаментальную технологию, которая может использоваться как самостоятельно, так и в составе более комплексных решений. Хеширования в контексте других методов позволяет выбрать оптимальную стратегию защиты в зависимости от конкретной ситуации.

Что мы еще можем использовать для целей фиксации цифровых активов в договоре?

• Депонирование произведений. Существуют частные
  онлайн-сервисы, которые предлагают услугу депонирования. Процедура включает загрузку файла, его описание и оплату. Сервис фиксирует наличие и содержание произведения на определенную дату, выдавая автору свидетельство с электронной подписью и штампом времени. Технически, эти сервисы также используют хеширование и блокчейн для неизменности данных. Свидетельство о депонировании может служить доказательством в суде, но его юридическая сила не абсолютна и зависит от правил конкретной организации. Позиция Верховного суда РФ указывает, что такое свидетельство может быть недостаточным без других подтверждений. Под ними подразумеваются договоры
  с конкретными авторами произведений, по условиям которых компания в принципе имеет право распоряжаться определенными цифровыми активами.

• Нотариальное заверение электронных документов. Нотариус может удостоверить равнозначность электронного документа бумажному или заверить электронный документ своей цифровой подписью. Этот метод обеспечивает высокий уровень юридической силы, поскольку действия нотариуса, как государственного должностного
  лица, имеют публичную силу и признаются судами. Однако процедура может быть дорогостоящей и менее удобной для массовой фиксации большого объема файлов.
• Государственная регистрация (Роспатент). Этот метод применим к конкретным объектам, таким как программы для ЭВМ и базы данных. Он предусматривает подачу заявления, реферата и распечатанного кода в Роспатент, который регистрирует права в официальном реестре. Государственная регистрация добровольна и предоставляет удобный механизм защиты. Однако она не подходит для фиксации прав на каждую отдельную версию ПО или сборку кода — долгая и бюрократичная.

Хеширование, в отличие от указанных методов, базовый, самодостаточный инструмент. Другие более сложные методы, по сути, лишь надстраиваются над этой базовой технологией, добавляя государственные или нотариальные гарантии.

Когда достаточно хеш-суммы, а когда нужен Роспатент?

Регистрация в Роспатенте и использование хеш-суммы решают разные задачи и не исключают, а дополняют друг друга.

Регистрация прав в Роспатенте — это официальная государственная процедура, которая применима к определенным объектам: программам для ЭВМ и базам данных. Если ваша цель — получить официальный документ, то Роспатент — подходящий инструмент. Важно помнить: он сам по себе не порождает и не может порождать исключительных прав на ПО или базу данных. Это право возникает у компании исключительно в силу договора с авторами или оформления служебного задания. Подробнее о том, как это можно сделать в рамках современных средств разработки (таких как Jira и Git) я писал в своем телеграм канале совсем недавно.

Однако государственная регистрация не подходит для фиксации прав на каждый отдельный цифровой актив и применима только к ПО/базам данных. Процедура долгая и требует определенных телодвижений. В случаях, когда требуется быстро и надежно зафиксировать наличие и неизменность большого количества файлов — хеширование становится идеальным решением.

Его можно использовать для фиксации любых цифровых объектов, на которые не распространяется государственная регистрация. По сути, хеширование — это базовая технология, которая обеспечивает доказательство существования и неизменности данных, в то время как Роспатент — бюрократический инструмент, который придает этим данным дополнительную юридическую силу для конкретного типа объектов (ПО или базы данных).

Вывод

Хеш-сумма в договоре — гибкий и масштабируемый инструмент для повседневных задач, а регистрация в Роспатенте — стратегический шаг для ключевых разработок.

Рекомендации по SHA для практикующих юристов и их руководителей

Использование хеш-суммы SHA-256 представляет собой мощный, доступный и масштабируемый инструмент для юридической фиксации цифровых активов. Оно эффективно решает проблему ненадежности традиционных методов, обеспечивая целостность и неизменность данных.

Для создания наиболее надежной юридической защиты рекомендуется не ограничиваться простым указанием хеш-сумм в договоре на бумаге. Оптимальная стратегия — использование хеш-суммы в связке с усиленной квалифицированной электронной подписью, которая надежно привязывает файл к конкретному правообладателю в определенный момент времени. Для работы с большими объемами данных, как в случае с 1000 картинок, следует использовать командные строки или специализированное программное обеспечение для автоматизации процесса.

Хеширование — краеугольный камень в комплексной стратегии защиты интеллектуальной собственности. Его можно использовать как самостоятельный инструмент (DIY-подход) или в комбинации с другими методами, такими как депонирование или нотариальное заверение, которые добавляют дополнительные юридические гарантии. Понимание этого многоуровневого подхода позволяет IT-предпринимателям и юристам выбирать наиболее эффективные и экономически целесообразные инструменты для защиты своих цифровых активов.

FAQ

Вопрос: можно ли «расшифровать» хеш-сумму SHA-256, чтобы получить исходный файл?

Нет, SHA-256 — это односторонняя, необратимая функция. По хеш-сумме невозможно восстановить исходный файл. Это ключевое свойство, известное как pre-image resistance.

Вопрос: может ли два разных файла иметь одинаковую хеш-сумму?

Теоретически, да, это называется коллизией. Однако для алгоритма SHA-256 вероятность такого события настолько мала, что оно считается вычислительно неосуществимым. Количество возможных хеш-значений (2^256) — астрономическое число, и на сегодняшний день не зафиксировано ни одной коллизии.

Вопрос: в чем разница между хешированием и шифрованием?

Хеширование — это односторонняя функция, предназначенная для проверки целостности данных, тогда как шифрование — двусторонняя функция, которая позволяет преобразовать данные в нечитаемый формат, а затем восстановить их с помощью ключа.

Вопрос: является ли хеш-сумма юридическим доказательством сама по себе?

Хеш-сумма приобретает юридическую силу, когда ее включают в официальный документ, например, в договор, и этот документ подписан квалифицированной электронной подписью (КЭП). КЭП сама по себе использует хеширование для гарантии целостности документа, что делает этот подход надежным и признанным в судах.