Нормативно-правове регулювання у галузі криптографічного захисту інформації в Україні та світі

Вперше про електронний цифровий підпис заговорили ще в 60-70-х роках, хоча ні об'єктивних передумов і технічних умов, ні організаційних структур для повноцінного посвідчення особи автора електронного документа у той час ще не існувало. Під "електронним підписом" розуміли якусь послідовність символів, отриманих в результаті одностороннього перетворення документа (повідомлення) по відомому алгоритму.

Зарубіжні країни по-різному визначають ЕЦП, хоча основні, базові риси і властивості ЕЦП указуються в кожному законі. Держави - члени Європейського Союзу в своїх законодавчих актах наслідують прийняту в Європейському Союзі Директиву Європейського Парламенту і Ради

№ 1999/93/EС "Про загальні рамкові умови для електронних підписів". Відповідно до неї ЕЦП - це "дані в електронній формі, які прикладені до інших електронних даних або логічно з ними пов'язані і призначені для аутентифікації". Федеральний закон Німеччини "Про цифровий підпис" 1997 р., наслідуючи положення Директиви, практично повторює це визначення. Закон Ірландії "Про електронну комерцію" також практично повторює це визначення, додаючи лише, що дані в електронній формі (ЕЦП), включають розширені ЕЦП [26, с.23].

Федеральний закон Австрії "Про цифровий підпис" (Singaturgesetz) 2000 року визначає ЕЦП як "електронні дані, які додаються до інших електронних даних або пов'язані з ними іншим логічним способом і служать для аутентифікації змісту документа та ідентифікації особи, що підписала документ". У даному визначенні також зазначається, що ЕЦП служить не тільки для аутентифікації змісту електронного документа, але і для ідентифікації особи, що підписала документ.

Закон Великобританії "Про електронні комунікації" 2001 року дає наступне визначення ЕЦП: "Суть, що має електронну форму, включена в склад або іншим чином пов'язана з електронними даними і призначена для їх аутентифікації".

Федеральний закон США "Про електронні підписи в глобальній і національній торгівлі" 2000 р. визначає ЕЦП як "електронний звук, символ або процес, прикріплений або логічно пов'язаний з контрактом або іншим документом і здійснений або вибраний особою з наміром підписати документ". "Аутентифікація електронного документа за допомогою електронних методів або процесів відповідно до норми закону" - таке визначення міститься в Законі Індії "Про інформаційні технології".

Крім цього вказані нормативно-правові акти вводять додаткові визначення, наприклад, кваліфікований електронний підпис. Такі поняття вводяться в законодавчі акти для досягнення оптимального нормативно-правового регулювання. Під кваліфікованим ЕЦП розуміється звичайний ЕЦП, що задовольняє вимогам відповідного закону та інших нормативно-правових актів. Зокрема, в Директиві встановлено, що "держави - члени Європейського Союзу повинні піклуватися про те, щоб розширений підпис був створений захищеною системою засобів ЕЦП".

Якісні характеристики засобів ЕЦП і даних, які використовуються при його створенні, встановлюються національним законодавством держав - членів Європейського Союзу. Зокрема, такі вимоги встановлені законодавствами Ірландії, Німеччині і Австрії. У загальних рисах ці вимоги зводяться до необхідності захисту ключів, вживаних при створенні ЕЦП, від неправомірного їх використання третіми особами, які не володіють законними правами на них, а також від підробки. Що ж до засобів ЕЦП, то вони не повинні в процесі створення підпису змінювати зміст електронного документа або перешкоджати доступу власника підпису до даних, що містяться в електронному документі. Крім того, засоби ЕЦП повинні бути захищені від несанкціонованого доступу до них з боку третіх осіб.

Особливої уваги заслуговує питання доступності засобів шифрування і, зокрема, засобів ЕЦП. Зокрема, певним лібералізмом відрізняється регламентація порядку використання засобів ЕЦП в Німеччині.

Відповідно до Принципів німецької політики в області шифрування, розроблених Федеральним Урядом, від 2 червня 1999 року, "Федеральний Уряд не має наміру забороняти вільну доступність засобів шифрування в Германії".

У Великобританії Законом "Про електронні комунікації" передбачено ліцензування діяльності, пов'язаної з шифруванням. Таке ліцензування здійснюється Державним секретарем (the Secretary of State), що створює і веде спеціальний реєстр, в якому міститься інформація про органи, що надають послуги в області шифрування інформації. Для отримання ліцензії необхідна відповідність ряду вимог технічного характеру, що встановлюються Державним секретарем. Вони стосуються якісних характеристик засобів ЕЦП. В цілому у Великобританії встановлені жорсткіші вимоги до засобів ЕЦП, ніж у Німеччині.

Законодавства зарубіжних держав регламентують діяльність системи засвідчувальних центрів. Зокрема, в Європейському Союзі Директивою засвідчувальний центр визначається як "орган або юридична або фізична особа, яка видає сертифікат або надає інші послуги, пов'язані з електронним цифровим підписом". Під сертифікатом розуміється "електронне посвідчення, за допомогою якого відбувається ідентифікація засобів перевірки підпису особи і підтвердження її особи". Крім того, Директива використовує поняття кваліфікованого сертифікату, тобто виданого відповідно до вимог закону та інших нормативно-правових актів.

Директива також встановлює вимоги до змісту сертифікату. Відповідно до Додатку № 1 до Директиви кваліфікований сертифікат повинен містити:

а) повідомлення, що даний сертифікат є кваліфікованим;

б) повідомлення засвідчувального центру і держави, що даний сертифікат діє;

в) ім'я особи, що звернулася за отриманням сертифікату відкритого ключа ЕЦП, або його псевдонім, який служить з метою ідентифікації особи;

г) місце для вказівки специфічних рис особи, яка звернулася для видачі сертифікату відкритого ключа ЕЦП, що використовується у разі потреби з метою визначення особи;

д) інформацію про засоби перевірки підписів, які відповідають засобам ЕЦП, що знаходяться під контролем особи, охочої отримати сертифікат відкритого ключа ЕЦП;

е) повідомлення про початок і кінець терміну дії сертифікату відкритого ключа ЕЦП;

ж) унікальний номер сертифікату;

з) розширену ЕЦП засвідчувального центру;

и) у разі потреби - обмеження території дії сертифікату;

к) у разі потреби - обмеження ціни операції, для якої може застосовуватися сертифікат.

Директива встановлює також ряд вимог до діяльності засвідчувальних центрів. Зокрема, даний центр винен:

а) довести наявність необхідної надійності для надання послуг з сертифікації;

б) забезпечити швидке і безпечне надання послуг з реєстрації, а також безпечне і негайне відкликання сертифікату відкритого ключа ЕЦП;

в) забезпечити точне визначення дати і часу видачі або відкликання сертифікату відкритого ключа ЕЦП;

г) перевірити відповідними засобами відповідно до права окремих держав особу і, у разі потреби, специфічні риси особи, яка звернулася за отриманням сертифікату відкритого ключа ЕЦП;

д) надати роботу персоналу, що володіє спеціальними знаннями, досвідом і кваліфікацією, особливо знаннями в області управління, технології і застосування ЕЦП, а також ґрунтовними знаннями в області процедур забезпечення достатньої безпеки;

е) дотримуватися в подальшому необхідних процедур управління та інших норм;

ж) застосовувати системи, що користуються довірою, і продукти, захищені від внесення змін, що забезпечують технічний і криптографічний захист відповідних процедур;

з) прийняти заходи проти фальсифікації сертифікатів, а у випадках, коли виробляються засоби і елементи ЕЦП, забезпечити конфіденційність даних при їх виробництві;

и) володіти достатньою кількістю фінансових коштів для роботи відповідно до вимог Директиви; мати змогу нести ризик відповідальності за збитки, наприклад в результаті укладення відповідних договорів страхування;

к) вказати всю відповідну інформацію про кваліфікований сертифікат і про термін його дії, для того, щоб, особливо в судовому процесі, можна було довести сертифікацію;

л) не дозволяти зберігання і копіювання засобів та елементів ЕЦП особам, які надають послуги з управління ключами ЕЦП;

м) інформувати власників сертифікатів про умови застосування сертифікату відкритого ключа ЕЦП, про існування вільної системи ліцензування засвідчувальних центрів, про процедури оскарження та погодження.

В цілому законодавства держав-членів ЄС, таких як Ірландія, Німеччина, Австрія, повторюють (деколи навіть структурно), за винятком деяких незначних змін в деталях, вимоги Директиви. У Німеччині і Австрії федеральними урядами прийняті відповідні ухвали про ЕЦП на виконання національних законодавчих актів. Національні законодавчі акти держав - членів ЄС по-різному регулюють процедуру ліцензування засвідчувальних центрів. Наприклад, Закон Ірландії "Про електронну комерцію" встановлює обов'язковість ліцензування діяльності засвідчувальних центрів. Таке ліцензування здійснюється міністром громадських підприємств (Minister for Public Enterprise). Закони Німеччини і Австрії "Про цифровий підпис" встановлюють добровільний порядок ліцензування засвідчвальних центрів. Істотною специфікою володіє також законодавство Великобританії. Закон "Про електронні комунікації" не передбачає діяльність центрів по посвідченню відкритих ключів ЕЦП, він лише говорить про посвідчення самого ЕЦП. Коротке нормативно-правове регулювання діяльності засвідчувальних центрів згідно цього закону зводиться до наступного:

а) передбачена сертифікація не відкритого ключа ЕЦП, а самого підпису;

б) особа може засвідчити підпис після того, як зробить заяву, що підпис, засоби його створення і перевірки, а також засоби і процеси зв'язку, що відносяться до ЕЦП, дійсно підтверджують незмінність даних і (або) умов зв'язку.

Таким чином, законодавство Великобританії дає можливість сторонам самим здійснювати посвідчення ЕЦП. Закон Індії "Про інформаційні технології" встановлює обов'язковість ліцензування діяльності засвідчувальних центрів одним уповноваженим державним органом - Керівником засвідчувальних центрів (Controller of Certifying Authorities). Ліцензія може бути видана засвідчувальному центру у разі задоволення вимог з кваліфікації і чисельності кадрів, фінансових ресурсів, інфраструктури.

При здійсненні діяльності засвідчувальний центр зобов'язаний [26, с.25]:

а) використовувати програмне і апаратне забезпечення та процеси, захищені від неправомірного привласнення і зловживання;

б) забезпечити оптимальний ступінь надійності своїх послуг, достатній для їх надання;

в) дотримуватися захищених процесів для забезпечення конфіденційності ЕЦП, що завіряються;

г) дотримувати інші стандарти, встановлені іншими нормативно-правовими актами.

Закон Індії не встановлює вимог до змісту сертифікату. У США федеральне законодавство не регулює діяльність засвідчувальних центрів, але їх нормативно-правове регулювання здійснюється законодавством окремих штатів, хоча й не всіх. Зокрема, питання, пов'язані з інфраструктурою ЕЦП, регламентовані в таких штатах, як Айова, Міннесота, Міссурі, Род-айленд, Юта, Вермонт, Вашингтон. Законодавства зарубіжних держав не завжди встановлюють відповідальність за порушення режиму застосування ЕЦП. Норми про відповідальність можуть міститися в інших нормативно-правових актах, зокрема, кодифікованих (кримінальні, адміністративні кодекси і т.п.). Для держав - членів ЄС загальне регулювання відповідальності за порушення законодавства про ЕЦП здійснюється на основі Директиви.

Правове регулювання відповідальності за законом Індії "Про інформаційні технології" володіє значною специфікою. Зокрема, цей закон перераховує різні види злочинів в області застосування електронного цифрового підпису і встановлює різні види покарань. Тим самим він структурно нагадує кодифікований кримінальний акт. Суб'єктами перерахованих злочинів можуть бути як сторони по операції, що здійснюють застосування ЕЦП, так і засвідчувальний центр. Як приклад таких злочинів можна назвати: спотворення відомостей засвідчувальним центром для отримання ліцензії; порушення конфіденційності даних; обман при публікації сертифікату; публікація сертифікату з метою шахрайства. Як покарання передбачаються різні терміни позбавлення волі. Міжнародним регіональним законодавством ЄС і національними законодавствами держав-членів ЄС передбачається ряд випадків обмеження відповідальності засвідчувальних центрів. Зокрема, відповідно до Директиви, а також законодавств Ірландії, Німеччині, Австрії визначена можливість обмеження відповідальності. Таке обмеження може бути здійснене шляхом встановлення певного переліку операцій, при здійсненні яких можливе використання сертифікату, або на підставі вказівки суми операції, для якої застосовується сертифікат. При спричиненні стороні збитків у разі використання сертифікату в операції з сумою, яка перевищує вказану в сертифікаті, засвідчувальний центр відповідальності не несе. Федеральний закон Австрії також встановлює, що засвідчувальний центр не несе відповідальності перед іншими особами, якщо він доведе, що порушення обов'язків відбулося не з вини самого засвідчувального центру або його співробітників. Потерпілий, відповідно до закону, може посилатися на ту обставину, що обов'язки, встановлені законом, були порушені або мало місце недотримання вимог закону і прийнятих на його виконання інших нормативно-правових актів в області безпеки, а також якщо не були здійснені належні заходи. При цьому вказані обставини повинні привести до виникнення збитків у потерпілої сторони. Федеральний закон США "Про електронні підписи в глобальній і національній торгівлі", так само, як і Федеральний закон Німеччини, не містить яких-небудь положень про відповідальність, що випливає з правовідносин між партнерами по операції у зв'язку з неналежним застосуванням ЕЦП. Відповідальність, пов'язана із застосуванням ЕЦП, регулюється законодавством штатів. Зокрема, в Законі штату Юта (1996 р.) встановлюється відповідальність засвідчувального центру за невиконання або неналежне виконання зобов'язань. Відповідно до нього засвідчувальний центр несе відповідальність в межах, встановлених у сертифікаті відкритого ключа ЕЦП.

Згідно ст.46-3-308 Закону штату Юта засвідчувальний центр, за деякими виключеннями, не відповідає за [26, с.24]:

а) будь-який збиток, заподіяний фальшивим або сфальсифікованим підписом власника сертифікату відкритого ключа ЕЦП, якщо засвідчувальний центр діяв відповідно до вимог Закону;

б) спотворення в сертифікаті, помилку при його видачі при перевищенні меж відповідальності засвідчувального центру, вказаних в сертифікаті.

Із засвідчувального центру не можуть бути стягнуті штрафні санкції.

У XXI ст. інформаційно-комунікаційні технології стануть провідним чинником, що істотно впливатиме на розвиток суспільства. Багато країн уже усвідомили ті переваги, які надає їхній розвиток та поширення. Нині в Україні є відчутною потреба унормувати нові відносини, що виникають у зв'язку з бурхливим розвитком комп'ютерних технологій.

Розвиток електронної комерції і електронного документообігу в Україні стикається з недостатністю правового регулювання застосування ЕЦП і електронного документообігу.

Правові основи для застосування електронних документів у цивільних відносинах уперше закладено новим Цивільним кодексом України, що набрав чинності з 1 січня 2004 р. згідно зі ст. 207 "Вимоги до письмової форми правочину": "правочин вважається таким, що вчинений у письмовій формі, якщо воля сторін виражена за допомогою телетайпного, електронного або іншого технічного засобу зв'язку". Під час здійснення правочинів допускається застосування електронно-цифрового підпису. По суті, Цивільний кодекс України прирівнює електронні документи до паперових і допускає засвідчення їх електронним підписом [27, с.13].

На виконання рекомендацій Парламентських слухань з питань побудови інформаційного суспільства в Україні у державі створено нормативно-правове підґрунтя і технологічну основу функціонування юридично значимого електронного цифрового підпису. Законами України "Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки", "Про електронні документи та електронний документообіг" від 22 травня 2003 року № 851-IV, а також "Про електронний цифровий підпис" від 22 травня 2003 року № 852-ІV встановлено основні організаційно-правові засади електронного документообігу та використання електронних документів, а також правовий статус електронного цифрового підпису (ЕЦП) та порядок його застосування юридичними і фізичними особами, визначено організаційну інфраструктуру ЕЦП та її суб'єктів. Передбачається послідовна розробка нормативно-правових актів, сфера регулювання яких визначається вперше, визначено необхідність підтримки функціонування центрального засвідчувального органу, як основного елемента інфраструктури електронного цифрового підпису.

На виконання вищеназваних законів протягом 2004 року прийнято шість постанов Кабінету Міністрів України (від 26 травня 2004 р. № 680, від 13 липня 2004 р. № 903, від 28 жовтня 2004 р. №№ 1451 - 1454), які стосуються сфер електронного документообігу та електронного цифрового підпису.

Дорученням Кабінету Міністрів України від 23.02.2005 № 6056/2/1-05 передбачалось створення центрального засвідчувального органу та забезпечення умов для акредитації центрів сертифікації ключів інфраструктури електронного цифрового підпису.

Постановою Кабінету Міністрів України від 6 травня 2005 р. № 324 "Про заходи щодо виконання у 2005 році Програми діяльності Кабінету Міністрів України "Назустріч людям" підтверджено необхідність прийняття цільової програми впровадження й розвитку електронного документообігу з використанням електронного цифрового підпису.

В Указі Президента України "Про першочергові заходи щодо впровадження новітніх інформаційних технологій" від 20 жовтня 2005 р. № 1497 одним із пріоритетних напрямків сфери інформаційних технологій визначено впровадження в Україні електронного документообігу із застосуванням електронного цифрового підпису.

Проте, жодним із вищезазначених законів та нормативно-правових актів не було передбачено конкретних заходів щодо створення, впровадження й утримання інфраструктури електронного цифрового підпису та не визначені механізми фінансування цих заходів.

З метою вирішення питань, які стосуються проблематики запровадження в Україні системи електронного урядування, 24 лютого 2003 року було прийнято Постанову Кабінету Міністрів України № 208 "Про заходи щодо створення електронної інформаційної системи "Електронний уряд".

Відповідно до цієї Постанови передбачено створити належні нормативно-правові засади функціонування системи "Електронний уряд", забезпечити умови для більш швидкого та доступного надання інформаційних послуг громадянам та юридичним особам шляхом використання електронної інформаційної системи "Електронний уряд", яка забезпечує: взаємодію органів виконавчої влади між собою, з громадянами та юридичними особами на основі сучасних інформаційних технологій, інтегрувати державні електронні інформаційні ресурси і системи в Єдиний веб-портал органів виконавчої влади.

Вдосконалення та оновлення нормативно-правової бази України, створення спеціальних юридичних норм сприятиме ефективному впровадженню та функціонуванню електронного документообігу та електронного цифрового підпису.

Для регулювання правовідносин у сфері інформаційних технологій Верховна Рада України вже ухвалила кілька Законів України, які набули чинності:

- "Про електронні документи та електронний документообіг" від 22 травня 2003 р. № 851-IV;

- "Про електронний цифровий підпис" від 22 травня 2003 p. № 852-IV;

- "Про обов'язковий примірник документів" від 9 квітня 1999 p. № 595-XTV;

- "Про Національну програму інформатизації" від 4 лютого 1998 р. № 74/98-ВР;

- "Про телекомунікації" від 18 листопада 2003 p. № 1280-IV;

- "Про Національну систему конфіденційного зв'язку" від 10 січня 2002 р. № 2919-111;

- "Про захист інформації в інформаційно-телекомунікаційних системах" від 5 липня 1994 р. № 80/94-ВР.

Прийняття згаданих нормативно-правових актів, предметом регулювання яких є процеси електронного документообігу, дасть можливість створити сприятливі умови в сфері застосування сучасних інформаційних технологій, стимулювати в Україні розвиток ринку та інфраструктури послуг, що надають за допомогою засобів інформатизації.

В Україні порядок застосування засобів ЕЦП в порівнянні із зарубіжними країнами регламентований набагато жорсткіше. На даний час діє Указ Президента "Про заходи з дотримання законності в області розробки, виробництва, реалізації і експлуатації шифрувальних засобів, а також надання послуг в області шифрування інформації". Відповідно до нього заборонена діяльність юридичних і фізичних осіб, пов'язана з розробкою, виробництвом, реалізацією і експлуатацією шифрувальних засобів, а також захищених засобів зберігання, обробки і передачі інформації, наданням послуг в області шифрування інформації без ліцензій. Забороняється також використання державними організаціями і підприємствами в інформаційно-телекомунікаційних системах шифрувальних засобів, включаючи криптографічні засоби забезпечення достовірності інформації (електронний підпис), що не мають сертифікату. Така політика держави в області регулювання застосування і реалізації криптографічних засобів, у тому числі і засобів ЕЦП, мабуть, пояснюється прагненням використовувати тільки засоби, сертифіковані уповноваженими державними органами. Зміст нормативно-правових актів України, які регулюють застосування шифрувальних засобів, у тому числі і засобів ЕЦП, демонструє існуючу тенденцію встановлення "тоталітарного підходу" в цій справі. Безумовно, для вирішення безлічі проблем, пов'язаних з національною безпекою, необхідна наявність певних обмежень в області розробки, застосування і обороту засобів ЕЦП. Проте нав'язування продукції тільки одного або декількох виробників у цій області (а для самих виробників - обов'язкова платна сертифікація їх діяльності), особливо якщо воно супроводжується закритістю алгоритму, може у результаті призводити до посилення корупції і зниження справжньої, а не декларативної захищеності засобів ЕЦП. Правове регулювання застосування засобів ЕЦП повинно прагнути до більшої гнучкості у віддзеркаленні вимог об'єктивної дійсності. Можливо, враховуючи особливості України, було б доцільно розглянути багаторівневий підхід до визнання дійсності ЕЦП і ліцензування її засобів: одні вимоги - для адміністративної сфери, інші - для корпоративної і треті - для особистого документообігу.

2.3 Державний контроль та право суспільства на криптографію

За роки, що минули після Другої світової війни, відбулися дві важливі пов'язаних між собою події в області обміну інформацією. Це поява комп'ютерів і "сильної" криптографії. Асиметрична криптографія, або системи з відкритим ключем дозволяють зашифрувати повідомлення для конкретного адресата без попереднього обміну ключами, тобто зашифрувати листа, телефонну розмову і т.п. з людиною, з якою ви спілкуєтеся вперше, таким чином, що перехопити ключ до шифру принципово неможливо. З іншого боку, асиметрична криптографія дозволяє підтвердити, що повідомлення було надіслано володарем конкретного ключа і ніким іншим (електронний підпис). Слід зазначити, що тут розглядаються алгоритми надійні і доступні. Тобто, наприклад, лист, зашифрований за кілька хвилин на дешевому персональному комп'ютері, для "розколювання" потребує багатьох днів, а то й років, роботи найпотужніших суперкомп'ютерів, якими володіє ФСБ і ЦРУ, навіть якщо був використаний "слабкий" варіант захисту. Криптографічні методи годяться для будь-якого носія інформації - можна дискети поштою пересилати, можна шифрувати голос при розмові по телефону, можна навіть телевізійне зображення шифрувати, якщо знадобиться. Основні, найбільш актуальні застосування - електронна пошта (e-mail) і телефон. Інша сторона технічного прогресу полягає в тому, що нові носії збільшують можливість перехоплення інформації. Стільникові телефони прослуховуються приймачем абсолютно непомітно. Електронну пошту можна сканувати на великих вузлах мережі. При цьому, по-перше, масове прослуховування можна влаштувати при зовсім невеликих витратах, а по-друге, легко уникнути залишення доказів. Збільшується і можливість підробити інформацію. Наприклад, автора електронного листа неможливо впізнати по почерку або по голосу, тому завжди є ймовірність, що його відправив хтось інший.

Криптографія і тільки криптографія дозволяє надійно вирішити проблеми секретності і автентичності інформації.

Держава традиційно бере на себе захист прав особистості (недоторканність листування, заборона підслуховування телефону, відповідальність за підробку документів). І при цьому залишає за собою право порушувати ці правила в обумовлених законом випадках, для боротьби з злочинами.

Поява загальнодоступної криптографії все змінює. Людина може самостійно забезпечити таємність і автентичність своїх зв'язків з іншими людьми. А держава втрачає потужний спосіб виявлення і доказів злочинів. Держава в особі правоохоронних структур страждає - вона позбавляється частини функцій, а виконання іншої частини функцій сильно ускладнюється. Воно намагається загальмувати життя, і доводить нам, що неконтрольоване використання криптографії принесе проблеми.

Аргументі, висунуті державою, звучать приблизно таким чином: "дайте нам можливість ловити злочинців (не використовуйте криптографію), а ми забезпечимо вам недоторканність інформації (зловимо і покараємо осіб, що здійснюють незаконне підслуховування)". Інколи держава не говорить цього прямо, а пропонує нам користуватися системами, що пройшли "перевірку" та сертифікацію. При цьому може матися на увазі (хоча і заперечуватися офіційно), що "перевірені" системи доступні для злому самою державою, будучи імовірно недоступні для зловмисників. У такому випадку говорять, що система містить "back door " - "чорний хід", або просто спеціально "ослаблена ". Відкрито проводять таку політику США (проект Clipper), завуальовано - Франція і Росія (заборонено використання "несертифікованих" систем).

Але ці аргументи не витримують критики. По-перше, держава не отримає вигоди від того, що зможе підслуховувати законослухняних людей. Бо цілком надійні засоби криптографії вільно доступні (і навіть безкоштовні), і зловмисні

люди, які свідомо йдуть на порушення законів, легко порушать ще й заборону на криптографію. Їх-то якраз держава не зможе підслухати.

Практично в даний час ніщо не може перешкодити використанню криптографії кримінальними елементами і терористами. Їм доступні програми криптографічного захисту повідомлень, переданих по мережах зв'язку та електронної пошти типу Pretty Good Privacy (PGP). Це означає, що контроль за застосуванням криптографії буде мало ефективним і не зможе перешкоджати використанню криптографічного зв'язку в злочинних цілях. Навіть без застосування криптографії злочинні елементи мають багато способів спілкування між собою без побоювання бути виявленими правоохоронними службами.

З іншого боку, держава нездатна захистити від перехоплення інформації зловмисними людьми. Чисто технічно. Знайти приймач, що прослуховує стільникові телефони, практично неможливо. Як майже неможливо знайти і програму, що сканує інформацію, що проходить через мережу. Це не "жучок " у квартирі або "крокодили " на клемах телефонного щита, які можна реально побачити і зняти з них відбитки пальців.

Є ще причини не довіряти аргументам державі - корупція і відносна політична нестабільність. У будь-якій державі існують недобросовісні чиновники, готові поділитися доступною їм інформацією за гроші. А в Україні рівень корупції досить високий. Так що інформація, доступна з обов'язку служби чиновнику, може потрапити до злочинця. А якщо влада в країні перейде до "ліво" налаштованим керівникам, законно зібрана інформація може бути використана для пошуку інакомислячих, занадто багатих, і т.п.

Нарешті, слід розуміти, навіть якщо держава витратить купу зусиль і грошей(з податків громадян) на те, щоб обмежити використання криптографії, нічого не вийде. У своєму програмному втіленні, криптографічні системи доступні на тисячах серверів в мережі, розташованих в багатьох країнах світу, і

встановлені на мільйонах комп'ютерів. Просто нереально знайти всіх користувачів таких систем і примусити їх відмовитися від їх використання.

Окреме питання - питання довіри до криптографічних систем. Якщо система "закрита", тобто користувач не може (потенційно) вивчити її внутрішній устрій у всіх деталях, то немає гарантії, що в неї не вбудований вже згадуваний вище "чорний хід". Держава виправдовується і на цю тему, стверджуючи, що сертифікація дозволить гарантувати відсутність цього "чорного ходу". А інакше, мовляв, такої гарантії отримати не можна. Але це можна спростувати. По-перше, є об'єктивні передумови, розглянуті вище, до того, щоб держава сама прагнула залишити "чорний хід" в криптографічних системах, саме для успішного виконання своїх законних функцій. По-друге, можна самому перевірити криптографічну систему - якщо вона повністю відкрита. Відкритість системи не зменшує її надійності, оскільки, як зазначено вище, сам алгоритм не є секретом, що забезпечує захист. Зате після того, як систему перевірять сотні любителів і професіоналів у всьому світі, ймовірність наявності в ній "чорного ходу" буде прагнути до нуля, і ймовірність помилок, що порушують захист, теж стане суттєво малою. І такі відкриті системи у вигляді комп'ютерних програм, доступних в початкових текстах, існують. Одна з найвідоміших, PGP, дозволяє шифрувати і/або підписувати будь-які комп'ютерні файли (електронні листи, тексти, картинки, що завгодно) для подальшої передачі по мережі, або на дискетах поштою, або як завгодно. Інша, SpeakFreely, дозволяє використовувати комп'ютер, підключений до мережі, як телефон із зашифрованою передачею звуку (для цього достатньо звичайного персонального комп'ютера з звуковою платою, підключеного до Internet через модем). Включення подібних засобів в стільникові і звичайні телефони, пейджер і т.п. не представляє в наш час технічних проблем, і не вимагає великих витрат. Цей процес гальмуватися виключно зусиллями держави.

З іншого боку, в даний час існують вагомі аргументи на користь більш широкого застосування криптографії. Протягом останнього десятиліття відбувався безперервний розвиток мережі Інтернет, а разом з ним бурхливий розвиток технологій електронної комерції. Незважаючи на великі розміри зазначеної мережі вона вважається досить надійною для проведення таких операцій, що можна пояснити суворим дотриманням певної дисципліни більшістю її користувачів, а не певим рівнем безпеки, властивій самій мережі . Насправді вже давно встановлено, що дії деяких осіб можуть негативно вплинути всю мережу. Це показав інцидент, що отримав назву Internet Worm, коли хакер R. Morris запустив програму, яка вивела з ладу багато центральних комп'ютерів, підключених до мережі, нормальне функціонування яких було відновлено тільки через кілька днів.

Ця вразливість мережі не може відповідати вимогам розширення електронної комерції, внаслідок чого ці фактори і ряд інших умов визначають напрями розвитку криптографії в даний час. До цих інших умов відносяться:

- ідентифікація та аутентифікація користувачів;

- збереження цілісності даних;

- використання цифрових (електронних) підписів;

- виключення можливості відмови відправника або одержувача повідомлень від участі в процесі обміну.

Саме в цих областях проявляється особлива гнучкість криптографічного техніки, так як вона може дати загальний підхід до вирішення всіх цих завдань.

У 1992 р. уряд США зробило спробу досягти балансу протилежних вимог до використання криптографії, прийнявши програму Cliper Initiative. Мета цієї програми полягала в наданні надійних методів криптографії для комерційних застосувань при збереженні державних інтересів. Уряд зберігав за собою право доступу до ключів шифрування в необхідних випадках (на законних підставах).

Так як володільцями кріптоключа були треті незалежні сторони, ця криптографічна система отримала назву "криптографія з депонованими ключами" (Escrowed Encrypton).

Ця система одразу викликала заперечення і протести:

- Групи захисту цивільних прав і спільнота користувачів мережі Інтернет побачили в цій програмі порушення їх прав і свободи користування тими чи іншими криптографічними системами за своїм розсудом;

- Фірми обчислювальної техніки і техніки зв'язку США, побоюючись втратити своїх замовників і споживачів, різко заперечили проти пропозицій уряду;

- Фахівці незабаром виявили слабкі місця в пропонованій системі це знижувало довіру до неї і робило практично неможливим її впровадження.

При такому ставленні до системи Cliper всередині країни фірми комп'ютерної промисловості США, що є основними постачальниками апаратних і програмних продуктів для глобальної інформаційної інфраструктури Gil (Global Information infrastruktur), зустрілися з зростаючими вимогами їхніх міжнародних замовників на поставку їм більш надійних продуктів. Але фірми США не могли виконати ці вимоги, так як жодна з криптографічних систем з довжиною ключа 40 біт, експорт яких був дозволений урядом, не могла вважатися досить безпечними і відповідати новим вимогам. Це було підтверджено студентами, які, використовуючи резервні обчислювальні потужності комп'ютерів мережі Інтернет, розкривали такі ключі протягом декількох годин.

У такій ситуації фірми США запропонували кілька схем більш надійною криптографії :

а) Диференціальна криптографія (Differential Cryptography) - це програма шифрування Lotus типу стандарту шифрування DES, що використовує ключ довжиною 56 біт, але дає можливість урядовим агентствам США легко

отримувати при необхідності 16 біт ключа шифрування. Це знижує витрати уряду США на розкриття ключів до еквівалентної вартості розкриття ключа довжиною 40 біт при збереженні для користувачів переваг, пов'язаних із збільшенням довжини ключа до

56 біт. Для тих користувачів, хто не бачить загрози з боку США, ця система дає певні переваги. Але для більшості таке рішення вважається неприйнятним.

б) Криптографія "Вмикай і шифрів" (Plug & Play Cryptography) - цей продукт продається з інтерфейсом, що дає можливість використовувати зовнішні криптографічні модулі. Проблема застосування цієї системи полягає в тому, що контроль експорту в США поширюється не тільки на криптографічні продукти, а й на інші продукти, що відносяться до їх застосування.

Іншою важливою проблемою, пов'язаною з впровадженням загальноприйнятої хорошої криптографічної системи, є проблема розкриття криптографічних ключів. Ця проблема викликана питанням про те, що станеться, якщо уряди припинять свої дії, що перешкоджають широкому поширенню криптографії високого рівня.

Відповідь полягає в тому, що високонадійна криптографія швидко стане загальнодоступною, але користувачі незабаром зрозуміють, що у разі втрати ними своїх ключів шифрування (а це безумовно буде відбуватися) їх життєво важлива інформація буде втрачена назавжди, так як вони не зможуть розшифрувати її.

У таких обставинах вони будуть змушені звернутися до постачальників криптографічних продуктів з проханням забезпечити їх засобами швидкого відновлення інформації для захисту від можливих небезпечних наслідків, пов'язаних з втратою ключа шифрування (що аналогічно зверненню до слюсаря з проханням злому і заміни замка вхідних дверей квартири в разі втрати ключа). При цьому важливо гарантувати, щоб така можливість відновлення ключів не відкривала доступ до конфіденційної інформації користувачів "третій стороні". Це, разом з тим, дає певні комерційні переваги при наступних обставинах:

- Фірми будуть змушені звертатися за допомогою у відновленні інформації, зашифрованою на ключах їх співробітників, у разі смерті такого співробітника або звільнення з фірми з тих чи інших причин;

- У багатьох випадках фірмам важливо мати незалежні записи про свою діяльність і дії їх апарату і використовувати такі записи для пояснень на вимогу законодавчих та контрольних органів.

Важлива відмінність між відновленням ключів шифрування таким способом і депонуванням ключів полягає в наступному: в першому випадку організація або фірма самі управляють своїми ключами, а в другому - для цього створюється нейтральний, але обов'язковий урядовий механізм. Може бути запропонована система відновлення ключів з "центрами відновлення". Системи цього типу можуть бути корисними для невеликих організацій, які з економічних причин не можуть утримувати власну дорогу службу відновлення. Можливо, що уряди деяких країн будуть наполягати на тому, щоб відновлення ключів відбувалося тільки через відповідні центри. Але вже відомо, що уряд однієї з європейських країн схвалив підхід, згідно з яким вибір способу відновлення ключів представляється першій стороні тобто користувачеві, і є підстави вважати, що уряди інших країн вчинять згідно цьому прикладу. Тому можна очікувати появи змішаних систем і служб відновлення ключів з участю третьої сторони і без неї. Так як необхідність служб відновлення ключів обумовлена потребами комерційних фірм і організацій, ідея їх створення підтримується широкими промисловими сферами, наприклад, очолюваними фірмою IBM (США)альянсом відновлення ключів (Key Recovery Alliance), до складу якого входять вже більше 40 інших фірм. Відомо багато інших технічних підходів до реалізації проблеми відновлення ключів, підтримувані фірмами Trusted Information Systems (TIS), Banker Trust та ін. На початку 1997 р. міністерство торгівлі та промисловості Великобританії оголосило про намір ввести контроль надання криптографічних послуг службами мереж зв'язку загального користування. Основою такого контролю має стати ліцензування. У повідомленні цього міністерства для преси не міститься уточнень. Але з подальших роз'яснень представників міністерства можна зробити висновок про те, що мова йде про обов'язкове депонування ключів шифрування. Міністерство заявило, що воно не має наміру змінювати прав окремих громадян Великобританії на застосування криптографії для захисту особистої інформації на їх розсуд. Однак це твердження не відповідає реальній ситуації, оскільки будь-які законодавчі рішення про обмеження застосувань криптографії не можуть не зачіпати особистих інтересів громадян.

Хоча ініціатором введення таких обмежень виступає міністерство торгівлі і промисловості, фактично цю політику визначає Управління урядового зв'язку Великобританії, зацікавлена у встановленні більш суворого контролю за засобами зв'язку та обчислювальної техніки. Певну протидію такій політиці в області криптографії надає ряд громадянських організацій, серед яких найбільшою активністю виділяється організація економічного сприяння і розвитку OECD (Organisation for Economic Cooperation & Development). Діяльність цієї організації підтримується багатьма групами захисту цивільних свобод Європи та США.

Нещодавно уряд США оголосив про важливу зміну своєї політики в області криптографії, що полягає в переході від депонування ключів шифрування до техніки відновлення ключів. Згідно з цим рішенням фірми, які мають намір постачати продукти з відновленням ключів, можуть протягом двох років експортувати криптографічні продукти на основі використання алгоритму шифрування DES з довжиною ключа 56 біт. Після того як техніка відновлення ключів буде впроваджена практично (після перехідного періоду) всі обмеження на крипостійкість алгоритмів шифрування (на довжину ключа), застосовуваних у таких продуктах, будуть зняті.

Ця політика, очевидно, призведе до того, що вироблені в США криптографічні продукти з відновленням ключів, що вимагають участі третьої сторони, будуть легко експортуватися, а продукти з відновленням ключів першою чи третьою сторонами, розроблені і вироблені в інших країнах, будуть доступними тільки в "дружніх" країнах. Хоча ця зміна політики уряду США досить істотна та вітається усіма сферами, інтереси яких воно зачіпає, це не означає, що США відмовилися від свого прагнення керувати безпекою глобальної інформаційної структури. Так, в США зберігається порядок, згідно з яким техніка відновлення ключів шифрування в апаратурі, яка використовується всередині країни, може застосовуватися добровільно, але в апаратурі, що експортується в інші країни, її застосування обов'язкове.

Криптографія, що є областю спеціального призначення, породжує ряд важливих проблем етичного характеру, пов'язаних з відносинами уряду і суспільства в тій чи іншій країні.

У демократичних країнах громадяни можуть спілкуватися між собою, не побоюючись втручання урядових органів. Криптографія в поєднанні з глобальною інформаційною структурою може стати засобом реалізації цього основного цивільного права в міжнародному масштабі. Згідно з офіційними урядовими заявами, політика обмеження застосувань криптографії має метою перешкодити її використанню терористами та іншими злочинними елементами. Однак історія спростовує такі твердження, так як будь-які обмеження на використання криптографії зачіпають права і свободи всіх членів суспільства.

В Україні право на володіння своєю інформацією гарантується ст. 34 Конституції України "Кожен має право вільно збирати, зберігати, використовувати і поширювати інформацію усно, письмово або в інший спосіб - на свій вибір.". А право на захист інформації розкривається в законі "Про інформацію" який встановлює, що кожен має право на вільне одержання, використання, поширення, зберігання та захист інформації, необхідної для реалізації своїх прав, свобод і законних інтересів.

Звичайно, здійснення цих прав може бути обмежене законом в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров'я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя. Тобто держава визначає право усіх суб'єктів інформаційних відносин на захист своїх даних. А криптографічний захист це один із видів такого захисту.

До суб'єктів інформаційних відносин згідно закону "Про інформацію" належать: фізичні особи, юридичні особи, об'єднання громадян, суб'єкти владних повноважень. Якщо проаналізувати нормативні документи України, що стосуються криптографічного захисту інформації та господарської діяльності, то можна зробити висновок, що будь-яка діяльність, що пов'язана з даним видом захисту інформації перебуває під державним контролем, що виражається через ліцензування даного виду діяльності. При тому порушення вимог ліцензування карається штрафами та іншими стягненнями. Тобто, як бачимо з одного боку держава гарантує захист на свою інформацію, а з іншого обмежує вільне використання одного з інструментів її захисту, звичайно мотивуючи це необхідністю в захисті національних інтересів прав людей та інших прав і свобод. Така позиція держави може викликати недовіру з боку громадян до криптографічних продуктів, що знаходяться в обігу в Україні, адже лише пройшовши певні етапи перевірки і отримавши ліцензію можна використовувати ті чи інші криптографічні системи. І невідомо наскільки ці системи надійні і чи немає в них "чорних ходів" які б дали державі змогу читати засекречену інформацію.

2.4 Висновки до розділу 2

В даному розділі були описані правові механізми врегулювання господарських відносин в сфері криптографії в Україні і з'ясовано, що в нашій державі існує досить жорсткий контроль за використанням, торгівлею та створенням криптопродукції. Будь-яка діяльність, що пов'язана з кирптографією в Україні підлягає ліцензуванню. З одного боку це призводить до підвищення якості продукції, з іншого - звужує можливість іншим на законних підставах захищати свої інформаційні ресурси. Проаналізувавши хід подій у сфері інформаційних правовідносин та інформатизації, зокрема, впровадження системи електронного документування в Україні, різноманітні документи та матеріали, можна зробити висновок, що у цьому напрямку здійснюються певні заходи. Можливо, не настільки інтенсивно, як в інших державах, але можна стверджувати, що через деякий час Україна, за умови системної правової та практичної розбудови системи електронного документування, також буде характеризуватися неабиякими здобутками у цій сфері. Також з'ясовано, що постійне контроль урядів країн за вільним використанням криптографіної продукції суспільством частіше завдає шкоди аніж користь. Як показує світова практика, обмеження на використання криптографії лише позбавляє законослухняних громадян права захищати свою інформацію і в той же час надає можливість правопорушникам її знімати. Ті аргументі, якими уряди виправдовують такий контроль не виправдовують ризики, які суспільство отримає через нього.

Розділ 3. Стандартизація в області криптографічного захисту інформації

3.1 Міжнародні стандарти в сфері КЗІ

Міжнародна стандартизація - стандартизація, участь у якій відкрита для відповідних органів усіх країн. Під стандартизацією розуміється діяльність, спрямована на досягнення упорядкування в певній галузі шляхом встановлення положень для загального і багаторазового застосування щодо реально існуючих і потенційних завдань. Ця діяльність виявляється у розробці, опублікуванні та застосування стандартів. Міжнародний стандарт - стандарт, прийнятий міжнародною організацією. Стандартом називається документ, в якому встановлюються характеристики продукції, експлуатації, зберігання, перевезення, реалізації та утилізації, виконання робіт або надання послуг. Стандарт також може містити вимоги до термінології, символіку, пакування, маркування або етикеток і правилам їх нанесення. На практиці під міжнародними стандартами часто мають на увазі також регіональні стандарти і стандарти, розроблені науково-технічними товариствами та прийняті в якості норм різними країнами світу. Окрім міжнародної стандартизації є також регіональна та стандартизація наукового товариства.

Регіональна стандартизація - стандартизація, участь у якій відкрита для відповідних органів країн лише одного географічного або економічного регіону світу. Регіональний стандарт - стандарт, прийнятий регіональною організацією зі стандартизації.

Стандарт науково-технічного, інженерного товариства - стандарт, прийнятий науково-технічним, інженерним суспільством або іншим громадським об'єднанням[29].

Основне призначення міжнародних стандартів - це створення на міжнародному рівні єдиної методичної основи для розробки нових і вдосконалення діючих систем якості та їх сертифікації. Науково-технічне співробітництво в галузі стандартизації спрямовано на гармонізацію національної системи стандартизації з міжнародною, регіональними та прогресивними національними системами стандартизації.

У розвитку міжнародної стандартизації зацікавлені як індустріально розвинені країни, так і країни, що розвиваються і створюють власну національну економіку.

Цілі міжнародної стандартизації:

- зближення рівня якості продукції, що виготовляється в різних країнах;

- забезпечення взаємозамінності елементів складної продукції;

- сприяння міжнародній торгівлі;

- сприяння взаємному обміну науково-технічною інформацією та прискорення науково-технічного прогресу.

Основними завданнями стандартизації є:

- встановлення вимог до технічного рівня і якості продукції, сировини, матеріалів, напівфабрикатів і комплектуючих виробів, а також норм, вимог і методів у галузі проектування і виробництва продукції, що дозволяють прискорювати впровадження прогресивних методів виробництва продукції високої якості і ліквідувати нераціональне різноманіття видів, марок і розмірів;

- розвиток уніфікації і агрегатування промислової продукції як найважливішої умови спеціалізації виробництва;

- комплексної механізації та автоматизації виробничих процесів, підвищення рівня взаємозамінності, ефективності експлуатації і ремонту виробів;

- забезпечення єдності та достовірності вимірювань в країні, створення і вдосконалення державних еталонів одиниць фізичних величин, також методів і засобів вимірювань вищої точності;

- розробка уніфікованих систем документації, систем класифікації та кодування техніко-економічної інформації;

- прийняття єдиних термінів і позначень у найважливіших галузях науки, техніки, галузях економіки;

- формування системи стандартів безпеки праці, систем стандартів у галузі охорони природи і поліпшення використання природних ресурсів;

створення сприятливих умов для зовнішньоторговельних, культурних і науково-технічних зв'язків.

Міжнародні стандарти не мають статусу обов'язкових для всіх країн-учасниць.

Будь-яка країна світу вправі застосовувати чи не застосовувати їх. Вирішення питання про застосування міжнародного стандарту ІСО пов'язане, в основному, зі ступенем участі країни в міжнародному поділі праці і станом зовнішньої торгівлі.

Керівництво ІСО/МЕК 21:2004 передбачає пряме і непряме застосування міжнародного стандарту. Пряме застосування - це застосування міжнародного стандарту незалежно від її прийняття в будь-якому іншому нормативному документі.

Непряме застосування - застосування міжнародного стандарту за допомогою іншого нормативного документа, в якому цей стандарт був прийнятий.

Керівництво ІСО/МЕК 21 встановлює систему класифікації для прийнятих і адаптованих міжнародних стандартів:

Ідентичні (IDT): Ідентичні з технічних змістом і структурою, але можуть містити мінімальні редакційні зміни.

Змінені (MOD): Прийняті стандарти містять технічні відхилення, які ясно ідентифіковані і пояснені.

Чи не еквівалентний (NEQ): регіональний чи національний стандарт не еквівалентний міжнародним стандартам. Зміни ясно не ідентифіковано, і не встановлено чітка відповідність.

Існує ряд міжнародних організацій, що займаються міжнародною стандартизацією:

Міжнародна організація стандартизації(ISO). Міжнародна організація ISO почала функціонувати 23 лютого 1947 як добровільна, неурядова організація. Вона була заснована на основі досягнутої на нараді в Лондоні в 1946 р. угоди між представниками 25-ти індустріально розвинених країн про створення організації, що володіє повноваженнями координувати на міжнародному рівні розробку різних промислових стандартів і здійснювати процедуру прийняття їх в якості міжнародних стандартів[31].

International Electrotechnical Commission (Міжнародна електротехнічна комісія).

Організація IEC (МЕК), утворена в 1906 р., є добровільною неурядовою організацією. Її діяльність, в основному, пов'язана зі стандартизацією фізичних характеристик електротехнічного і електронного обладнання. Основна увага IEC приділяє таким питанням, як, наприклад, електровимірювання, тестування, утилізація, безпека електротехнічного і електронного обладнання. Членами IEC є національні організації (комітети) стандартизації технологій у відповідних галузях, що представляють інтереси своїх країн у справі міжнародної стандартизації. Мова оригіналу стандартів МЕК - англійська.