Міністерство освіти та науки України

Національний Університет «Львівська політехніка»

Кафедра «ІСМ»

Доповідь

з предмету

Захист та безпека даних

в інформаційних системах та мережах

на тему:

«Застосування ЕЦП»

Виконав

ст. гр. ІСМ-11c

Ткач Ю. М.

Прийняв

Тарасов Д. О

Львів 2010

Зміст

Вступ

1. Основні положення

2. Електронний документообіг та використання ЕЦП

2.1 Особливості електронного документообігу

2.2 Специфіка укладення договорів в електронній формі

2.3 Затвердження договору електронним цифровим підписом

2.4 Використання електронних документів в якості доказу

2.5 Процедура укладення електронного договору

3 Нормативно-правова база в сфері ЕЦП

4 Центральний засвідчувальний орган (ЦЗО)

5 Керування ключами

5.1 Відкритий ключ

5.2 Закритий ключ

5.3 Призначення закритого ключа

6 ЕЦП в державній податковій службі

6.1 Використання ЕЦП в роботі органів ДПС

7. Становлення українського законодавства про цифровий підпис

8. Використання ЕЦП при здійсненні електронних правочинів

9. Проблеми вдосконалення використання ЕЦП

Висновки

Література

Вступ

З січня 2004 року вступив у дію прийнятий парламентом Закон України «Про електронний цифровий підпис», в якому визначене поняття, сфера використання та юридична сила електронного цифрового підпису.

Електронний підпис - данні в електронній формі, які приєднуються до інших електронних даних або логічно з ними пов'язані та призначені для перевірки цілісності даних та ідентифікації особи, яка підписала ці дані.

Електронний цифровий підпис може використовуватись юридичними та фізичними особами як аналог власноручного підпису для надання електронному документу юридичної сили. Юридична сила електронного документа, підписаного ЕЦП, еквівалентна юридичні силі документа на паперовому носієві, підписаного власноручним підписом правоздатної особи і скріплена печаткою.

ЕЦП володіє всіма основними функціями особистого підпису:

ѕ засвідчує те, що отриманий документ надійшов від особи, яка його підписала;

ѕ гарантує цілісність та захист від спотворення/виправлення підписаного документу;

ѕ не дає можливості особі, яка підписала документ, відмовитись від зобов'язань, що виникли в результаті підписання цього документу.

Безпека використання ЕЦП забезпечується тим, що засоби, які використовуються для роботи з ЕЦП, проходять експертизу і сертифікацію в Департаменті спеціальних телекомунікаційних систем СБУ, яка гарантує неможливість злому та підробки ЕЦП.

Переваги ЕЦП

Юридична сила електронних документів

Закони України прирівнюють за юридичною силою електронні документи, що підписані ЕЦП, і документи з власноручним підписом або печаткою, а також створюють правову основу для застосування ЕЦП і здійснення юридично значимих дій шляхом електронного документообігу.

Конфіденційність і безпека інформації

Використовуючи ЕЦП отримуються додаткові можливості шифрування документів. Завдяки надійним криптографічним алгоритмам забезпечується конфіденційність інформації, яка має на увазі неможливість доступу до неї будь-якої особи.

Безпека використання ЕЦП забезпечується тим, що ПЗ , яке використовується для роботи з ЕЦП, проходить експертизу і сертифікацію в Департаменті спеціальних телекомунікаційних систем СБУ, яка гарантує неможливість злому і підробки ЕЦП.

Можливість ведення електронного документообігу з державними структурами

Можливість використовувати одні й ті ж засоби ЕЦП при обміні даними з усіма міністерствами, відомствами, при подачі звітності в будь-які контролюючі органи на території України.

Удосконалення бізнес-процесів на підприємствах

Ведення ЕДО на підприємствах значно скорочує об'єми паперової бухгалтерської документації, економить час співробітників і витрати підприємств, пов'язані з укладенням договорів, оформленням платіжних документів.

Ведення ділових відносин на сучасному рівні

Використання ЕЦП значно прискорює проведення багато чисельних комерційних операцій, виключає необхідність додаткових зустрічей і багато часових переговорів.

Електронний цифровий підпис - ефективне рішення для всіх, хто хоче йти в ногу з новими вимогами часу. Документи, підписані електронним цифровим підписом, можуть бути передані до місця призначення протягом декількох секунд. Всі учасники електронного обміну документами отримують рівні можливості незалежно від їх віддаленості один від одного.

1. Основні положення

Електронний цифровий підпис - Аналог власноручного підпису фізичної особи, представлений як послідовність символів, отримана в результаті криптографічного перетворення електронних даних з використанням закритого ключа ЕЦП, що дозволяє користувачеві відкритого ключа встановити цілісність і незмінність цієї інформації, а також власника закритого ключа ЕЦП.

Надійне завірення документів які створені у електронній формі і не мають паперового аналогу може спростити життя для багатьох користувачів фінансових послуг та різних видів бізнесу. Для завірення (підписування) документів у електронній формі використовують механізм електронного цифрового підпису (ЕЦП).

Робота з ЕЦП в Україні ґрунтується на ряді законів ("Про електронний цифровий підпис", "Про електронний документ та електронний документообіг") та постанов кабміну ("Про затвердження Порядку засвідчення наявності електронного документа(електронних даних) на певний момент часу", "Про затвердження Положення про центральний засвідчувальний орган", "Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності" тощо).

Для реального впровадження електронного документообігу та ЕЦП не вистачало кількох ланок. Зокрема центрів сертифікації ключів електронного цифрового підпису.

З 17.01.2006 Науково-виробнича фірма "Українські національні інформаційні системи" (УНІС)може виконувати функції центру сертифікації ключів електронного цифрового підпису. Це перша організація яка отримала акредитацію Центру сертифікації ключів електронного цифрового підпису.

УНІС працює з сертифікатами міжнародного стандарту X.509 v3. Для створення електронного цифрового підпису використовуються стандарти ДСТУ 4145-2002, ГОСТ 34.310-95 та ГОСТ 34.311-95.

УНІС орієнтується не на обслуговування (формування, зберігання, блокування, поновлення, завірення тощо) абстрактних сертифікатів а на роботу з сертифікатами для відомчих потреб (Державного Комітету фінансового моніторингу, податкової). Відповідно пропонує ПЗ для роботи з цими структурами.

УНІС не надає пропозиції по створенню публічних каталогів завірених сертифікатів. Такі каталоги є важливою компонентою PKI.

Сподіваюсь, що з початком масового використання ЕЦП відбудеться розширення послуг центрів сертифікації ключів.

З матеріалів сайту УНІС можна спрогнозувати ціну на створення та завірення ключа в межах 200-700 грн. На одну юридичну особу потрібно 2-4 ключі (без заступників директора, довірених осіб і т.д.).

Приклад цін на додаткові послуги УНІС:

ѕ Генерація ключа клієнта в офісі УНІС (за бажанням клієнта) - 150 грн.

ѕ Заміна реквізитів голосової авторизації (аналог питання про дівоче прізвище у банках) - 100 грн.

ѕ Видача дубліката сертифіката відкритого ключа його власнику (практично копіювання файлу) - 20 грн.

ѕ Хочеться сподіватись, що майбутня конкуренція знизить ціни.

2. Електронний документообіг та використання ЕЦП

2.1. Особливості електронного документообігу

За час життєвого циклу документ проходить різноманітні стадії і попадає до своїх виконавців у різних якостях.

На етапі створення документу він не має юридичної сили і є проектом документа. Після того як документ створений - узгоджений, підписаний, затверджений, після того як поставлені печатки, проект стає власне документом і має з цього моменту і до завершення життєвого циклу юридичну силу, може використовуватись в якості доказу в суді і т.д.

Слід зауважити, що мова йде саме про паперовий документ. Оскільки сьогодні, в національній правовій системі процедура експертизи відповідності, доказування в суді, система реєстрації підписів (підпису фізичної особи в паспорті) та печаток може поки що застосовуватись лише до документів на паперових носіях. Можливість застосування такої процедури і відрізняє паперовий документ від простого тексту на папері чи будь-якому іншому носії.

Як можна автоматизувати документообіг, якщо у випадку виникнення необхідності, неможливо буде відрізнити електронний документ від звичайного файлу? Як зробити, наприклад, копію з паперового документа відомо, відомо також, що копію можна нотаріально засвідчити, але як відрізнити електронну копію від електронного оригіналу, і чи є в цьому потреба?

Розмови про необхідність створення правової системи для надання відповідного статусу електронному документу тривають вже давно. Отож, що потрібно зробити? Необхідно розробити механізми накладення підпису і печатки на електронний документ, а також механізми їх реєстрації. Тобто, мова йде власне про додавання інформації до документу, що визначатиме його автентичність. Під автентичністю документа вважається підтвердження того, що змістовна інформація документа не була змінена з моменту його підписання, а сам документ підписаний справді відповідною особою.

Автентичність документу може бути доведена шляхом застосування електронного підпису. Тому, файл набуває юридичної сили документа лише після підписання його електронним підписом. При цьому алгоритми підпису повинні бути стандартизовані, а програмне забезпечення, що реалізує алгоритм, повинно мати відповідний сертифікат. Надійність сучасних криптографічних систем захисту, в тому числі цифрового підпису, цілком достатня і перевершує надійність експертних оцінок автентичності, наприклад, підпису чи печатки.

Якщо ж говорити про проблему оригіналу та копії, то цілком зрозуміло, що у випадку з електронним документом поняття оригінал і копія втрачає суть.

Що ж робити, поки відповідна правова система не створена і не має законів, що дозволяли б юридично посилатись на електронний документ? Вихід може бути знайдено, шляхом створення закритої (не пов'язаної з системами інших закладів) корпоративної системи електронного документообігу. Так, можна розробити низку договорів, угод, котрі будуть регламентувати права та відповідальність користувачів системи, особливості документообігу, визначати статус документа в системі.

2.2. Специфіка укладення договорів в електронній формі

Розвиток комп'ютерної мережі Інтернет призводить до виникнення нових правових явищ, що відображають специфіку її діяльності. Одним з таких явищ є договори, що укладаються в електронній цифровій формі. Наприклад, договір про надання провайдерських послуг, договір оренди дискового простору на комп'ютері провайдера (договір хостингу), а також традиційний договір купівлі-продажу у сфері електронної комерції.

Норми, що регулюють форму договорів містяться в діючому Цивільному кодексі на трьох ступенях: вони поміщені в главі 3 ("Угоди "), у главі 14 ("Виникнення зобов'язань"), а також у різних главах ЦК, присвячених видам договорів; у проекті Цивільного кодексу України: у главі 15 ("Правочини"), у главі 52 ("Укладення, зміна та розірвання договору.

Вищезазначені кодекси (проекти) зорієнтовані на традиційний двочленний розподіл форми договорів (угод). Відповідно - це договори усні та письмові, а в межах письмових - вчинені в простій або нотаріальній формі.

У зв'язку з викладеним і об'єктивним існуванням угод, укладених в електронному вигляді, виникає безліч невирішених теоретичних і прикладних правових питань.

Очевидно, що договори, укладені в електронно-цифровій формі, варто відносити до розряду письмових угод. Тут слово "письмові" варто розуміти як інформацію, викладену за допомогою букв, але її носієм виступає не традиційно застосовуваний папір, а інший, специфічний, комплексний об'єкт. Електронно-цифрова форма є видом письмової угоди, відповідає всім її ознакам з врахуванням специфіки мережі Інтернет. Таким чином, електронно-цифрова форма - це вираження волі учасників угоди шляхом складання електронного документа, що відображає зміст угоди і скріплений електронно-цифровими підписами сторін.

При цьому відкритим залишається питання можливості ідентифікації сторін договору, укладеного в електронному вигляді. Встановити, що договір підписаний дійсно тими особами, що позначили себе в мережі Інтернет можливо лише за допомогою електронно-цифрового підпису. В зв'язку з цим, сьогодні дуже гостро стоїть проблема розробки і прийняття Закону "Про електронно-цифровий підпис". Прийняття цього правового документа дозволило б додати стійкість договірним відносинам, що виникають у глобальній мережі Інтернет.

Проект Цивільного кодексу України містить норми, що згадують про застосування електронно-цифрового підпису при здійсненні угод.

Проект ЦК України в статті 198 дублює положення статті 160 ЦК Росії. Там встановлено, що використання при здійсненні угод факсимільного відтворення підпису за допомогою засобів механічного або іншого копіювання, електронно-цифрового підпису або іншого аналога власноручного підпису допускається у випадках і в порядку, передбачених законом, іншими правовими актами або угодою сторін. Однак, тут дотримана певна пересторога: використання цього способу визнається прийнятним, якщо в законі, чи іншому правовому акті, або в угоді сторін буде встановлена сама можливість подібних підписів і визначений їхній порядок.

Порушення хоча б однієї з цих вимог може служити достатньою підставою для заперечення договору.

Електронно-цифровий підпис є лише елементом електронно-цифрової форми договору, положень же, присвячених безпосередньо їй проект ЦК не містить. Варто доповнити проект ЦК необхідними положеннями про електронно-цифрову форму угод або прийняти окремий Закон "Про електронний документообіг".

2.3. Затвердження договору електронним цифровим підписом

Договір повинний бути затверджений сторонами. Виходячи зі специфіки електронного документа, його неможливо підписати у звичному значенні цього слова (тобто поставити на ньому власноручний підпис). Для електронного документа більш підходить електронно-цифровий підпис, використання якого допускається в деяких випадках в якості аналога власноручного підпису.

Електронно-цифровий підпис являє собою набір символів, що генерується по спеціальному алгоритмі в результаті "змішування" тексту документа й особистого коду особи, що підписує документ. Електронно-цифровий підпис пов'язує конкретний електронний документ із конкретною особою, точніше, з одним, лише відомим їй кодом. Як вже говорилося у попередньому розділі, якщо змінити документ, підписаний електронно-цифровим підписом, тобто замінити в ньому хоча б один символ, то підпис не буде збігатися. Перевірити дійсність підпису можна за допомогою тієї ж програми. При цьому, стійкість до підробки в електронного підпису є набагато вищою, ніж у власноручного. Якщо в середньому ймовірність висновку експерта по питанню про дійсність власноручного підпису складає 65-70%, то для електронного підпису теоретична ймовірність підробки може досягати 10-21%, якщо звичайно ж не мати доступу до конфіденційного коду. Сказане дозволяє зробити висновок про те, що електронно-цифровий підпис одночасно вирішує завдання підписання і верифікації документа. Таким чином, виходячи з теоретичних міркувань, складання електронних договорів є можливим.

У деяких сферах господарської діяльності використання електронних документів і електронно-цифрового підпису прямо передбачено законодавством. Особливе поширення електронні документи одержали в розрахункових відносинах.

При оформленні договірних відносин в електронному вигляді, сторони одержують наступні переваги. По-перше, екземпляр договору може передаватися по електронній пошті, тобто з одного кінця країни в іншій усього за кілька хвилин. По-друге, при наявності електронного підпису сторона-відправник ніколи не доведе, що конкретний документ нею не підписаний (він або підписаний стороною свідомо, або ж в результаті грубої необережності). По-третє, ніхто не зможе надіслати від чужого імені підроблений документ. По-четверте, такий документ не можна підробити.

2.4. Використання електронних документів в якості доказу

Окремі проблеми будуть виникати при судовому розгляді спорів, що випливають з електронного договору. Сторони можуть пред'явити суду роздруковані копії документів і електронного підпису, але перевірити дійсність підпису можна лише при використанні ЕОМ. Таким чином, суд повинний безпосередньо використовувати ЕОМ для перевірки дійсності документів, або призначити відповідну експертизу. Для електронного документу поняття "оригінал" у традиційному значенні навряд чи вдасться застосувати. Адже два файли, що містять той самий документ абсолютно ідентичні. На відміну від паперових документів, електронні документи практично не пов'язані з матеріальним носієм (дискетою), тому що матеріальний носій у даному випадку практично не зберігає слідів, що ідентифікують автора документа. Цінність має лише інформація, що є на дискеті. Оригіналом очевидно буде будь-яка незмінена копія такого документа. Будь-яке пред'явлення електронного документа на паперовому носії буде лише копією.

Судочинство по справах, у яких в якості доказів фігурують електронні документи, не одержало належної регламентації в процесуальному законодавстві і юридичній науці.

Так, у Рекомендаціях говориться про те, що "у тому випадку, якщо сторони уклали і підписали договір за допомогою електронно-обчислювальної техніки, у якій використана система цифрового (електронного) підпису, вони можуть пред'являти в арбітражний суд докази по спору, що випливають з цього договору, що також завірені електронним цифровим підписом". По-перше, виникає питання, чи можливе пред'явлення доказів, що завірені електронним підписом, якщо договір складений у паперовій формі, або ж, якщо між сторонами відсутні договірні відносини. По-друге, не ясно, чиїм підписом повинні бути завірені докази, щоб відповідати ознаці допустимості: підписом особи, що безпосередньо надає доказ у суд, або ж автора документу.

У Рекомендаціях вказується також, що "якщо між сторонами виникла суперечка про наявність договору й інших документів, підписаних цифровим (електронним) підписом, арбітражному суду слід вимагати від сторін виписку з договору, у якому зазначена процедура порядку узгодження розбіжностей, на якій стороні лежить тягар доведення тих чи інших фактів і вірогідності підпису". Як правило, з договору не можна зробити висновок про те, на який зі сторін лежить тягар доведення тих або чи інших обставин. Якщо особа володіє документом, що надійшов до неї з боку протилежної сторони, то вона повинна пред'явити такий документ, разом з електронним підписом автора, тобто протилежної сторони). Якщо ж особа заперечує наявність або своє авторство по відношенню до пред'явленого документа, вона повинна пред'явити докази підробки електронного підпису. Крім того, виникає питання як представити виписку з договору, якщо виник сумнів про його наявність. "У випадку відсутності в такому договорі процедури узгодження розбіжностей і порядку доведення автентичності договору й інших документів, а одна зі сторін заперечує наявність підписаного договору й інших документів, арбітражний суд вправі не приймати в якості доказів документи, підписані цифровим (електронним) підписом", вказується далі в Рекомендаціях.

Зазначену рекомендацію навряд чи можна вважати доцільною у практичному використанні, адже, як уже вказувалося раніше, електронний підпис є дуже надійним засобом ідентифікації автора документа. Очевидно, є сенс у прийнятті подібних доказів та їх оцінці нарівні з іншими доказами у справі, і в першу чергу виходячи з критерію відносності. Наприклад, особа, що пред'являє електронний документ, що вірогідно підписаний іншою/протилежною стороною, повинна довести, що документ виходить саме від цієї сторони. У протилежному випадку такий документ дійсно не може розглядатися в якості доказу. Отож, лише в цьому випадку такий доказ може бути відхилений судом. Здається, що в цілому Рекомендації невиправдано обмежують сферу застосування в якості доказів (і побічно в якості способу формування відносин сторін) такого засобу доведення, як електронний документ.

2.5. Процедура укладення електронного договору

На практиці процедура укладання електронного договору буде виглядати наступним чином. Особа, що бажає укласти договір, направляє підписану оферту майбутньому контрагенту. Оферта - це файл із текстом договору і файл, що містить електронний підпис. Адресат одержавши оферту підписує її і направляє оференту файл електронного підпису, або ж свій підписаний варіант умов договору. Далі виникає логічне запитання: як підписати електронний документ? Як вже було зазначено, процедура підписання електронного документа відбувається за допомогою спеціальної програми. Та ж програма може перевірити і справжність підпису на документі. Таких програм існує безліч. Зручною є методика підтвердження документів на прикладі програмного пакету PGP (Pretty Good Prіvacy), виробництва компанії Network Assocіatіon. Програма PGP - це криптографічна програма, тобто програма, що використовується для шифрування даних. За допомогою цієї програми можна зашифрувати і підписати повідомлення, або лише зашифрувати чи підписати його. З метою некомерційного використання програма доступна безкоштовно. Для того, щоб законно використовувати її в комерційній діяльності, необхідно зареєструватися і заплатити програмісту невелику суму.

Програма PGP використовує два парних ключі: відкритий і закритий, котрі представляють собою блоки тексту, між якими існує визначена математична залежність. Відкритими ключами Ви обмінюєтесь з контрагентом. За допомогою чужого відкритого ключа можна зашифрувати повідомлення так, що його розшифрує тільки власник парного закритого ключа (самі ж ви ніколи не розшифруєте щойно зашифроване чужим відкритим ключем повідомлення), а також перевірити дійсність підпису під повідомленням, що відправлене від імені контрагента. За допомогою Вашого закритого ключа, що залишається у Вас, можна розшифрувати адресоване Вам повідомлення, що зашифроване Вашим відкритим ключем, а також підписати документ.

При використанні програми PGP, а також аналогічних криптографічних програм, необхідно попередньо обмінятися відкритими ключами. Якщо ж відкритий ключ потрапить до третіх осіб, шкоди сторонам це не принесе, тому що за допомогою одного відкритого ключа можна тільки зашифрувати (але не підписати!) повідомлення, що розшифрує лише власник парного відкритого ключа, або перевірити дійсність підпису незашифрованого документа. Сторони повинні зобов'язатися не розголошувати свої закриті ключі і паролі доступу до них і нести відповідальність за їхнє розголошення. Усі документи, що підписані стороною, повинні вважатися вихідними від цієї сторони, якщо вона не повідомить контрагента про розголошення ключа і пароля до них.

3. Нормативно-правова база в сфері ЕЦП

1) Закон України «Про електронний цифровий підпис» від 22.05.2003 р.

2) Закон України «Про електронні документи та електронний документообіг» від 22.05.2003р.

3) Правила посиленої сертифікації. Затверджені наказом ДСТСЗІ СБ України №3 від 13.01.2005 р. та зареєстровані в Міністерстві юстиції України за №104/10384 від 27.01.2005 р. (зі змінами згідно Наказу № 50 від 10.05.2006 «Про внесення змін до Правил посиленої сертифікації»).

4) Наказ № 50 від 10.05.2006 «Про внесення змін до Правил посиленої сертифікації» Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України.

5) Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису. Затверджено наказом ДСТСЗІ СБ України №31 від 30.04.2004 р. Зареєстровано в Міністерстві юстиції України за №592/9191 від 12.05.2004 р.

6) Постанова Кабінету Міністрів України від 26.05.2004 р. №680 «Про затвердження Порядку наявності електронного документу (електронних даних) на певний момент часу».

7) Постанова Кабінету Міністрів України від 13.06.2004 р. №903 «Про затвердження Порядку акредитації центру сертифікації ключів».

8) Постанова Кабінету Міністрів України від 28.10.2004 р. №1451 «Про затвердження Положення про Центральний засвідчувальний орган».

9) Постанова Кабінету Міністрів України від 28.10.2004 р. №1452 «Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності».

10) Постанова Кабінету Міністрів України від 28.10.2004 р. №1453 «Про затвердження Типового порядку здійснення електронного документообігу в органах виконавчої влади».

11) Постанова Кабінету Міністрів України від 28.10.2004 р. №1454 «Про затвердження Порядку обов'язкової передачі документованої інформації».

4. Центральний засвідчувальний орган (ЦЗО)

ЗЦ - засвідчу вальні органи

ЦСК - центри сертифікації ключів

В зв'язку з тим, що функції ЦЗО, які раніше виконував Державний комітет з питань зв'язку та інформатизації, а в даний час їх передано Державному комітету інформатизації України, потрібно надавати заявки щодо реєстрації, акредитації центрів сертифікації ключів тощо, внести такі зміни у стандартних формах заяв (див. Додатки В1...В6 до Регламенту ЦЗО):

1. У шапках всіх форм замінити слова "Державний департамент з питань зв'язку та інформатизації Міністерства транспорту та зв'язку України" на "Державний комітет інформатизації України". Адреса залишається без змін, а номер телефону замінюється на (044) 279-38-65.

2. У тексті заяви на проведення акредитації (див. Додаток В6, п.1) замінити слова "у Центральному засвідчувальному органі Державного департаменту з питань зв'язку та інформатизації Міністерства транспорту та зв'язку України" на "у Центральному засвідчувальному органі Державного комітету інформатизації України". Центральний засвідчувальний орган. Україна, ЦЗО Ukraine, Central CA

Сертифікати акредитованих ЦСК та ЗЦ ( загальна кількість - 24 )
№ запису	Організація	Загальна назва	Статус
1	ТОВ НВФ 'Українські національні інформаційні системи'	ЦСК УНІС, Україна / UNIS, Ukraine. Special CA	Акредитовано
2	Державне підприємство "Українські спеціальні системи"	--//--	Акредитовано
3	ЗАТ "ІВК"	ЦСК ЗАТ "ІВК"	Акредитовано
4	ТОВ "Український сертифікаційний центр"	ЦСК ТОВ "Український сертифікаційний центр"	Акредитовано
5	ТОВ"НВФ"Українські національні інформаційні систем"	ЦСК УНІС, Україна / UNIS, Ukraine. Special CA	Акредитовано
6	ТОВ "АРТ-МАСТЕР"	ЦСК "MASTERKEY" ТОВ "АРТ-МАСТЕР"	Акредитовано
7	ТОВ "НВФ "Українські національні інформаційні системи"	ЦСК УНІС, Україна / UNIS, Ukraine. Special CA	Акредитовано
8	Державне підприємство "Українські спеціальні системи"	Акредитований Центр сертифікації ключів ДП "УСС"	Акредитовано
9	ЗАТ "ІВК"	ЦСК ЗАТ "ІВК"	Акредитовано
10	ВАТ Національний депозитарій України	Центр сертифікації ключів ВАТ НДУ	Акредитовано
11	Державний центр зайнятості	Центр сертифікації ключів Державної служби зайнятості України	Акредитовано
12	ТОВ "Криптомаш"	ЦСК ТОВ "Криптомаш"	Акредитовано
13	ТОВ "НВФ "Українські національні інформаціїні системи"	ЦСК УНІС, Україна / UNIS, Ukraine. Special CA	Акредитовано
14	ЗАТ 'НДІ ПІТ'	АЦСК ЗАТ 'НДІ ПІТ'	Акредитовано
15	ТОВ "Український сертифікаційний центр"	ЦСК ТОВ "Український сертифікаційний центр"	Акредитовано
16	ВАТ «Фондова Біржа «ПЕРСПЕКТИВА»	ВАТ «Фондова Біржа «ПЕРСПЕКТИВА»	Акредитовано
17	ЗАТ 'НДІ ПІТ'	АЦСК ЗАТ 'НДІ ПІТ'	Акредитовано
18	Державний центр зайнятості	Центр сертифікації ключів Державної служби зайнятості України	Акредитовано
19	Національний депозитарій України	ЦСК НДУ	Акредитовано
20	ТОВ "Криптомаш"	ЦСК ТОВ "Криптомаш"	Акредитовано
21	КП ГІКНВЦ ДОР	Регіональний ЦСК Дніпропетровської області	Акредитовано
22	ТОВ "НВФ УНІС"	ТОВ "НВФ УНІС", Центр сертифікації ключів	Акредитовано
23	ДП "Головний інформаційно-обчислювальний центр Укрзалізниці"	ЦСК Укрзалізниці	Акредитовано
24	ТОВ "АРТ-МАСТЕР"	ТОВ "Арт-мастер"	Акредитовано

5. Керування ключами

5.1. Відкритий ключ

Важливою проблемою всієї криптографії з відкритим ключем, в тому числі і систем ЕЦП, є управління відкритими ключами. Так як відкритий ключ доступний будь-якому користувачеві, то необхідний механізм перевірки того, що цей ключ належить саме своєму власникові. Необхідно забезпечити доступ будь-якого користувача до справжнього відкритого ключа будь-якого іншого користувача, захистити ці ключі від підміни зловмисником, а також організувати відгук ключа у разі його компрометації.

Завдання захисту ключів від підміни вирішується за допомогою сертифікатів. Сертифікат дозволяє засвідчити укладені в ньому дані про власника і його відкритий ключ підписом будь-якої довіреної особи. Існують системи сертифікатів двох типів: централізовані і децентралізовані. У децентралізованих системах шляхом перехресного підписування сертифікатів знайомих і довірених людей кожним користувачем будується мережа довіри. У централізованих системах сертифікатів використовуються центри сертифікації, підтримувані довіреними організаціями.

Центр сертифікації формує закритий ключ і власний сертифікат, формує сертифікати кінцевих користувачів і засвідчує їх автентичність своїм цифровим підписом. Також центр проводить відгук минулих і компрометованих сертифікатів і веде бази виданих та відкликаних сертифікатів. Звернувшись в сертифікаційний центр, можна отримати власний сертифікат відкритого ключа, сертифікат для іншого користувача і дізнатися, які ключі відкликані.

5.2. Закритий ключ

Закритий ключ є найбільш вразливим компонентом всієї криптосистеми цифрового підпису. Зловмисник, який вкрав закритий ключ користувача, може створити дійсний цифровий підпис будь-якого електронного документа від імені цього користувача. Тому особливу увагу потрібно приділяти способу зберігання закритого ключа. Користувач може зберігати закритий ключ на своєму персональному комп'ютері, захистивши його за допомогою пароля. Однак такий спосіб зберігання має ряд недоліків, зокрема, захищеність ключа повністю залежить від захищеності комп'ютера, і користувач може підписувати документи лише на цьому комп'ютері.

В даний час існують наступні пристрої зберігання закритого ключа :

· Дискети

· Смарт-карти

· USB-брелок

· Таблетки Touch-Memory

Крадіжка або втрата одного з таких пристроїв зберігання може бути легко помічена користувачем, після чого відповідний сертифікат може бути негайно відкликаний.

Найбільш захищений спосіб зберігання закритого ключа - зберігання на смарт-картці. Для того, щоб використовувати смарт-карту, користувачеві необхідно не тільки її мати, але й ввести PIN-код, тобто, виходить двофакторна аутентифікація. Після цього підписується документ або його хеш передається в карту, її процесор здійснює підписування хешу і передає підпис назад. У процесі формування підпису таким способом не відбувається копіювання закритого ключа, тому весь час існує тільки єдина копія ключа. Крім того, зробити копіювання інформації зі смарт-карти складніше, ніж з інших пристроїв зберігання.

5.3. Призначення закритого ключа

Особистий ключ ЕЦП (надалі - особистий ключ) формується на підставі абсолютно випадкових чисел, які генеруються датчиком випадкових чисел, а відкритий - обчислюється з особистого ключа так, щоб отримати другий з першого було неможливо.

Особистий ключ є унікальною послідовністю символів завдовжки 264 біта, яка призначена для створення Електронного цифрового підпису в електронних документах. Працює особистий ключ лише в парі з відкритим ключем. Особистий ключ формується індивідуально для кожного Клієнта і його шифр знає лише його Власник (клієнт). Збереження конфіденційності цієї інформації повністю залежить від клієнта. Клієнт повинен самостійно забезпечити безпеку зберігання і використання особистого ключа щоб уникнути підробки його електронного цифрового підпису іншими особами.

Документ підписується ЕЦП за допомогою особистого ключа, який є в одному екземплярі лише у його власника. Цьому особистому ключу відповідає відкритий ключ, за допомогою якого можна перевірити відповідність ЕЦП її власникові. Зберігання особистих ключів клієнтів і ознайомлення з ними в центрі сертифікації ключів забороняється.

Призначення відкритого ключа

Відкритий ключ використовується для перевірки ЕЦП отримуваних документів (файлів). Відкритий ключ працює лише в парі з особистим ключем.

Відкритий ключ міститься в Сертифікаті відкритого ключа, і підтверджує приналежність відкритого ключа ЕЦП певній особі. Окрім самого відкритого ключа, Сертифікат відкритого ключа містить в собі персональну інформацію про його власника (ім'я, реквізити), унікальний реєстраційний номер, термін дії Сертифікату відкритого ключа.

Для забезпечення безпеки і виключення підміни відкритих ключів ТОВ "УСЦ" виробляє сертифікацію відкритих ключів ЕЦП шляхом підписання відкритого ключа користувача своїм секретним ключем.

Для підтвердження відповідності засобу ЕЦП встановленим вимогам власникові ключа підпису видається сертифікат ключа підпису, який містить наступні відомості:

ѕ ім'я власника, інші ідентифікуючі дані;

ѕ терміни дії ключа;

ѕ унікальний номер сертифікату ключа підпису;

ѕ найменування засобу ЕЦП, з яким використовується даний відкритий ключ;

ѕ найменування і місцезнаходження Центру, що видав сертифікат ключа підпису;

ѕ правовідносини, в яких ЕЦП має юридичного значення;

ѕ дата видачі сертифікату;

ѕ зведення про дію сертифікату.

Сертифікат ключа підпису в електронному вигляді, підписаний секретним ключем "Українського сертифікаційного центру", направляється користувачеві ключа підпису і вноситься (по його бажанню) до реєстру сертифікатів ключів підписів "Українського сертифікаційного центру".

6. ЕЦП в державній податковій службі

6.1. Використання ЕЦП в роботі органів ДПС

Відповідно до вимог статті 5 Закону України від 22 травня 2003 року №852-IV,,Про електронний цифровий підпис” органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності для засвідчення чинності відкритого ключа використовують лише посилений сертифікат ключа. Стаття 3 цього Закону визначає, що електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису, тобто засобів електронного цифрового підпису, що мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.

Питання співпраці, зобов'язань та відповідальності між акредитованими центрами сертифікації ключів та платниками податків у сфері надання послуг ЕЦП регулюються договірними відносинами згідно діючого законодавства. Починаючи з червня 2006 року, для опрацювання технологічного процесу приймання податкової звітності в електронному вигляді, органами ДПС використовувалось безкоштовне програмне забезпечення накладання електронного підпису «Нотар». Для участі в проекті залучалися платники податків, з якими укладався договір "Про забезпечення електронного документообігу платника податків з Державною податковою інспекцією засобами телекомунікаційного зв'язку".

З метою дотримання вимог чинного законодавства, впровадження, налагодження та застосування безпаперових технологій подання податкової звітності в електронній формі, Державною податковою адміністрацією України затверджено Інструкцію з підготовки і подання податкових документів в електронному вигляді засобами телекомунікаційного зв'язку та Примірний договір про визнання електронних документів (наказ ДПА України від 10.04.08 №233,,Про подання електронної податкової звітності”, зареєстрований у Міністерстві юстиції України 16.04.08 за № 320/15011) та укладено договори про співпрацю з акредитованими центрами сертифікації ключів (далі - АЦСК), а саме: ТОВ,,Український сертифікаційний центр”, ЗАТ,,Інфраструктура відкритих ключів”, ТОВ,,Арт-мастер”, ДП,,Українські спеціальні системи”. Дані АЦСК відповідно до статті 9 Закону України „Про електронний цифровий підпис” пройшли акредитацію у центральному засвідчувальному органі, який визначений Кабінетом Міністрів України та мають право надавати послуги ЕЦП. Оскільки послуги цих АЦСК є платними, ДПА України були досягнуті домовленості із АЦСК щодо безкоштовного або за пільговими тарифами надання засобів ЕЦП платникам податків, які уклали договори з органами ДПС "Про забезпечення електронного документообігу платника податків з Державною податковою інспекцією засобами телекомунікаційного зв'язку". Надання засобів ЕЦП здійснюється АЦСК з 20.02.08 на підставі оригіналу договору, укладеного між заявником та відповідною ДПІ. Також вказаними АЦСК проводяться акції по розповсюдженню ключів електронного цифрового підпису по зниженим тарифам.

Виходячи з вищенаведеного та на виконання розпорядження Кабінету Міністрів України від 06.02.08 №262-р «Про заходи щодо удосконалення системи адміністрування податку на додану вартість» стосовно забезпечення відповідно до законодавства криптографічного і технічного захисту поданої платниками податків інформації та посилення контролю за дотриманням вимог до її конфіденційності, приймання податкової звітності в електронному вигляді підписаної за допомогою безкоштовного програмного забезпечення накладання електронного підпису «Нотар» буде припинено з 01 січня 2009 року, про що необхідно повідомити платників податків через інформаційні сайти регіональних ДПА, об'яви на інформаційних дошках та засобами Е-Маіl. Безкоштовне розповсюдження засобів ЕЦП серед платників податків буде впроваджено ДПА України після введення в експлуатацію власного акредитованого центру сертифікації ключів.

7. Становлення українського законодавства про цифровий підпис

У XXI ст. інформаційно-комунікаційні технології стануть провідним чинником, що істотно впливатиме на розвиток суспільства. Багато країн уже усвідомили ті переваги, які надає їхній розвиток та поширення. Нині в Україні є відчутною потреба унормувати нові відносини, що виникають у зв'язку з бурхливим розвитком комп'ютерних технологій.

Розвиток електронної комерції і електронного документообігу в Україні стикається з недостатністю правового регулювання застосування ЕЦП і електронного документообігу.

Правові основи для застосування електронних документів у цивільних відносинах уперше закладено новим Цивільним кодексом України, що набрав чинності з 1 січня 2004 р. згідно зі ст. 207 «Вимоги до письмової форми правочину»: «правочин вважається таким, що вчинений у письмовій формі, якщо воля сторін виражена за допомогою телетайпного, електронного або іншого технічного засобу зв'язку». Під час здійснення правочинів допускається застосування електронно-цифрового підпису. По суті, Цивільний кодекс України прирівнює електронні документи до паперових і допускає засвідчення їх електронним підписом.

На виконання рекомендацій Парламентських слухань з питань побудови інформаційного суспільства в Україні у державі створено нормативно-правове підґрунтя і технологічну основу функціонування юридично значимого електронного цифрового підпису. Законами України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки», «Про електронні документи та електронний документообіг» від 22 травня 2003 року № 851-IV, а також «Про електронний цифровий підпис» від 22 травня 2003 року № 852-ІV встановлено основні організаційно-правові засади електронного документообігу та використання електронних документів, а також правовий статус електронного цифрового підпису (ЕЦП) та порядок його застосування юридичними і фізичними особами, визначено організаційну інфраструктуру ЕЦП та її суб'єктів. Передбачається послідовна розробка нормативно-правових актів, сфера регулювання яких визначається вперше, визначено необхідність підтримки функціонування центрального засвідчувального органу, як основного елемента інфраструктури електронного цифрового підпису.

На виконання вищеназваних законів протягом 2004 року прийнято шість постанов Кабінету Міністрів України (від 26 травня 2004 р. № 680, від 13 липня 2004 р. № 903, від 28 жовтня 2004 р. №№ 1451 - 1454), які стосуються сфер електронного документообігу та електронного цифрового підпису.

Дорученням Кабінету Міністрів України від 23.02.2005 № 6056/2/1-05 передбачалось створення центрального засвідчувального органу та забезпечення умов для акредитації центрів сертифікації ключів інфраструктури електронного цифрового підпису.

Постановою Кабінету Міністрів України від 6 травня 2005 р. № 324 «Про заходи щодо виконання у 2005 році Програми діяльності Кабінету Міністрів України «Назустріч людям» підтверджено необхідність прийняття цільової програми впровадження й розвитку електронного документообігу з використанням електронного цифрового підпису.

В Указі Президента України «Про першочергові заходи щодо впровадження новітніх інформаційних технологій» від 20 жовтня 2005 р. № 1497 одним із пріоритетних напрямків сфери інформаційних технологій визначено впровадження в Україні електронного документообігу із застосуванням електронного цифрового підпису.

Проте, жодним із вищезазначених законів та нормативно-правових актів не було передбачено конкретних заходів щодо створення, впровадження й утримання інфраструктури електронного цифрового підпису та не визначені механізми фінансування цих заходів.

З метою вирішення питань, які стосуються проблематики запровадження в Україні системи електронного урядування, 24 лютого 2003 року було прийнято Постанову Кабінету Міністрів України № 208 «Про заходи щодо створення електронної інформаційної системи «Електронний уряд».

Відповідно до цієї Постанови передбачено створити належні нормативно-правові засади функціонування системи «Електронний уряд», забезпечити умови для більш швидкого та доступного надання інформаційних послуг громадянам та юридичним особам шляхом використання електронної інформаційної системи «Електронний уряд», яка забезпечує: взаємодію органів виконавчої влади між собою, з громадянами та юридичними особами на основі сучасних інформаційних технологій, інтегрувати державні електронні інформаційні ресурси і системи в Єдиний веб-портал органів виконавчої влади.

Вдосконалення та оновлення нормативно-правової бази України, створення спеціальних юридичних норм сприятиме ефективному впровадженню та функціонуванню електронного документообігу та електронного цифрового підпису. Для регулювання правовідносин у сфері інформаційних технологій Верховна Рада України вже ухвалила кілька Законів України, які набули чинності:

- «Про електронні документи та електронний документообіг» від 22 травня 2003 р. № 851-IV;

- «Про електронний цифровий підпис» від 22 травня 2003 p. № 852-IV;

- «Про обов'язковий примірник документів» від 9 квітня 1999 p. № 595-XTV;

- «Про Національну програму інформатизації» від 4 лютого 1998 р. № 74/98-ВР;

- «Про телекомунікації» від 18 листопада 2003 p. № 1280-IV;

- «Про Національну систему конфіденційного зв'язку» від 10 січня 2002 р. № 2919-111;

- «Про захист інформації в інформаційно-телекомунікаційних системах» від 5 липня 1994 р. № 80/94-ВР.

Прийняття згаданих нормативно-правових актів, предметом регулювання яких є процеси електронного документообігу, дасть можливість створити сприятливі умови в сфері застосування сучасних інформаційних технологій, стимулювати в Україні розвиток ринку та інфраструктури послуг, що надають за допомогою засобів інформатизації.

В Україні порядок застосування засобів ЕЦП в порівнянні із зарубіжними країнами регламентований набагато жорсткіше. На даний час діє Указ Президента «Про заходи з дотримання законності в області розробки, виробництва, реалізації і експлуатації шифрувальних засобів, а також надання послуг в області шифрування інформації». Відповідно до нього заборонена діяльність юридичних і фізичних осіб, пов'язана з розробкою, виробництвом, реалізацією і експлуатацією шифрувальних засобів, а також захищених засобів зберігання, обробки і передачі інформації, наданням послуг в області шифрування інформації без ліцензій. Забороняється також використання державними організаціями і підприємствами в інформаційно-телекомунікаційних системах шифрувальних засобів, включаючи криптографічні засоби забезпечення достовірності інформації (електронний підпис), що не мають сертифікату. Така політика держави в області регулювання застосування і реалізації криптографічних засобів, у тому числі і засобів ЕЦП, мабуть, пояснюється прагненням використовувати тільки засоби, сертифіковані уповноваженими державними органами. Зміст нормативно-правових актів України, які регулюють застосування шифрувальних засобів, у тому числі і засобів ЕЦП, демонструє існуючу тенденцію встановлення «тоталітарного підходу» в цій справі. Безумовно, для вирішення безлічі проблем, пов'язаних з національною безпекою, необхідна наявність певних обмежень в області розробки, застосування і обороту засобів ЕЦП. Проте нав'язування продукції тільки одного або декількох виробників у цій області (а для самих виробників обов'язкова платна сертифікація їх діяльності), особливо якщо воно супроводжується закритістю алгоритму, може у результаті призводити до посилення корупції і зниження справжньої, а не декларативної захищеності засобів ЕЦП. Правове регулювання застосування засобів ЕЦП повинно прагнути до більшої гнучкості у віддзеркаленні вимог об'єктивної дійсності. Можливо, враховуючи особливості України, було б доцільно розглянути багаторівневий підхід до визнання дійсності ЕЦП і ліцензування її засобів: одні вимоги - для адміністративної сфери, інші - для корпоративної і треті - для особистого документообігу. У зарубіжному законодавстві ми спостерігаємо окремі ознаки багаторівневого підходу, наприклад введення поняття кваліфікованого ЕЦП в Директиві.

Таким чином, проаналізувавши хід подій у сфері інформаційних правовідносин та інформатизації, зокрема, впровадження системи електронного документування в Україні, різноманітні документи та матеріали, можна зробити висновок, що у цьому напрямку здійснюються певні заходи. Можливо, не настільки інтенсивно, як в інших державах, але можна стверджувати, що через деякий час Україна, за умови системної правової та практичної розбудови системи електронного документування, також буде характеризуватися неабиякими здобутками у цій сфері.

8. Використання ЕЦП при здійсненні електронних правочинів

Не зважаючи на те, що чинне українське законодавство не містить такого окремого поняття як «електронний правочин», українське законодавство дозволяє їх практичне вчинення. Зокрема, можливість вчинення електронних правочинів передбачена Цивільним кодексом України від 16 січня 2003 року. Під електронним правочином слід розуміти правочин, вчинений за допомогою електронних засобів комунікації, суть якого полягає в обміні сторонами за допомогою цього засобу електронними волевиявленнями. Ключовою відмінністю електронного правочину від традиційного, як випливає з вищенаведеного, є спосіб його вчинення. Таким чином, якщо для вчинення відповідного волевиявлення сторони використовують електронні засоби комунікації, ми розуміємо під таким правочином саме електронний правочин. При цьому не має значення чи обмін волевиявленнями, вчиненими в електронній формі відбувається on-line, чи за одночасної присутності сторін правочину, які надсилають волевиявлення через телеінформаційні мережі, наприклад Інтернет, чи наприклад вчинення такого правочину відбувається off-line, шляхом обміну інформаційними носіями із записаними текстовими файлами, що містять волевиявлення сторін.

Ми вважаємо, що при вирішенні питання, чи має даний правочин електронний характер, вагоме значення має також і спосіб його вчинення. Йдеться передусім про правочини, які вчиняються on-line (наприклад, купівля-продаж комп'ютерних програм, відео та аудіо матеріалів тощо). В наведених прикладах вчинення правочину, як і його виконання відбуваються в мережі. Отже, можна зробити висновок, що в такому випадку йдеться про електронний правочин sensu stricto, тобто електронний в момент укладення та виконання. Проте не слід забувати про випадки, коли вчинення правочину відбувається в електронній формі on-line чи off-line, а виконання відбувається традиційним способом. І такий правочин теж вважатиметься електронним. Таким чином, достатньо наявності хоча б одного критерію електронного вчинення правочину. Як слушно зауважує О. Гудзь, традиційний, матеріалізований спосіб виконання правочину не є базовим критерієм оцінки при вирішенні питання, чи є даний правочин електронним. Правочин вважається електронним і у випадку, коли фаза вчинення здійснюється традиційним способом, а виконання - в електронній (дематеріалізованій) формі. Необхідно зауважити, що існує ряд електронних правочинів, виконання яких можливе лише в електронній формі (наприклад, доступ до телеінформаційних мереж, доступ до баз даних, які існують лише в електронній формі тощо) та правочини, які можуть бути виконані лише традиційним способом (наприклад, купівля-продаж комп'ютерів, автомобіля тощо).

З огляду на вищезазначені твердження, вважаємо за доцільне використання поняття «електронний правочин», адже поняття «правочин, вчинений в електронній формі», виключає зі сфери аналізу правочини, вчинення яких відбувається в традиційний спосіб, натомість виконання - в електронній формі.

Безумовно, різниця між традиційними та електронними правочинами виникає власне в способі обміну сторонами волевиявленнями, та іноді з огляду на спосіб виконання зобов'язання. Різниця полягає також і у методі комунікації сторін на етапі вчинення правочину, і часто, його виконання, зважаючи на те, які використовуються засоби комунікації на відстані, спосіб отримання інформації про сторону правочину, його зміст та спосіб виконання, ризики сторін, що випливають з вчинення електронного правочину, відсутності таких чинників як час та відстань, форма вчинення та виконання правочину.

Характерною рисою електронних правочинів є інтерактивність, безпосередність, мультимедійність пропозицій та реклами.

Інтерактивність полягає у індивідуалізації способу пересилання інформації між сторінками, які сприяють вчиненню правочину. Зокрема, йдеться про поступовий обмін інформацією від пасивного (через Інтернет - сторінки), до активного через надсилання детальної інформації електронною поштою.