Цифровое удостоверение
С января 2004 года вступают в действие принятые парламентом законы «Об электронных документах и электронном документообороте» и «об электронной цифровой подписи». Как же выглядит правовой и технологический механизмы применения электронной подписи?
Развитие компьютерных сетей и телекоммуникаций в Украине значительно расширяет возможности применения современных информационных технологий и делает реальным создание систем юридически значимого электронного документооборота, осуществляемого с использованием информационных систем.
Необходимость автоматизации документооборота сегодня приобрела особую актуальность лавинообразное увеличение объема документов, в основном за счет использования всевозможных графических вставок, а также необходимость дополнения обычных документов электронными приложениями подталкивает руководителей к переходу на электронный документооборот. В этом случае значительно расширяются возможности передачи информации - некогда безликий документ может приобретать мультимедийные компоненты, скорость обмена информацией увеличивается, облегчается ее обработка и, соответственно, уменьшается время принятия решений и их реализации.
Цифровая подпись: механизм защиты
Основным правовым препятствием, стоящим на пути развития электронного документооборота, является невозможность предоставлять электронные документы, например, договоры, в качестве доказательств в суде при возникновении споров из-за отсутствия юридической силы таких документов. Кроме того, возможность отказа одной из сторон от транзакции или даже недоверие сторон вообще часто приводит к тому, что сделка попросту отменяется, а ее организаторы теряют потенциальных клиентов. В некоторых случаях эту проблему решают с помощью заключения соглашений между самими участниками обмена, учитывая возможность использования электронных документов в качестве доказательств при возникновении конфликтных ситуаций. Но такой подход удобен далеко не всегда: в частности, простой обмен документами между организациями не должен предполагать предварительное заключение каких-либо договоров. Здесь на помощь приходит механизм цифровой подписи.
Цифровая подпись предоставляет пользователям возможность обеспечить аутентичность и целостность электронного документа, а также засвидетельствовать авторство владельца, заверяющего таким способом документ. Сегодня существует достаточно много программных продуктов, реализованных в виде дополнений к стандартным приложениям. Эти продукты предоставляют весь спектр услуг по использованию цифровой подписи. При этом процедуры наложения и проверки подписи совершенно «прозрачны» для рядовых пользователей и, как правило, не вызывают никаких трудностей, хотя большинству из них незнаком механизм электронной цифровой подписи. Другими словами, можно с уверенностью заявить, что уровень развития общества вплотную подошел к необходимости использования в электронном документообороте цифровой подписи как способа удостоверения подлинности и аутентичности электронных данных.
Украинская система ЭЦП: добровольная аккредитация
За основу проекта закона Украины «Об электронной цифровой подписи» была взята общая концепция соответствующей директивы Европейского Союза. Эта директива основана на добровольной аккредитации деятельности поставщиков услуг ЭЦП - центров сертификации ключей и определения, единых правил признания юридической силы цифровой подписи. При подготовке законопроекта, как и в европейской директиве, основное внимание было уделено вопросам приравнивания электронной подписи к собственноручной, а также регламентированию работы организационно-технического аппарата, позволяющего применять технологию ЭЦП. Кроме того, были установлены рамки для функционирования этого аппарата и определены права и обязанности субъектов сферы ЭЦП.
Структурно законопроект состоит из трех основных частей:
1. Понятие электронной цифровой подписи и критерии приравнивания ее к собственноручной.
2. Особенности использования цифровой подписи и порядок предоставления услуг в сфере ЭЦП.
3. Права, обязанности и ответственность субъектов в сфере ЭЦП.
Определение базовых терминов
Определение термина «электронная подпись» в законе разделено на два пункта. Первый - это разъяснение того, что же такое собственно электронная подпись: данные в электронной форме, которые присоединяются к другим данным или логически с ними объединены и предназначены для идентификации подписавшего лица. Второе определение конкретизирует используемую технологию и определяет ЭЦП как результат определенного криптографического преобразования некоторого набора данных, который присоединяется к этому набору или логически с ним объединяется и дает возможность подтвердить целостность этого набора данных и идентифицировать подписавшее лицо.
В законе однозначно определены условия, при которых именно ЭЦП приравнивается к собственноручной подписи:
1. Цифровая подпись проверена с использованием усиленного сертификата ключа при помощи надежных средств ЭЦП. Надежные средства - это средства ЭЦП, которые имеют сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере криптографической защиты информации. Усиленные сертификаты ключа имеют право формировать только аккредитованные центры сертификации ключей.
2. Во время проверки используется усиленный сертификат ключа подписи, действующий на момент наложения цифровой подписи.
3. Личный (секретный) ключ подписавшего лица соответствует открытому ключу, который находится в сертификате.
Действие закона не распространяется на отношения, которые возникают при использовании других видов электронной подписи, в том числе переведенной в цифровую форму изображения собственноручной подписи. Порядок юридического признания таких подписей может регламентироваться на основании отдельных договоров между участниками информационного обмена или определяться другими нормативно-правовыми актами.
Таким образом, электронный документ, подписанный электронной подписью, может служить доказательством в судебном процессе. Споры, которые могут возникнуть между сторонами информационного обмена, разрешаются судами в общем порядке, предусмотренном законодательством Украины. Суд не может однозначно опровергнуть юридическую силу электронной подписи исключительно на основании того, что она:
• представлена в электронной форме;
• не основана на усиленном сертификате ключа, в том числе сформирована без использования надежных средств цифровой подписи.
Предполагаемая отечественная система электронной подписи
Законом «Об электронной цифровой подписи» фактически регламентируется структура национальной системы электронной цифровой подписи (НС ЭЦП), хотя само понятие НС ЭЦП в законе не определено.
Согласно закону, в структуру НС ЭЦП входят субъекты, которые обеспечивают функционирование системы управления сертификатами, а также конечные пользователи.
Организатор НС ЭЦП - центральный удостоверяющий орган, который призван реализовывать функции регистрации верхнего уровня, а также технического управления функционированием НС ЭЦП. Вероятнее всего, центральный удостоверяющий орган будет создан на базе какой-либо госструктуры. Это будет неприбыльная организация, работающая по «жестким» тарифам.
Основными задачами центрального удостоверяющего органа является регистрация центров сертификации и удостоверяющих центров, формирование и публикация в сетевом справочнике их сертификатов.
Кроме этого, центральный удостоверяющий орган, вероятно, будет выполнять функции, связанные с обеспечением технической возможности признания иностранных сертификатов. Удостоверяющий центр по функциональным обязанностям является аналогом центрального удостоверяющего органа. Однако его действия ограничены конкретным государственным органом. Основной целью введения удостоверяющих центров является обеспечение возможности создания ведомственных сетей документооборота для наиболее критических систем.
Удостоверяющие центры регистрируются и получают сертификаты в центральном удостоверяющем органе. Удостоверяющие центры в свою очередь регистрируют подчиненные центры сертификации следующего уровня иерархии, формируют и публикуют в сетевом справочнике их сертификаты, списки отозванных сертификатов и т.д. Важно отметить, что удостоверяющий центр не предоставляет услуг цифровой подписи конечным пользователям. Удостоверяющий центр по отношению к подчиненной группе центров сертификации ключей имеет те же функции и полномочия, что и центральный удостоверяющий орган относительно центров сертификации ключей.
Центром сертификации ключей (ЦСК) может быть юридическое или физическое лицо - субъект предпринимательской деятельности, который предоставляет услуги в сфере ЭЦП и удостоверяет свой открытый ключ в органе технического управления сферы ЭЦП - центральном удостоверяющем органе. В общем, виде определяется два типа поставщиков услуг в сфере ЭЦП - центр сертификации ключей и аккредитованный центр сертификации ключей. В первом случае к таким центрам предусмотрены минимальные требования. При этом юридическая сила цифровой подписи, проверенной с использованием сертификата ключа (который сформирован ЦСК при помощи ненадежных средств ЭЦП) не может быть опровергнута. Для аккредитованного ЦСК, т.е. центра сертификации, который прошел добровольную процедуру аккредитации, подтверждающую способность данного центра выполнять взятые на себя обязательства, детально определены права и обязанности. Так, ему вменяется в обязанность использовать для предоставления услуг в сфере цифровой подписи только надежные средства ЭЦП. Надежным считается такое средство, которое имеет сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере криптографической защиты информации. С целью повышения и усовершенствования уровня услуг, а также международного признания цифровой подписи, законом предусмотрены механизмы добровольной аккредитации ЦСК, а также создание системы, которая осуществляет процедуру аккредитации и надзор за работой аккредитованных ЦСК. Порядок аккредитации ЦСК, а также детальные требования к ним будут регламентированы специальными документами, которые будут разработаны в ближайшее время.
Исходя из сложившейся практики, центр сертификации ключей по функциональным, технологическим и территориальным признакам разделяется, как правило, на технические компоненты: центр сертификации, центр регистрации и сетевой справочник. Подписчик — это владелец сертификата открытого ключа. Подписчиками могут быть как физические, так и юридические лица. Подписчики могут обладать любым количеством сертификатов, имеющих одинаковое или различное юридическое значение в зависимости от правоспособности их обладателя в отношениях, в которых они используются.
Пользователь - это лицо, которое использует сертификат с целью определения принадлежности открытого ключа другому субъекту.
Контролирующий орган - это специально уполномоченный центральный орган исполнительной власти в сфере криптографической защиты информации, который проверяет выполнение ЦСК удостоверяющими центрами и центральным удостоверяющим органом требований законодательства в сфере ЭЦП, а также отвечает за оценку соответствия средств цифровой подписи установленным требованиям.
Об иерархии в системе сертификации
Законом «Об электронной цифровой подписи» определяется наиболее распространенная-иерархическая модель сертификации открытых ключей, основанная на иерархии ЦСК, которая ведет начало от единого корневого ЦСК.
В повседневной практике как наиболее распространенная предполагается двухуровневая схема: центральный удостоверяющий орган (корневой ЦСК) - центры сертификации ключей (подчиненные ЦСК).
Как уже отмечалось, в случае использования технологии ЭЦП в государственных органах предусматривается возможность использования трехуровневой системы сертификации: центральный удостоверяющий орган - удостоверяющий центр-центры сертификации ключей.
Деятельность ЦСК, т.е. деятельность по предоставлению услуг в сфере ЭЦП, не предусматривает предварительного получения лицензий или разрешений, кроме случаев добровольной аккредитации. Лицензированию подлежат разработка, производство, сертификационные испытания, тематические исследования, экспертиза, а также ввоз/вывоз средств цифровой подписи для коммерческой эксплуатации.
Законом не накладывается каких-либо ограничений относительно возможности генерации открытых и личных (закрытых) ключей пользователям. В то же время, хранение личных ключей клиентов и ознакомление с ними в центре сертификации ключей запрещается.
Центры сертификации ключей могут предоставлять дополнительные услуги в сфере ЭЦП, которые не противоречат требованиям закона, например, выступать в роли арбитра в спорных вопросах, предоставлять свои средства цифровой подписи или свои технические площадки для формирования/проверки пользователями цифровой подписи и т.д.
В законе существует отдельная норма, обязывающая ЦСК обеспечивать защиту персональных данных, полученных от пользователей, а также право получать от клиентов сведения о них лишь постольку, поскольку это необходимо для сертификации ключа. В других целях информация может собираться только с прямо выраженного согласия пользователя.
Центры сертификации ключей несут ответственность за невыполнение своих обязанностей перед юридическими и физическими лицами согласно законодательству Украины.
Аккредитоваться или не аккредитоваться?
Таким образом, возможны две основные схемы правовых взаимоотношений в сфере использования ЭЦП :
1. Использование надежных (т.е. имеющих сертификат соответствия или положительное экспертное заключение) средств ЭЦП и усиленных сертификатов, выданных аккредитованными ЦСК.
В этом случае законом гарантируется юридическое признание электронной цифровой подписи. Соответственно, эта схема является обязательной для государственных органов, а также органов местного самоуправления, предприятий, учреждений и организаций государственной формы собственности.
2. Использование механизмов ЭЦП на основе сертификатов ключей, которые формируются неаккредитованным ЦСК, а также без использования услуг ЦСК.
В этих случаях правовые взаимоотношения регулируются на основе договоров, в которых подразумевается признание юридической силы электронного документа, подписанного одним из вышеуказанных способов.
Хотелось бы обратить внимание юридических и физических лиц (планирующих свою деятельность с использованием второй схемы) на необходимость тщательной отработки договорных отношений, поскольку только на их основании судом может быть признана действительность ЭЦП.
Стоит отметить, что в целом украинский закон получился достаточно либеральным с точки зрения реализации возможных схем организации ЭЦП, и в то же время четко определяющим требования к субъектам правовых отношений в этой сфере.
Остается надеяться, что разработка нормативных документов, которые определены законом об ЭЦП, в том числе требований к аккредитованным ЦСК и порядка их аккредитации, а также разработка общей политики сертификации и общих нормативных документов, на основе которых будет функционировать НС ЭЦП, позволит усовершенствовать реализацию норм закона.
http://www.crime-research.ru/