Новини АУБ

На межі 3-го тисячоліття ми всі стали свідками трансформації у глобальному масштабі індустріальних суспільств розвинених країн у пост - індустріальні або ж інформаційні. Це стало можливим завдяки швидкому розвитку та впровадженню сучасних інформаційно-комунікаційних технологій (комп’ютери + телекомунікації), завдячуючи яким все більша частина інформації почала створюватися, зберігатися та поширюватися у електронному вигляді, зокрема,  у  глобальній мережі Інтернет.

У юриспруденції для закріплення певних правових взаємовідносин між суб’єктами права використовуються  власноручні підписи, які ідентифікують особу – суб’єкт правовідносин.  З розвитком синергічного ефекту від використання комп’ютерних та телекомунікаційних технологій, що спричинив трансформування розвинених індустріальних суспільств у суспільства інформаційні,  постало питання  електронної ідентифікації  особи, іншими словами електронного цифрового підпису (ЕЦП).

17 січня 2006 року Центральний засвідчувальний орган вручив перше в Україні свідоцтво про акредитацію Центру сертифікації ключів ЕЦП виробничій фірмі „Українські національні інформаційні системи” (м. Дніпропетровськ). Хотілося б думати, що ця знакова подія розпочне в Україні добу масового юридично значимого електронного документообігу, наріжним каменем якої є  ЕЦП.

  Наразі кожен громадянин України, підприємець чи посадова особа отримує де-факто, а не лише де-юре можливість засвідчувати електронні документи своїм власним цифровим підписом, який має однакову юридичну силу з власноручним підписом чи печаткою.

Що ж являє собою ЕЦП? Чи можна його якось “помацати”?

ЕЦП отримується у процесі сканування (перегляду) електронного документа (набору електронних  даних) та підрахунку за визначеним стандартним  алгоритмом перемішування (так звана хеш - функція)  певної послідовності цифр (знаків), яка шифрується особистим ключем підписувача та додається в кінець  електронного документа.     

Особистий   ключ - це параметр криптографічного  алгоритму формування ЕЦП,  який доступний  лише підписувачу. Однією з характеристик ключа є його довжина. Одночасно генерується пара різних (асинхронних) взаємно пов’язаних ключів: особистий (таємний) та відкритий.

Таким чином, ЕЦП не є ідентичним для різних електронних документів (наборів електронних даних).

Чим більша  довжина ключа ЕЦП, тим триваліший процес накладення ЕЦП та його перевірки і, як наслідок, тим більша стійкість до “зламу”.

ЕЦП дає змогу не лише ідентифікувати підписувача, а й підтверджувати    цілісність (незмінність) електронного документа.

ЕЦП накладається  програмно за  допомогою  особистого  ключа, а перевіряється за допомогою відкритого ключа. Принцип такий, що прочитати підписані особистим ключем електронні документи можуть всі, хто має відкритий ключ підписувача, а підписати – лише сам підписувач - власник особистого ключа (свого роду віртуальної гербової печатки). Особистий ключ записується на зовнішній електронний  носій інформації: дискету, смарт – чи  флеш-карту тощо.

Згідно з чинним законодавством України (Закони “Про електронний цифровий підпис” та “Про електронні документи та  електронний документообіг”), ЕЦП, що використовуються для обміну електронними документами між більше, ніж двома суб’єктами  права, мають сертифікуватися у акредитованих Центральним засвідчувальним органом центрах сертифікації ключів, де також зберігаються бази даних відкритих ключів. На практиці це означає, що до ЕЦП підписувача додається іще електронний сертифікат його відкритого ключа, що підтверджує належність ключа саме підписувачу. Для юридичних осіб передбачено використання додаткового цифрового підпису – аналога відбитку печатки. Для забезпечення такого рівня захисту використовуються посилені сертифікати ключів.

 Перехід до використання на практиці ЕЦП є черговим важливим кроком на шляху втілення “електронного урядування”, адже ЕЦП є важливим компонентом електронного документообігу.

  Впровадження ЕЦП, зокрема, зробить можливим:

• подання різноманітної бухгалтерської, податкової, статистичної та іншої звітності до державних органів у електронному вигляді телекомунікаційними каналами, зокрема, й через Інтернет;
• організацію он-лайн закупівель державних  суб’єктів господарювання через систему  електронних торгів, що сприятиме забезпеченню прозорості їх діяльності та зменшенню зловживань;
• юридично значимий електронний документообіг між органами державної влади, підприємствами та організаціями;
• отримання громадянами різноманітних офіційно засвідчених документів та участь у виборах через мережу Інтернет.

Перелік можна подовжити, але головним є те, що із масовим юридично легалізованим запровадженням використання ЕЦП, в країні будуть створені  передумови для широкого впровадження електронного документообігу у  діяльність держаних органів, приватного сектора та  пересічних громадян.

Накладення підписувачем на електронний документ (набір електронних даних) ЕЦП (навіть разом із сертифікатом відкритого ключа) не роблять документ конфіденційним – не  захищають  від несанкціонованого перегляду у разі несанкціонованого заволодіння документом. Гарантується лише цілісність (незмінність) документа та його належність  підписувачу.

 Для гарантування конфіденційності електронні документи підписувача з доданим ЕЦП та сертифікатом  відкритого ключа  при передачі телекомунікаційними каналами можуть додатково криптуватися (шифруватися) симетричним ключем (однаковий ключ для підписувача та отримувача). Цей ключ має передаватися підписувачем отримувачу закритими каналами.

На один електронний документ може одночасно накладатися декілька ЕЦП, наприклад, на електронне платіжне доручення корпоративного клієнта банку накладаються ЕЦП його першого керівника та головного бухгалтера.

Для масового впровадження ЕЦП та електронного документообігу необхідне не лише відповідне законодавче забезпечення, а й програмні продукти  та інфраструктура функціонування ключів ЕЦП (центральний засвідчувальний орган, центри сертифікації ключів, єдиний центр часу, електронні архіви тощо).

Чинні вже близько двох років в Україні  Закони “Про електронний цифровий підпис” та “Про електронні документи та  електронний документообіг” є рамковими законами, а не законами прямої дії. Це значить, що спочатку Кабмін, а потім різні відомства мають підготувати загалом декілька десятків  нормативних документів щодо  їх впровадження у життя.

Наразі Кабмін своїми Постановами вже  визначив порядок застосування ЕЦП та здійснення електронного документообігу в державних органах, установах та організаціях державної форми власності, затвердив  порядок створення та функціонування інфраструктури функціонування ЕЦП, зокрема це стосується  центрального засвідчувального органу та центрів сертифікації ключів. Має бути визначений порядок зберігання електронних документів (електронні архіви) та вирішити деякі  інші питання. Миттєво запровадити ЕЦП та електронний документообіг неможливо в принципі.

Якщо брати до уваги майбутню інтеграцію України в європейські структури, то тут також є чимало проблем, зокрема:

• в Україні використовується термінологія, яка часто не узгоджується з термінологією відповідних Директив Європейського Союзу (ЄС);
• країни ЄС використовують близько 35 різних криптографічних алгоритмів, Україна – 3, але жоден з них не є стандартом ЄС;
• український стандарт сертифікату ЕЦП відрізняється від європейського;
• «вставка» (підміна) прийнятих в Україні стандартів криптографічних алгоритмів у західне програмне забезпечення є  дуже складним (практично неможливим) завданням. 

Потрібно відзначити, що іще 01.01.1994 р. в Україні Національним банком впроваджено систему електронних міжбанківських розрахунків, де використовуються ЕЦП, а вже у 1995 р. з’явилися перші системи “Клієнт-Банк”, які також використовують ЕЦП. Це все було реалізовано НБУ за відсутності загальнодержавного законодавчого забезпечення. НБУ тоді взяв всі ризики на себе.

У інших галузях використання ЕЦП наразі перебуває у зародковій стадії. Але процес, як бачимо, пішов і його ніхто не зупинить. Майбутнє за безпаперовими технологіями та електронним документообігом. У Фінляндії до речі під час першого туру виборів президента країни, що відбувся минулої неділі, багато громадян голосували через Інтернет, підписуючи електронні виборчі бюлетені  ЕЦП.

Додаток: Порядок накладання та перевірки ЕЦП

Валерій Степаненко, МБА,
начальник управліня інформаційних та банківських технологій
Асоціації українських банків

E-Mail: Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її.

Додаток

1. Підписувач

Особистий  ключ ЕЦП - певна таємна послідовність (набір) символів.
Відкритий ключ ЕЦП - певна відкрита (не таємна) послідовність (набір) символів. 
Пара взаємно пов’язаних асиметричних ключів  генерується програмою одночасно.
Сертифікат відкритого ключа – надається центром сертифікації.

Використовує відповідне програмне забезпечення.

2. Накладення ЕЦП

На базі затверджених  відкритих алгоритмів хеш - функції (перемішування) та шифрування

            А                             Б                              В

При перехопленні дані можуть бути прочитані, але не можуть бути непомітно змінені.

Весь набір даних (А+Б+В) може додатково криптуватися (шифруватися) симетричним ключем (один і той же ключ як у підписувача, так і у отримувача) при передачі відкритими каналами.

3. Отримувач

Має відкриті ключі підписувача та центру сертифікації, а також симетричний ключ шифрування.

Використовує відповідне програмне забезпечення.

Розкриптовує (розшифровує) електронний документ, використовуючи  симетричний ключ шифрування.

Здійснює перевірку накладеного підписувачем ЕЦП та сертифікату ключа, використовуючи відкриті ключі підписувача та центу сертифікації (сертифікат ключа підписувача підписується таємним ключем центру сертифікації).

Якщо у отримувача немає відкритого ключа підписувача, то цей ключ та його сертифікат можна отримати у центрі сертифікації ключів.

4. Інфраструктура відкритих ключів (Public Key Infrastructure)

Центральний засвідчувальний орган, Центри сертифікації ключів, Електронні архіви, Служба єдиного часу та інші.