Рефераты. Застосування електронного цифрового підпису

5. Керування ключами

5.1. Відкритий ключ

Важливою проблемою всієї криптографії з відкритим ключем, в тому числі і систем ЕЦП, є управління відкритими ключами. Так як відкритий ключ доступний будь-якому користувачеві, то необхідний механізм перевірки того, що цей ключ належить саме своєму власникові. Необхідно забезпечити доступ будь-якого користувача до справжнього відкритого ключа будь-якого іншого користувача, захистити ці ключі від підміни зловмисником, а також організувати відгук ключа у разі його компрометації.

Завдання захисту ключів від підміни вирішується за допомогою сертифікатів. Сертифікат дозволяє засвідчити укладені в ньому дані про власника і його відкритий ключ підписом будь-якої довіреної особи. Існують системи сертифікатів двох типів: централізовані і децентралізовані. У децентралізованих системах шляхом перехресного підписування сертифікатів знайомих і довірених людей кожним користувачем будується мережа довіри. У централізованих системах сертифікатів використовуються центри сертифікації, підтримувані довіреними організаціями.

Центр сертифікації формує закритий ключ і власний сертифікат, формує сертифікати кінцевих користувачів і засвідчує їх автентичність своїм цифровим підписом. Також центр проводить відгук минулих і компрометованих сертифікатів і веде бази виданих та відкликаних сертифікатів. Звернувшись в сертифікаційний центр, можна отримати власний сертифікат відкритого ключа, сертифікат для іншого користувача і дізнатися, які ключі відкликані.

5.2. Закритий ключ

Закритий ключ є найбільш вразливим компонентом всієї криптосистеми цифрового підпису. Зловмисник, який вкрав закритий ключ користувача, може створити дійсний цифровий підпис будь-якого електронного документа від імені цього користувача. Тому особливу увагу потрібно приділяти способу зберігання закритого ключа. Користувач може зберігати закритий ключ на своєму персональному комп'ютері, захистивши його за допомогою пароля. Однак такий спосіб зберігання має ряд недоліків, зокрема, захищеність ключа повністю залежить від захищеності комп'ютера, і користувач може підписувати документи лише на цьому комп'ютері.

В даний час існують наступні пристрої зберігання закритого ключа :

· Дискети

· Смарт-карти

· USB-брелок

· Таблетки Touch-Memory

Крадіжка або втрата одного з таких пристроїв зберігання може бути легко помічена користувачем, після чого відповідний сертифікат може бути негайно відкликаний.

Найбільш захищений спосіб зберігання закритого ключа - зберігання на смарт-картці. Для того, щоб використовувати смарт-карту, користувачеві необхідно не тільки її мати, але й ввести PIN-код, тобто, виходить двофакторна аутентифікація. Після цього підписується документ або його хеш передається в карту, її процесор здійснює підписування хешу і передає підпис назад. У процесі формування підпису таким способом не відбувається копіювання закритого ключа, тому весь час існує тільки єдина копія ключа. Крім того, зробити копіювання інформації зі смарт-карти складніше, ніж з інших пристроїв зберігання.

5.3. Призначення закритого ключа

Особистий ключ ЕЦП (надалі - особистий ключ) формується на підставі абсолютно випадкових чисел, які генеруються датчиком випадкових чисел, а відкритий - обчислюється з особистого ключа так, щоб отримати другий з першого було неможливо.

Особистий ключ є унікальною послідовністю символів завдовжки 264 біта, яка призначена для створення Електронного цифрового підпису в електронних документах. Працює особистий ключ лише в парі з відкритим ключем. Особистий ключ формується індивідуально для кожного Клієнта і його шифр знає лише його Власник (клієнт). Збереження конфіденційності цієї інформації повністю залежить від клієнта. Клієнт повинен самостійно забезпечити безпеку зберігання і використання особистого ключа щоб уникнути підробки його електронного цифрового підпису іншими особами.

Документ підписується ЕЦП за допомогою особистого ключа, який є в одному екземплярі лише у його власника. Цьому особистому ключу відповідає відкритий ключ, за допомогою якого можна перевірити відповідність ЕЦП її власникові. Зберігання особистих ключів клієнтів і ознайомлення з ними в центрі сертифікації ключів забороняється.

Призначення відкритого ключа

Відкритий ключ використовується для перевірки ЕЦП отримуваних документів (файлів). Відкритий ключ працює лише в парі з особистим ключем.

Відкритий ключ міститься в Сертифікаті відкритого ключа, і підтверджує приналежність відкритого ключа ЕЦП певній особі. Окрім самого відкритого ключа, Сертифікат відкритого ключа містить в собі персональну інформацію про його власника (ім'я, реквізити), унікальний реєстраційний номер, термін дії Сертифікату відкритого ключа.

Для забезпечення безпеки і виключення підміни відкритих ключів ТОВ "УСЦ" виробляє сертифікацію відкритих ключів ЕЦП шляхом підписання відкритого ключа користувача своїм секретним ключем.

Для підтвердження відповідності засобу ЕЦП встановленим вимогам власникові ключа підпису видається сертифікат ключа підпису, який містить наступні відомості:

ѕ ім'я власника, інші ідентифікуючі дані;

ѕ терміни дії ключа;

ѕ унікальний номер сертифікату ключа підпису;

ѕ найменування засобу ЕЦП, з яким використовується даний відкритий ключ;

ѕ найменування і місцезнаходження Центру, що видав сертифікат ключа підпису;

ѕ правовідносини, в яких ЕЦП має юридичного значення;

ѕ дата видачі сертифікату;

ѕ зведення про дію сертифікату.

Сертифікат ключа підпису в електронному вигляді, підписаний секретним ключем "Українського сертифікаційного центру", направляється користувачеві ключа підпису і вноситься (по його бажанню) до реєстру сертифікатів ключів підписів "Українського сертифікаційного центру".

6. ЕЦП в державній податковій службі

6.1. Використання ЕЦП в роботі органів ДПС

Відповідно до вимог статті 5 Закону України від 22 травня 2003 року №852-IV,,Про електронний цифровий підпис” органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності для засвідчення чинності відкритого ключа використовують лише посилений сертифікат ключа. Стаття 3 цього Закону визначає, що електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису, тобто засобів електронного цифрового підпису, що мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.

Питання співпраці, зобов'язань та відповідальності між акредитованими центрами сертифікації ключів та платниками податків у сфері надання послуг ЕЦП регулюються договірними відносинами згідно діючого законодавства. Починаючи з червня 2006 року, для опрацювання технологічного процесу приймання податкової звітності в електронному вигляді, органами ДПС використовувалось безкоштовне програмне забезпечення накладання електронного підпису «Нотар». Для участі в проекті залучалися платники податків, з якими укладався договір "Про забезпечення електронного документообігу платника податків з Державною податковою інспекцією засобами телекомунікаційного зв'язку".

З метою дотримання вимог чинного законодавства, впровадження, налагодження та застосування безпаперових технологій подання податкової звітності в електронній формі, Державною податковою адміністрацією України затверджено Інструкцію з підготовки і подання податкових документів в електронному вигляді засобами телекомунікаційного зв'язку та Примірний договір про визнання електронних документів (наказ ДПА України від 10.04.08 №233,,Про подання електронної податкової звітності”, зареєстрований у Міністерстві юстиції України 16.04.08 за № 320/15011) та укладено договори про співпрацю з акредитованими центрами сертифікації ключів (далі - АЦСК), а саме: ТОВ,,Український сертифікаційний центр”, ЗАТ,,Інфраструктура відкритих ключів”, ТОВ,,Арт-мастер”, ДП,,Українські спеціальні системи”. Дані АЦСК відповідно до статті 9 Закону України „Про електронний цифровий підпис” пройшли акредитацію у центральному засвідчувальному органі, який визначений Кабінетом Міністрів України та мають право надавати послуги ЕЦП. Оскільки послуги цих АЦСК є платними, ДПА України були досягнуті домовленості із АЦСК щодо безкоштовного або за пільговими тарифами надання засобів ЕЦП платникам податків, які уклали договори з органами ДПС "Про забезпечення електронного документообігу платника податків з Державною податковою інспекцією засобами телекомунікаційного зв'язку". Надання засобів ЕЦП здійснюється АЦСК з 20.02.08 на підставі оригіналу договору, укладеного між заявником та відповідною ДПІ. Також вказаними АЦСК проводяться акції по розповсюдженню ключів електронного цифрового підпису по зниженим тарифам.

Виходячи з вищенаведеного та на виконання розпорядження Кабінету Міністрів України від 06.02.08 №262-р «Про заходи щодо удосконалення системи адміністрування податку на додану вартість» стосовно забезпечення відповідно до законодавства криптографічного і технічного захисту поданої платниками податків інформації та посилення контролю за дотриманням вимог до її конфіденційності, приймання податкової звітності в електронному вигляді підписаної за допомогою безкоштовного програмного забезпечення накладання електронного підпису «Нотар» буде припинено з 01 січня 2009 року, про що необхідно повідомити платників податків через інформаційні сайти регіональних ДПА, об'яви на інформаційних дошках та засобами Е-Маіl. Безкоштовне розповсюдження засобів ЕЦП серед платників податків буде впроваджено ДПА України після введення в експлуатацію власного акредитованого центру сертифікації ключів.

7. Становлення українського законодавства про цифровий підпис

У XXI ст. інформаційно-комунікаційні технології стануть провідним чинником, що істотно впливатиме на розвиток суспільства. Багато країн уже усвідомили ті переваги, які надає їхній розвиток та поширення. Нині в Україні є відчутною потреба унормувати нові відносини, що виникають у зв'язку з бурхливим розвитком комп'ютерних технологій.

Розвиток електронної комерції і електронного документообігу в Україні стикається з недостатністю правового регулювання застосування ЕЦП і електронного документообігу.

Правові основи для застосування електронних документів у цивільних відносинах уперше закладено новим Цивільним кодексом України, що набрав чинності з 1 січня 2004 р. згідно зі ст. 207 «Вимоги до письмової форми правочину»: «правочин вважається таким, що вчинений у письмовій формі, якщо воля сторін виражена за допомогою телетайпного, електронного або іншого технічного засобу зв'язку». Під час здійснення правочинів допускається застосування електронно-цифрового підпису. По суті, Цивільний кодекс України прирівнює електронні документи до паперових і допускає засвідчення їх електронним підписом.

На виконання рекомендацій Парламентських слухань з питань побудови інформаційного суспільства в Україні у державі створено нормативно-правове підґрунтя і технологічну основу функціонування юридично значимого електронного цифрового підпису. Законами України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки», «Про електронні документи та електронний документообіг» від 22 травня 2003 року № 851-IV, а також «Про електронний цифровий підпис» від 22 травня 2003 року № 852-ІV встановлено основні організаційно-правові засади електронного документообігу та використання електронних документів, а також правовий статус електронного цифрового підпису (ЕЦП) та порядок його застосування юридичними і фізичними особами, визначено організаційну інфраструктуру ЕЦП та її суб'єктів. Передбачається послідовна розробка нормативно-правових актів, сфера регулювання яких визначається вперше, визначено необхідність підтримки функціонування центрального засвідчувального органу, як основного елемента інфраструктури електронного цифрового підпису.

На виконання вищеназваних законів протягом 2004 року прийнято шість постанов Кабінету Міністрів України (від 26 травня 2004 р. № 680, від 13 липня 2004 р. № 903, від 28 жовтня 2004 р. №№ 1451 - 1454), які стосуються сфер електронного документообігу та електронного цифрового підпису.

Дорученням Кабінету Міністрів України від 23.02.2005 № 6056/2/1-05 передбачалось створення центрального засвідчувального органу та забезпечення умов для акредитації центрів сертифікації ключів інфраструктури електронного цифрового підпису.

Постановою Кабінету Міністрів України від 6 травня 2005 р. № 324 «Про заходи щодо виконання у 2005 році Програми діяльності Кабінету Міністрів України «Назустріч людям» підтверджено необхідність прийняття цільової програми впровадження й розвитку електронного документообігу з використанням електронного цифрового підпису.

В Указі Президента України «Про першочергові заходи щодо впровадження новітніх інформаційних технологій» від 20 жовтня 2005 р. № 1497 одним із пріоритетних напрямків сфери інформаційних технологій визначено впровадження в Україні електронного документообігу із застосуванням електронного цифрового підпису.

Проте, жодним із вищезазначених законів та нормативно-правових актів не було передбачено конкретних заходів щодо створення, впровадження й утримання інфраструктури електронного цифрового підпису та не визначені механізми фінансування цих заходів.

З метою вирішення питань, які стосуються проблематики запровадження в Україні системи електронного урядування, 24 лютого 2003 року було прийнято Постанову Кабінету Міністрів України № 208 «Про заходи щодо створення електронної інформаційної системи «Електронний уряд».

Відповідно до цієї Постанови передбачено створити належні нормативно-правові засади функціонування системи «Електронний уряд», забезпечити умови для більш швидкого та доступного надання інформаційних послуг громадянам та юридичним особам шляхом використання електронної інформаційної системи «Електронний уряд», яка забезпечує: взаємодію органів виконавчої влади між собою, з громадянами та юридичними особами на основі сучасних інформаційних технологій, інтегрувати державні електронні інформаційні ресурси і системи в Єдиний веб-портал органів виконавчої влади.

Вдосконалення та оновлення нормативно-правової бази України, створення спеціальних юридичних норм сприятиме ефективному впровадженню та функціонуванню електронного документообігу та електронного цифрового підпису. Для регулювання правовідносин у сфері інформаційних технологій Верховна Рада України вже ухвалила кілька Законів України, які набули чинності:

- «Про електронні документи та електронний документообіг» від 22 травня 2003 р. № 851-IV;

- «Про електронний цифровий підпис» від 22 травня 2003 p. № 852-IV;

- «Про обов'язковий примірник документів» від 9 квітня 1999 p. № 595-XTV;

- «Про Національну програму інформатизації» від 4 лютого 1998 р. № 74/98-ВР;

- «Про телекомунікації» від 18 листопада 2003 p. № 1280-IV;

- «Про Національну систему конфіденційного зв'язку» від 10 січня 2002 р. № 2919-111;

- «Про захист інформації в інформаційно-телекомунікаційних системах» від 5 липня 1994 р. № 80/94-ВР.

Прийняття згаданих нормативно-правових актів, предметом регулювання яких є процеси електронного документообігу, дасть можливість створити сприятливі умови в сфері застосування сучасних інформаційних технологій, стимулювати в Україні розвиток ринку та інфраструктури послуг, що надають за допомогою засобів інформатизації.

В Україні порядок застосування засобів ЕЦП в порівнянні із зарубіжними країнами регламентований набагато жорсткіше. На даний час діє Указ Президента «Про заходи з дотримання законності в області розробки, виробництва, реалізації і експлуатації шифрувальних засобів, а також надання послуг в області шифрування інформації». Відповідно до нього заборонена діяльність юридичних і фізичних осіб, пов'язана з розробкою, виробництвом, реалізацією і експлуатацією шифрувальних засобів, а також захищених засобів зберігання, обробки і передачі інформації, наданням послуг в області шифрування інформації без ліцензій. Забороняється також використання державними організаціями і підприємствами в інформаційно-телекомунікаційних системах шифрувальних засобів, включаючи криптографічні засоби забезпечення достовірності інформації (електронний підпис), що не мають сертифікату. Така політика держави в області регулювання застосування і реалізації криптографічних засобів, у тому числі і засобів ЕЦП, мабуть, пояснюється прагненням використовувати тільки засоби, сертифіковані уповноваженими державними органами. Зміст нормативно-правових актів України, які регулюють застосування шифрувальних засобів, у тому числі і засобів ЕЦП, демонструє існуючу тенденцію встановлення «тоталітарного підходу» в цій справі. Безумовно, для вирішення безлічі проблем, пов'язаних з національною безпекою, необхідна наявність певних обмежень в області розробки, застосування і обороту засобів ЕЦП. Проте нав'язування продукції тільки одного або декількох виробників у цій області (а для самих виробників обов'язкова платна сертифікація їх діяльності), особливо якщо воно супроводжується закритістю алгоритму, може у результаті призводити до посилення корупції і зниження справжньої, а не декларативної захищеності засобів ЕЦП. Правове регулювання застосування засобів ЕЦП повинно прагнути до більшої гнучкості у віддзеркаленні вимог об'єктивної дійсності. Можливо, враховуючи особливості України, було б доцільно розглянути багаторівневий підхід до визнання дійсності ЕЦП і ліцензування її засобів: одні вимоги - для адміністративної сфери, інші - для корпоративної і треті - для особистого документообігу. У зарубіжному законодавстві ми спостерігаємо окремі ознаки багаторівневого підходу, наприклад введення поняття кваліфікованого ЕЦП в Директиві.

Таким чином, проаналізувавши хід подій у сфері інформаційних правовідносин та інформатизації, зокрема, впровадження системи електронного документування в Україні, різноманітні документи та матеріали, можна зробити висновок, що у цьому напрямку здійснюються певні заходи. Можливо, не настільки інтенсивно, як в інших державах, але можна стверджувати, що через деякий час Україна, за умови системної правової та практичної розбудови системи електронного документування, також буде характеризуватися неабиякими здобутками у цій сфері.

8. Використання ЕЦП при здійсненні електронних правочинів

Не зважаючи на те, що чинне українське законодавство не містить такого окремого поняття як «електронний правочин», українське законодавство дозволяє їх практичне вчинення. Зокрема, можливість вчинення електронних правочинів передбачена Цивільним кодексом України від 16 січня 2003 року. Під електронним правочином слід розуміти правочин, вчинений за допомогою електронних засобів комунікації, суть якого полягає в обміні сторонами за допомогою цього засобу електронними волевиявленнями. Ключовою відмінністю електронного правочину від традиційного, як випливає з вищенаведеного, є спосіб його вчинення. Таким чином, якщо для вчинення відповідного волевиявлення сторони використовують електронні засоби комунікації, ми розуміємо під таким правочином саме електронний правочин. При цьому не має значення чи обмін волевиявленнями, вчиненими в електронній формі відбувається on-line, чи за одночасної присутності сторін правочину, які надсилають волевиявлення через телеінформаційні мережі, наприклад Інтернет, чи наприклад вчинення такого правочину відбувається off-line, шляхом обміну інформаційними носіями із записаними текстовими файлами, що містять волевиявлення сторін.

Ми вважаємо, що при вирішенні питання, чи має даний правочин електронний характер, вагоме значення має також і спосіб його вчинення. Йдеться передусім про правочини, які вчиняються on-line (наприклад, купівля-продаж комп'ютерних програм, відео та аудіо матеріалів тощо). В наведених прикладах вчинення правочину, як і його виконання відбуваються в мережі. Отже, можна зробити висновок, що в такому випадку йдеться про електронний правочин sensu stricto, тобто електронний в момент укладення та виконання. Проте не слід забувати про випадки, коли вчинення правочину відбувається в електронній формі on-line чи off-line, а виконання відбувається традиційним способом. І такий правочин теж вважатиметься електронним. Таким чином, достатньо наявності хоча б одного критерію електронного вчинення правочину. Як слушно зауважує О. Гудзь, традиційний, матеріалізований спосіб виконання правочину не є базовим критерієм оцінки при вирішенні питання, чи є даний правочин електронним. Правочин вважається електронним і у випадку, коли фаза вчинення здійснюється традиційним способом, а виконання - в електронній (дематеріалізованій) формі. Необхідно зауважити, що існує ряд електронних правочинів, виконання яких можливе лише в електронній формі (наприклад, доступ до телеінформаційних мереж, доступ до баз даних, які існують лише в електронній формі тощо) та правочини, які можуть бути виконані лише традиційним способом (наприклад, купівля-продаж комп'ютерів, автомобіля тощо).

З огляду на вищезазначені твердження, вважаємо за доцільне використання поняття «електронний правочин», адже поняття «правочин, вчинений в електронній формі», виключає зі сфери аналізу правочини, вчинення яких відбувається в традиційний спосіб, натомість виконання - в електронній формі.

Безумовно, різниця між традиційними та електронними правочинами виникає власне в способі обміну сторонами волевиявленнями, та іноді з огляду на спосіб виконання зобов'язання. Різниця полягає також і у методі комунікації сторін на етапі вчинення правочину, і часто, його виконання, зважаючи на те, які використовуються засоби комунікації на відстані, спосіб отримання інформації про сторону правочину, його зміст та спосіб виконання, ризики сторін, що випливають з вчинення електронного правочину, відсутності таких чинників як час та відстань, форма вчинення та виконання правочину.

Характерною рисою електронних правочинів є інтерактивність, безпосередність, мультимедійність пропозицій та реклами.

Інтерактивність полягає у індивідуалізації способу пересилання інформації між сторінками, які сприяють вчиненню правочину. Зокрема, йдеться про поступовий обмін інформацією від пасивного (через Інтернет - сторінки), до активного через надсилання детальної інформації електронною поштою.

Безпосередність електронних правочинів має найбільший вимір у випадку Інтернету, адже кожен має безпосередній доступ до глобальної мережі електронного переказу незалежно від часу та місцезнаходження. Очевидним є те, що надання послуг та товарів за допомогою мережі знижує затрати на здійснення трансакції, позбавляє необхідності особистого контакту, що за умов зростаючої глобалізації торгівлі має істотне значення.

Відсутність особистого контакту з контрагентом та товаром, який є предметом договору купівлі-продажу зумовлює створення різних методів мультимедійного представлення товару, шляхом використання фотографій, фільмів, обширного опису. Усе це покликано замінити безпосередній контакт продавця зі споживачем.

Вищенаведене свідчить, що проблемним є питання форми, в якій укладається електронний правочин.

В українській доктрині цивільного права погляди щодо електронної форми правочину різняться. Так, одні науковці, поділяючи підхід прийнятий в багатьох зарубіжних країнах, вважать, що електронна форма правочину є окремою формою правочину. Відповідно до цього підходу «письмова» та «електронна» форми є видовими щодо родового поняття, яким слід вважати «запис», тобто фіксацію змісту правочину на матеріальному або електронному носієві, який надає можливість зберігати інформацію про зміст правочину протягом тривалого часу і відтворити її на першу вимогу у формі, зрозумілій людині. На думку представників іншої позиції, зокрема

І. Спасибо-Фатєєвої, А. Чучковської та О. Ґудзь, правочин, вчинений з використанням електронних засобів зв'язку, є різновидом письмової форми. Так, І. Спасибо-Фатєєва вважає, що віднесення правочинів, вчинених за допомогою електронних засобів зв'язку, до письмових, слід розуміти як подання інформації (змісту правочину) на інших носіях, аніж папір, однак із фіксацією волі (думки, намірів) сторін через логічно упорядковані знаки. Матеріальним носієм буде комп'ютерний диск, із якого зчитується відповідна інформація через її сприйняття на моніторі або після роздрукування на папері. Тому електронно-цифрова форма є різновидом письмової форми з урахуванням специфіки мережі Інтернет. На думку

О. Гудзь, єдиною відмінністю електронного правочину є те, що він фіксується на віртуальному папері, а не на виробленому із переробленої деревини. Як слушно зазначає А. Чучковська, еволюція носія письмової форми не призводить до виникнення нової форми поряд із письмовою.

Відтак, поняття електронної форми правочину є спірним в доктрині цивільного права. Нерідко в літературі для визначення волевиявлення, вчиненого в електронній формі за допомогою електронних засобів комунікації вживається поняття «електронна форма». Виникає питання, чи на підставі українського законодавства доцільним є використання такого терміну, тобто чи законодавець приймаючи новий ЦК та Закон України «Про електронний цифровий підпис» ввів в українську правову систему нову електронну форму правочину, прирівнюючи її до звичайної письмової форми, чи лише обмежився встановленням двох видів, за допомогою яких суб'єкти можуть складати волевиявлення в письмовій формі, тобто шляхом складення власноручного або електронного підпису на документі.

Зазначимо, що текст електронних правочинів також може викладатися за допомогою писемності, загальновідомих умовних знаків, які розташовуються у певному порядку, змістом яких буде волевиявлення особи, спрямоване на набуття, зміну або припинення цивільних прав та обов'язків. Даний текст може мати всі реквізити документу. Передається указаний текст правочину за допомогою електронного зв'язку. Підписуватися може шляхом накладення електронного підпису, який ідентифікує підписувача і захищає документ від підробки. Єдиною відмінністю електронного правочину є те, що він фіксується на віртуальному папері, а не на виробленому із переробленої деревини.

Під електронним підписом, у принципі, може матися на увазі будь-який спосіб підписання електронного документа, зокрема графічне зображення рукописного підпису та звичайних паролів. Проте в Законі про ЕЦП наголошується на регулюванні відносин, пов'язаних з використанням одного різновиду електронного підпису - електронного цифрового підпису.

Його особливість полягає в тому, що він ґрунтується на алгоритмах криптографічного захисту інформації. ЕЦП накладається за допомогою особистого ключа - спеціального коду, відомого тільки особі, яка підписала документ. Дійсність ЕЦП перевіряється за допомогою відкритого ключа - коду перевірки, доступного решті суб'єктів електронного документообігу. Відкритий ключ має бути сертифікований центром сертифікації ключів.

Застосування будь-яких інших видів електронного підпису допускається на договірних засадах. Однак можна з упевненістю припустити, що поза такими договірними відносинами (для інших суб'єктів) інші види електронного підпису будуть практично позбавлені юридичної чинності й доказовості. Інакше кажучи, такі електронні підписи матимуть якусь значущість тільки для сторін конкретного договору, в межах якого вони застосовуються.

Щоб кожний «підписувач» мав свій, унікальний, підпис, використовується так званий особистий ключ - код, який має бути відомий лише його власнику. Якщо цей код повідомити програмі, то відповідно до криптографічного алгоритму вона сформує унікальне контрольне значення і додасть його до документу. Тобто підпише електронний документ унікальним ЕЦП господаря даного особистого ключа.

Для перевірки вірогідності ЕЦП та цілісності електронного документа використовується інший код - так званий відкритий ключ. На відміну від особистого, відкритий ключ доступний усім іншим зацікавленим учасникам електронного документообігу. Цей код не дозволяє підробити ЕЦП автора електронного документа, але дозволяє перевірити його справжність. Отримавши цей код, програма, використовуючи вже згаданий алгоритм, звірить його з отриманим разом з документом ЕЦП автора. Якщо ці контрольні значення зійдуться, підпис вважатиметься справжнім, а отриманий документ - цілісним.

Отже, можна дійти висновку, що без існування електронного цифрового підпису неможливе існування електронного правочину.

9. Проблеми вдосконалення використання ЕЦП

Для запровадження електронного бізнесу типу «Бізнес-Бізнес» ключовою правовою проблемою є надання правового статусу документам, які передаються електронним шляхом. Наприклад, електронним шляхом можуть укладатися угоди, надаватись доручення банкам для перерахування коштів, можуть пересилатися сертифікати на продукцію тощо. У звичайному режимі документи засвідчуються підписами відповідальних осіб та печатками. В електронному режимі роль підпису може виконувати електронний (або ж цифровий) підпис.

В Законі України «Про електронний цифровий підпис», електронний підпис визначається як «дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних». Поруч там же знаходимо інше поняття: електронний цифровий підпис, або ж цифровий підпис. Це - «... вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача».

Електронний підпис складається із двох кодів: особистого, яким володіє особа, що ставить підпис, і відкритий, з допомогою якого можна перевірити достовірність підпису. Відкритий код мають в своєму розпорядженні всі особи, з якими власник закритого коду має стосунки. Особистий код містить унікальну інформацію про дані, які він засвідчує, і деякі дані, відомі виключно особі, з якою підпис пов'язаний. За допомогою відкритої частини коду отримувач повідомлення отримує можливість перевірити достовірність підпису.

Таким чином, електронний підпис виступає аналогом звичайного підпису в застосуванні до електронних документів.

Технологія електронного підпису може бути не менш ефективною, ніж звичайного. Але для практичного використання виникають проблеми правового визнання електронного підпису нарівні із звичайним, що в свою чергу потребує певного регулювання процедур надання засобів цифрового підпису.

Засоби для цифрового підпису (програмне забезпечення для шифрування та коди) надають уповноважені на це установи - центри сертифікації, які засвідчують надання засобів електронного підпису особі сертифікатом. Українське законодавство передбачає два види сертифікатів: звичайний та посилений. Звичайний може видаватися будь-якою особою (центром сертифікації), яка вирішила займатися цим видом діяльності. Для видачі посиленого сертифіката центр сертифікації повинен користуватися засобами електронного цифрового підпису, які в Законі названо «надійними засобами електронного цифрового підпису» та пройти акредитацію уповноваженим на це органом - центральним засвідчувальним центром.

Не менш серйозною прогалиною закону є недостатня увага до питання захисту інформації про особу. Закон досить широко як для такого документу говорить про те, що в сертифікаті вказуються необхідні дані про особу. Тоді як Директива ЄС передбачає лише ім'я особи, яка буде користуватись підписом, а за бажанням може бути вказано псевдонім у формі, що дозволяє встановити особу.

Крім того, при систематичному співробітництві підприємства з партнерами за допомогою електронних технологій, можуть виникати й інші проблеми при розв'язанні господарських конфліктів. Все це потребує доповнення законодавства, перш за все Господарського та Цивільного кодексів і відповідних процесуальних кодексів, що поки що залишається лише перспективою.

Проблеми запровадження в Україні електронного документу та електронного цифрового підпису стають все більш актуальними. Вони набувають значної політичної та економічної ваги у зв'язку з розширенням використання інформаційно-комунікаційних технологій у суспільних відносинах, розбудові систем електронних платежів, електронної торгівлі тощо. При цьому, якщо у Цивільному кодексі (1963 року із наступними змінами, внесеними до нього) було багато обмежень щодо використання електронного документа, то новий Цивільний кодекс 2003 року дозволив широке застосування електронних документів у цивільних правовідносинах.

Одне з проблемних питань, що повинні вирішити законодавство у цій сфері, - це робота центрів сертифікації ключів, які мають надавати послуги цифрового підпису. Спеціалісти вважають, що кількість бажаючих займатися такою діяльністю, можливо, буде досить незначною. Зокрема, тому, що фінансовий бар'єр виходу на ринок таких структур за нинішніх умов буде досить високим з огляду на специфіку їх функцій (надання засобів цифрового підпису, формування, розповсюдження, скасування, блокування та поновлення сертифікації ключів, генерація відкритих та особистих ключів тощо). А враховуючи те, що все повинно починатися практично з нуля, оскільки майже таким на даному етапі є ринок користувачів, «повернення» зроблених вкладень буде досить довгим.

Отже, на наш погляд центр сертифікації ключів є критичним елементом в системі застосування ЕЦП. Неналежна організація надання послуг ЕЦП, незабезпечення відповідного рівня безпеки функціонування, захисту інформації або збої у роботі зазначеного суб'єкта може створити умови, що сприятимуть масовим зловживанням при застосуванні ЕЦП, в тому числі їх підробленню, компрометації та неможливість використовувати даний механізм підписувачами, що отримують послуги ЕЦП у цих суб'єктів та особами, які перевіряють ЕЦП.

Суб'єктами, на яких проблема справляє негативний вплив є учасники електронного документообігу - користувачі послуг ЕЦП, зокрема фізичні особи, юридичні особи (ЕЦП використовується у якості печатки) незалежно від форми власності. Слід зазначити, що центри сертифікації ключів виконують функції технологічного посередника у системі електронного документообігу, учасниками якої можуть бути суб'єкти господарювання та органи державної влади. Діяльність центрів сертифікації ключів без суворого дотримання законодавства у зазначеній сфері, у тому числі ненавмисні порушення встановленого порядку виконання своїх функцій, може привести до створення сприятливих умов щодо виникнення господарських та адміністративних спорів за документами в електронному вигляді, в результаті невірного застосування механізмів ЕЦП.

Аналіз європейського законодавства та досвіду країн, в яких розгорнута та функціонує розвинута система ЕЦП свідчить, що проблема не може бути вирішена за допомогою ринкових механізмів та потребує державного втручання. Так, наприклад в Директиві Європейського Союзу 1999/93/ЄС «Про основи законодавства Співтовариства щодо електронних підписів» (стаття 3, параграф 3) зазначається, що кожна країна-член ЄС повинна забезпечити створення відповідної системи, що дозволяє здійснення нагляду за створеними на її території надавачами послуг з сертифікації, які видають посилені сертифікати невизначеному колу осіб (аналог акредитованих центрів сертифікації ключів, відповідно до законодавства України).

Відсутність запропонованого регулювання на законодавчому рівні та враховуючи вимоги Закону «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» щодо прав та повноважень суб'єктів господарювання та органів державного нагляду, з розповсюдженням в країні технологій електронного документообігу може привести до поширення зловживань з боку суб'єктів ринку послуг ЕЦП, та, як наслідок, до низького рівня довіри громадян щодо механізмів ЕЦП зокрема і електронного документообігу в цілому.

Хоча можна розглядати окремо шляхи вирішення кожної з переліку проблем, головним залишається те, що Україна є державою з невизначеною на макрорівні моделлю створення інформаційного суспільства і його економіки, що цілком нівелює часткові зусилля, наприклад, із розвитку системи Internet-крамниць і он-лайнових аукціонів та ін. Нині не викликає сумніву тільки те, що приєднання України до загальносвітових процесів глобалізації й інформатизації не буде легким, простим і дешевим.

Висновки

Стрімкий розвиток та глобальне впровадження новітніх інформаційних технологій, інтенсифікація інформаційних відносин, створили умови, коли життя людини є майже не мислимим без мобільного телефону, телевізора, комп'ютера та Інтернету.

Розвиток суспільних відносин став вимогою в цілому щодо розроблення, вдосконалення та оновлення нормативно-правової бази України, створення спеціальних юридичних норм та правил регулювання сфери інформаційних правовідносин.

Верховною Радою України були прийняті закони України, які набули чинності, «Про електронні документи та електронний документообіг», «Про електронний цифровий підпис», «Про обов'язковий примірник документів», «Про Національну програму інформатизації», «Про телекомунікації», «Про Національну систему конфіденційного зв'язку», «Про захист інформації в інформаційно-телекомунікаційних системах» тощо.

Закон України «Про електронні документи та електронний документообіг» визначив основні організаційно-правові засади електронного документообігу та використання електронних документів.

Законом встановлено, що електронний документ - це документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити документа, зокрема, електронний цифровий підпис. Юридична сила електронного документа не може бути заперечена виключно через те, що він має електронну форму.

Проте, закон також встановив певні обмеження на застосування електронного документа як оригіналу. Зокрема, в електронній формі не може бути створено оригінал свідоцтва про право на спадщину; інший документ, який, згідно із законодавством, може бути створений лише в одному примірнику (поки не буде створено централізованого сховища оригіналів електронних документів).

Електронний цифровий підпис дає змогу підтвердити цілісність електронного документу, тобто його захищеність від несанкціонованого спотворення, руйнування або знищення в процесі руху від відправника до одержувача, та ідентифікувати підписувача.

Правочини здійснені за допомогою накладання на них електронного цифрового підпису та передані адресату в мережі передачі даних мають великий ступінь захисту від несанкціонованого доступу, спотворення чи знищення змісту правочину, адже такий підпис отримується за результатом криптографічного перетворення набору електронних даних.

Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки), якщо: електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису; під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису; особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.

Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа. Особистий ключ має бути відомий лише його власнику. Відкритий ключ доступний всім учасникам електронного документообігу.

Засвідчення чинності відкритого ключа здійснюється шляхом формування сертифіката відкритого ключа - документа, що видається центром сертифікації ключів. Посилений сертифікат відкритого ключа видається акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом.

Сертифікат ключа містить:

ѕ найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру);

ѕ зазначення, що сертифікат виданий в Україні;

ѕ унікальний реєстраційний номер сертифіката ключа;

ѕ основні дані (реквізити) підписувача - власника особистого ключа;

ѕ дату і час початку та закінчення строку чинності сертифіката;

ѕ відкритий ключ;

ѕ найменування криптографічного алгоритму, що використовується власником особистого ключа;

ѕ інформацію про обмеження використання підпису.

Посилений сертифікат ключа, крім обов'язкових даних, які містяться в сертифікаті ключа, повинен мати ознаку посиленого сертифіката ключа.

Юридичні та фізичні особи можуть на договірних засадах засвідчувати чинність відкритого ключа сертифікатом ключа, а також використовувати електронний цифровий підпис без сертифіката ключа.

Розподіл ризиків збитків, що можуть бути заподіяні підписувачам, користувачам та третім особам, які користуються електронними цифровими підписами без сертифіката ключа, визначається суб'єктами правових відносин у сфері послуг електронного цифрового підпису на договірних засадах.

Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності для засвідчення чинності відкритого ключа використовують лише посилений сертифікат ключа.

Отже, електронний цифровий підпис спрямований на спрощення та прискорення документообігу між суб'єктами господарювання, що, в свою чергу, має зміцнити конкурентоспроможність вітчизняних підприємств, адже пришвидшиться процедура укладення цивільно-правових та господарських договорів, оформлення експортно-імпортних операцій, надання електронних банківських послуг.

Література

1. Конституція України від 28.061996 р. № 254 к/96-ВР // Відомості Верховної Ради України від 23.07.1996 р. - 1996, № 30, ст. 141.

2. Цивільний кодекс України від 16.01.2003 р. № 435-ІV (із наступн. змінами) // Відомості Верховної Ради України вiд 03.10.2003 р. - 2003, № 40, ст. 356.

3. Закон України «Про електронні документи й електронний документообіг» від 22.05.2003 р. № 851-IV.

4. Наказ ДПА України,,Про подання електронної податкової звітності” від 10.04.08 №233, зареєстрований у Міністерстві юстиції України 16.04.08 за № 320/15011.

5. Блажівська Наталя. Електронний правочин // Юридичний журнал. №1/2007.

6. Чирський Ю. Електронний цифровий підпис: правові аспекти застосування // Довідник секретаря та офіс-менеджера. - №1(2007) - С. 26-31.

7. Кирилюк Дмитро. Правові засади використання електронних розрахункових документів та електронних підписів в банківській діяльності // Юридичний журнал. №12/2005.

8. Чирський Юрій. Запровадження системи електронного документообігу в Україні // Юридичний журнал. № 6/2006.

Страницы: 1, 2



2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.