Контраст contrast
Шрифт Очистити
Сховати налаштування
 

Електронний цифровий підпис

     Електронний цифровий підпис - це цифрова послідовність, яка приєднується до електронного документа і однозначно відповідає тексту електронного документа і особистому ключу особи, що наклала підпис. ЕЦП виробляється спеціальним програмним забезпеченням шляхом криптографічного перетворення над текстом електронного документа за допомогою особистого (секретного) ключа особи, що може накладати підпис.

     Перевірку підпису здійснюють за допомогою зворотного криптографічного перетворення над ЕЦП за допомогою відкритого ключа особи, що наклала підпис. Результат перетворення порівнюється з текстом електронного документа і при точній відповідності підпис і документ вважаються справжніми.

     Унікальність підпису досягається за рахунок математичних особливостей криптографічного перетворення і того, що секретний ключ підпису використовується і зберігається виключно особою, якій належить підпис.

     Завдяки таким особливостям ЕЦП та його застосування, забезпечуються такі важливі можливості:
• захист цілісності документа - тобто після накладання ЕЦП будь-яка випадкова або навмисна зміна тексту електронного документа проявляється при перевірці справжності підпису;
• однозначне засвідчення авторства підпису - підпис накладається особистим ключем, який може бути використаний тільки особою, якій належить підпис, і може бути перевірений тільки відкритим ключем, що є парою до особистого;
• неможливість відмови від авторства підпису - наявність і позитивна перевірка підпису свідчать про те, що він міг бути накладений лише за допомогою секретного ключа особи, якій належить підпис. Це не дозволяє відмовитися від зобов'язань, викликаних підписанням документа.

     Для застосування ЕЦП особі - власнику підпису генеруються два ключі - особистий (секретний) і відкритий. Ключі складають пару, тобто один виробляється за криптографічним алгоритмом за допомогою другого.
За допомогою спеціального програмного забезпечення особистим ключем проводиться криптографічне перетворення над цифровою послідовністю, що одержана на основі електронного документа, який підписується. В результаті формується цифрова послідовність, що і являє собою ЕЦП. Підпис зберігається разом з електронним документом, на який був накладений.

     Для перевірки ЕЦП документа особа, яка його читає або використовує, має отримати відкритий ключ автора (власника) підпису. Відкритий ключ має бути доступний для всіх зацікавлених у перевірці ЕЦП осіб.
Відкритий ключ поширюється в електронному сертифікаті відкритого ключа. Сертифікат служить надійним засобом зберігання інформації про власника ключа.

     Спеціальне програмне забезпечення за допомогою відкритого ключа проводить зворотне криптографічне перетворення над цифровою послідовністю ЕЦП. В результаті виробляється цифрова послідовність, що відповідає відбитку тексту підписаного документа. ПЗ виробляє відбиток (геш) від тексту документа і порівнює його з отриманим при перетворенні ЕЦП. За умови повного збігу перевірка вважається позитивною - і текст документа, і підпис справжні.

     Закон України «Про електронний цифровий підпис» визначає, що ЕЦП є повноправним з юридичної точки зору аналогом власноручного підпису та/або печатки на паперовому документі.

     У поєднанні з властивостями електронних документів це дозволяє використовувати ЕЦП в таких сферах:
• електронний документообіг в організації з юридичною значимістю документів;
• підписання договірних документів без необхідності особистої зустрічі;
• електронні звернення в державні органи;
• подача електронної звітності до контролюючих органів;
• електронна комерція на електронних торгівельних майданчиках;
• інтернет-банкінг;
• доступ до захищених сховищ інформації;
• направлене шифрування при захищеному обміні інформацією;
• підтвердження існування електронних даних на певний момент часу з використанням електронної позначки часу (наприклад для доказу авторських прав).

     Безпека використання спеціальних програмних засобів для поводження з ЕЦП забезпечується тим, що ці засоби проходять обов'язкову експертизу під контролем Державної служби спеціального зв'язку та захисту інформації (ДССЗЗІ) України. Під час експертизи перевіряється точна відповідність реалізації криптографічних алгоритмів державним стандартам, а також відсутність уразливих місць в захисті даних і недокументованих можливостей. Наявність експертного висновку ДССЗЗІ України підтверджує безпеку використання програмного (або апаратного) засобу. У цьому випадку він іменується надійним засобом ЕЦП.

Нормативна база
     Правовий статус електронного цифрового підпису визначений Законом України "Про електронний цифровий підпис".

     Крім того, діяльність у сфері ЕЦП регламентується такими нормативно-правовими актами:
-"Порядок засвідчення наявності електронного документа (електронних даних) на певний момент часу", затверджений постановою Кабінету Міністрів України від 26 травня 2004 року № 680;
-"Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності", затверджений постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1452;
-"Порядок акредитації центру сертифікації ключів", затверджений постановою Кабінету Міністрів України від 13 липня 2004 року № 903;
-"Правила посиленої сертифікації", затверджені наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України № 3 від 13.01.2005 (у редакції наказу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 10.05.2006 № 50) та зареєстровані в Міністерстві юстиції України за № 568/12442 від 17.05.2006.

Термінологія
Найбільше вживані терміни та скорочення в сфері ЕЦП

Електроний цифровий підпис

ЕЦП

вид  електронного  підпису, отриманого  за  результатом  криптографічного  перетворення набору електронних  даних,  який  додається до цього набору або логічно з ним поєднується  і  дає  змогу  підтвердити  його  цілісність  та ідентифікувати підписувача.

Відкритий ключ  

параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний суб'єктам відносин у сфері використання електронного цифрового підпису

Компрометація  особистого  ключа  

будь-яка подія та/або дія, що призвела або може призвести до несанкціонованого використання особистого ключа

Носій ключової інформації

НКІ

спеціальний, захищений від неконтрольованого доступу носій інформації, що містить один чи ключів шифрування або електронного цифрового підпису

Особистий ключ  

параметр криптографічного алгоритму формування електронного цифрового  підпису,  доступний  тільки підписувачу

Позначка часу  

сукупність електронних даних, створена за допомогою технічних засобів та засвідчена електронним цифровим підписом центру сертифікації ключів, яка підтверджує наявність електронного документа (електронних даних) на певний момент часу

Програмно-технічний комплекс

ПТК

апаратні, апаратно-програмні та програмні засоби центру сертифікації ключів, що забезпечують виконання функцій, пов'язаних з наданням послуг електронного цифрового підпису

Сертифікат відкритого ключа  

документ,  виданий  центром  сертифікації  ключів,  який засвідчує чинність і належність відкритого  ключа  підписувачу

Список відкликаних сертифікатів

СВС

перелік блокованих та скасованих сертифікатів, що  формується та розповсюджується центром сертифікації ключів

Центр реєстрації

ЦР

представництво (філія, підрозділ) акредитованого центру, яке здійснює реєстрацію підписувачів
Центр сертифікації ключів

ЦСК

організація, що надає послуги електронного цифрового підпису та засвідчила свій відкритий ключ у центральному засвідчувальному  органі