blue digital binary data on computer screen. Close-up shallow DOF

При використанні електронного цифрового підпису (далі – ЕЦП) важливим є зберігання особистого ключа ЕЦП в таємниці, інакше він буде вважатися скомпрометованим. Закон України «Про електронний цифровий підпис» передбачає можливість зберігання ЕЦП на захищених носіях, які називаються токенами.

Токен – це спеціальний пристрій, зовні схожий на USB-флешку, який використовується для авторизації користувача, захисту електронного листування, безпечного доступу до інформаційних ресурсів. Токен – це USB-флешка, пам’ять якої захищена спеціальними криптографічними алгоритмами, на якій зберігається інформація. На токенах зберігаються сертифікати ЕЦП.

Органам державної влади, місцевого самоврядування та підприємствам державної форми власності, відповідно до останніх змін до Постанови КМУ №1452 від 28.10.2004 р., якою затверджено Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності для вчинення правочинів, надання адміністративних та інших послуг в електронній формі, здійснення інформаційного обміну з іншими юридичними особами установи використовують виключно захищені носії, враховуючи вимоги, передбачені абз. 1 цього пункту.

Захищені носії особистих ключів обов’язково використовують державні реєстратори прав на нерухоме майно, державні реєстратори юридичних осіб, фізичних осіб-підприємців та громадських формувань, нотаріуси.

Для забезпечення можливості підписувати електронні документи з контрагентами чи будь-якими іншими особами ЕЦП, ключі якого зберігаються на захищених носіях, в системі DEALS було реалізовано рішення та передбачено можливість підписувати електронні документи ЕЦП, які зберігаються на токенах. Таким чином, система DEALS стала першим вітчизняним рішенням, яке надало можливість використовувати електронні ключі «Кристал» та «Алмаз», детальніше про які читайте нижче. Апаратна реалізація забезпечує захищеність процесу виконання криптографічних перетворень та унеможливлює доступ до особистих ключів з боку апаратного-програмного середовища.

Зазначене нововведення є особливо актуальним з набуттям чинності в листопаді поточного року Закону України «Про електронні довірчі послуги». На реалізацію норм цього закону було також розроблено проект постанови Кабінету Міністрів України «Про Порядок використання електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, підприємствах, установах та організаціях державної форми власності». Документом передбачається, що державні установи для засвідчення чинності відкритого ключа використовують лише кваліфікований сертифікат відкритого ключа, а для реалізації повноважень, спрямованих на набуття, зміну чи припинення прав та/або обов’язків фізичної або юридичної особи відповідно до закону, здійснення інформаційного обміну з іншими юридичними особами, застосовують виключно захищені носії особистих ключів.

Таким чином, подальше використання токенів для зберігання електронного цифрового підпису стає ще більш захищеним. В системі DEALS електронні ключі «Кристал» та «Алмаз» можна використовувати вже сьогодні.

Захищені носії (токени)

Інститут Інформаційних технологій рекомендує наступні апаратні засоби криптографічного захисту інформації.

1. Електронний ключ «Кристал-1». Цей засіб виконує такі функції:

  • автентифікація оператора ЕОМ при доступі до ключа;
  • генерація особистих та відкритих ключів для алгоритму ЕЦП;
  • генерація особистих та відкритих ключів для протоколу розподілу ключів;
  • генерація ключів для алгоритму шифрування та генерація випадкових послідовностей на основі апаратного генератора;
  • зберігання особистих ключів у внутрішній пам’яті та їх захист від НСД;
  • формування та перевірка ЕЦП;
  • обчислення геш-функції;
  • розподіл ключових даних на основі асиметричного протоколу розподілу;
  • зберігання довільних даних у внутрішній пам’яті та їх захист від НСД;
  • зберігання файлів у вбудованому електронному flash-диску та їх шифрування;
  • контроль цілісності та працездатності вбудованого програмного забезпечення тощо.

Електронний ключ виконаний у вигляді малогабаритного знімного USB-пристрою, який може мати програмний CCID-інтерфейс та електронний flash-диск (протокол USB Mass Storage).

2. Електронний ключ «Алмаз1К». Цей електронний ключ виконаний у вигляді малогабаритного знімного USB-пристрою, який має програмний CCID-інтерфейс. Засіб виконує такі функції:

  • автентифікація оператора ЕОМ при доступі до ключа;
  • генерація особистих та відкритих ключів для алгоритму ЕЦП;
  • генерація особистих та відкритих ключів для протоколу розподілу ключів;
  • генерація ключів для алгоритму шифрування та генерація випадкових послідовностей на основі апаратного генератора;
  • зберігання особистих ключів у внутрішній пам’яті та їх захист від НСД;
  • формування та перевірка ЕЦП;
  • обчислення геш-функції;
  • розподіл ключових даних на основі асиметричного протоколу розподілу;
  • зберігання довільних даних у внутрішній пам’яті та їх захист від НСД;
  • контроль цілісності та працездатності вбудованого програмного забезпечення тощо.

3. Електронний ключ «Кристал-1Д». Цей засіб призначений для захисту службової інформації. Електронний ключ виконаний у вигляді малогабаритного знімного USB-пристрою. Засіб виконує такі функції:

  • автентифікація оператора ЕОМ при доступі до ключа;
  • генерація ключів;
  • зберігання ключів у внутрішній пам’яті та їх захист від НСД;
  • формування та перевірка ЕЦП;
  • розподіл ключових даних та шифрування даних;
  • зберігання довільних даних у внутрішній пам’яті та їх захист від НСД;
  • контроль цілісності та працездатності вбудованого програмного забезпечення тощо.

Для всіх зазначених засобів передбачається, що апаратна реалізація забезпечує захищеність процесу виконання криптографічних перетворень та унеможливлює доступ до особистих ключів з боку апаратного-програмного середовища.

Електронні ключі реалізують певні криптографічні алгоритми та протоколи:

  • шифрування за ДСТУ ГОСТ 28147:2009 (режим простої заміни та режим вироблення імітовставки);
  • ЕЦП за ДСТУ 4145-2002 (всі довжини ключів передбачені стандартом);
  • гешування за ГОСТ 34.311-95;
  • протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої (довжина ключа до 571 біту).

Особисті ключі генеруються, зберігаються та використовуються лише всередині електронного ключа та жодним способом не потрапляють за його межі. Зберігання особистих ключів та інших ключових даних здійснюється у внутрішньому постійному запам’ятовувальному пристрої електронного ключа. Таким чином, зазначені електронні ключі мають високий рівень захисту інформації.

Олександр Вернигора, директор Intecracy Deals

Джерело: “Юридична газета”