Для прискорення та спрощення процесу документообігу його можна здійснювати в електронному вигляді. Електронний документ, підписаний електронним цифровим підписом, має таку саму юридичну силу, як і паперовий, який підписала власноруч відповідальна особа. У статті поговоримо докладніше про особливості ведення електронного документообігу з використанням ЕЦП.

ЩО ТАКЕ ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС

Загальні питання електронного документообігу та використання електронного цифрового підпису (далі — ЕЦП) в нашій державі регулюють Закони України від 22 травня 2003 року № 851-IV «Про електронні документи та електронний документообіг» (далі — Закон № 851) і № 852-IV «Про електронний цифровий підпис» (далі — Закон № 852).

Так, відповідно до Закону № 852, ЕЦП — це вид електронного підпису, отриманого через криптографічне перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується й дає змогу підтвердити його цілісність та ідентифікувати підписувача.

 

! ЕЦП накладають за допомогою особистого ключа, а перевіряють — за допомогою відкритого.

 

Електронний підпис — це дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов’язані та призначені для ідентифікації підписувача цих даних. Система цифрового підпису припускає, що кожен користувач мережі має свій особистий ключ (що зберігається в таємниці), який використовує для формування підпису, а також відповідний цьому особистому ключу відкритий ключ, що відомий решті користувачів мережі й призначений для перевірки підпису.

Кожен відкритий ключ повинен мати відповідний сертифікат. Як зазначено в Законі № 852, сертифікат відкритого ключа (далі — сертифікат ключа) — це документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачу. Сертифікати ключів можуть бути в електронній або паперовій формі й використовувати для ідентифікації особи підписувача.

Фізичні та юридичні особи — суб’єкти електронного документообігу — використовують ЕЦП для ідентифікації підписувача й підтвердження цілісності даних в електронній формі.

ПРАВОВИЙ СТАТУС ЕЦП

У Законі № 852 йдеться про те, що ЕЦП за правовим статусом прирівнюють до власноручного підпису (печатки) за таких вимог:

— ЕЦП підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису (тобто ЕЦП необхідно отримати в одному із Акредитованих центрів сертифікації ключів);

— під час перевірки використовували посилений сертифікат ключа, чинний на момент накладення ЕЦП;

— особистий ключ підписувача відповідає відкритому ключу, зазначеному в сертифікаті.

 

! Використання ЕЦП не змінює порядку підписання договорів та інших документів, встановленого законом для здійснення правочинів у письмовій формі.

 

Також Закон № 852 передбачає, що підписувач зобов’язаний зберігати свій особистий ключ ЕЦП в таємниці. Це означає, що особа має накладати ЕЦП на електронні документи самостійно. Особистий ключ ЕЦП заборонено передавати іншій особі.

ЗАХИЩЕНІ НОСІЇ ЕЦП

Як уже було зазначено, під час використання ЕЦП важливо зберігати особистий ключ у таємниці, інакше його будуть уважати скомпрометованим, тобто таким, що використовують несанкціоновано. Закон України № 852 передбачає можливість зберігання особистих ключів ЕЦП на захищених носіях. Захищений носій особистих ключів — надійний засіб електронного цифрового підпису, призначений для зберігання особистого ключа, який має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на нього даних від несанкціонованого доступу (далі — НСД), від безпосереднього ознайомлення зі значенням параметрів особистих ключів та їх копіювання.

Останні зміни до Постанови Кабінету Міністрів України (далі — КМУ) від 28 жовтня 2004 року №1452 «Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності» передбачають, що для здійснення правочинів, надання адміністративних та інших послуг в електронній формі, здійснення інформаційного обміну з іншими юридичними особами органи державної влади, місцевого самоврядування та підприємства державної форми власності використовують виключно захищені носії.

! Захищені носії особистих ключів обов’язково використовують: державні реєстратори прав на нерухоме майно, державні реєстратори юридичних осіб, фізичних осіб — підприємців та громадських формувань, нотаріуси.

Слід завважити, що в листопаді поточного року набуде чинності Закон України «Про електронні довірчі послуги». На його основі розроблено проект постанови КМУ «Про Порядок використання електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, підприємствах, установах та організаціях державної форми власності». Передбачається, що державні установи для засвідчення чинності відкритого ключа використовують лише його кваліфікований сертифікат, а для реалізації повноважень, спрямованих на набуття, зміну чи припинення прав та (або) обов’язків фізичної чи юридичної особи відповідно до Закону України «Про електронні довірчі послуги», а також для здійснення інформаційного обміну з іншими юридичними особами застосовують виключно захищені носії особистих ключів.

Апаратні засоби захисту інформації: функції, алгоритми, протоколи

Інститут інформаційних технологій рекомендує такі апаратні засоби криптографічного захисту інформації:

— електронний ключ «Кристал-1»; виконаний у вигляді малогабаритного знімного USB-пристрою, який може мати програмний CCID-інтерфейс та електронний flash-диск (протокол USB Mass Storage);

— електронний ключ «Алмаз-1К»; виконаний у вигляді малогабаритного знімного USB-пристрою, який має програмний CCID-інтерфейс;

— електронний ключ «Кристал-1Д»; виконаний у вигляді малогабаритного знімного USB-пристрою. Засіб призначено для захисту службової інформації.

Зазначені ключі виконують такі функції:

 

«Кристал-1» – автентифікація оператора електронно-обчислювальної машини при доступі до ключа;
– генерація особистих і відкритих ключів для алгоритму ЕЦП;
– генерація особистих і відкритих ключів для протоколу розподілу ключів;
– генерація ключів для алгоритму шифрування та генерація випадкових послідовностей на основі апаратного генератора;
– зберігання особистих ключів у внутрішній пам’яті та захист їх від НСД;
– формування й перевірка ЕЦП;
– обчислення геш-функції;
– розподіл ключових даних на основі асиметричного протоколу розподілу;
– зберігання довільних даних у внутрішній пам’яті та захист їх від НСД;
– зберігання файлів у вбудованому електронному flash-диску та їх шифрування;
– контроль цілісності й працездатності вбудованого програмного забезпечення та ін.
«Алмаз-1К» – автентифікація оператора електронно-обчислювальної машини при доступі до ключа;
– генерація особистих і відкритих ключів для алгоритму ЕЦП;
– генерація особистих і відкритих ключів для протоколу розподілу ключів;
– генерація ключів для алгоритму шифрування та генерація випадкових послідовностей на основі апаратного генератора;
– зберігання особистих ключів у внутрішній пам’яті та захист їх від НСД;
– формування й перевірка ЕЦП;
– обчислення геш-функції;
– розподіл ключових даних на основі асиметричного протоколу розподілу;
– зберігання довільних даних у внутрішній пам’яті та захист їх від НСД;
– контроль цілісності й працездатності вбудованого програмного забезпечення та ін.
«Кристал-1Д» – автентифікація оператора електронно-обчислювальної машини при доступі до ключа;
– генерація ключів;
– зберігання ключів у внутрішній пам’яті та захист їх від НСД;
– формування й перевірка ЕЦП;
– розподіл ключових даних та шифрування даних;
– зберігання довільних даних у внутрішній пам’яті та захист їх від НСД;
– контроль цілісності й працездатності вбудованого програмного забезпечення та ін.

 

Для всіх зазначених засобів передбачено, що апаратна реалізація забезпечує захищеність процесу виконання криптографічних перетворень та внеможливлює доступ до особистих ключів із боку апаратного-програмного середовища.

Електронні ключі реалізують такі криптографічні алгоритми та протоколи:

— шифрування за ДСТУ 28147:2009 (режим простої заміни та режим вироблення імітовставки);

— ЕЦП за ДСТУ 4145-2002 (усі довжини ключів передбачає стандарт);

— гешування за ГОСТ 34.311-95;

— протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої (довжина ключа до 571 біту).

Особисті ключі генерують, зберігають і використовують лише всередині електронного ключа, вони жодним чином не потрапляють за його межі.

Зберігання особистих ключів та інших ключових даних здійснюється у внутрішньому постійному пристрої запам’ятовування електронного ключа.

Кейс

У системі електронного документообігу DEALS, завдяки якій контрагенти можуть підписувати документи в електронному вигляді за допомогою ЕЦП, було реалізовано рішення й передбачено можливість підписувати електронні документи ЕЦП, які зберігаються на захищених носіях.

Система DEALS стала першим вітчизняним рішенням, яке дало можливість використовувати електронні ключі «Кристал-1» та «Алмаз-1К» під час підписання електронних документів контрагентами. Апаратна реалізація забезпечує захищеність процесу виконання криптографічних перетворень та внеможливлює доступ до особистих ключів з боку апаратного програмного середовища. У такий спосіб електронні ключі «Кристал-1» та «Алмаз-1К» мають найвищий рівень захисту, а тому їх рекомендують використовувати всім підприємствам, установам та організаціям.

НОРМАТИВНО-ПРАВОВІ ДОКУМЕНТИ, ВИКОРИСТАНІ В СТАТТІ

Закон України від 22 травня 2003 року № 851-IV «Про електронні документи та електронний документообіг»

Закон України від 22 травня 2003 року № 852-IV «Про електронний цифровий підпис»

Постанова Кабінету Міністрів України від 28 жовтня 2004 року № 1452 «Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності».

 

Автор: ХРИСТИНА ВЕНГРИНЯК, юрист, експерт із питань електронного документообігу компанії Intecracy Deals

Джерело: Журнал «Діловодство та документообіг»