< Попер   ЗМІСТ   Наст >

Організаційне забезпечення електронного цифрового підпису

Організаційне забезпечення електронного цифрового підпису (ЕЦП) здійснюється відповідно до законодавства держави, на території якої використовується такий засіб ЕЦП. Якщо такого законодавства немає, правове регулювання в галузі застосування засобів ЕЦП здійснюється на основі нормативних актів адміністративних органів.

Необхідність сертифікації засобів ЕЦП

Засіб ЕЦП — це програмне і/чи апаратне забезпечення, призначене для генерації пари ключів (закритого й відкритого) та їх автоматизованого застосування під час шифрування або дешифрування електронного підпису. Оскільки від алгоритмів, на основі яких діє засіб ЕЦП, залежить надійність і стійкість документообігу, до засобів ЕЦП існують спеціальні вимоги.

Необхідність сертифікації відкритих ключів

Відкритий ключ тому й називається відкритим, що він доступний кожному з партнерів власника закритого ключа. Якщо в разі звертання від партнера Oksanlia до партнера Магу потрібен захищений канал зв'язку, то партнер Oksanka може скористатися відкритим ключем партнера Магу. Тоді він може бути відносно впевнений, що в каналі зв'язку повідомлення не перехоплять. Але залишається відкритим питання, чи веде цей канал справді до партнера Маrу! Є дуже простий прийом підміни відкритого ключа для створення помилкового каналу зв'язку. Припустімо, сторона Artu.ro бажає перехопити чужі дані. У цьому разі вона може за допомогою засобу ЕЦП створити собі пари ключів й опублікувати відкритий ключ нібито від імені партнера Маrу. Тоді всі повідомлення від партнера Oksanka до партнера Маrу перехоплюватимуться і читатимуться стороною Artиrо, причому ні Oksanka, ні Магу навіть не здогадуватимуться про те, що Arturo бере участь у "договірних" відносинах.

Наведений приклад ілюструє лише найпростішу форму зловживання, бо хоча у відкритому ключі й наводяться дані про його власника, у ньому немає засобів, які засвідчують справжність цих даних. Без вирішення цього питання механізм ЕЦП не можна використовувати ні в електронній комерції, ні в електронному документообігу.

Значна частина державних законодавчих актів, що стосуються електронних цифрового підпису, комерції та документообігу, присвячена механізму посвідчення особи власника відкритого ключа. В усіх випадках цей механізм ґрунтується на тому, що вводиться (призначається) додаткова сторона, яка засвідчує належність відкритого ключа конкретній юридичній або фізичній особі.

Хто саме має право засвідчувати відкриті ключі, коли і як, у законодавствах різних держав вирішується по-різному. Зокрема, це може бути державний орган або організація, уповноважена державою для ведення такої діяльності. Можливо, що для внутрішнього документообігу підприємства цю функцію можна доручити особі, призначеній керівництвом, а для документообігу всередині відомства -- уповноваженому підрозділу.

Поняття електронного сертифіката

На практиці сертифікація відкритих ключів виконується в такий спосіб.

Особа (юридична або фізична), що створила собі пару ключів (відкритий і закритий) за допомогою засобу ЕЦП, має звернутися в орган, уповноважений виконати сертифікацію. Цей орган називається Центром сертифікації (Certification Authority, СА).

Центр сертифікації перевіряє належність відкритого ключа заявнику і засвідчує цей факт додаванням до відкритого ключа свого підпису, зашифрованого власним закритим ключем.

Будь-який партнер, що бажає вступити в контакт із власником відкритого ключа, може прочитати засвідчувальний запис за допомогою відкритого ключа центру сертифікації. Якщо цілісність цього запису не порушена і він довіряє центру сертифікації, то може використовувати відкритий ключ партнера для зв'язку з ним.

Слід звернути увагу, що центр сертифікації завіряє тільки факт належності відкритого ключа конкретній особі чи організації. У літературі існують некоректні твердження про те, що центр сертифікації нібито завіряє сумлінність власника відкритого ключа. Насправді, сертифікація відкритого ключа не стосується сумлінності, платоспроможності, ретельності й будь-яких інших ділових якостей його власника. Приклад — загальногромадянський паспорт. Це засіб посвідчення тільки особи його власника. Паспорт не може і не має містити які-небудь дані, що характеризують свого власника. Для цього є інші засоби. Наявність повноцінного сертифіката відкритого ключа говорить про те, що ключ можна використовувати для посвідчення особи партнера. Але доцільність цих відносин центром сертифікації не засвідчується.

 
< Попер   ЗМІСТ   Наст >