Електронний цифровий підпис

 

 

 

 

 

 

 

Закритий  ключ

Закритий ключ є найбільш вразливим компонентом всієї  криптосистеми цифрового підпису. Зловмисник, який вкрав закритий ключ користувача, може створити дійсний  цифровий підпис будь-якого електронного документа від імені цього  користувача. Тому особливу увагу потрібно приділяти способу зберігання закритого  ключа. Користувач може зберігати закритий ключ на своєму персональному комп'ютері, захистивши його за допомогою пароля. Однак такий спосіб зберігання має  ряд недоліків, зокрема, захищеність  ключа повністю залежить від захищеності  комп'ютера, і користувач може підписувати  документи лише на цьому комп'ютері.

В даний час існують  наступні пристрої зберігання закритого  ключа :

· Дискети 

· Смарт-карти

· USB-брелок

· Таблетки Touch-Memory

Крадіжка або втрата одного з таких пристроїв зберігання може бути легко помічена користувачем, після чого відповідний сертифікат може бути негайно відкликаний.

Найбільш захищений спосіб зберігання закритого ключа - зберігання на смарт-картці. Для того, щоб використовувати смарт-карту, користувачеві необхідно не тільки її мати, але й ввести PIN-код, тобто, виходить двофакторна аутентифікація. Після цього підписується документ або його хеш передається в карту, її процесор здійснює підписування хешу і передає підпис назад. У процесі формування підпису таким способом, не відбувається копіювання закритого ключа, тому весь час існує тільки єдина копія ключа. Крім того, зробити копіювання інформації зі смарт-карти складніше, ніж з інших пристроїв зберігання.

 

 

 

4. Підписування електронних документів різних форм

Підпис  в HTML-формі 

Така задача виникає при  встановленні засобів ЕЦП в системах, коли користувач працює через Web-браузер (MS IE). У таких системах діють наступним чином: створюється приховане hidden-поле у формі. Коли користувач натискає кнопку типу "підписати і відправити", відповідний скрипт обробника (наприклад, на VBScript) формує строкову змінну, в яку методом конкатенації записують важливу інформацію з ідентифікації документа і вміст текстових полів, які ввів користувач. Далі сформована стрічка підписується. Найчастіше використовуються методи об'єктів CAPICOM.dll, не відділений підпис. Підписана строкою змінна і є електронний документ. Підписаний документ (підписаний рядок) записується в hidden-полі і методом POST передається на сервер. Серверний додаток перевіряє підпис у змінній, отриманої з hidden-поля, і в залежності від результатів перевірки ЕЦП і змістовної частини електронного документа здійснює його подальшу обробку. Важливим моментом є збереження підписаного документа на сервер. Для цього, як правило, створюють таблицю в базі даних системи з двома полями: поле ключа і строкове поле з підписаним електронним документом.

Підпис  в базі даних 

Досить часто зустрічається  нефайлова форма подання електронного документа, а електронний документ - як сукупність записів в таблицях бази даних. Для підписання такого документа  значення полів записів в таблицях бази даних наводяться в рядковий тип, і за допомогою конкатенації, строкою формується змінна, що відображає істотну змістовну і ідентифікаційну частину документа. Саме цей рядок тепер вважається оригіналом електронного документа і підписується. Підписаний рядок зберігається у відповідній таблиці бази даних системи з двома полями: поле ключа документа і строкове поле, що містить підписаний електронний документ.

 

 

Підпис  документів у форматі XML

Якщо документ представлений  у форматі XML, то є кілька підходів до формування його підписів: формування ЕЦП XML-документів XMLdsig для Windows (MSXML5, MSXML6) з використанням Microsoft Office InfoPath 2007 - нової складової системи Microsoft Office; підпис XML-документа як звичайного файлу. Іноді для підпису в XML-документі в тезі документа створюють окремий атрибут, в який заноситься ЕЦП від символьного рядка змінної довжини, що містить значення атрибутів тега документа. Такий досить цікавий підхід до підпису XML-документа також зустрічається, і він є цілком легітимним.

Підпис  файлів у форматі PDF

Для формування і перевірки  ЕЦП і забезпечення юридичної  значимості електронних документів, які формуються в форматі PDF, компанія "крипто-ПРО" розробила спеціальний  продукт, званий "КріптоПро PDF". Він є модулем створення та перевірки ЕЦП і призначений для формування та перевірки ЕЦП в програмax Adobe Reader, Adobe Acrobat версії 7 і вище. "КріптоПро PDF" розроблений з використанням програмного інтерфейсу Adobe Systems Inc. і завірений електронним цифровим підписом компанії Adobe Systems.

Це дозволяє використовувати  сертифіковані засоби криптографічного захисту інформації "КріптоПро CSP "в продуктах Adobe Acrobat, Adobe Reader та Adobe LiveCycle ES. Важливе зауваження: "крипто-Про CSP" для перевірки ЕЦП не вимагає активації ліцензії, тобто працює безкоштовно. Досить просто встановити цей продукт і перевіряти підпис з використанням Adobe Reader.

Підпис  багатофайлових документів

Іноді документ може являти собою досить велику сукупність файлів. Наприклад, відомості про первинні документи для здійснення операцій в реєстрі власників інвестиційних паїв пайового фонду, отриманих від керуючої компанії. У цьому випадку можна формувати для кожного документа свою ЕЦП, а можна від цього відмовитися. Якщо з яких-небудь причин формування ЕЦП для кожного файлу документа неможливе, то створюють ще один файл текстового формату, в який записують ідентифікаційні дані документа і значення хеш-функцій для кожного файлу документа. Саме цей файл (картка документа) і підписують. Але в даному разі в системі повинен бути передбачений інструмент для користувача, що дозволяє розрахувати значення хеш-функцій для кожного файлу та порівняння обчислених значень з даними картки документа.

Цифрові сертифікати 

При використанні асиметричних методів шифрування (і, зокрема, електронного цифрового підпису) необхідно мати гарантію автентичності пари (ім'я  користувача, відкритий ключ користувача). Для вирішення цього завдання вводяться поняття цифрового  сертифікату та засвідчувального центру.

Засвідчувальний центр - це компонент глобальної служби каталогів, відповідальний за керування криптографічними ключами користувачів. Відкриті ключі та інша інформація про користувачів зберігається і засвідчується центрами у вигляді цифрових сертифікатів, що мають наступну структуру:

• порядковий номер сертифіката;
• ідентифікатор алгоритму електронного підпису;
• ім'я центра, що засвідчує;
• термін придатності;
• ім'я власника сертифіката (ім'я користувача, якому належить сертифікат);
• відкриті ключі власника сертифіката (ключів може бути декілька);
• ідентифікатори алгоритмів, асоційованих з відкритими ключами власника сертифіката;
• електронний підпис, згенерований з використанням секретного ключа центра, що засвідчує (підписується результат хешування всієї інформації, що зберігається в сертифікаті).

 

 

Цифрові сертифікати володіють  наступними властивостями:

• будь-який користувач, який знає відкритий ключ засвідчувального центру, може дізнатися відкриті ключі інших клієнтів центру і перевірити цілісність сертифіката;
• ніхто, крім центра, що засвідчує, не може модифікувати інформацію про користувача без порушення цілісності сертифікату.

Конкретна процедура генерації криптографічних ключів та управління ними не має чітко-встановленого опису, однак даються деякі загальні рекомендації. Зокрема, обговорюється, що пари ключів можуть породжуватися кожним із наступних способів:

• ключі може генерувати сам користувач. У такому випадку секретний ключ не потрапляє в руки третіх осіб, проте потрібно вирішувати задачу безпечного зв'язку з документом з центром;
• ключі генерує довірена особа. У такому випадку доводиться вирішувати завдання безпечної доставки секретного ключа власнику та надання довірених даних для створення сертифіката;
• ключі генеруються підтверджуючим центром. У такому випадку залишається тільки завдання безпечної передачі ключів власнику.

Цифрові сертифікати стали  не тільки формальним, але і фактичним  стандартом, що підтримується численними засвідчувальними центрами.

 

 

 

 

 

 

 

 

 

 

5. Юридичне забезпечення електронного підпису

Верховною Радою України  прийнято Закон України "Про електронний  цифровий підпис" від 22.05.2003 N 852-IV (далі - Закон). Відповідно до частини 1 статті 18 Закону, він набув чинності з 1 січня 2004 року.

Цей Закон визначає правовий статус електронного цифрового підпису (ЕЦП) та регулює відносини, що виникають  при використанні його.

Згідно зі статтею 1 Закону, електронний підпис - дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа.

Закон окреслює коло суб'єктів  правових відносин у сфері послуг електронного цифрового підпису, його призначення та особливості застосування.

Необхідно особливо підкреслити, що в реалізації цього Закону найбільш зацікавлені на поточний момент банківська система та податкова система  України, торгівля, тощо.

Відповідно до статті 4 Закону, електронний цифровий підпис призначений для забезпечення діяльності фізичних та юридичних осіб, яка здійснюється з використанням електронних документів.

Електронний цифровий підпис використовується фізичними та юридичними особами - суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.

Використання електронного цифрового підпису не змінює порядку  підписання договорів та інших документів, встановленого законом для вчинення правочинів у письмовій формі.

Нотаріальні дії із засвідчення  справжності електронного цифрового  підпису на електронних документах вчиняються відповідно до порядку, встановленого  законом.

Відповідно до статті 2 Закону, суб'єктами правових відносин у сфері послуг електронного цифрового підпису є:

• підписувач;
• користувач;
• центр сертифікації ключів;
• акредитований центр сертифікації ключів;
• центральний засвідчувальний орган;
• засвідчувальний центр органу виконавчої влади або іншого державного органу;
• контролюючий орган.

Електронний підпис не може бути визнаний недійсним лише через  те, що він має електронну форму  або не ґрунтується на посиленому сертифікаті ключа.

Відповідно до статті 6 Закону, сертифікат ключа містить такі обов'язкові дані:

• найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру);
• зазначення, що сертифікат виданий в Україні;
• унікальний реєстраційний номер сертифіката ключа;
• основні дані (реквізити) підписувача - власника особистого ключа;
• дату і час початку та закінчення строку чинності сертифіката;
• відкритий ключ;
• найменування криптографічного алгоритму, що використовується власником особистого ключа;
• інформацію про обмеження використання підпису.

Акредитований центр сертифікації ключів має право:

• надавати послуги електронного цифрового підпису та обслуговувати виключно посилені сертифікати ключів;
• отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формувати посилений сертифікат ключа, безпосередньо у юридичної або фізичної особи чи її представника.

Акредитований центр сертифікації ключів має виконувати усі зобов'язання та вимоги, встановлені законодавством для центру сертифікації ключів, та додатково зобов'язаний використовувати  для надання послуг електронного цифрового підпису надійні засоби електронного цифрового підпису.

Кабінет Міністрів України  за необхідності визначає засвідчувальний центр як центральний орган виконавчої влади для забезпечення реєстрації, засвідчення чинності відкритих ключів та акредитації групи центрів сертифікації ключів, які надають послуги електронного цифрового підпису цьому органу і підпорядкованим йому підприємствам, установам та організаціям.

Відповідно до статті 15 Закону, особи, винні у порушенні законодавства про електронний цифровий підпис, несуть відповідальність згідно з законом.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Висновок

Цифровий підпис забезпечує:

• Посвідчення джерела документа. В залежності від деталей визначення «документа» можуть бути підписані такі поля як автор, внесені зміни, мітка часу і т. д.
• Захист від змін документа. При будь-якому випадковому або навмисному зміні документа (або підпису) зміниться хеш, отже підпис стане недійсним.
• Неможливість відмови від авторства. Так як створити коректний підпис можна лише знаючи закритий ключ, а він відомий тільки власнику, то власник не може відмовитися від свого підпису під документом.