НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

НАСТАНОВА
З ВИКОРИСТАННЯ
ЕЛЕКТРОННИХ ПІДПИСІВ

Частина 1. Юридичні та технічні аспекти

(CWA 14365-1:2004, IDT)

ДСТУ CWA 14365-1:2008

БЗ № 1-2009/11


Видання офіційне




















Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2009

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20) та Інститут кібернетики ім. В,Глушкова НАН України

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Гречко, канд. фіз.-мат. наук; О. Перевозчикова, чл.-кор. НАНУ, д-р фіз.-мат. наук (науковий керівник)

2 НАДАНО ЧИННОСТІ: наказ Держспоживстандарту України від 22 грудня 2008 р, № 488 з 2009-04-01

З Національний стандарт відповідає CWA 14365-1:2004 Guide on the Use of Electronic Signatures — Part 1: Legal and Technical Aspects (Настанова з використання електронних підписів. Частина 1. Юри­дичні та технічні аспекти)

Ступінь відповідності — ідентичний (ЮТ)

Переклад з англійської (еп)

4 УВЕДЕНО ВПЕРШЕ

Право власності на цей документ належить державі.
Відтворювати, тиражувати І розповсюджувати його повністю чи частково
на будь-яких носіях інформації без офіційного дозволу заборонено.
Стосовно врегулювання прав власності треба звертатися до Держспоживстандарту України

Держспоживстандарт України, 2009

ЗМІСТ

с.

Національний вступ IV

Передмова до CWA14365-1:2004 IV

  1. Сфера застосування 1

  2. Посилання 2

    1. Нормативні посилання 2

    2. Довідкові посилання 2

З Терміни та визначення понять та абревіатури З

  1. Терміни та визначення понять „ З

  2. Абревіатури З

  1. Електронний підпис з технічної та юридичної точок зору 5

    1. Технічне визначення послуг захисту 5

    2. Підписи з юридичної точки зору 6

      1. Технічні та юридичні аспекти 6

      2. Підписи з функціональної точки зору 6

      3. Потреба нетехнічного доказу 7

      4. Особливості функціональних підписів 8

  2. Порівняння визначень підписів 9

    1. Термін та визначення поняття цифровий підпис 9

    2. Термін та визначення поняття електронний підпис 10

    3. Термін та визначення поняття розширений електронний підпис 11

    4. Термін та визначення поняття кваліфікований електронний підпис 12

    5. Юридична значимість різних видів електронного підпису 13

  3. Випадки використання некваліфікованого електронного підпису 13

    1. Компоненти кваліфікованих електронних підписів 14

    2. Розширений електронний підпис без SSCD 15

    3. Розширений електронний підпис без посиленого сертифіката 17

    4. Цифровий підпис без подання даних 18

  4. Доказ для електронних підписів 20

    1. Докази, наявні у підписаних даних 20

    2. Наявні у сертифікаті докази 20

    3. Докази, наявні у політиці сертифікації та/або CPS 21

    4. Доказ щодо статусу сертифіката 21

    5. Докази, наявні у політиці підписання 21

    6. Доказ в органі реєстрації 22

    7. Доказ недоступності через підписане повідомлення 22

НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт є тотожний переклад CWA 14365-1:2004 Guide on the Use of Electronic Signatures — Part 1: Legal and Technical Aspects (Настанова з використання електронних підписів. Частина 1. Юри­дичні та технічні аспекти).

Технічний комітет, відповідальний за цей стандарт в Україні, — «Інформаційні технології» ТК 20.

Сфера застосування цього стандарту охоплює електронні цифрові підписи, що не виконують усі визначені у статті 5.1 Директиви Європарламенту 1999/93/ЕС вимоги до кваліфікованих елект­ронних підписів. Тому в стандарті проаналізовано розбіжності між криптографічним механізмом ци­фрових підписів, кваліфікованих електронних підписів (відповідно до статті 5.1 Директиви) й елект­ронних підписів (відповідно до статті 5.2 Директиви) у середовищах електронної комерції або в інших сферах, які потребують засобів автентифікації.

До стандарту внесено такі редакційні зміни:

  • слова «CWA 14365» замінено на «цей стандарт»;

  • структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ» «Тер­міни та визначення понять», першу сторінку та «Бібліографічні дані» — оформлено згідно з вимога­ми національної стандартизації України;

  • у розділі 2 «Посилання» наведено «Національне пояснення», виділену в тексті рамкою;

  • у «Передмові CWA 14365-1:2004» наведено «Національну примітку», виділену в тексті рамкою;

  • у розділі 6 текст «ЕггогІ Objects cannot be created from field codes» замінено словом «Рисунок».

Копії міжнародних стандартів, на які є посилання в цьому стандарті можна замовити у Голов­ному фонді нормативних документів.

ПЕРЕДМОВА ДО CWA 14365-1:2004

Успішне впровадження Директиви 1999/93/ЕС Європарламенту від 13 грудня 1999 р. у комуні­каційному середовищі для електронних цифрових підписів (Dir. 1999/93/ІЕС) вимагає стандартів для послуг, процесів, систем і продукції, які стосуються ЕЦП, як і настанов для оцінювання відповід­ності таких послуг, процесів, систем і продукції.

  • 1999 р. Європейська ІСТ Рада стандартів, за підтримки Єврокомісії, ініціативно звела разом промисловість і громадські органи, експертів й інших гравців ринку, щоб запровадити Європейську Ініціативу стандартизації електронних цифрових підписів (EESSI).

У рамках цієї структури Європейський комітет стандартизації/ Система стандартизації Інфор­маційного суспільства (CEN/ISSS) та Інститут європейських стандартів телекомунікації/ Інститут елек­тронних підписів та інфраструктури (ETSI/ESI) довірили виконання робочої програми для розвитку загальноприйнятих стандартів на підтримку виконання Директиви 1999/93/ЕС і поширення Європейської інфраструктури ЕЦП.

Робоча група CEN/ISSS з електронних підписів (WS/E-SIGN) напрацювала набір комплектувальних вузлів, тобто Угоди робочої групи CEN (CWA), які зробили свій внесок у напрямку цих загальнови­знаних стандартів. Цей документ одна з таких CWA.

Мета цієї серії CWA полягає в забезпеченні настанови з використання електронних підписів. Дотепер у фокусі розгляду найчастіше перебували «кваліфіковані електронні підписи», визначені в статті 5.1 Директиви 1999/93/ЕС, побічним ефектом чого стало те, що вимоги про використання загальних електронних підписів (так званих «5.2 підписів») в електронній комерції розглянуто недо­статньо.

Тому мета цієї частини CWA полягає в описі загальних юридичних і технічних аспектів елект­ронних підписів, і в такий спосіб розширенні роботи над сценаріями електронної комерції, з особли­вою увагою до технології з високою здатністю розгортання, що викликає довіру без потреби у задово­ленні всіх строгих вимог до «5.1 підписів».

Цю частину CWA призначено для використання юридичними й технічними експертами в сфері електронних підписів, а також розробниками систем і продуктів у цій сфері.

Серія CWA складається з таких частин:

  • Частина 1. Юридичні та технічні аспекти.

  • Частина 2. Профіль захисту для програмних засобів накладання підпису.

Версію цієї частини CWA видано в березні 2004 року.

З переліком осіб і організацій, які підтримали технічну угоду, представлену цією CEN, можна ознайомитися в Центральному секретаріаті CEN.

Національна примітка.

EESSI

— European Electronic Signature Standardization Initiative.

CEN/ISSS

— Information Society Standardization

ETSI/ESI

— Electronic Signatures and Infrastructures

CWA

— CEN Workshop Agreements

CEN

— Європейський комітет стандартизації

ДСТУ CWA 14365-1:2008

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

НАСТАНОВА З ВИКОРИСТАННЯ
ЕЛЕКТРОННИХ ПІДПИСІВ
Частина 1. Юридичні та технічні аспекти

РУКОВОДСТВО ПО ИСПОЛЬЗОВАНИЮ
ЭЛЕКТРОННЫХ ПОДПИСЕЙ

Часть 1. Юридические и технические аспекты

GUIDE ON THE USE OF
ELECTRONIC SIGNATURES
Part 1. Legal and Technical Aspects

Чинний від 2009-04-01

  1. СФЕРА ЗАСТОСУВАННЯ

Директива 1999/93/ЕС Європарламенту від 13 грудня 1999 р. за структурою співтовариства для електронних підписів [Dir.1999/93/ЕС] — тут і далі Директива — встановлює правові рамки для елек­тронних підписів і послуг сертифікації, щоб сприяти їхньому офіційному визнанню. Як визначено у статті 5.1, електронні підписи, що задовольняють певні якісні показники, так звані кваліфіковані електронні підписи, виконують вимоги до рукописних підписів. У статті 5.2 наведено підсумкову умову, коли електронним підписам не відмовлено у юридичній ефективності й допустимості як доказу у процесуальних діях, навіть якщо не виконано якісних показників кваліфікованих електронних підписів.

Сфера застосування цього стандарту охоплює електронні підписи, що не задовольняють усі ви­значені у статті 5.1 Директиви вимоги до кваліфікованих електронних підписів. Тому в стандарті про­аналізовано розбіжності між криптографічним механізмом цифрових підписів, кваліфікованими елект­ронними підписами (відповідно до статті 5.1 Директиви) й електронними підписами (відповідно до статті 5.2 Директиви). Крім того, щоб зазначити їхню ефективність у середовищах електронної комерції або в інших сферах, де необхідні заходи автентифікацІЇ, обговорено випадки використання електронних підписів, що не виконують деякі встановлені в статті 5.1 вимоги.

Крім випадків використання, обговорено доказ, надаваний електронними підписами. Електронні підписи й послуги сертифікації поділено на основні елементи, а потім наданий кожним елементом до­каз обговорено з юридичної точки зору, щоб установити зв'язок між технічними елементами та їхнім юридичним ефектом.

Частина 2 цього стандарту містить профіль захисту (РР) для програмних засобів накладання підпису [SCDev-PP], що підходять для таких загальних електронних підписів. Цей профіль захисту по­трібен за умовами загального критерію (СС) [ISO 15408]. Він заснований на [SSCD РР], розробленому як стандарт для засобів, здатних створювати кваліфіковані електронні підписи.

Хоча СС РР обрано, щоб підкреслити додану вартість незалежного оцінювання наданих SCDev заходів безпеки, інші критерії оцінки також можуть служити цій меті. Приклади таких критеріїв наведено в [FIPS 140-2] або [ITSECJ.

Видання офіційне

  1. ПОСИЛАННЯ

    1. Нормативні посилання

Наступні нормативні документи містять умови, які через посилання в цьому тексті становлять умови цього стандарту; ці публікації не застосовують до застарілих посилань, наступних змін або пе­реглядів. Однак сторони, дійшовши угод, заснованих на цьому стандарті, можуть вивчити можливість застосування нових випусків зазначених нижче нормативних документів. Для недатованих посилань наведено останні видання нормативного документа.

[Dir. 1999/93/ЕС] Directive 1999/93/ЕС of the European Parliament and of the Council of 13 December 1999 on a community framework for electronic signatures

[SSCD PP] CEN/ISSS WS/E-Sign Workshop Agreement 14169: Security Requirements of Secure Signature Creation Devices (SSCD), March 2002

[SCDev-PP] CEN/ISSS WS/E-Sign Workshop Agreement 14365-2: Protection Profile for Software Signature-Creation Devices

[ISO 15408] ISO/IEC 15408-1 to 15408-3: Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model, Part 2: Security functional requirements, Part 3: Security assurance requirements, 1999.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

[Dir.1999/93/ЕС] Директива 1999/93/ЕС Європарламенту від 13 грудня 1999 р. про комунікаційне середовище для електронних підписів

[SSCD PP] CEN/ISSS WS/E-Sign Угода симпозіуму 14169: Вимоги безпеки для безпечних засобів накладання підписів (SSCD), березень 2002

[SCDev-PP] CEN/ISSS WS/E-Sign Угода симпозіуму 14365-2: Профіль захисту для програмних за­собів накладання підписів

[ISO 15408] від ISO/IEC 15408-1 до 15408-3: Інформаційні технології. Методи захисту. Критерії оці­нювання IT-безпеки. Частина 1. Вступ і загальна модель, Частина 2. Функціональні вимоги безпеки, Частина 3. Вимоги гарантій безпеки, 1999.

  1. Довідкові посилання

[CWA14170] CEN/ISSS WS/E-Sign Workshop Agreement 14170: Security Requirements for Signature Creation Applications

[CWA 14171] CEN/ISSS WS/E-Sign Workshop Agreement 14171: Procedures for Electronic Signature Verification

[EEC 1980/934] Convention on the law applicable to contractual obligations opened for signature in Rome on 19 June 1980, 80/934/EEC, Official Journal L266

[FIPS 140-2] NIST: Security Requirements for Cryptographic Modules, Federal Information Processing Standard FIPS PUB 140-2, 2001

[HCCH] Hague Conference on Private International Law: Status of the Hague Conventions, online avail, at http://www.hcch.net/

[ISO 10181-2] ISO/IEC 10181-2: Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework, 1996

[ISO 10181-4] ISO/IEC 10181-4: Information technology — Open Systems Interconnection — Security frameworks for open systems: Non-repudiation framework, 1997

[ISO 13888-1] ISO/IEC 13888-1: Information technology — Security techniques — Non-repudiation — Part 1: General, 1997

[ISO 7498-2] ISO 7498-2: Information processing systems — Open Systems Interconnection — Basic Reference Model — Part 2: Security Architecture, 1989

[ITSEC] Commission of the European Communities: Information Technology Security Evaluation Criteria (ITSEC), Version 1.2,1991

[TS 101456] ETSI: Policy requirements for certification authorities issuing qualified certificates, TS 101 456, v1,1.1, January 2002

[TS 101733] ETSI: Electronic Signature Formats», ETSI TS 101 733, vl.2.2, December 2000

[TS 101862] ETSI: Qualified Certificate Profile, ETSI TS 101 862, v1.2.1, June 2001

[TS 101903] ETSI: XML advanced Electronic Signatures, ETSI TS 101 903, vl.1.1, February 2002[TS 102 0381ETSI: XML Formats for Signature Policies, ETSITR 102 038 v0.0.3, December 2001

[UNCISG] United Nations: United Nations Convention on Contracts for the International Sale of Goods, 1980 [SMIME] B. Ramsdell: S/MIME Version 3 Message Specification, RFC 2633,1999

[SSL] A.O. Freier, P. Karlton, PC, Kocher: SSL Protocol, Version 3.0. Netscape Communications Corp., 1996 [TLS] T. Dierks and C. Allen: The TLS Protocol Version 1.0, RFC 2246,1999.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

[CWA 14170] CEN/ISSS WS/E-Sign Угода симпозіуму 14170: Вимоги безпеки для застосувань для створення підпису

[CWA14171] CEN/ISSS WS/E-Sign Угода симпозіуму 14171: Процедури для верифікації електрон­них підписів

[ЕЭС 1980/934] Конвенція про закон, застосовний до договірних зобов’язань, відкритих для підписів у Римі 19 червня 1980, 80/934/ЕЕС, Офіційний журнал L266

[FIPS 140-2] NIST: Вимоги безпеки для криптографічних модулів, Федеральний стандарт оброб­лення інформації FIPS PUB 140-2,2001

[НССН] Гаагська конференція з міжнародного цивільного права: Статус Гаазької угоди, онлайн до­помога. в http://www.hcch.net/