Страница 4: ДСТУ CWA 14365-1:2008. Настанова з використання електронних підписів. Частина 1. Юридичні та технічні аспекти (61884)

Для цифрового підпису, який засновано на сертифікаті відкритого ключа й вважають технічно до­стовірним (згідно з визначенням ISO цифрового підпису), необхідно довести, що цифровий підпис за­стосований у той час як сертифікат підписувача був чинний. Оскільки в багатьох випадках не можна покладатися на зазначений підписувачем час або знання того, коли підпис створено, то можна вико­ристовувати верхню межу часу, отриману у разі використання токена штемпеля часу або мітки часу, прикріплених до цифрового підпису:

  • Мітка часу — це запис у контрольному журналі безпеки, принаймні, що включає достовірне значення часу й геш-подання елемента даних.

  • Токен штемпеля часу — це підписана структура даних, яку випустив Орган штемпелювання часу й яка включає, принаймні, достовірне значення часу й геш-подання елемента даних.

Якщо використано штемпель часу або мітки часу, то для доказу, що цифровий підпис згенерова- но в той момент, коли діяв сертифікат підписувача, цифровий підпис варто перевірити на виконання двох умов:

  • токен штемпеля часу або мітка часу застосовані до закінчення періоду чинності сертифіката підписувача;

  • токен штемпеля часу або мітку часу застосовано або в момент, коли сертифікат підписувача ще не було скасовано, або до дати скасування сертифіката.

  1. Термін та визначення поняття електронний підпис

Стаття 2 Директиви 93/1999/ЕС

Визначення

Для цілей цієї Директиви:

  1. «електронний підпис» означає дані в електронній формі, які приєднані до або логічно пов’я­зані з іншими електронними даними і слугують методом автентифікації;

  2. «розширений електронний підпис» означає електронний підпис, що виконує такі вимоги:

  1. він унікально пов’язаний із підписувачем;

  2. він може ідентифікувати підписувача;

  3. його створено з використанням засобів, які підписувач може повністю контролювати;

  4. пов’язаний з даними таким чином, що можна легко виявити будь-яку наступну зміну даних.

Електронний підпис — це дані, прикріплені до або логічно пов'язані з (так звані окремі підписи) іншими електронними даними, які мають функцію, що допускає встановити зв’язок між підписаними даними й людиною. Цей зв’язок може слугувати тільки для оцінення присутності перед даними, знанням даних, прийняттям даних, оголошенням даних і/або джерелом/продукцією даних. Отже, електронний підпис — це набір цифрових процедур для підтвердження можливої юридичної значущості даних для конкретної людини або групи людей. Точну семантику електронного підпису визначають деякі інші за­соби.

Відповідно до статті 5.2 Директиви держави — члени ЄС мають визнавати юридичну значимість електронно підписаних даних. Для визначення правових меж юридичної значимості будь-яких технічних засобів для підписання, перевірки достовірності, підтвердження й прийняття цифрових даних у Дирек­тиві виділено категорію «електронні підписи».

У такий спосіб «електронний підпис» — це здебільшого юридичне поняття, тому вони існують тільки там, де юридична система допускає юридичну значимість цифрового доказу.

У юридичній науці зазвичай розрізняють факт і навмисну дію. У кожній юридичній системі межі між цими двома поняттями можуть істотно відрізнятися. Проте між документом з підписом, що має зна­чення навмисної дії, і документом, розглянутим тільки як доказ факту, є фундаментальна розбіжність, визнана в будь-якій юридичній системі. У багатьох юридичних системах рукописний підпис — це без­перечний доказ існування навмисного оголошення. В інших системах для оцінення існування навмис­ної дії треба розглянути більше аспектів.

Тому ці юридичні відмінності не можуть вплинути на технічні особливості електронного підпису, юридичну значимість електронного підпису визначають тільки в конкретній юридичній системі, у якій його застосовують.

Слід також зазначити, що за визначенням «електронний підпис» не пропонує використовувати асиметричну криптографію; можна застосовувати й симетричну криптографію. Фактично за визначен­ням навіть не потрібно використовувати криптографію, якщо виконано встановлені вимоги.

  1. Термін та визначення поняття розширений електронний підпис

Розширений електронний підпис — це електронний підпис, що виконує чотири вимоги безпеки, викладені вище й обведені у рамку у статті 2 розділу 5.2 Директиви. Вимоги сформульовано без при­в’язки до якої-небудь технології: несуттєво, якими технологічними засобами досягають мети безпеки. Тому визначення залишає простір для подальших нововведень у цій сфері.

Проте на практиці вкрай важко працювати з таким широким і не прив’язаним до якої-небудь тех­нології визначенням. У разі суперечки суддя, арбітр або експерт щоразу має перевірити, виконано чи ні чотири вимоги безпеки. Оскільки вимоги сформульовано досить узагальнено, залишається великий простір для особистих суджень, результат яких важко вгадати. Тому ця настанова прагне допомогти у визначенні юридичних наслідків технічних розбіжностей між електронними підписами загалом і розши­реними електронними підписами.

Технічна відмінність між електронними підписами й розширеними електронними підписами прямо не впливає на юридичну значимість цих підписів. Ці технічні відмінності можуть вплинути тільки на спосіб подання суду технічних доказів для визначення точної юридичної значимості підписаних даних.

Щоб одержати критерії відмінності розширеного підпису від електронного, потрібно не тільки про­сто виконувати чотири вимог, наведені у статті 2.2 Директиви. Можливі різні тлумачення статті 2.2. Тому необхідно проаналізувати різні вимоги розширеного електронного підпису.

  1. «Унікально пов’язаний з підписувачем» як найчастіше використовуваний нині механізм для його реалізації — це сертифікат аХ.509. Можливі такі унікальні посилання на підписувана:

  1. посилений сертифікат (Х509), який за визначенням завжди випускає третя довірена сторона;

  2. непосилений сертифікат Х509:

  1. випущений третьою довіреною стороною;

  2. випущений безпосередньо підписувачем;

  1. будь-який інший вид електронної атестації, що відповідає визначенню, установленому в статті 2.9 Директиви, тобто який поєднує дані верифікатора підпису з підписувачем і підтверджує їхню ідентичність підписувачеві (як можливу через надійні середовища, банківську справу, кліринг, телекомунікацію, ISP-служби тощо).

Зв’язок між розширеним електронним підписом і підписувачем створено за допомогою посилан­ня на сертифікат у підписі. Сам сертифікат також довільно можна прикласти до підписаного докумен­та. Це дає можливість підтверджувати електронний підпис, без потреби оп-Ііле-роботи і завантажен­ня даних верифікації підпису (SVD — Signature Verification Data) від провайдера послуг сертифікації (CSP — Certification Service Provider).

Незважаючи на орієнтацію цього документа переважно на інфраструктуру відкритих ключів Х.509 (РКІХ — Public Key Infrastructure), можливі й інші, засновані на Х.509 сертифікати, які можуть також відповідати умовам Директиви.

  1. «Здатний до ідентифікації підписувач»: Це означає, що має існувати можливість ідентифікації підписувана через переданий на розгляд сертифікат. Без наявності такої технічної особливості це буде тільки електронний (а не розширений електронний) підпис. Навіть якщо посилання на підписувана можна довести іншими засобами (наприклад звіти ISP, Е-свідок або запам’ятовування транзакції через мереж­ного провайдера), неможливо класифікувати такий підпис як розширений. Проте якщо CSP містить ан­кетні дані, які ідентифікують підписувала, то можна одержати посилання на нього, використовуючи псевдонім зі сертифіката.

  2. «Створене використання означає, що підпис може перебувати під його повним контролем». Ця вимога для керування доступом до засобу створення підпису (SCDEV), що містить дані про створен­ня підпису (SCD). Керування доступом реалізують так, щоб підписувач, використовуючи певну проце­дуру, міг переконатися в тому, що йогоЛї SCD і/або SCDev можна використовувати тільки для підписан­ня даних. Це означає, що підписувачеві так чи інакше, ймовірно, доведеться бути «активним» у захисті йогоЛї секретних даних.

(Примітка. Як визначено в Додатку III і потрібно для кваліфікованих електронних підписів, з надійним засобом накладання підпису (SSCD) від підписувана не потрібно жодних дій на підтримку таємниці йогоЛї SCD. Йому варто втриматися тільки від роз­криття даних активації його SCD, збережених у його SSCD).

У такий спосіб керування доступом для створення розширеного електронного підпису має такі характеристики:

  1. якщо SCDev — це незалежний засіб, що має лише одну функцію підписання даних, таку вимогу можна застосовувати тільки до SCDev;

  2. якщо SCDev — це багатофункціональний засіб, наприклад ПК, ноутбук, кишеньковий комп’ютер або мобільний телефон, вимогу має виконувати застосування створення підпису (SCA) і/або доступ до SCD;

  3. можна застосовувати резервну копію/відмовлення ключа зі спеціальними процедурами для взяття його під повний контроль підписувана;

  4. заборонено застосовувати умовне депонування ключа, оскільки за визначенням воно унемож­ливлює повний контроль над SCD.

Необхідно зазначити, що вимога про повний контроль унеможливлює використання симетричної криптографії, за якої секретний ключ відомий як підписувачеві, так і верифікатору

  1. «Так пов’язаний з даними, до яких він має стосунок, щоб було легко виявити будь-яку наступну їхню зміну». Це призводить до таких вимог:

  1. підписання справжнього подання даних. Зазвичай це реалізують підписанням криптографіч­ного гешування даних. Тільки задовольняючи певні якісні метрики, геш-функцІЇ можуть забез­печити надійний спосіб виявлення змін у підписаних даних. Тому не прийнятний, наприклад циклічний надлишковий контроль (CRC);

  2. особливості безпеки:

  1. алгоритм підписання має відповідати потрібній безпеці (алгоритм достатньої сили);

  2. ключові дані мають відповідати потрібній безпеці. Особливо треба убезпечити довжину ключа від грубих силових рішень «у лоб» та інших атак.

  1. Термін та визначення поняття кваліфікований електронний підпис

Стаття 5 Директиви 93/1999/ЕС

  1. Держави-члени мають гарантувати, що засновані на посиленому сертифікаті й накладені за­собом надійного створення розширені електронні підписи:

  1. виконують юридичні вимоги до підпису стосовно даних в електронній формі тим самим спо­собом, яким рукописний підпис виконує ці вимоги стосовно паперових даних; і

  2. прийнятні як доказ у процесуальних діях.

Щоб уникнути технічно і юридично складної оцінки доказу, у статті 5.1 Директиви 93/1999/ЕС уве­дено третій рівень підпису, який зазвичай називають «кваліфікований електронний підпис». Квалі­фіковані електронні підписи — це розширені електронні підписи, що виконують вимоги безпеки, пере­лічені у додатках Директиви. Вимоги стосуються вмісту (контенту) сертифіката, на якому засновано електронний підпис (додаток І), якості випускального цей сертифікат (додаток II) і технічних засобів, використовуваних для створення підпису (додаток III).

За наведеним у Директиві визначенням, кваліфікований електронний підпис — це, по-перше, роз­ширений електронний підпис.

Дотримуючись наведеного (зокрема) у статті 2.2 Директиви визначення й доповнюючи його вимо­гами, поданими в додатках I, IIІ III Директиви, до кваліфікованого електронного підпису висувають такі вимоги:

  1. кваліфікований електронний підпис має містити посилання на посилений сертифікат, випуще­ний CSP, що задовольняє вимогам додатка II;

  2. кваліфікований електронний підпис має допускати ідентифікацію підписувана за посиленим сертифікатом, на який посилається. Якщо використано псевдонім, відповідно до національного зако­нодавства, CSP може бути зобов'язаний показати особисті ідентифікувальні дані власника сертифіката;

  3. для створення кваліфікованого електронного підпису варто використовувати SSCD, Крім того, не можна використовувати умовне депонування ключа, оскільки воно за визначенням виключає повний контроль над SCD;

  4. кваліфікований електронний підпис має бути так пов’язаний із даними, яких він стосується, щоб можна було виявити будь-яку наступну зміну даних, як описано вище.

Проте найсуттєвіші відмінності мають юридичну природу і є наслідком формулювання статті 5.1 Директиви, у якій визначено не технічні засоби, а функціональні вимоги й вимоги безпеки. Тому покла­демося на формально обґрунтоване визначення відмінностей між розширеними й кваліфікованими елек­тронними підписами, щоб не ввести в оману.

Наслідок з юридичної точки зору можна сформулювати в такий спосіб: Це відповідальність одер­жувача підписаного повідомлення за перевірку того, що підпис дійсно є кваліфікованим елект­ронним підписом, і тому заслуговує на довіру як такий. Це можна описати так (посилаючись на попередній параграф):

  1. сертифікат, на який посилаються у підписаному повідомленні, варто ідентифікувати як посиле­ний (наприклад використовуючи розширення QC або посилаючись на політику QC);

  2. схема контролю має гарантувати, що посилений сертифікат, який випустив CSP, задовольняє вимоги, викладені у додатку II Директиви;

  3. використовувану для створення підпису технологію SSCD схвалено;

  4. якщо в сертифікаті заявлено політику «QC + SSCD», СА має гарантувати, що SCD утримуєть­ся в SSCD. Інакше треба якимосдь іншим способом забезпечити його одержувача.

5.5 Юридична значимість різних видів електронного підпису

Скачать бесплатно
Предыдущий документ
Следующий документ
Предыдущая страница
Следующая страница


Нормативні акти про охорону праці Основні законодавчі акти Будівельні норми і правила (ДБН, СНиП) Стандарти (ГОСТ, ДСТУ) Санітарні норми і правила Пожежна безпека (НАПБ) Інструкції з охорони праці Реестр НПАОП 2020-2021 - Нормативно-правові акти з охорони праці

Кодекс законов о труде украины О полномочии ООО "Виробнича лаборатория "Будстандарт" на проведение экспертизы субъектов строительной деятельности ГОСТ 25346-89 Единая система допусков и посадок НПАОП 0.00-4.33-99 (Попередня редакція) Положення щодо розробки планів локалізації та ліквідації аварійних ситуацій і аварій ГОСТ 14261—77 Кислота соляная особой чистоты технические условия ДСТУ 3961-2000 Аптечка медична автомобільна. Загальні вимоги / Аптечка медицинская автомобильная. Общие требования 2013 ГОСТ 6836-80 Серебро и серебряные сплавы. Марки ВСН 01-89 . Предприятия по обслуживанию автомобилей (Гипроавтотранс) Закон України "Про автомобільний транспорт" Закон України "Про загальнообов'язкове державне соціальне страхування на випадок безробіття"
ДК 009:2010 Класифікація видів економічної діяльності СТОРІНКА: 9 НПАОП 24.5-1.23-14 Правила охорони праці під час виробництва парфумерно-косметичної продукції СТОРІНКА: 2 НПБ 74 - 2003 Генераторы пены низкой и средней кратности ручные. СТОРІНКА: 2 ДСТУ Б В.2.7-146:2008 СТУ Б В.2.7-146:2008. Строительные материалы. Изделия поливинилхлоридные погонажные. Общие технические условия СТОРІНКА: 3 СНУ Збірник 12 СНУ-93. Сборник 12. Кровли. (отменен) СТОРІНКА: 15 СП 3.1.1295-03 Профилактика туберкулеза СТОРІНКА: 2 НПАОП 0.00-5.03-95 Типова інструкція з безпечного ведення робіт для кранівників (машиністів) стрілових самохідних (автомобільних, гусеничних, залізничних, пневмоколісних) кранів СТОРІНКА: 3 ГОСТ 22790-89 Сборочные единицы и детали трубопроводов на Ру св. 10 до 100 МПа (св. 100 до 1000 кгс/см.кв.). Общие технические условия СТОРІНКА: 4 ДСТУ Б В.2.7-112-2002 Цементи. Загальні технічні умови. Зміна N 3 СТОРІНКА: 2 НАПБ Б.02.013-2003 Положення про порядок розроблення, затвердження, перегляду, скасування та реєстрації нормативно-правових актів з питань пожежної безпеки СТОРІНКА: 4
Смотрите также
Закон України "Про забезпечення санітарного та епідемічного благополуччя населення"ДСТУ 2903:2005 Концентрати харчові сніданки сухі Наказ № 14 від 02.08.2002 Про організацію роботи Тендерного комітету Держжитлокомунгоспу УкраїниНПБ 239-97 Нормы пожарной безопасности воздуховоды