Політика підписання може бути неявною або явною. Політику підписання можна надавати як частину підписаного документа, поза передачею або іншими способами. Політику підписання можна явно ідентифікувати або передбачати семантикою підписуваних даних і/або інших зовнішніх даних, як за контрактом, на який посилаються і який сам посилається на політику підписання, так і за допомогою контексту підписання. У явної політики підписання для відкритого використання є глобально унікальне посилання, яке підписувач зв’язав з електронним підписом як частину обчислення підпису.
Політика підписання може включати таке:
правила побудови/перевірки шляху сертифіката (включаючи вказівку використовуваних довірених кореневих сертифікатів);
правила використання інформації про статус скасування (наприклад CRL або відповіді OCSP);
правила використання синхронізації інформації, маркування часу й/або штемпелів часу;
дані перевірки підпису, надані підписувачем;
дані перевірки підпису, зібрані верифікатором.
Політика підписання також може включати:
період, протягом якого можна виконувати підписи з цією політикою;
список розпізнаних типів фіксації транзакції;
правила використання ролей підписувана;
будь-які обмеження на алгоритми підпису й довжину ключа;
інші правила політики підписання, яким має задовольняти мета підпису.
Доказ в органі реєстрації
Мінімальних елементів, яких вимагає додаток І Директиви, не досить, щоб чітко й однозначно ідентифікувати власника сертифіката.
Орган реєстрації (ИА),який діє від імені CSP, може зберігати реєстраційну інформацію, надану під час реєстрації. Наявного в сертифікаті імені підписувана не завжди вистачає для його однозначної ідентифікації.
У такому разі спочатку надана частина інформації може (або має відповідно до національного законодавства) однозначно ідентифікувати особу. Це також потрібно для використання псевдоніма.
Отже, навіть ідентичність підписувана є інформацією, не обов’язково надаваною підписом (навіть некваліфікованим електронним підписом), це потрібно, щоб можна було послатися на джерела інформації, що не обов’язково містяться в підписаних даних.
Доказ недоступності через підписане повідомлення
Наступний «нетехнічний» доказ потрібен для встановлення контексту створення підпису, і таким чином, становить необхідний доказ для електронного підпису, аналогічно оголошенню схвалення через навмисну дію:
документ підписаний як навмисна дія. Незалежно від технічних доказів підписувана однаково могли обдурити або змусити підписатися під примусом;
підписувач читав і зрозумів завершений документ. Хоча технічне середовище створення підпису дає можливість йому читати завершений документ, воно не може змусити його зробити це. Крім того, необхідно встановити, що документ написаний мовою, зрозумілою підписувану.
Можуть знадобитися такі додаткові докази:
місце підписання. Для деяких договірних ситуацій це суттєво і це треба доводити;
юридична система, застосовувана для підписаного документа.
Для документів, підписаних кількома підписувачами, може також знадобитися встановити порядок підписання й присутність усіх підписувачів у тому самому місці на момент підписання.
Код УКНД 03.160; 35.040; 35.240.60
Ключові слова: автентифікація, відкритий ключ, Директива Європарламенту 1999/93/ЕС, електронний цифровий підпис, кваліфікований електронний підпис, неспростовність, посилений сертифікат, послуги сертифікації.
Редактор О. Перевозчикова
Технічний редактор О. Касіч
Коректор Т. Нагарна
Верстальник С. Павленко
Підписано до друку 17.08.2009. Формат 60 х 84 1/8.
Ум. друк. арк. 2,79. Зам. У <73 6 Ціна договірна.
Виконавець
Державне підприємство «Український науково-дослідний і навчальний центр
проблем стандартизації, сертифікації та якості» (ДП «УкрНДНЦ»)
вул. Святошинська, 2, м. Київ, 03115
Свідоцтво про внесення видавця видавничої продукції до Державного реєстру
видавців, виготівників і розповсюджувачів видавничої продукції від 14.01.2006 р., серія ДК, № 1647
