Відмінності між версіями «Електронний цифровий підпис»

Матеріал з Wiki TNEU
Перейти до: навігація, пошук
Рядок 1: Рядок 1:
 
 
== Визначення поняття "цифровий електроний підпис" ==
 
== Визначення поняття "цифровий електроний підпис" ==
  
Рядок 25: Рядок 24:
  
 
Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа.
 
Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа.
 +
 +
== Призначення "ЕЦП" ==
  
 
Електронний цифровий підпис призначений для забезпечення діяльності фізичних та юридичних осіб, яка здійснюється з використанням електронних документів. Він використовується фізичними та юридичними особами - суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.
 
Електронний цифровий підпис призначений для забезпечення діяльності фізичних та юридичних осіб, яка здійснюється з використанням електронних документів. Він використовується фізичними та юридичними особами - суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.

Версія за 13:03, 6 червня 2011

Зміст

Визначення поняття "цифровий електроний підпис"

Електронний цифровий підпис (ЕЦП) (Digital signature) — вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа

Надійний засіб електронного цифрового підпису — засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.

Одним із елементів обов'язкового реквізиту є електронний підпис, який використовується для ідентифікації автора та/або підписувача електронного документа іншими суб'єктами електронного документообігу.

Оригіналом електронного документа вважається електронний примірник з електронним цифровим підписом автора.

Електронний підпис - дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних;

Електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа.

Особистий ключ - параметр криптографічного алгоритму формування електронного цифрового підпису, доступний тільки підписувачу.

Відкритий ключ - параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний суб'єктам відносин у сфері використання електронного цифрового підпису;

Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо:

   * електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;
   * під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису;
   * особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.

Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа.

Призначення "ЕЦП"

Електронний цифровий підпис призначений для забезпечення діяльності фізичних та юридичних осіб, яка здійснюється з використанням електронних документів. Він використовується фізичними та юридичними особами - суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі. Використання електронного цифрового підпису не змінює порядку підписання договорів та інших документів, встановленого законом для вчинення правочинів у письмовій формі.

Нотаріальні дії із засвідчення справжності електронного цифрового підпису на електронних документах вчиняються відповідно до порядку, встановленого законом.

Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності для засвідчення чинності відкритого ключа використовують лише посилений сертифікат ключа. Інші юридичні та фізичні особи можуть на договірних засадах засвідчувати чинність відкритого ключа сертифікатом ключа, сформованим центром сертифікації ключів, а також використовувати електронний цифровий підпис без сертифіката ключа.

Сертифікат ключа- документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачу. Сертифікати ключів можуть розповсюджуватися в електронній формі або у формі документа на папері та використовуватися для ідентифікації особи підписувала. Посилений сертифікат ключа - сертифікат ключа, виданий акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом.

Розподіл ризиків збитків, що можуть бути заподіяні підписувачам, користувачам та третім особам, які користуються електронними цифровими підписами без сертифіката ключа, визначається суб'єктами правових відносин у сфері послуг електронного цифрового підпису на договірних засадах. Захист прав споживачів послуг електронного цифрового підпису, а також механізм реалізації захисту цих прав регулюються цим Законом та Законом України "Про захист прав споживачів".

У випадках, коли відповідно до законодавства необхідне засвідчення дійсності підпису на документах та відповідності копій документів оригіналам печаткою, на електронний документ накладається ще один електронний цифровий підпис юридичної особи, спеціально призначений для таких цілей.

Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності визначається Кабінетом Міністрів України.

Порядок застосування цифрового підпису в банківській діяльності визначається Національним банком України.


Вимоги до сертифіката ключа

Сертифікат ключа містить такі обов'язкові дані:

   * найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру);
   * зазначення, що сертифікат виданий в Україні;
   * унікальний реєстраційний номер сертифіката ключа;
   * основні дані (реквізити) підписувача - власника особистого ключа;
   * дату і час початку та закінчення строку чинності сертифіката;
   * відкритий ключ;
   * найменування криптографічного алгоритму, що використовується власником особистого ключа;
   * інформацію про обмеження використання підпису.

Посилений сертифікат ключа, крім обов'язкових даних, які містяться в сертифікаті ключа, повинен мати ознаку посиленого сертифіката ключа. Інші дані можуть вноситися у посилений сертифікат ключа на вимогу його власника. 3. Суб’єкти відносин у сфері послуг електронного цифрового підпису

1) Підписувач

Має право:

   * вимагати скасування, блокування або поновлення свого сертифіката ключа;
   * оскаржити дії чи бездіяльність центру сертифікації ключів у судовому порядку

Зобов’язаний:

   * зберігати особистий ключ у таємниці;
   * надавати центру сертифікації ключів дані згідно з вимогами цього Закону для засвідчення чинності відкритого ключа;
   * своєчасно надавати центру сертифікації ключів інформацію про зміну даних, відображених у сертифікаті ключа


== Центр сертифікації ключів == (ЦСК)

ЦСК може бути юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги електронного цифрового підпису та засвідчила свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі з дотриманням вимог цього Закону. Обслуговування фізичних та юридичних осіб здійснюється ЦСК на договірних засадах.

Має право:

   * надавати послуги електронного цифрового підпису та обслуговувати сертифікати ключів;
   * отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування сертифіката ключа безпосередньо у юридичної або фізичної особи чи у її уповноваженого представника. 

Зобов’язаний:

   * забезпечувати захист інформації в автоматизованих системах відповідно до законодавства;
   * забезпечувати захист персональних даних, отриманих від підписувача, згідно з законодавством;
   * встановлювати під час формування сертифіката ключа належність відкритого ключа та відповідного особистого ключа підписувачу;
   * своєчасно скасовувати, блокувати та поновлювати сертифікати ключів у випадках, передбачених Законом;
   * своєчасно попереджувати підписувача та додавати в сертифікат відкритого ключа підписувача інформацію про обмеження використання електронного цифрового підпису, які встановлюються для забезпечення можливості відшкодування збитків сторін у разі заподіяння шкоди з боку центру сертифікації ключів;
   * перевіряти законність звернень про скасування, блокування та поновлення сертифікатів ключів та зберігати документи, на підставі яких були скасовані, блоковані та поновлені сертифікати ключів;
   * цілодобово приймати заяви про скасування, блокування та поновлення сертифікатів ключів;
   * вести електронний перелік чинних, скасованих і блокованих сертифікатів ключів;
   * забезпечувати цілодобово доступ користувачів до сертифікатів ключів та відповідних електронних переліків сертифікатів через загальнодоступні телекомунікаційні канали;
   * забезпечувати зберігання сформованих сертифікатів ключів протягом строку, передбаченого законодавством для зберігання відповідних документів на папері;
   * надавати консультації з питань, пов'язаних з електронним цифровим підписом.

Зберігання особистих ключів підписувачів та ознайомлення з ними в центрі сертифікації ключів забороняються.


Акредитований центр сертифікації ключів (АЦСК) - ЦСК, акредитований в установленому порядку

Має право:

   * надавати послуги електронного цифрового підпису та обслуговувати виключно посилені сертифікати ключів;
   * отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування посиленого сертифіката ключа, безпосередньо у юридичної або фізичної особи чи її представника.

Зобов’язаний:

виконувати усі зобов'язання та вимоги, встановлені законодавством для ЦСК, та додатково зобов'язаний використовувати для надання послуг електронного цифрового підпису надійні засоби електронного цифрового підпису.

Порядок акредитації та вимоги, яким повинен відповідати акредитований центр сертифікації ключів, встановлюються Кабінетом Міністрів України.


Засвідчувальний центр (ЗЦ)

Кабінет Міністрів України за необхідності визначає ЗЦ центрального органу виконавчої влади для забезпечення реєстрації, засвідчення чинності відкритих ключів та акредитації групи центрів сертифікації ключів, які надають послуги електронного цифрового підпису цьому органу і підпорядкованим йому підприємствам, установам та організаціям.

Інші державні органи за необхідності, за погодженням з Кабінетом Міністрів України, визначають свої ЗЦ, призначені для виконання таких функцій.

ЗЦ щодо групи ЦСК, має ті ж функції і повноваження, що й центральний засвідчувальний орган стосовно ЦСК.

ЗЦ відповідає вимогам, встановленим законодавством для АЦСК.

ЗЦ реєструється, засвідчує свій відкритий ключ і акредитується у центральному засвідчувальному органі.

Положення про ЗЦ центрального органу виконавчої влади затверджується Кабінетом Міністрів України.


Центральний засвідчувальний орган (ЦЗО)

ЦЗО визначається Кабінетом Міністрів України.

Повноваження:

   * формує і видає посилені сертифікати ключів ЗЦ і ЦСК з дотриманням вимог, встановлених Законом «Про електронний цифровий підпис»;
   * блокує, скасовує та поновлює посилені сертифікати ключів ЗЦ та ЦСК у випадках, передбачених Законом;
   * веде електронні реєстри чинних, блокованих та скасованих посилених сертифікатів ключів ЗЦ та ЦСК;
   * веде акредитацію ЦСК, отримує та перевіряє інформацію, необхідну для їх акредитації;
   * забезпечує цілодобово доступ ЗЦ та ЦСК до посилених сертифікатів ключів та відповідних електронних реєстрів через загальнодоступні телекомунікаційні канали;
   * зберігає посилені сертифікати ключів ЗЦ та ЦСК;
   * надає ЗЦ та ЦСК консультації з питань, пов'язаних з використанням електронного цифрового підпису. 

ЦЗО відповідає вимогам, встановленим законодавством для АЦСК. Положення про ЦЗО затверджується Кабінетом Міністрів України.


Контролюючий орган (КО)

Функції КО здійснює спеціально уповноважений центральний орган виконавчої влади у сфері криптографічного захисту інформації. КО перевіряє дотримання вимог Закону ЦЗО, ЗЦ та ЦСК.

У разі невиконання або неналежного виконання обов'язків та виявлення порушень вимог, встановлених законодавством для ЦСК, ЗЦ, КО розпорядження ЦЗО про негайне вжиття заходів, передбачених законом. Скасування, блокування та поновлення посиленого сертифіката ключа А

ЦСК негайно скасовує сформований ним посилений сертифікат ключа у разі:

   * закінчення строку чинності сертифіката ключа;
   * подання заяви власника ключа або його уповноваженого представника;
   * припинення діяльності юридичної особи - власника ключа;
   * смерті фізичної особи - власника ключа або оголошення його померлим за рішенням суду;
   * визнання власника ключа недієздатним за рішенням суду;
   * надання власником ключа недостовірних даних;
   * компрометації особистого ключа.

ЦЗО негайно скасовує посилений сертифікат ключа ЦСК, ЗЦ у разі:

   * припинення діяльності з надання послуг електронного цифрового підпису;
   * компрометації особистого ключа. 

ЦЗО, ЗЦ, АЦСК негайно блокують посилений сертифікат ключа:

   * у разі подання заяви власника ключа або його уповноваженого представника;
   * за рішенням суду, що набрало законної сили;
   * у разі компрометації особистого ключа.

Скасування і блокування посиленого сертифіката ключа набирає чинності з моменту внесення до реєстру чинних, скасованих і блокованих посилених сертифікатів із зазначенням дати та часу здійснення цієї операції.

ЦЗО, ЗЦ, АЦСК негайно повідомляють про скасування або блокування посиленого сертифіката ключа його власника.

Блокований посилений сертифікат ключа поновлюється:

   * у разі подання заяви власника ключа або його уповноваженого представника;
   * за рішенням суду, що набрало законної сили;
   * у разі встановлення недостовірності даних про компрометацію особистого ключа.


Порядок застосування електронного цифрового підпису органами влади

Постанова Кабінету Міністрів України «Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності» № 1452 від 28 жовтня 2004 року

Цим Порядком визначаються вимоги до застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності (далі – органи влади).

Так, органи влади застосовують електронний цифровий підпис лише за умови використання надійних засобів електронного цифрового підпису, що повинне бути підтверджено сертифікатом відповідності або позитивним висновком за результатами державної експертизи у сфері криптографічного захисту інформації, отриманим на ці засоби від Адміністрації Держспецзв'язку, та наявності посилених сертифікатів відкритих ключів у своїх працівників - підписувачів. Органи влади застосовують електронний цифровий підпис для вчинення правочинів за участю інших юридичних та фізичних осіб лише за наявності у них посилених сертифікатів відкритих ключів.

Органи влади не застосовують електронний цифровий підпис:

   * для складання електронних документів, які не можуть бути оригіналами у випадках, передбачених законодавством;
   * для вчинення правочинів на суму, що перевищує 1 млн. гривень.

Органи влади отримують на договірних засадах послуги, пов'язані з електронним цифровим підписом, від акредитованого центру сертифікації ключів. При цьому орган влади може отримувати такі послуги лише від одного акредитованого центру сертифікації ключів. Використання підписувачами особистих ключів, відповідні відкриті ключі яких засвідчені іншими акредитованими центрами сертифікації ключів, забороняється.

Відповідальність за організацію застосування електронного цифрового підпису в органі влади несе керівник, якщо інше не встановлено законодавством. Застосування електронного цифрового підпису в цих установах забезпечує підрозділ інформаційних технологій, а у разі відсутності такого - підрозділ, що виконує відповідні функції, або працівник, спеціально визначений наказом керівника цієї установи. Зазначений підрозділ (працівник) забезпечує:

   * підготовку та надання акредитованому центру сертифікації ключів інформації, необхідної для формування посилених сертифікатів відкритих ключів підписувачів;
   * надання допомоги підписувачам під час генерації їх особистих та відкритих ключів;
   * подання до акредитованого центру сертифікації ключів звернень про скасування, блокування чи поновлення посилених сертифікатів відкритих ключів підписувачів;
   * доступ підписувачів через телекомунікаційні мережі до акредитованих центрів сертифікації ключів у разі неможливості здійснення ними такого доступу із своїх робочих місць;
   * ведення обліку засобів електронного цифрового підпису, що використовуються в установі;
   * ведення обліку носіїв особистих ключів підписувачів;
   * зберігання документів, на підставі яких було сформовано посилені сертифікати відкритих ключів підписувачів;
   * контроль за використанням підписувачами засобів електронного цифрового підпису та зберіганням ними особистих ключів.

Порядок надання працівникам органів влади права застосування електронного цифрового підпису, ведення обліку, зберігання та знищення їх особистих ключів, а також надання акредитованому центру сертифікації ключів інформації, необхідної для формування, скасування, блокування або поновлення посилених сертифікатів відкритих ключів підписувачів цих установ, визначається наказом її керівника, якщо інше не встановлено законодавством.

Генерація особистого та відкритого ключів здійснюється підписувачем безпосередньо в установі або в акредитованому центрі сертифікації ключів, що її обслуговує. У разі потреби під час генерації ключів підписувачеві надається допомога персоналом відповідального підрозділу (спеціально визначеним працівником) або персоналом акредитованого центру сертифікації ключів. У посиленому сертифікаті відкритого ключа підписувача додатково зазначається його належність до установи та посада, яку він займає.

У разі коли згідно із законодавством необхідне засвідчення печаткою справжності підпису на документах та відповідності копій документів оригіналам, органи влади застосовують спеціально призначений для таких цілей електронний цифровий підпис (електронну печатку). Орган влади застосовує електронну печатку лише за наявності у нього відповідної печатки, що застосовується для документів на папері. У посиленому сертифікаті відкритого ключа, що використовується органом влади для електронної печатки, додатково зазначається спеціальне призначення електронного цифрового підпису та сфера його застосування, а також відтворюється текстова інформація, розміщена на відповідній печатці.

Право проставлення електронної печатки на електронних документах надається лише тому працівнику органу влади, який проставляє відповідну печатку на документах на папері. Отримання в акредитованому центрі сертифікації ключів посиленого сертифіката відкритого ключа для забезпечення застосування електронної печатки, а також генерація відповідних ключів здійснюється в тому ж порядку, що й для електронного цифрового підпису.

Підписувач може застосовувати електронний цифровий підпис лише після отримання органом влади від акредитованого центру сертифікації ключів посиленого сертифіката його відкритого ключа. Після звільнення підписувача орган влади звертається до акредитованого центру сертифікації ключів для скасування посиленого сертифіката його відкритого ключа, а особистий ключ знищується методом, що не допускає можливості його відновлення.

Підписувач використовує у процесі виконання своїх функцій лише особистий ключ, отриманий в органі влади. Використання особистого ключа у випадках, не пов'язаних з діяльністю органу влади, забороняється. Підписувач на один і той самий момент часу може мати і використовувати лише один особистий ключ, якому відповідає відкритий ключ з чинним посиленим сертифікатом, отриманим органом влади. Це обмеження не стосується електронної печатки. Підписувач несе відповідальність за зберігання особистого ключа. Копіювання особистих ключів та/або передача їх іншим особам забороняється.

Справжність електронного цифрового підпису, накладеного на електронний документ або інші електронні дані, та цілісність цього документа (даних) перевіряється з дотриманням таких вимог:

   * електронний цифровий підпис повинен бути підтверджений з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;
   * під час перевірки повинен використовуватися посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису;
   * особистий ключ підписувача повинен відповідати відкритому ключу, зазначеному у сертифікаті;
   * на час перевірки повинен бути чинним посилений сертифікат відкритого ключа акредитованого центру сертифікації ключів та/або посилений сертифікат відкритого ключа відповідного засвідчувального центру.
Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти