Вступ
Актуальність даної роботи полягає в тому, що розвиток глобальних комунікацій в діловому і повсякденному житті привів до появи нової області взаємовідносин, предметом яких є електронний обмін даними. У такому обміні даними можуть брати участь органи державної влади, комерційні і некомерційні організації, а також громадяни в своїх офіційних і особистих стосунках.
Проблема збереження електронних документів від копіювання, модифікації і підробки вимагає для свого вирішення специфічних засобів і методів захисту. Одним з поширених в світі засобів такого захисту є електронний цифровий підпис (ЕЦП), який за допомогою спеціального програмного забезпечення підтверджує достовірність інформації документу, його реквізитів і факту підписання конкретною особою.
Огляд джерел: даній темі присвятили свої роботи такі вчені: І. Спасибо-Фатєєва, А. Чучковська, О. Ґудзь, М.М. Дутов, А. Матвієнко, М.Н. Цивін, В.М. Глушков, В.А. Онегов, В.А. Шахвердов, Ю.В. Бородакій, І. А. Сема, А.В. Кобець, М.І. Анохін, Н.П. Варновскій, В.В. Ященко, М.В. Денисова, Г.І. Купріянова.
В українській доктрині цивільного права погляди щодо електронної форми правочину різняться. Так, одні науковці, поділяючи підхід прийнятий в багатьох зарубіжних країнах, вважать, що електронна форма правочину є окремою формою правочину. Відповідно до цього підходу «письмова» та «електронна» форми є видовими щодо родового поняття, яким слід вважати «запис», тобто фіксацію змісту правочину на матеріальному або електронному носієві, який надає можливість зберігати інформацію про зміст правочину протягом тривалого часу і відтворити її на першу вимогу у формі, зрозумілій людині. На думку представників іншої позиції, зокрема
І. Спасибо-Фатєєвої, А. Чучковської та О. Ґудзь, правочин, вчинений з використанням електронних засобів звязку, є різновидом письмової форми. Так, І. Спасибо-Фатєєва вважає, що віднесення правочинів, вчинених за допомогою електронних засобів звязку, до письмових, слід розуміти як подання інформації (змісту правочину) на інших носіях, аніж папір, однак із фіксацією волі (думки, намірів) сторін через логічно упорядковані знаки. Матеріальним носієм буде компютерний диск, із якого зчитується відповідна інформація через її сприйняття на моніторі або після роздрукування на папері. Тому електронно-цифрова форма є різновидом письмової форми з урахуванням специфіки мережі Інтернет. На думку
О. Гудзь, єдиною відмінністю електронного правочину є те, що він фіксується на віртуальному папері, а не на виробленому із переробленої деревини. Як слушно зазначає А. Чучковська, еволюція носія письмової форми не призводить до виникнення нової форми поряд із письмовою
Об'єкт - електронний цифровий підпис та електронні сертифікати.
Предметом дослідження є система впровадження та функціонування електронно-цифрового підпису.
Метою даної роботи є вивчення електронно-цифрового підпису, як аналогу власноручного підпису, для надання електронному документу юридичної сили.
У відповідності з метою даної роботи були поставлені наступні завдання:
. Вивчити основні поняття, складові, призначення та правову базу електронно-цифрового підпису.
2. Розглянути переваги використання електронного <#"justify">1.1 Поняття, призначення, вимоги
Електронний цифровий підпис (ЕЦП) - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа.
Використання ЕЦП дозволяє:
замінити при без паперовому документообігу традиційні печатку та підпис;
удосконалити і здешевити процедуру підготовки, доставки, обліку і зберігання документів, гарантувати достовірність документації;
значно скоротити час руху документів, прискорити і полегшити процес візування одного документа декількома особами;
використовувати одні і ті ж засоби ЕЦП при обміні інформацією зі всіма міністерствами, відомствами, адміністраціями на території України;
побудувати корпоративну систему обміну електронними документами;
забезпечити цілісність - гарантію того, що інформація зараз існує в її початковому вигляді, тобто при її зберіганні або передачі не було проведено несанкціонованих змін;
мінімізувати ризик фінансових втрат за рахунок забезпечення конфіденційності інформаційного обміну документами (при використанні функції шифрування).
Електронна цифрова печатка - один із основних реквізитів документів, що підписуються юридичними особами або фізичними особами-підприємцями. Електронний цифровий підпис може також функціонувати і в цій якості. Порядок отримання електронної цифрової печатки юридичними особами і фізичними особами-підприємцями аналогічний порядку отримання електронного цифрового підпису.
Призначення ЕЦП
Цифровий підпис призначений для аутентифікації особи, яка підписала електронний документ. Крім цього, використання цифрового підпису дозволяє здійснити:
контроль цілісності переданого документа: при будь-якому випадковому або навмисному зміну документа підпис стане недійсним, тому що обчислена вона на підставі вихідного стану документа і відповідає лише йому.
захист від змін (підроблення) документа: гарантія виявлення підробки при контролі цілісності робить підроблюють недоцільним у більшості випадків.
неможливість відмови від авторства. Так як створити коректну підпис можна, лише знаючи закритий ключ, а він повинен бути відомим тільки власнику, то власник не може відмовитися від свого підпису під документом.
доказове підтвердження авторства документа: так як створити коректний підпис можна, лише знаючи закритий ключ, а він повинен бути відомим тільки власнику, то власник пари ключів може довести своє авторство підпису під документом. Залежно від деталей визначення документа можуть бути підписані такі поля, як «автор», «внесені зміни», «мітка часу» і т. д.
Вимоги до цифрового підпису
Аутентифікація захищає двох учасників, які обмінюються повідомленнями, від впливу деякої третьої сторони. Однак проста аутентифікація не захищає учасників один від одного, тоді як і між ними теж можуть виникати певні форми суперечок.
У ситуації, коли обидві сторони не довіряють один одному, необхідно щось більше, ніж аутентифікація на основі загального секрету. Можливим рішенням подібної проблеми є використання цифрового підпису. Цифровий підпис повинний володіти наступними властивостями:
. Повинна бути можливість перевірити автора, дату і час створення підпису.
. Повинна бути можливість аутентифікувати вміст під час створення підпису.
. Підпис повинен бути перевірений третьою стороною для вирішення спорів.
Таким чином, функція цифрового підпису включає функцію аутентифікації.
На підставі цих властивостей можна сформулювати наступні вимоги до цифрового підпису:
. Підпис повинен бути двійкового зразком, який залежить від підписується повідомлення.
. Підпис повинен використовувати деяку унікальну інформацію відправника для запобігання підробки або відмови.
. Створювати цифровий підпис має бути відносно легко.
. Повинно бути обчислювально неможливо підробити цифровий підпис як створенням нового повідомлення для існуючої цифрового підпису, так і створенням помилкової цифрового підпису для деякого повідомлення.
. Цифровий підпис має бути досить компактним і не займати багато пам'яті.
1.2 Правовий статус та регулювання електронно-цифрового підпису в Україні
Верховною Радою України прийнято Закон України "Про електронний цифровий підпис" від 22.05.2003 N 852-IV (далі - Закон). Відповідно до частини 1 статті 18 Закону він набирає чинності з 1 січня 2004 року.
Цей Закон визначає правовий статус електронного цифрового підпису (ЕЦП) та регулює відносини, що виникають при використанні електронного цифрового підпису.
Згідно зі статтею 1 Закону електронний підпис - дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних; електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа.
Закон окреслює коло суб'єктів правових відносин у сфері послуг електронного цифрового підпису, його призначення та особливості застосування.
Необхідно особливо підкреслити, що в реалізації цього Закону найбільш зацікавлені на поточний момент банківська система та податкова система України, торгівля, тощо.
Відповідно до статті 4 Закону електронний цифровий підпис призначений для забезпечення діяльності фізичних та юридичних осіб, яка здійснюється з використанням електронних документів.
Електронний цифровий підпис використовується фізичними та юридичними особами - суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.
Використання електронного цифрового підпису не змінює порядку підписання договорів та інших документів, встановленого законом для вчинення правочинів у письмовій формі.
Нотаріальні дії із засвідчення справжності електронного цифрового підпису на електронних документах вчиняються відповідно до порядку, встановленого законом.
В Законі вживаються наступні терміни:
засіб електронного цифрового підпису - програмний засіб, програмно-апаратний або апаратний пристрій, призначені для генерації ключів, накладення та/або перевірки електронного цифрового підпису;
особистий ключ - параметр криптографічного алгоритму формування електронного цифрового підпису, доступний тільки підписувачу;
відкритий ключ - параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний суб'єктам відносин у сфері використання електронного цифрового підпису;
засвідчення чинності відкритого ключа - процедура формування сертифіката відкритого ключа;
сертифікат відкритого ключа (далі - сертифікат ключа) - документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачу. Сертифікати ключів можуть розповсюджуватися в електронній формі або у формі документа на папері та використовуватися для ідентифікації особи підписувача;
посилений сертифікат відкритого ключа (далі - посилений сертифікат ключа) - сертифікат ключа, який відповідає вимогам Закону, виданий акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом;
акредитація - процедура документального засвідчення компетентності центра сертифікації ключів здійснювати діяльність, пов'язану з обслуговуванням посилених сертифікатів ключів;
компрометація особистого ключа - будь-яка подія та/або дія, що призвела або може призвести до несанкціонованого використання особистого ключа;
підписувач - особа, яка на законних підставах володіє особистим ключем та від свого імені або за дорученням особи, яку вона представляє, накладає електронний цифровий підпис під час створення електронного документа;
послуги електронного цифрового підпису - надання у користування засобів електронного цифрового підпису, допомога при генерації відкритих та особистих ключів, обслуговування сертифікатів ключів (формування, розповсюдження, скасування, зберігання, блокування та поновлення), надання інформації щодо чинних, скасованих і блокованих сертифікатів ключів, послуги фіксування часу, консультації та інші послуги, визначені Законом;
надійний засіб електронного цифрового підпису - засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.
Відповідно до статті 2 Закону суб'єктами правових відносин у сфері послуг електронного цифрового підпису є:
підписувач;
користувач;
центр сертифікації ключів;
акредитований центр сертифікації ключів;
центральний засвідчувальний орган;
засвідчувальний центр органу виконавчої влади або іншого державного органу (далі - засвідчувальний центр);
контролюючий орган.
Стаття 3 Закону визначає правовий статус ЕЦП: „Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо:
·електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;
·під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису;
·особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.
Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа.
Відповідно до статті 6 Закону сертифікат ключа містить такі обов'язкові дані:
найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру);
·зазначення, що сертифікат виданий в Україні;
·унікальний реєстраційний номер сертифіката ключа;
·основні дані (реквізити) підписувача - власника особистого ключа;
·дату і час початку та закінчення строку чинності сертифіката;
·відкритий ключ;
·найменування криптографічного алгоритму, що використовується власником особистого ключа;
·інформацію про обмеження використання підпису.
Посилений сертифікат ключа, крім обов'язкових даних, які містяться в сертифікаті ключа, повинен мати ознаку посиленого сертифіката ключа.
Інші дані можуть вноситися у посилений сертифікат ключа на вимогу його власника.
Відповідно до статті 8 Закону Центром сертифікації ключів може бути юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги електронного цифрового підпису та засвідчила свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі з дотриманням вимог статті 6 Закону.
Обслуговування фізичних та юридичних осіб здійснюється центром сертифікації ключів на договірних засадах.
Центр сертифікації ключів має право:
надавати послуги електронного цифрового підпису та обслуговувати сертифікати ключів;
отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування сертифіката ключа безпосередньо у юридичної або фізичної особи чи у її уповноваженого представника.
Центр сертифікації ключів зобов'язаний:
.Забезпечувати захист інформації в автоматизованих системах відповідно до законодавства;
.Забезпечувати захист персональних даних, отриманих від підписувача, згідно з законодавством;
.Встановлювати під час формування сертифіката ключа належність відкритого ключа та відповідного особистого ключа підписувачу;
.Своєчасно скасовувати, блокувати та поновлювати сертифікати ключів у випадках, передбачених Законом;
.Своєчасно попереджувати підписувача та додавати в сертифікат відкритого ключа підписувача інформацію про обмеження використання електронного цифрового підпису, які встановлюються для забезпечення можливості відшкодування збитків сторін у разі заподіяння шкоди з боку центру сертифікації ключів;
.Перевіряти законність звернень про скасування, блокування та поновлення сертифікатів ключів та зберігати документи, на підставі яких були скасовані, блоковані та поновлені сертифікати ключів;
.Цілодобово приймати заяви про скасування, блокування та поновлення сертифікатів ключів;
.Вести електронний перелік чинних, скасованих і блокованих сертифікатів ключів;
.Забезпечувати цілодобово доступ користувачів до сертифікатів ключів та відповідних електронних переліків сертифікатів через загальнодоступні телекомунікаційні канали;
.Забезпечувати зберігання сформованих сертифікатів ключів протягом строку, передбаченого законодавством для зберігання відповідних документів на папері;
.Надавати консультації з питань, пов'язаних з електронним цифровим підписом.
.Зберігання особистих ключів підписувачів та ознайомлення з ними в центрі сертифікації ключів забороняються.
Центр сертифікації ключів, акредитований в установленому порядку, є акредитованим центром сертифікації ключів.
Акредитований центр сертифікації ключів має право:
·надавати послуги електронного цифрового підпису та обслуговувати виключно посилені сертифікати ключів;
·отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування посиленого сертифіката ключа, безпосередньо у юридичної або фізичної особи чи її представника.
Акредитований центр сертифікації ключів має виконувати усі зобов'язання та вимоги, встановлені законодавством для центру сертифікації ключів, та додатково зобов'язаний використовувати для надання послуг електронного цифрового підпису надійні засоби електронного цифрового підпису.
Кабінет Міністрів України за необхідності визначає засвідчувальний центр центрального органу виконавчої влади для забезпечення реєстрації, засвідчення чинності відкритих ключів та акредитації групи центрів сертифікації ключів, які надають послуги електронного цифрового підпису цьому органу і підпорядкованим йому підприємствам, установам та організаціям.
Засвідчувальний центр відповідає вимогам, встановленим законодавством для акредитованого центру сертифікації ключів.
Засвідчувальний центр реєструється, засвідчує свій відкритий ключ і акредитується у центральному засвідчувальному органі.
Центральний засвідчувальний орган визначається Кабінетом Міністрів України.
Центральний засвідчувальний орган:
·формує і видає посилені сертифікати ключів засвідчувальним центрам та центрам сертифікації ключів;
·блокує, скасовує та поновлює посилені сертифікати ключів засвідчувальних центрів та центрів сертифікації ключів у випадках, передбачених Законом;
·веде електронні реєстри чинних, блокованих та скасованих посилених сертифікатів ключів засвідчувальних центрів та центрів сертифікації ключів;
·веде акредитацію центрів сертифікації ключів, отримує та перевіряє інформацію, необхідну для їх акредитації;
·забезпечує цілодобово доступ засвідчувальних центрів та центрів сертифікації ключів до посилених сертифікатів ключів та відповідних електронних реєстрів через загальнодоступні телекомунікаційні канали;
·зберігає посилені сертифікати ключів засвідчувальних центрів та центрів сертифікації ключів;
·надає засвідчувальним центрам та центрам сертифікації ключів консультації з питань, пов'язаних з використанням електронного цифрового підпису.
Центральний засвідчувальний орган відповідає вимогам, встановленим законодавством для акредитованого центру сертифікації ключів.
Функції контролюючого органу здійснює спеціально уповноважений центральний орган виконавчої влади у сфері криптографічного захисту інформації.
Контролюючий орган перевіряє дотримання вимог Закону центральним засвідчувальним органом, засвідчувальними центрами та центрами сертифікації ключів.
У разі невиконання або неналежного виконання обов'язків та виявлення порушень вимог, встановлених законодавством для центру сертифікації ключів, засвідчувального центру, контролюючий орган дає розпорядження центральному засвідчувальному органу про негайне вжиття заходів, передбачених законом.
Акредитований центр сертифікації ключів негайно скасовує сформований ним посилений сертифікат ключа у разі:
· закінчення строку чинності сертифіката ключа;
· подання заяви власника ключа або його уповноваженого представника;
· припинення діяльності юридичної особи - власника ключа;
· смерті фізичної особи - власника ключа або оголошення його померлим за рішенням суду;
· визнання власника ключа недієздатним за рішенням суду;
· надання власником ключа недостовірних даних;
· компрометації особистого ключа.
Центральний засвідчувальний орган негайно скасовує посилений сертифікат ключа центру сертифікації ключів, засвідчувального центру у разі:
.Припинення діяльності з надання послуг електронного цифрового підпису;
.Компрометації особистого ключа.
Центральний засвідчувальний орган, засвідчувальний центр, акредитований центр сертифікації ключів негайно блокують посилений сертифікат ключа:
·у разі подання заяви власника ключа або його уповноваженого представника;
·за рішенням суду, що набрало законної сили;
·у разі компрометації особистого ключа.
Скасування і блокування посиленого сертифіката ключа набирає чинності з моменту внесення до реєстру чинних, скасованих і блокованих посилених сертифікатів із зазначенням дати та часу здійснення цієї операції.
Центральний засвідчувальний орган, засвідчувальний центр, акредитований центр сертифікації ключів негайно повідомляють про скасування або блокування посиленого сертифіката ключа його власника.
Блокований посилений сертифікат ключа поновлюється:
·у разі подання заяви власника ключа або його уповноваженого представника;
·за рішенням суду, що набрало законної сили;
·у разі встановлення недостовірності даних про компрометацію особистого ключа.
Відповідно до статті 15 Закону особи, винні у порушенні законодавства про електронний цифровий підпис, несуть відповідальність згідно з законом.
електронний цифровий підпис атака
Розділ 2. Електронний цифровий підпис як засіб захисту електроних документів
2.1 Використання функції цифрового підпису
Існує кілька підходів до використання функції цифрового підпису. Всі вони можуть бути розділені на дві категорії: прямі та арбітражні.
При використанні прямого цифрового підпису взаємодіють тільки самі учасники, тобто відправник та одержувач. Передбачається, що одержувач знає відкритий ключ відправника. Цифровий підпис може бути створений шифруванням усього повідомлення або його хеш-коду (перетворення вхідного масиву даних довільної довжини в вихідний бітовий рядок фіксованої довжини) закритим ключем відправника.
Конфіденційність може бути забезпечена подальшим шифруванням усього повідомлення разом з підписом відкритим ключем одержувача (асиметричне шифрування) або розділяються секретним ключем (симетричне шифрування). Зазвичай функція підпису виконується першою, і тільки після цього виконується функція конфіденційності. У разі виникнення спору якась третя сторона повинна переглянути повідомлення і його підпис. Якщо функція підпису виконується над зашифрованим повідомленням, то для вирішення спорів доведеться зберігати повідомлення як в незашифрованому вигляді (для практичного використання), так і в зашифрованому (для перевірки підпису). Або в цьому випадку необхідно зберігати ключ симетричного шифрування, для того щоб можна було перевірити підпис початкового повідомлення. Якщо цифровий підпис виконується над незашифрованим повідомленням, одержувач може зберігати тільки повідомлення в незашифрованому вигляді і відповідний підпис до нього.
Всі прямі схеми мають спільне слабке місце. Дієвість схеми залежить від безпеки закритого ключа відправника. Якщо відправник згодом не захоче визнати факт відправлення повідомлення, він може стверджувати, що закритий ключ був втрачений або вкрадений, і в результаті хтось підробив його підпис. Можна застосувати адміністративне управління, що забезпечує безпеку закритих ключів, для того щоб, принаймні, хоч у якійсь мірі послабив ці загрози. Один з можливих способів полягає у вимозі до кожного підпису повідомлення включати позначку часу (дату і час) і повідомляти про скомпрометовані ключі в спеціальний центр.
Інша загроза полягає в тому, що закритий ключ може бути дійсно вкрадений у Х в момент часу Т. Порушник може потім послати повідомлення, підписане підписом Х і позначений тимчасовою міткою, яка менше або дорівнює Т.
Проблеми, пов'язані з прямим цифровим підписом, можуть бути частково вирішені за допомогою арбітра. Існують різні схеми з застосуванням арбітражного підпису. У загальному вигляді арбітражний підпис виконується наступним чином. Кожне підписане повідомлення від відправника до одержувача Х Y першою справою надходить до арбітра А, який перевіряє підпис для цього повідомлення. Після цього повідомлення датується і надсилається до Y із зазначенням того, що воно було підтверджено арбітром. Присутність А вирішує проблему схем прямого цифрового підпису, при яких Х може відмовитися від повідомлення.
Арбітр грає важливу роль в подібного роду схемах, і всі учасники повинні йому довіряти.
2.2 Алгоритми побудови цифрового підпису
Існує кілька схем побудови цифрового підпису:
·На основі алгоритмів симетричного шифрування. Дана схема передбачає наявність у системі третьої особи - арбітра, який користується довірою обох сторін. Авторизацією документа є сам факт шифрування його секретним ключем і передача його арбітру.
·На основі алгоритмів асиметричного шифрування. На даний момент такі схеми ЕЦП найбільш поширені і знаходять широке застосування.
Крім цього, існують інші різновиди цифрових підписів (груповий підпис, незаперечний підпис, довірений підпис), які є модифікаціями описаних вище схем. Їх поява обумовлена різноманітністю завдань, що вирішуються за допомогою ЕЦП.
Використання хеш-функцій
Хеш функція - функція, що перетворює вхідні дані будь-якого (як правило, великого) розміру в дані фіксованого розміру.
Криптографічна хеш-функція повинна забезпечувати:
·стійкість до колізій (два різні набори даних повинні мати різні результати перетворення);
·необоротність (неможливість обчислити вхідні дані за результатом перетворення).
Оскільки підписуванні документи - змінного (і як правило досить великого) обсягу, в схемах ЕЦП найчастіше підпис ставиться не на сам документ, а на його хеш. Для обчислення хеша використовуються криптографічні хеш-функції, що гарантує виявлення змін документа при перевірці підпису. Хеш-функції не є частиною алгоритму ЕЦП, тому в схемі може бути використана будь-яка надійна хеш-функція.
Використання хеш-функції дає наступні переваги:
·Обчислювальна складність. Зазвичай хеш цифрового документа робиться у багато разів меншого обсягу, ніж обсяг вихідного документа, і алгоритми обчислення хешу є більш швидкими, ніж алгоритми ЕЦП. Тому формувати хеш документа і підписувати його виходить набагато швидше, ніж підписувати сам документ.
·Сумісність. Більшість алгоритмів оперує з рядками біт даних, але деякі використовують інші уявлення. Хеш-функцію можна використовувати для перетворення довільного вхідного тексту у відповідний формат.
·Цілісність. Без використання хеш-функції великий електронний документ у деяких схемах потрібно розділяти на досить малі блоки для застосування ЕЦП. При верифікації неможливо визначити, чи всі блоки отримані і в правильному чи вони порядку.
Варто зауважити, що використання хеш-функції не обов'язково під час цифрового підпису, а сама функція не є частиною алгоритму ЕЦП, тому хеш-функція може використовуватися будь-яка або не використовуватися взагалі.
У більшості ранніх систем ЕЦП використовувалися функції з секретом, які за своїм призначенням близькі до односторонніх функцій. Такі системи уразливі до атак з використанням відкритого ключа, так як, вибравши довільний цифровий підпис і застосувавши до неї алгоритм верифікації, можна отримати вихідний текст. Щоб уникнути цього, разом з цифровим підписом використовується хеш-функція, тобто, обчислення підпису здійснюється не щодо самого документа, а щодо його хешу. У цьому випадку в результаті верифікації можна отримати тільки хеш вихідного тексту, отже, якщо використовується хеш-функція криптографічно стійка, то отримати вихідний текст буде обчислювально складно, а значить атака такого типу стає неможливою.
2.3 Схеми ЕЦП
Симетрична схема
Симетричні схеми ЕЦП менш поширені ніж асиметричні, так як після появи концепції цифрового підпису не вдалося реалізувати ефективні алгоритми підпису, засновані на відомих у той час симетричних шифрах. Першими, хто звернув увагу на можливість симетричної схеми цифрового підпису, були основоположники самого поняття ЕЦП Діффі і Хеллмана, які опублікували опис алгоритму підпису одного біта за допомогою блокового шифру. Асиметричні схеми цифрового підпису спираються на обчислювально складні завдання, складність яких ще не доведена, тому неможливо визначити, чи будуть ці схеми зламані найближчим часом, як це сталося зі схемою, заснованої на задачі про укладання ранця. Також для збільшення криптостійкості потрібно збільшувати довжину ключів, що призводить до необхідності переписувати програми, що реалізують асиметричні схеми, і в деяких випадках перепроектувати апаратуру. Симетричні схеми засновані на добре вивчених блокових шифрах.
У зв'язку з цим симетричні схеми мають наступні переваги:
· Стійкість симетричних схем ЕЦП випливає з стійкості використовуваних блокових шифрів, надійність яких також добре вивчена.
· Якщо стійкість шифру виявиться недостатньою, його легко можна буде замінити на більш стійкий з мінімальними змінами в реалізації.
Однак у симетричних ЕЦП є і ряд недоліків:
Потрібно підписувати окремо кожен біт інформації, що передається, що призводить до значного збільшення підпису. Підпис може перевершувати повідомлення за розміром на два порядки.
Генеровані для підпису ключі можуть бути використані тільки один раз, тому що після підписання розкривається половина секретного ключа.
Через розглянутих недоліків симетрична схема ЕЦП Діффі-Хелман не застосовується, а використовується її модифікація, розроблена Березіним і Дорошкевича, в якій підписується відразу група з декількох біт. Це призводить до зменшення розмірів підпису, але до збільшення обсягу обчислень. Для подолання проблеми «одноразовості» ключів використовується генерація окремих ключів з головного ключа.
Асиметрична схема
Асиметричні схеми ЕЦП відносяться до криптосистем з відкритим ключем. На відміну від асиметричних алгоритмів шифрування, в яких шифрування проводиться за допомогою відкритого ключа, а розшифрування - за допомогою закритого, у схемах цифрового підпису підписування проводиться із застосуванням закритого ключа, а перевірка - із застосуванням відкритого.
Загальновизнана схема цифрового підпису охоплює три процеси :
Генерація ключової пари. За допомогою алгоритму генерації ключа рівно ймовірним чином з набору можливих закритих ключів вибирається закритий ключ, обчислюється відповідний йому відкритий ключ.
Формування підпису. Для заданого електронного документа за допомогою закритого ключа обчислюється підпис.
Перевірка (верифікація) підпису. Для даних документа та підпису за допомогою відкритого ключа визначається дійсність підпису.
Для того, щоб використання цифрового підпису мало сенс, необхідно виконання двох умов:
Верифікація підпису повинна проводитися відкритим ключем, відповідним саме тому закритому ключу, який використовувався під час підписання.
Без володіння закритим ключем має бути складно створити легітимний цифровий підпис.
Відкритий ключ
Важливою проблемою всієї криптографії з відкритим ключем, в тому числі і систем ЕЦП, є управління відкритими ключами. Так як відкритий ключ доступний будь-якому користувачеві, то необхідний механізм перевірки того, що цей ключ належить саме своєму власникові. Необхідно забезпечити доступ будь-якого користувача до справжнього відкритого ключа будь-якого іншого користувача, захистити ці ключі від підміни зловмисником, а також організувати відгук ключа у разі його компрометації.
Завдання захисту ключів від підміни вирішується за допомогою сертифікатів. Сертифікат дозволяє засвідчити укладені в ньому дані про власника і його відкритий ключ підписом будь-якої довіреної особи. Існують системи сертифікатів двох типів: централізовані і децентралізовані. У децентралізованих системах шляхом перехресного підписування сертифікатів знайомих і довірених людей кожним користувачем будується мережа довіри. У централізованих системах сертифікатів використовуються центри сертифікації, підтримувані довіреними організаціями.
Центр сертифікації формує закритий ключ і власний сертифікат, формує сертифікати кінцевих користувачів і засвідчує їх автентичність своїм цифровим підписом. Також центр проводить відгук минулих і компрометованих сертифікатів і веде бази виданих та відкликаних сертифікатів. Звернувшись в сертифікаційний центр, можна отримати власний сертифікат відкритого ключа, сертифікат для іншого користувача і дізнатися, які ключі відкликані.
Закритий ключ
Закритий ключ є найбільш вразливим компонентом всієї криптосистеми цифрового підпису. Зловмисник, який вкрав закритий ключ користувача, може створити дійсний цифровий підпис будь-якого електронного документа від імені цього користувача. Тому особливу увагу потрібно приділяти способу зберігання закритого ключа. Користувач може зберігати закритий ключ на своєму персональному комп'ютері, захистивши його за допомогою пароля. Однак такий спосіб зберігання має ряд недоліків, зокрема, захищеність ключа повністю залежить від захищеності комп'ютера, і користувач може підписувати документи лише на цьому комп'ютері.
В даний час існують наступні пристрої зберігання закритого ключа :
· Дискети
· Смарт-карти
· USB-брелок
· Таблетки Touch-Memory
Крадіжка або втрата одного з таких пристроїв зберігання може бути легко помічена користувачем, після чого відповідний сертифікат може бути негайно відкликаний.
Найбільш захищений спосіб зберігання закритого ключа - зберігання на смарт-картці. Для того, щоб використовувати смарт-карту, користувачеві необхідно не тільки її мати, але й ввести PIN-код, тобто, виходить двофакторна аутентифікації. Після цього підписується документ або його хеш передається в карту, її процесор здійснює підписування хешу і передає підпис назад. У процесі формування підпису таким способом не відбувається копіювання закритого ключа, тому весь час існує тільки єдина копія ключа. Крім того, зробити копіювання інформації зі смарт-карти складніше, ніж з інших пристроїв зберігання.
2.4 Моделі атак та їх можливі результати
У наш час описують наступні моделі атак, які актуальні і в даний час:
·Атака з використанням відкритого ключа. Криптоаналітик володіє тільки відкритим ключем.
·Атака на основі поширених повідомлень. Противник володіє допустимими підписами набору електронних документів, відомі йому, але не обраних ним.
·Адаптивна атака на основі вибраних повідомлень. Криптоаналітик може одержати підписи електронних документів, які він обирає сам.
Можливі результати атак:
·Повний злом цифрового підпису. Отримання закритого ключа, що означає повний злом алгоритму.
·Універсальна підробка цифрового підпису. Знаходження алгоритму, аналогічного алгоритму підпису, що дозволяє підробляти підписи для будь-якого електронного документа.
·Вибіркова підробка цифрового підпису. Можливість підробляти підписи для документів, вибраних криптоаналітиком.
·Екзистенціальна підробка цифрового підпису. Можливість отримання допустимого підпису для якогось документа, не вибраного криптоаналітиком.
Зрозуміло, що самою «небезпечною» атакою є адаптивна атака на основі вибраних повідомлень, і при аналізі алгоритмів ЕЦП на криптостійкість потрібно розглядати саме її (якщо немає яких-небудь особливих умов).
При безпомилковій реалізації сучасних алгоритмів ЕЦП отримання закритого ключа алгоритму є практично неможливим завданням через обчислювальні складності завдань, на яких ЕЦП побудована. Набагато більш ймовірний пошук криптоаналітиків колізій першого і другого роду. Колізія першого роду еквівалентна екзистенціальної підробці, а колізія другого роду - вибіркової. З урахуванням застосування хеш-функцій, знаходження колізій для алгоритму підпису еквівалентно знаходження колізій для самих хеш-функцій.
2.5 Підписування електронних документів різних форм
Підпис в HTML-формі
Така задача виникає при встановленні засобів ЕЦП в системах коли користувач працює в системі через Web-браузер (MS IE). У таких системах надходять наступним чином: створюється приховане hidden-поле у формі. Коли користувач натискає кнопку типу "підписати і відправити", відповідний скрипт обробника (наприклад, на VBScript) формує строкову змінну, в яку методом конкатенації записують важливу інформацію з ідентифікації документа і вміст текстових полів, які ввів користувач. Далі сформована стрічка підписується. Найчастіше використовуються методи об'єктів CAPICOM.dll, не відділений підпис. Підписана строкою змінна і є електронний документ. Підписаний документ (підписаний рядок) записується в hidden-полі і методом POST передається на сервер. Серверний додаток перевіряє підпис у змінної, отриманої з hidden-поля, і в залежності від результатів перевірки ЕЦП і змістовної частини електронного документа здійснює його подальшу обробку. Важливим моментом є збереження підписаного документа на сервер. Для цього, як правило, створюють таблицю в базі даних системи з двома полями: поле ключа і строкове поле з підписаним електронним документом.
Підпис в базі даних
Досить часто зустрічається нефайлова форма подання електронного документа, а електронний документ - як сукупність записів в таблицях бази даних. Для підписання такого документа значення полів записів в таблицях бази даних наводяться в рядковий тип, і за допомогою конкатенації формується строкою змінна, відображає істотну змістовну і ідентифікаційну частину документа. Саме цей рядок тепер вважається оригіналом електронного документа і підписується. Підписаний рядок зберігається у відповідній таблиці бази даних системи з двома полями: поле ключа документа і строкове поле, що містить підписаний електронний документ.
Підпис документів у форматі XML
Якщо документ представлений у форматі XML, то є кілька підходів до формування його підписів: формування ЕЦП XML-документів XMLdsig для Windows (MSXML5, MSXML6) з використанням Microsoft Office InfoPath 2003 - нової складової системи Microsoft Office; підпис XML-документа як звичайного файлу. Іноді для підпису в XML-документі в тезі документа створюють окремий атрибут, в який заноситься ЕЦП від символьного рядка змінної довжини, що містить значення атрибутів тега документа. Такий досить цікавий підхід до підпису XML-документа також зустрічається, і він є цілком легітимним.
Підпис файлів у форматі PDF
Для формування і перевірки ЕЦП і забезпечення юридичної значимості електронних документів, які формуються в форматі PDF, компанія "крипто-ПРО" розробила спеціальний продукт, званий "КріптоПро PDF". Він є модулем створення та перевірки ЕЦП і призначений для формування та перевірки ЕЦП в програмax Adobe Reader, Adobe Acrobat версії 7 і вище. "КріптоПро PDF" розроблений з використанням програмного інтерфейсу Adobe Systems Inc. і завірений електронним цифровим підписом компанії Adobe Systems.
Це дозволяє використовувати сертифіковані засоби криптографічного захисту інформації "КріптоПро CSP "в продуктах Adobe Acrobat, Adobe Reader та Adobe LiveCycle ES. Важливе зауваження: "крипто-Про CSP" для перевірки ЕЦП не вимагає активації ліцензії, тобто працює безкоштовно. Досить просто встановити цей продукт і перевіряти підпис з використанням Adobe Reader.
Підпис багатофайлових документів
Іноді документ може являти собою досить велику сукупність файлів. Наприклад, відомості про первинні документах для здійснення операцій в реєстрі власників інвестиційних паїв пайового фонду, отриманих від керуючої компанії. У цьому випадку можна формувати для кожного документа свою ЕЦП, а можна від цього відмовитися. Якщо з яких-небудь причин формування ЕЦП для кожного файлу документа неможливо, то створюють ще один файл текстового формату, в який записують ідентифікаційні дані документа і значення хеш-функцій для кожного файлу документа. Саме цей файл (картка документа) і підписують. Але в даному разі в системі повинен бути передбачений інструмент для користувача, що дозволяє розрахувати значення хеш-функцій для кожного файлу та порівняння обчислених значень з даними картки документа.
2.6 Цифрові сертифікати
При використанні асиметричних методів шифрування (і, зокрема, електронного цифрового підпису) необхідно мати гарантію автентичності пари (ім'я користувача, відкритий ключ користувача). Для вирішення цього завдання в специфікаціях X.509 вводяться поняття цифрового сертифікату та засвідчувального центру.
Цифрови?й сертифіка?т - цифровий документ, що підтверджує відповідність між відкритим (публічним) ключем <#"justify">Висновки
Стрімкий розвиток та глобальне впровадження новітніх інформаційних технологій, інтенсифікація інформаційних відносин, створили умови, коли життя людини є майже не мислимим без мобільного телефону, телевізора, компютера та Інтернету.
Розвиток суспільних відносин став вимогою в цілому щодо розроблення, вдосконалення та оновлення нормативно-правової бази України, створення спеціальних юридичних норм та правил регулювання сфери інформаційних правовідносин.
Верховною Радою України були прийняті закони України, які набули чинності, «Про електронні документи та електронний документообіг», «Про електронний цифровий підпис», тощо.
Закон України «Про електронні документи та електронний документообіг» визначив основні організаційно-правові засади електронного документообігу та використання електронних документів.
Законом встановлено, що електронний документ - це документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обовязкові реквізити документа, зокрема, електронний цифровий підпис. Юридична сила електронного документа не може бути заперечена виключно через те, що він має електронну форму.
Проте, закон також встановив певні обмеження на застосування електронного документа як оригіналу. Зокрема, в електронній формі не може бути створено оригінал свідоцтва про право на спадщину; інший документ, який, згідно із законодавством, може бути створений лише в одному примірнику (поки не буде створено централізованого сховища оригіналів електронних документів).
Електронний цифровий підпис дає змогу підтвердити цілісність електронного документу, тобто його захищеність від несанкціонованого спотворення, руйнування або знищення в процесі руху від відправника до одержувача, та ідентифікувати підписувача.
Правочини здійснені за допомогою накладання на них електронного цифрового підпису та передані адресату в мережі передачі даних мають великий ступінь захисту від несанкціонованого доступу, спотворення чи знищення змісту правочину, адже такий підпис отримується за результатом криптографічного перетворення набору електронних даних.
Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки), якщо: електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису; під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису; особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.
Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа. Особистий ключ має бути відомий лише його володільцеві. Відкритий ключ доступний всім учасникам електронного документообігу.
Засвідчення чинності відкритого ключа здійснюється шляхом формування сертифіката відкритого ключа - документа, що видається центром сертифікації ключів. Посилений сертифікат відкритого ключа видається акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом.
Сертифікат ключа містить найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру); зазначення, що сертифікат виданий в Україні; унікальний реєстраційний номер сертифіката ключа; основні дані (реквізити) підписувача - власника особистого ключа; дату і час початку та закінчення строку чинності сертифіката; відкритий ключ; найменування криптографічного алгоритму, що використовується власником особистого ключа; інформацію про обмеження використання підпису.
Посилений сертифікат ключа, крім обовязкових даних, які містяться в сертифікаті ключа, повинен мати ознаку посиленого сертифіката ключа.
Юридичні та фізичні особи можуть на договірних засадах засвідчувати чинність відкритого ключа сертифікатом ключа, а також використовувати електронний цифровий підпис без сертифіката ключа.
Розподіл ризиків збитків, що можуть бути заподіяні підписувачам, користувачам та третім особам, які користуються електронними цифровими підписами без сертифіката ключа, визначається субєктами правових відносин у сфері послуг електронного цифрового підпису на договірних засадах.
Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності для засвідчення чинності відкритого ключа використовують лише посилений сертифікат ключа.
Отже, електронний цифровий підпис спрямований на спрощення та прискорення документообігу між субєктами господарювання, що, в свою чергу, має зміцнити конкурентоспроможність вітчизняних підприємств, адже пришвидшиться процедура укладення цивільно-правових та господарських договорів, оформлення експортно-імпортних операцій, надання електронних банківських послуг.
Станом на сьогодні, згідно з інформацією, розміщеною на офіційному веб-сайті центрального засвідчувального органу, акредитацію пройшли вісімнадцять центрів сертифікації ключів, тобто система електронного цифрового підпису є повністю структурно укомплектованою для належного функціонування.
Список використаних джерел
1.Конституція України від 28.061996 р. № 254 к/96-ВР // Відомості Верховної Ради України від 23.07.1996 р. - 1996, № 30, ст. 141.
2.Закон України «Про електронні документи й електронний документообіг» від 22.05.2003 р. № 851-IV.
3.Закон України «Про електронний цифровий підпис» від 22.05.2003 р. № 852-IV.
.Закон України «Про Основні засади розвитку інформаційного суспільства в Україні» від 09.01.2007 р. № 537-V.
.Директива 1999/93/EC Европейского парламента и совета от 13 Декабря, 1999 г. Относительно структуры сообщества для электронных подписей.
.Блажівська Наталя. Електронний правочин // Юридичний журнал. №1/2007.
.Гудзь О. Еволюція форм правочинів: від усної - до «електронної»//Юридичний журнал. - 2006. - № 1(43). - С. 32-37.
.Дутов М. Сравнительный анализ европейского законодательства в области электронного документооборота // Підприємництво, господарство і право. 2002. № 8. - С. 25-28
.Лінецький Сергій. Як використовувати електронні документи? Юридичний журнал. №9/2003.
10.Чирський Ю. Електронний цифровий підпис: правові аспекти застосування // Довідник секретаря та офіс-менеджера. - №1(2007) - С. 26-31
11.Чирський Юрій. Запровадження системи електронного документообігу в Україні // Юридичний журнал. № 6/2006
12.Клименко О. Атестація персоналу в деяких видах діяльності/ О. Клименко // Діловодство та документообіг. - № 4. - 2011. - С. 64 - 75
13.Чирський Юрій. Запровадження системи електронного документообігу в Україні // Юридичний журнал. № 6/2006.