Организационно обеспечение ЭЦП
Для функционирования системы оборота электронных документов необходима соответствующая организационная инфраструктура, которая позволит разрешить 2 проблемы.
Проблема 1. Надежность ЭЦП определяется длиной ключа шифрования (это тот параметр, который может определяться пользователем) и применяемыми программно-техническими средствами, обеспечивающими выработку и проверку ЭЦП.
Разные средства могут использовать отличающиеся алгоритмы криптографических преобразований, поэтому стойкость шифра при одинаковой длине ключа может быть разной. Пользователь данный параметр в большинстве случаев оценить не может, т.к. надежный и ненадежный шифр внешне выглядят одинаково. Кроме того, алгоритмы, применяемы в различных средствах ЭЦП не являются совместимыми. Поэтому в РБ введена система государственной сертификации средств ЭЦП.
Проблема 2. Необходимо однозначно связать открытый ключ проверки подписи с владельцем личного ключа, поскольку возможны 2 угрозы:
-Отказ подписавшегося личным ключом от своей подписи.
-Перехват и фальсификация сообщений 3-им лицом.
Злоумышленник В перехватывает предназначающийся пользователю Б открытый ключ пользователя А. Вместо него он от имени А направляет свой открытый ключ, который Б принимает за открытый ключ пользователя А. Таким образом, В получает возможность читать сообщения от А к Б и вносить изменения в документы, следующие от Б к А.
Вывод: принадлежность открытого ключ проверки подписи владельцу личного ключа должна быть удостоверена.
NB: удостоверяется именно принадлежность ключа владельцу!!!!
Принадлежность открытого ключа владельцу может быть удостоверена при передаче при личной встрече пользователей А и Б путем составления специального документа. Этот подход экономически невыгоден. Второй подход - удостоверение принадлежности открытого ключа владельцу закрытого ключа специально назначенной третьей стороной. В зарубежной практике эта третья сторона именуется "центр сертификации", "удостоверительный центр". В законодательстве РФ под ним понимается "юридическое лицо или обособленное подразделение юридического лица, обладающие правомочиями на удостоверение принадлежности конкретного открытого ключа ЭЦП владельцу сертификата." Сама сертификация предусматривает проверку соответствия представленных пользователем А личного и открытого ключей и защиту открытого ключа личным ключом самого удостоверяющего центра. Т.е. никто, кроме удостоверяющего центра, не может изменить содержания защищенного открытого ключа
пользователя А. В данном случае удостоверяется исключительно связь открытого ключа с конкретным лицом, а не его деловая репутация ли законопослушность.
В мировой практике сложилось две модели сертификации открытых ключей:
- Централизованная - в основе ее 1 уполномоченный орган сертификации открытых
ключей (корневой центр сертификации) и доверенные центры сертификации.
- Децентрализованная (сетевая) - взаимная сертификация пользователей друг друга.
В РБ Законом об ЭД предусматривается следующий механизм удостоверения принадлежности открытого ключа проверки подписи.
Создается документ - карточка открытого ключа проверки подписи, который удостоверяется самим владельцем личного ключа путем постановки подписи (подписи и печати). Форма карточки устанавливается собственником информационных систем и сетей. Эта карточка передается владельцем пользователю открытого ключа путем:
1. Вручения карточки открытого ключа проверки подписи лично пользователю;
2. Рассылки по почте в виде документа на бумажном носителе
3. Рассылки в виде электронного документа
В последнем случае открытый ключ входит в общую часть электронного документа и вопрос "Кто ставит ЭЦП в особенной части" решается не Законом, а соглашением сторон.
Правовое обесепечение ЭЦП
Первый в мире закон в данной области был принят в марте 1995 года в штате Юта (США) - "Utah Digital Signature Act". В 1995 г. Комиссией ООН по международному торговому праву (UNCITRAL) был принят модельный закон "Об электронной коммерции". В настоящее время законодательные акты, регулирующие отношения в области использования электронных документов приняты во многих развитых странах.
Отдельные нормативные акты о придании юридической силы документам, подготовленным с использованием вычислительной техники, существовали еще в СССР:
Инструктивные указания Госарбитража СССР № И-1-4 «Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники» от 29 июня 1979 г.
«Временные общеотраслевые руководящие указания о придании юридической силы документам, создаваемым средствами вычислительной техники» (утверждены 20 апреля 1981 г. постановлением № 100 Государственного комитета по науке и технике СССР);
ГОСТ 6.10.4-84 «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники» (введен постановлением Государственного комитета СССР по стандартам 9 октября 1984 г., действует с 01.07.87 г.)
В законодательстве РБ в Законе об информатизации от 06.09.1995 г. в ст. 11 впервые закрепляется, что "документ, содержащий информацию обработанную информационной системой, приобретает юридическую силу после его удостоверения должностным лицом в установленном порядке или электронной подписью. Юридическая сила электронной подписи признается при наличии в информационных системах и сетях программно-технических средств обеспечивающих идентификацию подписи и имеющих сертификат соответствия или удостоверение о признании сертификата, выданного в национальной системе сертификации РБ".
10 января 2000 года был принят Закон РБ "Об электронном документе", который установил правовые основы применения ЭД, определил основные требования, предъявляемые к ЭД, а также права, обязанность и ответственность участников правоотношений, возникающих в сфере обращения ЭД. В числе многих, Законом регламентируются и отношения, связанный с созданием и использованием ЭЦП. В дальнейшем, в развитие положений Закона был принят ряд подзаконных нормативных актов, обеспечивающих его реализацию. В наибольшей степени нормативно урегулированы (и практически развиты) отношения, связанные с применением ЭЦП в банковской деятельности.
Прежде всего Закон (ст. 11) приравнивает электронный документ на машинном носителе к документу на бумажном носителе и наделяет их равной юридической силой. Так, если законодательством требуется письменная форма документа, то ЭД считается соответствующим этим требованиям. В уголовно, гражданском, хозяйственном процессе он выступает как письменное доказательство. Электронный документ может использоваться во всех сферах деятельности, где применяются программные и технические средства создания, обработки, хранения, передачи и приема информации.
Законодательно могут устанавливаться ограничения на применение электронных документов.
Оригинал ЭД существует только на машинном носителе, причем оргиналом признаются все идентичные экземпляры электронного документа. При необходимости, может быть изготовлена копия ЭД на бумажном носителе, которая является его внешним представлением, должна содержать указание на данное обстоятельство и заверяется нотариусом либо ИП или ЮЛ, имеющим лицензию на данный вид деятельности. Копия имеет равную с оригиналом юридическую силу.
Электронный документ, в отличие от обычного сообщения электронной почты, не уничтожается, а подлежит архивному хранению.
Отдельно в Законе урегулированы вопросы ЭЦП (ст.1, 12-15).
Владельцем личного ключа подписи моежт быть как физическое, так и юридическое лицо. Аналогичное положение содержится в законодательстве РФ и США. В ФРГ владельцем личного ключа могут только физические лица. Аналогично собственноручной подписи, физическое лицо может действовать от имени ЮЛ (о таком полномочии может быть указано в сертификате подписи), но подписывает документ своей подписью. Такой подход позволяет избежать проблем компрометации ЭЦП при увольнении сотрудников.
В РБ не предусматривается создание специальных центров удостоверения открытых ключей ЭЦП.