Митні інформаційні технології - Пашко П. В. - Необхідність сертифікації засобів ЕЦП

Організаційне забезпечення електронного цифрового підпису (ЕЦП) здійснюється відповідно до законодавства держави, на території якої використовується такий засіб ЕЦП. Якщо такого законодавства немає, правове регулювання в галузі застосування засобів ЕЦП здійснюється на основі нормативних актів адміністративних органів.

Необхідність сертифікації засобів ЕЦП

Засіб ЕЦП - це програмне і/чи апаратне забезпечення, призначене для генерації пари ключів (закритого й відкритого) та їх автоматизованого застосування під час шифрування або дешифрування електронного підпису. Оскільки від алгоритмів, на основі яких діє засіб ЕЦП, залежить надійність і стійкість документообігу, до засобів ЕЦП існують спеціальні вимоги.

Необхідність сертифікації відкритих ключів

Відкритий ключ тому й називається відкритим, що він доступний кожному з партнерів власника закритого ключа. Якщо в разі звертання від партнера Oksanlia до партнера Магу потрібен захищений канал зв'язку, то партнер Oksanka може скористатися відкритим ключем партнера Магу. Тоді він може бути відносно впевнений, що в каналі зв'язку повідомлення не перехоплять. Але залишається відкритим питання, чи веде цей канал справді до партнера Маrу! Є дуже простий прийом підміни відкритого ключа для створення помилкового каналу зв'язку. Припустімо, сторона Artu. ro бажає перехопити чужі дані. У цьому разі вона може за допомогою засобу ЕЦП створити собі пари ключів й опублікувати відкритий ключ нібито від імені партнера Маrу. Тоді всі повідомлення від партнера Oksanka до партнера Маrу перехоплюватимуться і читатимуться стороною Artиrо, причому ні Oksanka, ні Магу навіть не здогадуватимуться про те, що Arturo бере участь у "договірних" відносинах.

Наведений приклад ілюструє лише найпростішу форму зловживання, бо хоча у відкритому ключі й наводяться дані про його власника, у ньому немає засобів, які засвідчують справжність цих даних. Без вирішення цього питання механізм ЕЦП не можна використовувати ні в електронній комерції, ні в електронному документообігу.

Значна частина державних законодавчих актів, що стосуються електронних цифрового підпису, комерції та документообігу, присвячена механізму посвідчення особи власника відкритого ключа. В усіх випадках цей механізм грунтується на тому, що вводиться (призначається) додаткова сторона, яка засвідчує належність відкритого ключа конкретній юридичній або фізичній особі.

Хто саме має право засвідчувати відкриті ключі, коли і як, у законодавствах різних держав вирішується по-різному. Зокрема, це може бути державний орган або організація, уповноважена державою для ведення такої діяльності. Можливо, що для внутрішнього документообігу підприємства цю функцію можна доручити особі, призначеній керівництвом, а для документообігу всередині відомства -- уповноваженому підрозділу.

Поняття електронного сертифіката

На практиці сертифікація відкритих ключів виконується в такий спосіб.

Особа (юридична або фізична), що створила собі пару ключів (відкритий і закритий) за допомогою засобу ЕЦП, має звернутися в орган, уповноважений виконати сертифікацію. Цей орган називається Центром сертифікації (Certification Authority, СА).

Центр сертифікації перевіряє належність відкритого ключа заявнику і засвідчує цей факт додаванням до відкритого ключа свого підпису, зашифрованого власним закритим ключем.

Будь-який партнер, що бажає вступити в контакт із власником відкритого ключа, може прочитати засвідчувальний запис за допомогою відкритого ключа центру сертифікації. Якщо цілісність цього запису не порушена і він довіряє центру сертифікації, то може використовувати відкритий ключ партнера для зв'язку з ним.

Схожі статті




Митні інформаційні технології - Пашко П. В. - Необхідність сертифікації засобів ЕЦП

Предыдущая | Следующая