Про ЕЦП

 

Використання особистого підпису на паперових документах ґрунтується на нанесенні людиною власною рукою характерного лише йому накреслення набору символів, який може бути візуально перевірений стороною, читаючої документ.

Однак, ненадійність цього механізму з точки зору можливості підробки викликає необхідність використання додаткових механізмів посвідчення автентичності. Такими механізмами в даний час є: нотаріальне завірення, використання спеціальних бланків, накладання печатки і т.д.

З поширенням електронних документів з'явилася необхідність в їх завіренні особистим підписом. Були винайдені алгоритми електронного цифрового підпису, які дозволили позбутися недоліків особистого підпису на паперових документах і перейти до безпаперового документообігу. Електронний цифровий підпис - це цифрова послідовність, яка приєднується до електронного документа і однозначно відповідає тексту електронного документа і особистому ключу особи, що наклала підпис. ЕЦП виробляється спеціальним програмним забезпеченням шляхом криптографічного перетворення над текстом електронного документа за допомогою особистого (секретного) ключа особи, що може накладати підпис.

Перевірку підпису здійснюють за допомогою зворотного криптографічного перетворення над ЕЦП за допомогою відкритого ключа особи, що наклала підпис. Результат перетворення порівнюється з текстом електронного документа і при точній відповідності підпис і документ вважаються справжніми.

Унікальність підпису досягається за рахунок математичних особливостей криптографічного перетворення і того, що секретний ключ підпису використовується і зберігається виключно особою, якій належить підпис.

Завдяки таким особливостям ЕЦП та його застосування, забезпечуються такі важливі можливості:

  • захист цілісності документа - тобто після накладання ЕЦП будь-яка випадкова або навмисна зміна тексту електронного документа проявляється при перевірці справжності підпису;
  • однозначне засвідчення авторства підпису - підпис накладається особистим ключем, який може бути використаний тільки особою, якій належить підпис, і може бути перевірений тільки відкритим ключем, що є парою до особистого;
  • неможливість відмови від авторства підпису - наявність і позитивна перевірка підпису свідчать про те, що він міг бути накладений лише за допомогою секретного ключа особи, якій належить підпис. Це не дозволяє відмовитися від зобов'язань, викликаних підписанням документа.

 

Для застосування ЕЦП особі - власнику підпису генеруються два ключі - особистий (секретний) і відкритий. Ключі складають пару, тобто один виробляється за криптографічним алгоритмом за допомогою другого.

За допомогою спеціального програмного забезпечення особистим ключем проводиться криптографічне перетворення над цифровою послідовністю, що одержана на основі електронного документа, який підписується. В результаті формується цифрова послідовність, що і являє собою ЕЦП. Підпис зберігається разом з електронним документом, на який був накладений.

Для перевірки ЕЦП документа особа, яка його читає або використовує, має отримати відкритий ключ автора (власника) підпису. Відкритий ключ має бути доступний для всіх зацікавлених у перевірці ЕЦП осіб.

Відкритий ключ поширюється в електронному сертифікаті відкритого ключа. Сертифікат служить надійним засобом зберігання інформації про власника ключа.

Спеціальне програмне забезпечення за допомогою відкритого ключа проводить зворотне криптографічне перетворення над цифровою послідовністю ЕЦП. В результаті виробляється цифрова послідовність, що відповідає відбитку тексту підписаного документа. ПЗ виробляє відбиток (геш) від тексту документа і порівнює його з отриманим при перетворенні ЕЦП. За умови повного збігу перевірка вважається позитивною - і текст документа, і підпис справжні.

Закон України «Про ЕЦП» визначає, що ЕЦП є повноправним з юридичної точки зору аналогом власноручного підпису та/або печатки на паперовому документі.

У поєднанні з властивостями електронних документів це дозволяє використовувати ЕЦП в таких сферах:

  • електронний документообіг в організації з юридичною значимістю документів;
  • підписання договірних документів без необхідності особистої зустрічі;
  • електронні звернення в державні органи;
  • подача електронної звітності до контролюючих органів;
  • електронна комерція на електронних торгівельних майданчиках;
  • інтернет-банкінг;
  • доступ до захищених сховищ інформації;
  • направлене шифрування при захищеному обміні інформацією;
  • підтвердження існування електронних даних на певний момент часу з використанням електронної позначки часу (наприклад для доказу авторських прав).

 

Безпека використання спеціальних програмних засобів для поводження з ЕЦП забезпечується тим, що ці кошти проходять обов'язкову експертизу під контролем Державної служби спеціального зв'язку та захисту інформації (ДССЗЗІ) України. Під час експертизи перевіряється точна відповідність реалізації криптографічних алгоритмів державним стандартам, а також відсутність уразливих місць в захисті даних і недокументованих можливостей. Наявність експертного висновку ДССЗЗІ України підтверджує безпеку використання програмного (або апаратного) засобу. У цьому випадку він іменується надійним засобом ЕЦП.