Обов'язковим об'єктом технології ЕЦП є сертифікат ключа — документ в електронній або паперовій формі, необхідний для верифікації відкритого ключа — доказ того, що певна особа правомірно володіє відповідним особистим ключем.
Для управління сертифікатами в Україні створюється інфраструктура національної системи ЕЦП, елементами якої є центри сертифікації ключів та засвідчувальні центри. Головна складова в цій системі — центральний засвідчувальний орган (ЦЗО). Положення про ЦЗО затверджено Постановою Кабінету Міністрів України від 28 жовтня 2004 р. № 1451.
Як технічний організатор усієї системи ЕЦП в Україні ЦЗО реєструє центри сертифікації ключів та проводить їх акредитацію, а також формує кореневі сертифікати ключів.
Центральний засвідчувальний орган забезпечує юридично обґрунтовану та надійну реалізацію:
· електронних державних послуг (звітність перед державними органами, реєстраційні процедури тощо);
· електронного документообігу в органах державної влади;
· електронної комерції;
· електронного документообігу між комерційними організаціями;
· електронної взаємодії між банками та клієнтами.
Основні функції, обов'язки й права ЦЗО такі:
· реєстрація засвідчувальних центрів (ЗЦ) органів виконавчої влади та інших державних органів;
· акредитація ЗЦ і центрів сертифікації ключів (ЦСК);
формування та видача сертифікатів ключів ЗЦ і ЦСК;
· ведення електронних реєстрів сертифікатів ключів ЗЦ і ЦСК
· збереження сертифікатів ключів ЗЦ і ЦСК та забезпечення постійного доступу до них;
· надання ЗЦ і ЦСК консультацій з питань використання ЕЦП;
· внесення пропозицій щодо вдосконалення законодавства у сфері ЕЦП.
Наказом Міністерства транспорту та зв'язку від 1 грудня 2004 р. № 1055 функції ЦЗО делеговано Державному департаменту з питань зв'язку та інформатизації, а на Державне підприємство "Державний центр інформаційних ресурсів України" покладено технічне і технологічне забезпечення виконання функцій ЦЗО.
На базі Державного департаменту з питань зв'язку та інформатизації засновано технологічний центр ЦЗО, який складається з основного та резервного технологічних центрів (згідно із законодавством вони територіально відокремлені). Розроблено спеціалізоване програмне забезпечення, яким оснащено програмно-технічний комплекс технологічного центру ЦЗО, підготовлено нормативні, нормативно-правові й методичні документи, які регламентують діяльність ЦЗО та визначають вимоги до регламенту роботи центрів сертифікації ключів і ЗЦ органів державної влади.
Створено та відкрито web-сайт ЦЗО: czo.gov.ua
Будову ЦЗО та взаємовідносин у системі електронного цифрового підпису ілюструє рис. 8.4.
Організаційно-правові основи діяльності центрів сертифікації ключів (ЦСК) з надання послуг ЕЦП регулюються Законом "Про електронний цифровий підпис", який установлює правовий статус, права й обов'язки ЦСК. При цьому Законом уведено два типи ЦСК: власне ЦСК і акредитований ЦСК.
Для того щоб стати ЦСК, юридичній або фізичній особі — суб'єктові підприємницької діяльності — необхідно виконати низку організаційних, технічних і технологічних умов, зареєструватися в ЦЗО і далі виконувати регламентні вимоги та функції щодо надання послуг ЕЦП, які визначено законом. При цьому діяльність ЦСК щодо надання послуг ЕЦП не підлягає ліцензуванню.
Для підвищення рівня надійності, безпеки функціонування та якості надання послуг центрами сертифікації ключів Законом України "Про електронний цифровий підпис" уведено процедуру акредитації ЦСК. Аби одержати статус акредитованого, ЦСК має виконати низку додаткових організаційних, технічних і технологічних умов, визначених Кабінетом Міністрів України для таких центрів. При цьому зауважимо, що акредитація ЦСК є процедурою добровільною.
Які правові наслідки можливі для користувача — юридичної або фізичної особи, яка надає перевагу ЦСК чи акредитованому ЦСК?
Відповідно до Закону, якщо ЕЦП перевіряється з використанням сертифіката ключа, який має право формувати тільки акредитований ЦСК, а саме — посиленого сертифіката ключа, і виконується низка інших організаційних умов, то ЕЦП за правовим статусом автоматично прирівнюється до власноручного підпису.
Водночас згідно із законом ЕЦП не можна визнати недійсним, якщо він має електронну форму і не ґрунтується на посиленому сертифікаті ключа. Це означає, що коли використовуються послуги ЦСК (не акредитованого), то для того, щоб ЕЦП за правовим статусом прирівнювався до власноручного підпису, між суб'єктами електронної взаємодії має бути укладено договір у письмовій формі, котрий визначає умови визнання електронних цифрових підписів один одного, що ґрунтуються на послугах визначеного ЦСК. Крім цього, законом передбачено можливість застосування ЕЦП без використання послуг ЦСК — також на підставі договірних відносин.
Уведення інституту акредитованих ЦСК дає змогу забезпечити юридично значущий електронний документообіг між учасниками, не пов'язаними один з одним попередніми договірними відносинами в паперовому вигляді.
Фізичні та юридичні особи (щодо останніх йдеться про заміщення електронним цифровим підписом традиційної печатки) можуть використовувати ЕЦП за будь-якою з описаних схем.
Якщо електронний документообіг здійснюється державними органами, органами місцевого самоврядування, підприємствами, установами й організаціями державної форми власності або іншими юридичними та фізичними особами з державними установами, ЕЦП має застосовуватися з використанням послуг акредитованих ЦСК. Крім того, відповідно до Закону порядок застосування ЕЦП державними органами встановлюється Кабінетом Міністрів України.
Такий порядок визначається постановою Кабінету Міністрів України "Про затвердження Порядку застосування електронного цифрового підпису органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності" від 28 жовтня 2004 р. № 1452.
Контролюючий орган відповідно до законодавства - це спеціально вповноважений центральний орган виконавчої влади у сфері криптографічного захисту інформації - Адміністрація державної служби спеціального зв'язку та захисту інформації (АДССЗЗІ). Він перевіряє виконання суб'єктами ВЦП вимог законодавства у сфері ЕЦП. Крім цього, на АДССЗЗІ покладено проведення сертифікації та державної експертизи засобів ЕЦП, а також експертизи комплексної системи захисту інформації програмно-технічних комплексів ЦСК, що є одними з обов'язкових умов акредитації центрів.
Станом на 1 травня 2006 р. центри сертифікації ключів було створено на таких підприємствах:
— ДП УСС;
— ТОВ НВФ "Українські національні інформаційні системи (УНІС)";
— ЗАТ "Інфраструктура відкритих ключів (ІВК)".
Інфраструктура національної системи електронного цифрового підпису в Україні тільки починає створюватися. Тому згідно із завданнями національної програми інформатизації заплановано надалі вдосконалювати нормативно-правову і методичну бази, розробляти тарифну політику у сфері електронного цифрового підпису, маючи на меті забезпечувати ефективне та гарантоване державою функціонування національної системи електронного цифрового підпису, її динамічний розвиток і взаємодію із системами цифрового підпису інших країн.
Необхідність сертифікації засобів ЕЦП
Необхідність сертифікації відкритих ключів
Поняття електронного сертифіката
Дві моделі системи сертифікації
8.5. Технічне забезпечення режиму електронного цифрового підпису. Поняття електронного цифрового підпису
Особливості рукописного підпису
Особливості електронного цифрового підпису
Криптографічні основи застосування електронного цифрового підпису
Метод і ключ шифрування