Вибирай та оформлюй фінансові та страхові послуги

Електронний цифровий підпис (Electronic Digital Signature): особливості отримання та її призначення

Активний розвиток цифровізації сприяло переходу звичного документообігу на паперових носіях в сферу електронних форм. Електронні звіти, рахунки, квитки, декларації і безліч інших ділових паперів впевнено витісняють з обігу паперовий документообіг електронним.

Коментарі

Відповідно, це зумовило появу обов'язкового реквізиту, яким є електронно-цифровий підпис – згенерований в довільному порядку шифр цифрового формату, що захищає документ від фальсифікації, несанкціонованої зміни, в тому числі шляхом внесення неправдивої інформації. Крім цього, ЕЦП здатна забезпечити аутентифікацію особи, що створила документ і який підписав його.

Розглянемо детально всі аспекти застосування Е-цифрового підпису, що це таке, де і як застосовується, як отримати і що таке «сертифікат ключа». Інформація, наведена в статті, допоможе розібратися в непростій, але актуальній темі цифрового документообігу.

Електронний цифровий підпис: що це?

Як і підпис, зроблена кульковою або пір'яною ручкою на папері, Е-підпис (електронний цифровий підпис) є невід'ємним реквізитом будь-якого документа, виконаного в цифровому форматі. Вона генерується шляхом криптографічного методу шифрування будь-якої довільної і відкритої інформації. Інструментом для цього служить заданий порядок символів і дій (алгоритм). Іншими словами, створюється цифровий шифр з ключами, як для шифрування, так і для розшифровки даних.

Існують кілька видів криптографічних маніпуляцій, але при обміні даними найчастіше використовуються симетричні і асиметричні шифрування:

  • Симетричне шифрування передбачає наявність двох однакових ключів у кожної зі сторін: один «закриває», другий – «відкриває» передані дані. Такий спосіб захищає передачу даних від втручання (доступу) третьої сторони.
  • Асиметричне шифрування передбачає наявність двох пар різних ключів: відкритого і секретного. Якщо шифрування відбувалося за допомогою відкритого ключа, то розшифровка можлива за допомогою таємного, і навпаки. Скористатися ключами з різних пар неможливо, оскільки кожна пара невід'ємна ланка всієї системи.

Що ж стосується електронно-цифрового підпису, то її наявність підтверджує приналежність створеного (підписаного) документа певній особі, а також дозволяє визначити справжність документа і відсутність в ньому помилок (перекручувань). Цифровий підпис дозволяє встановити дату і час складання та підписання документа, а також зміни, які були зроблені відправником.

електронно цифровий підпис фото зовнішнього вигляду

Електронний цифровий підпис: що таке «сертифікат ключа»?

Це – документ, що підтверджує володіння (на замовлення) відкритого ключа. Цей документ підтверджує автентичність власника ключа і видається спеціалізованими центрами сертифікації ключів.

Сертифікат несе відповідальність за достовірність даних власника і містить відкритий ключ, підтверджений підписом довіреної особи. Така система дозволяє захистити ключ від підміни.

На практиці існують два види систем сертифікатів:

  • централізована – центри сертифікації з довіреними організаціями;
  • децентралізована – з використанням індивідуальної мережі довіри, що складається зі знайомих та довірених осіб.

Центр сертифікації видає сертифікати користувачам, засвідчуючи справжність їх даних своїм цифровим підписом.

Як отримати електронний цифровий підпис?

Акредитований центр сертифікації ключів входить до складу департаменту ДФС (Інформаційно-довідкового департаменту ДФС).

АЦСК безкоштовно надає послуги з електронного цифрового підпису компаніям і організаціям всіх форм власності, фізичним особам, іншим підприємствам та установам, у тому числі і бюджетним.

Сервіс від АЦСК включає:

  1. Збір документів (реєстрація) від бажаючих отримати ЕЦК;
  2. Технічна допомога в генеруванні ключів;
  3. Користування засобами електронно-цифрового підпису;
  4. Обслуговування посилених сертифікатів ключів;
  5. Фіксація часу створення документа;
  6. Консультації.

Детально ознайомитися з повним переліком послуг можна на офіційному веб-сайті acskidd.gov.ua .

Слід зазначити, що послуги створення електронного цифрового підпису також надають спеціалізовані фірми, які мають акредитацію і державні ліцензії на надання такого роду сервісу. Вартість і перелік послуг у кожній з таких компаній індивідуальні.

Список документів для отримання електронного цифрового підпису

Одержувачами електронного цифрового підпису можуть бути, як юридичні особи і підприємці, так і приватні (фізичні) особи. Для кожної з цих категорій розроблений спеціальний перелік документів, з яким можна ознайомитися на веб-сайті відомства (див. вище).

Наводимо список документів, необхідних від фізичної особи для отримання цифрового електронного підпису:

  1. Реєстраційна картка (бланк і зразок заповнення можна завантажити на сайті https://acskidd.gov.ua/fiz_osoba).
  2. Копія паспорта (1 і 2 сторінки, якщо є позначки, то зробити копії 3,4,5 і 6 сторінок). Якщо паспорт виготовлений у формі ID-карти, то буде потрібно копія лицьового та зворотного боків і виписка з Державного демографічного реєстру про місце реєстрації.
  3. Копія посвідчення про постійне (тимчасове) місце проживання або паспорт (для іноземців) з нотаріально завіреним перекладом.
  4. Копія карти платника податків, завірний підписом заявника.

Подачу документів можна зробити через довірену особу, але буде потрібне додаткове оформлення довіреності для нього.

У перелік необхідних документів включені конверти з розрахунку – один конверт на кожного носія ключа. Якщо кількість конвертів у пакеті документів буде недостатнім, то вам, швидше за все, відмовлять не тільки в реєстрації, але і в прийомі документів.

використання цифрового підпису

Де використовується електронно-цифровий підпис?

Електронний цифровий підпис в Україні використовується досить широко, оформити безкоштовно можна в АЦСК або за певну плату у спеціалізованих компаній, які мають право надавати такий сервіс.

Перелік систем України, в яких приймається ЕЦП:

  • Електронний кабінет платника;
  • Сайт публічних закупівель ProZorro;
  • Електронні послуги Міністерства юстиції;
  • Система електронної взаємодії органів виконавчої влади;
  • Петиції Президенту України;
  • Портал держзакупівель;
  • Державна служба статистики;
  • Міністерство соціальної політики (допомога при народженні дитини, призначення житлової субсидії);
  • Адміністративні послуги Міністерства внутрішніх справ;
  • Послуги державного земельного кадастру;
  • Державна служба з надзвичайних ситуацій.

Більш повний список діючих в Україні систем, які беруть ЕЦП, - здесь (https://acskidd.gov.ua/partnership )

Важливо!

  • Термін дії посилених сертифікатів відкритих ключів становить 24 місяці;
  • Посилені сертифікати відкритих ключів розміщуються на сайті АЦСК в цифровому вигляді;
  • Формування ключів здійснюється на надані заявником носії. При цьому кожен ключ повинен бути записаний на окремий знімний носій;
  • Працівники органів державної влади не можуть реєструвати ЕЦП за дорученням, а також не можуть мати кілька посилених сертифікатів одночасно.

Як виник електронний цифровий підпис?

Вперше термін ЕЦП (Electronic Digital Signature) був придуманий більше чотирьох десятків років американськими криптографами Мартіном Хеллманом та Уітфілд Діффі. Ці талановиті ентузіасти поклали початок розвитку криптографії в тому вигляді, який існує зараз. Діффі розробив концепцію криптографії з відкритим ключем, а Хеллман здобув популярність за створення асиметричної криптосистеми.

Через рік був розроблений криптографічний алгоритм з відкритим ключем. Назва алгоритму RSA втілило в собі великі літери прізвищ творців: Rivest, Shamir і Adleman.

Якщо бути гранично точними, то перші криптографічні шифровки практикували древні єгиптяни, а в Стародавній Греції спартанці розробили пристрій для шифрування повідомлення – скіталу у вигляді циліндра, обернутого пергаментом. У Стародавньому Римі шифрування практикувалося в армії Юлія Цезаря. Історія знає й інші приклади захищеного зв'язку і зародження криптографії.

У новітній історії електронний цифровий підпис удосконалювався зусиллями багатьох криптографів. Наприклад, придбала захист від підробки та злому шляхом створення складного алгоритму безпеки цифрового підпису.

Сучасне програмне забезпечення, яке використовується АЦСК, здатне генерувати не тільки ключі, але і накладати цифровий підпис на будь-яку інформацію, викладену в цифровому форматі. Це стосується не тільки текстових масивів інформації, але і звукових, відео і файлів баз даних. Нинішні електронні ключі здатні провести аутентифікацію при кожному сеансі доступу, що значно підвищує ступінь захищеності від несанкціонованого проникнення до ЕЦП сторонніх осіб.

процес ідентифікації ЕЦП

Підробка цифрових підписів

Вище згадувалося про те, що електронно-цифровому підпису слід забезпечити високий ступінь захисту від злому. Доступ третіх осіб до ключів, як правило, має на меті зміну документа, внесення недостовірних відомостей, або які вводять в оману. Розглянемо моделі атак і ризики, пов'язані з ними.

Види атак і їх наслідки

  • При атаці використовується відкритий ключ;
  • При атаці використовуються тільки відомі зломщику повідомлення;
  • При атаці зломщик вибирає потрібні йому повідомлення (адаптивна атака).

Це варіанти злому, а ось до яких наслідків це може призвести:

  • Зловмисник отримує повний доступ до алгоритму, відбувається повний злом закритого ключа;
  • Підбір аналогічного алгоритму, який дозволяє підробляти підпис;
  • Аналогічний алгоритм використовується при вибірковій підробці документів;
  • Підробка документа, вибір якого відбувається випадковим чином.

Найбільш складна, а на думку більшості фахівців неможлива – підробка алгоритму закритого ключа. Ймовірність виконання такого завдання при рівні розвитку сучасного програмного забезпечення прагне до нуля, а на практиці вважається невиконаною.

Колізія першого роду

Такий вид злому аналогічний способу створення підпису для довільного документа, до якого випадково підходить ЕЦП. Втім, ймовірність злому таким способом досить низька і на практиці зустрічається дуже рідко, оскільки наступ колізії фальшивого документа з ісходником можлива при збігу кількох важких у виконанні технічних параметрів.

Колізія другого роду

Таке буває, якщо зломщик створює два файли з ідентичним підписом. Такий варіант також малоймовірний, але за шкалою захищеності знаходиться нижче колізії першого роду і екзистенціальної підробки ключа. Більшою мірою такому злому схильні сертифікати SSL-сертифікати і MD5 (Message Digest S).

Соціальні атаки

Цей вид атак можливий, якщо не використовуються протоколи обміну ключами, а також, якщо рівень захисту ключа досить низький. На практиці соціальні атаки виглядають як крадіжка закритого ключа, обман, шантаж і т.п.

Управління ключами

Вище згадувалося про важливість підтвердження автентичності власника ключа. Сертифікати дозволяють визначити достовірність власника ключа, але існують і інші правила управління ключами.

Управління відкритими ключами

Механізм перевірки достовірності відкритого ключа полягає в створенні централізованих та децентралізованих систем сертифікатів. Як зазначалося вище, ці системи дозволяють управляти ключами, а саме: забезпечують доступ користувачів до відкритого ключа іншого користувача, гарантують захист від підміни і своєчасний відгук, якщо відкритий ключ був скомпрометований діями третіх осіб.

Як зберігати закритий ключ?

Втрата або злом закритого ключа – це найгірше, що може статися з криптосистемою цифрового підпису. Тому, щоб уникнути непотрібних складнощів від втрати або спотворення даних, слід зберігати закритий ключ в захищеному місці.

Найчастіше, це робиться або на персональному комп'ютері, або на знімному USB-носії. Вважається, що найбільш захищеним місцем зберігання закритих ключів є смарт-карта, яка передбачає двухфакторную аутентифікацію.

При виборі способів зберігання закритого ключа варто пам'ятати, що відповідальність за втрату ключа несе виключно його власник.

Висновок

Поява електронного цифрового підпису значно спростило життя підприємцям малого та середнього бізнесу. У них відпала необхідність вести паперовий документообіг електронним, а з'явилася можливість здавати звіти до контролюючих органів через інтернет, не відвідуючи їх.

За матеріалами Maanimo.com
5,01
Коментарі