7. 7. Проблематика поняття електронного підпису Законодавчий аспект поняття електронного підпису

Що ж, власне, являє собою електронний підпис? Його визначення міститься в законах «та», які, по суті, є базовими (коли є електронний документ, потрібно мати також і елек­тронний аналог підпису, рівноправний у юридичному плані зі звичайним підписом):

Електронно-цифровий підпис — сукупність даних, яка отримана за допомогою криптографічного перетворення вмісту електронного документа та дає змогу підтвердити цілісність документа й ідентифікувати особу, котра підписа­ла цей документ.

Сфера дії закону не розповсюджується на відносини, які виникають під час застосування електронних аналогів влас­норучного підпису, в тому числі переведеного в цифрову фор­му зображення, Тобто в даному випадку йдеться не про так званий оцифрований підпис, чи проскановане зображення звичайного підпису, а про певне число або код.

Електронний цифровий або просто цифровий підпис (ЦП) накладається, власне, на електронні документи (ЕД), які уза­гальнено являють собою сукупність даних, що також може бути подана як число. Цілком очевидно, що це не «звичайні» числа, а послідовність цифр, кількість яких може бути до­сить великою. Вмістом цих документів можуть бути тексти, графіка, відео- та аудіоінформація, числові дані тощо.

Іншими словами, накласти ЦП на ЕД по суті означає поєднати одне число з іншим. При цьому конкретний ЦП має

бути однозначно пов'язаний як з ЕД, на який він накладе­ний, так і з тією особою, яка застосувала цей підпис. Тобто, як зміна вмісту документа, що супроводжується зміною відповідного коду, так і пов'язування його з кодом, який не отримано належним чином, мають ідентифікувати невідповідність ЦП та ЕД.

Забезпечення зазначених властивостей ЦП для ЕД ба­зується на використанні криптографічних алгоритмів, у яких обов'язково застосовуються два параметри (числа), які називають ключами. Один з них закритий, або таємний, ви­користовується при підписанні, а другий, який називають відкритим, — при перевірці ЦП. Природньо, що програмні, програмно-апаратні чи апаратні засоби, які застосовуються певним колом суб'єктів як для накладання ЦП, так і для їх перевірки, мають базуватися на одному й тому ж крипто­графічному алгоритмі з певними фіксованими параметрами, зокрема з однаковою довжиною ключа. У свою чергу, крип­тографічні алгоритми, які при цьому використовуються, мають бути затвердженими відповідними державними стан­дартами або рекомендовані до застосування уповноваженим державним органом.

У Законі «Про електронні документи та електронний до­кументообіг» вказується, що програмно-технічні засоби, за­соби для захисту інформації та засоби електронного та циф­рового підпису мають бути сертифіковані або мати експерт­ний висновок, відповідно до встановленого повноважним державним органом порядку.

Одним із суб'єктів відносин, що виникають при застосу­ванні ЦП, є так званий центр сертифікації ключів, який має відповідні повноваження й видає, зокрема, засвідчення на­лежності конкретного відкритого ключа певному користува­чу (власнику ЦП). Згідно з проектом, діяльність, пов'язана з організацією та функціонуванням таких центрів, віднесена до сфери криптографічного захисту інформації й підлягає ліцензуванню. Реєстрацію центрів сертифікації ключів, а та­кож видачу сертифікатів ключів цих центрів має Одне з проблемних питань, що вирішує майбутній за­кон, — це робота центрів сертифікації ключів (ЦСК), які ма­ють надавати послуги цифрового підпису. Згідно з останнім варіантом законопроекту, ЦСК — це фізична особа-суб'єкт підприємницької діяльності або юридична особа будь-якої форми власності, що отримала повноваження надавати по­слуги цифрового підпису. Спеціалісти передбачають, що кількість бажаючих займатися такою діяльністю, можливо, буде досить обмеженою. Зокрема, тому, що фінансовий бар'єр виходу на ринок таких структур за нинішніх умов бу­де досить високим з огляду на специфіку їхніх функцій (на­дання засобів цифрового підпису, формування, розповсюд­ження, скасування, блокування та поновлення сертифікатів ключів, генерація відкритих та особистих ключів тощо). А враховуючи те, що все має починатися практично з нуля, оскільки майже таким на даному етапі є ринок користувачів, «відбиття» зроблених вкладень буде досить довгим.

Наприклад, у «паралельному» російському законі сказа­но, що «вказана організація має надати обгрунтування своєї здатності щодо несення цивільної відповідальності у розмірі, який не менш ніж в 1 тисячу разів перебільшує максималь­ний розмір ціни угоди, який даний центр може вказувати у сертифікаті ключа підпису». Виходячи з цієї норми закону, російські аналітики передбачають, що основними претенден­тами на отримання права видачі електронного цифрового підпису будуть російські банки.

Можна передбачити, що в Україні, як і в Росії, ко­мерційні банки також не залишаться осторонь. Згідно із за­конопроектом, ЦСК на початку надання послуг повинен от­римати сертифікат ключа від так званого Центрального засвідчуючого органу (юридичної особи або підрозділу юри­дичної особи, що визначається органом державного уп­равління, який реалізує державну політику у сфері крипто­графічного захисту інформації). Тарифи на послуги Цент­рального засвідчуючого органу мають встановлюватися Кабміном. До речі, існування подібного центрального орга­ну, виходячи з міжнародного досвіду, є спірним. Деякі

країни взагалі обходяться без нього. Але розробники закону вважають, що в українських умовах для наведення порядку централізація необхідна. Наприклад, єдиний орган потрібен тоді, коли справа торкнеться взаємного визнання сер­тифікатів різних країн. З урахуванням нинішніх реалій, проект закону орієнтований на використання саме посилено­го цифрового підпису — так званого «advanced» (оскільки бурхливий розвиток електронних технологій робить можли­вим неможливе, і коло осіб, здатних скоїти злочин у цій сфері, суттєво розширилося). Інші види підписів, що теоре­тично існують, можна буде застосовувати на основі угод суб'єктів, але при цьому у випадку виникнення конфліктів вони самі мають доводити юридичну силу цих підігисів.

Закон передбачає, що мають застосовуватися національні стандарти криптографії або ті, на які «дав добро» так званий Контрольний орган (орган державного управління, який ре­алізує державну політику у сфері криптографічного захисту інформації).

При розробці законодавства України в цій сфері, потрібно враховувати принципи технологічного нейтралітету (держа­ва не може віддавати перевагу певному обладнанню, що за­безпечує обмін електронними повідомленнями) і принципи прозорості, котрі визначені, як забезпечення загальнодос­тупності інформації про умови доступу до використання ме­реж і послуг загального користування».