ЗАТ Інститут Інформаційних Технологій Комплекси та засоби
advertisement
Прикладные и научно – технические аспекты
создания, применения и развития
национальной системы электронной цифровой
подписи согласно требованиям будущего
трансграничного общества
Горбенко Ю.И.(ІІТ), Цуркан А.Г., Пушкарьов А.И.(Госспецсвязь
Козлов Ю.Н.(ГУО), Оноприенко В.В.(ІІТ), Горбенко І.Д.(ХНУРЭ
Внедрение и широкое применение электронной цифровой
подписи в ЕС существенно улучшило осуществления электронных
операций на цифровом ринке ЕС. Но оказалось, что в ЕС не
существует всесторонних трансграничных и межрегиональных
основ для безопасных, надежных и простых электронных
операций, безопасных электронных услуг по электронной
идентификации, аутентификации, подписи, печатей, меток
времени, электронных документов, услуг электронной доставки и
проверки подлинности веб - сайта и т.д.
Для решения в ЕС указанных противоречий принято проект
"Регламента Европейского Парламента и Совета по электронной
идентификации и трастовых сервисов для электронных операций
на внутреннем рынке (Регламент). (Планируется принять 10.12.13)
Регламент призван обеспечить безопасные и цельные
электронные сделки между предприятиями, гражданами и
государственными органами, что позволит повышать в ЕС
эффективность государственных и частных онлайн - услуг,
электронного бизнеса и электронной торговли.
Украина сделала значительные шаги в
направлении создания и совершенствования
ІОК. В ІТС и разнообразных технологиях
должны предоставляться услуги по
обеспечению безопасности обрабатываемой
информации - целостности, аутентичности
(подлинности), доступности, неопровержимости
(наблюдательности), конфиденциальности и
надежности и пр. Качество предоставления
указанных услуг определяется ИОК, в Украине
Система ЭЦП.
Проблемы теории и практики создания и развития ІДУ(ИОК)
1. Стандартизация и унификация доверительных услуг согласно
Регламенту, криптографических примитивов, криптографических
механизмов и протоколов,
2. Создание межрегиональных основ для безопасных, надежных и
простых электронных операций.
3. Унификация, стандартизация и создание систем безопасных
электронных услуг по электронной идентификации, подписи,
аутентификации, печатей, меток времени, электронных
документов, услуг электронной доставки и проверки подлинности
веб - сайта
4. Дальнейшее теоретическое обоснование требований и условий
предоставления пользователям доверительных услуг ІДУ с
разными уровнями гарантий, и унификации.
4. Усовершенствование и разработка новых методов, механизмов
и алгоритмов криптографических преобразований по критериям
стойкости и сложности.
5. Прогнозирование развития, стандартизации, унификации и
совершенствования ІДУ для применения на международном
уровне.
6. Практическое создание и внедрение унифицированных ПТК.
7. Утверждение и введение в действие основных технических
спецификаций форматов данных и протоколов взаимодействия и
Асимметрические криптографические
преобразования для ЭЦП
Асимметрические криптографические
преобразования направленного шифрования
История создания ИОК в Украине
1.1989 год – реализация полной версии RSA
преобразования (ХВКИУ).
2. 1992 год – создание и испытание ИО (ЭП,КБ).
3. 1993год система защиты ЭП-СШ (вектор),
RSA ЦП и НШ Х 509, ISO 11166
4. 1994 год – демонстрация системы защиты
информации банка- СШ (вектор), RSA ЦП и НШ
Х 509, ISO 11166(26.06.94, Ялта, НБУ, Ю.Д.
Аристов- А.С.Савченко) (СБС, ИКТ, Сайфер).
5. 1995 год – создание и внедрение Гряда 1.
Этапы создания системы ЭЦП
1. 1997 - 2002 гг. – разработка и принятие национального
стандарта ЭЦП ДСТУ 4145 – 2002 (Институт кибернетики –
Кочубинский А.И., Шаталов А.С.)
2. Создание первого макета ЦСК согласно ISO/IEC 9594 – 8: ITU
Х 509-2004г.(ИИТ – для КП ОТІ).
3. Принятие « Правил усиленной сертификации…», Приказы №3
2005, №50 2006гг.
4. Аккредитация первых центров сертификации ключей ЦЗО,
УНИС, УСС, ИВК, АРТ МАСТЕР, УСЦ и др.
5. Гармонизация стандартов КЗИ ISO/IEC 15946 -1, ISO/IEC
15946 -3, ISO/IEC 9594 – 8: X – 509 ITU (ИИТ).
6. Вимоги до форматів, структури та протоколів засобів ЕЦП
(наказ № 1236/5/453 від 20.08.2012)
К Л АССИФИКАЦИЯ Э Ц П
Учасники ЭЦП
- одиночные;
- групповые (з
ТДС
Срок действия ключ
Спосіб проверки
- с ограничениям
-интерактивные ;
- автономный
- без ограничен
- неинтерактивные.
- интерактивны й
Каналы связи
- або без ТДС);
Математична модель
-Кольца целых
чисел
- поля Галуа
- группы точок ЕК
-Группы точок ГЕК
- фактор – кольца
-Спарив. Точю ЭК
Тип криптографии
- Симетричн ТДС
-асимметричн (с
-ТДС или без
-ТДС)
Способ вычисления
Шифрование
-с восстановлением -з шифрованием
- з додаванням
- без шифрования
- слеппая подпись
- за поручением
-общаяя подпис
Стандарты ЭЦП
RSA
Ель-Гамаля DSA
X 9.31
X 9.30-1991
ISO 11166
ГОСТ Р 34.10-94–1995
ГОСТ 34.310-95–1996
Ель-Гамаля EC
X 9.62–2001,
ISO/IEC 15946-2 : 2001
(ISO/IEC 14888-3 : 2006),
ISO/IEC 15946-4 : 2004
(ISO/IEC 9796-3 : 2006),
ГОСТ Р 34.10-2012,
ДСТУ 4145–2002
Fips 186-3 (RSA)
Fips 186-3 (DSA)
Fips 186-3 (ECDSA)
СИСТЕМА ЄЦП
Организационно – техническая
структура, предназначенная для
предоставления
услуг
ЄЦП,
объединяющая ЦСК(АЦСК, УЦ,
ЦУО), контролирующий орган,
подписывателей и пользователей
в единую систему
Нормативная база системы ЭЦП
1. Закон Украины «Об электронной цифровой подписи» от 22.05.2003 г.
2. Закон Украины «Об электронных документах и электронном документообороте» от
22.05.2003 г.
3. Правила усиленной сертификации. Утвержденные приказом ДСТСЗИ СБ Украины №3 от
13.01.2005 г
4. Приказ №141 от 20.07.2007 «Об утверждении Положения о порядке разработки,
производства и эксплуатации средств криптографической защиты информации»
Администрации Государственной службы специальной связи и защиты информации
Украины.
5. Постановление Кабинета Министров Украины от 26.05.2004 г. №680 «Об утверждении
Порядка наличия электронного документа (электронных данных) на определенный момент
времени».
6. Постановление Кабинета Министров Украины от 13.07.2004 г. №903 «Об утверждении
Порядка аккредитации центра сертификации ключей».
7. Постановление Кабинета Министров Украины от 28.10.2004 г. №1451 «Об утверждении
Положения о центральном удостоверяющем органе».
8. Постановление Кабинета Министров Украины от 28.10.2004 г. №1452 «Об утверждении
Порядка применения электронной цифровой подписи органами государственной власти,
органами местного самоуправления, предприятиями, учреждениями и организациями
государственной формы собственности».
9. Постановление Кабинета Министров Украины от 28.10.2004 г. №1453 «Об утверждении
Типового порядка осуществления электронного документооборота в органах исполнительной
власти».
10. Постановление Кабинета Министров Украины от 28.10.2004 г. №1454 «Об утверждении
Порядка обязательной передачи документированной информации».
ОСНОВНЫЕ СТАНДАРТЫ
НАЦИОНАЛЬНОЙ СИСТЕМЫ ЭЦП
ДСТУ 4145-2002. Інформаційні технології. Криптографічний
захист інформації. Цифровий підпис, котрий основуєтся на
еліптичних кривих. Формування та перевірка.
ГОСТ 34.311-95.
Информационная технология.
Криптографическая защита информации. Функция
хеширования.
ДСТУ ГОСТ 28147-2009.
Системы обработки
информации. Защита криптографическая. Алгоритм
криптографического превращения
ДСТУ ISO/IEС 15946-2006.
(1 та 3 частини)
Інформаційні технології. Методи захисту. Криптографічні
методи, котрі основуются на еліптичних кривих.
Контролирующий орган -Госспецсвязь
Г У О (ЦЗО)
Аккредитованные
УЦ НБУ
ЦСК
А Ц С К - 21
А Ц С К-3
АЦСК АКБ
Укрсиббанк
АЦСК
Приватбанк
А Ц С К-2
А Ц С К-1
ЦСК НБУ
и других банков
Зарегистрированные ЦСК
ЦСК ДКУ
ЦСК “УЦСК” ТОВ «ЦСК Україна"
ТОВ “МФС”
Подписанты и Пользователи ЭЦП
(юридические и физические лица)
Требования к форматам, структуре и
протоколам средств ЭЦП? (Приказ №
1236/5/453 от 20.08.2012))
1. Структура объектных идентификаторов для крипто
алгоритмов,
которые
являются
государственными
стандартами (Object identifier - OID)
2. Формат усиленного сертификата открытого ключа
3.Формат подписанных данных:
1 - "Базовый ЭЦП"
2 - "Базовый ЭЦП с определенной политикой подписи"
3 - "ЭЦП со ссылкой на полный набор данных проверки"
4 - "ЭЦП с полным набором данных проверки"
4Протокол определения статуса сертификата.
5Формат списка отозванных сертификатов
6. Протокол фиксирования времени
Применение модулей КЗИ в ЦСК
Криптомодуль
“Гряда-61”
Електронний
ключ “Кристал-1”
Стевой
криптомодуль
“Гряда-301”
Модуль подписи
“Гряда-41П”
Генератор ключей
“Гряда-4”
Смарт-карта
“Карта-1”
Функциональная схема ИВК для
Биометрического паспорта
Центр сертификации ключей
Сервери ЦСК
Центральні сервери
(кластер)
АБС/ІБС
БД, CMP-, TSPта OCSP-сервери
Міжмережний
екран/IPS
Дисковий масив
НМС
Мережні
криптомодулі
(кластер)
Сервери взаємодії
(кластер) Web-сервер,
LDAP-сервер,
поштовий сервер,
шлюз захисту
Комутатор
Криптомодулі
РС адміністратора РС адміністратора
безпеки
сертифікації
РС адміністратора
реєстрації
Робочі місця адміністраторів ЦСК
Сервери та
користувачі
прикладних
систем із
засобами КЗІ
Віддалені адміністратори
реєстрації
Сетевой криптомодуль “Гряда-301“
Интерфейсы: Ethernet 100/1000 Мбит
Скорость: 1200 ЭЦП / с,
600 формирований общего секрета / c
Аппаратно реализует криптографические
преобразования в составе центральных серверов
ЦСК
Комплекс захисту TCP-Комплекс захисту
Комплекс защиты TCP-соединений
Електронний ключ
“Кристалл-1”
Інтерфейс: USB
Скорость формирования
ЭЦП: 100 мс/ЕЦП
Скорость общего секрета:
800 мс/формування
Аппаратная реализация существенно НСД к лмчным
ключам со стороны внешних нарушителей и среды
IP-шифраторы
IP-шифратор "Канал-201"
Интерфейсы: 2 x Ethernet
100/1000 Мбит (RJ-45)
Скорость: до 100 Мбит / с
IP-шифратор "Канал-301"
Интерфейсы: 2 x Ethernet
100/1000 Мбит (RJ-45)
скорость: до 250 Мбит / с
IP-шифратор "Канал-401"
Интерфейсы: 2 x Ethernet
100/1000 Мбит (2 RJ-45 и
2 LC)
Скорость: до 350 Мбит / с
Обеспечивают шифрование и
контроль целостности потока IPпакетов, передаваемых через
него.
Функции:
шифрования и контроль
целостности IP-пакетов;
инкапсуляцию IP-пакетов и их
маршрутизацию между сетевыми
интерфейсами;
прием и передача
технологической (управляющей)
информации;
прием и введение в действие
ключевых данных;
установления защищенных
соединений с другими IPшифраторами.
Шлюз
защиты
Шлюз защиты
"Барьер-301"
Обеспечивает:
аутентификацию
клиентов и установления
Интерфейсы: 2 x
защищенного соединения;
Ethernet 1000 Мбит
шифрования
(RJ-45)
соединения;
приеме и передаче
Скорость : до 250
технологической
Мбит / с
(управляющей)
информации;
Обеспечивает до
прием и введение в
100 авторизации на / действие ключевых
с
данных.
Доверительные услуги в ЕС и Украине в
период 2015 – 2030 гг.
В Европейском Союзе (ЕС) признано, что укрепление доверия в онлайн-среде внутреннего рынка
является ключом к его экономического развития. В то же время отсутствие доверия заставляет
потребителей, бизнес и руководство быть в значительной неопределенности при осуществлении
операций в электронном виде на внутреннем рынке ЕС [1,2]. Но основополагающим принципом
внутреннего рынка в ЕС является то, что не должно быть никаких ограничений на предоставление
доверительных услуг провайдерами доверительных услуг на территории государства-члена,
расположенными в других государствах-членах [2]. В связи с необходимостью решения в ЕС указанных
противоречий принято существенно значимый документ - проект "Регламента Европейского
Парламента и Совета по электронной идентификации и трастовых сервисов для электронных операций
на внутреннем рынке" - в дальнейшем Регламент [3].
Он призван обеспечить безопасные и целостные электронные сделки между предприятиями,
гражданами и государственными органами, что позволит повышать в ЕС эффективность
государственных и частных онлайн - услуг в разных сферах. Регламент является основополагающим
перспективным нормативно - правовым документом, который разработан на основе значительного
опыта создания, применения и развития инфраструктуры открытого ключа в ЕС, основным его
назначением является обеспечение безопасных, целостных электронных доверительных операции в
ЕС.
Сейчас начат анализ основных положений, требований и, самое главное, разработки или
определения принципов, механизмов и методов реализации Регламента в ЕС. Но при анализе и
исследованиях в значительной степени выпущены проблемные вопросы, особенности, требования и
механизмы реализации положений Регламента, изложенные в его приложениях [3]. Они, на наш взгляд,
касаются всех безопасных электронных услуг по электронной подписи, электронных печатей,
электронных меток времени, электронных документов, услуг электронной доставки и проверки
подлинности веб - сайта [3].
ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ ОТНОСИТЕЛЬНО
КВАЛИФИКОВАНЫХ СЕРТИФИКАТОВ ЭЦП
Згідно вимог додатку І[3], кваліфіковані сертифікати електронного підпису повинні містити:
Подписант "- это физическое лицо, которое создает электронную подпись.
"Электронная подпись" - это данные в электронной форме, которые присоединяются или
логически связаны с другими электронными данными, и используются подписантом в качестве
подписи.
"Усовершенствованный электронная подпись» - это электронная подпись, которая отвечает
требованиям а) - г), приведены ниже:
а) электронная подпись однозначно связана с подписантом;
б) электронная подпись может идентифицировать подписанта;
в) электронная подпись производится с использованием данных его выработки, которые
подписант может, с высокой степенью уверенности, единолично контролировать;
г) электронная подпись связана с данными, к которым она относится, таким образом, что любое
последующее изменение данных может быть обнаружена.
"" Квалифицированный электронная подпись »- это усовершенствованный электронная подпись,
которая создается устройством для создания квалифицированной подписи, и базируется на
квалифицированном сертификате для электронных подписей.
"Данные выработки подписи" - это уникальные данные, используемые подписантом для
создания электронной подписи.
"Сертификат" - это электронный аттестат, который связывает данные для проверки электронной
подписи или печати физического или юридического лица, с соответствующим сертификатом и
подтверждает эти данные.
"Квалифицированный сертификат подписи" - это аттестат, который используется для поддержки
электронных подписей, выдается провайдером квалифицированных доверительных услуг и
соответствует требованиям, изложенным в Приложении I [4].
ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ ОТНОСИТЕЛЬНО
КВАЛИФИКОВАНЫХ СЕРТИФИКАТОВ ЭЦП
Определение в части доверительных услуг.
"Устройства для создания электронной подписи" - настроенное программное или аппаратное
обеспечение для создания электронной подписи;
"Устройство для создания квалифицированного подписи" - устройство для создания
электронной подписи, что соответствует требованиям, изложенным в Приложении II регламента
Квалифицированный электронная подпись "- это усовершенствованный электронная подпись,
которая создается устройством для создания квалифицированного подписи, и базируется на
квалифицированном сертификате электронных подписей.
"Данные выработки подписи" - это уникальные данные, используемые подписантом для
создания электронной подписи.
"Сертификат" - это электронный аттестат, который связывает данные для проверки электронной
подписи или печати физического или юридического лица, с соответствующим сертификатом и
подтверждает эти данные.
"Квалифицированный сертификат подписи" - это аттестат, который используется для поддержки
электронных подписей, выдается провайдером квалифицированных доверительных услуг и
соответствует требованиям, изложенным в Приложении I [4].
Определение в части доверительных услуг.
"Устройства для создания электронной подписи" - настроенное программное или аппаратное
обеспечение для создания электронной подписи;
"Устройство для создания квалифицированного подписи" - устройство для создания
электронной подписи, что соответствует требованиям, изложенным в Приложении
КВАЛИФИКОВАННЫЕ СЕТРИФИКАТЫ ЭП ДОЛЖНЫ СОДЕРЖАТЬ:
а) указание, по крайней мере в форме, пригодной для автоматизированной обработки, что
сертификат был выдан в качестве квалифицированного сертификата электронной подписи;
б) набор данных, которые однозначно определяют провайдера квалифицированных
доверительных услуг, выдавший квалифицированные сертификаты, и содержит, по крайней
мере, наименование государства-члена, в которой провайдер расположен, а также следующие
данные:
- Для юридического лица: наименование и регистрационный номер, которые
приводятся в официальных документах;
- Для физического лица: имя лица;
в) набор данных, однозначно представляют подписчика, которому выдан сертификат, включая,
по крайней мере, имя подписчика или псевдоним, должен быть определен как таковой;
г) данные для проверки электронной подписи, которые соответствуют данным для создания
электронной подписи;
д) сведения о начале и конце периода действия сертификата;
е) идентифицирующий код сертификата, должен быть уникальным для данного провайдера
квалифицированных доверительных услуг;
е) усовершенствованный электронная подпись или усовершенствованную электронную печать
провайдера квалифицированных доверительных услуг, выдавшего сертификат;
ж) место, где сертификат усовершенствованной подписи или усовершенствованной электронной
печати, указанных в пункте е), доступен бесплатно;
с) местоположение услуги проверки статуса действия сертификата, которая может быть
использована для получения информации о статусе действительности квалификационного
сертификата;
и) место где в устройствах создания квалифицированной подписи находятся данные создания
электронной подписи, связанные с данными проверки электронной подписи, надлежащим
образом указано, по крайней мере в форме, пригодной для автоматизированной обработки
К устройствам создания квалифицированной ЕП
предъявляються требования:
1. Устройства создания квалифицированного подписи должны с помощью соответствующих
технических и процедурных средств гарантировать, что по крайней мере:
а) обеспечивается секретность данных для создания электронной подписи, которые
используются для выработки электронной подписи;
б) данные для создания электронной подписи, которые используются для выработки
электронной подписи, могут быть созданы только один раз;
в) данные для создания электронной подписи, которые используются для выработки
электронной подписи, с достаточной уверенностью, не могут быть получены, а электронная
подпись защищен от подделки путем использования имеющихся в настоящее время
технологий;
г) данные для создания электронной подписи, которые используются для выработки
электронной подписи, могут быть надежно защищены законным подписантом от использования
другими.
2. Устройства создания квалифицированногйподписи не должны изменять данные,
подписываемые или препятствовать представлению таких данных подписанту к подписанию.
3. Генерация и управления данными для создания электронной подписи должны выполняться
провайдером квалифицированных доверительных услуг от имени подписчика.
4. Провайдеры квалифицированных доверительных услуг, управляющих данными для создания
подписи от имени подписчика, могут дублировать данные для создания электронной подписи с
целью резервирования, если выполняются следующие требования:
а) безопасность дублированных наборов данных должна быть на том же уровне, что и для
оригинальных наборов данных;
б) количество дублированных наборов данных не должна превышать минимальную,
необходимую для обеспечения непрерывности обслуживания.
Сущность и анализ требований к квалифицированным
сертификатов электронных печатей.
Согласно требованиям Приложения III [3], квалифицированные сертификаты электронных
печатей должны содержать следующие данные:
а) указание, по крайней мере в форме, пригодной для автоматизированной обработки,
сертификат был выдан в качестве квалифицированного сертификата электронной печати;
б) набор данных, которые однозначно определяют провайдера квалифицированных
доверительных услуг, выдавший квалифицированные сертификаты, и содержит, по крайней
мере, наименование государства-члена, в которой провайдер расположен, и:
- Для юридического лица: наименование и регистрационный номер, которые приводятся в
официальных документах;
- Для физического лица: имя лица;
в) набор данных, однозначно представляют юридическое лицо, которому выдан сертификат,
включая, по крайней мере, наименование и регистрационный номер, которые приводятся в
официальных документах;
г) данные для проверки электронной печати, соответствующих данным для создания
электронной печати;
д) сведения о начале и конце периода действия сертификата;
е) идентифицирующий код сертификата, должен быть уникальным для провайдера
квалифицированных доверительных услуг;
е) усовершенствованная электронная подпись или усовершенствованную электронную печать
провайдера квалифицированных доверительных услуг, выдавшего сертификат;
ж) место, где сертификат усовершенствованной подписи или усовершенствованной электронной
печати, указанным в пункте (G), доступен бесплатно;
с) местоположение услуги проверки статуса действия сертификата, которая может быть
использована для получения информации о статусе действительности квалификационного
сертификата;
и) место, где в устройствах создания квалифицированной электронной печати находятся
данные создания электронной печати, связанные с данным проверки электронной печати,
надлежащим образом указано, по крайней мере в форме, пригодной для автоматизированной
:
Квалифицированные сертификаты подлинности веб - сайта
должны содержать:
а) указание, по крайней мере в форме, пригодной для автоматизированной обработки,
сертификат был выдан в качестве квалифицированного сертификата для аутентификации веб сайта;
б) набор данных, которые однозначно определяют провайдера квалифицированных
доверительных услуг, выдавший квалифицированные сертификаты, и содержит, по крайней
мере, наименование государства-члена ЕС, в которой провайдер расположен, также:
- Для юридического лица: наименование и регистрационный номер, которые приводятся в
официальных документах;
- Для физического лица: имя лица;
в) набор данных, однозначно представляют юридическое лицо, которому выдан сертификат,
включая, по крайней мере, наименование и регистрационный номер, которые приводятся в
официальных документах;
г) элементы адреса, в том числе город и государство юридического лица, которому выдан
сертификат, как это указано в официальных документах;
д) имя (имена) домена, который использует юридическое лицо, которому выдан сертификат;
е) сведения о начале и конце периода действия сертификата;
е) идентификационный сертификата, должен быть уникальным для провайдера
квалифицированных доверительных услуг;
ж) усовершенствованный электронная подпись или усовершенствованную электронную печать
провайдера квалифицированных доверительных услуг, выдавшего сертификат;
с) место, где сертификат усовершенствованного подписи или усовершенствованной
электронной печати, указанных в пункте г), доступен бесплатно;
и) местоположение услуги проверки статуса действия сертификата, которая может быть
использована для получения информации о статусе действительности квалификационного
сертификата.
Выводы и предложения относительно использования
дополнительных требований Регламента
Проведенный анализ дополнительных требований Регламента позволяет сделать следующие
основополагающие выводы, оценки и предложения.
7.1 Требования, приведенные в приложениях I, II, III и IV Регламента, являются
дополнительными требованиями к квалифицированных сертификатов подписи, устройств
создания квалифицированной подписи, квалифицированных сертификатов электронных
печатей и квалифицированных сертификатов подлинности веб - сайта, которые в определенной
степени основаны на действующей Директиве [4].
7.2 Дополнительные требования к квалифицированных сертификатов подписи, приведенных в
приложении І[3], выдвинутые в связи с необходимостью в максимальной степени учесть
требования и практические результаты реализации Директивы [4]. В системе ЭЦП Украине
перечень и сущность требований к сертификатам ЭЦП приведены в [5]. Оба документа
основываются на действующих стандартах, в Украине [6], а на международном уровне на [7].
Дополнительные требования приведены в достаточно общем виде, поэтому Комиссия [1,2], на
наш взгляд, может регулировать обязательность или необязательность требований
делегированными ей актами [1 -3].
7.3 Дополнительные требования к квалифицированным сертификатам электронных печатей,
приведенные в Приложении III [3], выдвинутые в связи с необходимостью в максимальной
степени учесть требования и практические результаты реализации электронных печатей,
используемых в действующей системе согласно Директивы [4]. В системе ЭЦП Украины
сертификаты электронных печатей производятся на основе усиленных сертификатов ЭЦП [9].
Документы основываются на действующих стандартах, в Украине [6], а на международном
уровне на [7]. В целом дополнительные требования к квалифицированным сертификатам
электронных печатей приведены в несколько обобщенном виде, поэтому Комиссия [1,2], на наш
взгляд, может также регулировать обязательность требований к квалифицированным
сертификатов электронных печатей делегированными ей актами [1 -3].
Выводы и предложения относительно
использования дополнительных требований
Регламента
7.4 Анализ требований к квалифицированных сертификатов электронной
аутентификации веб - сайтов приложении ИV [3] показал, что они выдвинуты в
связи с необходимостью создания практически новой технологии, механизмов и
средств защиты веб - сайтов. Анализ системы изготовления и обслуживания
квалифицированных сертификатов электронной аутентификации веб - сайтов
показывает что это является достаточно сложной задачей, можно сказать
проблемой, которая требует значительных материально - технических и временных
ресурсов. Практическое корректировки дополнительных требований
квалифицированных сертификатов электронной аутентификации веб - сайтов, на
наш взгляд, в дальнейшем может регулироваться Комиссией делегированными ей
актами [1 -3].
7.5 При разработке системы изготовления и обслуживания квалифицированных
сертификатов подписи, квалифицированных сертификатов электронных печатей и
квалифицированных сертификатов электронной аутентификации веб - сайтов,
необходимо учитывать нормативные документы CEN / ISSS - серию CWA.
7.6 Общие цели Регламента такие же, как и в общих политик ЕС, в которых
фигурирует данное предложение относительно [3], они определены в Стратегия ЕС
-2020. В целом она направлена на то, что Европа превратится в разумное,
устойчивое и инклюзивное хозяйство, обеспечивающее высокий уровень занятости,
производства и социальной сплоченности, прежде всего за счет создания
трансграничного электронного мира.
Примечания
Задача аутентификации веб - сайтов не является новой технологией для
европейского сообщества. Требования к сертификатам подлинности вебсайтов, внесенные в проект Регламента, является ничем иным, как
попыткой упорядочения требований к SSL cсертификатам, которые уже
давно продаются на рынке ЭЦП. Для Украины здесь проблема в том, что
при отсутствии механизмов признания иностранных сертификатов, в том
числе, SSL, услуги по аутентификации сайтов де-факто предоставляются,
но де-юре незаконны. Во-вторых, решения для SSL сертификатов
собственного производства в Украине существуют (это делает, например,
НОКК), но доверие к ним со стороны браузеров отсутствует из-за
непрохождения их сертификации по требованиям Веб- Траста. Здесь
проблема лежит как в нормативной плоскости (международное
непризнание ДСТУ), так и в финансовой (сертификация стоит порядка
миллиона Евро и продолжается год-два). Только за решение этих двух
проблем наши сертификаты аутентификации сайтов получат доверие от
мирового сообщества, простыми словами, когда наш сертификат,
появится на веб-сервере, веб-браузер загорится зеленым цветом.
Перечень использовавных источников
1. The Electronic Signatures in Global and National Commerce Act (ESIGN, Pub.L. 106229, 14 Stat. 464, enacted June 30, 2000, 15 U.S.C. ch.96. 106th Congress Public Law
229).
2. http://ec.europa.eu/information_society/policy/esignature/eu_legislation/revision.
3. Brussels, XXX. COM(2012) 238/2. Proposal for a REGULATION OF THE EUROPEAN
PARLIAMENT AND OF THE COUNCIL on electronic identification and trust services for
electronic transactions in the internal market (Text with EEA relevance) {SWD(2012) 135}
{SWD(2012) 136}.
4. Директива 1999/93/ЄС Європейського парламенту та Ради від 13 грудня 1999
року про систему електронних підписів, що застосовується в межах Співтовариства.
5. Правила посиленої сертифікації, затверджених наказом Департаменту
спеціальних телекомунікаційних систем та захисту інформації Служби безпеки
України № 3 від 13.01.2005, зареєстрованих в Міністерстві юстиції України 27.01.2005
за № 104/10384 (у редакції наказу Департаменту спеціальних телекомунікаційних
систем та захисту інформації Служби безпеки України від 10.05.2006 № 50).
6. ДСТУ ITU-T Rec.X.509 | ISO/IEC 9594-8:2006 « Інформаційні технології.
Взаємозв’язок відкритих систем. Каталог: Основні положення щодо сертифікації
відкритих ключів та сертифікації атрибутів».
7. ISO/IEC 9594-8:2012.
Благодарим за внимание!
Адреса: м. Харьків, вул. Бакуліна, 12
Тел./факс: 8(057) 714-22-05
Web-сайт: www.iit.com.ua
E-mail: iit@iit.kharkov.ua
