Розділ «8.4. Організаційне забезпечення електронного цифрового підпису»

Організаційне забезпечення електронного цифрового підпису (ЕЦП) здійснюється відповідно до законодавства держави, на території якої використовується такий засіб ЕЦП. Якщо такого законодавства немає, правове регулювання в галузі застосування засобів ЕЦП здійснюється на основі нормативних актів адміністративних органів.

Необхідність сертифікації засобів ЕЦП

Необхідність сертифікації відкритих ключів

Поняття електронного сертифіката

Дві моделі системи сертифікації

Розглянемо питання довіри до сертифікаційного органу. Якщо, наприклад, у рамках одного міністерства є свій центр сертифікації, то, швидше за все, є й наказ міністра, що дає змогу довіряти сертифікатам, підписаним цим центром. Те саме можна сказати й про інші міністерства. Але що робити, якщо виникають договірні відносини між підрозділами, які належать до різних відомств між державними і недержавними структурами? У цьому разі необхідна певна система органів сертифікації, що утворює структуру.

Є дві структурні моделі системи сертифікації, перша з яких централізована. Вона має ієрархічний характер і відповідає потребам службового документообігу. Друга модель — децентралізована (мережний характер), яка може використовуватися в цивільному електронному документообігу.

1. Централізована система сертифікації. Кореневі та довірені центри. Оскільки централізована модель сертифікації ієрархічна, її основою є один уповноважений орган сертифікації. Такий орган називається кореневим центром сертифікації.

Якщо кореневий центр суто технічно не може забезпечити усі запити на видачу й перевірку сертифікатів, що надходять від юридичних і фізичних осіб, то він може сертифікувати інші додаткові органи, що мають назву довірених центрів сертифікації.

Довірені центри також можуть засвідчувати чужі відкриті ключі своїми закритими ключами, але при цьому їхні відкриті ключі теж потребують засвідчення. їх засвідчує своїм закритим ключем вищий центр сертифікації.

Таким чином, учасник електронного документообігу, що одержав звідкись відкритий ключ невідомого партнера, може:

а) установити наявність сертифіката, засвідченого електронним підписом центру сертифікації;

б) перевірити дійсність підпису центру сертифікації у вищому центрі сертифікації;

в) якщо вищий центр також не кореневий, а довірений, то і його підпис можна перевірити у вищому центрі, і так далі, поки перевірка не дійде до кореневого центру сертифікації.

Таку перевірку треба виконати тільки один раз. Переконавшись у правомочності довіреного центру сертифікації, можна налаштувати своє програмне забезпечення так, щоб надалі довіра йому виражалася автоматично. І лише в тих випадках, коли ланцюжок сертифікатів не вдається простежити до раніше перевіреного довіреного центру (або кореневого), програмне забезпечення видасть попередження про те, що відкритий ключ не має засвідченого сертифіката і користуватися ним не можна. Сертифікат, вірогідність якого не можна простежити до кореневого центру сертифікації, не може викликати довіри.

2. Мережна модель сертифікації. Взаємна сертифікація. Структура системи сертифікації ЕЦП у державі визначається законом про електронний цифровий підпис. Якщо такого закону немає, то можуть діяти інші моделі системи сертифікації, що ґрунтуються на підзаконних актах або на взаємних домовленостях сторін, коли вони матимуть правове значення тільки за умови прямого відображення в обопільних угодах. Наприклад, за відсутності централізованої структури довірених центрів сертифікації (чи паралельно з нею, якщо закон це допускає) можуть діяти мережні моделі сертифікації. Такі моделі охоплюють групи юридичних і фізичних осіб за відомчою чи, скажімо, картельною належністю.

Дві юридичні або фізичні особи, що вступають в електронні комерційні відносини, можуть самі взаємно завірити один одному відкриті ключі, якщо обміняються ними під час особистої зустрічі з пред'явленням один одному установчих документів чи посвідчень особи (для фізичних осіб). У цьому разі в них немає підстав сумніватися в справжній належності відкритих ключів.

Однак електронна комерція будується на тому, що її учасники не потребують очної зустрічі. Дві сторони можуть домовитися про те, що їм взаємно завірить ключі третя сторона, яку вони виберуть самі. Так само можуть домовитися й інші учасники ринку. У результаті утворюється складна структура, де всі учасники, з одного боку, пов'язані двосторонніми договірними відносинами, а з іншого — ще й виконують функції завірителів для своїх традиційних партнерів. Довіра до відкритого ключа комерсанта буде вищою, якщо він одержить якомога більшу кількість сертифікатів від інших учасників ринку.

Наприклад, припустімо, клієнту Oksanka доводиться регулярно купувати папір для письма у постачальника Магу і дотепер проблем у їхніх відносинах не було, незважаючи на те, що електронний підпис постачальника ніким не сертифіковано. У цьому разі можна говорити про те, що клієнт Oksanka сам сертифікував для себе відкритий ключ свого партнера Магу, виразивши йому повну довіру. Це можливо, якщо партнери зустрілися особисто й обмінялися відкритими ключами "з рук у руки".