Современные
информационные технологии/ Информационная безопасность
Дубчак О. В., Кобець В.Ф.
Національний авіаційний університет(НАУ), Україна
ЕЦП ЯК ЗАСІБ ЗАХИСТУ ЕЛЕКТРОННИХ ДАНИХ
Вступ. Застосування інформаційних технологій
при створенні, опрацюванні, передачі й зберіганні документів вимагає в певних випадках збереження конфіденційності їхнього змісту. Використання будь - яких документів
із забезпеченням їх юридичної чинності неможливе без гарантії їхньої
вірогідності, тобто наявності для документів на матеріальних носіях підпису
посадової особи й печатки організації. Популярність використання інформації в електронному вигляді привела до впровадження електронного документообігу на різних рівнях
суспільної діяльності.
Актуальність. Разом з поширенням електронного
документообігу постає проблема ефективного захисту електронних даних від
зловмисних дій осіб, які мають можливість
їхнього перехоплення, спотворення
та модифікації.
Постановка проблеми. Одним з найефективніших сучасних засобів підтвердження достовірності
особи відправника та цілісності документа є електронно-цифровий підпис (ЕЦП).
Аналіз сучасних досліджень і
публікацій. Проблемі впровадження
ЕЦП в Україні присвячені роботи фахівців у банківській сфері Ф.Левашова,
А.Савченка, спеціалістів у сфері
інформаційних технологій Т.Мельника та В.Онопрієнка.
Мета роботи - на основі аналізу структури
системи ЕЦП в Україні провести її
порівняння зі структурами відповідних систем в інших європейських країнах.
Викладення матеріалу. Задля вирішення проблеми
захищеності електронних даних від копіювання, модифікації, підробки тощо в
Україні була впроваджена система ЕЦП, використання якої в державі
регламентується Законами «Про електронний цифровий підпис» та «Про електронні документи та електронний документообіг»
від 2003 р. [1]
Складність процедури функціонування електронного
документообігу, відсутність єдиної системи використання алгоритмів ЕЦП для всіх
її суб’єктів обмежує області
користування ним небагатьма випадками, такими, наприклад, як здійснення
банківських операцій, подання різного роду звітів до державних органів, заяв
для реєстрації, податкових облікових документів.
Наочний приклад порядку використання ЕЦП можна отримати у
банківській сфері (рис.1.).
Рис.1
Застосування ЕЦП в банківській сфері
Центральний засвідчувальний орган засвідчує своїм
кореневим сертифікатом Центри сертифікації ключів (ЦСК) і засвідчувальні центри
(ЗЦ). ЗЦ НБУ засвідчує ЦСК, створені в банківських установах (БУ). ЦСК
засвідчують сертифікатами відкриті ключі користувачів [2, 3].
Формування ЕЦП створюється згідно з асиметричним
алгоритмом RSA і відбувається за наступною схемою. Користувач звертається в ЦСК або у БУ для їх отримання.
БУ або сам користувач в одній
сесії генерує пару ключів: секретний
(СК) - особистий і відкритий (ВК) -
прилюдний. СК передається у вигляді файлу користувачу, який зберігає його в
таємниці. ВК підписується сертифікатом ЦСК і передається користувачу у вигляді
файлу. Користувач може вільно поширювати ВК, який знаходиться у
відповідному сховищі, серед своїх кореспондентів. Під час
надсилання документа в БУ, державні органи або іншому кореспондентові
користувач “підписує” файл своїм СК, тобто ставить контрольну суму (КС) у
вигляді алфавітно - цифрової послідовністі у файл і надсилає його кореспондентові.
Останній, отримавши файл і знаючи ВК, за певним алгоритмом самостійно
розраховує КС. За умови збігу КС, що знаходиться у файлі, і КС, розрахованої
кореспондентом, отриманий файл вважається автентичним - тобто таким, що був
надісланий саме тим користувачем, чий ЕЦП зазначений у даному файлі [2].
Для з’ясування переваг та недоліків такої системи слід
провести її порівняння з існуючими європейськими аналогами. Простота і доступність ЕЦП серед населення
європейських країн позитивно вплинули на його популярність. В Естонії,
наприклад, впроваджена загальна система ЕЦП.
Сертифікаційні послуги надаються з лютого 2001 р. АТ Sertifitseerimiskeskus, що поставляє не
тільки послуги ЕЦП та тимчасових штампів, а й з січня 2002 р. стало також
партнером щодо сертифікаційних послуг ID-карт, які є обов'язковими для всіх
постійних мешканців країни. У ID-карту, крім
ЕЦП, інтегрований сертифікат
аутентифікації.
З 2007 р. в
країні, паралельно з ID-карткою, впроваджена також картка Mobiil-ID, яка
має рівноцінні функції із SIM-карткою стільникового телефону та об'єднана з
нею. Процедура підписування проста – за допомогою одного онлайн - сервісу DigiDoc, за основу беруться основні
властивості естонської ID-картки - авторизація, підпис і шифрування. У
результаті наявні: цифровий підпис файлів (DigiDoc клієнт, портал або третя
сторона через DigiDocService); шифрування і дешифрування файлів (DigiDoc
клієнт); підтвердження дійсності (DigiDocСheck); підпис електронної пошти;
підпис або авторизація за допомогою мобільного телефону (Mobiil-ID).
Понад 90% громадян країни мають e - ID – картки, однак
естонські спеціалісти не зупиняються на досягнутому - Естонія планує надавати
послуги не лише своїм громадянам, а й усім хто прагне мати бізнес в цій країні
[4].
Висновки. Для забезпечення надійності й
вірогідності електронних документів, використання яких зазнає усе більшого поширення, застосовуються різноманітні методи захисту
інформації, серед яких одними з найбільш ефективних є криптографічні. Саме на основі механізму криптографії і
побудований ЕЦП.
Інтеграційні процеси, що відбуваються в Україні щодо європейського простору,
вимагають змін у багатьох галузях, в
тому числі і у сфері електронного
документообігу, основними недоліками якої сьогодні є: гальмування конкуренції
та інновацій щодо сертифікації;
відсутність єдиної системи використання алгоритмів ЕЦП для всіх її
суб’єктів; відсутність авторських прав держави на ЕЦП - інфраструктуру. Ці
проблеми потребують вирішення у найкоротші терміни.
Література:
1. Про електронні документи та
електронний документообіг : закон України від 22 травня 2003 року № 851-IV
[Електронний ресурс]. – Режим доступу : www.zakon.rada.gov.ua.
2. Сертифікати акредитованих ЦСК та ЗЦ
[Електронний ресурс]. – Режим доступу: http://www.czo.gov.ua/index.php?page=cca&type=1
3. Акредитовані ЗЦ та ЦСК [Електронний
ресурс]. – Режим доступу: http://www.czo.gov.ua/index.php?page=reestr.
4. Directive 2007/64/EC of the European
Parliament and of the Council [Електронний ресурс] – Режим доступу: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:319:0001:01:EN:HTML