Проблематика поняття електронного підпису Законодавчий аспект поняття електронного підпису
Що ж, власне, являє собою електронний підпис? Його визначення міститься в законах «та», які, по суті, є базовими (коли є електронний документ, потрібно мати також і електронний аналог підпису, рівноправний у юридичному плані зі звичайним підписом):
Електронно-цифровий підпис — сукупність даних, яка отримана за допомогою криптографічного перетворення вмісту електронного документу та дає змогу підтвердити цілісність документу та ідентифікувати особу, яка підписала цей документ.
Сфера дії закону про ЕП не розповсюджується на відносини, які виникають під час застосування електронних аналогів власноручного підпису, в тому числі переведеного в цифрову форму зображення, Тобто в даному випадку йдеться не про так званий оцифрований підпис, чи проскановане зображення звичайного підпису, а про певне число або код.
Електронний цифровий або просто цифровий підпис (ЦП) накладається, власне, на електронні документи (ЕД), які узагальнено являють собою сукупність даних, що також може бути подана як число. Цілком очевидно, що це не «звичайні» числа, а послідовність цифр, кількість яких може бути досить великою. Вмістом цих документів можуть бути тексти, графіка, відео- та аудіоінформація, числові дані тощо.
Іншими словами, накласти ЦП на ЕД по суті означає поєднати одне число з іншим. При цьому конкретний ЦП має
бути однозначно пов'язаний як з ЕД, на який він накладений, так і з тією особою, яка застосувала цей підпис. Тобто, як зміна вмісту документа, що супроводжується зміною відповідного коду, так і пов'язування його з кодом, який не отримано належним чином, мають ідентифікувати невідповідність ЦП та ЕД.
Забезпечення зазначених властивостей ЦП для ЕД базується на використанні криптографічних алгоритмів, у яких обов'язково застосовуються два параметри (числа), які називають ключами. Один з них закритий, або таємний, використовується при підписанні, а другий, який називають відкритим, — при перевірці ЦП. Природньо, що програмні, програмно-апаратні чи апаратні засоби, які застосовуються певним колом суб'єктів як для накладання ЦП, так і для їх перевірки, мають базуватися на одному й тому ж криптографічному алгоритмі з певними фіксованими параметрами, зокрема з однаковою довжиною ключа. У свою чергу, криптографічні алгоритми, які при цьому використовуються, мають бути затвердженими відповідними державними стандартами або рекомендовані до застосування уповноваженим державним органом.
У Законі «Про електронні документи та електронний документообіг» вказується, що програмно-технічні засоби, засоби для захисту інформації та засоби електронного та цифрового підпису мають бути сертифіковані або мати експертний висновок, відповідно до встановленого повноважним державним органом порядку.
Одним із суб'єктів відносин, що виникають при застосуванні ЦП, є так званий центр сертифікації ключів, який має відповідні повноваження й видає, зокрема, засвідчення належності конкретного відкритого ключа певному користувачу (власнику ЦП). Згідно з проектом, діяльність, пов'язана з організацією та функціонуванням таких центрів, віднесена до сфери криптографічного захисту інформації й підлягає ліцензуванню. Реєстрацію центрів сертифікації ключів, а також видачу сертифікатів ключів цих центрів має Одне з проблемних питань, що вирішує майбутній закон, — це робота центрів сертифікації ключів (ЦСК), які мають надавати послуги цифрового підпису. Згідно з останнім варіантом законопроекту, ЦСК — це фізична особа-суб'єкт підприємницької діяльності або юридична особа будь-якої форми власності, що отримала повноваження надавати послуги цифрового підпису. Спеціалісти передбачають, що кількість бажаючих займатися такою діяльністю, можливо, буде досить обмеженою. Зокрема, тому, що фінансовий бар'єр виходу на ринок таких структур за нинішніх умов буде досить високим з огляду на специфіку їхніх функцій (надання засобів цифрового підпису, формування, розповсюдження, скасування, блокування та поновлення сертифікатів ключів, генерація відкритих та особистих ключів тощо). А враховуючи те, що все має починатися практично з нуля, оскільки майже таким на даному етапі є ринок користувачів, «відбиття» зроблених вкладень буде досить довгим.
Наприклад, у «паралельному» російському законі сказано, що «вказана організація має надати обгрунтування своєї здатності щодо несення цивільної відповідальності у розмірі, який не менш ніж в 1 тисячу разів перебільшує максимальний розмір ціни угоди, який даний центр може вказувати у сертифікаті ключа підпису». Виходячи з цієї норми закону, російські аналітики передбачають, що основними претендентами на отримання права видачі електронного цифрового підпису будуть російські банки.
Можна передбачити, що в Україні, як і в Росії, комерційні банки також не залишаться осторонь. Згідно із законопроектом, ЦСК на початку надання послуг повинен отримати сертифікат ключа від так званого Центрального засвідчуючого органу (юридичної особи або підрозділу юридичної особи, що визначається органом державного управління, який реалізує державну політику у сфері криптографічного захисту інформації). Тарифи на послуги Центрального засвідчуючого органу мають встановлюватися Кабміном. До речі, існування подібного центрального органу, виходячи з міжнародного досвіду, є спірним. Деякі країни взагалі обходяться без нього. Але розробники закону вважають, що в українських умовах для наведення порядку централізація необхідна. Наприклад, єдиний орган потрібен тоді, коли справа торкнеться взаємного визнання сертифікатів різних країн. З урахуванням нинішніх реалій, проект закону орієнтований на використання саме посиленого цифрового підпису — так званого «advanced» (оскільки бурхливий розвиток електронних технологій робить можливим неможливе, і коло осіб, здатних скоїти злочин у цій сфері, суттєво розширилося). Інші види підписів, що теоретично існують, можна буде застосовувати на основі угод суб'єктів, але при цьому у випадку виникнення конфліктів вони самі мають доводити юридичну силу цих підігисів.
Закон передбачає, що мають застосовуватися національні стандарти криптографії або ті, на які «дав добро» так званий Контрольний орган (орган державного управління, який реалізує державну політику у сфері криптографічного захисту інформації).
При розробці законодавства України в цій сфері, потрібно враховувати принципи технологічного нейтралітету (держава не може віддавати перевагу певному обладнанню, що забезпечує обмін електронними повідомленнями) і принципи прозорості, котрі визначені, як забезпечення загальнодоступності інформації про умови доступу до використання мереж і послуг загального користування».