Використання електронного підпису у фінансових установах

Зміст

                                                                                                          стор

Вступ …………………………………………………………………………		3
Розділ 1	Призначення та сутність електронного підпису ………….…	5
Розділ 2	Особистий та відкритий ключ ……………………...…………	8
Розділ 3	Центри сертифікації ключів …..………………………………	11
Розділ 4	Особливості та сфери застосування електронного цифрового підпису …………….………………………………	13
Висновки	……………………………………………………………………	15
Список використаних джерел ………………………………………………		16

 

 

 

 

 

 

 

 

 

 

 

 

 

Вступ

В сучасному світі, зважаючи на безперервний розвиток цифрових технологій, виникла необхідність передачі документів в електронному вигляді. Це і призвело до підлаштування звичних типових способів ідентифікації та підтвердження сили документальних записів до вимог сучасності. Введення електронного підпису (ЕП) зробило можливою передачу документів в електронному вигляді та значно полегшило цю процедуру. Саме це і обумовлює актуальність даного дослідження.

Вивченню даної тематики були присвячені наукові праці як вітчизняних, так і закордонних  економістів, юристів та програмістів. Серед яких слід відмітити Калінеску Т.В., Ліхоносова Г.С., Антіпова О.М, Томашевського О.М., Цегелик Г. Г., Вітер М. Б., Дубук В. І., Самоздра М.М.

Юридична сила електронного підпису в Україні підтверджена Законом України «Про електронний  цифровий підпис» від 22 травня 2003 року , який є чинним на сьогоднішній день. Даний закон був підписаний Л.Д. Кучмою, тогочасно, чинним Президентом України . Останні зміни та доповнення прийняті ВР України від 18.09.2012 р.

Метою роботи є дослідження суті на функцій електронного підпису, як аналога звичного для нас власноручного підпису та фінансових сфер його застосування.

Об’єктом дослідження є безпосередньо електронний підпис, як  результат криптографічного перетворення електронних даних. Особливості застосування ЕП, фізична сутність, призначення, роль в електронному документообігу складають предмет дослідження.

Основні завдання:

1. визначити поняття «електронний цифровий підпис», його призначення та сутність;
2. описати структуру застосування ЕПЦ за допомогою розгляду відкритого та особистого ключа;
3. визначити юридичну силу електронного підпису, з посиланням на вітчизняне законодавство;
4. розглянути роботу центрів сертифікації ключів, як спеціалізованих установ;
5. відслідкувати особливості та сфери застосування електронного цифрового підпису.

 

 

 

 

 Розділ 1 Призначення та сутність електронного підпису

Використовуючи дані з  відкритої багатомовної енциклопедія «Вікіпедія», можу навести наступне визначення терміну «Електронний цифровий підпис». Електронний цифровий підпис  (англ. digital signature) — вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа[1].

Електронний цифровий підпис призначений для використання фізичними  та юридичними особами - суб'єктами електронного документообігу:

- для ідентифікації підписувача;

- для підтвердження цілісності даних в електронній формі.

ЕЦП як спосіб ідентифікації  підписувача електронного документу, дозволяє однозначно визначати походження інформації (джерело інформації), що міститься у документі. Завдяки цьому ЕЦП є також надійним засобом розмежування відповідальності за інформаційну діяльність у суспільстві, зокрема, відповідальності за дезінформування.

Згідно до Закону України «Про електронний цифровий підпис» від 22 травня 2003 року електронним  підписом  слід вважати дані в електронній формі, які додаються до  інших  електронних  даних  або  логічно  з  ними  пов'язані та призначені для ідентифікації підписувача цих даних. При використанні електронних документів  та їхньої передачі телекомунікаційними каналами особливо ретельно треба дбати про інформаційну безпеку. Захист електронного документа здійснюється шляхом накладання електронного цифрового підпису [3].

Використання систем електронного документообігу із застосуванням електронного підпису  істотно прискорює проведення численних комерційних операцій, скорочує об'єми паперової бухгалтерської документації, економить час співробітників і витрати підприємства, пов'язані з укладанням договорів, оформленням платіжних документів, поданням звітності у контролюючі органи, отриманням довідок від різних держустанов та іншим.

Електронний цифровий  підпис  призначений  для   забезпечення діяльності   фізичних   та  юридичних  осіб,  яка  здійснюється  з використанням електронних  документів.

     Електронний  цифровий  підпис  використовується  фізичними  та юридичними  особами  -  суб'єктами електронного документообігу  для ідентифікації підписувача  та  підтвердження цілісності  даних в електронній формі.

     Використання  електронного цифрового підпису  не змінює порядку підписання  договорів та інших  документів,  встановленого  законом [3] для вчинення правочинів у письмовій формі.

     Нотаріальні  дії   із   засвідчення   справжності  електронного цифрового  підпису на електронних документах  вчиняються  відповідно до порядку,  встановленого законом.

У випадках, коли відповідно до законодавства необхідне засвідчення  дійсності підпису на документах та відповідності копій документів оригіналам печаткою, на електронний документ накладається ще один електронний цифровий підпис юридичної особи, спеціально призначений для таких цілей. Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності визначається Кабінетом Міністрів України.

Порядок застосування електронного цифрового підпису в банківській  діяльності визначається Національним банком України.

При підписанні електронного документу його початковий зміст  не змінюється, а додається блок даних, так званий Електронний цифровий підпис. Отримання цього блоку  можна розділити на два етапи:

1. На першому етапі  за допомогою програмного забезпечення  і спеціальної математичної функції  обчислюється так званий «відбиток  повідомлення» (message digest).

Цей відбиток має такі особливості:

- фіксовану довжину, незалежно  від довжини повідомлення;

- унікальність відбитку  для кожного повідомлення;

- неможливість відновлення  повідомлення по його відбитку.

Таким чином, якщо документ був модифікований, то зміниться  і його відбиток, що відобразиться  при перевірці Електронного цифрового  підпису.

2. На другому етапі  відбиток документу шифрується  за допомогою програмного забезпечення  і особистого ключа автора.

Розшифрувати ЕЦП і  одержати початковий відбиток, який відповідатиме  документу, можна тільки використовуючи Сертифікат відкритого ключа автора.

Таким чином, обчислення відбитку документу захищає його від модифікації  сторонніми особами після підписання, а шифрування особистим ключем автора підтверджує авторство документу [6].

 

 

 

 

 

 

 

 

 

 

 

 

 

Розділ 2 Особистий та відкритий ключ

Електронний цифровий підпис складається з двох ключів — особистого і відкритого. Їх відмінність полягає  в тому, що особистий ключ є конфіденційною інформацією і з нього завжди можна одержати відкритий ключ, тоді як із відкритого особистий — ніколи.

Особистий ключ ЕЦП формується на підставі абсолютно випадкових чисел, що генеруються датчиком випадкових чисел, а відкритий ключ обчислюється з особистого ключа ЕЦП так, щоб  одержати другий з першого було неможливо.

Особистий ключ ЕЦП є унікальною послідовністю символів довжиною 64 біта, яка призначена для створення  Електронного цифрового підпису  в електронних документах. Працює особистий ключ тільки в парі з  відкритим ключем. Особистий ключ необхідно зберігати в таємниці, адже будь-хто, хто дізнається його, зможе підробити Електронний  цифровий підпис.

Документ підписується ЕЦП  за допомогою особистого ключа ЕЦП, який існує в одному екземплярі тільки у його власника. Цьому особистому ключу відповідає відкритий ключ, за допомогою якого можна перевірити відповідність ЕЦП її власнику.

Відкритий ключ використовується для перевірки ЕЦП одержуваних документів (файлів) [2]. Відкритий ключ працює тільки в парі з особистим ключем. Відкритий ключ міститься в Сертифікаті відкритого ключа, і підтверджує приналежність відкритого ключа ЕЦП певній особі.

 Відкриті ключі й інша інформація про користувачів зберігається центрами сертифікації, у вигляді цифрових сертифікатів, що мають наступну структуру:

• серійний номер сертифіката;
• об'єктний ідентифікатор алгоритму електронного підпису;
• ім'я центра, що засвідчує;
• строк придатності;
• ім'я власника сертифіката (ім'я користувача, якому належить сертифікат);
• відкритий ключ власника сертифіката;
• об'єктні ідентифікатори алгоритмів, асоційованих з відкритими ключами власника сертифіката.

 З метою забезпечення  цілісності представлених у Сертифікаті  даних він підписується особистим  ключем Центру сертифікації ключів. Сертифікат відкритого ключа  може публікуватися на сайті  відповідного ЦСК відповідно  до Договору про надання послуг  ЕЦП. Управління розподілом ключів не може бути відокремлене від процесу підтримки відкритих ключів так само, як використання тільки пари ключів для шифрування не може гарантувати надійного інформаційного обміну. Впровадження технологій шифрування з відкритими ключами на корпоративному рівні без використання цифрових сертифікатів представляється малоефективним. Внаслідок необхідності сертифікатів, що підтверджують особу власника відкритого ключа, керування сертифікатами є невід'ємною частиною системи з відкритими ключами. Подібно до аналогової системи сертифікації, внутрішня система керування (така, як система e-Lock фірми Frontier Technologies, що містить компоненти для обробки цифрового підпису, Secure MIME і управління сертифікатами) видає сертифікати на відкриті ключі, перевіряючи спочатку особу користувача.

Рис 1 Схема життєвого  циклу ключів [5].

Якщо інфраструктура відкритих  ключів дозволяє відміняти або відновлювати їх, то система управління сертифікатами  повинна передбачати також можливість збереження дійсних сертифікатів та знищення недійсних. Такий процес називається  керуванням життєвим циклом ключів (рис 1).

 Життєвий цикл ключа  повинен мати фіксовану наперед  задану тривалість від моменту  його генерації до анулювання. В цьому проміжку відкритий  ключ повинен отримати відповідний  сертифікат, а користувачі - доступ  до автентичних відкритих ключів  інших абонентів телекомунікаційної  мережі. Ефективне рішення питання  управління сертифікатами також  має передбачати спосіб ведення  списку анульованих сертифікатів  з оновленням в режимі реального  часу, оскільки відкритий ключ  може використовуватись для шифрування  окремо від сертифікату, отже, представляється необхідним одночасне  видалення із системи пари  відкритих ключів разом із відповідними сертифікатами [5].

На сьогоднішній день існують  генератори з можливістю породження послідовностей з періодом порядку 2000-3000 біт. Основним недоліком існуючих генераторів є передбачуваність результатів та кореляційні залежності при певних умовах. Послідовність  вважається повністю випадковою, якщо її неможливо відтворити. Тобто, якщо використати двічі ідентичні  вхідні дані для генератора, то отримані на виході результати будуть відрізнятись між собою, якщо генератор породжує дійсно випадкові послідовності.

 

 

 

 

 

 

 

 

 

Розділ 3 Центри сертифікації ключів

Центр сертифікації ключів(ЦСК) - юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги електронного цифрового підпису та засвідчила свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі згідно з законодавством.

Акредитований центр сертифікації ключів (АЦСК) - ЦСК, акредитований в установленому порядку [7].

В Україні існує декілька таких центрів. Для отримання  ЕЦП підприємством, що планує впровадити ЕЦП, укладається договір на послуги  електронного цифрового підпису  з відповідним центром сертифікації.

Центр сертифікації — це організація, яка надає послуги електронного цифрового підпису, зокрема:

• надання у користування засобів електронного цифрового підпису
• допомога при генерації відкритих та особистих ключів
• обслуговування сертифікатів ключів:
• формування
• розповсюдження
• скасування
• зберігання
• блокування
• надання інформації щодо чинних скасованих і блокованих сертифікатів відкритих ключів
• послуги фіксування часу
• консультації та інші послуги [1].