Особливості застосування електронних довірчих послуг та забезпечення прав людини при електронній ідентифікації

Cherednychenko Andrii

Senior Staff Scientist of the State Research Institute MIA Ukraine

Features of application of electronic trust services and provision of human rights in electronic identification

The purpose of the paper is to recommend the implementation of measures in Ukraine and the establishment of an appropriate mechanism for electronic identification, which will allow transactions and electronic services to be more efficient - will be more reliable and economical in monetary terms. It envisages simplification of an interaction with public authorities, reduction of the corruption component of the bureaucracy in the country, as well as the reduction of paperwork. E-government systems, e-medicine, the provision of administrative services in electronic form, ecommerce are becoming more accessible and safer. Mutually recognized identification schemes allow for cross-border interactions with government and business representatives from other countries. In terms of international cooperation, Ukrainian residents have the opportunity to communicate with foreign entities within a single digital legal field.

Reliable identification solutions ensure human rights and reduce the losses associated with fraud and cybercrime, create a higher level of confidentiality and security in the transfer of data and information between participants in the electronic space.

A unique set of data that allows you to uniquely identify an individual or legal entity is identification data. With the help of such data the identification of persons is carried out.

Identification data of an individual fall under the definition of personal data. The legal status of personal data is established by the Law of Ukraine “On Information” and the Law of Ukraine “On Personal Data Protection”. In the aspect of personal data, rules are established regarding their use. There must be legitimate grounds for processing such data. In particular, such a ground is the consent of an individual to the specified processing. The collection, storage, use and dissemination of confidential information about a person without his or her consent is not permitted, except in cases specified by law and only in the interests of national security, economic well-being and human rights.

Keywords: qualified electronic signature; electronic trust services; electronic document; data signing; identity identification; keys; data protection; ensuring human rights.

Згідно із Законами “Про електронні довірчі послуги” та “Про основні засади забезпечення кібербезпеки України”, Кабінет Міністрів України забезпечує формування та реалізацію державної політики у сфері кібербезпеки, захист прав та свобод людини і громадянина, національних інтересів України у кіберпросторі, боротьбу з кіберзлочинністю; організовує та забезпечує необхідними силами, засобами і ресурсами функціонування національної системи кібербезпеки; формує вимоги й забезпечує функціонування системи аудиту інформаційної безпеки на об'єктах критичної інфраструктури (крім об'єктів критичної інфраструктури у банківській системі України).

Звісно, самого лише прийняття нормативного документа недостатньо, потрібен також комплекс заходів щодо реалізації положень таких документів. Саме прийняття Законів можна розцінювати як рушійну силу, за допомогою якої можна досягти комплексного результату з поліпшення механізмів електронної ідентифікації.

Метою статті є рекомендація впровадження в Україні заходів та встановлення належного механізму електронної ідентифікації, що дасть змогу здійснювати транзакції та електронні послуги оперативніше - будуть більш надійними й економними в грошовому еквіваленті. Передбачається спрощення взаємодії з органами державної влади, зменшення корупційної складової бюрократії в країні, а також зниження паперового документообігу. Системи електронного урядування, електронної медицини, надання адміністративних послуг в електронній формі, електронна торгівля стають доступнішими й безпечнішими. Схеми ідентифікації, що взаємно визнаються, дають змогу взяти участь у транскордонних взаємодіях з урядом і представниками бізнесу з інших країн. У аспекті міжнародної співпраці в українських резидентів з'явилася можливість комунікувати з іноземними суб'єктами в межах єдиного правового цифрового поля.

Надійні ідентифікаційні рішення забезпечують права людини і зменшують втрати, пов'язані із шахрайством і кіберзлочинністю, забезпечують більш високий рівень конфіденційності та безпеки під час передачі даних та інформації між учасниками електронного простору.

Технічні особливості застосування електронного підпису

У практичній діяльності важливо не тільки захищати дані від незаконного користувача, а й мати можливість перевірити авторство цього повідомлення, щоб воно не було змінено сторонньою особою. Саме для вирішення цих проблем було розроблено ряд алгоритмів електронних підписів (ЕП). У основу більшості з них покладено ідею використання деякої односторонньої функції із секретним ключем F_K для створення пари бінарних рядків (M, Q), де M - електронний документ, а Q - значення рівняння F_K(Q)=M.

Виділимо такі властивості ЕП:

1) при будь-якому K існує поліноміальний алгоритм обчислення значення F_K(Q);

2) при невідомому K не існує поліноміального алгоритму для вирішення рівняння F_K(Q)=M відносно Q;

3) при відомому K існує поліноміальний алгоритм для вирішення рівняння F_K(Q)=M відносно Q.

Через першу властивість завжди легко перевірити, чи відповідає підпис повідомлення, а через другу властивість підробити підпис при достатньо великому ключі практично неможливо. Доказ цієї властивості дозволив би надати підписаним повідомленням юридичну силу. Секретний та відкритий ключі знаходяться у взаємно однозначній відповідності та через третю вимогу не існує поліноміального алгоритму обчислення секретної компоненти за відкритою компонентою.

Існує кілька методів побудови схем ЕП, а саме:

1) шифрування електронного документа на основі симетричних алгоритмів. Ця схема передбачає наявність у системі третьої особи (арбітра), що користується довірою учасників обміну підписаними подібним чином електронними документами. Взаємодія користувачів цією системою проводиться за такою схемою:

- учасник А зашифровує повідомлення на своєму секретному ключі К_А, значення якого розділене з арбітром, потім шифроване повідомлення передається арбітру із зазначенням адресата цього повідомлення (інформація, що ідентифікує адресата, передається також у зашифрованому вигляді);

- арбітр розшифровує отримане повідомлення на ключі К_А, проводить необхідні перевірки і потім зашифровує на секретному ключі учасника В (К_в). Далі зашифроване повідомлення посилається учаснику В разом з інформацією, що воно надійшло від учасника А;

- учасник В розшифровує це повідомлення і переконується в тому, що відправником є учасник А;

2) використання асиметричних алгоритмів шифрування. Фактом підписання документа в цій схемі є зашифрування документа на секретному ключі його відправника. Ця схема теж використовується досить рідко внаслідок того, що довжина електронного документа може виявитися критичною. У цьому випадку не потрібно наявності третьої сторони, хоча вона може виступати в ролі сертифікаційного органу відкритих ключів користувачів;

3) з розвитком попередньої ідеї стала найбільш поширена схема кваліфікованого електронного підпису, а саме: зашифрування остаточного результату обробки електронного документа хеш-функцією за допомогою асиметричного алгоритму. Хеш-функцією називається математична або інша функція, яка для рядка довільної довжини обчислює деяке ціле значення або деякий інший рядок фіксованої довжини.

Математично це можна записати так: h = H (M), де М - вихідне повідомлення, яке називається іноді прообразом, а h - результат - значенням хеш-функції (хеш-кодом або дайджестом).

Генерація підпису відбувається таким чином:

1) учасник А обчислює хеш-функцію від електронного документа. Отриманий хеш-код проходить процедуру перетворення з використанням свого секретного ключа. Після чого отримане значення (яке і є КЕП) разом з електронним документом відправляється учаснику В.

2) учасник В повинен отримати електронний документ з КЕП та сертифікова- ний відкритий ключ учасника А, а потім провести дешифрування на ньому КЕП, сам електронний документ піддається операції хешування, після чого результати порівнюються, і якщо вони збігаються, то КЕП визнається істинним, у іншому випадку помилковим.

Особистий ключ КЕП формується на підставі абсолютно випадкових чисел, що визначають сягенератором випадкових чисел, а відкритий ключ обчислюється з особистого ключа КЕП таким чином, щоб одержати другий з першого було неможливо.

Особистий ключ КЕП є унікальною послідовністю символів довжиною 264 біти, яка призначена для створення електронного підпису в електронних документах. Працює особистий ключ тільки в парі з відкритим ключем. Особистий ключ необхідно зберігати в таємниці, адже будь-хто, хто дізнається його, зможе підробити кваліфікований електронний підпис.

Документ підписується за допомогою особистого ключа КЕП, який існує в одному екземплярі тільки в його власника. Цьому особистому ключу відповідає відкритий ключ, за допомогою якого можна перевірити відповідність КЕП його власникові.

Відкритий ключ використовується для перевірки КЕП одержуваних документів (файлів). Відкритий ключ працює тільки в парі з особистим ключем. Відкритий ключ міститься в Сертифікаті відкритого ключа і підтверджує приналежність відкритого ключа КЕП певній особі.

Крім самого відкритого ключа, Сертифікат відкритого ключа містить в собі персональну інформацію про його власника (ім'я, реквізити), унікальний реєстраційний номер, термін дії Сертифікату відкритого ключа. З метою забезпечення цілісності представлених у Сертифікаті даних він підписується особистим ключем Центру сертифікації ключів (ЦСК).

Сертифікат відкритого ключа може публікуватися на сайті відповідного ЦСК відповідно до Договору про надання послуг КЕП.

При підписанні електронного документа його початковий зміст не змінюється, а додається блок даних, так званий кваліфікований електронний підпис. Отримання цього блоку можна розділити на два етапи:

На першому етапі за допомогою програмного забезпечення і спеціальної математичної функції обчислюється так званий хеш-код.

Цей хеш-код має такі особливості:

- фіксовану довжину, незалежно від довжини повідомлення;

- унікальність хеш-коду для кожного повідомлення;

- неможливість відновлення повідомлення за його хеш-кодом.

Таким чином, якщо документ був модифікований, то зміниться і його хеш-код, що виявиться при перевірці Електронного цифрового підпису.

На другому етапі хеш-код документу шифрується за допомогою програмного забезпечення й особистого ключа автора.

Розшифрувати КЕП і одержати початковий хеш-код, який відповідатиме документу, можна тільки використовуючи Сертифікат відкритого ключа автора.

Таким чином, обчислення хеш-коду документа захищає його від модифікації сторонніми особами після підписання, а шифрування особистим ключем автора підтверджує авторство документа.

Криптографічна хеш-функція повинна забезпечувати: стійкість до колізій (два різні набори даних повинні мати різні результати перетворення) та незворотність (неможливість обчислити вхідні дані за результатом перетворення). У більшості ранніх систем цифрових підписів використовувалися функції із секретом, які за своїм призначенням близькі до односторонніх функцій. Такі системи вразливі до атак з використанням відкритого ключа, позаяк обравши довільний цифровий підпис і застосувавши до неї алгоритм верифікації, можна отримати вихідний текст.

Щоб уникнути цього, разом з цифровим підписом використовується хеш- функція, тобто обчислення підпису здійснюється не щодо самого документа, а щодо його хешу. У цьому випадку в результаті верифікації можна отримати тільки хеш вихідного тексту, отже, якщо використовується хеш-функція криптографічно стійка, то отримати вихідний текст буде обчислювально складно, а значить, атака такого типу стає неможливою.

Крім цього, існують інші різновиди цифрових підписів (груповий підпис, незаперечний підпис, довірений підпис), які є модифікаціями описаних вище схем. Процес роботи КЕП зображено на рис. 1.

Рис. 1. Процес роботи з КЕП

електронна ідентифікація довірча послуга

Їх поява обумовлена розмаїттям завдань, що вирішуються за допомогою ЕП. Проте будь-який з цифрових підписів працює за рахунок криптографії на основі унікальної зв'язаної пари ключів (рис. 2).

Рис. 2. Метод криптографії на основі унікальної зв'язаної пари ключів

Керування ключами. Відкритий ключ. Важливою проблемою всієї криптографії з відкритим ключем, у тому числі й систем ЕП, є управління відкритими ключами. Позаяк відкритий ключ доступний будь-якому користувачеві, то необхідний механізм перевірки того, що цей ключ належить саме своєму власникові. Необхідно забезпечити доступ будь-якого користувача до справжнього відкритого ключа будь-якого іншого користувача, захистити ці ключі від підміни зловмисником, а також організувати відгук ключа в разі його компрометації.

Завдання захисту ключів від підміни вирішується за допомогою сертифікатів. Сертифікат дозволяє засвідчити укладені в ньому дані про власника і його відкритий ключ підписом будь-якої довіреної особи. Існують системи сертифікатів двох типів: централізовані і децентралізовані. У децентралізованих системах шляхом перехресного підписування сертифікатів знайомих і довірених людей кожним користувачем будується мережа довіри. У централізованих системах сертифікатів використовуються центри сертифікації, які є довіреними організаціями.

Центр сертифікації формує закритий ключ і власний сертифікат, формує сертифікати кінцевих користувачів і засвідчує їх автентичність своїм цифровим підписом. Також центр проводить вилучення минулих і компрометованих сертифікатів і веде бази виданих та відкликаних сертифікатів. Звернувшись до сертифікаційного центру, можна отримати власний сертифікат відкритого ключа, сертифікат для іншого користувача і дізнатися, які ключі відкликані.

Закритий ключ є найбільш вразливим компонентом всієї криптосистеми цифрового підпису. Зловмисник, який вкрав закритий ключ користувача, може створити дійсний цифровий підпис будь-якого електронного документа від імені цього користувача. Тому особливу увагу потрібно приділяти способу зберігання закритого ключа. Користувач може зберігати закритий ключ на своєму персональному комп'ютері, захистивши його за допомогою пароля. Однак такий спосіб зберігання має ряд недоліків, зокрема, захищеність ключа повністю залежить від захищеності комп'ютера і користувач може підписувати документи лише на цьому комп'ютері.

Натепер існують такі пристрої зберігання закритого ключа:

- диски;

- смарт-карти;

- USB-брелок;

- таблетки Touch-Memory.

Крадіжка або втрата одного з пристроїв зберігання може бути легко помічена користувачем, після чого відповідний сертифікат може бути негайно відкликаний.

Найбільш захищений спосіб зберігання закритого ключа - зберігання на смарт-картці. Для того, щоб використовувати смарт-карту, користувачеві необхідно не тільки її мати, але й ввести PIN-код, тобто виходить двофакторна аутентифікація. Після цього підписується документ або його хеш передається в карту, її процесор здійснює підписування хешу і передає підпис назад. У процесі формування підпису таким способом не відбувається копіювання закритого ключа, тому весь час існує тільки єдина копія ключа. Крім того, зробити копіювання інформації зі смарт- карти складніше, ніж з інших пристроїв зберігання.

Ідентифікаційні дані особи: правовий статус і механізм захисту. Унікальний набір даних, який дає змогу однозначно встановити фізичну чи юридичну особу, становить ідентифікаційні дані. За допомогою таких даних і здійснюється ідентифікація осіб.

Ідентифікаційні дані фізичної особи підпадають під визначення персональних даних. Правовий статус персональних даних встановлює Закон України “Про інформацію” та Закон України “Про захист персональних даних”. У аспекті персональних даних встановлюються правила стосовно їх використання. Для обробки таких даних повинні бути законні підстави. Зокрема, такою підставою є згода фізичної особи на зазначену обробку. Не допускаються збирання, зберігання, використання та розповсюдження конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і тільки задля забезпечення національної безпеки, економічного добробуту та прав людини. До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адресу, дату та місце народження.

В Україні досить слабко захищається використання персональних даних, на відміну від інших європейських країн. Наприклад, у Великобританії компанії, що використовують персональні дані, мають зареєструватися в спеціальному реєстрі. За недотримання правил Information Commisioner's Office - органом, уповноваженим захищати права в галузі передачі інформації, можуть бути накладені серйозні санкції: від значних штрафів до кримінальної відповідальності. Тому підприємства ретельно й виважено підходять до питання використання персональної інформації. В Україні ж не спостерігається суворості в додержанні законодавства про захист персональних даних та прав людини щодо нього. Не виключений той факт, що така ситуація склалася через відсутність належного державного контролю в цій сфері, дійових заходів з виявлення порушень і притягнення до відповідальності.

Раніше в Україні було встановлено обов'язкову реєстрацію баз персональної даних. Це спричинило багато плутанини в бізнес-діяльності підприємств, оскільки потрібно було реєструвати кожну базу даних, якою користується підприємство, і було багато незрозумілого, пов'язаного з такою реєстрацією. Тоді підприємства були стурбовані персональними даними, адже ніхто не хотів одержати припис про виплату штрафу.

Що стосується даних юридичних осіб, то тут ситуація виглядає інакше. Спеціального закону, який передбачав би регулювання використання даних про юридичних осіб, немає.

Якщо дані про фізичну особу за замовчуванням є конфіденційною інформацією, то ідентифікаційні дані про юридичну особу відкриті й доступні. В Україні кожен може ознайомитися із загальнодоступною інформацією про підприємство, у єдиному державному реєстрі, який доступний в онлайн-режимі. Якщо, звісно, доведе, що не є роботом.

Підприємства можуть тільки обмежувати доступ до цінної та секретної інформації шляхом прийняття відповідних локальних актів, підписання договорів про конфіденційну інформацію, у яких визначається обсяг інформації, що не підлягає розголошенню. Проте такі дані не є ідентифікаційними даними, а належать до діяльності компанії: відомості про унікальні бізнес-процеси, про процес створення та виробництва продукції, стратегії розвитку тощо. По суті, до ідентифікаційних даних може належати ідентифікаційний код юридичної особи, який присвоюється з моменту державної реєстрації підприємства. Наприклад, з метою фінансового моніторингу ідентифікаційними даними юридичної особи вважатимуться навіть дані бенефіціарів такої компанії.

Таким чином, у висновку можна виділити такі основні аспекти, реалізація яких посприяє поліпшенню механізму захисту даних та забезпеченню прав людини:

1) суб'єкти, які одержують ідентифікаційні дані, провайдери послуг електронної ідентифікації й електронних послуг повинні впроваджувати комплекс організаційних, технічних та інженерно-технічних заходів та/або програмних і технічних засобів для захисту персональних даних і надавати відповідний рівень гарантій безпеки щодо ризиків втрати, несанкціонованого доступу або зловживання, знищення, зміни, ненавмисного або навмисного розголошення персональних даних, запобігання витоку, знищенню та блокуванню інформації, порушенню цілісності й режиму доступу до неї;

2) персональні й ідентифікаційні дані мають використовуватися виключно з метою, зазначеною в повідомленні про мету обробки даних;

3) удосконалення роботи уповноважених органів з контролю за дотриманням законодавства про захист персональних даних і захисту інформації в інформаційних мережах;

4) підвищення інформаційної культури та культури безпеки в інформаційному середовищі;

5) при взаємодії учасників в електронному середовищі повинна бути забезпечена можливість надання тільки тих даних, які потрібні для здійснення конкретної онлайн-транзакції чи одержання електронної послуги.

Список використаних джерел

1. Ткачев Л.В. Правовой статус компьютерных документов: основные характеристики. М., 2000. С. 8.

2. Сысоева Л.Л. Проблемы организации электронного визирования документов в системах электронного документооборота. Делопроизводство. 1998. № 2. С. 47.

3. Система електронного документообігу органу виконавчої влади. Технічні умови. ТУ У 30.0-33240054-001:2005.

4. Чирський Ю. Електронний цифровий підпис: правові аспекти застосування. Довідник секретаря та офіс-менеджера. 2007. № 1. С. 26-31.

5. Стратегія розвитку інформаційного суспільства в Україні: Розпорядж. Кабміну України від 15.05.2013 р. № 386р. Офіційний вісник Українивід 21.06.2013. № 44. С. 79.

6. Кузнецов О.О., Євсеєв С.П., Король О.Г. Захист інформації в інформаційних системах: навч. посіб. X.: Вид-во ХНЕУ, 2011. 512 с. Бібліогр.: с. 498-505 (96 назв).

7. Горбенко Ю.І., Горбенко І.Д. Інфраструктури відкритих ключів. Електронний цифровий підпис. Теорія та практика: монографія. Харк. нац. ун-т радіоелектрон., ЗАТ Інст. інформ. технологій. X.: Форт, 2010. 593 с.

8. Електронний цифровий підпис (ЕПЦ) - як аналог власноручного підпису. URL: http:/ /val.ua/ru/57062.html (дата звернення: 01.11.2020).

9. Нормативні документи згідно яких здійснюється обслуговування сертифікатів відкритих ключів користувачів АЦСК МВС України. URL: http://ca.mvs.gov.ua/normative-documentation (дата звернення: 01.11.2020).

10. Про електронні довірчі послуги: Закон України від 05.10.2017 № 2155-VIII. Відомості Верховної Ради (ВВР). 2017. № 45. Ст. 400.

References

1. Tkachev, L.V. (2000) Pravovoy status komp'yuternykh dokumentov: osnovnyye kharakteristiki. “Legal Status of Computer Documents: Basic Characteristics”. M. P. 8 [in Russian].

2. Sysoieva, L.L. (1998) Problemy organizatsii elektronnogo vizirovaniya dokumentov v sistemakh elektronnogo dokumentooborota. “Problems of Organization of Electronic Sighting of Documents in Electronic Document Management Systems”. Clerical Work 2, 47 [in Russian].

3. Systema elektronnoho dokumentoobihu orhanu vykonavchoyi vlady. System of electronic document management of the executive body. Specifications. TU U 30.0-33240054-001:2005 [in Ukrainian].

4. Chirsky, Yu. (2007) Elektronnyy tsyfrovyy pidpys: pravovi aspekty zastosuvannya. “Electronic Digital Signature: Legal Aspects of Application”. Handbook of Secretary and Office Manager. No 1. P. 26-31[in Ukrainian].

5. Strategy of Information Society development in Ukraine: Order of the Cabinet of Ministers of Ukraine dated 15.05.2013 No 386. Official Gazette of Ukraine dated 21.06.2013. No 44. P. 79 [in Ukrainian].

6. Kuznetsov, O.O., Ievseev, S.P., Korol, O.H. (2011) Zakhyst informatsiyi v informatsiynykh systemakh. “Protection of Information in Information Systems: textbook. way. H.: KhNEU Publishing House. 512 p. P. 498-505 (96 titles). [in Ukrainian].

7. Gorbenko, YuI, Gorbenko, I.D. (2010) Infrastruktury vidkrytykh klyuchiv. Elektronnyy tsyfrovyy pidpys. Teoriya ta praktyka.”Public Key Infrastructures. Electronic Digital Signature. Theory and Practice”: monograph. Khark. Nat. University of Radio Electronics, CJSC Inst.Inform. Technologies. H.: Fort. 593 p. [in Ukrainian].

8. Elektronnyy tsyfrovyy pidpys (EPTS) - yak analoh vlasnoruchnoho pidpysu.”Electronic Digital Signature (EPC) - As an Analogue of a Handwritten Signature”. URL: http://val.ua/ru/ 57062.html (Date of Application: 01.11.2020) [in Ukrainian].

9. Normative documents according to which service of certificates of public keys of users of ACSK of the Ministry of Internal Affairs of Ukraine is carried out. URL: http://ca.mvs.gov.ua/ normative-documentation (Date of Application: 01.11.2020) [in Ukrainian].

10. On Electronic Trust Services: Law of Ukraine of 05.10.2017 No 2155-VIII. Bulletin of the Verkhovna Rada (VVR). 2017. No 45. P. 400 [in Ukrainian].

Размещено на Allbest.ru