Використання електронного цифрового підпису у електронному документообігу

 

В рамках роботи європейських інститутів стосовно застосування електронного підпису потребують звернення до проблем, що стосуються окремих підписів, але дуже часто документи вимагають, щоб більше ніж один підпис давав цьому документові юридичну чинність або зробив угоду дійсною [1]. Вони можуть бути рівнозначними, незалежними підписами, типу таких, як підписи покупця і продавця в контракті, або вкладеними, в яких  другий  підпис ставиться поверх первинного підпису, прикладами яких є підпис свідка, або підпис начальника, який затверджує підпис підлеглого. Дотепер, політика підпису була визначена тільки для перевірки окремого електронного підпису. Однак, оскільки все більше  технологій  паперового документообігу переміщається в електронне  середовище,  зростає ділова потреба розширити цю політику з метою підтримки багаторазових підписів. Ця потреба спричинена повільним просуванням застосування  більш складних ділових угод, котрі вимагають запевняння не однієї людини, а декількох, або  виникають більш строгі вимоги щодо форматів цифрового підпису. Ці вимоги стосуються, наприклад, фінансових трансакцій споживачів або кредитних угод зі структурованими умовами щодо "оплати/постачання". Для того, щоб прискорити застосування подвійного підпису, необхідно якнайшвидше  створити підстави  для надання юридичної сили такому  підпису.

Є нагальна потреба перемістити всі особливості рукописного підпису у електронний світ, і розвивати еквівалентну довіру електронним підписам, особливо де вони вказують юридично обов'язкове зобов'язання. Однак, є багато характеристик підписів які поки що не покриваються існуючим законодавством, що викликає необхідність створення подальших нормативних документів щодо застосування електронних підписів.

Широка інтерпретація політики підпису може бути корисним інструментом для того, щоб визначити засіб для створення і перевірки всіх типових якостей рукописного підпису. Політика підпису може включати засоби  відтворення формальностей підписання, а саме: хто може підписатися, кількість підписів, що повинно бути підписано і при яких обставинах. Визначаючи область застосування, до якого політика підпису застосовується, можливо відтворити частину контекстної інформації, що є доречною для застосування підпису, як у паперовому світі. Оскільки ці фактори змінюються відповідно до обставин, у яких підпис повинен використовуватися, з цього випливає, що не можливо визначити всі сценарії. Дипломна робота аналізує деякі з факторів, що можуть бути зібрані, щоб організовувати політику підпису, що є доречною діловою специфічною потребою.

Правила використання підпису повинні взяти до уваги інтерфейс між людиною і комп'ютерною системою. Тільки людина може приймати рішення застосувати підпис чи ні. Це вірно, навіть коли підпис ґрунтується від імені організації або юридичної особи. Людина може керувати створенням підпису за допомогою прикладного інтерфейсу.

 

 

 

Побудова систем електронного документообігу вимагає використання криптографічних засобів захисту інформації і використання апарата електронного цифрового підпису (ЕЦП). Апарат ЕЦП забезпечує можливість встановлення однозначної автентифікації (авторства) відправника електронного документа і забезпечення контролю незмінності документа після його підписання.

Для реалізації апарата ЕЦП використовуються асиметричні криптографічні ключі. Для кожного користувача системи, що приймають участь у повноформатному електронному документообігу, повинні існувати секретний ключ ЕЦП і зв'язаний з ним по криптографічних алгоритмах відкритий ключ ЕЦП. Секретний ключ ЕЦП забезпечує користувачеві можливість установки унікальної особистої ЕЦП під документами, що він може відправляти по комп'ютерній мережі. Відкритий ключ забезпечує можливість перевірки дійсності ЕЦП і авторства відправника. У такий спосіб кожен користувач електронного документообігу повинний мати особистий секретний ключ ЕЦП і усі відкриті ключі інших користувачів, що можуть відправляти електронні документи на його адресу.

Поширення відкритих ключів між учасниками електронного документообігу може здійснюватися по двох технологіях: корпоративно і відкрито.

Корпоративна технологія припускає наявність незалежного учасника електронного документообігу, що виконує роль Адміністрації системи ЕЦП і забезпечуючого формування довідників відкритих ключів учасників системи, їхнього розсилання і відновлення для кожного її учасника. Корпоративна технологія керування ключами характерна для організації корпоративних комп'ютерних мереж.

Відкрита технологія криптографічних ключів заснована на використанні цифрових сертифікатів (цифрових паспортів). Передбачається, що кожен учасник електронного документообігу має особистий цифровий паспорт, що включає ідентифікатори користувача і відкритий ключ цього користувача. Цифровий паспорт підписаний ЕЦП Сертифікаційного центра (незалежного довірчого органа, що здійснює запевняння і супровід цифрових паспортів), що забезпечує можливість контролю його дійсності і незмінності. Відкритий ключ сертифікаційного центра загальнодоступний і відомий всім учасникам системи.

При відправленні документа, користувач "пристиковує" до нього свій цифровий паспорт і підписує його своєю ЕЦП. При одержанні документа перевіряється дійсність і незмінність цифрового паспорта, шляхом перевірки під ним ЕЦП сертифікаційного центра, витягається з нього відкритий ключ відправника і на основі його перевіряється ЕЦП відправника під отриманим документом.

Відкрита схема не вимагає формування і відновлення довідників відкритих ключів, тому що відкритий ключ відправника попадає до одержувача разом з електронним документом. Відкрита схема поширення ключів характерна для відкритих мереж, хоча також може успішно використовуватися й у корпоративних комп'ютерних мережах. Відкрита схема вимагає наявності Сертифікаційного центра (СЦ) і центрів видачі цифрових паспортів.

Відкрита схема поширення відкритих криптографічних ключів є більш перспективною. Це обумовлюється тим, що, у перших, забезпечується більш просте керування ключами і не потрібно підтримувати довідники відкритих ключів, обсяг яких, у загальному випадку, пропорційний кількості учасників системи електронного документообігу, і в других, при введенні національних стандартів на види цифрових паспортів,