Використання електронного цифрового підпису у електронному документообігу

При виникненні подібної події учасник системи зобов'язаний негайно повідомити адміністрацію системи (або її підрозділ - центр керування ключовою системою) про факт компрометації. У свою чергу, адміністрація повинна блокувати відкритий ключ учасника в довіднику і сповістити об цьому інших учасників (обновити в них довідники). Фіксація моменту повідомлення адміністрації про компрометацію ключів дуже важлива. Дійсними вважаються тільки ті документи учасника, що були отримані до цього моменту. Даний факт враховується при розборі конфліктних ситуацій: насамперед проводиться перевірка, чи був ключ відправника діючої на момент одержання документа адресатом.

У тому випадку, коли в корпоративній системі документообігу передбачений обмін електронними документами лише між центром (банком, брокерською фірмою, холдингом) і його клієнтами, клієнтам досить знати тільки один відкритий ключ ЕЦП цього центра, останній же використовує довідник відкритих ключів усіх клієнтів. Якщо ж у системі передбачена можливість обміну електронними документами між абонентами прямо, то довідники з переліками відкритих ключів повинні бути у всіх учасників і обновлятися одночасно.

 

 

Організація системи електронного документообігу не зводиться до установки програмного забезпечення. Значно більш складним і трудомістким процесом (принаймні, на початковому етапі) є підготовка документів, що докладно описує всі процедури функціонування системи, а також навчання співробітників, що будуть забезпечувати її роботу. Спрощує ситуацію те, що зразки подібних документів вже існують і можна замовити розробку всього пакета компанії, що має досвід успішного застосування ЕЦП. Ідеально, якщо ці документи пройшли «перевірку боєм», тобто на їхній основі розглядався конфлікт у суді. Адміністрацію системи можна організувати на базі сторонньої фірми, що розташовує відповідними службами, кваліфікованими співробітниками, необхідними комплектами договорів, визначеним досвідом обслуговування таких систем. Ризик розкриття конфіденційної інформації при цьому відсутній, оскільки секретними ключами учасників адміністрація не володіє - вона оперує тільки довідниками відкритих ключів. Важливо, щоб генерація ключів (включаючи секретні) проводилася уповноваженими співробітниками учасників (нехай і на території ліцензованої адміністрації.

 

 

Рішенням проблеми поширення сертифікатів відкритих ключів серед усіх зацікавлених у цьому осіб є участь в електронному документообігу треті, незалежної, сторони, що здійснює реєстрацію і наступне поширення відкритих ключів учасників електронного документообігу. Такою третьою стороною є ЗЦ відкритих ключів.

Для здійснення своїх функцій ЗЦ веде спеціальний реєстр, у якому утримується інформація про всіх зареєстрованих у ЗЦ відкритих ключах. При звертанні будь-якої особи з метою посвідчення відкритого ключа якого-небудь електронного цифрового підпису ЗЦ видає Сертифікат, у якому утримується інформація про самий відкритий ключ, про власника даної ЕЦП, інформація про період, протягом якого діє ЕЦП, інформація про накладений власником даної ЕЦП обмеженнях на область її застосування.

Послуги ЗЦ, надані за допомогою Інтернету, здійснюються автоматизованими комп'ютерними системами, тому доступ до таких послуг надається всі 24 години на добу без яких-небудь перерв або вихідних. При цьому послуги по посвідченню відкритих ключів ЕЦП надаються центрами будь-якому бажаючий і на безоплатній основі. Заробляють на своє існування центри за рахунок зборів із власників ЕЦП за здійснення процедур реєстрації відкритих ключів, а також надання інших платних послуг.

Як уже раніше вказувалося, електронний Сертифікат виробляється автоматизованою системою ЗЦ при надходженні відповідного запиту. Для того, щоб виключити можливість підробки, електронний Сертифікат завіряється електронним цифровим підписом ЗЦ. Перевірка електронного цифрового підпису ЗЦ здійснюється за допомогою відповідного відкритого ключа. Відкритий ключ електронного цифрового підпису ЗЦ повинний бути загальновідомим, з цією метою він повинний періодично публікуватися у відповідних друкованих виданнях, а також утримуватися на інформаційному сайті самого ЗЦ. Відкритий ключ електронного цифрового підпису ЗЦ повинний також вказуватися у виданої відповідним державним органом ЗЦ ліцензії.

ЗЦ несуть відповідальність за збитки, понесені користувачем відкритого ключа в результаті довіри до представленого в Сертифікаті інформації, у випадку, якщо вона не відповідає дійсності. Тому надання саме достовірної інформації є основою діяльності ЗЦ.

Таким чином, розроблені процедури діяльності ЗЦ повною мірою забезпечують вимоги щодо безпеки проведення ідентифікації учасників електронного документообігу. Здійснення процедур реєстрації, поширення й ідентифікації відкритих ключів не самими учасниками електронного документообігу, а незалежною третьою стороною, що діє привселюдно, по суті справи, рятує учасників електронного документообігу від тієї рутинної роботи, що зв'язана зі здійсненням даних процедур. До того ж здійснення даних процедур ЗЦ переводить правовідносини, зв'язані з поширенням відкритих ключів, з приватно-правової площини в публічну.

 

 

Розвиток основних типів криптографічних протоколів (ключовий обмін, (ЕЦП), автентификація й ін) було б неможливо без створення відкритих ключів і побудованих на їхній основі