Що таке електронний (цифровий) підпис?
Програма діджиталізації України все набирає обертів, але і сьогодні існує певна неузгодженість у термінології та розумінні важливих понять. Можна навіть з упевненістю заявити, що майже ніхто не зможе вам сьогодні чітко відповісти на питання: що таке електронний підпис (digital signature) та чим він відрізняється за доказовою та юридичною цінністю від інших юридично визнаних видів підпису.
У цій публікації ми спробуємо розповісти про питання, пов'язані з цим цифровим інструментом.
Інструментом, який не просто спростить більшість процесів, а й сприятиме еволюції ділової практики та поліпшенню умов ведення бізнесу через цифрову трансформацію.
(Невеличка ремарка: Насправді називати цифровий підпис електронним некоректно. Електронним може бути прилад. Підпис є фактично даними, а тому коректно його б було називати цифровим. Але... У всьому світі настільки прижилася буква "Е" для ознаки цифрових послуг, що змінити щось сьогодні не представляється можливим.)
Так що ж таке електронний або цифровий підпис?
Усі ми визнаємо і знаємо, що класичний підпис - це власноручне зображення імені або прізвища людини. Його юридична природа полягає в тому, щоб він підтверджує особу та її наміри, а також є доказом згоди, доказом досягнення домовленості та підтвердженням інформації, що міститься в документі.
За природою та сутністю дії електронний підпис робить все те ж саме. Особа яка залишає електронний підпис підтверджує свої наміри прийняти зміст документа або дає згоду на певні дії які описані в документі.
Так само, як і його рукописний аналог, електронний підпис є законодавчо визнаним засобом, що заявляє про намір підписанта дотримуватися умов документа, який він підписав.
Характер додавання підпису до документу не є важливим. Важливим є тільки факт того, що особа підтвердила свої наміри і документ який вона підписала згодом не буде змінений без згоди сторін.
Згідно Регламенту Європейського Союзу № 910/2014 від 23.07.2014, який визначає та регулює електронні підписи в Європейському Союзі, "електронний підпис" - дані в електронній формі, які приєднуються або логічно пов'язуються з іншими електронними даними, і використовуються підписувачем в якості підпису".
Чи можна вважати в такому випадку відсканований власноручний підпис електронним?
Виходить так. Але все ж таки краще відрізняти оцифрований підпис від цифрового - електронного.
Оцифрований підпис
Оцифровані підписи - це власноручний підпис перетворений за допомогою спеціальний засіб у в цифрове зображення. Іншими словами, це підпис на папері, який потім відсканували та зберегли його зображення як .jpg або .png файл - для подальшого використання.
Оцифрований підпис вважається простим електронним підписом і тому є юридично визнаним. Але він не дає жодних гарантій щодо особи, яка підписується за його допомогою, через те, що такий підпис можна легко підробити.
Цифровий (електронний) підпис
Цифровий підпис на відміну від оцифрованого застосовує криптографічні механізми до вмісту документа, щоб одержувач міг перевірити, що підпис відправника - підписанта документу справжній. При чому, сам відправник після його підписання не може заперечити надсилання документу, і документ неможливо буде змінити з моменту його підписання.
Цифрові підписи є юридично визнаними, і призначені не тільки для підтвердження намірів підписанта, а ще й шифрують дані в документі для підвищення безпеки.
Скільки років електронному підпису?
Першим регулюючим документом у сфері цифрового підпису можна вважати Директива ЄС про електронні підписи від 1999 року. Ця директива надала можливість країнам ЄС розробляти свої власні політики цифрового документообігу, що у результаті призвело до того, що рішення учасників виявилися несумісними між собою, і відповідно, малопридатними до умов єдиного ринку.
Проте, завдяки Директиві вперше постало питання легітимізації процесів електронного ділового обміну, за яких цілісність обмінюваних даних чи ідентифікація його учасників не були захищені технічними засобами.
В Україні першим документом у сфері цифровізації документообігу можна вважати прийнятий у 2003 році Україна прийняла Закон "Про електронний цифровий підпис", який вніс у наше правове поле поняття електронного підпису та електронного цифрового підпису (ЕЦП).
За схожим з викладеним в Директиві ЄС чином електронний підпис, навіть не захищений криптографічно, став набирати популярності в українському діловому обороті й одержувати все більше адміністративне прийняття.
У 2016 році Директиву ЄС було скасовано, і їй на зміну прийшов eIDAS – Регламент ЄС 2014 року про електронну ідентифікацію, верифікацію та довірчі послуги.
Регламент Європейського Союзу № 910/2014 набрав чинності 1 липня 2016 року, і стосується він не лише електронного підпису, а й регулює в цілому ЄС довірчі операції, електронні печатки, відмітки часу, послуги електронної доставки та сертифікати автентифікації веб-сайтів.
На сьогодні основним документом який регулює взаємовідносини в розрізі цифрового підпису є Регламент Європейського Союзу № 910/2014 про електронні послуги з ідентифікації та довірчих операцій на внутрішньому ринку, який замінив собою Директиву 1999/93/ЄС.
В Україні поступили майже таким же чином. Закон "Про електронний цифровий підпис" втратив чинність 7 листопада 2018 року, а замість нього набрав чинності Закон "Про електронні довірчі послуги".
Закон описує електронний підпис, удосконалений електронний підпис і кваліфікований електронний підпис.
Три типи електронного підпису
Положення eIDAS визначає три типи електронного підпису :
Простий електронний підпис
Удосконалений електронний підпис
Кваліфікований електронний підпис
Простий електронний підпис
Простий електронний підпис визначається як "дані в електронній формі, які додаються підписувачем або логічно пов'язані з іншими даними в електронній формі і які використовуються підписником для підписання" (стаття 3 eIDAS).
До простого електронного підпису можна віднести:
підписання документа та надсилання відсканованої копії за допомогою облікового запису електронної пошти
введення імені користувача та пароля або прийняття умов і умов веб-сайту.
У випадку простого цифрового підпису доказова база вибудовується на припущенні, що між обліковим записом відправки - електронною адресою та особою-підписантом існує логічний зв'язок. Однак, це не доводить, того факту, що лист відправив саме підписант.
Саме через те, що він пропонує найнижчий рівень безпеки, такий електронний підпис, називають "простим".
Удосконалений електронний підпис (УЕП)
Удосконалений електронний підпис (УЕП) – це електронний підпис, який відповідає який відповідає таким вимогам:
Однозначно посилається на підписанта;
Дозволяє однозначно ідентифікувати підписувача, через те, що застосовувався особистий ключ, який однозначно пов'язаний з підписувачем і дає змогу його електронної ідентифікації;
Створюється таким чином, щоб підписант міг зберігати контроль;
Пов'язаний з підписаними даними таким чином, що якщо відбувається втручання в цілісність даних, скріплених таким підписом, таке втручання стає таким, що його можна виявити;
Зроблений шляхом криптографічного перетворення даних, з якими пов'язаний, за допомогою спеціального обладнання або програмного забезпечення;
Має більш високий рівень безпеки, ніж прості підписи.
Кваліфікований електронний підпис
Кваліфікований електронний підпис (КЕП) – це вдосконалений електронний підпис, який відповідає всім критеріям для УЕП і, додатково відповідає таким критеріям:
Створюється кваліфікованим пристроєм створення підписів;
Обладнання та/або програмне забезпечення, якими він здійснюється, підлягає додатковим вимогам;
Ґрунтується на кваліфікованому сертифікаті електронних підписів.
Електронні підписи, створені за допомогою національної ID карти та сертифікатів електронного підпису, що зберігаються на зашифрованих носіях, є прикладами кваліфікованого електронного підпису.
Кваліфіковані сертифікати електронних підписів надаються постачальниками (державними та приватними), національним компетентним органом, як зазначено в національних "довірених списках" держави-члена ЄС.
Закон України висуває спеціальні вимоги до кваліфікованих надавачів довірчих електронних послуг.
Для того щоб одержати цей статус, заявник (фізична або юридична особа) має, крім здійснити атестацію своєї комплектної системи захисту інформації (КСЗІ).
Статус кваліфікованого надавача послуг заявники одержують з дня внесення відповідного запису до Довірчого списку.
Висновок
Різні рівні електронних підписів доречні при різних обставинах, а тому не можна стверджувати, що тільки якийсь один єдиний конкретний тип електронного підпису має виключне право на життя. А тому кожен користувач повинен сам обрати той варіант цифрового підпису який забезпечить йому достатню зручність та простоті користування при високій безпеці даних.
Рішень достатньо багато і тут кожен повинен сам переконатись, що технологія яку він обрав насправді безпечна, і не призведе до того, що його дані буде скомпроментовано.
Тому звичайно обираючи платформу необхідно уникнути замінників, які є абсолютно незахищеними та не мають юридичного визнання.
І так, звичайно заради власної безпеки є сенс використовувати рішення які мають сертифікати та визнання у Європі ніж рішення які не мають ані історії ані визнання.