Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.

Вид материала

Исследование

Содержание 2.8 Транспонирование приложений 2.8.2 Приложение II: ПСУ, выдающие квалифицированные сертификаты 2.8.3 Приложение III: Защищенные устройства для создания подписей 2.8.4 Приложение IV: Безопасная проверка подписи 2.8.5 Продукты для создания и проверки подписи

Подобный материал:

• Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
• Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
• «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
• Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
• «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
• Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
• Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
• Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
• М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
• Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.

2.8 Транспонирование приложений

2.8.1 Приложение I: Квалифицированные сертификаты

Приложение I содержит требования к квалифицированным сертификатам. Большинство стран дословно скопировали требования Приложения I либо определили сходные требования. Можно отметить несколько моментов:

• В Германии и Швейцарии сертификат должен быть подписан квалифицированной электронной подписью, а не просто усовершенствованной электронной подписью, как определено в Директиве. Это означает, что ПСУ должен быть физическим лицом, владеющим квалифицированным сертификатом и использующим SSCD. Это привело к отчасти странной ситуации, когда имя издателя в сертификате (например, X-Trust) на самом деле является псевдонимом лица внутри организации-ПСУ.
  
• В Италии, вместо этого, правила прямо отсылают к «Приложению I Директивы 1999/93/EC». Это означает, что любой желающий ознакомиться с требованиями должен искать копию текста Директивы.
  
• В Люксембурге срок действия сертификата ограничен 3 годами.
  
• В Испании квалифицированный сертификат обязан содержать национальный идентификационный номер.
  
• В Эстонии термин «квалифицированный сертификат» не применяется, однако понятие «сертификат» определено аналогично.
  
• В Чешской республике другие персональные данные могут присутствовать только с согласия подписывающего.
  
• Только в Болгарии запрещено использовать псевдонимы и нет требования указывать на наличие КС. Болгарские правила содержат гораздо более подробные требования к содержанию сертификата.
  
• Только Нидерланды, Литва и Болгария прямо сослались на стандарт ETSI TS 101 862 как основу выполнения данных условий.
  

В целом, существенных отличий в транспонировании Приложения I не обнаружено. Тем не менее, существует риск появления проблем с совместимостью, если начнутся расхождения в технической реализации Приложения I, не будет использоваться ETSI TS 101 862, либо не будет соблюден какой-либо другой единый формат кодирования требований Приложения I.

2.8.2 Приложение II: ПСУ, выдающие квалифицированные сертификаты

В Приложении II указаны требования к ПСУ, выдающим квалифицированные сертификаты. Большинство стран скопировали требования Приложения II дословно. Можно отметить следующие моменты:

• В Австрии и Германии в действующие правила включены дополнительные детальные требования, в частности:
  
  • ПСУ обязаны передавать информацию о продуктах, которые соответствуют требованиям к генерации и проверке квалифицированных электронных подписей.
    
  • ПСУ не могут использовать криптомодуль, позволяющий создавать резервную копию подписывающего ключа сертификата.
    
• В Дании соответствующие правила содержат подробные дополнительные требования. В Нидерландах Приложение II было расширено за счет дополнительных требований. В Греции присутствует дополнительное требование о 30-летнем сроке хранения записей. Эстонские правила содержат подробный, хотя и отличный от Директивы перечень требований.
  
• В Испании приняты несколько дополнительных специальных требований к ПСУ, касающихся общей суммы страхования, сроков архивного хранения (15 лет) и информации, которая предоставляется держателю сертификата.
  
• В Латвии и Болгарии ПСУ также должны предлагать услуги по фиксации времени.
  
• В случае со Словенией в дополнение к копии Приложения II действуют подробные правила. В этих правилах присутствуют требования к оценке криптомодуля в соответствии с американским стандартом FIPS 140-1, и к оценке программного обеспечения по Общим Критериям.
  
• Наконец, в Швейцарии приведены те же требования, что и в Приложении II, но с дополнительными подробностями, разнесенными по разным нормам.
  

Лишь немногие страны (Нидерланды, Литва, Словения, Болгария) ссылаются на EESSI и другие стандарты в связи с выполнением требований Приложения II.

В завершение следует сказать, что разнообразие требований к ПСУ означает различие в действиях, которые необходимо совершить в разных странах Европы для создания и осуществления деятельности ПСУ. Любой организации, желающей вести бизнес в сфере ПСУ в нескольких странах, придется приспосабливаться к требованиям и процедурам каждой конкретной страны. У производителей продуктов также могут возникнуть сложности с адаптацией к этому чрезвычайно разрозненному рынку. В дополнение к этому, некоторые страны предъявляют к ПСУ дополнительные требования, подробные и ненужные, создавая тем самым препятствия для учреждения ПСУ.

2.8.3 Приложение III: Защищенные устройства для создания подписей

В Приложении III излагаются требования к защищенным устройствам для создания подписей (SSCD). Большинство стран дословно скопировали требования Приложения III. Можно отметить несколько моментов:

• В Германии прямо указывается, что «создание дубликатов ключей подписи не является возможным».
  
• В Австрии существуют дополнительные специальные требования, касающиеся регулирования SSCD. Другая крайность — Великобритания — не предусмотрела вообще никакого транспонирования Статьи III. В Эстонии действующие правила не содержат никаких официальных требований к SSCD, т.е. защиту «секретного ключа», хотя это и практикуется. Электронные удостоверения в настоящее время внедряются как «устройства для создания подписей».
  
• Действующие в Норвегии правила содержат те же требования, что и Приложение III, но часть из них была переведена неправильно. SSCD должно «представлять пользователю подписываемые данные», вместо того, чтобы «не препятствовать представлению». На деле это означает, что SSCD должны включать устройство отображения.
  
• В Польше требования сформулированы так, что SSCD фактически «должны» включать компоненты приложения для создания подписей. Это означает, что SSCD не может быть реализовано, например, в виде смарт-карты.
  
• Некоторые страны (Нидерланды, Литва, Болгария) прямо ссылаются на CWA 14169 в том, что касается выполнения этих условий, даже до того, как ссылка на этот стандарт была опубликована Комиссией в Официальном бюллетене.
  

Резюмируя сказанное выше, можно сказать, что требования к SSCD в Австрии и Польше повышенные, что ведет к препятствиям для производителей, действующих в этих странах. С другой стороны, отсутствие требований к SSCD в Великобритании и Эстонии может привести к сомнениям в связи с официальным признанием квалифицированных электронных подписей из этих стран. Например, жителю Великобритании, возможно, понадобится получить SSCD из другой страны-члена, чтобы быть уверенным в признании его квалифицированной электронной подписи, например, во Франции или Германии.

2.8.4 Приложение IV: Безопасная проверка подписи

Приложение IV содержит рекомендации по безопасной проверке подписи. Большинство стран вообще не транспонировали Приложение IV, тогда как некоторые транспонировали его в виде рекомендаций, аналогично Директиве. Можно отметить ряд моментов:

В Австрии, Испании, Чешской республике, Литве, Польше и Словении правила включают практически те же пункты, что и Приложение IV, но определяют их как требования, а не рекомендации.

• В Австрии для безопасного создания и проверки квалифицированных электронных подписей должны использоваться сертифицированные продукты (см. следующий раздел).
  
• В Германии подписывающее лицо «должно» использовать продукты, рекомендованные ПСУ, «либо предпринимать другие приемлемые меры с целью защитить квалифицированные электронные подписи».
  
• Новое законодательство Испании содержит требования к продуктам для проверки подписи, но обязательного требования использовать такие продукты нет. Законодательство Чешской республики включает только определение «безопасной проверки», ничего не говоря о ее применении. «Тем не менее, если подпись докажет невыполнение стороной, потерпевшей ущерб, всех процедур, необходимых для проверки действительности гарантированной электронной подписи, в привлечении к ответственности должно быть отказано».
  
• В Словении только усовершенствованная электронная подпись, проверенная согласно указанным требованиям, считается равносильной собственноручной подписи.
  
• В Польше обязательные требования к соответствию «защищенного устройства для проверки» должны быть «определены отдельными положениями».
  
• Только Болгария и Литва ссылаются на CWA 14171 в связи с проверкой подписи.
  

В качестве заключения следует сказать следующее: непонятно, что эти требования означают с юридической точки зрения, и какими будут последствия невыполнения требований к «безопасности проверки» (см. также следующий раздел). Так, в Чешской республике это, похоже, означает отсутствие «должной осторожности», а также то, что подписывающее лицо не может быть привлечено к ответственности за ущерб. В Австрии и Словении соблюдение требований по проверке является предпосылкой эквивалентности собственноручной подписи.

2.8.5 Продукты для создания и проверки подписи

Согласно Декларации факта (15) в Директиве, «Приложение III включает требования к защищенным устройствам для создания подписи с целью обеспечить функциональность квалифицированных электронных подписей; оно не охватывает всю системную среду, в которой функционируют эти устройства».

Впрочем, и в Австрии, и в Германии ПСУ обязаны информировать подписывающих лиц о продуктах, соответствующих требованиям по созданию и проверке квалифицированных электронных подписей.

• В Австрии такие продукты должны быть сертифицированы санкционирующим органом A-SIT. В Германии применительно к продуктам, которые рекомендованы поднадзорным ПСУ, достаточно Декларации производителя, тогда как в отношении продуктов, которые рекомендованы аккредитованным ПСУ, требуется официальная оценка соответствия.
  
• В Австрии сертифицированные продукты должны использоваться для безопасного создания и проверки квалифицированных электронных подписей. В Германии подписывающее лицо «должно» применять такие продукты, «либо предпринимать другие приемлемые меры с целью защитить квалифицированные электронные подписи».
  

В качестве вывода следует отметить существование распространенного мнения, что по законодательству Австрии и Германии квалифицированная электронная подпись может быть создана только с использованием сертифицированного продукта.