Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.

Вид материала

Исследование

Содержание 1.2 Определения (Статья 2) 1.2.2 Сертификаты и услуги в области сертификации

Подобный материал:

• Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
• Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
• «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
• Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
• «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
• Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
• Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
• Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
• М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
• Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.

1.2 Определения (Статья 2)

1.2.1 (Усовершенствованная) электронная подпись

До издания Комиссией первого варианта проекта Директивы в мае 1998 года во всех европейских документах по этому вопросу использовался термин «цифровая подпись». В проекте Директивы за май 1998 года Европейская комиссия начала использовать понятие «электронной» подписи. Определение «электронной подписи» в первом проекте документа было, тем не менее, более или менее идентично современному понятию «усовершенствованной» электронной подписи.

В окончательном варианте текста понятие «электронная подпись» было сформулировано чрезвычайно широко: «данные в электронном виде, присоединенные или логически связанные с другими электронными данными, и служащие в качестве метода аутентификации». Констатация факт (8) объясняет этот подход, говоря, что «быстрое развитие технологий и глобальная природа Интернета приводят к необходимости в подходе, открытом для различных технологий и сервисов, обеспечивающих электронную аутентификацию данных». Там же разъясняется, что термин «электронная подпись» относится к «аутентификации данных» и не затрагивает методы и технологии «аутентификации объектов». Например, ввод PIN-кода для доступа к электронному банковскому счёту на подпадает под определение «электронной подписи». Напротив, ввод того же самого кода для подтверждения финансовой операции является примером аутентификации данных и поэтому считается электронной подписью.

Несмотря на очень широкое определение, необходимо помнить, что понятие «подпись» в том виде, в котором оно используется в Директиве, относится к юридической, а не к технической концепции. Цель данного определения состоит не только в том, чтобы охватить все настоящие и будущие технологии, которые могут использоваться для электронной подписи, но и включить все возможные значения термина «подпись» в законодательстве государств-членов. Хорошо известно, что термин «подпись» имеет разное юридическое значение в разных странах-членах Союза. Например, отпечатанное имя или даже печать компании на документе будут считаться в Великобритании имеющей юридическую силу официальной подписью, в то время как понятие «подписи» во Франции, Бельгии или Германии — во всяком случае, до последнего времени — включало только собственноручные подписи. Можно сказать, что определение «электронной подписи», принятое в Директиве — это самый большой общий знаменатель всех понятий «подписи», используемых в законодательстве стран-членов ЕС.

Очень вероятно, что юридическая концепция «подписи» будет развиваться и расширяться с увеличением масштабов использования электронных подписей, но, в любом случае, важно явным образом отделить её от технической концепции (цифровой) подписи. Множество применений технологии цифровой подписи не будут считаться электронной подписью по законам стран-членов ЕС. Разделение этих двух понятий особенно важно там, где технология цифровой подписи используется и для аутентификации объектов (например, для контроля доступа к веб-порталу), и для создания электронных подписей.⁶

К счастью, очень широкое определение термина «электронная подпись» не имеет больших юридических последствий, поскольку, за исключением Статьи 5.2, все положения Директивы относятся к «усовершенствованным» или так называемым «квалифицированным» электронным подписям. А целью статьи 5.2 как раз является — как далее будет показано в этом отчёте — запрещение отвергать какие-либо электронные подписи априори. Во всех случаях, когда электронная подпись — в самом широком понимании — представляется судебному или государственному учреждению, её значение и область применения будут исследоваться применительно к каждому конкретному случаю.

«Усовершенствованная электронная подпись» — это электронная подпись, соответствующая следующим четырем требованиям:

1. уникальным образом связана с подписывающим лицом;

2. позволяет идентифицировать подписывающее лицо;

3. создана средствами, которые подписывающее лицо может единолично контролировать;

4. связана с данными, к которым она относится, так, что любое последующее изменение данных может быть обнаружено.

Нетрудно заметить, что эти требования сформулированы в максимально общем и технологически нейтральном духе. Впрочем, на практике данное определение главным образом относится к электронным подписям, основанным на технологии цифровой подписи или, иными словами, использующим криптографию с открытым ключом. В системе EESSI формат Усовершенствованной электронной подписи был описан в технических спецификациях ETSI (TS 101 733). Они основываются на существующем стандартном формате, который чаще всего используется на рынке приложений для защиты электронной почты и документов (т.е. Интернет-спецификации RFC 2630). В них также указано, как использовать службы фиксации времени или доверенного архивирования для того, чтобы гарантировать юридическую силу подписи для последующего представления в качестве доказательства при возникновении спора. В документе описано, как синтаксис криптографических сообщений RFC 2630 должен применяться в отношении усовершенствованных электронных подписей, определены дополнительные поля и процедуры, совместимые с данным синтаксисом и позволяющие сохранять юридическую силу подписи в течение долгого времени. Доказательства, представляемые посредством использования формата ETSI, не дают подписывающему лицу впоследствии отказаться от подписи, и могут быть проверены даже когда истекает срок действия обеспечивающего сертификата.⁷

«Подписывающее лицо» определено как «лицо, владеющее устройством для создания подписей и действующее либо от своего имени, либо от имени другого физического лица, юридического лица или объекта, которых оно представляет». Европейский парламент предложил внести уточнение, что подписывающим лицом может быть только физическое лицо, но эта поправка не была включена в окончательный вариант текста. Возможная причина этого состоит в том, что в некоторых странах-членах ЕС, таких как Великобритания, документ считается «подписанным» не только при наличии собственноручной подписи физического лица, но и будучи заверенным печатью компании, штампом или просто именем, поскольку это обеспечивает достаточно ясную аутентификацию.⁸ Тем не менее, нам кажется, что, хотя электронная подпись и не обязательно должна быть связана с физическим лицом (другие объекты тоже могут «подписывать»), подписывающее лицо всегда будет тем (физическим) лицом, которое «владеет» устройством для создания подписи. Даже в странах, где, например, подписи могут быть прямо соотнесены с юридическими лицами, с юридической точки зрения является необходимым идентифицировать физическое лицо (лица), которое фактически активировало устройство с целью генерации подписи.

В отличие от первоначального проекта Директивы, подписывающее лицо более не является «лицом, создающим электронную подпись»: это лицо, владеющее устройством для создания подписи. Определение такого устройства приведено в Статье 2.5: «сконфигурированное программное или аппаратное обеспечение, обеспечивающее реализацию данных для создания подписи». Самый распространенный пример такого устройства — смарт-карта, но существует множество устройств подобного рода, например, смарт-ручка, мобильный телефон, КПК или жесткий диск компьютера. Подписывающее лицо — это тот, кто владеет таким устройством и действует с целью генерировать подпись. Подписывающее лицо может действовать от своего имени либо от имени другого физического лица, юридического лица или объекта, которых оно представляет.

Данные для создания подписи — это «уникальные данные, например, коды или секретные криптографические ключи, которые используются подписывающим лицом для создания электронной подписи». Следовательно, термин «данные для создания подписи» относится к секретному ключу, тогда как «данные для проверки подписи» (определены как «данные, такие как коды или открытые криптографические ключи, которые применяются с целью проверки электронной подписи») — это технологически нейтральный синоним открытого ключа. Программное или аппаратное обеспечение, используемое для проверки открытого ключа, называется «устройство проверки подписи».

Устройства для создания подписей и устройства проверки подписей являются частью более широкого класса «продуктов для электронной подписи». Определение им дано в Статье 2.12: «аппаратное или программное обеспечение, или соответствующие их компоненты, предназначенные для использования провайдером сертификационных услуг в целях предоставления услуг электронной подписи либо для создания или проверки электронных подписей».

1.2.2 Сертификаты и услуги в области сертификации

В Статье 2.9 «сертификат» определен как «электронное свидетельство, связывающее данные для проверки подписи с лицом и подтверждающее личность этого лица». «Квалифицированным сертификатом» называется «сертификат, соответствующий требованиям, изложенным в Приложении I, и предоставляемый провайдером сертификационных услуг, который соответствует требованиям, изложенным в Приложении II к Директиве».

Приложение I включает 10 требований к Квалифицированным сертификатам. Такой сертификат должен включать следующее:

1. Указание на то, что данный сертификат выдан как квалифицированный;
   
2. Обозначение Провайдера услуг сертификации и государства, в котором он учрежден;
   
3. Имя подписывающего лица или псевдоним, который должен быть обозначен как таковой;
   
4. Возможность включения, если это необходимо, специального атрибута подписывающего лица, в зависимости от цели, для которой предназначен сертификат;
   
5. Данные для проверки подписи, соответствующие данным для создания подписи, которые находятся в распоряжении подписывающего лица;
   
6. Указание на начало и конец срока действия сертификата;
   
7. Идентификационный код сертификата;
   
8. Усовершенствованная электронная подпись провайдера сертификационных услуг, выдавшего сертификат;
   
9. Ограничения на область использования сертификата, если это применимо;
   
10. Ограничения на стоимость транзакций, для которых может использоваться сертификат, если это применимо.
    

Технические спецификации ETSI (TS 101 862) определяют, как сертификаты открытых ключей в формате X.509, доминирующие на ранке инфраструктуры открытых ключей, могут быть использованы для выполнения требований Приложения I Директивы. Кроме того, там, где в настоящее время не определен механизм выполнения какого-либо требования (например, ограничения на стоимость транзакции), спецификации определяют необходимые дополнительные структуры данных, основываясь на существующих возможностях расширения, заложенных в формат X.509.⁹

Провайдеры сертификационных услуг, выдающие квалифицированные сертификаты, должны, согласно Приложению II:

1. Продемонстрировать уровень надёжности, необходимый для предоставления услуг в области сертификации;
   
2. Обеспечить функционирование быстрого и безопасного каталога, а также безопасной и своевременно работающей службы отзыва сертификатов;
   
3. Гарантировать точность определения времени выдачи или отзыва сертификата;
   
4. Проверять надлежащими средствами в соответствии с национальным законодательством личность и, если это применимо, какие-либо специальные атрибуты лица, которому выдан квалифицированный сертификат;
   
5. Принимать на работу сотрудников, обладающих экспертными знаниями, опытом и квалификацией, необходимыми для предоставления услуг; в рамках определенной компетенции на уровне принятия решений — знать технологию электронной подписи и быть знакомыми с соответствующими процедурами безопасности. Они также должны использовать административные и управленческие процедуры, соответствующие ситуации и официально признанным стандартам;
   
6. Пользоваться надёжными системами и продуктами, которые защищены от изменений, и обеспечивать техническую и криптографическую безопасность поддерживаемого ими процесса;¹⁰
   
7. Принимать меры против подделки сертификатов и, в случаях, когда провайдер сертификационных услуг генерирует данные для создания подписей, гарантировать конфиденциальность в ходе процесса генерации этих данных;
   
8. Обладать достаточными финансовыми ресурсами для работы в соответствии с требованиями, изложенными в Директиве, в особенности для несения риска возможной ответственности за ущерб, например, путем получения соответствующей страховки;
   
9. Вести записи всех значимых данных, относящихся к квалифицированному сертификату, за соответствующий промежуток времени, в особенности в целях предоставления доказательств сертификации в целях судопроизводства. Записи могут вестись электронным способом;
   
10. Не хранить и не копировать данные для создания подписи, принадлежащие лицу, которому провайдер услуг сертификации предоставил услуги по управлению ключами;
    
11. Перед вступлением в договорные отношения с лицом, нуждающимся в сертификате для поддержки своей электронной подписи, посредством надежных средств связи известить это лицо о точных условиях, относящихся к использованию сертификата, включая любые ограничения его применения, существование схемы добровольной аккредитации и процедур урегулирования жалоб и споров. Эта информация, которая может передаваться электронным способом, должна быть в письменной форме и на доступном языке. Части этой информации, имеющие отношение к делу, должны также предоставляться по запросу третьих сторон, зависящих от сертификата;
    
12. Использовать надёжные системы хранения сертификатов в верифицируемой форме, так, что:
    

• Ввод и изменение данных могут производить только уполномоченные лица;
  
• Подлинность информации может быть проверена;
  
• Сертификаты публично доступны для получения только в тех случаях, когда получено согласие владельца сертификата;
  
• Все технические изменения, нарушающие эти требования безопасности, становятся видимыми для оператора.
  

В технических спецификациях ETSI (TS 101 456) приведены требования к управлению безопасностью и к политике безопасности провайдеров сертификационных услуг, выдающих квалифицированные сертификаты. Определены две специальных политики для: 1) ПСУ, выдающих квалифицированные сертификаты гражданам; и 2) ПСУ, выдающих гражданам квалифицированные сертификаты и требующие использования защищенного устройства для создания подписей. Кроме того, спецификации устанавливают единую основу для других политик ПСУ, выдающих квалифицированные сертификаты, включая те, что применяются в замкнутых сообществах.¹¹

Статья 2.9 Директивы содержит очень широкое определение понятия «провайдер сертификационных услуг»: «объект, юридическое или физическое лицо, выдающее сертификаты или предоставляющее иные услуги, связанные с электронными подписями». Декларация факта (9) поясняет это: «электронные подписи будут использоваться в широком диапазоне ситуаций и областей применения, что приведет к появлению обширного ассортимента продуктов и услуг, использующих электронные подписи или связанных с ними; определение таких продуктов и услуг не должно быть ограничено выдачей сертификатов, но должно также включать любую другую услугу или продукт, использующий или дополняющий электронные подписи, в том числе службы регистрации, каталогов и фиксации времени, вычислительные службы или консалтинговые услуги, связанные с электронными подписями».

В соответствии с декларацией факта (12), ПСУ должны учреждаться в соответствии с национальным законодательством. Страны-члены ЕС могут свободно учреждать государственные организации с функциями ПСУ. ПСУ, контролируемый государством, может создаваться в различных формах, в зависимости от административного законодательства соответствующей страны-члена ЕС. В большинстве случаев применительно к государственным органам существует возможность выбора между созданием ПСУ как части администрации, как юридического лица под управлением государства либо как частного юридического лица с преобладанием государственной собственности. Приемлемая форма учреждения такого провайдера сертификационных услуг будет зависеть от требуемой степени государственного контроля над ним.

Конечно, в том случае, когда страна-член ЕС создает ПСУ, контролируемого государством, ей придется принять во внимание применимость европейских и национальных правил конкуренции.¹²

Хотя физическое лицо теоретически способно предоставлять услуги сертификации, необходимый объем организационных и административных действий потребует создания какого-либо объединения. Тем не менее, физическое лицо могло бы действовать в качестве подобъекта другого ПСУ, например центра регистрации. В большинстве случаев, когда физическое лицо принимает на себя функции доверенной третьей стороны, оно действует не от своего лица, но от лица другого объекта. Например, если генеральный директор какой-либо компании выдает сотрудникам этой компании сертификаты, он действует от имени компании, а не от своего имени как физического лица. В немногих случаях, когда физическое лицо действительно может стать ПСУ, создание объединения не является необходимым.

Наиболее обычная форма предоставления сертификационных услуг предполагает использование частного юридического лица. В отношении своей организации ПСУ может также быть подобъектом другой корпорации или объединения, состоящего из других подобъектов. Допустимая и подходящая форма корпорации зависит от законов страны, в которой учреждается провайдер сертификационных услуг. Как и в любых других коммерческих предприятиях, наиболее подходящая форма объединения для ведения бизнеса должна определяться на основе ряда факторов. Главные из этих факторов включают применимые налоговые правила и ограничения ответственности, размер корпорации, доступный капитал и т.д.

Хотя Директива явно не предписывает наличие связи между ЦС (Центром сертификации) и ЦР (Центром регистрации), в основе её лежи предположение, что ПСУ должен выполнять обе эти функции или, точнее, что обе эти функции должны выполняться в сфере ответственности ПСУ, выдающего сертификаты.