Структура роботи побудована за аналітико-змістовним принципами: В першому розділі поетапно розкрита історія формування криптології як науки та криптографічного захисту інформації як середовища правових відносин. Також в даному розділі розглянута національна політика ряду країн відносно застосування та обігу криптографічної продукції, як один із чинників, що визначає рівень розвитку певної галузі в державі.
В другому розділі описаний правовий механізм регулювання господарських відносин в криптографічній сфері. Розкриті питання правового врегулювання ЕЦП в Україні та доцільності державного обмеження на використання криптографії в державі.
Третій розділ присвячений стандартизації в галузі криптографії на міжнародному та національному рівнях. Розкрито мету стандартизації, державні та міжнародні органи, які її реалізують та її значення.
Розділ 1. Формування та розвиток криптографічного захисту інформації в Україні та світі
.1 Історія криптології та КЗІ
Криптологія - розділ науки, що вивчає методи шифрування і дешифрування інформації. Вона включає в себе два розділи: криптографію та криптоаналіз. Криптографія займається розробкою методів шифрування даних, у той час як криптоаналіз займається оцінкою сильних і слабких сторін методів шифрування, а також розробкою методів, які дозволяють зламувати криптосистеми. Слово "криптологія" (англ. cryptology) зустрічається в англійській мові з XVII століття, і спочатку означало "таємність в мові", в сучасному значенні було введено американським вченим Вільямом Фрідменом і популяризована письменником Девідом Каном. Найперші форми тайнопису вимагали не більше ніж аналог олівця та паперу, оскільки в ті часи більшість людей не могли читати. Поширення писемності, або писемності серед ворогів, викликало потребу саме в криптографії. Основними типами класичних шифрів є перестановочні шифри, які змінюють порядок літер в повідомленні, та підстановочні шифри, які систематично замінюють літери або групи літер іншими літерами або групами літер. Прості варіанти обох типів пропонували слабкий захист від досвідчених супротивників. Одним із ранніх підстановочних шифрів був шифр Цезаря, в якому кожна літера в повідомленні замінювалась літерою через декілька позицій із абетки. Цей шифр отримав назву Юлія Цезаря, який його використовував, зі зсувом в 3 позиції, для спілкування з генералами під час військових кампаній[1].
Шифротектси, отримані від класичних шифрів (та деяких сучасних), завжди видають деяку статистичну інформацію про текст повідомлення, що може бути використано для зламу. Після відкриття частотного аналізу в 9-тому столітті, майже всі такі шифри стали більш-менш легко зламними досвідченим фахівцем. Класичні шифри зберегли популярність, в основному, у вигляді головоломок.
Майже всі шифри залишались беззахисними перед криптоаналізом з використанням частотного аналізу до винаходу поліалфавітного шифру, швидше за все, Леоном-Батіста Альберті приблизно в 1467 році (хоча, існують свідчення того, що знання про такі шифри існували серед арабських вчених). Винахід Альберті полягав в тому, щоб використовувати різні шифри (наприклад, алфавіти підстановки) для різних частин повідомлення. Йому також належить винахід того, що може вважатись першим шифрувальним приладом а саме шифрувальний диск Алберті.
Хоча частотний аналіз є потужною та загальною технікою, шифрування, на практиці, часто було ефективним, тому що багато із криптоаналітиків не знали цю техніку. Дешифрування повідомлень без частотного аналізу практично означало необхідність знання використаного шифру, спонукаючи, таким чином, до шпигунства, підкупу, крадіжок, зрад, тощо для отримання алгоритму. Згодом, в 19-му столітті, було визнано, що збереження алгоритму шифрування в таємниці не забезпечує захист від зламу, насправді, було встановлено, що будь-яка адекватна криптографічна схема залишається у безпеці, навіть за умови доступу сторонніх. Збереження в таємниці ключа має бути достатньою умовою захисту інформації нормальним шифром. Цей фундаментальний принцип було вперше проголошено в 1883 Огюстом Керкгофсом, і загальновідомий як принцип Кіргоффса. Більш різкіший варіант озвучив Клод Шенон як максиму Шеннона - ворог знає систему.
Було створено різні механічні прилади та інструменти для допомоги в шифруванні. Одним з найперших є скітала в стародавній Греції, палиця, що, як вважається, використовувалась спартанцями в якості перестановочного шифру. В середньовіччя, було винайдено інші засоби, такі як дірочний шифр, що також використовувася для часткової стеганографії. Разом із винаходом поліалфавітних шифрів, було розроблено досконаліші засоби, такі як власний винахід Альберті шифрувальний диск, табула ректа Йогана Тритеміуса, та мультициліндр Томаса Джеферсона (повторно винайдений Базерієсом приблизно в 1900 році). Декілька механічних шифрувально-дешифрувальних приладів було створено на початку 20-го століття і багато запатентовано, серед них роторні машини - найвідомішою серед них є Енігма, автомат, що використовувася Німеччиною з кінця 20-их і до кінця Другої світової війни [2].
Поява цифрових комп'ютерів та електроніки після Другої світової війни зробило можливим появу складніших шифрів. Більше того, комп'ютери дозволяли шифрувати будь-які дані, які можна представити в комп'ютері у двійковому виді, на відміну від класичних шифрів, які розроблялись для шифрування письмових текстів. Це зробило непридатними для застосування лінгвістичних підходів в криптоаналізі. Багато комп'ютерних шифрів можна характеризувати за їхньою роботою з послідовностями бінарних бітів (інколи в блоках або групах), на відміну від класичних та механічних схем, які, зазвичай, працюють безпосередньо з літерами. Однак, комп'ютери також знайшли застосування у криптоаналізі, що, в певній мірі, компенсувало підвищення складності шифрів. Тим не менше, сучасні шифри залишались попереду криптоаналізу, як правило, використання якісних шифрів дуже ефективне (тобто, швидке і вимагає небагато ресурсів), в той час як злам цих шифрів потребує набагато більших зусиль ніж раніше, що робить криптоаналіз настільки неефективним та непрактичним, що злам стає практично неможливим.
Широкі академічні дослідження криптографії з'явились порівняно нещодавно - починаючи з середини 1970-тих, разом із появою відкритої специфікації стандарту DES (Data Encryption) Національного Бюро Стандартів США, публікацій Діффі Хелмана та оприлюдненням алгоритму RSA. Відтоді, криптографія перетворилась на загальнопоширений інструмент для передачі даних, в комп'ютерних мережах, та захисті інформації взагалі. Сучасний рівень безпеки багатьох криптографічних методів базується на складності деяких обчислювальних проблем, таких як розклад цілих чисел, або проблеми з дискретними логарифмами. В багатьох випадках, існують докази безпечності криптографічних методів лише за умови неможливості ефективного розв'язання певної обчислювальної проблеми. За одним суттєвим винятком - схема одноразових блокнотів[2].
Разом із пам'яттю про історію криптографії, розробники криптографічних алгоритмів та систем також мають брати до уваги майбутній поступ технологій в своїх розробках. Наприклад, постійне підвищення обчислювальної потужності комп'ютерів розширило поле для атак грубої сили. Тому, відповідно і оновлюються стандарти в сенсі вибору довжини ключа. Можливі наслідки розвитку квантових комп'ютерів вже враховуються деякими розробниками криптографічних систем[3].
Взагалі кажучи, до початку 20-го століття, криптографія, в основному, була пов'язана з лінгвістичними схемами. Після того, як основний акцент було змінено, зараз криптографія інтенсивно використовує математичний апарат, включно з теорією інформації, теорією
обчислювальної складності, статистики, комбінаторики, абстрактної алгебри та теорії чисел. Існують дослідження з приводу взаємозв'язків між криптографічними проблемами та квантовою фізикою.
Криптоаналіз еволюціонував разом з розвитком криптографії: нові, більш досконалі шифри приходили на зміну вже зламаним системам кодування тільки для того, щоб криптоаналітики винайшли більш витончені методи злому систем шифрування. Поняття криптографії і криптоаналізу нерозривно пов'язані один з одним: для того, щоб створити стійку до злому систему, необхідно врахувати всі можливі способи атак на неї.
Хоча поняття криптоаналіз було введено порівняно недавно, деякі методи злому були винайдені десятки століть тому. Першою відомою писемною згадкою про криптоаналіз є "Манускрипт про дешифрування криптографічних повідомлень", написаний арабським ученим Ал-Кінді ще в 9 столітті. У цій науковій праці міститься опис методу частотного аналізу. Частотний аналіз - основний інструмент для злому більшості класичних шифрів перестановки або заміни. Даний метод ґрунтується на припущенні про існування нетривіального статистичного розподілу символів, а також їх послідовностей одночасно і у відкритому тексті, і в шифротексті. Причому даний розподіл буде зберігатися з точністю до заміни символів як в процесі шифрування, так і в процесі дешифрування. Варто відзначити, що за умови досить великої довжини шифрованого повідомлення моноалфавітні шифри легко піддаються частотного аналізу: якщо частота появи букви в мові та частота появи деякого присутнього в шифротексті символу приблизно рівні, то в цьому випадку з великою часткою ймовірності можна припустити, що даний символ і буде цієї самої буквою. Найпростішим прикладом частотного аналізу може служити банальний підрахунок кількості кожного з символів, що зустрічаються, потім слідують процедури розподілу отриманого числа символів на кількість всіх символів у тексті і множення результату на сто, щоб представити остаточну відповідь у відсотках. Далі отримані процентні значення порівнюються з таблицею імовірнісного розподілу букв для передбачуваної мови оригіналу. У період XV-XVI століть у Європі створювалися і розвивалися поліалфавітні шифри заміни. Найбільш відомим є шифр французького дипломата Блеза де Віженера, в основу якого лягло використання послідовності декількох шифрів Цезаря з різними значеннями зсуву. Протягом трьох століть Шифр Віженера вважався повністю криптографічно стійким, поки в 1863 році Фрідріх Касіскі не запропонував свою методику злому цього шифру. Основна ідея методу Касіскі полягає в наступному: якщо у відкритому тексті між двома однаковими наборами символів знаходиться такий блок тексту, що його довжина кратна довжині ключового слова, то ці однакові набори символів відкритого тексту при шифруванні перейдуть в однакові відрізки шифротексту. На практиці це означає те, що за наявності в шифротексті однакових відрізків довжиною у три і більше символи, велика ймовірність того, що ці відрізки відповідають однаковим відрізкам відкритого тексту. Як застосовується метод Касіскі: у шифротекст шукаються пари однакових відрізків довжини три або більше, потім обчислюється відстань між ними, тобто кількість символів, які поділяють стартові позиції парних відрізків. У результаті аналізу всіх пар однакових відрізків ми отримаємо сукупність відстаней d1, d2, d3, ... Очевидно, що довжина ключового слова буде дільником для кожного з відстаней і, отже, для їх найбільшого загального дільника. Наступний етап розвитку криптоаналізу пов'язаний з винаходом роторних шифрувальних машин таких як, наприклад, винайдена Артуром Шербіусом Енігма. Метою таких пристроїв було мінімізувати кількість повторюваних відрізків шифротексту, статистика появи яких використовувалася при зломі шифру Віженера. Польським криптоналітикам вдалося побудувати прототип дешифровальной машини для версії Енігми, використовуваної Нацистською Німеччиною. Машина отримала назву "Бомба" за те, що при роботі видавала звуки схожі на цокання годинника. Пізніше вона була дороблена і взята на озброєння англійським криптоаналітикам. У міру розвитку нових методів шифрування математика ставала все більш і більш значущою. Так, наприклад, при частотному аналізі криптоаналітик повинен володіти знаннями і в лінгвістиці, і в статистиці. У той час як теоретичні роботи по криптоаналізу Енігми виконувалися переважно математиками, наприклад, Алан Матісон Тьюрінгом. Проте завдяки все тієї ж математики криптографія досягла такого розвитку, що кількість необхідних для злому елементарних математичних операцій стала досягати астрономічних значень. Сучасна криптографія стала набагато більш стійкою до криптоаналізу, ніж колись використовувані, застарілі методики, для злому яких було достатньо ручки та аркуша паперу. Може здатися, що чистий теоретичний криптоаналіз не здатний більш ефективно зламувати сучасні шифри. Тим не менш історик Девід Кан у своїй замітці до 50-ої річниці Агентства національної безпеки пише: "У наші дні сотні фірм пропонують безліч різних криптосистем, які неможливо зламати жодним з відомих методів криптоаналізу. Дійсно, такі системи стійкі навіть до атаки по підібраному відкритому тексту, тобто порівняння відкритого тексту і відповідного йому шифротексту не дозволяє дізнатися ключ шифрування, який би дозволив дешифрувати інші повідомлення. Таким чином, в деякому сенсі криптоаналіз мертвий. Але це ще не кінець. Криптоаналіз може бути і мертвий, але, висловлюючись метафорично, з кішки можна зняти шкірку декількома способами. "Далі у своїх замітці описує збільшене значення перехоплення даних, підкладки жучків, атак по сторонніх каналах і квантових комп'ютерів як методик, що йдуть на зміну традиційним методам криптоаналізу.
У 2010 колишній технічний директор Управління національної безпеки Брайан Сноу зазначив, що комерційна криптографія вже майже досягла рівня розвитку технологій, що використовуються розвідувальними службами, і тепер вони разом "дуже повільно просуваються у вже повністю дослідженій області". Тим не менш, криптоаналіз поки ще рано списувати з рахунків. По-перше, невідомо, наскільки ефективні застосовувані спецслужбами методи криптоаналізу, а по-друге за роки становлення та вдосконалення сучасної комп'ютерної криптографії було проведено багато серйозних атак і на теоретичні, і на практичні криптографічні примітиви:
В 1998 було виявлена уразливість до атак на основі шифротексту у блоковому шифрі MADRYGA, запропонованому ще в 1984, але не отримав широкого розповсюдження.
Ціла серія атак з боку наукового співтовариства, багато з яких були цілком практичними, буквально знищила блоковий шифр FEAL, запропонований як заміна DES в якості стандартного алгоритму шифрування, але також не отримав широкого розповсюдження
Також було встановлено, що за допомогою широко доступних обчислювальних засобів потокові шифри A5/1, A5/2, блочний шифр CMEA, і стандарт шифрування DECT, використовувані для захисту мобільного і бездротового телефонного зв'язку, можуть бути зламано за лічені години або хвилини, а згодом і в режимі реального часу.
Атака методом грубої сили допомогла зламати деякі з прикладних систем захисту, наприклад, CSS-систему захисту цифрового медіаконтенту на DVD-носіях. Таким чином, хоча найбільш надійні з сучасні шифрів є значно стійкішими до криптоаналізу, ніж Енігма, тим не менш криптоаналіз як і раніше відіграє важливу роль в обширній області захисту інформації.
Починаючи з 1970-х років інтерес до криптографії зростає з боку окремих дослідників, бізнесу та приватних осіб. Цьому сприяли в тому числі і публікації у відкритій пресі - книга Девіда Кана "Зломщики кодів", готовність наукової (створення осередку Фейстеля, роботи Діффі і Хеллмана, шифрів DES і RSA) і технічної бази (обчислювальної техніки), а також наявність "замовлення" з боку бізнесу - вимог до надійної передачі інформації в рамках окремої країни і по всьому світу. Одночасно з цим з'явилося й опір з боку держави розвитку відкритої криптографії (цивільної криптографії), що видно на прикладі історії протидії з АНБ. Серед причин негативного ставлення уряду вказують на неприпустимість потрапляння надійних систем шифрування в руки терористів, організованої злочинності або ворожої розвідки[4].
Після зростання суспільного інтересу до криптографії в США в кінці 1970-х і початку 1980-х років АНБ зробило ряд спроб придушити інтерес суспільства до криптографії. Якщо з компанією IBM вдалося домовитися (у тому числі з питання зниження криптостійкості шифру DES), то наукове співтовариство довелося контролювати через систему грантів - Національній науковий фонд США. Представники фонду погодилися направляти роботи з криптографії на перевірку в АНБ і відмовляти у фінансуванні певних наукових напрямів. Також АНБ контролювала і бюро патентів, що дозволяло накласти гриф секретності в тому числі на винаходи цивільних осіб. Так, в 1978 гриф "таємно", відповідно до закону "Invention secrecy act" про засекречування винаходів, які могли бути використані для вдосконалення техніки військового призначення, отримало винахід "Phaserphone" групи під керівництвом Карла Микола, що дозволяє шифрувати голос. Після того як історія отримала значний розголос у пресі, АНБ довелося відмовитися від спроб засекретити і монополізувати винахід. Також в 1978 цивільний співробітник АНБ Джозеф Мейер без узгодження з начальством послав у IEEE (Institute of Electrical and Electronics Engineers), членом якого він також був, лист з попередженням, що публікація матеріалів щодо шифрування і криптоаналіз порушує правила з регулювання міжнародного трафіку озброєнь. Хоча Мейер виступав як приватна особа, лист було розцінено як спроба АНБ припинити цивільні дослідження в області криптографії. Тим не менш, його точка зору не знайшла підтримки, але саме обговорення створило рекламу як відкритої криптографії, так і симпозіуму з теорії інформації 1977 - науки, тісно пов'язаної з шифруванням і криптоаналізу завдяки роботам Шеннона[5].
Після провалів, пов'язаних з листом Мейєра і справи групи Карла Миколи, директор АНБ опублікував кілька статей, в яких закликав академічні кола до спільного вирішення проблем, пов'язаних з відкритим вивченням криптографії та національною безпекою. В результаті утворилася деяка структура самоцензури - попередньої перевірки наукових публікацій в особливому державному комітеті. У той же час АНБ отримує можливість розподіляти кошти на криптографічні дослідження, "відокремивши" від Національного наукового фонду свій власний, в 2-3 мільйони доларів США. Тим не менше, після конфлікту з Леонардо Адделманом в 1980 було вирішено, що заявку на фінансування криптографічних досліджень можна подавати як у національний, так і в спеціалізований фонд АНБ[5].
Законодавчо в США було зроблено обмеження на використання відкритої криптографії. Висувалася вимога навмисне забезпечити ослаблену захист від злому, щоб державні служби при необхідності (у тому числі - за рішенням суду) могли прочитати або прослухати зашифровані повідомлення. Однак через кілька інцидентів злому комерційних систем від цього довелося відмовитися, оскільки заборона на використання сильної криптографії всередині країни став завдавати шкоди економіці. У результаті до кінця 1980-х років в США залишився єдиний заборона - на експорт "сильної" криптографії, в результаті якого, а також через розвиток персональної обчислювальної техніки, до початку 1990-х років вся експортована із США криптографія стала "повністю слабкою ".
Тим не менш, АНБ і ФБР кілька разів піднімали питання про заборону або дозвільному механізмі для приватних компаній займатися роботами в області криптографії, але ці ініціативи завжди зустрічали опір суспільства та бізнесу. На даний момент можна сказати, що зараз АНБ відмовилася від усіх претензій і вважає за краще виступати експертної стороною. До цього (а ФБР і до цих пір) кілька разів змінювало свою позицію, пропонуючи різні схеми використання сильної криптографії в бізнесі та приватними особами.
В 1991 законопроект № 266 включив в себе необов'язкові вимоги, які, якщо б вони були прийняті, змусили б усіх виробників захищеного телекомунікаційного обладнання залишати "чорні ходи" (анг.trap doors), Які б дозволили уряду отримувати доступ до незашифрованому повідомленнями. Ще до того як законопроект провалився, Філіп Цимерман виклав в Інтернет PGP - пакет безкоштовного програмного забезпечення з відкритим кодом для шифрування і електронного підпису повідомлень. Спочатку він планував випустити комерційну версію, але ініціатива уряду щодо просування законопроекту спонукала його випустити програму безкоштовно. У зв'язку з цим проти Циммермана було порушено кримінальну справу за "експорт озброєнь", яке було припинено тільки в 1996, коли світ побачила вже 4-а версія програми[6].
Наступною ініціативою став проект "Clipper Chip", запропонований в 1993. Чіп містив сильний, згідно із заявою АНБ, алгоритм шифрування "Skipjack", який, тим не менш, дозволяв третій стороні (тобто уряду США) отримати доступ до закритого ключа і прочитати зашифроване повідомлення. Даний чіп пропонувалося використовуватися як основу для захищених телефонів різних виробників. Однак дана ініціатива не була прийнята бізнесом, який вже мав досить сильні та відкриті програми на зразок PGP. В 1998 шифр був розсекречений, після чого Біхам, Шамір і Бірюков протягом одного дня провели успішні атаки на варіант шифру c 31 раундом (з 32-х)[6].
В 2000 році США зняла практично всі обмеження на експорт криптографічного продукції, за винятком 7 країн з "терористичними режимами". Ще одним кроком до відкритої криптографії став конкурс AES, в якому брали участь вчені всього світу. З кінця 1990 років починається процес відкритого формування державних стандартів на криптографічні протоколи. Мабуть, найвідомішим є розпочатий в 1997 конкурс AES, в результаті якого в 2000 році державним стандартом США для криптографії з секретним ключем був прийнятий шифр Rijndael, зараз вже більш відомий як AES. Аналогічні ініціативи носять назви NESSIE (European Schemes for Signatures, Integrity, and Encryptions) В Європі iCRYPTREC (анг. Cryptography Research and Evaluation Committees) в Японії.
.2 Політика в сфері криптографічного захисту інформації в Україні та інших державах світу
криптографія суспільство інформація шифрування
Швидкий темп розвитку технологій обчислювальної техніки та зв'язку докорінно змінили способи комунікації та обміну інформацією. Але разом з підвищенням швидкості та ефективності передачі інформації та істотним зниженням вартості цієї передачі на основі "цифрової революції" в комп'ютерній техніці і техніці зв'язку виникли проблеми забезпечення інформаційної безпеки і збереження конфіденційності особистої інформації при передачі з використанням глобальної інфраструктури зв'язку. Основним способом вирішення цих проблем стала криптографічний техніка, що дає можливість захисту з дуже високим ступенем надійності інформації, яка передається по мережах зв'язку і яка зберігається в базі даних і пам'яті комп'ютерів і оброблюваної в обчислювальних системах.
До недавнього часу криптографія мала місце лише в урядових організаціях і опікувалася виключно державою. Сучасна криптографія - процес математичного перетворення даних з використанням формул або алгоритмів - традиційно використовувалася в основному для захисту військового і дипломатичного зв'язку. Але новітні досягнення в комп'ютерній технології, нові види зв'язку та суттєво нові досягнення в криптографії привели до виникнення ринку криптографічних продуктів, що став складовою частиною світової економіки. Техніка електронного зв'язку широко використовується для передачі безперервно зростаючих обсягів інформації (у тому числі фінансової, комерційної та персональної, наприклад, медичної) у цивільному секторі. Важливе місце займають такі застосування зв'язку, як електронна пошта, електронне перерахування платежів та ін. У цих умовах все більш істотним стає збереження конфіденційності інформації.
Це завдання може бути вирішене тільки методами криптографії та використанням її для таких застосувань, як аутентифікація, перевірка цілісності та ін.[7]
Для цього необхідно, щоб криптографічні методи і техніка стали загальнодоступними і їх використання не обмежувалося урядовим регулюванням. Урядове регулювання застосувань криптографії для досягнення інформаційної безпеки завдає істотної шкоди збереженню приватності корпоративної інформації. Криптографія забезпечує конфіденційність персональних записів (медичних, фінансових тощо) і повідомлень, переданих по електронній пошті. В умовах передачі цієї інформації по лініях зв'язку і обчислювальних мережах вона піддається великому ризику розкрадання і неправомірного використання. Тому члени Комітету за глобальну свободу користування мережею Internet GILC (Global Internet Liberty Campaign) прийняли резолюцію про підтримку свободи використання криптографії" Resolution in Support of Freedom to Use Cryptography". У цій резолюції наголошується, що "використання криптографії визнає неприпустимість порушень прав людини та її свободи дій, що завдають йому шкоди, на всій території земної кулі" і що "збереження конфіденційності зв'язку захищається статтею 12" Загальної декларації прав людини.
У багатьох країнах світу організації з захисту прав людини, журналісти та політичні дисиденти зазвичай є основними об'єктами спостереження урядових розвідувальних служб і правоохоронних органів а також інших неурядових груп. Держдепартамент США у своїй доповіді про практику дотримання прав людини, представленому країні в 1996 р., повідомляв що набули широкого поширення незаконні і неконтрольовані підключення до ліній зв'язку з метою їх прослуховування, що практикуються як урядовими органами, так і приватними групами в більш ніж 90 країнах. У деяких країнах, таких як Гондурас і Парагвай, компанії, що володіють урядовими мережами зв'язку, є активними помічниками урядових агентств безпеки у проведенні стеження за особистим життям людей. Ця проблема стосується не тільки країн, що розвиваються. Агенти французької контррозвідки підключаються до телефонів відомих журналістів і лідерів опозиційних організацій[8].
За даними французької національної комісії з контролю за незаконними підключеннями, для перехоплення інформації в цій країні щорічно виробляється до 100 000 таких підключень. Відомо багато випадків контролювання розвідувальними службами Великобританії громадських, профспілкових та правозахисних організацій. Нещодавно прийнятий у Великобританії закон дозволяє спостереження за адвокатами і священиками. У Німеччині, вперше після нацистського правління, продовжено дію закону, що дозволяє прослуховування в журналістських офісах. Європейський парламент опублікував у січні 1998 доповідь, в якій повідомляється, що Агентство національної безпеки (АНБ) США здійснює масовий контроль в європейських системах зв'язку.
Комітет GILC адресував прийняту ним в 1996 р. згадану вище резолюцію Організації економічного співробітництва та розвитку OECD (Organization for Economic Cooperation and Development) із зверненням прискорити вироблення політики OECD по "основних прав громадян на користування захищеним зв'язком". У прийнятому у відповідь на це звернення рішенні OECD визнала, що "основні права людини на збереження особистої таємниці, включаючи конфіденційність зв'язку та захист персональної інформації, повинні дотримуватися в національній політиці з криптографії і використанню криптографічних методів".
Пізніше OECD прийняла "Основні принципи політики в галузі криптографії" (Guidelines on Cryptography Policy), опубліковані 27 березня 1997. У цьому документі заявлено, що OECD не підтримує пропозицію США про створення міжнародної структури депонування криптографічних ключів і видачі їх правоохоронним та іншим урядовим органам. Рекомендації OECD були прийняті після дискусій, що тривали більше року по проекту "Основних принципів". Ці рекомендації, що не мають характеру обов'язкового угоди, визначають основні проблеми, які повинні враховувати окремі країни при формуванні політики в області криптографії на національному та міжнародному рівнях[8].
У документі OECD наголошується, що необхідність прийняття "основних принципів" виникла у зв'язку зі вибуховим зростанням у всьому світі інформаційних і комунікаційних мереж і технологій та вимогами ефективного захисту інформації. Криптографія є основним інструментом такого захисту.
Криптографія може також забезпечити збереження конфіденційності і цілісності даних і з'явитися механізмом аутентифікації і виключення відмов сторін від своїх зобов'язань в електронній комерції. Уряди країн - членів OECD мають намір сприяти застосуванню криптографії для захисту даних і в комерційних операціях, але вони змушені проводити таку політику, яка давала б можливість збалансувати різні інтереси і завдання, включаючи збереження конфіденційності персональної інформації, інтереси національної безпеки і правоохоронних органів, розвиток технологій і торгівлі. Міжнародні консультації та співробітництво повинні сприяти виробленню правильної політики в області криптографії зважаючи притаманного інформаційним і комунікаційним мережам міжнародного характеру і труднощів визначення і юридичного захисту кордонів у сучасній глобальній обстановці[9].
"Основні принципи" мають сприяти розширенню галузей застосування криптографії, розвитку електронної комерції, зміцнення довіри користувачів до мереж, підвищенню рівня захисту даних і збереження таємниці особистої інформації. Деякі країни-члени OECD вже проводять певну політику в області застосувань криптографії і приймають відповідні закони, а багато країн ще тільки виробляють цю політику. Невдалі спроби координувати національну політику окремих держав на міжнародному рівні можуть з'явитися перешкодою створенню і розвитку національних і глобальних інформаційних і комунікаційних мереж і розширенню міжнародної торгівлі. Уряди країн - членів OECD усвідомлюють важливість міжнародного співробітництва, і OECD внесла свій внесок у досягнення угоди про дану політику та вирішенні специфічних проблем, що відносяться до криптографії, а в більш широкому сенсі до інформаційних і комунікаційних мереж і технологій.
"Основні принципи політики в галузі криптографії" містять вісім таких принципів:
. Криптографічні методи повинні викликати довіру користувачів інформаційних і комунікаційних мереж.
. Користувачі повинні мати право вибору і реалізації будь-якого криптографічного методу, застосування якого дозволено законом.
. Криптографічні методи повинні розроблятися при виникненні необхідності в цьому, як відповідь на певні вимоги і з ініціативи окремих осіб, організацій і урядів.
. Технічні стандарти, критерії та протоколи, що відносяться до криптографічних методів, повинні розроблятися і поширюватися на національному та міжнародному рівнях.
. Основні права людини на особисту таємницю, включаючи секретність зв'язку та захист персональних даних, повинні дотримуватися в політиці застосування криптографії, реалізації та використанні криптографічних методів.
. Національна політика в галузі криптографії повинна забезпечувати законний доступ до відкритих текстам, криптографічним ключам або зашифрованих даних. Ця політика повинна поважати інші основні принципи в максимально можливій мірі.
. Незалежно від того, чи встановлюється за контрактом або законодавчим порядком відповідальність осіб або організацій, що пропонують криптографічні послуги або відають доступом до криптографічних ключів, вона повинна бути чітко визначена.
. Уряди різних країн повинні співпрацювати і координувати свої дії з вироблення та реалізації політики в області криптографії. Заради загального прогресу криптографії уряди країн - членів OECD повинні прагнути усувати виникаючі невизначені перешкоди досягненню такої взаємодії[10].
У коментарях до цих принципів підкреслюється, що кожен з них зачіпає ту чи іншу важливу особливість загальної політики в галузі криптографії. Тому їх слід вважати взаємозалежними і реалізувати як єдине ціле, домагаючись балансу різних інтересів. "Принципи" представлені у певній логічній послідовності, що виражає поступальний прогрес при переході від одного принципу до наступного. Для досягнення міжнародної згоди про застосуваннях криптографії та повного використання потенційних можливостей національних і глобальних інформаційних і комунікаційних мереж політика в області криптографії, яка приймається і проводиться тією чи іншою країною, повинна максимально гармоніювати з аналогічною політикою інших країн.
Для досягнення міжнародної згоди про застосуваннях криптографії та повного використання потенційних можливостей національних і глобальних інформаційних і комунікаційних мереж, політика в області криптографії, яка приймається і проводиться тією чи іншою країною, повинна максимально гармоніювати з аналогічною політикою інших країн.
Даний огляд складений інформаційним центром EPIC (Electronic Privacy Information Center) захисту конфіденційності інформації в електронних системах за дорученням комітету GLIP . Він повинен дати по можливості повне уявлення про національну політику і законодавство в галузі криптографії більшості країн. На відміну від попередніх оглядів з цієї тематики, він є найбільш повним і детальним, так як складений на основі офіційних повідомлень, отриманих від більш ніж 200 країн.
Центр EPIC розіслав запити посольствам, місіям ООН, урядовим міністерствам та інформаційним центрам цих країн і територій з проханням дати відповіді по чотирьох основних аспектів політики в галузі криптографії.
Контроль уряду за застосуваннями криптографії всередині країни;
Контроль уряду за імпортом в країну комп'ютерних програм, які можуть бути використані в криптографії;
Контроль уряду за експортом розроблених в країні комп'ютерних програм або апаратних засобів, що допускають застосування криптографії;
Наявність урядового агентства або департаменту, відповідального за реалізацію прийнятої політики контролю застосування криптографії, імпорту та експорту криптографічних продуктів і технологій.
Відповіді на ці питання офіційних представництв та представників різних країн наведені нижче у формі огляду. У ньому наводяться посилання на огляд Національного інституту стандартів і технологій США (NIST), опублікованому у вересні 1993 р. що представляє першу спробу зібрати і проаналізувати інформацію про політику в галузі криптографії, що діє в інших країнах. Зустрічаються також посилання на доповідь, підготовлену міністерством торгівлі і АНБ США для міжвідомчої групи з політики в галузі криптографії та зв'язку. Ця доповідь з назвою "Вивчення світового ринку програм комп'ютерного шифрування " була опублікована в 1995 р. Вона складена в основному за відомостями, отриманими від посольств і торгпредставництв США в інших країнах і частково за даними розвідувальних служб США . Тому не дає повної інформації про дійсний стан. Враховуючи все це, Центр EPIC прийняв рішення про складання огляду, головним чином за матеріалами, отриманими від офіційних представництв та відомств країн, що взяли участь в опитуванні[11].
За результатами опитування ці країни розділені на три групи залежно від характеру прийнятої і реалізованої в них політики контролю криптографії. Цим групам присвоєні такі позначення:
Green - зелена (3) - країни, які дотримуються основних положень OECD про криптографію, тобто практично не обмежують її вільного застосування;
Yellow - жовта (Ж) країни, які мають намір ввести певний контроль криптографії, включаючи її застосування всередині країни і експорт програмних засобів подвійного призначення;
Red - червона (Ч) - країни, що здійснюють контроль криптографії та її застосувань всередині країни.
Деякі країни не можна безумовно віднести до тієї чи іншої групи. Їм присвоюються проміжні позначення, наприклад, yellow/red -жовта/червона.
Нижче наводяться оброблені результати опитування про політику контролю криптографії в більшості країн, що взяли в ньому участь.
Австралія (3/Ж)
В Австралії з 1987 р. діють законодавчі акти, що обмежують експорт криптографічних продуктів. Для експорту потрібне схвалення міністерства оборони і митного управління.
Особливо строгі обмеження діють на отримання індивідуальних ліцензій на експорт програмних продуктів шифрування масового застосування.
За даними міністерства зовнішньої торгівлі Австралії, ця країна має добре розвинену мережу постачальників комерційних програмних засобів шифрування, призначених головним чином для захисту потоків комерційних даних, переданих через модеми, рухливі телефони та мовні скремблери. Тому обмеження експорту таких продуктів зачіпає, в першу чергу, інтереси комерційного сектора. Дозвіл або заборона експорту залежать від економічних чинників, впливу на національну безпеку і міжнародних зобов'язань країни. Дозвіл на експорт криптографічних продуктів вимагає схвалення директорату зв'язку міністерства оборони Австралії DSD (Defence Signals Durectorate), що визначає ступінь впливу експорту на національну безпеку країни. DSD несе відповідальність за розвідку джерел електромагнітних сигналів SIGINT і працює у взаємодії з агентством національної безпеки США (АНБ) відповідно до угоди про безпеку між Великобританією і США, укладеним в 1948 р. DSD відповідає також за безпеку урядового зв'язку Австралії[11].
В Австралії відсутній контроль імпорту криптографічних продуктів. Крім того, використання криптографії приватними особами та організаціями в Австралії обмежується тільки отриманням дозволу на будь-яке приєднання криптографічних пристроїв до телефонної апаратури комутованої мережі загального користування від австралійської дирекції зв'язку Austel. Такі дозволи зазвичай видаються за умови, що криптографічні пристрої, які інтегруються, не порушать роботу мережі. В Австралії передбачається прийняття закону про контроль за застосуваннями криптографії приватними особами. Контроль стосується тільки апаратури, яка приєднується до національних мереж зв'язку.
У жовтні 1996 р. в Австралії була опублікована доповідь колишнього заступника директора Національного управління розвідки і безпеки ASIO (Australia Security Intelligence Organization) Ж.Уолша. Ця доповідь, що стала відомою як доповідь Уолша, має назву "Огляд політики в галузі криптографічних технологій" (Review of Policy relating to Encryption Technologies). У доповіді Уолша містилася рекомендація Австралії не вводити пропоновану США систему депонування криптографічних ключів (Key escrow) або отримання ключів за запитом урядових агентств. Ця рекомендація грунтувалася на тому, що діючі в Австралії правила використання криптографії не відповідають умовам, необхідним для функціонування системи депонування ключів. Наголошувалося також на можливість корупції з боку третьої сторони, керуючої депонованими ключами.
Відзначалася і непопулярність пропозиції США ввести міжнародну комерційну систему депонування криптографічних ключів серед багатьох розвинених країн світу. У серпні 1997 р. в Австралії було створено Національне управління з інформаційної економіки NOIE (National Office for the Information Economy), яке займатиметься виробленням та реалізацією політики Австралії в області криптографії.
Австрія (Ж.)
Відповідальним за використання криптографії, експорт та імпорт криптографічних продуктів в Австрії є 6-й відділ (Section VI) міністерства закордонних справ. Уряд Австрії контролює всі програмні засоби шифрування подвійного (військового і цивільного) застосування на експорт, транзит або реекспорт, для яких потрібні спеціальні ліцензії. Не видаються ліцензії на експорт цих продуктів в регіони, де відбуваються військові конфлікти, і в країни, проти яких введені міжнародні санкції.
За даними Інституту прикладної обробки інформації та зв'язку Австрії (IAIK), діючі в цій країні правила використання криптографії визначені законом про внутрішній радіозв'язок (Betriebsfunkverorduiig, 1995). Застосування криптографії явно заборонено цим законом, так як призначення частот деяким компаніям і організаціям є привілейованим і тому ці частоти можуть бути використані тільки для специфічного внутрішнього зв'язку компаній. Але деякі частоти виділені для цілого сектору економіки, внаслідок чого інформація що передається по них може прослуховуватися конкуруючими компаніями. Тому зацікавлені організації та фірми вимагають зміни діючих правил. Винятки зроблено тільки для підрозділів міністерства внутрішніх справ (головним чином поліції і силам безпеки). Передачі по мережах стільникового зв'язку (наприклад, GSM) можуть шифруватися. Міжнародні правила радіоаматорського зв'язку, що вимагають передачі відкритим текстом (з певним обмеженням вмісту повідомлень), строго виконуються Австрією.
У липні 1997р. міністр науки і транспорту Австрії підписав комюніке Європейської конференції міністрів "Про глобальні інформаційні мережі", що відбулася в Бонні (Німеччина). У цьому комюніке оголошується, що підписуючі його міністри будуть "домагатися міжнародної доступності та вільного вибору криптографічних продуктів і взаємодіючих служб відповідно до прийнятих законів". Міністри оголосили також, що "якщо країни будуть застосовувати заходи щодо захисту законних вимог, ці заходи повинні враховувати приватні права та інтереси". Підтверджено необхідність дотримуватися рекомендації OECD про контроль за застосуваннями криптографії і приймати їх як основу національної політики та міжнародного співробітництва з криптографії.
Аргентина (Ж)
Аргентина дотримується політики обмеження експорту криптографічних продуктів і технологій подвійного (військового і цивільного) призначення. Проте, міністерство юстиції Аргентини пропонує програми криптографічного захисту повідомлень PGP (Pretty Good Privacy) через мережу Internet.
Вірменія (Ч)
За даними посольства Вірменії в Вашингтоні, ця країна в даний час не має визначеної політики щодо застосування криптографії. Але нещодавно уряд Вірменії заснував міністерство з інформації та публікацій, яке поряд з іншими питаннями планує виступити із законодавчою ініціативою, що стосується криптографії.
Білорусія (Ч)
У Білорусії обмежені виробництво, придбання і застосування криптографічних продуктів. Необхідні ліцензії видаються Комітетом державної безпеки (КДБ) Білорусі.
Бельгія (3/Ж)
Експорт криптографічних продуктів з Бельгії в інші країни (крім Нідерландів і Люксембургу) дозволяється тільки за ліцензіями. Однак Європейський Союз скасував ці обмеження для інших членів Союзу і деяких країн, які не є його членами.
У грудні 1994 р. парламент Бельгії прийняв закон, що вимагає застосування криптографії з депонуванням ключів. Цей закон затвердив інститут пошти та зв'язку Бельгії (Belgacom) як органу, керуючого депонованими ключами. Інституту надано право відключати телефони, що порушують правила криптографії з депонованими ключами. Але цей закон до теперішнього часу не введений в дію через відсутність механізму його реалізації. Разом з тим надійшли пропозиції про внесення поправок до закону, що послаблюють прийняті обмеження на застосування криптографії.
У липні 1997 р. віце-прем'єр-міністр Бельгії підписав комюніке "європейської конференції міністрів про глобальні комунікаційні мережі". Міністри, які підписали це комюніке, підкреслили необхідність створення юридичного та технічного органу на європейському та міжнародному рівнях, який забезпечував би сумісність криптографічних засобів і створив довірчі умови для застосування цифрових електронних підписів.
Болгарія (3/Ж)
Болгарія проводить політику обмеження експорту програмних криптографічних продуктів подвійного (цивільного і військового) призначення. Країна підписала комюніке Європейської конференції міністрів про глобальні комунікаційні мережі 8 липня 1997 р.
Бразилія (3)
За даними огляду національного інституту стандартів і технологій США (NIST) за 2005 р., в Бразилії немає обмежень на імпорт криптографічних технологій. У Португалії доступні програми криптографічного захисту PGP з Бразилії.
Великобританія (3/Ж)
У Великобританії здійснюється контроль експорту криптографічних продуктів, детальний перелік яких дано в документі "порядок контролю експорту товарів EGCO ("Export of Goods Control Orders"). Останній варіант EGCO опублікований 24 квітня 1994. Порядок, встановлений цим документом, заснований на законі 1939 "Імпорт, експорт та митний захист (" Import, Export and Customs Defence Act"). EGCO вимагає, щоб ніякі засоби забезпечення безпеки, технології або технічні засоби не могли б експортуватися без відповідних ліцензій. Встановлений порядок не робить відмінностей між криптографічними продуктами урядового та цивільного призначення і не виділяє продукти із застосуванням стандарту шифрування DES або інших криптоалгоритмів[12].
Ліцензії на експорт видаються міністерством торгівлі та промисловості Великобританії DTI (Department of Trade and Industry) за заявками. Але англійські фірми постачальники криптографічного апаратури посилають також факси групі з безпеки зв'язку та електронних систем CESG (Communication and Electronic Security Group), що є частиною Управління урядового зв'язку Великобританії GCHQ (Government Communications Headquarter), аналогічного Агентству національної безпеки США (АНБ). Фірми вважають, що таким шляхом вони прискорюють процес видачі ліцензії DTI. CESG розглядає пропозиції фірм і видає рекомендації DTI з питань видачі ліцензій. Практично DTI завжди дотримується цих рекомендацій.
За даними бюлетеня групи контролю експорту DTI, Великобританія застосувала санкції і часткове або повне ембарго щодо Анголи, Іраку, Лівії, Аргентини, Вірменії, Азербайджану, Боснії і Герцеговини, КНР, Хорватії, Ірану, Ліберії, Нігерії, Руанди, Сербії, Сомалі, Тайваню, колишньої Югославії та Конго (столиця Кіншаса).
У Великобританії немає контролю імпорту криптографічних продуктів і обмежень на застосування їх усередині країни. Чинний до останніх виборів уряд Великобританії почав проводити відкриті консультації (Public Consultation) з довіреними третіми сторонами (Trusted Third Parties) з питань розширення криптографічних служб в країні. В результаті DTI випустило бюлетень про хід цих консультацій (березень 1997 р.). Але знову обраний лейбористський уряд Великобританії увів мораторій на надійшовшу пропозицію про перегляд юридичних обґрунтувань видачі ліцензій, виходячи з того, що уряд лейбористів має намір почати кампанію за скасування будь-якого контролю використання криптографії у Великобританії. Своє ставлення до криптографії лейбористський уряд висловив в наступній заяві: "Важливе значення має суворий захист приватних комерційних і персональних інтересів у нових мережах. Ми не можемо прийняти концепцію криптографії з депонуванням ключів, розроблену і пропоновану США, що дає можливість урядовим органам розкривати будь-яке зашифроване або скремблюване повідомлення. Єдине повноваження, яке ми можемо надати урядовим органам для боротьби із злочинністю, - це можливість розшифрування повідомлень за ордерами судових або слідчих органів (аналогічним ордерами на обшук). Спроби контролювати застосування криптографічної техніки і технологій є помилковими в принципі, нездійсненними практично і шкідливими для довгострокової економіки інформаційних мереж. Не має суттєвої різниці між зашифрованим файлом і замкненим сейфом. Сейф може бути зроблений так, що зберігаюча в ньому інформація буде знищена при його несанкціонованому взломі. Аналогічну роль виконує алгоритм шифрування файлу.
Крім того, швидкі темпи зміни технологій і широкі можливості отримання нових комп'ютерних програм через мережу Internet та інші мережі приведуть до неможливості своєчасного використання технічних рішень. Адекватний контроль може бути введений в дію тільки на основі існуючих законів про пошук, перехоплення та розкритті інформації. Немає необхідності відносити до категорії злочинних елементів великої кількості користувачів інформаційних мереж, виходячи з вимог контролю дій невеликої кількості порушників закону".
У липні 1997р. міністр науки, енергетики та промисловості Великобританії підписав комюніке "Про глобальні комунікаційних мережах".
Угорщина (3/Ж)
Угорщина належить до країн, які дотримуються політики обмеження експорту криптографічних програмних засобів подвійного призначення.
У липні 1997 р. міністр транспорту, зв'язку та водних ресурсів Угорщини підписав відоме комюніке Європейської конференції міністрів "Про глобальні інформаційні мережі"[12].
Німеччина (3)
За даними представництва Німеччини у Вашингтоні, в цій країні:
Немає контролю за застосуванням апаратних або програмних криптографічних засобів;
Немає контролю імпорту таких засобів;
Контроль експорту засобів шифрування застосовується в такій же мірі, як і в США станом на початок 1997 р.;
Контроль експорту здійснює Федеральне управління міністерства економіки.
У доповіді міністерства торгівлі і АНБ США є відомості про те, що ліцензії на експорт криптографічних засобів фактично видаються з дозволу Федерального управління інформаційної безпеки BSI (Bundesamt fur Sicherheit der Informationstechnik) міністерства внутрішніх справ.
У червні 1997 р. в Німеччині прийнято закон "Про електронно-цифровий підпис" (Sig G). За цим законом система цифрового підпису ґрунтується на застосуванні асиметричної криптографії з двома ключами: секретним ключем зашифрування стороною, яка підписує документ або повідомлення, і відкритим ключем довіреною стороною. Який криптоалгоритм повинен застосовуватися в системі цифрового підпису, в законі не уточнюється. Питання про вибір криптоалгоритма буде, очевидно, вирішено в окремій постанові про застосування закону Sig G. У цьому законі не уточнюється також питання про третю довірчу сторону, але він вимагає, щоб ця сторона затверджувалася Федеральною службою зв'язку Німеччини, що створює цифровий ланцюг перевірки відкритих ключів.
Управління BSI координує свої рішення з експорту з Федеральною службою зв'язку, Федеральним управлінням розвідки і міністерством оборони Німеччини.
Греція (3)
Посольство Греції у Вашингтоні повідомляє, що в даний час в країні відсутні закони про застосування, імпорт та експорт криптографічних засобів і прийняття таких законів не передбачається. Але посольство, ймовірно, не знає про те, що Греція приєдналася в липні 1997 р., до комюніке Європейської конференції міністрів "Про глобальні інформаційні
мережі", яке визначає порядок експорту програмних засобів шифрування подвійного (військового і цивільного) застосування.
Данія (3)
У доповіді міністерства торгівлі і АНБ США повідомляється, що в Данії контролюється експорт та реекспорт програмних криптографічних засобів. На експорт необхідно отримати ліцензію від урядових органів. Відомостей про скасування цього порядку немає. У політиці контролю експорту криптографічних засобів Данії не робиться відмінностей між типами криптоалгоритмів і їх криптостійкість.
Експорт стратегічних товарів в Данії контролюється на основі адміністративного розпорядження міністерства промисловості від 12 листопада 1993 До цього розпорядження прикладений список стратегічних товарів, експорт яких можливий тільки за наявності ліцензії міністерства політики ділових відносин (Business Policy Ministry). У список включені товари, на які поширюються ембарго, прийняті чотирма міжнародними угодами. Адміністративне розпорядження міністерства Данії визнано як відповідне міжнародним правилам контролю експорту стратегічних товарів подвійного призначення Європейським Союзом. У Данії відсутній контроль імпорту криптографічних продуктів.
У червні 1996 р. рада з інформаційної безпеки Данії виступила з пропозицією про свободу застосувань криптографії в країні, в тому числі і систем з обов'язковим депонуванням криптографічних ключів. Рада вважає, що чинна юридична система проведення обшуків дає можливість доступу до криптографічних ключів. Рада звернулася також до міністра з досліджень та інформаційних технологій з пропозицією внести на розгляд парламенту країни законопроект про цифровий підпис. Данія приєдналася до комюніке Європейської конференції міністрів "Про глобальних інформаційних мережах" від 8 липня 1997.
Європейський Союз (3/Ж)
У 1992 р. Європейська комісія запропонувала правила регулювання продажів криптографічних продуктів подвійного (військового і цивільного) застосування на світовому ринку. Але так як експорт криптопродуктів військового призначення торкався питань національної безпеки країн-учасниць, то контроль за цим експортом був віднесений до компетенції окремих держав, а контроль експорту криптопродуктів цивільного призначення залишено за Європейською комісією.
Згодом було досягнуто компромісу, і в 1994р. були прийняті правила Європейського Союзу про регулювання експорту криптопродуктів подвійного призначення (ЄС № 338 V 94), що містять 24 статті. Ці правила введені в дію
липня 1995 рішенням Ради № 94/942/CFSP, що містить вісім статей і п'ять додатків.
. Всі країни - члени Європейського Союзу визнають один і той же список кріптопродуктов подвійного призначення і правила контролю їх експорту.
. Для експорту більшості продуктів подвійного призначення між країнами - членами Союзу (і в інші дружні країни, що не входять до Союзу, такі як Австралія, Канада, Японія, Норвегія, Швейцарія і США) досить дозволу уряду країни-експортера.
. У Європейському Союзі діє загальний контроль рівня експорту.
. Дозволи на експорт, видані урядом якоїсь країни - члена Союзу, мають поширюватися і на експорт крbптопродуктів з інших країн - членів Союзу.
У доповіді від 8 жовтня 1997 Генерального Директорату - XIII (Directrorate - General XIII) Європейської Комісії, яка відповідає за політику в галузі зв'язку, ринку інформаційних продуктів і досліджень, повідомлялося, що Директорат розглядає проблеми, пов'язані з політикою уряду США, та пропонує перейти до криптографії з депонуванням ключів.
У доповіді стверджується, що "обмеження у використанні криптографії можуть перешкоджати законослухняним компаніям і громадянам захистити себе від дій кримінальних елементів" і що криптосистеми з депонуванням ключів "не виключають повністю можливості використання цієї техніки в злочинних цілях". Відносно механізму "чорний хід" в цих системах, що дає змогу правоохоронним і розвідувальним органам читати відкритий текст зашифрованих повідомлень, в доповіді сказано, що "якщо такі криптосистеми будуть прийняті, права правоохоронних органів та інших служб повинні бути обмежені до абсолютно необхідних". Ця доповідь була представлена Європейською комісією основним адміністративним органам Європейського Союзу: Європейському Парламенту, Раді міністрів, Комітету з економіки та соціальних питань, Комітету у справах регіонів[12].
Ізраїль (Ч)
В Ізраїлі введений всебічний контроль експорту, імпорту та внутрішнього застосування криптографічних засобів. Правила проведення такого контролю визначені Судовим наказом (Court Ordez) 1974 "Контроль за продуктами і засобами (відносяться до криптографії)". У цьому наказі встановлено, що будь-яка особа не може займатися діяльністю в галузі криптографії (включаючи імпорт, експорт, виробництво або застосування криптопродуктів) без отримання ліцензії від національного органу, призначуваного міністром оборони.
За роз'ясненням міністерства закордонних справ Ізраїлю "регулювання імпорту та експорту криптографічних засобів, а також розробки нових криптотехнологій здійснює міністерство оборони, так само як і контроль експорту зброї. Для експорту криптографічних засобів необхідно отримати ліцензію із зазначенням кінцевого користувача, якому поставляються ці кошти. Фірма, яка має намір вести розробки криптографічного техніки, повинна одержати відповідний дозвіл міністерства оборони Ізраїлю ".
Індія (Ж/Ч)
Індія має строгу урядову структуру, що здійснює основні функції контролю зовнішньої торгівлі, головним чином, товарами першої необхідності, а не товарами, що відносяться до оборони країни і національної безпеки. До травня 1994 р. у Індії не було чіткої політики щодо експорту озброєння або критичних засобів подвійного (військового і цивільного) застосування. У березні 1995 р. Індія опублікувала список стратегічних сировинних матеріалів і технологій, експорт яких дозволяється тільки за ліцензіями. У список включені тільки апаратні і програмні засоби шифрування для телеметричних систем (головним чином, відносяться до управління ракетами, які займають важливе місце в цьому списку). У списку відсутні програмні засоби шифрування інформації.
Згідно зі спільним меморандумом Індії та США про взаєморозуміння з питань обміну критичними технологіями, уряд Індії має намір "полегшити" умови імпорту з США окремих продуктів, включених в списки товарів, що підлягають митному контролю, і списки предметів озброєння. Інформація про контроль імпорту криптографічних засобів в Індію і їх застосування всередині країни відсутня.
Індонезія (Ч)
Як повідомило посольство Індонезії у Вашингтоні, прийняття правил, що регулюють застосування криптографії всередині країни, являє собою важливе нововведення уряду. Комерційний аташе Індонезії у Вашингтоні інформував відповідні організації в Джакарті про розвиток криптографії в США і політиці уряду цієї країни щодо контролю її застосувань.
Посольство Індонезії повідомило також, що відповідальним за проведення політики контролю експорту та імпорту криптографічних продуктів є Генеральний директорат міжнародної торгівлі, що входить в міністерство промисловості і торгівлі Індонезії.
Іран (невідомо)
Посольство Пакистану, що представляє інтереси Ірану в Вашингтоні, повідомило, що запит центру EPIC про закони Ірану, що відносяться до криптографії, був переданий відповідним організаціям ісламської республіки Іран. Ніякої інформації надалі не було отримано.
Ірландія (3/Ж)
У листі Агентства розвитку (Development Agency) Ірландії від 21 лютого 1994 повідомлялося, що в Ірландії немає обмежень на експорт комп'ютерних програмних засобів. Завдяки відсутності таких обмежень більше 75 іноземних фірм в Ірландії займалися цим експортом.
За останніми даними, пізніше Ірландія ввела обмеження на експорт комп'ютерних програм шифрування, які можуть використовуватися для цивільних і військових цілей.
У липні 1997 р. Ірландія підписала комюніке Європейської конференції міністрів "Про глобальних інформаційних мережах".
Іспанія (Ч)
За повідомленням Генерального директорату зв'язку Іспанії, уряд країни приймає адміністративні та юридичні заходи щодо реалізації Резолюції Ради Європейського Союзу від 17 січня 1995 про законне перехоплення повідомлень в системах зв'язку (9529/95ENFPOL). Власних законів, що визначають політику в області криптографії, в Іспанії немає.
Згідно з діючими в країні правилами, всі постачальники послуг у системах зв'язку (та інші агентства) зобов'язані за вимогами законних органів влади розшифровувати перехоплені повідомлення. Це записано в статті 579 Закону про кримінальні розслідування (Law on Criminal Investigations).
Урядовим агентством, відповідальним за контроль експорту та імпорту криптографічних продуктів, є Генеральний директорат зовнішньої торгівлі (у складі міністерства економіки Іспанії). Контроль за застосуваннями криптографії всередині країни здійснює Генеральний директорат зв'язку (у складі міністерства планування).
Питаннями видачі ліцензії на експорт товарів подвійного призначення і вироблення державної політики в цій сфері займається Об'єднаний Міжміністерський комітет з регулювання торгівлі стратегічними товарами подвійного призначення JIMDDU (Junta Interministerial Reguladora del Comercio de Material de Defensa у Doblc Uso). До складу цього комітету входять представники міністерств оборони, торгівлі, закордонних справ та економіки. Комітет видає ліцензії або відмовляє у їх видачі з урахуванням інтересів іноземної політики, національної безпеки і оборони країни. У кожному випадку застосовується строгий індивідуальний підхід.
Виробленням національної політики Іспанії з криптографії займається Головний центр військової інформації CESID (Centro Superior de Information de la Defensa), що є розвідувальним центром міністерства оборони.
Дозволи на імпорт видаються відповідно до королівського указу (Royal Decree 824/1993). У додатку 6 до цього указу дано список товарів, на імпорт яких потрібна ліцензія: криптографічні продукти в цьому списку відсутні. Але Іспанія видає сертифікати на імпорт таких продуктів, якщо цього вимагає країна - експортер. Хоча в Іспанії офіційно цивільні застосування криптографії не контролюються, міністерство закордонних справ у своєму повідомленні 120521Z в серпні 1994 р. оголосило, що за погодженням з іншими міністерствами контроль за неурядовими застосуваннями криптографії в країні будуть здійснювати міністерства внутрішніх справ, громадських робіт і торгівлі.
В даний час контроль за приватними застосуваннями криптографії здійснюється тільки в мережах урядових та правоохоронних органів, банківських установ[13].
Україна(Ж)
В Україні питаннями ліцензування та стандартизації в сфері КЗІ криптографічної продукції займається Державна служба спеціального звязку та захисту інформації в Україні. Сама ж політика України спрямована на обмеження безконтрольного застосування, купівлі, продажу криптопродукції. Всі відносини, що повязані з використанням криптографії повинні ліцензуватися.
.3 Висновки до розділу 1
В даному розділі визначено основні поняття, що стосуються криптографії. Описано історію формування даної галузі знань, починаючи від самого зародження до сьогодення а також період формування криптографії в правовому середовищі. Зясовано, що сучасна криптографія в контексті правових відносин зародилася з появою концепції асиметричної криптографії, яка докорінно змінила підхід до засекречення інформації. З появою даного феномену, зявилися системи, які не тільки могли приховати дані від небажаного ока, а й такі, що здатні гарантувати цілісність даних, підтверджувати авторство інформації.
Всі ці досягнення дали поштовх до розвитку багатьох сучасних інформаційних систем, якими людство користується зараз. Проаналізувавши політику ряду країн відносно застосування, імпорту та експорту криптографічної продукції можна зробити висновок, що країни-виробники криптопродуктів за останнє півстоліття помякшують контроль за вивезенням та ввезенням даної категорії товарів. Така тенденція зумовлена наявністю великого бізнес середовища, що виробляє продукцію криптографічного профілю. Створення жорстких заборон на експорт криптопродукції фактично б закрило її доступ на міжнародний ринок.
Така позиція держави втратила б один із напрямків збору доходів. З іншого бо у деякі держави через свій політичний вектор все ж таки суттєво обмежують доступ криптографії до окремих країн. Наприклад, США визначила ряд країни в які вона суттєво обмежила експорт криптографії, таких як Іран, Судан, Лівія, Північна Корея.
Розділ 2. Сучасний стан та державна політика в сфері КЗІ
.1 Державне регулювання господарських відносин у сфері криптографічного захисту інформації в Україні
Згідно закону "Про ліцензування певних видів господарської діяльності", а також наказу Державного комітету України з питань регуляторної політики та підприємництва №8/216 діяльність, що пов'язана з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного та технічного захисту інформації, а також з наданням послуг із криптографічного та технічного захисту інформації не може здійснюватися без ліцензії. Таким чином, за змістом зазначеного закону, наявність ліцензії потрібно не тільки для реалізації засобів криптографічного захисту, а також і для використання засобів криптографічного захисту в підприємницькій діяльності. Ліцензійні умови для даного виду діяльності встановлює документ під назвою "Ліцензійні умови провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації", затвердженого наказом Державного комітету України з питань регуляторної політики та підприємництва, Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 26.01.2008 N 8/216.
Ліцензійні умови дають визначення основних термінів у сфері криптографії:
Криптографічний захист інформації - вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо.
засіб криптографічного захисту інформації - програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації[14].
Таким чином, поняття "засіб криптографічного захисту інформації" включає в себе наступні ознаки - це засіб, який призначено для криптографічного захисту інформації, тобто для виду захисту, який:
Реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних).
Метою такого захисту є:
. приховування або відновлення змісту інформації;
. підтвердження автентичності інформації;
. підтвердження цілісності інформації;
. підтвердження авторства інформації;
. підтвердження "тому подібного";
Виражається у формі:
. програмним;
. апаратно-програмним;
. апаратним;
. іншим[14].
Звичайно, слід зазначити що застосування фрази "тощо" є неприпустимим, а "інші" небажаним при визначенні термінів, що мають нормативне значення.
Подібні визначення завжди створюють широке поле для зловживань чиновників, оскільки такий термін уже "за визначенням" є невизначеним.
Однак п.2. Ліцензійних умов кілька конкретизує поняття "засоби криптографічного захисту, встановлюючи, що до засобів криптографічного захисту інформації належать:
Апаратні, програмні та апаратно-програмні засоби, що реалізують криптографічні алгоритми перетворення інформації;
Апаратні, програмні та апаратно-програмні засоби, системи і комплекси захисту від нав'язування неправдивої інформації, включаючи засоби імітозахисту і електронного підпису, що реалізують криптографічні алгоритми перетворення інформації;
Апаратні, програмні та апаратно-програмні засоби, системи і комплекси, призначені для виготовлення та розподілу ключових документів, які використовуються в засобах криптографічного захисту інформації, незалежно від виду носія ключової інформації;
Системи і комплекси (у тому числі ті, які входять до системи та комплекси захисту інформації від несанкціонованого доступу НСД), до складу яких входять апаратні, програмні та апаратно-програмні засоби, що реалізують криптографічні алгоритми перетворення інформації.
На жаль, "Ліцензійні умови" не дають визначення поняттю криптографічні алгоритми перетворення інформації.
Ліцензія видається на вид підприємницької діяльності, пов'язаної з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації. Ліцензії видає Департамент спеціальних телекомунікаційних систем та захисту інформації СБ України (надалі Департамент).
На підставі ліцензії можуть виконуватись наступні види робіт:
Розробка криптоалгоритмів, криптопротоколів.
Розробка апаратних засобів криптографічного захисту інформації на підставі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.
Розробка програмних засобів криптографічного захисту інформації на підставі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.
Розробка апаратно-програмних засобів криптографічного захисту інформації на підставі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.
Розробка апаратних засобів криптографічного захисту інформації на підставі власних криптографічних алгоритмів.
Розробка програмних засобів криптографічного захисту інформації на підставі власних криптографічних алгоритмів.
Розробка апаратно-програмних засобів криптографічного захисту інформації на підставі власних криптографічних алгоритмів.
Розробка захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Розробка обладнання криптографічного захисту інформації.
Розробка систем і засобів генерації, тестування та управління розподілом разових (сеансових) ключів.
Проведення сертифікаційних випробувань (тематичних досліджень) засобів криптографічного захисту інформації.
Виготовлення апаратних засобів криптографічного захисту інформації.
Виготовлення програмних засобів криптографічного захисту інформації.
Виготовлення апаратно-програмних засобів криптографічного захисту інформації.
Виготовлення захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Виготовлення обладнання криптографічного захисту інформації.
Виготовлення систем та засобів генерації, тестування та управління розподілом разових (сеансових) ключів.
Ввезення на територію України, в тому числі і імпорт засобів криптографічного захисту інформації (їх частин, нормативно-технічної документації).
Ввезення на територію України, в тому числі і імпорт захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Вивезення з України, в тому числі і експорт засобів криптографічного захисту інформації (їх частин, нормативно-технічної документації).
Вивезення з України, в тому числі і експорт захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Реалізація засобів криптографічного захисту інформації.
Реалізація захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Реалізація обладнання криптографічного захисту інформації.
Використання засобів криптографічного захисту інформації.
Використання захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Надання послуг з шифрування інформації.
Надання консультативних послуг з питань криптографічного захисту інформації.
Монтаж (встановлення) та демонтаж засобів криптографічного захисту інформації та обладнання криптографічного захисту інформації.
Монтаж (встановлення) захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Налагодження засобів криптографічного захисту інформації.
Налагодження захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Ремонт (сервісне обслуговування) та підтримка засобів криптографічного захисту інформації.
Ремонт (сервісне обслуговування) захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації[14].
Видача ліцензій здійснюється в порядку передбаченому Положенням "Про порядок ліцензування підприємницької діяльності", затв. Пост. КМ України N 1020 від 03.06.1998 р.
Для отримання ліцензії суб'єкт підприємницької діяльності подає до Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України заяву за формою встановленою Додатком 1 до Положення "Про порядок ліцензування підприємницької діяльності". У заяві зазначаються:
Відомості про заявника:
Для громадянина-підприємця - прізвище, ім'я, по батькові та паспортні дані (серія та номер, ким і коли виданий), місце проживання, ідентифікаційний номер фізичної особи - платника податків та інших обов'язкових платежів;
Для юридичних осіб - найменування, місце знаходження, банківські реквізити, організаційно-правова форма, ідентифікаційний код;
Вид діяльності, на який заявник має намір одержати ліцензію;
Термін дії ліцензії[18].
До заяви додаються такі документи:
Підприємцями-громадянами - копії документів, які свідчать рівень освіти і кваліфікації, необхідний для провадження відповідного виду діяльності, копія свідоцтва про державну реєстрацію суб'єкта підприємницької діяльності;
Юридичними особами - копії свідоцтва про державну реєстрацію суб'єкта підприємницької діяльності та установчих документів.
Всі представлені заявником документи формуються в окрему справу.
Орган, що видає ліцензії, приймає рішення про видачу ліцензії або про відмову у її видачі протягом не більше ніж 30 днів з дня отримання заяви та відповідних документів. У разі необхідності проводиться перевірка відомостей, які містяться в цих документах, та спроможності виконання заявником ліцензійних умов на проведення того виду підприємницької діяльності, на який видається ліцензія.
Ліцензія видається не пізніше трьох днів з дня прийняття рішення про її видачу за умови подання заявником до органу, що видає ліцензію, документа про внесення плати за її видачу. Розміри плати за видачу ліцензій встановлено Постановою КМ України від 04.01.99 N 6 "Про розміри і порядок зарахування плати за видачу та переоформлення ліцензій на провадження певних видів підприємницької діяльності". Розміри плати за видачу ліцензії на право здійснення діяльності, пов'язаної з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного та технічного захисту інформації, а також з наданням послуг із криптографічного та технічного захисту інформації для юридичних осіб становить 12 неоподатковуваних податками мінімумів доходів громадян, для громадян-підприємців - 2 неоподатковуваних податками мінімуму доходу громадян.
В даний час неоподатковуваний мінімум доходів громадян становить 17 грн. При цьому не слід забувати що згідно ст. 11 Указу Президента України 23.07.98 р. N 817 / 98 "Про деякі заходи з дерегулювання підприємницької діяльності" органи, що здійснюють реєстрацію суб'єктів підприємницької діяльності або видають ліцензії на здійснення окремих видів підприємницької діяльності, а також видають інші дозволи, передбачені законодавством, не можуть ставити як умову реєстрації чи видачі ліцензій та інших дозволів, відрахування коштів на користь яких би то не було бюджетних або позабюджетних фондів, установ, підприємств, організацій чи окремих осіб.
Плата, яка вноситься суб'єктом підприємницької діяльності за видачу та переоформлення ліцензії, зараховується до Державного бюджету України і вноситься на балансові рахунки територіальних органів Державного казначейства N 3510 "Кошти Державного бюджету України" в установах Національного банку та N 2510 - в установах комерційних банків за місцем проведення діяльності підприємця (код бюджетної класифікації 14060200, символ звітності банку 069).
У видачі ліцензії може бути відмовлено у разі виявлення недостовірних відомостей у документах, поданих заявником, а також у разі неможливості проведення заявником певного виду підприємницької діяльності відповідно ліцензійним умовам. У рішенні про відмову у видачі ліцензії, яке видається заявнику в письмовій формі у термін не пізніше 30 днів з дня отримання заяви, зазначаються підстави відмови.
Рішення про відмову у видачі ліцензії може бути оскаржено в судовому порядку.
Продовження дії ліцензії проводиться у порядку, встановленому для її отримання.
Орган, що видає ліцензії, має право зупинити дію ліцензії у разі:
Порушення суб'єктом підприємницької діяльності ліцензійних умов передбачених в законі;
Невиконання суб'єктом підприємницької діяльності у визначений термін розпоряджень Ліцензійної палати або органу, який видав ліцензію, щодо дотримання ліцензійних умов.
У разі своєчасного усунення порушень, що призвели до зупинення дії ліцензії, орган, який видав ліцензію, приймає рішення про поновлення її дії.
Орган, який видав ліцензію, має право анулювати ліцензію у разі:
Виявлення недостовірних відомостей у заяві на видачу ліцензій або в документах, що додаються до неї;
Передачі суб'єктом підприємницької діяльності ліцензії іншій особі;
Повторного або грубого порушення суб'єктом підприємницької діяльності ліцензійних умов.
Ліцензія вважається анульованою з дати прийняття рішення про її анулювання або з дати скасування державної реєстрації суб'єкта підприємницької діяльності.
Мотивоване рішення про зупинення дії ліцензії або її анулювання доводиться у письмовій формі до відома суб'єкта підприємницької діяльності у 5-денний термін.
Копія рішення про зупинення дії ліцензії, її анулювання та про поновлення дії ліцензії надсилається до податкового органу за місцезнаходженням суб'єкта підприємницької діяльності для прийняття відповідного рішення.
Рішення про зупинення дії ліцензії або її анулювання може бути оскаржене суб'єктом підприємницької діяльності в судовому порядку.
У разі здійснення підприємницької діяльності без ліцензії громадянин або винна посадова особа підприємства можуть бути притягнуті до адміністративної відповідальності за ст. 164 Кодексу про адміністративні правопорушення України "Порушення порядку провадження господарської діяльності": "Провадження господарської діяльності без державної реєстрації як суб'єкта господарювання або без одержання ліцензії на провадження певного виду господарської діяльності, що підлягає ліцензуванню відповідно до закону, чи здійснення таких видів господарської діяльності з порушенням умов ліцензування, а так само без одержання дозволу, іншого документа дозвільного характеру, якщо його одержання передбачене законом (крім випадків застосування принципу мовчазної згоди), тягне за собою накладення штрафу від двадцяти до ста неоподатковуваних мінімумів доходів громадян з конфіскацією виготовленої продукції, знарядь виробництва, сировини і грошей, одержаних внаслідок вчинення цього адміністративного правопорушення, чи без такої[19]."
У відповідності зі ст. 218 КпАП України справи про адміністративні правопорушення передбачених ст. 164 КпАП розглядають адміністративні комісії при виконавчих комітетах районних, міських, районних у містах Рад народних депутатів. Якщо таке правопорушення буде скоєно повторно протягом року після накладення адміністративного стягнення, винна особа може бути притягнута до кримінальної відповідальності за ст. 148-3. КК України "Порушення порядку заняття підприємницькою діяльністю":
"Заняття підприємницькою діяльністю без державної реєстрації або без спеціального дозволу (ліцензії), отримання якого передбачено законодавством, якщо ці дії вчинено протягом року після накладення адміністративного стягнення за такі ж порушення, караються штрафом до двохсот мінімальних розмірів заробітної плати з позбавленням права займати певні посади або займатися певною діяльністю на строк до трьох років[20]."
Для здійснення деяких видів діяльності в Україні у відповідності з законодавством використання криптографічних засобів захисту інформації є обов'язковим.
Так, у відповідності з Положенням про міжбанківські розрахунки в Україні, затв. Пост. НБУ № 414 від 08.10.98 р. використання криптозахисту електронних банківських документів є обов'язковим для банків, які є учасниками системи електронних платежів (СЕП) Національного банку України. Виконання вимог щодо захисту банківської інформації є обов'язковим для всіх банків - учасників СЕП. Система захисту електронних розрахункових документів складається з комплексу апаратно-програмних засобів криптографічного захисту та ключової системи до них, технологічних і організаційних заходів щодо захисту інформації в інформаційно-обчислювальної мережі. Апаратно-програмні засоби криптографічного захисту інформації СЕП надаються комерційним банкам (філіям) службою захисту інформації того регіонального управління Національного банку, де територіально розташований комерційний банк (філія), на підставі Договору про використання криптографічних засобів захисту інформації в інформаційно-обчислювальної мережі Національного банку України (зразок договору наведений у додатку № 5 до Положення про міжбанківські розрахунки в Україні). Ці кошти забезпечують аутентифікацію адресата і відправника електронних розрахункових документів і службових повідомлень СЕП, гарантують їх абсолютну достовірність та цілісність через неможливість підробки або викривлення документів у шифрованому вигляді або за наявності електронного цифрового підпису.
Відповідно до Положення про розрахунково-клірингову діяльність, затвердженим рішенням Державної комісії з цінних паперів та фондового ринку 27.01.98 р. N 11-а депозитарій забезпечує функціонування системних та програмно-технічних засобів захисту інформації, до яких повинно відноситися, зокрема, і "криптографічний захист інформації в процесі збирання, одержання, заощадження і передачі каналами зв'язку".
.2 Правове регулювання ЕЦП в Україні та світі
Електронний цифровий підпис - це блок інформації, який прикріпляється до файлу даних автором і захищає файл від несанкціонованої модифікації та вказує на власника підпису, використовується фізичними та юридичними особами як аналог власноручного підпису для додання електронному документу юридичної сили, відповідає юридичній силі документа на паперовому носії, підписаного власноручним підписом правомочної особи, та скріпленого печаткою.
Варто звернути увагу на трактування електронного підпису в країнах Євросоюзу. Так, Директива 1999/93/ЄС Європейського парламенту та Ради від 13 грудня 1999 року "Про систему електронних підписів" надає два терміни [21]:
електронний підпис - це "дані, подані в електронній формі, які додаються чи логічно поєднуються з іншими електронними даними та які служать в якості методу засвідчення достовірності";
"удосконалений електронний підпис", що означає електронний підпис, який відповідає певним вимогам, а саме, знаходиться під повним контролем особи, яка його ставить, і пов'язаний винятково із цією особою, дозволяє за підписом ідентифікувати особу і пов'язаний з даними таким чином, що будь-яку зміну даних після додавання підпису можна виявити.
Електронний цифровий підпис є якісно новим етапом в розвитку сучасного документообігу. Сертифікати електронного цифрового підпису, згідно Закону "Про електронний цифровий підпис", який вступив у дію з 1 січня 2004 року, мають однакову силу з власноручним підписом особи. Використання електронного цифрового підпису в системі електронного документообігу істотно прискорює проведення численних комерційних операцій, скорочує об'єми паперової бухгалтерської документації, економить час співробітників і витрати підприємства, пов'язані з укладенням договорів, оформленням платіжних документів, наданням звітності в контролюючі органи, отриманням довідок від різних держустанов.
Підробити ЕЦП, створений акредитованим сертифікаційним центром, неможливо.
Метою застосування систем цифрового підпису є автентифікація інформації - захист учасників інформаційного обміну від нав'язування хибної інформації, встановлення факту модифікації інформації, яка передається або зберігається, й отримання гарантії її справжності, а також вирішення питання про авторство повідомлень. Система цифрового підпису припускає, що кожен користувач мережі має свій таємний ключ, який використовується для формування підпису, а також відповідний цьому таємному ключу відкритий ключ, відомий решті користувачів мережі й призначений для перевірки підпису. Цифровий підпис обчислюється на основі таємного ключа відправника інформації й власне інформаційних бітів документу (файлу). Один з користувачів може бути обраним в якості "нотаріуса" й завіряти за допомогою свого таємного ключа будь-які документи. Решта користувачів можуть провести верифікацію його підпису, тобто пересвідчитися у справжності отриманого документу. Спосіб обчислення цифрового підпису такий, що знання відкритого ключа не може призвести до підробки підпису. Перевірити підпис може будь-який користувач, що має відкритий ключ, в тому числі незалежний арбітр, якого уповноважено вирішувати можливі суперечки про авторство повідомлення (документу) [22].
З січня 2004 року вступив в дію прийнятий парламентом закон "Про електронні документи і електронний документообіг", в якому чітко визначені поняття, сфери застосування і юридична сила електронних документів і електронного документообігу.
Електронний документ - це документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити документа. Електронний документ може бути створений, переданий, збережений і переведений електронними засобами у візуальну форму.
Законом України "Про електронні документи та електронний документообіг" встановлено основні організаційно-правові засади електронного документообігу та використання електронних документів. Так, за визначенням, електронний документ - документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити документа, зокрема електронний цифровий підпис (ст.5). Юридична сила електронного документа не може бути заперечена виключно через те, що він має електронну форму.
Проте Закон встановлює певні обмеження на застосування електронного документа як оригіналу. В електронній формі не може бути створено оригінал свідоцтва про право на спадщину; інший документ, який згідно із законодавством може бути створений лише в одному примірнику, крім випадків існування централізованого сховища оригіналів електронних документів (ст. 8 Закону).
Як уже зазначалося, обов'язковим реквізитом електронного документа є електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа (ст. 1 Закону "Про електронний цифровий підпис").
Особистий ключ відомий лише його володільцеві. Відкритий ключ доступний всім учасникам електронного документообігу. Такий ключ включається до сертифіката відкритого ключа та може розповсюджуватись в електронній формі або у формі документа на папері.
Засвідчення чинності відкритого ключа здійснюється шляхом формування сертифіката відкритого ключа - документа, що видається центром сертифікації ключів. Посилений сертифікат відкритого ключа видається акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом.
Зазначена особливість дає можливість поряд із звичайним електронним цифровим підписом виділити цифровий підпис, підтверджений посиленим сертифікатом відкритого ключа.
Сертифікат відкритого ключа містить [23]:
найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру);
позначку, що сертифікат виданий в Україні;
унікальний реєстраційний номер сертифіката ключа;
основні дані (реквізити) підписувала-власника особистого ключа;
дату і час початку та закінчення строку чинності сертифіката;
відкритий ключ;
найменування криптографічного алгоритму, що використовується власником особистого ключа;
інформацію про обмеження використання підпису.
Посилений сертифікат відкритого ключа, крім обов'язкових даних, які містяться в сертифікаті відкритого ключа, повинен мати ознаку посиленого сертифіката відкритого ключа. Інші дані можуть вноситися у посилений сертифікат ключа на вимогу його власника
Юридичні та фізичні особи можуть на договірних засадах засвідчувати чинність відкритого ключа сертифікатом відкритого ключа, а також використовувати електронний цифровий підпис без сертифіката відкритого ключа.
Розподіл ризиків збитків, що можуть бути заподіяні підписувачам, користувачам та третім особам, які застосовують електронні цифрові підписи без сертифіката відкритого ключа, визначається суб'єктами правових відносин у сфері послуг електронного цифрового підпису на договірних засадах.
Щодо органів державної влади, органів місцевого самоврядування, підприємств, установ та організацій державної форми власності, то для них законодавець встановив імперативну (обов'язкову) норму, згідно з якою зазначені організації можуть застосовувати електронний цифровий підпис лише за умови використання надійних засобів електронного цифрового підпису, що повинно бути підтверджено сертифікатом відповідності або позитивним висновком за результатами державної експертизи у сфері криптографічного захисту інформації, отриманим на ці засоби від спеціально уповноваженого центрального органу виконавчої влади у сфері криптографічного захисту інформації, та наявності посилених сертифікатів відкритих ключів у своїх працівників-підписувачів.
Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) лише в тому разі, якщо:
електронний цифровий підпис підтверджено з використанням посиленого сертифіката відкритого ключа за допомогою надійних засобів цифрового підпису;
під час перевірки використовувався посилений сертифікат відкритого ключа, чинний на момент накладення електронного цифрового підпису;
особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.
Для порівняння: у Німеччині, за законодавством, електронний цифровий підпис не прирівнюють до власноручного підпису; у Франції, навпаки, згідно зі статтею 1316 Цивільного кодексу, сторонам надається право вибору, оскільки в суді як докази визнаються (допускаються) літери та цифри чи будь-який інший знак або символ, значення (зміст) якого може бути з'ясовано незалежно від способу створення та передачі [24, с.25-28].
Підробити електронний цифровий підпис, а разом з ним і засвідчений документ неможливо, адже це потребуватиме величезної кількості обчислень, які, як вважається, не можуть бути реалізовані за сучасного рівня математики й обчислювальної техніки за прийнятний час, тобто поки інформація, що міститься в підписаному документі, є актуальною. Додатковий захист від підробки забезпечує центр сертифікації, який серед іншого цілодобово приймає заяви про скасування, блокування та поновлення сертифікатів ключів.
Електронний цифровий підпис може використовуватися юридичними і фізичними особами як аналог власноручного підпису для надання електронному документу юридичної сили. Юридична сила електронного документа, підписаного ЕЦП, еквівалентна юридичній силі документа на паперовому носієві, підписаного власноручним підписом правомочної особи та скріпленого печаткою.
Електронний цифровий підпис володіє всіма основними функціями власноручного підпису [25]:
засвідчує те, що отриманий документ надійшов від особи, що підписала його;
гарантує цілісність і захист від виправлень підписаного документа;
не дає можливості особі, яка підписала документ, відмовитися від зобов'язань, що виникли в результаті підписання цього електронного документа.
Безпека використання ЕЦП забезпечується тим, що засоби, які використовуються для роботи з ЕЦП, проходять експертизу і сертифікацію в Департаменті спеціальних телекомунікаційних систем СБУ, яка гарантує неможливість зламу і підробки ЕЦП.
Переваги ЕЦП:
юридична сила електронних документів, підписаних ЕЦП, законами України прирівнюється до юридичної сили документів з власноручним підписом або друком, а також створює правову основу для застосування ЕЦП і здійснення юридично значущих дій шляхом електронного документообігу.
конфіденційність і безпека інформації. Використовуючи ЕЦП, користувач дістає додаткову можливість шифрування документів. Завдяки надійним криптографічним алгоритмам забезпечується конфіденційність інформації, яка має на увазі неможливість доступу до неї будь-якої особи.
безпека використання ЕЦП забезпечується тим, що програмне забезпечення, яке використовується для роботи з ЕЦП, пройшло експертизу і сертифікацію в Департаменті спеціальних телекомунікаційних систем СБУ, яка гарантує неможливість зламу і підробки ЕЦП.
можливість ведення електронного документообігу з державними структурами та можливість використовувати одні і ті ж засоби ЕЦП при обміні даними зі всіма міністерствами, відомствами, при подачі звітності до будь-яких контролюючих органів на території України.
удосконалення бізнес-процесів на підприємстві істотно скорочує об'єми паперової бухгалтерської документації, економить час співробітників і витрати підприємства, пов'язані з укладенням договорів, оформленням платіжних документів.
ведення ділових відносин на сучасному рівні використання ЕЦП істотно прискорює проведення численних комерційних операцій, виключає необхідність додаткових зустрічей і багатогодинних переговорів.
електронний цифровий підпис - ефективне рішення для всіх, хто хоче йти в ногу з новими вимогами часу. Документи, підписані електронним цифровим підписом, можуть бути передані до місця призначення протягом декількох секунд. Всі учасники електронного обміну документами дістають рівні можливості незалежно від їх віддаленості один від одного.
Електронний документообіг (оборот електронних документів) - сукупність процесів створення, обробки, відправки, передачі, отримання, збереження, використання і знищення електронних документів, які відбуваються із застосуванням перевірки цілісності і, у разі потреби, з підтвердженням факту отримання таких документів.
В Законі "Про електронні документи та електронний документообіг" указується, що обов'язковим реквізитом електронного документа є електронний цифровий підпис, який використовується для ідентифікації автора і/або підписувача електронного документа іншими суб'єктами електронного документообігу. Накладенням електронного підпису закінчується створення електронного документа.
При підписанні електронного документа його початковий зміст не змінюється, а додається блок даних - електронний цифровий підпис.
Отримання цього блоку можна розділити на два етапи:
На першому етапі за допомогою програмного забезпечення і спеціальної математичної функції обчислюється так званий "відбиток повідомлення" (message digest).
Цей відбиток має наступні особливості: фіксовану довжину, незалежно від довжини повідомлення; унікальність відбитку для кожного повідомлення; неможливість відновлення повідомлення по його відбитку.
Таким чином, якщо документ був модифікований, то зміниться і його відбиток, який відобразиться при перевірці електронного цифрового підпису.
На другому етапі відбиток документа шифрується за допомогою програмного забезпечення і особистого ключа автора.
Таким чином, обчислення відбитку документа захищає його від модифікації сторонніми особами після підписання, а шифровка особистим ключем автора підтверджує авторство документа.
Переваги використання електронного документообігу [25]:
удосконалення процедури підготовки, подачі/доставки, обліку і збереження документів, їх аутентифікація, цілісність, конфіденційність і неспростовність;
криптографічний захист інформації (електронних документів) при їх передачі відкритими каналами;
мінімізація фінансових ризиків за рахунок підвищення конфіденційності інформаційного обміну документами;
економія ресурсів за рахунок використання оперативного електронного архіву;
можливість швидкого пошуку і перегляду електронних документів, а також визначення їх юридичної сили по ЕЦП;
значне скорочення процедури підписання договорів, оформлення і подачі податкової і фінансової звітності;
швидкий і надійний обмін електронними документами з партнерами, контрагентами незалежно від віддаленості адресата.
Останнім часом ми спостерігаємо підвищену законодавчу активність в області правового регулювання електронного цифрового підпису (ЕЦП). Тільки протягом року в США, Австрії, Англії, Ірландії, Індії і Сінгапурі були прийняті закони, які стосуються електронного цифрового підпису. Деякі з них направлені безпосередньо на нормативно-правове регулювання застосування ЕЦП, інші - на нормативно-правове регулювання електронної комерції і застосування інформаційних технологій, зокрема ЕЦП. У 1997 році в Німеччині був прийнятий Закон "Про електронний цифровий підпис" (Singaturgesetz). Діють також міжнародні правові акти. Наприклад, Директива Європейського Парламенту і Ради № 1999/93/EC "Про загальні рамкові умови для електронних підписів" 1999 року (далі по тексту - Директива). Об'єктивною необхідністю для такого бурхливого розвитку нового напряму законодавства стала зміна характеру суспільних відносин в економіці, управлінні і банківській сфері, пов'язаного з широким впровадженням інформаційних технологій в сферу комунікацій. У зв'язку з цим виникло нове поняття - електронний документ. Він відрізняється від традиційного документа перш за все тим, що має не фізичну, а логічну природу. А це, у свою чергу, призводить до відриву властивостей документа від властивостей носія і, відповідно, до неможливості застосування таких традиційних реквізитів, як рукописний підпис, друк, бланк і захисні елементи бланка, при здійсненні різного роду операцій, зокрема договорів. Сьогодні, коли говорять про необхідність швидкого становлення законодавства про електронний цифровий підпис (ЕЦП), перш за все згадують Інтернет і електронну комерцію. Це дійсно важливі, але далеко не єдині його передумови. Питання правового регулювання застосування ЕЦП повинні відігравати не меншу роль і в забезпеченні внутрішнього документообігу підприємств, установ, адміністративних органів.
Вперше про електронний цифровий підпис заговорили ще в 60-70-х роках, хоча ні об'єктивних передумов і технічних умов, ні організаційних структур для повноцінного посвідчення особи автора електронного документа у той час ще не існувало. Під "електронним підписом" розуміли якусь послідовність символів, отриманих в результаті одностороннього перетворення документа (повідомлення) по відомому алгоритму.
Зарубіжні країни по-різному визначають ЕЦП, хоча основні, базові риси і властивості ЕЦП указуються в кожному законі. Держави - члени Європейського Союзу в своїх законодавчих актах наслідують прийняту в Європейському Союзі Директиву Європейського Парламенту і Ради
№ 1999/93/EС "Про загальні рамкові умови для електронних підписів". Відповідно до неї ЕЦП - це "дані в електронній формі, які прикладені до інших електронних даних або логічно з ними пов'язані і призначені для аутентифікації". Федеральний закон Німеччини "Про цифровий підпис" 1997 р., наслідуючи положення Директиви, практично повторює це визначення. Закон Ірландії "Про електронну комерцію" також практично повторює це визначення, додаючи лише, що дані в електронній формі (ЕЦП), включають розширені ЕЦП [26, с.23].
Федеральний закон Австрії "Про цифровий підпис" (Singaturgesetz) 2000 року визначає ЕЦП як "електронні дані, які додаються до інших електронних даних або пов'язані з ними іншим логічним способом і служать для аутентифікації змісту документа та ідентифікації особи, що підписала документ". У даному визначенні також зазначається, що ЕЦП служить не тільки для аутентифікації змісту електронного документа, але і для ідентифікації особи, що підписала документ.
Закон Великобританії "Про електронні комунікації" 2001 року дає наступне визначення ЕЦП: "Суть, що має електронну форму, включена в склад або іншим чином пов'язана з електронними даними і призначена для їх аутентифікації".
Федеральний закон США "Про електронні підписи в глобальній і національній торгівлі" 2000 р. визначає ЕЦП як "електронний звук, символ або процес, прикріплений або логічно пов'язаний з контрактом або іншим документом і здійснений або вибраний особою з наміром підписати документ". "Аутентифікація електронного документа за допомогою електронних методів або процесів відповідно до норми закону" - таке визначення міститься в Законі Індії "Про інформаційні технології".
Крім цього вказані нормативно-правові акти вводять додаткові визначення, наприклад, кваліфікований електронний підпис. Такі поняття вводяться в законодавчі акти для досягнення оптимального нормативно-правового регулювання. Під кваліфікованим ЕЦП розуміється звичайний ЕЦП, що задовольняє вимогам відповідного закону та інших нормативно-правових актів. Зокрема, в Директиві встановлено, що "держави - члени Європейського Союзу повинні піклуватися про те, щоб розширений підпис був створений захищеною системою засобів ЕЦП".
Якісні характеристики засобів ЕЦП і даних, які використовуються при його створенні, встановлюються національним законодавством держав - членів Європейського Союзу. Зокрема, такі вимоги встановлені законодавствами Ірландії, Німеччині і Австрії. У загальних рисах ці вимоги зводяться до необхідності захисту ключів, вживаних при створенні ЕЦП, від неправомірного їх використання третіми особами, які не володіють законними правами на них, а також від підробки. Що ж до засобів ЕЦП, то вони не повинні в процесі створення підпису змінювати зміст електронного документа або перешкоджати доступу власника підпису до даних, що містяться в електронному документі. Крім того, засоби ЕЦП повинні бути захищені від несанкціонованого доступу до них з боку третіх осіб.
Особливої уваги заслуговує питання доступності засобів шифрування і, зокрема, засобів ЕЦП. Зокрема, певним лібералізмом відрізняється регламентація порядку використання засобів ЕЦП в Німеччині.
Відповідно до Принципів німецької політики в області шифрування, розроблених Федеральним Урядом, від 2 червня 1999 року, "Федеральний Уряд не має наміру забороняти вільну доступність засобів шифрування в Германії".
У Великобританії Законом "Про електронні комунікації" передбачено ліцензування діяльності, пов'язаної з шифруванням. Таке ліцензування здійснюється Державним секретарем (the Secretary of State), що створює і веде спеціальний реєстр, в якому міститься інформація про органи, що надають послуги в області шифрування інформації. Для отримання ліцензії необхідна відповідність ряду вимог технічного характеру, що встановлюються Державним секретарем. Вони стосуються якісних характеристик засобів ЕЦП. В цілому у Великобританії встановлені жорсткіші вимоги до засобів ЕЦП, ніж у Німеччині.
Законодавства зарубіжних держав регламентують діяльність системи засвідчувальних центрів. Зокрема, в Європейському Союзі Директивою засвідчувальний центр визначається як "орган або юридична або фізична особа, яка видає сертифікат або надає інші послуги, пов'язані з електронним цифровим підписом". Під сертифікатом розуміється "електронне посвідчення, за допомогою якого відбувається ідентифікація засобів перевірки підпису особи і підтвердження її особи". Крім того, Директива використовує поняття кваліфікованого сертифікату, тобто виданого відповідно до вимог закону та інших нормативно-правових актів.
Директива також встановлює вимоги до змісту сертифікату. Відповідно до Додатку № 1 до Директиви кваліфікований сертифікат повинен містити:
а) повідомлення, що даний сертифікат є кваліфікованим;
б) повідомлення засвідчувального центру і держави, що даний сертифікат діє;
в) ім'я особи, що звернулася за отриманням сертифікату відкритого ключа ЕЦП, або його псевдонім, який служить з метою ідентифікації особи;
г) місце для вказівки специфічних рис особи, яка звернулася для видачі сертифікату відкритого ключа ЕЦП, що використовується у разі потреби з метою визначення особи;
д) інформацію про засоби перевірки підписів, які відповідають засобам ЕЦП, що знаходяться під контролем особи, охочої отримати сертифікат відкритого ключа ЕЦП;
е) повідомлення про початок і кінець терміну дії сертифікату відкритого ключа ЕЦП;
ж) унікальний номер сертифікату;
з) розширену ЕЦП засвідчувального центру;
и) у разі потреби - обмеження території дії сертифікату;
к) у разі потреби - обмеження ціни операції, для якої може застосовуватися сертифікат.
Директива встановлює також ряд вимог до діяльності засвідчувальних центрів. Зокрема, даний центр винен:
а) довести наявність необхідної надійності для надання послуг з сертифікації;
б) забезпечити швидке і безпечне надання послуг з реєстрації, а також безпечне і негайне відкликання сертифікату відкритого ключа ЕЦП;
в) забезпечити точне визначення дати і часу видачі або відкликання сертифікату відкритого ключа ЕЦП;
г) перевірити відповідними засобами відповідно до права окремих держав особу і, у разі потреби, специфічні риси особи, яка звернулася за отриманням сертифікату відкритого ключа ЕЦП;
д) надати роботу персоналу, що володіє спеціальними знаннями, досвідом і кваліфікацією, особливо знаннями в області управління, технології і застосування ЕЦП, а також ґрунтовними знаннями в області процедур забезпечення достатньої безпеки;
е) дотримуватися в подальшому необхідних процедур управління та інших норм;
ж) застосовувати системи, що користуються довірою, і продукти, захищені від внесення змін, що забезпечують технічний і криптографічний захист відповідних процедур;
з) прийняти заходи проти фальсифікації сертифікатів, а у випадках, коли виробляються засоби і елементи ЕЦП, забезпечити конфіденційність даних при їх виробництві;
и) володіти достатньою кількістю фінансових коштів для роботи відповідно до вимог Директиви; мати змогу нести ризик відповідальності за збитки, наприклад в результаті укладення відповідних договорів страхування;
к) вказати всю відповідну інформацію про кваліфікований сертифікат і про термін його дії, для того, щоб, особливо в судовому процесі, можна було довести сертифікацію;
л) не дозволяти зберігання і копіювання засобів та елементів ЕЦП особам, які надають послуги з управління ключами ЕЦП;
м) інформувати власників сертифікатів про умови застосування сертифікату відкритого ключа ЕЦП, про існування вільної системи ліцензування засвідчувальних центрів, про процедури оскарження та погодження.
В цілому законодавства держав-членів ЄС, таких як Ірландія, Німеччина, Австрія, повторюють (деколи навіть структурно), за винятком деяких незначних змін в деталях, вимоги Директиви. У Німеччині і Австрії федеральними урядами прийняті відповідні ухвали про ЕЦП на виконання національних законодавчих актів. Національні законодавчі акти держав - членів ЄС по-різному регулюють процедуру ліцензування засвідчувальних центрів. Наприклад, Закон Ірландії "Про електронну комерцію" встановлює обов'язковість ліцензування діяльності засвідчувальних центрів. Таке ліцензування здійснюється міністром громадських підприємств (Minister for Public Enterprise). Закони Німеччини і Австрії "Про цифровий підпис" встановлюють добровільний порядок ліцензування засвідчвальних центрів. Істотною специфікою володіє також законодавство Великобританії. Закон "Про електронні комунікації" не передбачає діяльність центрів по посвідченню відкритих ключів ЕЦП, він лише говорить про посвідчення самого ЕЦП. Коротке нормативно-правове регулювання діяльності засвідчувальних центрів згідно цього закону зводиться до наступного:
а) передбачена сертифікація не відкритого ключа ЕЦП, а самого підпису;
б) особа може засвідчити підпис після того, як зробить заяву, що підпис, засоби його створення і перевірки, а також засоби і процеси зв'язку, що відносяться до ЕЦП, дійсно підтверджують незмінність даних і (або) умов зв'язку.
Таким чином, законодавство Великобританії дає можливість сторонам самим здійснювати посвідчення ЕЦП. Закон Індії "Про інформаційні технології" встановлює обов'язковість ліцензування діяльності засвідчувальних центрів одним уповноваженим державним органом - Керівником засвідчувальних центрів (Controller of Certifying Authorities). Ліцензія може бути видана засвідчувальному центру у разі задоволення вимог з кваліфікації і чисельності кадрів, фінансових ресурсів, інфраструктури.
При здійсненні діяльності засвідчувальний центр зобов'язаний [26, с.25]:
а) використовувати програмне і апаратне забезпечення та процеси, захищені від неправомірного привласнення і зловживання;
б) забезпечити оптимальний ступінь надійності своїх послуг, достатній для їх надання;
в) дотримуватися захищених процесів для забезпечення конфіденційності ЕЦП, що завіряються;
г) дотримувати інші стандарти, встановлені іншими нормативно-правовими актами.
Закон Індії не встановлює вимог до змісту сертифікату. У США федеральне законодавство не регулює діяльність засвідчувальних центрів, але їх нормативно-правове регулювання здійснюється законодавством окремих штатів, хоча й не всіх. Зокрема, питання, пов'язані з інфраструктурою ЕЦП, регламентовані в таких штатах, як Айова, Міннесота, Міссурі, Род-айленд, Юта, Вермонт, Вашингтон. Законодавства зарубіжних держав не завжди встановлюють відповідальність за порушення режиму застосування ЕЦП. Норми про відповідальність можуть міститися в інших нормативно-правових актах, зокрема, кодифікованих (кримінальні, адміністративні кодекси і т.п.). Для держав - членів ЄС загальне регулювання відповідальності за порушення законодавства про ЕЦП здійснюється на основі Директиви.
Правове регулювання відповідальності за законом Індії "Про інформаційні технології" володіє значною специфікою. Зокрема, цей закон перераховує різні види злочинів в області застосування електронного цифрового підпису і встановлює різні види покарань. Тим самим він структурно нагадує кодифікований кримінальний акт. Суб'єктами перерахованих злочинів можуть бути як сторони по операції, що здійснюють застосування ЕЦП, так і засвідчувальний центр. Як приклад таких злочинів можна назвати: спотворення відомостей засвідчувальним центром для отримання ліцензії; порушення конфіденційності даних; обман при публікації сертифікату; публікація сертифікату з метою шахрайства. Як покарання передбачаються різні терміни позбавлення волі. Міжнародним регіональним законодавством ЄС і національними законодавствами держав-членів ЄС передбачається ряд випадків обмеження відповідальності засвідчувальних центрів. Зокрема, відповідно до Директиви, а також законодавств Ірландії, Німеччині, Австрії визначена можливість обмеження відповідальності. Таке обмеження може бути здійснене шляхом встановлення певного переліку операцій, при здійсненні яких можливе використання сертифікату, або на підставі вказівки суми операції, для якої застосовується сертифікат. При спричиненні стороні збитків у разі використання сертифікату в операції з сумою, яка перевищує вказану в сертифікаті, засвідчувальний центр відповідальності не несе. Федеральний закон Австрії також встановлює, що засвідчувальний центр не несе відповідальності перед іншими особами, якщо він доведе, що порушення обов'язків відбулося не з вини самого засвідчувального центру або його співробітників. Потерпілий, відповідно до закону, може посилатися на ту обставину, що обов'язки, встановлені законом, були порушені або мало місце недотримання вимог закону і прийнятих на його виконання інших нормативно-правових актів в області безпеки, а також якщо не були здійснені належні заходи. При цьому вказані обставини повинні привести до виникнення збитків у потерпілої сторони. Федеральний закон США "Про електронні підписи в глобальній і національній торгівлі", так само, як і Федеральний закон Німеччини, не містить яких-небудь положень про відповідальність, що випливає з правовідносин між партнерами по операції у зв'язку з неналежним застосуванням ЕЦП. Відповідальність, пов'язана із застосуванням ЕЦП, регулюється законодавством штатів. Зокрема, в Законі штату Юта (1996 р.) встановлюється відповідальність засвідчувального центру за невиконання або неналежне виконання зобов'язань. Відповідно до нього засвідчувальний центр несе відповідальність в межах, встановлених у сертифікаті відкритого ключа ЕЦП.
Згідно ст.46-3-308 Закону штату Юта засвідчувальний центр, за деякими виключеннями, не відповідає за [26, с.24]:
а) будь-який збиток, заподіяний фальшивим або сфальсифікованим підписом власника сертифікату відкритого ключа ЕЦП, якщо засвідчувальний центр діяв відповідно до вимог Закону;
б) спотворення в сертифікаті, помилку при його видачі при перевищенні меж відповідальності засвідчувального центру, вказаних в сертифікаті.
Із засвідчувального центру не можуть бути стягнуті штрафні санкції.
У XXI ст. інформаційно-комунікаційні технології стануть провідним чинником, що істотно впливатиме на розвиток суспільства. Багато країн уже усвідомили ті переваги, які надає їхній розвиток та поширення. Нині в Україні є відчутною потреба унормувати нові відносини, що виникають у зв'язку з бурхливим розвитком комп'ютерних технологій.
Розвиток електронної комерції і електронного документообігу в Україні стикається з недостатністю правового регулювання застосування ЕЦП і електронного документообігу.
Правові основи для застосування електронних документів у цивільних відносинах уперше закладено новим Цивільним кодексом України, що набрав чинності з 1 січня 2004 р. згідно зі ст. 207 "Вимоги до письмової форми правочину": "правочин вважається таким, що вчинений у письмовій формі, якщо воля сторін виражена за допомогою телетайпного, електронного або іншого технічного засобу зв'язку". Під час здійснення правочинів допускається застосування електронно-цифрового підпису. По суті, Цивільний кодекс України прирівнює електронні документи до паперових і допускає засвідчення їх електронним підписом [27, с.13].
На виконання рекомендацій Парламентських слухань з питань побудови інформаційного суспільства в Україні у державі створено нормативно-правове підґрунтя і технологічну основу функціонування юридично значимого електронного цифрового підпису. Законами України "Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки", "Про електронні документи та електронний документообіг" від 22 травня 2003 року № 851-IV, а також "Про електронний цифровий підпис" від 22 травня 2003 року № 852-ІV встановлено основні організаційно-правові засади електронного документообігу та використання електронних документів, а також правовий статус електронного цифрового підпису (ЕЦП) та порядок його застосування юридичними і фізичними особами, визначено організаційну інфраструктуру ЕЦП та її суб'єктів. Передбачається послідовна розробка нормативно-правових актів, сфера регулювання яких визначається вперше, визначено необхідність підтримки функціонування центрального засвідчувального органу, як основного елемента інфраструктури електронного цифрового підпису.
На виконання вищеназваних законів протягом 2004 року прийнято шість постанов Кабінету Міністрів України (від 26 травня 2004 р. № 680, від 13 липня 2004 р. № 903, від 28 жовтня 2004 р. №№ 1451 - 1454), які стосуються сфер електронного документообігу та електронного цифрового підпису.
Дорученням Кабінету Міністрів України від 23.02.2005 № 6056/2/1-05 передбачалось створення центрального засвідчувального органу та забезпечення умов для акредитації центрів сертифікації ключів інфраструктури електронного цифрового підпису.
Постановою Кабінету Міністрів України від 6 травня 2005 р. № 324 "Про заходи щодо виконання у 2005 році Програми діяльності Кабінету Міністрів України "Назустріч людям" підтверджено необхідність прийняття цільової програми впровадження й розвитку електронного документообігу з використанням електронного цифрового підпису.
В Указі Президента України "Про першочергові заходи щодо впровадження новітніх інформаційних технологій" від 20 жовтня 2005 р. № 1497 одним із пріоритетних напрямків сфери інформаційних технологій визначено впровадження в Україні електронного документообігу із застосуванням електронного цифрового підпису.
Проте, жодним із вищезазначених законів та нормативно-правових актів не було передбачено конкретних заходів щодо створення, впровадження й утримання інфраструктури електронного цифрового підпису та не визначені механізми фінансування цих заходів.
З метою вирішення питань, які стосуються проблематики запровадження в Україні системи електронного урядування, 24 лютого 2003 року було прийнято Постанову Кабінету Міністрів України № 208 "Про заходи щодо створення електронної інформаційної системи "Електронний уряд".
Відповідно до цієї Постанови передбачено створити належні нормативно-правові засади функціонування системи "Електронний уряд", забезпечити умови для більш швидкого та доступного надання інформаційних послуг громадянам та юридичним особам шляхом використання електронної інформаційної системи "Електронний уряд", яка забезпечує: взаємодію органів виконавчої влади між собою, з громадянами та юридичними особами на основі сучасних інформаційних технологій, інтегрувати державні електронні інформаційні ресурси і системи в Єдиний веб-портал органів виконавчої влади.
Вдосконалення та оновлення нормативно-правової бази України, створення спеціальних юридичних норм сприятиме ефективному впровадженню та функціонуванню електронного документообігу та електронного цифрового підпису.
Для регулювання правовідносин у сфері інформаційних технологій Верховна Рада України вже ухвалила кілька Законів України, які набули чинності:
"Про електронні документи та електронний документообіг" від 22 травня 2003 р. № 851-IV;
"Про електронний цифровий підпис" від 22 травня 2003 p. № 852-IV;
"Про обов'язковий примірник документів" від 9 квітня 1999 p. № 595-XTV;
"Про Національну програму інформатизації" від 4 лютого 1998 р. № 74/98-ВР;
"Про телекомунікації" від 18 листопада 2003 p. № 1280-IV;
"Про Національну систему конфіденційного зв'язку" від 10 січня 2002 р. № 2919-111;
"Про захист інформації в інформаційно-телекомунікаційних системах" від 5 липня 1994 р. № 80/94-ВР.
Прийняття згаданих нормативно-правових актів, предметом регулювання яких є процеси електронного документообігу, дасть можливість створити сприятливі умови в сфері застосування сучасних інформаційних технологій, стимулювати в Україні розвиток ринку та інфраструктури послуг, що надають за допомогою засобів інформатизації.
В Україні порядок застосування засобів ЕЦП в порівнянні із зарубіжними країнами регламентований набагато жорсткіше. На даний час діє Указ Президента "Про заходи з дотримання законності в області розробки, виробництва, реалізації і експлуатації шифрувальних засобів, а також надання послуг в області шифрування інформації". Відповідно до нього заборонена діяльність юридичних і фізичних осіб, пов'язана з розробкою, виробництвом, реалізацією і експлуатацією шифрувальних засобів, а також захищених засобів зберігання, обробки і передачі інформації, наданням послуг в області шифрування інформації без ліцензій. Забороняється також використання державними організаціями і підприємствами в інформаційно-телекомунікаційних системах шифрувальних засобів, включаючи криптографічні засоби забезпечення достовірності інформації (електронний підпис), що не мають сертифікату. Така політика держави в області регулювання застосування і реалізації криптографічних засобів, у тому числі і засобів ЕЦП, мабуть, пояснюється прагненням використовувати тільки засоби, сертифіковані уповноваженими державними органами. Зміст нормативно-правових актів України, які регулюють застосування шифрувальних засобів, у тому числі і засобів ЕЦП, демонструє існуючу тенденцію встановлення "тоталітарного підходу" в цій справі. Безумовно, для вирішення безлічі проблем, пов'язаних з національною безпекою, необхідна наявність певних обмежень в області розробки, застосування і обороту засобів ЕЦП. Проте нав'язування продукції тільки одного або декількох виробників у цій області (а для самих виробників - обов'язкова платна сертифікація їх діяльності), особливо якщо воно супроводжується закритістю алгоритму, може у результаті призводити до посилення корупції і зниження справжньої, а не декларативної захищеності засобів ЕЦП. Правове регулювання застосування засобів ЕЦП повинно прагнути до більшої гнучкості у віддзеркаленні вимог об'єктивної дійсності. Можливо, враховуючи особливості України, було б доцільно розглянути багаторівневий підхід до визнання дійсності ЕЦП і ліцензування її засобів: одні вимоги - для адміністративної сфери, інші - для корпоративної і треті - для особистого документообігу.
.3 Державний контроль та право суспільства на криптографію
За роки, що минули після Другої світової війни, відбулися дві важливі пов'язаних між собою події в області обміну інформацією. Це поява комп'ютерів і "сильної" криптографії. Асиметрична криптографія, або системи з відкритим ключем дозволяють зашифрувати повідомлення для конкретного адресата без попереднього обміну ключами, тобто зашифрувати листа, телефонну розмову і т.п. з людиною, з якою ви спілкуєтеся вперше, таким чином, що перехопити ключ до шифру принципово неможливо. З іншого боку, асиметрична криптографія дозволяє підтвердити, що повідомлення було надіслано володарем конкретного ключа і ніким іншим (електронний підпис). Слід зазначити, що тут розглядаються алгоритми надійні і доступні. Тобто, наприклад, лист, зашифрований за кілька хвилин на дешевому персональному комп'ютері, для "розколювання" потребує багатьох днів, а то й років, роботи найпотужніших суперкомп'ютерів, якими володіє ФСБ і ЦРУ, навіть якщо був використаний "слабкий" варіант захисту. Криптографічні методи годяться для будь-якого носія інформації - можна дискети поштою пересилати, можна шифрувати голос при розмові по телефону, можна навіть телевізійне зображення шифрувати, якщо знадобиться. Основні, найбільш актуальні застосування - електронна пошта (e-mail) і телефон. Інша сторона технічного прогресу полягає в тому, що нові носії збільшують можливість перехоплення інформації. Стільникові телефони прослуховуються приймачем абсолютно непомітно. Електронну пошту можна сканувати на великих вузлах мережі. При цьому, по-перше, масове прослуховування можна влаштувати при зовсім невеликих витратах, а по-друге, легко уникнути залишення доказів. Збільшується і можливість підробити інформацію. Наприклад, автора електронного листа неможливо впізнати по почерку або по голосу, тому завжди є ймовірність, що його відправив хтось інший.
Криптографія і тільки криптографія дозволяє надійно вирішити проблеми секретності і автентичності інформації.
Держава традиційно бере на себе захист прав особистості (недоторканність листування, заборона підслуховування телефону, відповідальність за підробку документів). І при цьому залишає за собою право порушувати ці правила в обумовлених законом випадках, для боротьби з злочинами.
Поява загальнодоступної криптографії все змінює. Людина може самостійно забезпечити таємність і автентичність своїх зв'язків з іншими людьми. А держава втрачає потужний спосіб виявлення і доказів злочинів. Держава в особі правоохоронних структур страждає - вона позбавляється частини функцій, а виконання іншої частини функцій сильно ускладнюється. Воно намагається загальмувати життя, і доводить нам, що неконтрольоване використання криптографії принесе проблеми.
Аргументі, висунуті державою, звучать приблизно таким чином: "дайте нам можливість ловити злочинців (не використовуйте криптографію), а ми забезпечимо вам недоторканність інформації (зловимо і покараємо осіб, що здійснюють незаконне підслуховування)". Інколи держава не говорить цього прямо, а пропонує нам користуватися системами, що пройшли "перевірку" та сертифікацію. При цьому може матися на увазі (хоча і заперечуватися офіційно), що "перевірені" системи доступні для злому самою державою, будучи імовірно недоступні для зловмисників. У такому випадку говорять, що система містить "back door " - "чорний хід", або просто спеціально "ослаблена ". Відкрито проводять таку політику США (проект Clipper), завуальовано - Франція і Росія (заборонено використання "несертифікованих" систем).
Але ці аргументи не витримують критики. По-перше, держава не отримає вигоди від того, що зможе підслуховувати законослухняних людей. Бо цілком надійні засоби криптографії вільно доступні (і навіть безкоштовні), і зловмисні
люди, які свідомо йдуть на порушення законів, легко порушать ще й заборону на криптографію. Їх-то якраз держава не зможе підслухати.
Практично в даний час ніщо не може перешкодити використанню криптографії кримінальними елементами і терористами. Їм доступні програми криптографічного захисту повідомлень, переданих по мережах зв'язку та електронної пошти типу Pretty Good Privacy (PGP). Це означає, що контроль за застосуванням криптографії буде мало ефективним і не зможе перешкоджати використанню криптографічного зв'язку в злочинних цілях. Навіть без застосування криптографії злочинні елементи мають багато способів спілкування між собою без побоювання бути виявленими правоохоронними службами.
З іншого боку, держава нездатна захистити від перехоплення інформації зловмисними людьми. Чисто технічно. Знайти приймач, що прослуховує стільникові телефони, практично неможливо. Як майже неможливо знайти і програму, що сканує інформацію, що проходить через мережу. Це не "жучок " у квартирі або "крокодили " на клемах телефонного щита, які можна реально побачити і зняти з них відбитки пальців.
Є ще причини не довіряти аргументам державі - корупція і відносна політична нестабільність. У будь-якій державі існують недобросовісні чиновники, готові поділитися доступною їм інформацією за гроші. А в Україні рівень корупції досить високий. Так що інформація, доступна з обов'язку служби чиновнику, може потрапити до злочинця. А якщо влада в країні перейде до "ліво" налаштованим керівникам, законно зібрана інформація може бути використана для пошуку інакомислячих, занадто багатих, і т.п.
Нарешті, слід розуміти, навіть якщо держава витратить купу зусиль і грошей(з податків громадян) на те, щоб обмежити використання криптографії, нічого не вийде. У своєму програмному втіленні, криптографічні системи доступні на тисячах серверів в мережі, розташованих в багатьох країнах світу, і
встановлені на мільйонах комп'ютерів. Просто нереально знайти всіх користувачів таких систем і примусити їх відмовитися від їх використання.
Окреме питання - питання довіри до криптографічних систем. Якщо система "закрита", тобто користувач не може (потенційно) вивчити її внутрішній устрій у всіх деталях, то немає гарантії, що в неї не вбудований вже згадуваний вище "чорний хід". Держава виправдовується і на цю тему, стверджуючи, що сертифікація дозволить гарантувати відсутність цього "чорного ходу". А інакше, мовляв, такої гарантії отримати не можна. Але це можна спростувати. По-перше, є об'єктивні передумови, розглянуті вище, до того, щоб держава сама прагнула залишити "чорний хід" в криптографічних системах, саме для успішного виконання своїх законних функцій. По-друге, можна самому перевірити криптографічну систему - якщо вона повністю відкрита. Відкритість системи не зменшує її надійності, оскільки, як зазначено вище, сам алгоритм не є секретом, що забезпечує захист. Зате після того, як систему перевірять сотні любителів і професіоналів у всьому світі, ймовірність наявності в ній "чорного ходу" буде прагнути до нуля, і ймовірність помилок, що порушують захист, теж стане суттєво малою. І такі відкриті системи у вигляді комп'ютерних програм, доступних в початкових текстах, існують. Одна з найвідоміших, PGP, дозволяє шифрувати і/або підписувати будь-які комп'ютерні файли (електронні листи, тексти, картинки, що завгодно) для подальшої передачі по мережі, або на дискетах поштою, або як завгодно. Інша, SpeakFreely, дозволяє використовувати комп'ютер, підключений до мережі, як телефон із зашифрованою передачею звуку (для цього достатньо звичайного персонального комп'ютера з звуковою платою, підключеного до Internet через модем). Включення подібних засобів в стільникові і звичайні телефони, пейджер і т.п. не представляє в наш час технічних проблем, і не вимагає великих витрат. Цей процес гальмуватися виключно зусиллями держави.
З іншого боку, в даний час існують вагомі аргументи на користь більш широкого застосування криптографії. Протягом останнього десятиліття відбувався безперервний розвиток мережі Інтернет, а разом з ним бурхливий розвиток технологій електронної комерції. Незважаючи на великі розміри зазначеної мережі вона вважається досить надійною для проведення таких операцій, що можна пояснити суворим дотриманням певної дисципліни більшістю її користувачів, а не певим рівнем безпеки, властивій самій мережі . Насправді вже давно встановлено, що дії деяких осіб можуть негативно вплинути всю мережу. Це показав інцидент, що отримав назву Internet Worm, коли хакер R. Morris запустив програму, яка вивела з ладу багато центральних комп'ютерів, підключених до мережі, нормальне функціонування яких було відновлено тільки через кілька днів.
Ця вразливість мережі не може відповідати вимогам розширення електронної комерції, внаслідок чого ці фактори і ряд інших умов визначають напрями розвитку криптографії в даний час. До цих інших умов відносяться:
ідентифікація та аутентифікація користувачів;
збереження цілісності даних;
використання цифрових (електронних) підписів;
виключення можливості відмови відправника або одержувача повідомлень від участі в процесі обміну.
Саме в цих областях проявляється особлива гнучкість криптографічного техніки, так як вона може дати загальний підхід до вирішення всіх цих завдань.
У 1992 р. уряд США зробило спробу досягти балансу протилежних вимог до використання криптографії, прийнявши програму Cliper Initiative. Мета цієї програми полягала в наданні надійних методів криптографії для комерційних застосувань при збереженні державних інтересів. Уряд зберігав за собою право доступу до ключів шифрування в необхідних випадках (на законних підставах).
Так як володільцями кріптоключа були треті незалежні сторони, ця криптографічна система отримала назву "криптографія з депонованими ключами" (Escrowed Encrypton).
Ця система одразу викликала заперечення і протести:
Групи захисту цивільних прав і спільнота користувачів мережі Інтернет побачили в цій програмі порушення їх прав і свободи користування тими чи іншими криптографічними системами за своїм розсудом;
Фірми обчислювальної техніки і техніки зв'язку США, побоюючись втратити своїх замовників і споживачів, різко заперечили проти пропозицій уряду;
Фахівці незабаром виявили слабкі місця в пропонованій системі це знижувало довіру до неї і робило практично неможливим її впровадження.
При такому ставленні до системи Cliper всередині країни фірми комп'ютерної промисловості США, що є основними постачальниками апаратних і програмних продуктів для глобальної інформаційної інфраструктури Gil (Global Information infrastruktur), зустрілися з зростаючими вимогами їхніх міжнародних замовників на поставку їм більш надійних продуктів. Але фірми США не могли виконати ці вимоги, так як жодна з криптографічних систем з довжиною ключа 40 біт, експорт яких був дозволений урядом, не могла вважатися досить безпечними і відповідати новим вимогам. Це було підтверджено студентами, які, використовуючи резервні обчислювальні потужності комп'ютерів мережі Інтернет, розкривали такі ключі протягом декількох годин.
У такій ситуації фірми США запропонували кілька схем більш надійною криптографії :
а) Диференціальна криптографія (Differential Cryptography) - це програма шифрування Lotus типу стандарту шифрування DES, що використовує ключ довжиною 56 біт, але дає можливість урядовим агентствам США легко
отримувати при необхідності 16 біт ключа шифрування. Це знижує витрати уряду США на розкриття ключів до еквівалентної вартості розкриття ключа довжиною 40 біт при збереженні для користувачів переваг, пов'язаних із збільшенням довжини ключа до
біт. Для тих користувачів, хто не бачить загрози з боку США, ця система дає певні переваги. Але для більшості таке рішення вважається неприйнятним.
б) Криптографія "Вмикай і шифрів" (Plug & Play Cryptography) - цей продукт продається з інтерфейсом, що дає можливість використовувати зовнішні криптографічні модулі. Проблема застосування цієї системи полягає в тому, що контроль експорту в США поширюється не тільки на криптографічні продукти, а й на інші продукти, що відносяться до їх застосування.
Іншою важливою проблемою, пов'язаною з впровадженням загальноприйнятої хорошої криптографічної системи, є проблема розкриття криптографічних ключів. Ця проблема викликана питанням про те, що станеться, якщо уряди припинять свої дії, що перешкоджають широкому поширенню криптографії високого рівня.
Відповідь полягає в тому, що високонадійна криптографія швидко стане загальнодоступною, але користувачі незабаром зрозуміють, що у разі втрати ними своїх ключів шифрування (а це безумовно буде відбуватися) їх життєво важлива інформація буде втрачена назавжди, так як вони не зможуть розшифрувати її.
У таких обставинах вони будуть змушені звернутися до постачальників криптографічних продуктів з проханням забезпечити їх засобами швидкого відновлення інформації для захисту від можливих небезпечних наслідків, пов'язаних з втратою ключа шифрування (що аналогічно зверненню до слюсаря з проханням злому і заміни замка вхідних дверей квартири в разі втрати ключа). При цьому важливо гарантувати, щоб така можливість відновлення ключів не відкривала доступ до конфіденційної інформації користувачів "третій стороні". Це, разом з тим, дає певні комерційні переваги при наступних обставинах:
Фірми будуть змушені звертатися за допомогою у відновленні інформації, зашифрованою на ключах їх співробітників, у разі смерті такого співробітника або звільнення з фірми з тих чи інших причин;
У багатьох випадках фірмам важливо мати незалежні записи про свою діяльність і дії їх апарату і використовувати такі записи для пояснень на вимогу законодавчих та контрольних органів.
Важлива відмінність між відновленням ключів шифрування таким способом і депонуванням ключів полягає в наступному: в першому випадку організація або фірма самі управляють своїми ключами, а в другому - для цього створюється нейтральний, але обов'язковий урядовий механізм. Може бути запропонована система відновлення ключів з "центрами відновлення". Системи цього типу можуть бути корисними для невеликих організацій, які з економічних причин не можуть утримувати власну дорогу службу відновлення. Можливо, що уряди деяких країн будуть наполягати на тому, щоб відновлення ключів відбувалося тільки через відповідні центри. Але вже відомо, що уряд однієї з європейських країн схвалив підхід, згідно з яким вибір способу відновлення ключів представляється першій стороні тобто користувачеві, і є підстави вважати, що уряди інших країн вчинять згідно цьому прикладу. Тому можна очікувати появи змішаних систем і служб відновлення ключів з участю третьої сторони і без неї. Так як необхідність служб відновлення ключів обумовлена потребами комерційних фірм і організацій, ідея їх створення підтримується широкими промисловими сферами, наприклад, очолюваними фірмою IBM (США)альянсом відновлення ключів (Key Recovery Alliance), до складу якого входять вже більше 40 інших фірм. Відомо багато інших технічних підходів до реалізації проблеми відновлення ключів, підтримувані фірмами Trusted Information Systems (TIS), Banker Trust та ін. На початку 1997 р. міністерство торгівлі та промисловості Великобританії оголосило про намір ввести контроль надання криптографічних послуг службами мереж зв'язку загального користування. Основою такого контролю має стати ліцензування. У повідомленні цього міністерства для преси не міститься уточнень. Але з подальших роз'яснень представників міністерства можна зробити висновок про те, що мова йде про обов'язкове депонування ключів шифрування. Міністерство заявило, що воно не має наміру змінювати прав окремих громадян Великобританії на застосування криптографії для захисту особистої інформації на їх розсуд. Однак це твердження не відповідає реальній ситуації, оскільки будь-які законодавчі рішення про обмеження застосувань криптографії не можуть не зачіпати особистих інтересів громадян.
Хоча ініціатором введення таких обмежень виступає міністерство торгівлі і промисловості, фактично цю політику визначає Управління урядового зв'язку Великобританії, зацікавлена у встановленні більш суворого контролю за засобами зв'язку та обчислювальної техніки. Певну протидію такій політиці в області криптографії надає ряд громадянських організацій, серед яких найбільшою активністю виділяється організація економічного сприяння і розвитку OECD (Organisation for Economic Cooperation & Development). Діяльність цієї організації підтримується багатьма групами захисту цивільних свобод Європи та США.
Нещодавно уряд США оголосив про важливу зміну своєї політики в області криптографії, що полягає в переході від депонування ключів шифрування до техніки відновлення ключів. Згідно з цим рішенням фірми, які мають намір постачати продукти з відновленням ключів, можуть протягом двох років експортувати криптографічні продукти на основі використання алгоритму шифрування DES з довжиною ключа 56 біт. Після того як техніка відновлення ключів буде впроваджена практично (після перехідного періоду) всі обмеження на крипостійкість алгоритмів шифрування (на довжину ключа), застосовуваних у таких продуктах, будуть зняті.
Ця політика, очевидно, призведе до того, що вироблені в США криптографічні продукти з відновленням ключів, що вимагають участі третьої сторони, будуть легко експортуватися, а продукти з відновленням ключів першою чи третьою сторонами, розроблені і вироблені в інших країнах, будуть доступними тільки в "дружніх" країнах. Хоча ця зміна політики уряду США досить істотна та вітається усіма сферами, інтереси яких воно зачіпає, це не означає, що США відмовилися від свого прагнення керувати безпекою глобальної інформаційної структури. Так, в США зберігається порядок, згідно з яким техніка відновлення ключів шифрування в апаратурі, яка використовується всередині країни, може застосовуватися добровільно, але в апаратурі, що експортується в інші країни, її застосування обов'язкове.
Криптографія, що є областю спеціального призначення, породжує ряд важливих проблем етичного характеру, пов'язаних з відносинами уряду і суспільства в тій чи іншій країні.
У демократичних країнах громадяни можуть спілкуватися між собою, не побоюючись втручання урядових органів. Криптографія в поєднанні з глобальною інформаційною структурою може стати засобом реалізації цього основного цивільного права в міжнародному масштабі. Згідно з офіційними урядовими заявами, політика обмеження застосувань криптографії має метою перешкодити її використанню терористами та іншими злочинними елементами. Однак історія спростовує такі твердження, так як будь-які обмеження на використання криптографії зачіпають права і свободи всіх членів суспільства.
В Україні право на володіння своєю інформацією гарантується ст. 34 Конституції України "Кожен має право вільно збирати, зберігати, використовувати і поширювати інформацію усно, письмово або в інший спосіб - на свій вибір.". А право на захист інформації розкривається в законі "Про інформацію" який встановлює, що кожен має право на вільне одержання, використання, поширення, зберігання та захист інформації, необхідної для реалізації своїх прав, свобод і законних інтересів.
Звичайно, здійснення цих прав може бути обмежене законом в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров'я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя. Тобто держава визначає право усіх субєктів інформаційних відносин на захист своїх даних. А криптографічний захист це один із видів такого захисту.
До субєктів інформаційних відносин згідно закону "Про інформацію" належать: фізичні особи, юридичні особи, обєднання громадян, субєкти владних повноважень. Якщо проаналізувати нормативні документи України, що стосуються криптографічного захисту інформації та господарської діяльності, то можна зробити висновок, що будь-яка діяльність, що повязана з даним видом захисту інформації перебуває під державним контролем, що виражається через ліцензування даного виду діяльності. При тому порушення вимог ліцензування карається штрафами та іншими стягненнями. Тобто, як бачимо з одного боку держава гарантує захист на свою інформацію, а з іншого обмежує вільне використання одного з інструментів її захисту, звичайно мотивуючи це необхідністю в захисті національних інтересів прав людей та інших прав і свобод. Така позиція держави може викликати недовіру з боку громадян до криптографічних продуктів, що знаходяться в обігу в Україні, адже лише пройшовши певні етапи перевірки і отримавши ліцензію можна використовувати ті чи інші криптографічні системи. І невідомо наскільки ці системи надійні і чи немає в них "чорних ходів" які б дали державі змогу читати засекречену інформацію.
2.4 Висновки до розділу 2
В даному розділі були описані правові механізми врегулювання господарських відносин в сфері криптографії в Україні і зясовано, що в нашій державі існує досить жорсткий контроль за використанням, торгівлею та створенням криптопродукції. Будь-яка діяльність, що повязана з кирптографією в Україні підлягає ліцензуванню. З одного боку це призводить до підвищення якості продукції, з іншого - звужує можливість іншим на законних підставах захищати свої інформаційні ресурси. Проаналізувавши хід подій у сфері інформаційних правовідносин та інформатизації, зокрема, впровадження системи електронного документування в Україні, різноманітні документи та матеріали, можна зробити висновок, що у цьому напрямку здійснюються певні заходи. Можливо, не настільки інтенсивно, як в інших державах, але можна стверджувати, що через деякий час Україна, за умови системної правової та практичної розбудови системи електронного документування, також буде характеризуватися неабиякими здобутками у цій сфері. Також зясовано, що постійне контроль урядів країн за вільним використанням криптографіної продукції суспільством частіше завдає шкоди аніж користь. Як показує світова практика, обмеження на використання криптографії лише позбавляє законослухняних громадян права захищати свою інформацію і в той же час надає можливість правопорушникам її знімати. Ті аргументі, якими уряди виправдовують такий контроль не виправдовують ризики, які суспільство отримає через нього.
Розділ 3. Стандартизація в області криптографічного захисту інформації
.1 Міжнародні стандарти в сфері КЗІ
Міжнародна стандартизація - стандартизація, участь у якій відкрита для відповідних органів усіх країн. Під стандартизацією розуміється діяльність, спрямована на досягнення упорядкування в певній галузі шляхом встановлення положень для загального і багаторазового застосування щодо реально існуючих і потенційних завдань. Ця діяльність виявляється у розробці, опублікуванні та застосування стандартів. Міжнародний стандарт - стандарт, прийнятий міжнародною організацією. Стандартом називається документ, в якому встановлюються характеристики продукції, експлуатації, зберігання, перевезення, реалізації та утилізації, виконання робіт або надання послуг. Стандарт також може містити вимоги до термінології, символіку, пакування, маркування або етикеток і правилам їх нанесення. На практиці під міжнародними стандартами часто мають на увазі також регіональні стандарти і стандарти, розроблені науково-технічними товариствами та прийняті в якості норм різними країнами світу. Окрім міжнародної стандартизації є також регіональна та стандартизація наукового товариства.
Регіональна стандартизація - стандартизація, участь у якій відкрита для відповідних органів країн лише одного географічного або економічного регіону світу. Регіональний стандарт - стандарт, прийнятий регіональною організацією зі стандартизації.
Стандарт науково-технічного, інженерного товариства - стандарт, прийнятий науково-технічним, інженерним суспільством або іншим громадським об'єднанням[29].
Основне призначення міжнародних стандартів - це створення на міжнародному рівні єдиної методичної основи для розробки нових і вдосконалення діючих систем якості та їх сертифікації. Науково-технічне співробітництво в галузі стандартизації спрямовано на гармонізацію національної системи стандартизації з міжнародною, регіональними та прогресивними національними системами стандартизації.
У розвитку міжнародної стандартизації зацікавлені як індустріально розвинені країни, так і країни, що розвиваються і створюють власну національну економіку.
Цілі міжнародної стандартизації:
зближення рівня якості продукції, що виготовляється в різних країнах;
забезпечення взаємозамінності елементів складної продукції;
сприяння міжнародній торгівлі;
сприяння взаємному обміну науково-технічною інформацією та прискорення науково-технічного прогресу.
Основними завданнями стандартизації є:
встановлення вимог до технічного рівня і якості продукції, сировини, матеріалів, напівфабрикатів і комплектуючих виробів, а також норм, вимог і методів у галузі проектування і виробництва продукції, що дозволяють прискорювати впровадження прогресивних методів виробництва продукції високої якості і ліквідувати нераціональне різноманіття видів, марок і розмірів;
розвиток уніфікації і агрегатування промислової продукції як найважливішої умови спеціалізації виробництва;
комплексної механізації та автоматизації виробничих процесів, підвищення рівня взаємозамінності, ефективності експлуатації і ремонту виробів;
забезпечення єдності та достовірності вимірювань в країні, створення і вдосконалення державних еталонів одиниць фізичних величин, також методів і засобів вимірювань вищої точності;
розробка уніфікованих систем документації, систем класифікації та кодування техніко-економічної інформації;
прийняття єдиних термінів і позначень у найважливіших галузях науки, техніки, галузях економіки;
формування системи стандартів безпеки праці, систем стандартів у галузі охорони природи і поліпшення використання природних ресурсів;
створення сприятливих умов для зовнішньоторговельних, культурних і науково-технічних зв'язків.
Міжнародні стандарти не мають статусу обов'язкових для всіх країн-учасниць.
Будь-яка країна світу вправі застосовувати чи не застосовувати їх. Вирішення питання про застосування міжнародного стандарту ІСО пов'язане, в основному, зі ступенем участі країни в міжнародному поділі праці і станом зовнішньої торгівлі.
Керівництво ІСО/МЕК 21:2004 передбачає пряме і непряме застосування міжнародного стандарту. Пряме застосування - це застосування міжнародного стандарту незалежно від її прийняття в будь-якому іншому нормативному документі.
Непряме застосування - застосування міжнародного стандарту за допомогою іншого нормативного документа, в якому цей стандарт був прийнятий.
Керівництво ІСО/МЕК 21 встановлює систему класифікації для прийнятих і адаптованих міжнародних стандартів:
Ідентичні (IDT): Ідентичні з технічних змістом і структурою, але можуть містити мінімальні редакційні зміни.
Змінені (MOD): Прийняті стандарти містять технічні відхилення, які ясно ідентифіковані і пояснені.
Чи не еквівалентний (NEQ): регіональний чи національний стандарт не еквівалентний міжнародним стандартам. Зміни ясно не ідентифіковано, і не встановлено чітка відповідність.
Існує ряд міжнародних організацій, що займаються міжнародною стандартизацією:
Міжнародна організація стандартизації(ISO). Міжнародна організація ISO почала функціонувати 23 лютого 1947 як добровільна, неурядова організація. Вона була заснована на основі досягнутої на нараді в Лондоні в 1946 р. угоди між представниками 25-ти індустріально розвинених країн про створення організації, що володіє повноваженнями координувати на міжнародному рівні розробку різних промислових стандартів і здійснювати процедуру прийняття їх в якості міжнародних стандартів[31].Electrotechnical Commission (Міжнародна електротехнічна комісія).
Організація IEC (МЕК), утворена в 1906 р., є добровільною неурядовою організацією. Її діяльність, в основному, пов'язана зі стандартизацією фізичних характеристик електротехнічного і електронного обладнання. Основна увага IEC приділяє таким питанням, як, наприклад, електровимірювання, тестування, утилізація, безпека електротехнічного і електронного обладнання. Членами IEC є національні організації (комітети) стандартизації технологій у відповідних галузях, що представляють інтереси своїх країн у справі міжнародної стандартизації. Мова оригіналу стандартів МЕК - англійська.Telecommunication Union (Міжнародний Союз Електрозв'язку) ITU - міжнародна міжурядова організація в галузі стандартизації електрозв'язку. Організація об'єднує більше 500 урядових і неурядових організацій. До її складу входять телефонні, телекомунікаційні та поштові міністерства, відомства та агентства різних країн, а також організації-постачальники устаткування для забезпечення телекомунікаційного сервісу. Основне завдання ITU полягає в координації розробки гармонізованих на міжнародному рівні правил і рекомендацій, призначених для побудови і використання глобальних телемереж і їх сервісів. У 1947 р. ITU отримала статус спеціалізованого агентства Організації Об'єднаних Націй (ООН).
До ряду міжнародних стандартів, прийнятих ISO/IEC відносяться:/IEC 29192-1:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 1: Загальні положення";/IEC 29192-2:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 2: Блочні шифри";/IEC 29192-3:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 3: Групові шифри";/IEC 29192-4:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 4: Механізм використання відкритого ключа в криптографії";/IEC 13157-2:2010 "Інформаційні технології - Телекомунікації та обмін інформацією між системами - NFC безпеки. Частина 2: NFC-SEC криптографічний стандарт, що використовує ECDH і AES"./IEC 11702-2:2008 "Інформаційні технології - Методи забезпечення безпеки - Управління ключами - Частина 2: Механізми, що використовують симетричні методи"./IEC 17090-1:2013 "Інформатика в охороні здоров'я - інфраструктура відкритих ключів - Частина 1: Огляд цифрових послуг сертифікатів"./IEC 10118-1:2000 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 1: Загальні відомості"./IEC 10118-2:2010 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 2: Хеш-функції з використанням n-бітним блоковим шифром"./IEC 10118-3:2004 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 3: Виділені хеш-функції"./IEC 10118-4:1998 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 4: Хеш-функції з використанням модульної арифметики"./IEC 9797-3:2011 "Інформаційні технології - Методи забезпечення безпеки - коди перевірки автентичності повідомлень (MAC) - Частина 3: Механізми, що використовують універсальну хеш-функцію"./IEC 9797-2:2011 "Інформаційні технології - Методи забезпечення безпеки - коди перевірки автентичності повідомлень (MAC) - Частина 2: Механізми, що використовують спеціальні хеш-функції" та інші[33].
Слід зазначити, що дані стандарти включають в себе криптографічний алгоритми та шифри, що були прийняті урядами в якості національних стандартів. Так, наприклад, стандарт ISO/IEC 13157-2:2010 включає стандарт симетричного алгоритму шифрування AES, що прийнятий в якості національного стандарту американським урядом. Цей алгоритм добре проаналізований і зараз широко використовується, як це було з його попередником DES.
Національний інститут стандартів і технологій США (NIST) опублікував специфікацію AES 26 листопада 2000 р. після п'ятирічної періоду, в ході якого були створені і оцінені 15 кандидатур. 26 травня 2002 р. AES був оголошений стандартом шифрування. Станом на 2009 рік AES є одним з найпоширеніших алгоритмів симетричного шифрування. Підтримка AES (і тільки його) введена фірмою Intel в сімейство процесорів x86 починаючи з Intel Core i7-980X Extreme Edition, а потім на процесорах Sandy Bridge.
Іншим криптографічним стандартом, який широко використовується багатьма системами є 3DES(Triple DES) - симетричний блоковий шифр, створений Уітфілд Діффі, Мартіном Хеллманом і Уолтом Тачманом в 1978 році на основі алгоритму DES, з метою усунення головного недоліку останнього - малої довжини ключа (56 біт), який може бути зламаний методом повного перебору ключа. Швидкість роботи 3DES в 3 рази нижче, ніж у DES, але крипостійкість набагато вище - час, необхідний для криптоаналізу 3DES, може бути в мільярд разів більше, ніж час, потрібний для взлому DES. 3DES використовується частіше, ніж DES, який легко зламуються за допомогою сьогоднішніх технологій (в 1998 році організація Electronic Frontier Foundation, використовуючи спеціальний комп'ютер DES Cracker, розкрила DES за 3 дні). 3DES є простим способом усунення недоліків DES. Алгоритм 3DES побудований на основі DES, тому для його реалізації можливо використовувати програми, створені для DES.
Окрім алгоритмів шифрування існують стандарти хеш-функцій такі як MD5 та сімейство хеш функцій SHA. MD5 - один із серії алгоритмів з побудови дайджесту повідомлення, розроблений професором Рональдом Л. Рівестом з Массачусетського технологічного інституту. Був розроблений в 1991 році, як більш надійний варіант попереднього алгоритму MD4. Пізніше Гансом Доббертіном були знайдені недоліки алгоритму MD4. Наприкінці 2008 року US-CERT закликав розробників програмного забезпечення, власників веб-сайтів і користувачів припинити використовувати MD5 в будь-яких цілях, так як дослідження продемонстрували ненадійність цього алгоритму.
Хеш-функції SHA-2 розроблені Агентством національної безпеки США і опубліковані Національним інститутом стандартів і технологій у федеральному стандарті обробки інформації FIPS PUB 180-2 в серпні 2002 року. У цей стандарт також увійшла хеш-функція SHA-1, розроблена в 1995 році. У лютому 2004 року в FIPS PUB 180-2 була додана SHA-224 . У жовтні 2008 року вийшла нова редакція стандарту - FIPS PUB 180-3. У липні 2006 року з'явився стандарт RFC 4634 "Безпечні хеш-алгоритми США (SHA і HMAC-SHA)", що описує SHA-1 і сімейство SHA-2.
Агентство національної безпеки від особи держави випустило патент на SHA-2 під ліцензією Royalty Free.
У звязку з бурхливим розвитком технологій звязку та мобільних пристроїв виникла необхідність у створенні криптосистем, що потребують малу кількість апаратних ресурсів для своєї роботи. Саме тому був затверджений ISO/IEC 29192, який являє собою стандарт на легку криптографію для застосування в обмежених середовищах.
В основі даного стандарту лежить шифр під назвою Enocoro. Enocoro досягає процесу шифрування при однієї десятої потужності, яка потрібна для поліпшеного стандарту шифрування (AES), сучасного стандарту для шифрування даних.
Він здатний забезпечити основні функції безпеки для компактного керуючого обладнання та датчиків, що використовуються в необхідній інфраструктурі при низьких витратах.
Сьогодні підвищена безпека необхідна для компактних пристроїв типу приладу для ідентифікації радіочастоти (RFID) і датчиків з бездротовими комунікаційними функціями, так як вони з'єднують все більшу кількість ПК, мобільних телефонів і персональних цифрових помічників (PDA) до Інтернету. Однак ці компактні прилади мають обмежені ресурси для обробки інформації в своїх центральних процесорах або пам'яті, тому життєво необхідна економічна за потужністю технологія, що сприяє шифруванню даних та ідентифікації приладів, а також низька ресурсна потреба для виконання цих функцій.
МЕК та ISO створили ISO/IEC 29192 як міжнародний стандарт на легку криптографію для застосування в обмежених середовищах і випустили ISO/IEC 29192, Частина 3, що стосується групових шифрів, прийнявши Enocoro в якості міжнародного еталона.
Сімейство групових шифрів Enocoro складається з двох алгоритмів, Enocoro-80, який має довжину ключа 80 біт, і Enocoro-128v2 з довжиною ключа 128 біт. Enocoro, заснований на високошвидкісному груповому шифрі MUGI, стандарт ISO/IEC, досягає свого скороченого розміру в апаратній схемі шляхом радикального скорочення кількості регістрів, необхідних для підтримки внутрішнього стану[36].
Далі, задіявши функцію перемішування структури 2-х ітерацій SPN, він здатний змішувати дані на регістрі більш ефективно, одночасно підвищуючи, тим самим, безпеку і скорочуючи споживану потужність.
Цей шифр є розширеним розвитком результатів дослідної роботи, дорученої NICT Японії в рамках проекту фінансового року 2005-2007 під назвою "Дослідження з безпечної передачі та зберігання масових даних".
Реально, якщо Enocoro-128v2 з ключем довжиною 128 біт порівняти з легким застосовуваним шифром AES-128, який пропонує такий же рівень безпеки, то в першому випадку швидкість обробки даних досягалася в 2 - 10 разів швидше, тобто шифрування даних виконувалося навіть з меншою обробкою. Далі, коли FPGA (польова програмована матриця логічних елементів) використовувалася для вимірювання споживаної потужності для шифрування одного біта, то AES вимагав 1.16 nW/s (нановат в секунду), а Enocoro - 128 v2 - 0.103 nW/s. Це підтверджує, що Enocoro-128v2 споживає приблизно одну десяту потужності іншого шифру для шифрування такої ж кількості даних.
3.2 Стандартизація в сфері КЗІ в Україні
Багатогалузева економіка України потребує введення і додержання єдиних обов'язкових норм, правил та вимог для усіх підприємств і організацій незалежно від форми власності. Розвиток науки і техніки призводить до створення великої кількості нової продукції, її оновлення, а це сприяє розробленню та впровадженню в промисловість різноманітних НД, які слід упорядковувати.
Упорядкування НД в умовах широкої кооперованої багатогалузевої промисловості внесло принципові зміни до методики і практики стандартизації, що стало початком системного підходу до цієї галузі діяльності, визнання її ролі в загальній системі економіки країни. Системний підхід дає змогу ліквідувати необґрунтовану різноманітність НД, яка мала місце в країні. Затверджується єдиний підхід до проведення стандартизації та розробляються національні стандарти. Із уведенням основоположних стандартів Національної стандартизації України закладається фундамент стандартизації як науки.
Національна стандартизація України - це система, яка визначає мету, принципи управління, основні завдання та загальні організаційно-технічні правила виконання всіх видів робіт зі стандартизації. Вона являє собою комплекс взаємопов'язаних правил і положень, які регламентують організацію та порядок проведення робіт з усіх питань практичної діяльності в галузі стандартизації країни.
Становлення України як суверенної правової держави, її послідовна інтеграція до світового економічного товариства потребують здійснення цілеспрямованої політики щодо утворення національної стандартизації з наближенням до міжнародних вимог на основі ринкової економіки.
Мета національної стандартизації - це встановлення положень, що забезпечують відповідність об'єкта стандартизації своєму призначенню та безпечність його для життя, здоров'я, манна людей, збереження тварин і рослин, охорону природного довкілля, що створює умови для раціонального використання всіх видів національних ресурсів, і сприяє усуненню технічних бар'єрів у торгівлі та підвищує конкурентоспроможність продукції, робіт та послуг до рівня розвитку науки, техніки і технологій. Мети національної стандартизації досягають розробляючи, упроваджуючи та засновуючи НД.
Державна політика у сфері стандартизації визначається законом України "Про стандартизацію" і базується на таких принципах:
забезпечення участі фізичних і юридичних осіб в розробленні НД та вільного вибору ними видів стандартів при виробництві чи постачанні продукції, якщо інше не передбачено законодавством;
відкритості та прозорості процедур розроблення і прийняття НД відповідно до інтересів усіх зацікавлених сторін, підвищення конкурентоспроможності продукції вітчизняних виробників;
доступності НД та інформації про них для користувачів;
відповідності НД до законодавства;
адаптації до сучасних досягнень науки і техніки, враховуючи стан національної економіки;
пріоритетності прямого впровадження в Україні міжнародних та регіональних НД;
дотримання міжнародних та європейських правил і процедур стандартизації;
участі у міжнародній (регіональній) стандартизації;
прийняття і застосування органами стандартизації на території України Кодексу доброчинної практики з розроблення, прийняття і застосування стандартів відповідно до Угоди WTO про технічні бар'єри в торгівлі, що є додатком до Маракеської угоди про заснування Світової організації торгівлі.
З метою виконання політики у сфері стандартизації перед нею поставлені різні завдання, основними з яких є:
забезпечення безпечності продукції, процесів і послуг для життя, здоров'я та майна людей, для тварин, рослин та охорона природного довкілля;
захист та збереження майна і продукції, зокрема під час їх транспортування чи зберігання;
підвищення якості продукції, процесів та послуг відповідно до рівня розвитку науки, техніки, технологій і потреб людей;
реалізація прав споживачів;
забезпечення відповідності об'єктів стандартизації своєму призначенню;
забезпечення технічної та інформаційної сумісності і взаємозамінності;
забезпечення збіжності та відтворюваності результатів контролювання;
установлення оптимальних вимог до суспільно важливої продукції, процесів та послуг;
заощадження всіх видів ресурсів та поліпшення техніко-економічних показників виробництва;
забезпечення безпеки господарських об'єктів, складних технічних систем, враховуючи допустимий ризик виникнення природних і техногенних катастроф та інших надзвичайних ситуацій;
розвиток міжнародного та регіонального співробітництва; - усунення технічних бар'єрів у торгівлі.
Нині чинна Національна стандартизація України затверджена і введена в дію у 2002 р. Вимоги до Національної стандартизації України та правил її функціонування наведені в комплексі основоположних стандартів.
ДСТУ 1.0:2003 НС. Основні положення.
ДСТУ 1.1:2001 НС. Стандартизація та суміжні види діяльності. Терміни та визначення основних понять.
ДСТУ 1.2:2003 НС. Правила розроблення національних НД.
ДСТУ 1.3:2004 НС. Правила розроблення, побудови, викладання, оформлення, погодження, прийняття та позначення ТУ.
ДСТУ 1.5:2003 НС. Правила побудови, викладання, оформлення та вимоги до змісту НД.
ДСТУ 1.6:2004 НС. Правила реєстрації НД.
ДСТУ 1.7:2001 НС. Правила і методи прийняття та застосування міжнародних і регіональних стандартів.
ДСТУ 1.8:2005 НС. Правила розроблення програми робіт зі стандартизації.
ДСТУ 1.9:2005 НС. Правила розроблення та впровадження міждержавних стандартів.
ДСТУ 1.10:2005 НС. Державні класифікатори соціально-економічної інформації. Основні положення, правила розроблення, введення та скасування.
ДСТУ 1.11:2004 НС. Правила проведення експертизи проектів національних НД.
ДСТУ 1.12:2004 НС. Правила ведення справ НД.
ДСТУ 1.13:2001 НС. Правила надавання повідомлень торговим партнерам України.
ДСТУ ISO/1 ЕС Кодекс усталених правил стандартизації. Guide 59:2000.
Найважливіші структурні елементи Національної стандартизації України:
. Органи та служби стандартизації.
. Комплекс НД.
. Система контролю за впровадженням і виконанням НД.
До основних положень Національної стандартизації України належать:
основна мета та завдання;
суб'єкти та об'єкти стандартизації;
організація робіт зі стандартизації;
види НД;
порядок розробки, затвердження, перегляду та використання НД;
державний нагляд за додержанням НД;
міжнародне співробітництво.
До об'єктів Національної стандартизації України належать:
а) організаційно-методичні та загально технічні об'єкти:
організація проведення робіт зі стандартизації;
термінологічні системи різних галузей знань та діяльності;
класифікація та кодування інформації;
методи випробовування системи та методи забезпечення й контролювання якості та керування нею;
метрологічне забезпечення;
системи фізичних величин та одиниць вимірювання;
стандартні довідкові дані про фізичні сталі та властивості речовин і матеріалів;
системи технічної та іншої документації загального застосування;
типорозмірні ряди та типові конструкції виробів загальномашинобудівного використання;умовні позначки, зокрема графічні, та їхні системи, розмірні геометричні системи та їх контролювання;
інформаційні технології, зокрема програмні та технічні засоби інформаційних систем загального призначення;
довідкові дані про властивості речовин та матеріалів;
б) продукція, призначена для використання у різних видах економічної діяльності, державних закупівель та широкого вжитку;
в) системи та господарські об'єкти, які мають важливе значення та їхні складники, зокрема транспорт, зв'язок, енергосистема, використання природних ресурсів тощо;
г) вимоги щодо захисту прав споживачів, охорони праці, ергономіки, технічної естетики, охорони природного довкілля;
д) будівельні матеріали, процеси, типові деталі та будинки, системи функційного забезпечення будинків, складні будівельні споруди та методи контролювання у будівництві;
е) потреби оборони, мобілізаційної готовності та державної безпеки.
У Національній стандартизації України особливо підкреслюється взаємозв'язок стандартизації з технічним прогресом, її роль у підвищенні технічного рівня виробництва та якості продукції, необхідність досягнення високого світового рівня продукції, процесів, робіт, послуг. У зв'язку з цим до НД як носія передового світового досвіду висуваються високі вимоги, які зможуть забезпечити розроблення та виробництво високоякісної продукції, процесів, послуг, раціональне використання всіх ресурсів, охорону зовнішнього середовища, безпеку праці, охорону здоров'я населення, захист його від шкідливих дій тощо.
Як правило, вимоги, що запроваджуються у НД, мають бути підвищеними відповідно до вже досягнутого на практиці рівня і відповідати перспективному світовому рівню техніки і технології, вимогам зовнішнього та внутрішнього ринків, рекомендаціям міжнародних організацій зі стандартизації.
Органи стандартизації - це підрозділи, які виконують функції державного управління всіма підприємствами й організаціями з питань стандартизації, здійснюють координуючу діяльність і діють від імені держави.
З набуттям незалежності в Україні виникла потреба у створенні національної стандартизації та визначенні суб'єктів стандартизації. До суб'єктів стандартизації згідно із законом України "Про стандартизацію" належать:
центральний орган виконавчої влади у сфері стандартизації;
рада стандартизації;
технічні комітети стандартизації (ТК);
інші суб'єкти, що займаються стандартизацією.
Центральний орган виконавчої влади, що забезпечує формування державної політики у сфері стандартизації:
організовує, координує та провадить діяльність щодо розроблення, схвалення, прийняття, перегляду, зміни, розповсюдження національних стандартів відповідно до цього Закону;
вживає заходів щодо гармонізації розроблюваних національних стандартів з відповідними міжнародними (регіональними) стандартами;
встановлює правила розроблення, схвалення, прийняття, перегляду, зміни та втрати чинності національних стандартів, їх позначення, класифікації за видами та іншими ознаками, кодування та реєстрації;
забезпечує адаптацію стандартів, процедур оцінки відповідності, процедур сертифікації та практики відповідно до сучасних досягнень науки і техніки;
формує програму робіт із стандартизації та не рідше одного разу на шість місяців публікує актуалізовану програму;
організовує створення і ведення національного фонду нормативних документів та Національного інформаційного центру міжнародної інформаційної мережі (ISONET);
організовує розповсюдження офіційних публікацій національних стандартів, правил усталеної практики і класифікаторів та іншої друкованої продукції стосовно прийнятих національних стандартів, стандартів та документів відповідних міжнародних та регіональних організацій стандартизації, членами яких він є чи з якими співпрацює відповідно до положень цих організацій або відповідних договорів, а також делегує ці повноваження іншим організаціям;
як національний орган стандартизації представляє Україну в міжнародних та регіональних організаціях із стандартизації.
Центральний орган виконавчої влади, що реалізує державну політику у сфері стандартизації, виконує такі основні функції:
забезпечує реалізацію державної політики у сфері стандартизації, у тому числі вживає обґрунтованих заходів для прийняття і застосування органами стандартизації на території України, а також регіональними органами стандартизації, створеними на території України, членами яких вони є, Кодексу доброчинної практики з розроблення, прийняття і застосування стандартів відповідно до Угоди СОТ про технічні бар'єри в торгівлі, що є додатком до Маракеської угоди про заснування Світової організації торгівлі;
бере участь у розробленні і узгодженні технічних регламентів та інших нормативно-правових актів з питань стандартизації;
вживає заходів щодо виконання зобов'язань, зумовлених участю в міжнародних (регіональних) організаціях стандартизації;
співпрацює у сфері стандартизації з відповідними органами інших держав;
приймає рішення щодо створення та припинення діяльності технічних комітетів стандартизації, визначає їх повноваження та порядок створення;
організовує надання інформаційних послуг з питань стандартизації;
встановлює процедуру та приймає рішення щодо створення та припинення діяльності технічних комітетів стандартизації, визначає їх повноваження та порядок створення;
забезпечує відповідність національних стандартів цьому Закону;
встановлює символи або знаки, що засвідчують відповідність продукції національним стандартам бере участь у розробленні технічних регламентів та підготовці робочої програми з технічних регламентів;
бере участь у підготовці міжнародних і регіональних стандартів, які розробляються відповідними міжнародними та регіональними організаціями, та підготовці рекомендацій для процедур оцінки відповідності, забезпечуючи врахування інтересів України;
співпрацює та проводить консультації з відповідними органами у сфері стандартизації інших держав, у разі потреби вживає заходів для розв'язання суперечок або скарг, які виникають;
веде реєстр стандартів та документів з стандартизації;
забезпечує і сприяє співробітництву між виробниками, постачальниками, споживачами продукції, процесів і послуг та відповідними державними органами у сфері стандартизації.
Центральний орган виконавчої влади, що реалізує державну політику у сфері стандартизації, може виконувати інші функції та повноваження згідно із законами України.
Слід зазначити, що в указі Президента від 18 березня 2003р. №225/2003 чітко вказано, що колишній Державний комітет України з питань технічного регулювання та споживчої політики є спеціально уповноваженим центральним органом виконавчої влади у сфері стандартизації, метрології, підтвердження відповідності та захисту прав споживачів і має функції у сфері стандартизації а саме:
вживає заходів для гармонізації розроблюваних національних
стандартів із відповідними міжнародними (регіональними) стандартами;
бере участь у розробленні і узгодженні технічних регламентів та інших нормативно-правових актів з питань стандартизації;
установлює правила розроблення, схвалення, прийняття, перегляду, зміни та втрати чинності національними стандартами, їх позначення,
класифікації за видами та іншими ознаками, кодування та реєстрації;
організовує і координує проведення робіт у сфері стандартизації;
схвалює та приймає національні стандарти відповідно до
законодавства;
здійснює реєстрацію нормативних документів;
вживає заходів до виконання зобов'язань, зумовлених участю України в міжнародних (регіональних) організаціях стандартизації;
формує програму робіт із стандартизації та координує її виконання;
приймає рішення щодо створення та припинення діяльності технічних комітетів стандартизації, визначає їх повноваження і порядок створення;
організовує створення і ведення національного фонду
нормативних документів та національного центру міжнародної
інформаційної мережі ISONET WTO;
організовує надання інформаційних послуг з питань стандартизації;
здійснює відповідно до законодавства державний нагляд за
додержанням стандартів, норм і правил, інших вимог щодо безпеки та
якості продукції;
здійснює координацію робіт щодо створення і функціонування державної системи кодифікації продукції[38].
Однак в чинному указі від 13 квітня 2011р. №465/2011, який є його наступником, взагалі не вказано, який орган є центральним виконавчим у сфері стандартизації. В указі лише зазначено, що існуюча на даний момент Державна інспекція України(яка замінила колишній Держстандарт) з питань захисту прав споживачів здійснює державний нагляд за додержанням стандартів, норм і технічних регламентів.
Технічні комітети стандартизації
Центральний орган виконавчої влади, що реалізує державну політику у сфері стандартизації, створює технічні комітети, на які покладаються функції з розроблення, розгляду та погодження міжнародних (регіональних) та національних стандартів. Технічні комітети стандартизації формуються з урахуванням принципу представництва всіх заінтересованих сторін. До роботи в технічних комітетах стандартизації залучаються на добровільних засадах уповноважені представники органів виконавчої влади, органів місцевого самоврядування, суб'єктів господарювання та їх об'єднань, науково-технічних та інженерних товариств (спілок), товариств (спілок) споживачів, відповідних громадських організацій, провідні науковці і фахівці. Організаційне забезпечення діяльності технічних комітетів здійснюють їх секретаріати. Положення про технічні комітети затверджує центральний орган виконавчої влади, що забезпечує формування державної політики у сфері стандартизації. Технічні комітети стандартизації не можуть мати на меті одержання прибутку від своєї діяльності. Членство в технічних комітетах стандартизації є добровільним.
Центральні органи виконавчої влади та організації мають право у відповідних сферах діяльності та в межах повноважень з урахуванням своїх господарських та професійних інтересів організовувати і виконувати роботи із стандартизації, зокрема:
розробляти, схвалювати, приймати, переглядати, змінювати стандарти відповідного рівня та припиняти їх дію, встановлювати правила їх розроблення, позначення та застосування представляти Україну у відповідних спеціалізованих міжнародних та регіональних організаціях стандартизації, виконувати зобов'язання, передбачені положеннями про ці організації;
створювати і вести реєстри нормативно-правових актів та нормативних документів для забезпечення своєї діяльності та інформаційного обміну;
видавати і розповсюджувати свої стандарти, документи спеціалізованих відповідних міжнародних та регіональних організацій стандартизації, членами яких вони є чи з якими співпрацюють на підставі положень про ці організації або відповідних договорів, а також делегувати ці повноваження іншим організаціям.
Центральні органи виконавчої влади та організації повинні інформувати центральний орган виконавчої влади, що реалізує державну політику у сфері стандартизації, про роботи із стандартизації за своїми напрямами для виконання Кодексу доброчинної практики з розроблення, прийняття та застосування стандартів відповідно до Угоди СОТ про технічні бар'єри в торгівлі що є додатком до Маракеської угоди про заснування Світової організації торгівлі 1994 року.
Міністерство оборони України, враховуючи особливості цієї сфери, визначає порядок застосування стандартів для задоволення потреб оборони України відповідно до покладених на нього функцій.
В Україні стандартизацію в сфері криптографії здійснює Департамент криптографічного захисту інформації при Державній служби спеціального звязку та захисту інформації в Україні. До його завдань входить:
підготовка пропозицій щодо формування та реалізації державної політики у сфері криптографічного захисту інформації;
підготовка пропозицій щодо участі у формуванні та реалізації державної політики у сфері електронного документообігу органів державної влади та місцевого самоврядування, розроблення та впровадження електронного цифрового підпису в органах державної влади та органах місцевого самоврядування;
методичне керівництво та координація діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій у сфері криптографічного захисту інформації;
здійснення нормативно-правового регулювання у галузі криптографічного захисту інформації;
визначення вимог і порядку створення та розвитку систем криптографічного захисту службової інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
виконання повноважень органу ліцензування у галузі криптографічного захисту інформації;
визначення перспективних напрямів, розробка та здійснення інших заходів щодо розвитку систем криптографічного захисту інформації;
здійснення технічного регулювання у сфері криптографічного захисту інформації, організація та проведення перевірки оцінки відповідності, розробка в установленому порядку стандартів, технічних регламентів і технічних умов;
затвердження технічних і технологічних вимог до акредитованих центрів сертифікації ключів;
організація розроблення, виготовлення та постачання ключових документів до засобів криптографічного захисту таємної та службової інформації;
організація та супроводження створення засобів криптографічного захисту інформації та засобів спеціального звязку в частині забезпечення ними криптографічних, інженерно-криптографічних, спеціальних та інженерно-спеціальних вимог;
організація та проведення робіт з допуску до експлуатації засобів криптографічного захисту таємної та службової інформації, засобів спеціального звязку, визначення криптографічних алгоритмів і протоколів як рекомендованих, проведення тематичних (контрольних тематичних) досліджень засобів криптографічного захисту таємної та службової інформації, засобів спеціального звязку, криптографічних алгоритмів і протоколів;
організація та координація разом із центральним органам виконавчої влади у сфері стандартизації, метрології та сертифікації роботи з проведення сертифікації засобів криптографічного захисту інформації, організація та проведення державної експертизи у сфері криптографічного захисту інформації;
організація та контроль процесу експлуатації та технічного обслуговування засобів і систем криптографічного захисту інформації, засобів спеціального звязку під час проведення їх тематичних (контрольних тематичних) досліджень;
організація роботи Консультативної ради з питань організації та забезпечення безпеки спеціальних видів звязку, Експертної комісії з питань проведення державної експертизи у сфері криптографічного захисту інформації Держспецзвязку та Ліцензійної комісії Адміністрації Держспецзвязку з питань криптографічного захисту інформації;
організація та проведення наукових досліджень у сфері криптографічного захисту інформації;
здійснення контролю за якістю приймання продукції, інших товарів військового призначення, які виготовляють (модернізують) на замовлення Держспецзвязку.
В Україні прийнято ряд державний криптографічних стандартів, що використовуються для захисту як державної інформації, так і приватної:
ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння".
ДСТУ CWA 14167-3:2008 "Криптографічний модуль для послуг генерування ключів провайдером послуг сертифікації. Профіль захисту CMCKG-PP"
ДСТУ ISO/IEC 15946-1:2006 "Інформаційні технології. Методи захисту. Криптографічні методи, що ґрунтуються на еліптичних кривих. Частина 1. Загальні положення"
ДСТУ ISO/IEC 15946-3:2006 "Інформаційні технології. Методи захисту. Криптографічні методи, що ґрунтуються на еліптичних кривих. Частина 3. Установлення ключів"
ДСТУ ISO/IEC 19790:2009 "Інформаційні технології. Методи захисту. Вимоги щодо захисту криптографічних модулів"
ГОСТ 34.310-95 "Информационная технология. Криптографическая защита информации. Процессы выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма"
3.3 Висновки до розділу 3
В сучасному світі стандартизація відіграє роль товарного орієнтира якості, дане явище не оминуло і криптографію. Оскільки криптографічні системи це такий самий продукт як і інші, на нього створені міжнародні та національні стандарти.
В ці стандарти входять перевірені алгоритми та системи шифрування, що відповідають сучасним вимогам користувачів. Особливістю саме криптографічних стандартів є те, що вони виступають гарантами довіри для тих, хто їх використовує. Відповідаючи тому чи іншому стандарту користувач впевнений в надійності системи. Проаналізувавши нормативні документі, що стосуються стандартизації в Україні, зясовано, що згідно законодавства повинен бути створений центральний виконавчий орган що, створює і виконує політику у сфері стандартизації, але фактично його не існує з 2011р., з часу втрати чинності указу президента про Держстандарт.
Висновки
Відповідно до поставлених завдань були проаналізовані особливості нормативно-правового регулювання криптографічного захисту інформації в Україні та світі. Предметом аналізу виступало міжнародне та національне законодавство у сфері криптографічного захисту інформації а також політика держав у даному напрямку.
Досвід законодавчого регулювання а також політика у цій сфері зарубіжних країн дали змогу виявити ряд закономірностей та зробити ряд висновків. Проаналізувавши історичні підвалини розвитку КЗІ, можна стверджувати що криптографія за період свого формування стала не просто інструментом засекречення інформації а взагалі невідємним атрибутом будь-якої сучасної інформаційної системи, а з появою асиметричної криптографії - основою електронної комерції. Розглядаючи політику окремих країн у даній сфері, можна дійти висновку, що сучасна тенденція в сфері імпорту, експорту та використання засобів КЗІ направлена на помякшення контролю у цій сфері, це каже про те, що криптографія перестали бути справою виключно держави як це було раніше.
Здійснивши огляд нормативно-правового забезпечення господарських відносин у сфері КЗІ можна зробити висновок, що Україна має жорсткий механізм контролю за діяльністю господарств, що мають відношення до криптографічного захисту. Майже всі господарські відносини, що повязані с КЗІ підлягають ліцензуванню. Виявлено також деякі недоліки в самих нормативних актах, зокрема тих, що мають відношення до визначення понять.
Саме питання криптографічного захисту інформації в Україні розкрите в ряді окремих нормативних актах, зокрема в "Положенні про порядок здійснення криптографічного захисту інформації", але це настільки обширне питання, що заслуговує його врегулювання на рівні закону.
Крім того, уніфікація в єдиному законі усіх аспектів, що повязані з криптографією є більш зручним підходом. В роботі розкрито питання актуальності і доцільності державного контролю за використанням засобів КЗІ а також чим цей контроль може загрожувати суспільству. Проаналізувавши ряд наукових праць та різного роду статей в даному напрямку, можна зробити висновок, що політика обмеження на засоби КЗІ в середині країни, дає більше негативного впливу на суспільство. Обмеження на створення та використання КЗІ по-перше пригальмовує розвиток власної виробничої інфраструктури в даному напрямку, а по-друге позбавляє права суспільство захищатися тими засобами КЗІ, якими воно хоче.
В окремому розділі висвітлені питання, що розкривають сутність стандартизації її роль в суспільстві та відношення до КЗІ. Аналізуючи нормативно-правову документацію було виявлено, що на сьогодні не визначений орган центральної влади у сфері стандартизації, який би формував і реалізовував політику у даному напрямку. У сфері ж КЗІ питанням стандартизації займається Державна служба спеціального звязку та захисту інформації України, яка згідно своїх завдань, співпрацюючи зі центральним органом виконавчої влади повинна здійснювати сертифікацію засобів КЗІ.
Список використаних джерел
. Брассар Ж. Современная криптология. - М.: Полимед, 1999. - 176c.
. Земор Ж. Курс криптографии. - Ижевск.: РХД, 2006. - 256с.
. Шнайер Б. Секреты и ложь. - СПБ.: Питер, 2003. - 368с.
. Ященко В.В. Введение в криптографию. - М.:МЦНМО, 2012. - 352
. Шнаер Б. Прикладная криптография. - М.: Триумф, 2002. - 816с.
. Бабаш А.В.,Шанкин Г.П. История криптографии. Часть 1. - М.: Гелиос АРВ, 2002. - 240 с. - 3000 экз. - ISBN 5-85438-043-9
. Жельников В. Криптография от папируса до комапьютера. - М.: ABF, 1996. - 335 с. - ISBN 5-87484-054-0
. Oded Goldreich, Foundations of Cryptography, Volume 1: Basic Tools, Cambridge University Press, 2001, ISBN 0-521-79172-3
. OECD Document C(97)62 Annex 2, "Guidelines for Cryptography Policy", March 12, 1997.
. "Политика применения криптографии в разных странах мира" [електронний ресурс]//режим доступу www.militaryarticle.ru/stat/216_stat.html
. Simon Singh, The Code Book, New York: Anchor Books, 2000 ISBN 9780385495325
. S. Goldwasser, S Micali, and C. Rackoff, "The Knowledge Complexity of Interactive Proof Systems", SIAM J. Computing, vol. 18 num.
. Ліцензійні умови у редакції наказу Державного комітету України з питань регуляторної політики та підприємництва від 26.01.2008 №8/216
. Закон України "Про інформацію"(за станом на 02.10.2010 р.) Верховна Рада України. - Київ: Парламентське видавництво,2010. - 34с.
. Закон України "Про захист інформації в інформаційно-телекомунікаційних системах " (за станом на 11.05.2004 р.) Верховна Рада України. - Київ: Парламентське видавництво, 2004. - 25 с.
. Закон України "Про підприємництво" (за станом на 15.10.1992 р.) Верховна Рада України. - Київ: Парламентське видавництво, 1993 р. - 15 с.
. Положення "Про ліцензування підприємницької діяльності"// Урядовий курєр. - 2006 № 201
. Кодекс України Про адміністративні правопорушення//Уряовий курєр. - 2013. № 126.
. Кримінальний кодекс України. Науково-практичний коментар: за заг. Ред В.Я. Тація, В.П Пшонки, В.І. Борисова, В.І. Тююгіна. - 5-те вид.,допов. - Х.: Право, 2013.
. Гудзь О. Еволюція форм правочинів: від усної - до "електронної"//Юридичний журнал. - 2006. - № 1(43). - С. 32-37.
. Кирилюк Дмитро. Правові засади використання електронних розрахункових документів та електронних підписів в банківській діяльності // Юридичний журнал. №12/2005.
. Закон України "Про електронний цифровий підпис" від 22.05.2003 р. № 852-IV.
. Наказ ДПА України,,Про подання електронної податкової звітності" від 10.04.08 №233, зареєстрований у Міністерстві юстиції України 16.04.08 за № 320/15011.
. Лінецький Сергій. Як використовувати електронні документи? Юридичний журнал. №9/2003.
. Дутов М. Сравнительный анализ европейского законодательства в области электронного документооборота // Підприємництво, господарство і право. 2002. № 8. - С. 25-28
. Блажівська Наталя. Електронний правочин // Юридичний журнал. №1/2007.
. Положення про технічний захист інформації в Україні затв. Пост. Кабміну від 09.09.1994 р. №632
. Eugene G. Grosser Криптография и политика[електронний ресурс] // режим доступу: www.average.org/freecrypto/crypto.html
. Василий Громов Криптография в политике[електронний ресурс]// режим доступу:www.e-reading.ws/chapter.php/17128/506/Gromov,_Vasil'ev_-_Enciklopediya_bezopasnosti.html
. Бичківський Р.В., Столярчук П.Г., Гамула П.Р. Метрологія, стандартизація, управління якістю і сертифікація: Підруч. - Львів: Вид-во Haц. ун-ту "Львівська політехніка", 2004. - 500 с.
. Международные и региональные организации по стандартизации и качеству продукции. - М.: Изд-во стандартов, 1990. - 244 с.
. Мороз В. І., Єгоров В. Г., Смаг В.К. та ін. Метрологія, стандартизація і сертифікація: Навч. посіб. - Харків: ХарДАЗТ, 2000. - 77
. Загальні вимоги до органів, які проводять оцінювання і сертифікацію/реєстрацію систем якості: Настанови ISO/IEC 62 // Інформ. бюл. з міжнар. стандартизації. - 1997. - МІ. - С. 266-283.
. Медведев А.М. Международная стандартизация - М.: Издательство стандартов, 1988
. Закон України "Про стандартизацію" від 16.10.2012 Верховна Рада України. - Київ: Парламентське видавництво, 2010 р. - 24 с.
. Шаповал М. І. Основи стандартизації, управління якістю та сертифікації. - К; Укр. фін. ін-т, 2001. - 167 с.
. Порядок проведення робіт із сертифікації продукції іноземного виробництва, що виготовляється серійно: Наказ Держстандарту України від 18.08.98 №65 зареєстрований у Міністерстві юстиції України 14.09.98 № 657/3097.
. Кириченко Л. С, Чуніхіна II. М. Сертифікація та якість продукції у сучасних умовах господарювання. - К.: КДТЕУ. 1996. - 50 с.
. Положення про порядок здійснення криптографічного захисту інформації в Україні від 28.08.2009 Урядовий курєр. - 2006 № 260