Одночасно з переходом на безпаперовий документообіг світ переходить до дистанційного візування документів через електронний цифровий підпис (ЕЦП). Пандемія COVID-19 з її регулярними локдаунами лише прискорила цей процес. Сьогодні ринок електронних довірчих послуги складає близько $3 млрд і зростає щороку майже на 30%.
Втім в Україні, де перший закон, що регулює використання електронного підпису, було прийнято ще в 2004 році, ситуація з ЕЦП і досі дуже складна і заплутана. Перш за все, з причини дивних факапів державних органів, що мають гарантувати надійність та непорушність моделі державних довірчих послуг. В результаті, ми маємо підпис Джо Байдена під петицією на сайті Президента та так званий кейс Рябошапки. Е–декларація колиішнього члена НАПК з’явилась в системі є-декларування, хоча йому начебто не видавали для цього ЕЦП.
Спецально для Liga.Tech Олег Пилипенко з Асоціації Digital Ukraine розповідає про причини проблем з е-підписами в Україні та шляхи вирішення проблеми.
Коротко про е-підпис
Під ЕЦП зазвичай мається на увазі технологія підтвердження авторства та цілісності електронного документа. Аналогічно звичайному підпису на папері, ЕЦП пов’язаний як з автором, так і з самим документом за допомогою криптографічних методів. Таким чином, ЕЦП не дає можливості підписанту відмовитися від зобов’язань, що виникли в результаті підписання документу.
В переважній більшості країн світу технологія ЕЦП заснована на асиметричному шифруванні з відкритим та закритим ключем (PKI – Public key infrastructure). Користувач шифрує документ за допомогою закритого ключа, якщо хтось інший може розшифрувати документ відкритим ключем, що входить в одну пару з закритим, це означає, що авторство документа належить саме цьому користувачу, адже тільки він володіє цим закритим ключем.
В Україні сьогодні дозволено використання двох типів е-підпису: удосконалені електронні підписи (УЕП) та кваліфіковані електронні підписи (КЕП). Методика їх застосовування однакова, обидва можна використовувати для гарантування цілісності електронного документа. Однак між ними є принципова різниця: КЕП має вищий рівень захисту і прирівнюється до власноручного підпису. Це означає, що коли ми користуємося КЕП, то державний регулятор гарантує, що цифровий підпис поставлений з використанням надійних засобів захисту інформації. І саме держава відповідає за те, що з цим ключем нічого не сталося: він не загублений, не вкрадений, не зламаний та не клонований. КЕП зберігається лише на захищених носіях – токенах або спеціальних SIM-картках.
Якщо ж документ був підписаний за допомогою УЕП, то сторона, яка постраждала від махінацій, повинна довести в експертних організаціях, що на її боці всі системи було надійно захищено з точки зору інформаційної безпеки, що вона нікому не передавала ключ, тощо. Це не так просто, адже УЕП зберігається на звичайних флешках і його можна легко скопіювати. Тому така експертиза коштує дуже дорого і триває місяцями чи навіть роками.
З листопада 2020 року державні замовники мають підписувати свої документи, плани, оголошення та рішення тільки за допомогою кваліфікованого електронного підпису.
Використання УЕП комерційними компаніями в Україні дозволено лише до кінця 2021 року.
Але досі існує чимала плутанина в термінах. Наприклад, на сайті Сервісу електронного документообігу “Вчасно” можна прочитати визначення, що “Кваліфікований електронний підпис (КЕП) – удосконалений електронний підпис, який створюється з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті відкритого ключа”.
Крім того, Мінцифри просуває УЕП як КЕП під виглядом “удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах”. Це розмиває для нефахівців межи дозволеного, ускладнює захист своїх прав в гострій ситуації, зауважує телеком-експерт Роман Химич.
Хто видає ключі
В технології використання ЕЦП є важлива ланка: кваліфікований надавач електронних довірчих послуг (КНЕДП). Це підприємство, що генерує ключ е-підпису (чи під контролем якого користувач генерує цей ключ) і засвідчує, що саме ви є власником даного ключа. Наразі є рівно 20 таких надавачів, серед них – державні банки, “УКРЗАЛІЗНИЦЯ”, МВС, інші державні організації, також є комерційні компанії.
Донедавна серед надавачів електронних довірчих послуг були і мобільні оператори “великої трійки”, які надавали послугу Mobile ID, що передбачала зберігання КЕП на спеціальній захищеній SIM-картці. Втім, всі вони закрили цей напрямок бізнесу через економічну недоцільність.
Саме кваліфікований надавач відповідає за використання технології, що гарантує безпеку вашого КЕП, а в певних випадках – може відкликати сертифікат ключа, що зробить останній недійсним.
Що не так з ЕЦП в Україні
В Україні законодавство про використання електронного цифрового підпису та електронні документи було прийнято ще в 2004 році, втім, в країні до сих пір не завершено комплекс дій в частині проведення експертизи засобів криптографічного захисту інформації цифрового підпису, зазначає В’ячеслав Татьянін, Директор ТОВ “АВТОР” , компанії яка робить продукти і рішення в області криптографічного захисту інформації. В першу чергу йдеться про критерії оцінки рівня інформаційної безпеки.
В угоді з ЄС Україна зобов’язалася гармонізувати законодавство з європейським, в тому числі адаптувати стандарт Common Criteria, який налічує 7 рівнів безпеки.
Чимало в цьому напрямку вже зроблено, та загалом процес не завершено і прогрес там дуже повільний. Тому сьогодні експертизу, на жаль, проходять пристрої, які за європейськими і американськими законами ніколи б не були допущені для вживання в якості КЕП.
В Європі до КЕП дуже серйозні вимоги, наприклад, сказано, що носій КЕП має бути захищений не нижче рівня EAL5+, при 7 максимальних. У нас же допускаються до експертизи системи, які точно не відповідають таким рівням. Звідси велика ймовірність зловживань. І коли система буде розростатися — число атак може зростати в геометричній прогресії.
І грім таки вдарив
Перший тривожний “дзвіночок” прозвучав в 2016 році, коли невідомий зловмисник підписав електронну декларацію ексгенпрокурора Руслана Рябошапки, скориставшись ніби його ЕЦП. Притому сертифікати цього ключа проходили всі передбачені перевірки аж до Центрального засвідчуваного органу. Спеціалісти били на сполох та казали, що система скомпрометована і потребує негайних дій по виправленню. Не дивлячись на беззаперечні докази несанкціонованого створення ключів електронного підпису Рябошапки, офіційний регулятор у сфері використання ЕЦП, а згодом і слідчі органи, спустили цю справу “на гальмах”, зазначає Володимир Фльонц, голова громадської організації “Електронна Демократія” та архітектор системи Prozorro.
Через п’ять років трапився черговий скандал з підписом петиції на сайті президента України: 17 червня особа під іменем Joe Biden підписала петицію про звільнення заступника голови офісу президенту Олега Татарова. Цей випадок фахівці вже встигли назвати “Кейс Рябошапки №2”.
Через тиждень після події відомство Держспецзв’язку (ДССЗЗІ) заявило про сплановану хакерську атаку і компроментацію легального особистого ключа типу УЕП одного з громадян України, виданого АЦСК Приватбанку. Однак кілька незалежних експертів з кібербезпеки провели власне дослідження і дійшли інших висновків. Так, на думку Кіра Важницького, Senior Consultant у Armorum Solutions, не може іти мова про “компрометацію особистого ключа”, оскільки неможливо скомпрометувати ключ, який ніколи не було легально отримано. В цьому твердженні він спирається на той факт, що у реєстрі ДФС відсутня особа “Joe Byden”, та й реєстраційний номер облікової картки платника податків (РНОКПП), що був записаний у сертифікаті та переданий разом з ім’ям під час аутентифікації, ніколи нікому не присвоювався.
Отже, цей ключ не є справжнім і про компрометацію говорити недоречно.
Виходячи з того, що вже 24 червня 2021 року ДССЗЗІ видала КНЕДП (АЦСК) Приватбанк позитивний акт № 30/5-1430 про перевірку регламенту, є підстави вважати, що приватний ключ АЦСК теж не скомпрометований (тому Приватбанк не відкликає усі видані раніше сертифікати). Але це значить, що фейковий сертифікат було створено виключно у рамках типових процесів у цьому АЦСК, наприклад, як тестовий. До речі, експеримент, який провів Володимир Фльонц, доводить, що портал id.gov.ua не виконує ніякої фільтрації тестових сертифікатів. Твердження ДССЗЗІ про те, що тестовими ключами неможливо підписати документи, взагалі не піддається аналізу у зв’язку з відсутністю чітких ознак, за якими технічно можна відрізнити такі сертифікати. Отже, щоб виключити повторення таких випадків у майбутньому, треба терміново відкликати усі тестові ключі (а для цього провести ревізію усіх виданих ключів у всіх АЦСК), наголошує Кір Важницький. І в перспективі виключити можливість створювати тестові ключі взагалі.
Андрій Баранович, прес-секретар громадської організації “Український Кіберальянс”, вважає, що скоріш за все хтось з офісу президента, можливо за участі СБУ, згенерував ключ на ім’я Joe Byden, щоб скомпрометувати саму петицію за звільнення Олега Татарова. Ключ міг бути згенерованим в АЦСК Приватбанку, а може і в іншому АЦСК. Ім’я Biden Joe обрали спеціально, щоб була помітна фальсифікація. Але разом з петицією зловмисники скомпрометували всю інфраструктуру ключів і це матиме катастрофічні наслідки для банківського сектора, нотаріату, юстиції, сфери охорони здоров’я та іншого.
Заяви ж ДССЗЗІ про “хакерську атаку” навряд чи варто розглядати всерйоз, це просто відмовки, щоб перекласти відповідальність.
“Регламенти ЦСК недосконалі, що дозволяє створювати такі записи як недавній кейс по Joe Biden. Подібні проблеми вирішуються жорсткістю організаційних заходів, зокрема віддаленої ідентифікацією користувачів. І це реально катастрофа, яка замовчується. Ну припустимо, в цьому випадку хтось пожартував. А якщо аналогічні махінації з ЕЦП призведуть до крадіжки акцій, нерухомості, тощо?” — говорить В’ячеслав Татьянін.
Похована в 2016 році справа з “ключами Рябошапки” через п’ять років знову примушує з великим скепсисом ставитись до відсутньої реакції державних органів на підпис під петицією Joe Biden, наголошує Володимир Фльонц. Якщо джерело походження цього підпису не буде оприлюднене, якщо відповідні посадові особи не понесуть покарання — жоден з електронних сервісів в Україні не зможе заслуговувати на довіру. Зрештою, коли таку махінацію можна безкарно провернути з офіційним веб-сайтом Президента України, то чому не можна з іншими державними сервісами?
Різниця у використанні ЕЦП за кордоном та в Україні
Правові основи застосування та визнання ЕЦП в країнах ЄС врегульовані регламентом No 910/2014.
Модель ЄС була закладена і в основу національного законодавства про довірчі послуги в Україні. Тому з юридичної точки зору, Україна готова до інтеграції до єдиного цифрового ринку ЄС. Проте практика реалізації норм закону в ЄС і практика, яка склалась в Україні, має кілька відмінностей.
“З технологічної точки зору, ЕЦП базується на низці математичних функцій, які по суті є ідентичними і стандартизованими в всьому світі. Проте, крім математичних алгоритмів, ЕЦП реалізується на певному програмному забезпеченні і апаратних пристроях, які мають забезпечити достатній рівень захисту персональних ключів ЕЦП та унеможливити їх перехоплення і застосування третіми особами. Саме в практичній реалізації є відмінності між практикою в Україні та ЄС. Для того, щоб послуга ЕЦП отримала статус кваліфікованої в ЄС, вся архітектура має бути реалізована на обладнанні та програмному забезпеченні, яке відповідає рівню безпеки EAL4+ відповідно до міжнародної системи сертифікації захисту інформації Common Criteria. Стандарт Common Criteria в Україні не застосовується, а отже українські ЕЦП технологічно і юридично не можуть бути визнані в ЄС як тотожні їх розумінню безпеки згідно eIDAS”, — зазначає Олександр Царук, дослідник із Університету Вест Вірджинії, США.
Для прикладу, при застосуванні КЕП особистий ключ має зберігатись в сертифікованому носії, яким може бути спеціальний токен, хмарне сховище, або мобільний пристрій.
Для того, щоб такий ЕЦП був визнаний кваліфікованим, все програмне і апаратне забезпечення носія ключової інформації має відповідати рівню безпеки EAL5+. А якщо ключ зберігається у мобільному пристрої, то операційна система, додаток, що працює із ЕЦП, та спеціальне сховище на мобільному пристрої повинні бути сертифіковані.
Що робити?
Українські кваліфіковані ЕЦП не відповідають європейським стандартами безпеки, і вочевидь є аналогами удосконаленого цифрового підпису який широко застосовується в ЄС, але має нижчий правовий статус. Це дозволяє вітчизняним виробникам та надавачам електронних довірчих послуг суттєво зекономити на вартості обладнання та сертифікації, проте ціною зниження рівня безпеки.
Тому держава повинна впровадити правильну сертифікацію відповідно до міжнародних стандартів Common Criteria (ЄС) та FIPS-140 (США) і суворо дотримуватися вимог, зазначених в цих стандартах. Оскільки зараз, якщо людина придбала кваліфікований електронний підпис, держава не може гарантувати його безпеку.
Що стосується кінцевих замовників, то рекомендується повністю виключити використання УЕП, а застосовувати тільки КЕП. Також не варто купувати дешеві пристрої, оскільки вони не будуть надійно захищені.
До того ж, різниця в ціні між якісними і неякісними токенами становить всього кілька доларів.
Окремо варто торкнутися теми хмарних ЕЦП, наприклад, таких як SmartID від Приватбанку, що за рівнем захисту прирівнюється до КЕП. В Приватбанку стверджують, що “зберігання ключів в файлах на порядок небезпечніше, ніж зберігання їх в сервісі SmartID на стороні банку.
Загалом з цим важко не погодитися. Втім, у будь-якої системи є не тільки сильні, а слабкі сторони. Cеред таких — централізованість системи зберігання ключів. Тобто якщо зловмисник отримає несанкціонований доступ до HSM (Hardware Security Module – пристрій для зберігання та управління електронними ключами) — то він буде мати доступ відразу до всіх ключів, що є на ньому. Саме тому до таких пристроїв висуваються високі вимоги з безпеки зберігання та використання ключів ЕЦП. Щоб такий HSM міг виконувати функції хмарного КЕП, він має бути сертифікований відповідно до директив з безпеки ЄС не нижче рівня EAL5+, а Україна, як ми зазначали раніше, значно відстає в практичному застосуванні стандартів Common Criteria.
Доречі, саме через відсутність в Україні сертифікації за цими стандартами виникатиме й проблема обміну електронного документообігу між Україною та країнами Європейського Союзу, оскільки документи, підписані хмарним HSM в Україні, не визнаватимуться в країнах ЄС.
Іншим аспектом цієї проблеми є відмовостійкість: якщо пристрій буде виведений з ладу — одночасно всі користувачі втратять доступ до своїх ключів. Ця проблема вирішується завчасним та надійним резервуванням.
Таким чином, перекладання відповідальності з безпеки власних ключових даних на третю сторону, як то HSM, тягне за собою ряд ризиків і задач, які почасти є складними до вирішення технічно. Крім того, рівень відповідальності КНЕДП тут набагато більший, ніж у випадку з персональним ключем, яким користувач володіє фізично, і вимагає додаткових засобів регуляції і контролю з боку держави, а також глибоких досліджень експертної та наукової спільноти.
Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.
Source: tech.liga.net
Завдяки своєму таланту, завзяттю та відданості справі, Дмитро став невід’ємною частиною інформаційного ландшафту України на сайті Новини України. Його журналістська робота – це не лише розповідь про події, але й спроба змінювати світ навколо, роблячи його кращим та зрозумілішим для всіх.
