Завдання захисту ключів від підміни вирішується за допомогою сертифікатів. Сертифікат дозволяє засвідчити укладені в ньому дані про власника і його відкритий ключ підписом будь-якої довіреної особи. Існують системи сертифікатів двох типів: централізовані і децентралізовані. У децентралізованих системах шляхом перехресного підписування сертифікатів знайомих і довірених людей кожним користувачем будується мережа довіри. У централізованих системах сертифікатів використовуються центри сертифікації, підтримувані довіреними організаціями.
Центр сертифікації формує закритий ключ і власний сертифікат, формує сертифікати кінцевих користувачів і засвідчує їх автентичність своїм цифровим підписом. Також центр проводить відгук минулих і компрометованих сертифікатів і веде бази виданих та відкликаних сертифікатів. Звернувшись в сертифікаційний центр, можна отримати власний сертифікат відкритого ключа, сертифікат для іншого користувача і дізнатися, які ключі відкликані.
Закритий ключ є найбільш вразливим компонентом всієї криптосистеми цифрового підпису. Зловмисник, який вкрав закритий ключ користувача, може створити дійсний цифровий підпис будь-якого електронного документа від імені цього користувача. Тому особливу увагу потрібно приділяти способу зберігання закритого ключа. Користувач може зберігати закритий ключ на своєму персональному комп'ютері, захистивши його за допомогою пароля. Однак такий спосіб зберігання має ряд недоліків, зокрема, захищеність ключа повністю залежить від захищеності комп'ютера, і користувач може підписувати документи лише на цьому комп'ютері.
В даний час існують наступні пристрої зберігання закритого ключа :
· Дискети
· Смарт-карти
· USB-брелок
· Таблетки Touch-Memory
Крадіжка або втрата одного з таких пристроїв зберігання може бути легко помічена користувачем, після чого відповідний сертифікат може бути негайно відкликаний.
Найбільш захищений спосіб зберігання закритого ключа - зберігання на смарт-картці. Для того, щоб використовувати смарт-карту, користувачеві необхідно не тільки її мати, але й ввести PIN-код, тобто, виходить двофакторна аутентифікація. Після цього підписується документ або його хеш передається в карту, її процесор здійснює підписування хешу і передає підпис назад. У процесі формування підпису таким способом не відбувається копіювання закритого ключа, тому весь час існує тільки єдина копія ключа. Крім того, зробити копіювання інформації зі смарт-карти складніше, ніж з інших пристроїв зберігання.
Особистий ключ ЕЦП (надалі - особистий ключ) формується на підставі абсолютно випадкових чисел, які генеруються датчиком випадкових чисел, а відкритий - обчислюється з особистого ключа так, щоб отримати другий з першого було неможливо.
Особистий ключ є унікальною послідовністю символів завдовжки 264 біта, яка призначена для створення Електронного цифрового підпису в електронних документах. Працює особистий ключ лише в парі з відкритим ключем. Особистий ключ формується індивідуально для кожного Клієнта і його шифр знає лише його Власник (клієнт). Збереження конфіденційності цієї інформації повністю залежить від клієнта. Клієнт повинен самостійно забезпечити безпеку зберігання і використання особистого ключа щоб уникнути підробки його електронного цифрового підпису іншими особами.
Документ підписується ЕЦП за допомогою особистого ключа, який є в одному екземплярі лише у його власника. Цьому особистому ключу відповідає відкритий ключ, за допомогою якого можна перевірити відповідність ЕЦП її власникові. Зберігання особистих ключів клієнтів і ознайомлення з ними в центрі сертифікації ключів забороняється.
Призначення відкритого ключа
Відкритий ключ використовується для перевірки ЕЦП отримуваних документів (файлів). Відкритий ключ працює лише в парі з особистим ключем.
Відкритий ключ міститься в Сертифікаті відкритого ключа, і підтверджує приналежність відкритого ключа ЕЦП певній особі. Окрім самого відкритого ключа, Сертифікат відкритого ключа містить в собі персональну інформацію про його власника (ім'я, реквізити), унікальний реєстраційний номер, термін дії Сертифікату відкритого ключа.
Для забезпечення безпеки і виключення підміни відкритих ключів ТОВ "УСЦ" виробляє сертифікацію відкритих ключів ЕЦП шляхом підписання відкритого ключа користувача своїм секретним ключем.
Для підтвердження відповідності засобу ЕЦП встановленим вимогам власникові ключа підпису видається сертифікат ключа підпису, який містить наступні відомості:
¾ ім'я власника, інші ідентифікуючі дані;
¾ терміни дії ключа;
¾ унікальний номер сертифікату ключа підпису;
¾ найменування засобу ЕЦП, з яким використовується даний відкритий ключ;
¾ найменування і місцезнаходження Центру, що видав сертифікат ключа підпису;
¾ правовідносини, в яких ЕЦП має юридичного значення;
¾ дата видачі сертифікату;
¾ зведення про дію сертифікату.
Сертифікат ключа підпису в електронному вигляді, підписаний секретним ключем "Українського сертифікаційного центру", направляється користувачеві ключа підпису і вноситься (по його бажанню) до реєстру сертифікатів ключів підписів "Українського сертифікаційного центру".
Відповідно до вимог статті 5 Закону України від 22 травня 2003 року №852-IV,,Про електронний цифровий підпис” органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності для засвідчення чинності відкритого ключа використовують лише посилений сертифікат ключа. Стаття 3 цього Закону визначає, що електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису, тобто засобів електронного цифрового підпису, що мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.
Питання співпраці, зобов’язань та відповідальності між акредитованими центрами сертифікації ключів та платниками податків у сфері надання послуг ЕЦП регулюються договірними відносинами згідно діючого законодавства. Починаючи з червня 2006 року, для опрацювання технологічного процесу приймання податкової звітності в електронному вигляді, органами ДПС використовувалось безкоштовне програмне забезпечення накладання електронного підпису «Нотар». Для участі в проекті залучалися платники податків, з якими укладався договір "Про забезпечення електронного документообігу платника податків з Державною податковою інспекцією засобами телекомунікаційного зв'язку".
З метою дотримання вимог чинного законодавства, впровадження, налагодження та застосування безпаперових технологій подання податкової звітності в електронній формі, Державною податковою адміністрацією України затверджено Інструкцію з підготовки і подання податкових документів в електронному вигляді засобами телекомунікаційного зв’язку та Примірний договір про визнання електронних документів (наказ ДПА України від 10.04.08 №233,,Про подання електронної податкової звітності”, зареєстрований у Міністерстві юстиції України 16.04.08 за № 320/15011) та укладено договори про співпрацю з акредитованими центрами сертифікації ключів (далі – АЦСК), а саме: ТОВ,,Український сертифікаційний центр”, ЗАТ,,Інфраструктура відкритих ключів”, ТОВ,,Арт-мастер”, ДП,,Українські спеціальні системи”. Дані АЦСК відповідно до статті 9 Закону України „Про електронний цифровий підпис” пройшли акредитацію у центральному засвідчувальному органі, який визначений Кабінетом Міністрів України та мають право надавати послуги ЕЦП. Оскільки послуги цих АЦСК є платними, ДПА України були досягнуті домовленості із АЦСК щодо безкоштовного або за пільговими тарифами надання засобів ЕЦП платникам податків, які уклали договори з органами ДПС "Про забезпечення електронного документообігу платника податків з Державною податковою інспекцією засобами телекомунікаційного зв'язку". Надання засобів ЕЦП здійснюється АЦСК з 20.02.08 на підставі оригіналу договору, укладеного між заявником та відповідною ДПІ. Також вказаними АЦСК проводяться акції по розповсюдженню ключів електронного цифрового підпису по зниженим тарифам.
Виходячи з вищенаведеного та на виконання розпорядження Кабінету Міністрів України від 06.02.08 №262-р «Про заходи щодо удосконалення системи адміністрування податку на додану вартість» стосовно забезпечення відповідно до законодавства криптографічного і технічного захисту поданої платниками податків інформації та посилення контролю за дотриманням вимог до її конфіденційності, приймання податкової звітності в електронному вигляді підписаної за допомогою безкоштовного програмного забезпечення накладання електронного підпису «Нотар» буде припинено з 01 січня 2009 року, про що необхідно повідомити платників податків через інформаційні сайти регіональних ДПА, об’яви на інформаційних дошках та засобами Е-Маіl. Безкоштовне розповсюдження засобів ЕЦП серед платників податків буде впроваджено ДПА України після введення в експлуатацію власного акредитованого центру сертифікації ключів.