Роз’яснення законодавства у сфері ЕДП

Використання кваліфікованих та удосконалених е-підписів

Закон України «Про електронні довірчі послуги» (далі — Закон) регулює використання кваліфікованих е-підписів (далі — КЕП) та удосконалених е-підписів (УЕП).

Так, Закон визначає, що:

КЕП — це УЕП, який створюється з використанням засобу КЕП і базується на кваліфікованому сертифікаті;

УЕП — це е-підпис, створений внаслідок криптографічного перетворення е-даних із використанням засобу УЕП, який дає змогу здійснити е-ідентифікацію підписувача та виявити порушення цілісності е-даних, з якими пов’язаний цей е-підпис.

Отже, КЕП є різновидом УЕП, що забезпечує найвищий рівень захисту і відповідно довіри до е-ідентифікації.

Відрізняє один різновид е-підпису від іншого:

  • вид носія, на якому зберігається особистий ключ е-підпису;
  • вид сертифіката.

Особистий ключ КЕП може зберігатися лише у файловому носії, що забезпечує захист від доступу до особистого ключа сторонніх осіб та унеможливлює його копіювання за допомогою спеціального програмного забезпечення (засіб КЕП).

Засіб КЕП — це, як правило, спеціальна захищена флешка, проте є й інші формфактори засобів КЕП. На такому носієві, крім особистого ключа КЕП, нічого більше зберігатися не може.

Зазвичай засіб КЕП коштує дорожче, ніж звичайна флешка, а придбати його можна в одного з надавачів е-довірчих послуг, перелік яких наведено на порталі центрального засвідчувального органу.

Засіб КЕП є засобом криптографічного захисту інформації та мусить мати експертний висновок за результатами державної експертизи у сфері захисту інформації. Перелік таких засобів наведено на порталі Держспецзв'язку.

Крім того, 09 вересня 2019 року на порталі Держспецзв'язку розміщено роз’яснення з питань використання засобів е-підпису та печатки при наданні кваліфікованих е-довірчих послуг.

Другою особливістю КЕП, порівнюючи з іншими видами е-підпису, є наявність кваліфікованого сертифіката, який може бути сформований лише кваліфікованим надавачем е-довірчих послуг, що провадить свою діяльність із повним дотриманням вимог Закону.

Кваліфікований сертифікат формується на основі надійної ідентифікації особи за умови її особистої присутності в надавача е-довірчих послуг.

Тож відповідно до Закону:

  • використання КЕП = високий рівень довіри до е-ідентифікації;
  • використання УЕП = середній рівень довіри до е-ідентифікації.

Потрібно зауважити, що КЕП вважається таким, що пройшов перевірку та отримав підтвердження, якщо, зокрема:

перевіркою встановлено, що відповідно до вимог Закону на момент створення КЕП був чинним кваліфікований сертифікат;

під час перевірки за допомогою кваліфікованого сертифіката отримано підтвердження того, що особистий ключ, який належить підписувачу, зберігається в засобі КЕП.

Кваліфіковані сертифікати обов’язково мають містити, серед іншого, відомості про те, що особистий ключ зберігається в засобі КЕП.

Отже, особистий ключ КЕП може зберігатися лише в засобі КЕП та має бути пов’язаним із кваліфікованим сертифікатом.

Якщо ви не впевнені, який саме різновид е-підпису у вас, перевірити це можна на порталах ДІЯ, ЦЗО та кваліфікованого надавача е-довірчих послуг державного підприємства «ДІЯ».

Звертаємо увагу, що вимога застосовувати лише КЕП (засіб КЕП + кваліфікований сертифікат) встановлена Законом лише для працівників держустанов, держреєстраторів, нотаріусів та інших суб’єктів, що здійснюють функції держреєстратора, під час реалізації ними повноважень, спрямованих на набуття, зміну чи припинення прав та/або обов’язків фізичної або юридичної особи.

Однак законами України можуть встановлюватися особливості е-ідентифікації в певних сферах суспільних відносин.

Потрібно також зауважити, що е-підпис не може бути визнаний недійсним та позбавлений можливості розглядатися як доказ у судових справах лише на тій підставі, що він має е-вигляд або не відповідає вимогам до КЕП.

З метою забезпечення доступності е-довірчих послуг для громадян та бізнесу Урядом ухвалено постанову від 03.03.2020 № 193 «Про реалізацію експериментального проекту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів» (далі — експериментальний проект).

Експериментальний проект забезпечив можливість використання УЕП, що базується на кваліфікованому сертифікаті, для здійснення е-взаємодії, е-ідентифікації та автентифікації осіб у разі, коли законодавством передбачено використання лише КЕП (засобу КЕП, кваліфікованих е-довірчих послуг) або засобу е-ідентифікації з високим рівнем довіри.

Проте експериментальним проектом визначено випадки, в яких не допускається використання УЕП, що базується на кваліфікованому сертифікаті.

Звертаємо увагу, що кваліфікований сертифікат, сформований для такого УЕП, не містить відомостей про те, що:

  • особистий ключ зберігається в засобі КЕП;
  • під час перевірки УЕП за допомогою кваліфікованого сертифіката надається підтвердження того, що особистий ключ не зберігається в засобі КЕП.

Отже, УЕП, що базується на кваліфікованому сертифікаті, є ще одним різновидом УЕП.

Цей різновид УЕП, як і КЕП, базується на кваліфікованому сертифікаті, проте його особистий ключ (на відміну від КЕП) не захищений від доступу до нього сторонніх осіб і його можна скопіювати. Це означає, що для використання такого виду е-підпису не потрібно придбавати спеціальний файловий носій для зберігання особистого ключа.

За результатами цьогорічного дослідження сфери е-довірчих послуг, лише 8,5% (у 2019 році) та 11,36% (у 2020 році) користувачів е-довірчих послуг використовували КЕП. Решта — УЕП, що базуються на кваліфікованих сертифікатах.

Крім того, постановою Уряду від 17.03.2021 № 227 «Про внесення змін до постанов Кабінету Міністрів України від 19 вересня 2018 р. № 749 і від 3 березня 2020 р. № 193», зокрема, до експериментального проекту внесено зміни.

Згідно із зазначеними змінами право використовувати УЕП, що базується на кваліфікованому сертифікаті, надано також працівникам держустанов – якщо використання таких підписів не має на меті реалізацію ними повноважень, спрямованих на набуття, зміну чи припинення прав та/або обов’язків фізичної або юридичної особи.

Реалізацію самого експериментального проекту продовжено до 05.03.2022. Надалі використання УЕП, що базується на кваліфікованому сертифікаті, має бути врегульоване змінами до Закону.