ДСТУ CWA 14365-1:2008 Настанова з використання електронних підписів. Частина 1. Юридичні та технічні аспекти (CWA 14365-1:2004, IDT)
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
НАСТАНОВА
З ВИКОРИСТАННЯ ЕЛЕКТРОННИХ ПІДПИСІВ
Частина 1. Юридичні та
технічні аспекти
(CWA
14365-1:2004, IDT)
ДСТУ CWA
14365-1:2008
Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2009
ПЕРЕДМОВА
1 РОЗРОБЛЕНО: Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20) та Інститут кібернетики ім. В.Глушкова НАН України
ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Гречко, канд. фіз.-мат. наук; О. Перевозчикова, чл.-кор. НАНУ, д-р фіз.-мат. наук (науковий керівник)
2 НАДАНО ЧИННОСТІ: наказ Держспоживстандарту України від 22 грудня 2008 р. № 488 з 2009-04-01
3 Національний стандарт відповідає CWA 14365-1:2004 Guide on the Use of Electronic Signatures — Part 1: Legal and Technical Aspects (Настанова з використання електронних підписів. Частина 1. Юридичні та технічні аспекти)
Ступінь відповідності — ідентичний (IDT)
Переклад з англійської (еn)
4 УВЕДЕНО ВПЕРШЕ
ЗМІСТ
Національний вступ
Передмова до CWA14365-1:2004
1 Сфера застосування
2 Посилання
2.1 Нормативні посилання
2.2 Довідкові посилання
3 Терміни та визначення понять та абревіатури
3.1 Терміни та визначення понять
3.2 Абревіатури
4 Електронний підпис з технічної та юридичної точок зору
4.1 Технічне визначення послуг захисту
4.2 Підписи з юридичної точки зору
4.2.1 Технічні та юридичні аспекти
4.2.2 Підписи з функціональної точки зору
4.2.3 Потреба нетехнічного доказу
4.2.4 Особливості функціональних підписів
5 Порівняння визначень підписів
5.1 Термін та визначення поняття цифровий підпис
5.2 Термін та визначення поняття електронний підпис
5.3 Термін та визначення поняття розширений електронний підпис
5.4 Термін та визначення поняття кваліфікований електронний підпис
5.5 Юридична значимість різних видів електронного підпису
6 Випадки використання некваліфікованого електронного підпису
6.1 Компоненти кваліфікованих електронних підписів
6.2 Розширений електронний підпис без SSCD
6.3 Розширений електронний підпис без посиленого сертифіката
6.4 Цифровий підпис без подання даних
7 Доказ для електронних підписів
7.1 Докази, наявні у підписаних даних
7.2 Наявні у сертифікаті докази
7.3 Докази, наявні у політиці сертифікації та/або CPS
7.4 Доказ щодо статусу сертифіката
7.5 Докази, наявні у політиці підписання
7.6 Доказ в органі реєстрації
7.7 Доказ недоступності через підписане повідомлення
НАЦІОНАЛЬНИЙ ВСТУП
Цей стандарт є тотожний переклад CWA 14365-1:2004 Guide on the Use of Electronic Signatures — Part 1: Legal and Technical Aspects (Настанова з використання електронних підписів. Частина 1. Юридичні та технічні аспекти).
Технічний комітет, відповідальний за цей стандарт в Україні, — «Інформаційні технології» ТК 20.
Сфера застосування цього стандарту охоплює електронні цифрові підписи, що не виконують усі визначені у статті 5.1 Директиви Європарламенту 1999/93/ЕС вимоги до кваліфікованих електронних підписів. Тому в стандарті проаналізовано розбіжності між криптографічним механізмом цифрових підписів, кваліфікованих електронних підписів (відповідно до статті 5.1 Директиви) й електронних підписів (відповідно до статті 5.2 Директиви) у середовищах електронної комерції або в інших сферах, які потребують засобів автентифікації.
До стандарту внесено такі редакційні зміни:
— слова «CWA 14365» замінено на «цей стандарт»;
— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ» «Терміни та визначення понять», першу сторінку та «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;
— у розділі 2 «Посилання» наведено «Національне пояснення», виділену в тексті рамкою;
— у «Передмові CWA 14365-1:2004» наведено «Національну примітку», виділену в тексті рамкою;
— у розділі 6 текст «Error! Objects cannot be created from field codes» замінено словом «Рисунок».
Копії міжнародних стандартів, на які є посилання в цьому стандарті можна замовити у Головному фонді нормативних документів.
ПЕРЕДМОВА ДО CWA 14365-1:2004
Успішне впровадження Директиви 1999/93/ЕС Європарламенту від 13 грудня 1999 р. у комунікаційному середовищі для електронних цифрових підписів (Dir. 1999/93/ІЕС) вимагає стандартів для послуг, процесів, систем і продукції, які стосуються ЕЦП, як і настанов для оцінювання відповідності таких послуг, процесів, систем і продукції.
У 1999 р. Європейська ІСТ Рада стандартів, за підтримки Єврокомісії, ініціативно звела разом промисловість і громадські органи, експертів й інших гравців ринку, щоб запровадити Європейську Ініціативу стандартизації електронних цифрових підписів (EESSI).
У рамках цієї структури Європейський комітет стандартизації/ Система стандартизації інформаційного суспільства (CEN/ISSS) та Інститут європейських стандартів телекомунікації/ Інститут електронних підписів та інфраструктури (ETSI/ES!) довірили виконання робочої програми для розвитку загальноприйнятих стандартів на підтримку виконання Директиви 1999/93/ЕС і поширення Європейської інфраструктури ЕЦП.
Робоча група CEN/ISSS з електронних підписів (WS/E-SIGN) напрацювала набір комплектувальних вузлів, тобто Угоди робочої групи CEN (CWA), які зробили свій внесок у напрямку цих загальновизнаних стандартів. Цей документ одна з таких CWA.
Мета цієї серії CWA полягає в забезпеченні настанови з використання електронних підписів. Дотепер у фокусі розгляду найчастіше перебували «кваліфіковані електронні підписи», визначені в статті 5.1 Директиви 1999/93/ЕС, побічним ефектом чого стало те, що вимоги про використання загальних електронних підписів (так званих «5.2 підписів») в електронній комерції розглянуто недостатньо.
Тому мета цієї частини CWA полягає в описі загальних юридичних і технічних аспектів електронних підписів, і в такий спосіб розширенні роботи над сценаріями електронної комерції, з особливою увагою до технології з високою здатністю розгортання, що викликає довіру без потреби у задоволенні всіх строгих вимог до «5.1 підписів».
Цю частину CWA призначено для використання юридичними й технічними експертами в сфері електронних підписів, а також розробниками систем і продуктів у цій сфері.
Серія CWA складається з таких частин:
— Частина 1. Юридичні та технічні аспекти.
— Частина 2. Профіль захисту для програмних засобів накладання підпису.
Версію цієї частини CWA видано в березні 2004 року.
З переліком осіб і організацій, які підтримали технічну угоду, представлену цією CEN, можна ознайомитися в Центральному секретаріаті CEN.
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
НАСТАНОВА З ВИКОРИСТАННЯ ЕЛЕКТРОННИХ ПІДПИСІВ
Частина
1. Юридичні та технічні аспекти
РУКОВОДСТВО
ПО ИСПОЛЬЗОВАНИЮ ЭЛЕКТРОННЫХ ПОДПИСЕЙ
Часть
1. Юридические и технические аспекты
GUIDE
ON THE USE OF ELECTRONIC SIGNATURES
Part 1.
Legal and Technical Aspects
Чинний від 2009-04-01
1 СФЕРА ЗАСТОСУВАННЯ
Директива 1999/93/ЕС Європарламенту від 13 грудня 1999 р. за структурою співтовариства для електронних підписів [Dir.1999/93/EC] — тут і далі Директива — встановлює правові рамки для електронних підписів і послуг сертифікації, щоб сприяти їхньому офіційному визнанню. Як визначено у статті 5.1, електронні підписи, що задовольняють певні якісні показники, так звані кваліфіковані електронні підписи, виконують вимоги до рукописних підписів. У статті 5.2 наведено підсумкову умову, коли електронним підписам не відмовлено у юридичній ефективності й допустимості як доказу у процесуальних діях, навіть якщо не виконано якісних показників кваліфікованих електронних підписів.
Сфера застосування цього стандарту охоплює електронні підписи, що не задовольняють усі визначені у статті 5.1 Директиви вимоги до кваліфікованих електронних підписів. Тому в стандарті проаналізовано розбіжності між криптографічним механізмом цифрових підписів, кваліфікованими електронними підписами (відповідно до статті 5.1 Директиви) й електронними підписами (відповідно до статті 5.2 Директиви). Крім того, щоб зазначити їхню ефективність у середовищах електронної комерції або в інших сферах, де необхідні заходи автентифікації, обговорено випадки використання електронних підписів, що не виконують деякі встановлені в статті 5.1 вимоги.
Крім випадків використання, обговорено доказ, надаваний електронними підписами. Електронні підписи й послуги сертифікації поділено на основні елементи, а потім наданий кожним елементом доказ обговорено з юридичної точки зору, щоб установити зв'язок між технічними елементами та їхнім юридичним ефектом.
Частина 2 цього стандарту містить профіль захисту (РР) для програмних засобів накладання підпису [SCDev-PP], що підходять для таких загальних електронних підписів. Цей профіль захисту потрібен за умовами загального критерію (СС) [ISO 15408]. Він заснований на [SSCD РР], розробленому як стандарт для засобів, здатних створювати кваліфіковані електронні підписи.
Хоча СС РР обрано, щоб підкреслити додану вартість незалежного оцінювання наданих SCDev заходів безпеки, інші критерії оцінки також можуть служити цій меті. Приклади таких критеріїв наведено в [FIPS 140-2] або [ITSEC].
2 ПОСИЛАННЯ
2.1 Нормативні посилання
Наступні нормативні документи містять умови, які через посилання в цьому тексті становлять умови цього стандарту; ці публікації не застосовують до застарілих посилань, наступних змін або переглядів. Однак сторони, дійшовши угод, заснованих на цьому стандарті, можуть вивчити можливість застосування нових випусків зазначених нижче нормативних документів. Для недатованих посилань наведено останні видання нормативного документа.
[Dir. 1999/93/ЕС] Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a community framework for electronic signatures
[SSCD PP] CEN/ISSS WS/E-Sign Workshop Agreement 14169: Security Requirements of Secure Signature Creation Devices (SSCD), March 2002
[SCDev-PP] CEN/ISSS WS/E-Sign Workshop Agreement 14365-2: Protection Profile for Software Signature-Creation Devices
[ISO 15408] ISO/IEC 15408-1 to 15408-3: Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model, Part 2: Security functional requirements, Part 3: Security assurance requirements, 1999.
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
[Dir.1999/93/EC] Директива 1999/93/ЕС Європарламенту від 13 грудня 1999 p. про комунікаційне середовище для електронних підписів
[SSCD РР] CEN/ISSS WS/E-Sign Угода симпозіуму 14169: Вимоги безпеки для безпечних засобів накладання підписів (SSCD), березень 2002
[SCDev-PP] CEN/ISSS WS/E-Sign Угода симпозіуму 14365-2: Профіль захисту для програмних засобів накладання підписів
[ISO 15408] від ISO/1EC 15408-1 до 15408-3: Інформаційні технології. Методи захисту. Критерії оцінювання ІТ-безпеки. Частина 1. Вступ і загальна модель, Частина 2. Функціональні вимоги безпеки, Частина 3. Вимоги гарантій безпеки, 1999.
2.2 Довідкові посилання
[CWA14170] CEN/ISSS WS/E-Sign Workshop Agreement 14170: Security Requirements for Signature Creation Applications
[CWA 14171] CEN/ISSS WS/E-Sign Workshop Agreement 14171: Procedures for Electronic Signature Verification
[EEC 1980/934] Convention on the law applicable to contractual obligations opened for signature in Rome on 19 June 1980, 80/934/EEC, Official Journal L266
[FIPS 140-2] NIST: Security Requirements for Cryptographic Modules, Federal Information Processing Standard FIPS PUB 140-2, 2001
[HCCH] Hague Conference on Private International Law: Status of the Hague Conventions, online avail, at http://www.hcch.net/
[ISO 10181-2] ISO/IEC 10181-2: Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework, 1996
[ISO 10181-4] ISO/IEC 10181-4: Information technology — Open Systems Interconnection — Security frameworks for open systems: Non-repudiation framework, 1997
[ISO 13888-1] ISO/IEC 13888-1: Information technology — Security techniques — Non-repudiation — Part 1: General, 1997
[ISO 7498-2] ISO 7498-2: Information processing systems — Open Systems Interconnection — Basic Reference Model — Part 2: Security Architecture, 1989
[ITSEC] Commission of the European Communities: Information Technology Security Evaluation Criteria (ITSEC), Version 1.2,1991
[TS 101456] ETSI: Policy requirements for certification authorities issuing qualified certificates, TS 101 456, v1.1.1, January 2002
[TS 101733] ETSI: Electronic Signature Formats», ETSI TS 101 733, vl.2.2, December 2000
[TS 101862] ETSI: Qualified Certificate Profile, ETSI TS 101 862, v1.2.1, June 2001
[TS 101903] ETSI: XML advanced Electronic Signatures, ETSI TS 101 903, vl.1.1, February 2002
[TS 102 038] ETSI: XML Formats for Signature Policies, ETSI TR 102 038 vO.O.3, December 2001
[UNCISG] United Nations: United Nations Convention on Contracts for the International Sale of Goods, 1980
[SMIME] B, Ramsdelf: S/MIME Version 3 Message Specification, RFC 2633,1999
[SSL] A.O. Freier, P. Karlton, P.C, Kocher: SSL Protocol, Version 3.0. Netscape Communications Corp., 1996
[TLS] T. Dierks and C. Allen: The TLS Protocol Version 1.0, RFC 2246,1999.
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
[CWA 14170] CEN/ISSS WS/E-Sign Угода симпозіуму 14170: Вимоги безпеки для застосувань для створення підпису
[CWA14171] CEN/ISSS WS/E-Sign Угода симпозіуму 14171: Процедури для верифікації електронних підписів
[ЕЭС 1980/934] Конвенція про закон, застосовний до договірних зобов'язань, відкритих для підписів у Римі 19 червня 1980, 80/934/ЕЕС, Офіційний журнал L266
[FIPS 140-2] NIST: Вимоги безпеки для криптографічних модулів, Федеральний стандарт оброблення інформації FIPS PUB 140-2,2001
[НССН] Гаапська конференція з міжнародного цивільного права: Статус Гаазької угоди, онлайн допомога. в http://www.hcch.net/
[ISO 10181-2] ISO/IEC 10181-2: Інформаційні технології. Взаємозв’язок відкритих систем. Безпечне середовище відкритих систем: Середовище автентифікації, 1996
[ISO 10181-4] ISO/IEC 10181-4: Інформаційні технології. Взаємозв'язок відкритих систем. Безпечне середовище відкритих систем: Середовище неспростовності, 1997
[IS013888-1] ISO/IEC 13888-1: Інформаційні технології. Методи захисту. Неспростовність. Частина 1. Загальні положення, 1997
[ISO 7498-2] ISO 7498-2 Системи оброблення інформації. Взаємозв’язок відкритих систем. Базова еталонна модель. Частина 2. Архітектура безпеки, 1989
[ITSEC] Єврокомісія: Критерії оцінювання ІТ-безпеки (ITSEC). Версія 1.2,1991 [TS 101456] ETSI: Вимоги політики для органів сертифікації, що випускають посилені сертифікати, TS 101 456, VI. 1.1, Січень 2002
[TS 101733] ETSI: Формати електронних підписів, ETSI TS 101 733, версія 1,2.2, грудень 2000
[TS 101862] ETSI: Профілі посилених сертифікатів, ETSI TS 101 862, версія 1.2.1, червень 2001
[TS 101903] ETSI: XML-просунуті електронні підписи, ETSI TS 101 903, версія 1.1.1, лютий 2002
[TS 102 038] ETSI: XML-формати для політик підписів, ETSI TS 102 038 v версія 0.0.3, грудень 2001
[UNCISG] Організація Об'єднаних Націй: Конвенція ООН з контрактів для міжнародного продажу товарів, 1980
[SMIME] В, Ramsdell: Специфікація повідомлення S/MIME версії З, RFC 2633,1999
[SSL] А.О. Freier, P. Karlton, P.C. Kocher: Протокол SSL, версія 3.0F. Netscape Communications Corp., 1996
[TLS] T. Dierks и С. Аллен: Протокол TLS, версія 1.0, RFC 2246,1999.
Повна версія документа доступна в тарифі «ВСЕ ВРАХОВАНО».