Передача закрытых ключей ЭЦП


Всем привет!

В этой статье мы обсудим что именно является передачей закрытых ключей ЭЦП, почему это плохо и какие может иметь юридические последствия.

Закрытый ключ ЭЦП - это блок компьютерных данных который математически связан с открытым ключом ЭЦП и с помощью которого вычисляется электронная цифровая подпись под электронным документом, именно на ограничении доступа к закрытому ключу основывается технология ЭЦП. Закрытый ключ должен быть доступен исключительно тому субъекту, для которого выпущен сертификат или регистрационное свидетельство с соответствующим открытым ключом.

Следующая схема демонстрирует взаимосвязи:

graph TD privateKey[Закрытый ключ ЭЦП] publicKey[Открытый ключ ЭЦП] userData["Данные о субъекте (ИИН, ФИО, БИН и т.п.)"] document[Документ] signature[ЭЦП под документом] sign{{Криптографический алгоритм формирования подписи}} verify{{Криптографический алгоритм проверки подписи}} verificationResultGood(["Положительный результат проверки"]) verificationResultBad(["Отрицательный результат проверки"]) subgraph confidential["Строго конфиденциальные данные"] privateKey end style confidential fill:red privateKey <-.->|связаны математически| publicKey subgraph certificate["Сертификат или регистрационное свидетельство"] userData publicKey end privateKey --> sign document --> sign sign --> signature publicKey --> verify document --> verify signature --> verify verify --> verificationResultGood & verificationResultBad style verificationResultGood color:green style verificationResultBad color:red

Рекомендуем ознакомиться со статьей Что такое ЭЦП? для того, чтобы лучше понимать эту технологию.

Когда мы обсуждаем передачу закрытых ключей, то в первую очередь речь заходит про пункт 5. Статьи 640. Кодекса Республики Казахстан “Об административных правонарушениях”:

5. Незаконная передача закрытого ключа электронной цифровой подписи другим лицам – влечет штраф на физических лиц в размере десяти, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере пятнадцати, на субъектов среднего предпринимательства – в размере тридцати, на субъектов крупного предпринимательства – в размере ста пятидесяти месячных расчетных показателей.

Обратите внимание на то, что речь идет не о хранении и не о передаче для хранения, а о любой передаче закрытого ключа электронной цифровой подписи.

Так же стоит иметь в виду и пункт 4. той же статьи:

4. Непринятие владельцем регистрационного свидетельства мер для защиты принадлежащего ему закрытого ключа электронной цифровой подписи от неправомерного доступа и использования, а также по хранению открытых ключей в порядке, установленном законодательством Республики Казахстан, – влечет штраф в размере пятидесяти месячных расчетных показателей.

То есть ответственность предусмотрена даже в том случае, если передача произошла без ведома передающего.

Обратимся к Статье 10. Главы 3. Закона Республики Казахстан “Об электронном документе и электронной цифровой подписи”, пункт 1.:

1. Электронная цифровая подпись равнозначна собственноручной подписи подписывающего лица и влечет одинаковые юридические последствия при выполнении следующих условий:

и далее

2) лицо, подписавшее электронный документ, правомерно владеет закрытым ключом электронной цифровой подписи;

А так же к пункту 2. той же статьи:

2. Закрытые ключи электронной цифровой подписи являются собственностью лиц, владеющих ими на законных основаниях.

и далее

Закрытые ключи электронной цифровой подписи не могут быть переданы другим лицам.

Таким образом передача закрытых ключей ЭЦП не только является административным правонарушением, но так же нарушает одно из условий обеспечивающих равнозначность электронной цифровой подписи собственноручной подписи.

Рассмотрим что может быть интерпретировано как передача закрытого ключа ЭЦП с технической точки зрения (важно понимать это примеры, а не исчерпывающий список):

  • физическое лицо передает свои ключи ЭЦП другому физическому лицу для того, чтобы второе физическое лицо выполняло от имени первого какие-либо действия в государственных и иных информационных системах, либо подписывало электронные документы - это явная передача ключей ЭЦП;
  • первый руководитель юридического лица передает свои ключи ЭЦП первого руководителя своему доверенному сотруднику для того, чтобы он подписывал от имени юридического лица электронные документы, либо выполнял какие-либо действия в государственных и иных информационных системах - это так же явная передача ключей ЭЦП, так как ключи ЭЦП сотрудника юридического лица являются собственностью именно этого сотрудника, ведь в них указан его ИИН, детальнее про ключи ЭЦП юридических лиц читайте в статье Что такое ЭЦП юридического лица и зачем нужны полномочия?;
  • информационная система в рамках регистрации пользователей или в рамках настройки личного кабинета предлагает пользователям загрузить на свои сервера ключи ЭЦП этих пользователей для хранения и вычисления цифровых подписей под документами - это явное нарушение, так как ключи ЭЦП более не находятся под контролем их законных владельцев и законные владельцы более не могут быть уверены в том, что из ключи ЭЦП не используются неправомерно;
  • организация разрабатывает информационную систему и для автоматизации подписания некоторых типов документов, к примеру справок, размещает ключи ЭЦП первого руководителя или ответственного лица на сервере данной информационной системы - аналогично, ведь не смотря на то, что информационная система разработана сотрудниками организации, либо по заказу организации, ключи ЭЦП первого руководителя и ответственных сотрудников являются их личной собственностью и не могут быть переданы другим сотрудникам для настройки и использования в программном обеспечении, к которому последние имеют доступ;
  • мобильное приложение предлагает пользователям загружать ключи ЭЦП в память приложения, а далее передает эти ключи ЭЦП на свои сервера для того чтобы автоматически подписывать технические запросы к другим информационным системам - не зависимо от того, осуществляется ли передача закрытых ключей ЭЦП путем передачи флешки или через веб интерфейс информационной системы, либо через мобильное приложение, это все еще передача закрытых ключей ЭЦП;
  • информационная система предлагает пользователям через веб интерфейс или мобильное приложение указать ключи ЭЦП для выполнения каких-либо действий от имени этих пользователей, при этом информационная система не загружает на свои сервера ключи ЭЦП пользователей для хранения, но периодически выкачивает их для формирования цифровых подписей на стороне своих серверов - не смотря на то, что а данном случае не осуществляется хранения ключей ЭЦП на серверах информационной системы, передача закрытых ключей ЭЦП все еще имеет место.

Что не является передачей закрытого ключа ЭЦП:

  • пользователи подписывают документы в информационной системе с помощью приложения NCALayer, при этом пользователи используют свои собственные ключи ЭЦП, которыми владеют на законных основаниях;
  • пользователи подписывают документы в информационной системе с помощью мобильных приложений eGov mobile/business, при этом используют свои собственные мобильные устройства и свои собственные ключи ЭЦП, которыми владеют на законных основаниях;
  • пользователи хранят свои ключи ЭЦП на защищенных носителях, к примеру на устройствах KAZTOKEN, при этом они не передают свои устройства другим лицам;
  • закрытые ключи ЭЦП пользователей хранятся в специализированном удостоверяющем центре - так называемое облачное ЭЦП регламентируется Законом, в частности в пункте 2. Статьи 10. Главы 3. Закона Республики Казахстан “Об электронном документе и электронной цифровой подписи” “Допускается хранение закрытых ключей электронной цифровой подписи в удостоверяющем центре в соответствии с правилами создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре.”.

Никто не хочет неожиданно узнать о том, что определенный объем документов компании за последние несколько лет больше не попадает под действие Закона, то есть не “равнозначны подписанным документам на бумажном носителе” и подписи под ними не “равнозначны собственноручным подписям подписывающего лица и влекут одинаковые юридические последствия”.

Подводя черту рекомендуем при переходе на электронные документы не пытаться играть в игры с Законом и не использовать технические уловки для недальновидного упрощения пользовательского опыта. Особенно в том случае, если для Вас важно чтобы Ваши электронные документы продолжали обладать юридической значимостью в течении всего срока их действия.