публікації

Мокрі, електронні, кваліфіковані

02/04/2021

Олександр Мельник

Радник, адвокат

Захист даних і приватність,
Інформаційні технології,
Праця та зайнятість,
Телекомунікації, медіа і технології

З розвитком інтернету традиційні підписи перестали бути головним засобом віддаленої ідентифікації. Все більш поширеними стають електронні підписи: одноразові ідентифікатори, паролі, PIN коди, удосконалені, кваліфіковані підписи (КЕП) тощо. Пандемія ще більше посилила їхні позиції. Щоб зрозуміти природу електронних підписів, для початку розберемося, яка суть традиційних “мокрих” підписів.

Цивільне законодавство часто говорить про письмову форму правочину, але не визначає сам “підпис”. Єдине законодавче визначення ми знайшли в нечинній інструкції Генпрокуратури 2010 року: це “реквізит службового документа, який надає документу юридичної сили і свідчить про відповідальність особи за його зміст”. Читаючи це, можна уявити ритуал, в якому таємнича юридична сила витікає зі стержня кулькової ручки. А от про “відповідальність особи про зміст документа” зафіксуємо – це нам допоможе розібратися далі.

Професор Кріс Рід у своїй статті пише, що не так важливо, як виглядає і що собою являє ваш підпис – хрестик, ініціали, чи ім’я, виведене друкованими літерами. Підпис – це радше дія, ніж сам об’єкт на папері. Вона слугує підтвердженням трьох важливих елементів:

  1. особи підписувача;
  2. факту доступності документа підписувачу;
  3. наміру підписувача прийняти зміст документа (те ж, що і “відповідальність особи за зміст документа”).

Застосуємо це на прикладі мокрого підпису:

  1. почеркознавча експертиза або свідки можуть підтвердити, хто підписав документ, або, принаймні, підтвердити, хто його не підписував;
  2. підписувач бачив документ, бо на ньому стоїть його мокрий підпис. Тут треба зробити застереження про цілісність документа – після проставлення підпису документ має залишатися незмінним, з тим же змістом та сторінками. Для цього деколи підписують кожну сторінку, а документ – прошивають;
  3. підписувач прийняв зміст документа, якщо він підписав його з власної волі.

Отже, традиційні підписи непогано справляються з цими трьома завданнями. Тепер поглянемо, як усе відбувається в електронному світі.

Електронні підписи

На відміну від традиційних, електронні підписи мають чітке визначення – це “електронні дані, які додаються підписувачем до інших електронних даних або логічно з ними пов’язуються і використовуються ним як підпис”. Наприклад, підпис внизу електронного листа – це електронні дані: літери, цифри, розділові знаки, які додаються до інших електронних даних – тексту листа, і використовуються як підпис. Тому, наше “з повагою, …” – це електронний підпис. При покупках онлайн ми ставимо позначку – електронні дані, які додаються до інших даних – клітинки, і використовуються як підпис – ”ставлячи позначку я погоджуюсь з Правилами”. Та ж історія з PIN кодом банківської картки, стилусом і планшетом в банку, паролем від фейсбуку тощо.

Скептичний читач зауважить, що в такий спосіб легко видати себе за іншу особу – підписатися Джорджем Соросом в імейлі чи купити щось на Розетці від імені Білла Гейтса. По-перше, не кожен отримувач, який ніколи не відправляв гроші нігерійському принцу, повірить в імейл від 90-річного філантропа. У другому випадку, Розетці все одно, хто її споживач, допоки він: а) платить з дійсної платіжної картки, і б) може забрати придбаний товар.

Через відносну простоту та низький рівень достовірності такі електронні підписи ще називають “простими”. Через їх різноманітність і широту вжитку немає якихось єдиних вимог для простих підписів. Водночас, існують особливі види електронних підписів, які більш достовірно підтверджують особу підписувача для таких випадків, як реєстраційні дії, укладення договору між юрособами чи подання звітності.

Удосконалені підписи

Криптографія – це наука про шифри. Завдяки їй існують особливі, більш надійні та варті довіри (звідси – “довірчі послуги”) електронні підписи. Так звані “удосконалені підписи” або УЕП містять інформацію про підписувача у зашифрованому вигляді. УЕП створюється двома ключами, які є шифрами із сотень випадкових символів. Зламати їх просто підібравши символи неможливо – сучасному комп’ютеру знадобиться для цього 300 трильйонів років. Перший ключ з пари називають публічним – він доступний будь-кому. Другий є приватним і відомий лише власнику пари ключів. Кожен з них є паролем до іншого – публічним ключем можна відкрити приватний і навпаки. Як це працює?

Ми отримали повідомлення від користувача “Білл Гейтс”, зашифроване його приватним ключем. Беремо відповідний публічний ключ у загальнодоступній бібліотеці і перевіряємо – якщо приватний ключ відкрився, тоді з нами дійсно спілкується четверта найбагатша людина світу. Тепер навпаки – зашифруємо певне повідомлення публічним ключем людини, якій хочемо передати інформацію без зайвих очей. Отримувач зможе відкрити його лише своїм приватним ключем з тієї ж пари, який відомий тільки йому. Тобто, тільки справжній власник ключів побачить розшифроване повідомлення. Завдяки цим властивостям публічних ключів, усе, що підтримує роботу УЕП, називають PKI або інфраструктурою публічного ключа (public key infrastructure).

Застосовуючи наш тест до УЕП, маємо наступні результати:

  1. підтвердження особи підписувача зашифроване у самому підписі – ключами шифрують повідомлення, в якому записані ім’я та податковий код їх власника;
  2. підписувач бачив документ, бо він містить його підпис. Після підписання такий документ неможливо змінити без компрометації підпису – такий собі аналог прошивання паперового документа;
  3. підписувач прийняв зміст документа, якщо наклав свій УЕП з власної волі.

Кваліфіковані підписи

Навіть з УЕП не можна бути певним, хто саме сидить по той бік екрану: хто створив цей підпис, хто є справжнім власником ключів, хто зашифрував інформацію про підписувача, і чи відповідає вона дійсності? Ці проблеми вирішує незалежна третя сторона – центри сертифікації. Спочатку вони особисто ідентифікують підписувача за його документами. Потім генерують пару ключів з підписом, в якому зашифровані перевірені дані підписувача, а також підпис (сертифікат) самого центру сертифікації. Цей сертифікат так само можна перевірити. Такий електронний підпис із сертифікатом називається кваліфікованим або КЕПом.

За українським законодавством, КЕП є повним еквівалентом традиційного підпису. Його застосування не потребує будь-якого погодження, а наявність такого підпису однозначно підтверджує особу підписувача, якщо підпис не було викрадено чи іншим чином скомпрометовано. Ризик компрометації є основною, якщо не єдиною, слабкістю КЕПів. Ми так само не знаємо, хто сидить по той бік екрана в момент використання КЕПу, але покладаємось на те, що приватний ключ відомий лише його власнику. Суди через це можуть виправдовувати очевидні зловживання “чорних” реєстраторів і нотаріусів, граючи в гру ”не надано доказів зворотного”

Тому, безпека є особливо важливою при користуванні КЕПом. По-перше, КЕПи мають зберігатися на особливих захищених пристроях – токенах, які неможливо зламати, тільки фізично викрасти. По-друге, користувачі КЕПів мають негайно інформувати центри сертифікації про факти компрометації – інакше дії вчинені з КЕПом вважатимуться юридично дійсними. По-третє, КЕПи видаються лише на 2 роки, після чого потрібно повторно проходити ідентифікацію.

Куди поділися ЕЦП?

Електронний цифровий підпис або ЕЦП – це дідусь КЕПу, заснований на старіших стандартах захисту даних. На відміну від КЕПу, який зберігається на захищеному токені, “файловий” ЕЦП традиційно лежав на робочому столі бухгалтера поруч з ЕЦП директора. Хоча законодавство України про електронні довірчі послуги було розроблене по зразку європейської Директиви eIDAS, ним не скасували всі ЕЦП одразу. Натомість, їх дію продовжили на перехідний період у 2 роки.

7 листопада 2020 року перехідний період закінчився – всі мали б перейти на КЕПи з токенами. Але апокаліпсису не сталось і налякані бухгалтери не штурмували центри сертифікації. Причина – експеримент Кабміну, який знову продовжив життя ЕЦП. На цей раз – до 31 грудня 2021 року, але вже з ребрендинговою назвою “удосконалений електронний підпис, який базується на кваліфікованому сертифікаті відкритого ключа” (УЕПБКСВК). Так, трохи складно, тому пояснимо його походження мемом:

Користуєтесь “КЕПом від ПриватБанку”? Значить ви добре знайомі з цим творінням. Як і ЕЦП, він має вигляд файлу в папці “Downloads”, на флешці чи робочому столі. А от юридичні наслідки від застосування такого “файлового ключа” такі ж самі, як і від КЕПу. Це дозволяє зловмисникам з доступом до комп’ютера чи флешки користуватися вашою цифровою ідентичністю – доведіть потім, що це не ви. Тому, кожного разу, коли ми користуємось “файловими ключами”, десь плаче один фахівець з кібербезпеки. Якщо вірити Кабміну, то реінкарнація ЕЦП завершиться уже наприкінці року. Хоча ми знаємо – немає нічого більш постійного, ніж тимчасове.

До чого це все?

Хтось скаже: “Окей, є різні види підписів – прості і складні, більш і менш безпечні, а що нам з цього?” В економіці є поняття “трансакційні витрати”, які зазвичай несуть перед укладенням договору. До них входять послуги юристів, бухгалтерів, нотаріусів, оцінщиків, банківські комісії та навіть вартість паперу, на якому надрукований договір. При купівлі квартири потрібно заплатити нотаріусу, оцінювачу, банку і Пенсійному фонду. З іншого боку, несучи трансакційні витрати, ми купуємо впевненість – нотаріус перевірив квартиру і посвідчив договір, оцінювач визначив справедливу ціну, а банк підтвердив, що гроші пішли, куди потрібно.

Чим менші трансакційні витрати, тим швидше працює економіка: більше договорів, більше економічних гравців, швидший оборот. На блокчейні квартири продавались б частіше без нотаріусів і зайвих витрат. Для мокрого підпису навпаки потрібен папір, який складають в папки і архівують, доставляють кур’єром чи поштою, везуть літаком через океан, щоб підписати, і так само везти назад. Все це витрати, які закладаються в ціну договору і сповільнюють економіку.

Електронні підписи вирішують ці проблеми. Чохол на телефон можна замовити з Китаю без підпису Джека Ма, для користування Фейсбуком не потрібен підпис Цукерберга, навіть декларацію з сімейним лікарем можна “підписати” кодом з SMS. Взяти мікрокредит чи замовити ноутбук на Розетці можна так само легко. У кожному з цих випадків все одно укладається договір з простим електронним підписом. Для більшої впевненості можна було б використовувати КЕПи, але з ними є дві проблеми.

По-перше, “українські” КЕПи не працюють в інших країнах – для цього потрібне міждержавне визнання. КЕПи з країн ЄС працюють у всіх 27-ми країнах Союзу, але з них мало користі у США та інших країнах. По-друге, КЕПи складні і незручні. Крім токенів, для них потрібні спеціальні програми: Вчасно, M.E.Doc тощо. Результат підписання не завжди очевидний для користувача (спойлер: печаточка “підписано ЕЦП” – це ще не КЕП). А ще він унеможливлює онлайн-анонімність. Захисник простих електронних підписів Стів Мейсон взагалі впевнений, що інтернет вимре, якщо КЕПи стануть обов’язковими. 

КЕПи використовують для звітності і взаємодії з державою. Дехто підписує ними договори та акти з контрагентами в Україні. Зовсім рідко КЕПи використовують для внутрішнього документообігу. Дещо простіші УЕПи практично не використовуються, хоча уряд чи приватні компанії могли б видавати їх своїм працівникам для підписання заяв і наказів чи користування службовою технікою. Це дешевше, ніж КЕП, а рівень достовірності “приватного” УЕПу достатній для закритої організації, де немає сторонніх осіб.

Прості електронні підписи хоч і домінують в електронній комерції та загалом в В2С, але практично не працюють в В2В. Кліком мишки можна купити телевізор за 100 тисяч гривень, але для договору з іноземною компанією на тисячу доларів потрібен мокрий підпис – інакше банк не пропустить платіж, а податкова скаже, що він нікчемний.

Розширяти межі використання простих електронних підписів – завдання Міністерства цифрової трансформації та судів. Це питання управління юридичною параноєю – тверезого співвідношення ризиків і користі для економіки. Державний реєстратор обов’язково використовує КЕП, але для чого він громадянину, який бере витяг з відкритого реєстру? Валютному відділу банку достатньо скан-копії договору з мокрими підписами, та чим вона краща за договір в DocuSign? Відсканований підпис – це ж теж простий електронний підпис: електронні дані, які додаються до інших даних… 

Олександр Мельник (так, це теж електронний підпис)
 

Що нового?

Найважливіша аналітика у вашій пошті.

більше аналітики

20/10/2020

Може здаватися, що кібербезпекою серйозно займаються лише в Пентагоні. Насправді ж, пов’язані з нею проблеми відомі Україні не лише з книжок...

Олександр Мельник

12/02/2020

У цьому дайджесті зібрано нещодавні проекти нормативно-правових актів, законодавчі зміни та роз'яснення, а також важливі судові рішення у сфері праці та зайнятості

Олександр Мельник, Оксана Войнаровська, Валерія Безпала