Научная статья на тему 'Компрометація особистого ключа електронного підпису (правовий аспект)'

Компрометація особистого ключа електронного підпису (правовий аспект) Текст научной статьи по специальности «Право»

CC BY
296
43
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
COMPROMISE / PERSONAL KEY / SIGNER / DIGITAL SIGNATURE

Аннотация научной статьи по праву, автор научной работы — Костенко О.В.

The article is devoted to the study of the concept of compromising the personal key of digital signature, the legal aspects of compromise in the context of the theory of law. The paper presents the concept of explicit and implicit compromise and the limits of their actions, as well as the legal consequences of compromise.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Компрометація особистого ключа електронного підпису (правовий аспект)»

КОМПРОМЕТАЦ1Я ОСОБИСТОГО КЛЮЧА ЕЛЕКТРОННОГО П1ДПИСУ (ПРАВОВИЙ АСПЕКТ)

Костенко О. В.

Укра!на, Ки!в, 1нститут специально! техники та судових експертиз Служби безпеки Украгни, астрант

ABSTRACT_

The article is devoted to the study of the concept of compromising the personal key of digital signature, the legal aspects of compromise in the context of the theory of law. The paper presents the concept of explicit and implicit compromise and the limits of their actions, as well as the legal consequences of compromise.

compromise, personal key, signer,

digital signature © 2018 The Author.

ARTICLE INFO_

Received 05 March 2018 Accepted 03 April 2018 Published 15 April 2018

KEYWORDS

Вступ, постановка проблеми. Значущим фактором сьогодення е с^мкий розвиток полггичних, економiчних, наукових, бiзнесових, торпвельних, шформацшних суспшьних вщносин яю безпосередньо впливають не тшьки на мiжнародний стан, а й на вщповщш процеси у конкретних крашах, а також на здшснення прав, задоволення штереив i потреб !х громадян та державних шституцш. Одшею з основних вимог при реалiзацii цих вщносин е швидкий обмш iнформацiею, вiдображеною в цифровому вигляд^ забезпечення ii актуальность надiйностi, цiлiсностi, оперативностi, iдентичностi, достовiрностi i повноти.

Потужнi iнформацiйнi комп'ютерш технологи створюють новi можливостi за рахунок використання цифрово' iнформацii (даних), що, в свою чергу, створюе новi суспiльнi вiдносини, якi виникають мiж суб'ектами правовiдносин пiд час: електронного обмшу iнформацiею (Electronic Data Interchange); електронного руху капiталу (Electronic Funds Transfer); електронно' торгiвлi (e-Trade); використання електронних грошей (e-cash); електронного маркетингу (e-market); електронного банкiнгу (e-banking); електронно' системи здоров'я (e-health) та в шших в сферах. Обмш шформащею здiйснюеться в процесi електронних транзакцш у формi електронних (цифрових) документа. Надшнють iнформацii пiд час обмшу забезпечуеться завдяки застосуванню довiрчих електронних послуг, а вимоги достовiрностi i цiлiсностi iнформацii - завдяки застосуванню алгоршмв цифрового криптографiчного захисту iз використанням технологii електронного пщпису. Однак, широке застосування цiеi технологи водночас виявило й правовi проблеми, пов'язаш iз використанням особистого ключа електронного тдпису. Одшею iз таких проблем е правова невизначенють дефшщи «компрометащя» особистого ключа електронного тдпису.

Якнайшвидше урегулювання проблеми правовоi невизначеносп дефiнiцii «компрометащя» та своечасне реагування права на ризики, як виникають або зумовлеш компрометацiею особистого ключа електронного тдпису, е наразi актуальною проблемою.

Мета статть Метою даноi статтi е: дослщження правових проблем, пов'язаних iз визначенням дефiнiцii «компрометацiя», як елемента понятiйного апарату в чинному законодавста, а також пропозици щодо формулювання дефiнiцii «компрометацiя особистого ключа».

Результати aH^i3y наукових публжацш. Питанням правового регулювання суспiльних вщносин, пов'язаних з використанням електронного тдпису займались таю вггчизняш вчеш Козiел Г., Петрицький А., Плескач В., Пономаренко Л., Штрко А., Янчева Л., Локшин А. та ш Серед iноземних вчених дану тему дослщжували: Масон С., Тiрi А., Венбо М., Петров А., Беззубцев О. За останш роки питання створення надiйних механiзмiв визнання електронних тдпиив порушували такi науковцi: Перевозчикова О. Л., Белов С. В., Горбенко I. Д., Потш О. В., Погорелов Б. А., Мелащенко А. О., однак, проблема компрометаци в контекст компрометацii особистого ключа електронного тдпису в Украш висвгглювалась

переважно в техтчному аспекта Так, у статп Белова С. В. «Моделi побудови нацiональноï шфраструктури центрiв сертифiкацiï ключiв та ïx ризики» висвiтлюються виключно наслiдки компрометацiï електронного пiдпису [1], а в публшацп Погорелова Б. А. «Щодо визначення основних криптографiчниx понять» наголошено на нейтралiзацiï загроз компрометаци для системи управлiння електронними ключами [2].

Разом з тим, на даний час недостатньо теоретичних праць та дослщжень в комплекс! питань, яю визначають дефшщда «компрометащя» особистого ключа електронного пщпису.

Результат дослiджень, виклад основних положень. Перш тж перейти до дослщження дефiнiцiï «компрометацiя особистого ключа» розглянемо юторда виникнення самого термiну «компрометащя» в правовш моделi суспiльно-правовиx вщносин, що регулюють сферу використання тдпису.

Розвиток телекомунiкацiйниx теxнологiй сприяв виникненню меxанiзмiв обмiну мiж користувачами документами в електроннш формi, якi мають юридичну значимiсть. Потреба в використанш та обмiнi такими документами була настшьки високою, що багато краш майже одночасно прийняли спецiальнi закони, що регулювали основи електронно1' торгiвлi та застосування електронних пiдписiв. Так, Свропейським парламентом та Радою 13 грудня 1999 року прийнято Директиву «Про систему електронних тдпиив, що застосовуеться в межах Ствтовариства», у США введено Закон «Про електронш тдписи в глобальнш i нащональнш комерцiï», Францiею затверджено Декрет «Про електронний тдпис», Нiмеччиною прийнято федеральний закон «Про цифровi пiдписи».

Однак на той час m в Украши, нi у бiльшостi краш не було практичного досвщу побудови систем електронних тдпиив як в оргашзацшному, так i в правовому аспекта Багато нацiональниx законiв розроблялись як моделi загальних правил використання електронних тдпиив. Практичне застосування вказаних законодавчих акнв виявило низку неврегульованих нормами права суспшьних вiдносин, пов'язаних з використанням електронного тдпису, в тому числ^ з вщсуттстю чггко1' дефiнiцiï «компрометацiя особистого ключа».

Слщ зауважити, що необxiднiсть створення ново1' дефiнiцiï «компрометацiя особистого ключа» зумовлена наявнютю таких причин.

По-перше, мiжнароднi законодавчi норми в галузi електронного тдпису не мають чггких, загальноприйнятих визначень поняття «компрометацiï». Термiн «компрометащя», в контекст «компрометацiя електронного тдпису», застосовано у Типовому законi ЮНС1ТРАЛ «Про електроннi пiдписи i Керiвництво iз прийняття рiшень» [3], прийнятого у Вiднi 5 липня 2001 року на 34-й сесп ЮНС1ТРАЛ, статтею 57 якого поняття «ненадшний сертифiкат» трактуеться як такий, особистий ключ якого «скомпрометовано» в наслщок втрати пiдписувачем контролю над ним. У США поняття «компрометащя» визначено Нащональним шститутом стандартiв i технологш (National Institute of Standards and Technology - NIST) як «неавторизоване розкриття, модифiкацiя, замiщення або використання конфщенщйних даних (включаючи криптографiчнi ключовi тексти та iншi данi Центру политики безпеки (CSP) [4] або неавторизоване розкриття, модифшащя, замiщення або використання конфщенщйних даних (наприклад, ключiв, метаданих та шшо1" iнформацiï, що стосуеться безпеки)» [5,6].

По-друге, впчизняне законодавство також по рiзному трактуе дефшщю «компрометацiя». Так, пунктом 26 статп 1 Закону Украши «Про електронт довiрчi послуги» визначено, що «компрометащя особистого ключа - будь-яка подiя та/або дiя, що призвела або може призвести до несанкщонованого використання особистого ключа [7]. Однак, таке ж саме тлумачення мютив i попереднш Закон Украши «Про електронний цифровий тдпис». Нажаль, таке визначення з одного боку не надае визначення як саме об'екти або суб'екти правових вщносин вчиняють вказат вище ди та як саме ди'/поди призводять до несанкщонованого використання особистого ключа, а з шшого боку невизначетсть дефiнiцiï створюе пщстави довiльного трактування вказано1' норми закону.

В той же час, украшсью техтчт спецiалiсти в галузi захисту iнформацiï запровадили кiлька варiантiв визначення «компрометацiя», як теxнiчного термшу. Так, Департаментом спецiальниx телекомунiкацiйниx систем та захисту шформацп Служби безпеки Украши у 1999 рощ при створеш НД ТЗ1 1.1.-003-99 «Термшолопя в галузi захисту iнформацiï в комп'ютерних системах вщ несанкцiонованого доступу» застосовано термш «компрометацiя» як «компрометащя (compromise) - це порушення политики безпеки; несанкцiоноване ознайомлення» [8]. Дане визначення «компрометаци» спрямоване на врегулювання деструктивних подш в œ^^i безпеки, пов'язаних iз порушенням чiткиx правил використання цифрових пщпишв. Проте, таке визначення не поширюеться на вщносини, що вiдбуваються ia

використанням особистого ключа поза межами визначеними политикою безпеки, а сам1 полгшки безпеки можуть суттево рiзнитися. Також, така дефшщш не пояснюе визначення «несанкщоноване ознайомлення».

Крiм того, наказом Державно1' служби спецiального зв'язку та захисту шформацп Украши вiд 20.07.2007 №141 «Про затвердження Положення про порядок розроблення, виробництва та експлуатацп засобiв криптографiчного захисту конфiденцiйноï шформацп та вГдкритш iнформацiï з використанням електронного цифрового тдпису» визначено бшьш розширене поняття компрометацiï - як будь-який випадок (втрата, розголошення, крадГжка, несанкцiоноване копiювання тощо) з ключовими документами (ключовими даними) та засобами криптографiчного захисту iнформацiï, який призвiв (може призвести) до розголошення (витоку) шформацп про них, а також шформацп, яка обробляеться та передаеться [9]. Без сумшву, це найбшьш вдале визначення «компрометаци», яке доцшьно покласти в основу дефшщи «компрометащя особистого ключа» та закршити на рiвнi законодавчого акта, що сприятиме чггкому застосуванню норм права.

По-трете, в украшському законодавствi склалася ситуащя, коли вiдсутнiсть дефiнiцiï «компрометацiя особистого ключа» в суспшьних вщносинах, яю регулюють сферу використання електронних ключiв, позбавила право ясностi та конкретики, ускладнивши процес його застосування, що зменшило довiру до електронних документа та правочишв, яю вчинили за допомогою електронних пiдписiв, про що свщчить судова практика.

За останш роки збiльшилася кiлькiсть правопорушень та злочишв, пов'язаних саме iз компрометащею та незаконним використанням особистих ключiв електронних пiдписiв. Переважна бiльшiсть злочишв iз використанням особистого ключа електронного тдпису скоет внаслiдок явноï компрометаци особистого ключа самим тдписувачем. Саме тдписувач1 створюють умови для компрометаци особистого ключа й подальшого його незаконного використання. Здебшьшого такi злочини здшснюються в банкiвськiй сферi, а також в галуз1 нотарiату та реестраци юридичних осiб. Прикладом е низка кримшальних справ, фiгуранти яких, будучи банювськими працiвниками, нехтували правилами полггик банкiвськоï безпеки, пiд рiзними приводами заволодiвали особистими ключами цифрових шдпишв сво1'х колег або тдлеглих та органiзували схеми незаконного заволодшня коштами клiентiв банкiв [10,11]. Мае мюце практика компрометацiï особистого ключа нотарiуса або реестратора пiд час вчинення правочишв. Так, непоодиною випадки компрометаци через неналежне зберпання та заволодшня особистим ключем нотарiуса або реестратора, як призводять до незаконного вщчуження майна та власностi шляхом втручання в роботу Единого державного реестру речових прав на нерухоме майно та Единого державного реестру юридичних осГб та фiзичних ошб-шдприемщв [13]. Також, мають мiсце випадки заволодшня стороншми особами особистими ключами керiвникiв пiдприемств та головних бухгалтерiв або отримання таких ключiв в Акредитованих центрах сертифшацп ключiв за шдробленими довiреностями з подальшим вчиненням фшансових злочинiв [14].

По-четверте, специфiчнi проблеми надання послуг в галузi електронного пщпису. пов'язанi iз компрометащею особистого ключа, полягають у достатньо складнш структурi та видах компрометаци.

У зв'язку iз невизначенiстю дефшщи пропонуеться подшяти «компрометацiю особистого ключа» на явну та неявну компрометащю. Розглянемо вказаш види компрометацiï.

Явною компрометащею особистого ключа слщ вважати втрату доступу до шформацп особистого ключа, що гарантовано шдтверджуеться наявними фактами порушень полггики безпеки та несанкщонованого ознайомлення ¡з ключовою шформащею.

В свою чергу, явну компрометащю можливо розподшити на:

— компрометащю, що вщбулася за участю або з волГ пiдписувача;

— компрометащя, яка здшснена третГми особами без вщома пГдписувача.

Так, до явно1' компрометацП' особистого ключа, що вщбулася за участю або за волею пщписувача слщ вГднести наступнГ фактори:

— втрата (викрадення) ключових носив, втрата клктав (кодГв) вГд сейфГв у момент зберГгання в них ключових носив та втрата ключГв (кодГв) ¡з наступним 1'х знаходженням;

— свщома або шляхом зловживання довГри передача особистого ключа стороннш особГ;

— порушення встановлених в оргашзацп правил використання i зберпання особистих ключГв, розголошення мереживних та паролГв, паролГв криптозахисту, правил зберпання та знищення (пГсля закГнчення термшу дП) особистого ключа, а також вимог зберпання пароля або PIN-коду до особистого ключа;

— зберпання особистого ключа у вщкритому, незашифрованому вигляд^ безпосередньо на HDD ПЕОМ користувача;

— компрометащя особистого ключа, яка здшснена тренми особами без вщома тдписувача та доступ стороншх осiб до ключово1' iнформацiï;

— порушення цiлiсностi печаток на сейфах i3 ключовими носiями у разi якщо застосовуеться процедура опечатування сейфiв;

— доступу до ключових носив шляхом несанкщонованого котювання;

— викрадення особистого ключа в наслщок вщповда на запит, надюланий i3 ознаками шахрайства або пiдробки;

— виготовлення особистого ключа за пщробленими документами [15,16].

На вщмшу вiд явноï компрометацiï особистого ключа неявна компрометащя базуеться на припущеннях або вершях подiй, що створили або створюють умови компрометацiï особистого ключа iз використанням стороннiми особами технiчних засобiв, програмного забезпечення тощо. До неявноï компрометацiï можливо вiднести:

— виникнення пщозри на витiк iнформацiï щодо ключових даних;

— випадки коли неможливо достовiрно встановити що саме вщбулося з ключовими носiями (в тому випадку коли ключовi носи вийшли з ладу i доказово не спростовують можливють того, що даний факт вщбувся в результат неконтрольованих дш стороннiх осiб);

— будь-яю iншi подiï, якi дають привщ вважати що ключова шформащя стала вiдома або доступна стороншм особам;

— перехоплення спецiальними техшчними засобами звуково1' iнформацiï, електромагнiтного або радювипромшювання комп'ютерiв, на яких оброблюеться шформащя iз застосуванням особистих ключiв;

— перехоплення спецiальними технiчними засобами, спецiалiзованим або шпигунським програмним забезпеченням шформаци, яка циркулюе в Internet або локальнш мережi, в яких оброблюеться шформащя iз застосуванням особистих ключiв [16,17].

По-п'яте, неявна компрометащя iз застосуванням технiчних методiв та пристро1'в несанкцiонованого доступу до особистих ключiв пiдписувачiв на сьогоднi бшьш обмежена у протиправних можливостях через доволi складний механiзм криптозахисту даних. Свггове наукове товариство перiодично демонструе можливосп технiчного, знеособленого доступу до ключiв особистого електронного пiдпису. Так, група вчених з Японiï, Швейцари, Нiдерландiв та США, успiшно здшснили технiчний доступ до даних, зашифрованих за допомогою криптографiчного ключа [18]. Вщомий криптограф Адi Шамiр (буква «S» у абревiатурi RSA) розробив метод технiчного доступу та вщтворення особистого ключа шляхом акустичного криптоаналiзу без явного фiзичного втручання в телекомушкацшш мережi та системи [19].

По-шосте, проблеми пов'язанi iз складнютю надання правознавцями оцiнки правових наслщюв компрометацiï особистого ключа в перюд мiж реальним фактом компрометацiï та фактом ïï офiцiйного оголошення, iз наступним блокуванням або скасуванням сертифшату особистого ключа. Саме протягом такого перюду iснуе ймовiрнiсть застосування скомпрометованого особистого ключа для вчинення дш, що мають юридичнi наслiдки.

Розглянемо перебп подiй у часi, який умовно подшимо на п'ять перiодiв вiд початку компрометацiï особистого ключа до усунення наслщюв його компрометаци.

Перший перюд - це час коли компрометащя особистого ключа вщбулася але пщписувач не мае пщозри та факпв явно1' або неявно1' компрометацiï. Цей перiод найскладнiше зафшсувати процесуально i правовi наслiдки, яю створюе цей перiод скомпрометований особистий ключ, мають статус офщшних та таких, що мае низьку вiрогiднiсть визнання 1'х в подальшому недшсними, через недостатню доказову базу, яка зазвичай базуеться на припущеннях [20].

Другий перюд характерний тим, що у тдписувача, за результатом суб'ективного аналiзу певних факпв або подш, формуеться пщозра щодо можливостi компрометаци особистого ключа.

Наступний перюд характеризуеться необхщшстю прийняти ршення пiдписувачем щодо оголошення компрометаци особистого ключа. Третш перюд може тривати вщ кшькох хвилин до кiлькох дiб. Це обумовлено наступними факторами: прийняттям ршення щодо компрометацiï користувачем, у разi якщо електронний пiдпис використовувався для роботи з ресурсами, що не несуть юридичш ризики та потребуе незначного часу. Натомють, прийняття ршення щодо компрометацiï особистого ключа, який постшно використовуеться для роботи в реестрах або групи ключiв, що забезпечують функщонування iнформацiйно-обчислювальних систем та мереж установи потребуе аналiзу ситуаци та розрахунку часу для замши ключiв та

вщновлення роботи систем. В органах державно1' влади або мюцевого самоврядування прийняття ршення щодо оголошення компрометаци особистих ключГв може тривати декшька дшв.

Оголошення компрометаци здшснюеться пщ час четвертого перюду. Законодавство передбачае процедуру оголошення про компрометащю шляхом звернення до Акредитованого центру сертифшаци ключГв ¡з заявою про компрометащю, яка передаеться будь-якими техшчними засобами комушкацш [7].

Останнш перюд передбачено Законом Украши «Про довГрчГ послуги» i вш не повинен перевищувати 2 години, протягом яких сертифшат ЕЦП блокуеться або скасовуеться [7].

АналГзуючи етапи компрометаци вщ реального факту компрометаци та факту офщшного блокування або скасування сертифшату особистого ключа електронного тдпису. можемо стверджувати, що найбшьшому ризику пщдаються ди ¡з особистим ключем, яю здшснюються в перший перюд, оскшьки можливють збору доказово1' бази щодо вчинення суспшьно небезпечного дГяння ¡з використанням скомпрометованого особистого ключа мае низьку вГрогщнють.

По-сьоме, на сьогодш в законодавствГ поняття компрометаци особистого колюча електронного тдпису фактично не мае четкого визначення та перелГку подш або пщстав, що дають можливють беззаперечно вважати 1'х компрометацшними, i, вщповщно, базовими «маяками» для правознавщв, яю сьогодш ощнюють прецеденти порушення законодавства, пов'язаш ¡з використанням особистого ключа електронного цифрового тдпису виключно в контекст статей 361-363 Кримшального кодексу Украши. Диспозици цих статей визначають, що особистий ключ тдписувача, можливо класифГкувати як предмет або знаряддя злочину, як техшчний засГб несанкцГонованого втручання в роботу електронно-обчислювальних машин (комп'ютерГв), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку [21].

В той же час, ди або бездГяльнють тдписувача, яю призвели до компрометаци особистого ключа електронного тдпису, як i поняття «компрометаци особистого ключа» поки що не знайшли правово1' ощнки. Вщсутнють перелГку базових ознак компрометацП' особистого ключа електронного тдпису створюе неоднозначнГсть трактування правоохоронними органами, судами та адвокатурою ознак злочишв, що вчинеш ¡з використанням електронного тдпису, що, в свою чергу, створюе умови для уникнення вщ покарання.

Отже, дефшщя «компрометащя» в ниш ддачому законодавствГ - це фактично розпливчатий термш, для якого можуть виникати пограничш випадки, у яких може бути незрозумшим чи допустиме використання термшу чи нГ. Тому, слГд розширити встановлену практику використання дефшщи «компрометащя», щоб зробити термш менш розпливчастим та бшьш шформативним, врахувати поняття явно1' та неявно1' компрометацП', що сприятиме бшьш якГсному застосуванню норм права.

Без сумшву, юнуючГ проблеми в правовш моделГ суспГльно-правових вщносин, що регулюють сферу використання електронного пщпису, формують в цшому недовГру до законодавства в сферГ електронного пщпису, пов'язану саме ¡з невизначенютю дефГнГцП' «компрометацГя», створюють сумнГв до надшносп електронних пГдписГв, цГлГсност1 електронних докуменпв пГдписаних ними, достовГрностГ правочишв вчинених нотарГусами та державними реестраторами в електронному виглядГ, незмГнностГ шформацп внесено!' в Единий державний реестр речових прав на нерухоме майно та Единий державний реестр юридичних осГб та фГзичних осГб-пГдприемцГв, надшносп угод та договорГв, укладених в електроннш формГ тощо.

Зважаючи на наявну неврегульовану нормами права проблему суспшьних вщносин, пов'язану з використанням електронного пщпису, вважаеться за доцшьне запровадити дефшщю «компрометащя особистого ключа електронного пщпису» та викласти ïï в наступнш редакцп: «Компрометащя особистого ключа електронного пщпису - як будь-яка явна або не явна подГя та/або дГя (втрата, розголошення, крадГжка, несанкщоноване котювання тощо) з даними особистого ключа електронного пщпису та засобами криптографГчного захисту шформацп, що призвела або може призвести до несанкцюнованого розголошення, змши, знищення, блокування, перехоплення, котювання та використання особистого ключа електронного пщпису, а також шформацп, яка обробляеться та передаеться за його допомогою.

Явною компрометащею особистого ключа електронного пщпису е втрата доступу до шформацп особистого ключа, за участю або бездГяльнютю тдписувача або третГх осГб без застосування техшчних засобГв.

Неявною компрометащею особистого ключа електронного пщпису е втрата доступу до шформацп особистого ключа електронного пщпису ¡з застосуванням будь-яких техшчних засобГв без учасп тдписувача».

Дане визначення мютить загальну норму компрометаци та два деталiзованих визначення явно1' та неявно1' компрометаци. Такий пщхщ дозволить здшснювати бшьш якюну квалiфiкацiю суспшьно небезпечних протиправних дiй iз використанням особистого ключа електронного тдпису.

Варто зазначити, що злочин, як i будь-яке шше правопорушення, е вчинком людини. Але на вщмшу вщ шших вчинкiв людини злочин за своею сощальною сутнiстю е посяганням на н вiдносини, що склалися в суспшьсга, вiдображають його найбшьш важливi штереси, внаслiдок чого охороняються законом. Компрометащю особистого ключа електронного тдпису слщ розглядати саме як свщомий вольовий вчинок людини, який виражений у конкретнiй дiï або бездiяльностi. Суспiльна небезпечнiсть компрометацiï особистого ключа електронного тдпису, як матерiальна ознака злочину полягае в тому, що дiяння чи бездiяльнiсть заподдае шкоду вiдносинам, якi охороняються законом, або мютить у соб1 реальну можливють заподiяння тако1' шкоди. Це - об'ективна властивють злочину, реальне порушення вщносин, що склалися в суспшьств в сферi електронного пщпису. Значення суспiльноï небезпечностi компрометацiï особистого ключа електронного пщпису як матерiальноï ознаки злочину полягае в тому, що вона, по-перше, е основним об'ективним критерiем визнання дiяння злочином; по-друге, дозволяе дати класифшащю злочитв за ступенем тяжкостi; по-трете, визначае межу мiж злочином та шшими правопорушеннями; по-четверте, е одтею з загальних засад iндивiдуалiзацiï вщповщальносп i покарання [22].

Крiм того, визначення «явна компрометацiя» сприятиме можливосн надання юридичноï оцiнки вчинкам як тдписувача, власника особистого ключа, так i тренм особам, яю ним заволодши та несанкцiоновано використовують. В той же час, використання поняття «неявна компрометащя» дозволить детальтше класифшувати суспшьно-небезпечт дiяння, якi скоюють стосовно особистого ключа пiдписувача або iз його використанням в контекст статей 361-363 Кримiнального кодексу Украши, яю регулюють суспiльнi вiдносини у сферi iнформацiйноï дiяльностi, в тому чи^ i електронного пiдпису, та окреслюють особливий вид злочитв. пов'язаних iз незаконним використанням сучасних шформацшних технологiй i засобiв комп'ютерно1' техтки. Компрометацiю особистого ключа електронного пщпису слщ вiдносити до зазначених в закон наслiдкiв вчинення злочинiв, передбачених ст. 361-363 Кримшального кодексу Украши - витоку, втрати, пщроблення, блокування шформаци, спотворення процесу ïï обробки або порушення встановленого порядку ïï маршрутизаци [23].

Дефшщш «компрометацiя особистого ключа» у запропонованш редакцiï внести до пункту 26 статп 1 Роздшу I Закону Украïни «Про електронт довiрчi послуги».

Висновки. Враховуючи проаналiзованi пiдходи до визначення компрометаци особистого ключа, ïï види та характерт ознаки, можливо зробити висновок, що вщсутнють законодавчого врегулювання такого суспшьно небезпечного дiяння як «компрометащя особистого ключа» в сферi права впливае на стабшьнють iнформацiйних ресурав держави та ï^ безпеку.

Отже, забезпечуючи чггкють законодавчоï мови та визначенють правових норм нова законодавча дефшщш «компрометацiя особистого ключа електронного пщпису» сприятиме правовому регулюванню суспшьних вщносин, пов'язаних з використанням електронного цифрового пщпису, чггкш класифшаци злочитв та правопорушень, вчинених iз використанням особистого ключа електронного пщпису, а також пщвищить довiру до надшносн таких пiдписiв та електронних докуменнв пiдписаних ними, електронних сервiсiв, угод та договорiв. укладених в електроннш формi iз використанням електронного пщпису, стимулюватиме розвиток транскордонноï електронноï торгiвлi та послуг.

Л1ТЕРАТУРА

1. Белов С. В., Мартиненко С. В. Моделi побудови нацiональноï iнфраструктури цен^в сертифiкацiï ключiв та ï^ ризики [Електронний ресурс]. - Режим доступу : http://www.itsway.kiev.ua/pdf/Model-CA_Risks.pdf.

2. Погорелов Б. А. Об определении основных криптографических понятий / Б. А. Погорелов, А. В. Черемушкин, С. И. Чечета // Доклад на конференции "Математика и безопасность информационных технологий" (МаБИТ-03, МГУ, 23-24 октября 2003 г.).

3. Типовой закон ЮНСИТРАЛ об электронных подписях [Електронний ресурс]. -Режим доступа : http://zakon0.rada.gov.ua/laws/show/995 937.

4. FIPS PUB 140-2. Security Requirements for Cryptographic Modules // Federal Information Processing Standards Publication 140-2, U.S. Department of Commerce, 05/2001.

5. Recommendation for Key Management, Special Publication 800-57 Part 1 Rev. 3, NIST, 05/2014.

6. NIST SP 800-130. A Framework for Designing Cryptographic Key Management Systems [Електронний ресурс]. - Режим доступу: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/ NIST.SP.800-130.pdf.

7. Про довiрчi послуги : Закон Украши вщ 05.10.2017 № 2155-VIII [Електронний ресурс]. - Режим доступу : http://zakon2.rada.gov.ua/laws/show/2155-19.

8. НД ТЗ1 1.1-003-99. Термiнологiя у галузi захисту шформаци в комп'ютерних системах вщ несанкщонованого доступу [Електронний ресурс] / Затверджено наказом №22 ДСТСЗ1 СБУ вщ 28.04.1999. - Режим доступу : http://www.dsszzi.gov.ua/dsszzi/control/uk/doccatalog/list?currDir=41640.

9. Про затвердження Положення про порядок розроблення, виробництва та експлуатацп засобiв криптографiчного захисту конфщенцшно1' шформаци та вщкршга шформаци з використанням електронного цифрового пщпису: наказ ДССЗЗ1 Украши вщ 20.07.2007 № 141. - (Зареестрований Мшстерством юстицп Украши вщ 30.07.2007 за № 862/14129). - Режим доступу : http://zakon2.rada.gov.ua/laws/show/z0862-07.

10. Постанова Лешнського районного суду м. Юровограда вщ 19 жовтня 2011 р. у справi № 1-463/11 [Електронний ресурс] // Сдиний державний реестр судових ршень: [вебсайт]. - Режим доступу: http://www.reyestr.court.gov.ua/Review/20422029.

11. Розслщування 12016040730000533. [Електронний ресурс] // Сдиний реестр досудових розслщувань : [веб-сайт]. - Режим доступу : http://www.gp.gov.ua/ua/erdr.html.

12. Ухвала 1вано-Франювського мюького суду 1вано-Франювсько1' обласп вщ 09 березня 2017 р. у справi № 344/3171/17 [Електронний ресурс] // Сдиний державний реестр судових ршень : [веб-сайт]. - Режим доступу : http://www.reyestr.court.gov.ua/Review/65214508.

13. Ухвала Печерського районного суду м. Киева вщ 14 березня 2017 р. у справ1 № 757/10916/16-к [Електронний ресурс] // Сдиний державний реестр судових ршень : [вебсайт]. - Режим доступу : http://www.reyestr.court.gov.ua/Review/56854252.

14. Kleinjung T., Aoki K., Franke J., Lenstra A. K., Thomе E., Bos J. W., Gaudry P., Kruppa A., Montgomery P. L., Osvik D. A., H. Te Riele, Timofeev A., Zimmermann P. Factorization of a 768-bit RSA modulus, version 1.4, February 18, 2010 [Електронний ресурс]. - Режим доступу: https://eprint.iacr.org/2010/006.pdf.

15. Инструкция по работе со средствами криптографической защиты информации, сертификатами ключей подписи, открытыми и закрытыми ключами электронной подписи. Приложение № 17 к постановлению администрации Хабаровского муниципального района от 14.04.2017 № 808. [Електронний ресурс]. - Режим доступу : khabrayon.rusites/defmlt/files/2016/05/808_14.04.2017_p17.rt£

16. Руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи [Електронний ресурс]. - Режим доступу : www.dsyst.com/files/security-manual.doc.

17. Инструкция по обеспечению безопасности эксплуатации сертифицированных средств криптографической защиты информации (СКЗИ) [Електронний ресурс]. - Режим доступу : www.aksicom.ru/content/istr_skzi.pdf.

18. Pellegrini A., Bertacco V., Austin T. Fault-Based Attack of RSA Authentication [Електронний ресурс]. - Режим доступу : https://web.eecs.umich.edu/~taustin/papers/DATE10-rsa.pdf.

19. Genkin D., Shamir A., Tromer E. RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis [Електронний ресурс]. - Режим доступу: http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf.

20. Mike Just, Paul C. van Oorschot Addressing the Problem of Undetected Signature Key Compromise [Електронний ресурс]. - Режим доступу : http://citeseerx.ist.psu.edu/ viewdoc/download?doi= 10.1.1.26.507&rep=rep1&type=pdf.

21. Кримшальний кодекс Украши : Кодекс Украши вщ 05.04.2001 №2341-III // Вщомосп Верховно!' Ради Украши. - 2001. - № 25-26. - Ст. 131.

22. Кримшальне право Украши: Загальна частина : [пщручник] / [М. I. Бажанов, Ю. В. Баулш, В. I. Борисов та ш.] ; за ред. проф. М. I. Бажанова, В. В. Сташиса, В. Я. Тацiя. - 2-е вид., перероб. i допов. - К. : Юршком !нтер, 2005. - 480 с.

23. Судова практика розгляду справ про злочини у сферi використання електронно-обчислювальних машин (комп'ютерiв), автоматизованих систем та комп'ютерних мереж i мереж електрозв'язку [Електронний ресурс]. - Режим доступу : http://www.scourt.gov.ua/ clients/vsu/vsu.nsf/(documents)/AFB1E90622E4446FC2257B7 C00499C02.

i Надоели баннеры? Вы всегда можете отключить рекламу.