ДСТУ CWA 14365-1:2008
НАСТАНОВА З ВИКОРИСТАННЯ ЕЛЕКТРОННИХ ПІДПИСІВЧастина 1. Юридичні та технічні аспекти
1 СФЕРА ЗАСТОСУВАННЯ Директива 1999/93/ЕС Європарламенту від 13 грудня 1999 р. за структурою співтовариства для електронних підписів [Dir.1999/93/EC] — тут і далі Директива — встановлює правові рамки для електронних підписів і послуг сертифікації, щоб сприяти їхньому офіційному визнанню. Як визначено у статті 5.1, електронні підписи, що задовольняють певні якісні показники, так звані кваліфіковані електронні підписи, виконують вимоги до рукописних підписів. У статті 5.2 наведено підсумкову умову, коли електронним підписам не відмовлено у юридичній ефективності й допустимості як доказу у процесуальних діях, навіть якщо не виконано якісних показників кваліфікованих електронних підписів. Сфера застосування цього стандарту охоплює електронні підписи, що не задовольняють усі визначені у статті 5.1 Директиви вимоги до кваліфікованих електронних підписів. Тому в стандарті проаналізовано розбіжності між криптографічним механізмом цифрових підписів, кваліфікованими електронними підписами (відповідно до статті 5.1 Директиви) й електронними підписами (відповідно до статті 5.2 Директиви). Крім того, щоб зазначити їхню ефективність у середовищах електронної комерції або в інших сферах, де необхідні заходи автентифікації, обговорено випадки використання електронних підписів, що не виконують деякі встановлені в статті 5.1 вимоги. Крім випадків використання, обговорено доказ, надаваний електронними підписами. Електронні підписи й послуги сертифікації поділено на основні елементи, а потім наданий кожним елементом доказ обговорено з юридичної точки зору, щоб установити зв'язок між технічними елементами та їхнім юридичним ефектом. Частина 2 цього стандарту містить профіль захисту (РР) для програмних засобів накладання підпису [SCDev-PP], що підходять для таких загальних електронних підписів. Цей профіль захисту потрібен за умовами загального критерію (СС) [ISO 15408]. Він заснований на [SSCD РР], розробленому як стандарт для засобів, здатних створювати кваліфіковані електронні підписи. Хоча СС РР обрано, щоб підкреслити додану вартість незалежного оцінювання наданих SCDev заходів безпеки, інші критерії оцінки також можуть служити цій меті. Приклади таких критеріїв наведено в [FIPS 140-2] або [ITSEC].
2.1 Нормативні посилання Наступні нормативні документи містять умови, які через посилання в цьому тексті становлять умови цього стандарту; ці публікації не застосовують до застарілих посилань, наступних змін або переглядів. Однак сторони, дійшовши угод, заснованих на цьому стандарті, можуть вивчити можливість застосування нових випусків зазначених нижче нормативних документів. Для недатованих посилань наведено останні видання нормативного документа. [Dir. 1999/93/ЕС] Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a community framework for electronic signatures [SSCD PP] CEN/ISSS WS/E-Sign Workshop Agreement 14169: Security Requirements of Secure Signature Creation Devices (SSCD), March 2002 [SCDev-PP] CEN/ISSS WS/E-Sign Workshop Agreement 14365-2: Protection Profile for Software Signature-Creation Devices [ISO 15408] ISO/IEC 15408-1 to 15408-3: Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model, Part 2: Security functional requirements, Part 3: Security assurance requirements, 1999.
[Dir.1999/93/EC] Директива 1999/93/ЕС Європарламенту від 13 грудня 1999 p. про комунікаційне середовище для електронних підписів [SSCD РР] CEN/ISSS WS/E-Sign Угода симпозіуму 14169: Вимоги безпеки для безпечних засобів накладання підписів (SSCD), березень 2002 [SCDev-PP] CEN/ISSS WS/E-Sign Угода симпозіуму 14365-2: Профіль захисту для програмних засобів накладання підписів [ISO 15408] від ISO/1EC 15408-1 до 15408-3: Інформаційні технології. Методи захисту. Критерії оцінювання ІТ-безпеки. Частина 1. Вступ і загальна модель, Частина 2. Функціональні вимоги безпеки, Частина 3. Вимоги гарантій безпеки, 1999. 2.2 Довідкові посилання [CWA14170] CEN/ISSS WS/E-Sign Workshop Agreement 14170: Security Requirements for Signature Creation Applications [CWA 14171] CEN/ISSS WS/E-Sign Workshop Agreement 14171: Procedures for Electronic Signature Verification [EEC 1980/934] Convention on the law applicable to contractual obligations opened for signature in Rome on 19 June 1980, 80/934/EEC, Official Journal L266 [FIPS 140-2] NIST: Security Requirements for Cryptographic Modules, Federal Information Processing Standard FIPS PUB 140-2, 2001 [HCCH] Hague Conference on Private International Law: Status of the Hague Conventions, online avail, at http://www.hcch.net/ [ISO 10181-2] ISO/IEC 10181-2: Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework, 1996 [ISO 10181-4] ISO/IEC 10181-4: Information technology — Open Systems Interconnection — Security frameworks for open systems: Non-repudiation framework, 1997 [ISO 13888-1] ISO/IEC 13888-1: Information technology — Security techniques — Non-repudiation — Part 1: General, 1997 [ISO 7498-2] ISO 7498-2: Information processing systems — Open Systems Interconnection — Basic Reference Model — Part 2: Security Architecture, 1989 [ITSEC] Commission of the European Communities: Information Technology Security Evaluation Criteria (ITSEC), Version 1.2,1991 [TS 101456] ETSI: Policy requirements for certification authorities issuing qualified certificates, TS 101 456, v1.1.1, January 2002 [TS 101733] ETSI: Electronic Signature Formats», ETSI TS 101 733, vl.2.2, December 2000 [TS 101862] ETSI: Qualified Certificate Profile, ETSI TS 101 862, v1.2.1, June 2001 [TS 101903] ETSI: XML advanced Electronic Signatures, ETSI TS 101 903, vl.1.1, February 2002 [TS 102 038] ETSI: XML Formats for Signature Policies, ETSI TR 102 038 vO.O.3, December 2001 [UNCISG] United Nations: United Nations Convention on Contracts for the International Sale of Goods, 1980 [SMIME] B, Ramsdelf: S/MIME Version 3 Message Specification, RFC 2633,1999 [SSL] A.O. Freier, P. Karlton, P.C, Kocher: SSL Protocol, Version 3.0. Netscape Communications Corp., 1996 [TLS] T. Dierks and C. Allen: The TLS Protocol Version 1.0, RFC 2246,1999. НАЦІОНАЛЬНЕ ПОЯСНЕННЯ [CWA 14170] CEN/ISSS WS/E-Sign Угода симпозіуму 14170: Вимоги безпеки для застосувань для створення підпису [CWA14171] CEN/ISSS WS/E-Sign Угода симпозіуму 14171: Процедури для верифікації електронних підписів [ЕЭС 1980/934] Конвенція про закон, застосовний до договірних зобов'язань, відкритих для підписів у Римі 19 червня 1980, 80/934/ЕЕС, Офіційний журнал L266 [FIPS 140-2] NIST: Вимоги безпеки для криптографічних модулів, Федеральний стандарт оброблення інформації FIPS PUB 140-2,2001 [НССН] Гаапська конференція з міжнародного цивільного права: Статус Гаазької угоди, онлайн допомога. в http://www.hcch.net/ [ISO 10181-2] ISO/IEC 10181-2: Інформаційні технології. Взаємозв’язок відкритих систем. Безпечне середовище відкритих систем: Середовище автентифікації, 1996 [ISO 10181-4] ISO/IEC 10181-4: Інформаційні технології. Взаємозв'язок відкритих систем. Безпечне середовище відкритих систем: Середовище неспростовності, 1997 [IS013888-1] ISO/IEC 13888-1: Інформаційні технології. Методи захисту. Неспростовність. Частина 1. Загальні положення, 1997 [ISO 7498-2] ISO 7498-2 Системи оброблення інформації. Взаємозв’язок відкритих систем. Базова еталонна модель. Частина 2. Архітектура безпеки, 1989 [ITSEC] Єврокомісія: Критерії оцінювання ІТ-безпеки (ITSEC). Версія 1.2,1991 [TS 101456] ETSI: Вимоги політики для органів сертифікації, що випускають посилені сертифікати, TS 101 456, VI. 1.1, Січень 2002 [TS 101733] ETSI: Формати електронних підписів, ETSI TS 101 733, версія 1,2.2, грудень 2000 [TS 101862] ETSI: Профілі посилених сертифікатів, ETSI TS 101 862, версія 1.2.1, червень 2001 [TS 101903] ETSI: XML-просунуті електронні підписи, ETSI TS 101 903, версія 1.1.1, лютий 2002 [TS 102 038] ETSI: XML-формати для політик підписів, ETSI TS 102 038 v версія 0.0.3, грудень 2001 [UNCISG] Організація Об'єднаних Націй: Конвенція ООН з контрактів для міжнародного продажу товарів, 1980 [SMIME] В, Ramsdell: Специфікація повідомлення S/MIME версії З, RFC 2633,1999 [SSL] А.О. Freier, P. Karlton, P.C. Kocher: Протокол SSL, версія 3.0F. Netscape Communications Corp., 1996 [TLS] T. Dierks и С. Аллен: Протокол TLS, версія 1.0, RFC 2246,1999. | |
| |
Переглядів: 367 | | |
Всього коментарів: 0 | |