Блог

Про електронний підпис (2)

Чи не у кожній закупівлі в Prozorro ми зустрічаємо абревіатуру КЕП (де розуміється кваліфікований електронний підпис). Виявляється, її застосування є джерелом неочікуваної небезпеки. Хоча понад 3 роки до вчорашнього дня ні у кого ніяких зайвих сумнівів, що ж таке КЕП, не виникало.
Адже п. 23 ч. 1 ст. 1 Закону України "Про електронні довірчі послуги" вичерпно конкретизує, що
кваліфікований електронний підпис - удосконалений електронний підпис, який створюється з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті відкритого ключа.
При цьому,
засіб кваліфікованого електронного підпису чи печатки - апаратно-програмний або апаратний пристрій чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів та/або створення кваліфікованого електронного підпису чи печатки, та/або перевірки кваліфікованого електронного підпису чи печатки, та/або зберігання особистого ключа кваліфікованого електронного підпису чи печатки, який відповідає вимогам цього Закону.
Після скасування ЕЦП (електронних цифрових підписів) наприкінці 2020 року взагалі, здавалося б, усе, що працює, це КЕП, іншого немає.
Згідно з вимогами абз. 2 ч. 2 ст. 17 Закону України "Про електронні довірчі послуги" органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності, державні реєстратори, нотаріуси та інші суб'єкти, уповноважені державою на здійснення функцій державного реєстратора, для реалізації повноважень, спрямованих на набуття, зміну чи припинення прав та/або обов'язків фізичної або юридичної особи відповідно до закону, застосовують виключно засоби кваліфікованого електронного підпису чи печатки, які мають вбудовані апаратнопрограмні засоби, що забезпечують захист записаних на них даних від несанкціонованого доступу, від безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання.
Тобто, так звані "токени" до кінця 2021 року обов'язкові лише для деяких суб'єктів. Усі інші, у тому числі приватні компанії, можуть продовжувати зберігати КЕПи на флешках та де-інде ще.
Однак, раптом, виявилося, що не тут-то було. АМКУ "всё сломал".
Учора (04.03.2021) опублікована Інформація щодо електронних підписів, де з посиланням на лист Міністерства цифрової трансформації зазначено:
"Якщо за результатами перевірки електронного підпису чи печатки на сайті ЦЗО з’являється інформація, що тип підпису "удосконалений", то такий підпис не може вважатись кваліфікованим.
Таким чином, якщо при перевірці електронного цифрового підпису на сайті ЦЗО з’являється інформація, що тип підпису "удосконалений", то, враховуючи лист Міністерства цифрової трансформації України, зазначений підпис не є кваліфікованим електронним підписом.
У зв'язку з цим просимо звернути увагу на наведену вище інформацію під час формування замовниками своїх тендерних документацій та під час підготовки учасниками своїх тендерних пропозицій."
Цікавим є те, що тим же Міністерством цифрової трансформації України у тому ж листі зазначено наступне: «Наголошуємо на можливості до 31.12.2021 використовувати удосконалені електронні підписи та печатки, які базуються на кваліфікованих сертифікатах відкритих ключів, з дотриманням вимог, встановлених постановою Кабінету Міністрів України від 03.03.2020 № 193 «Про реалізацію експериментального проекту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів».
Сподіваємось суд найближчим часом розставить крапки у цій історії.
Як кажуть у народі, зате, не сумно.