відповідає закритому ключу електронного цифрового підпису, доступна будь-якому користувачеві інформаційної системи і призначена для підтвердження з використанням засобів електронного цифрового підпису дійсності електронного цифрового підпису в електронному документі (ст. 3 Закону про ЕЦП).
Закритий ключ може бути скомпрометований різними способами: розкрадання ключа шляхом копіювання в результаті несанкціонованого доступу до обладнання (прямого або віддаленого), на якому він зберігається; отримання ключа шляхом відповіді на запит, використаний з ознаками шахрайства або підроблення; розкрадання ключа в результаті розкрадання обладнання, на якому він зберігається; розкрадання ключа в результаті змови з особами, мають право на його використання (навіть рядовий факт звільнення співробітника, що мав доступ до закритого ключа організації, розглядається як компрометація ключа).
Незаконність даних традиційних методів компрометації забезпечує законодавство.
Це не відноситься до нетрадиційних методів реконструкції закритого ключа за вихідними даними, отриманим цілком легально, зокрема з відкритого ключа. Можливість реконструкції визначається тим, що відкритий і закритий ключі пов'язані певними математичними співвідношеннями. Теоретично знання відкритого ключа дає можливість відновити закритий ключ. Однак на практиці це пов'язано з наявністю спеціальних програмних і апаратних засобів і величезними витратами обчислювального часу. Існує спеціальна галузь науки, звана криптоаналізу, яка дозволяє відтворювати зашифровану інформацію і оцінити ступінь захисту інформації.
При створенні ключів електронних цифрових підписів для використання в інформаційній системі загального користування повинні застосовуватися тільки сертифіковані засоби електронного цифрового підпису (п. 2 ст. 5). Використання несертифікованих засобів електронного цифрового підпису та створених ними ключів електронних цифрових підписів в корпоративних інформаційних системах федеральних органів державної влади, органів державної влади суб'єктів Російської Федерації та органів місцевого самоврядування не допускається (п. 3 ст. 5).
Відкритий ключ тому й називається відкритим, що він доступний кожному з партнерів власника закритого ключа. Є дуже простий прийом підміни відкритого ключа з метою створення помилкового каналу зв'язку. Припустимо, сторона С бажає перехопити чужі дані. У цьому випадку вона може за допомогою засобів ЕЦП створити собі пару ключів і опублікувати відкритий ключ нібито від імені партнера В. Тоді всі повідомлення від партнера А до партнера В будуть легко перехоплюватися і читатися стороною С, причому ні А, ні В не будуть навіть здогадуватися про те, що С бере участь в договірних відносинах.
Таким чином, одним з основоположних моментів використання електронного цифрового підпису для встановлення автентичності, цілісності та автентичності документів, збережених, оброблюваних і переданих за допомогою інформаційних та телекомунікаційних систем, є підтвердження приналежності відкритого ключа ЕЦП конкретній особі за допомогою видачі сертифіката ключа підпису. Тому значна частина Закону про ЕЦП присвячена механізму посвідчення особи власника відкритого ключа.
Особа (юридична або фізична), яка створила собі пару ключів (відкритий і закритий) за допомогою засоби ЕЦП, має звернутися до органу, уповноваженого виконати сертифікацію. Цей орган називається засвідчувальним центром (Закон про ЕЦП). Засвідчувальний центр перевіряє належність відкритого ключа заявнику і засвідчує цей факт додаванням до відкритого ключа свого підпису, завізованою власним закритим ключем.
Будь партнер, бажаючий вступити в контакт з власником відкритого ключа, може прочитати засвідчує запис за допомогою відкритого ключа засвідчує центру. Якщо цілісність цього запису не порушена, то він може використовувати відкритий ключ партнера для зв'язку з ним.
Слід чітко розуміти, що засвідчує центр запевняє тільки факт приналежності відкритого ключа конкретній особі або організації. Наявність повноцінного сертифіката відкритого ключа говорить про те, що ключ можна використовувати для посвідчення особи партнера у договірних відносинах. Але законність цих відносин засвідчувальним центром не підтверджується.
В даний час відповідно до рекомендацій Європейської Ради національне законодавство країн Європи в частині вимог до засвідчувальним центрам повинно містити вимоги схвалення або ліцензування діяльності засвідчувальних центрів, перевірку дотримання цими центрами необхідних для їх діяльності умов, а також вимога до рівня надійності технічних і програмних засобів, використовуваних цими центрами, і т.д. У частині економічного обґрунтування можливості засвідчувального центру нести цивільну відповідальність за ненал...
