elektronski potpis-seminarska
DESCRIPTION
sve za elektronski potpis i negova upotrebaTRANSCRIPT
UNIVERZITET VO BITOLA
EKONOMSKI FAKULTET PRILEP
ELEKTRONSKI POTPIS
-SEMINARSKA RABOTA-
Mentor: Avtor:
Prof. D-r Karolina Ilievska Goce Dimovski, 88/12
Prilep, maj 2013
SODR@INA
ВОВЕД_____________________________________________________________________________3
I Е-ПОТПИС, ДЕФИНИЦИЈА И ПОВАЖНИ КАРАКТЕРИСТИКИ _____________________
II ПРАВНИ АСПЕКТИ_________________________________________________________
2.1. Директива на ЕУ и законски акти во Македонија____________________________________
2.4. Va`nost na elektronski potpie[an document________________________________
2.5. Uslovi za formirawe na ePotpis____________________________________________
2.6. Nadzor od strana na sertifikacionite tela_________________________________
2.7. Kazneni odredbi____________________________________________________________
¶¶¶ NA^IN NA FUNKCIONIRAWE _________________________________________________
3.1. Hardver I softver _________________________________________________________
3.2. PKI sistemi I aplikacii___________________________________________________
3.3. Sertifikaciono telo ______________________________________________________
3.4. Registraciono telo ________________________________________________________
IV KORISTEWE I OBLASTI NA PRIMENA ________________________________________
4.1. Korisnici na sertifikati__________________________________________________
4.2. Oblasti na primena________________________________________________________
4.3. Kade nemo`e da se primeni_________________________________________________
4.4. Bezbednosni regulative____________________________________________________
4.5. Problemi I preporaki______________________________________________________
V KRIPTOGRAFIJA I FORMIRAWE NA ePOTPIS________________________________
VI POTPI[UVAWE________________________________________________________________
6.1. Podatoci I sretstva za formirawe na ePotpis______________________________
6.2. Podatoci I sretstva za proverka na ePotpis________________________________
VII KVALIFIKUVAN ePOTPIS____________________________________________________
7.1. Podatoci I sretstva za formirawe na kvalifikuvan ePotpis________________
7.2. Asimetri~ni algoritmi______________________________________________________
7.3. Podatoci I sretstva za proverka na kvalifikuvan ePotpis___________________
7.4. Pravno dejstvo na kvalifikuvan ePotpis_____________________________________
7.5. Sertifikaciono telo za izdavawe na kvalifikuvan ePotpis_________________
7.6. Registracija na korisnici I vzaemni obvrski_________________________________
ZAKLU^OK ________________________________________________________________________
KORISTENA LITERATURA I INFO-LINKOVI _____________________________________
ВОВЕД
Денес сведоци сме на голем и забрзан развој на технологијата која навлегува во
сите сфери на нашите животи.
Интернетот како еден сегмент од тој технолошки развој исто така забрзано се
развива и тоа со толкава брзина да она што било актуелно пред кратко време денес
е веќе застарено. Развојот на интернетот овозможува развој на апликативен
софтвер кој е во служба на олеснување на нашите животи и полесно справување со
обврските кои со тек на времето на луѓето се повеќе и повеќе им се зголемуваат.
Со таков забрзан развој на апликативниот софтвер сите ние имаме можност подобро
да се справуваме со предизвиците на новото време обавувајќи голем дел од нашите
обврски од едно место со што истовремено заштедуваме ресурси и пари и пред се
време кое се повеќе и повеќе ни недостасува и станува се поскапо.
Во тој нов свет кој е во тек и во иднина ќе биде се поприсутен еден од главните
предизвици е автентичноста на индивидуите (без разлика дали се јавуваат како
физички или правни лица) односно потврдата за веродостојност на соодветен
идентитет по електронски пат.
Сите Ние сме согласни дека бенефитите од интернетот се многу големи но исто така
мора да се согласиме дека и опасностите и ризиците се неколкукратно зголемени.
Денес потребата за потврдување на идентитетот е најчеста при електронското
тргување, електронските набавки, електронско плаќање, комуникацијата преку
интернет помеѓу бизнис партнерите и во многу други слични случаи, а сето тоа ја
наметнува потребата од електронски потпис како сретство за потврда на
идентитетот преку електронски пат.
I Е-ПОТПИС, ДЕФИНИЦИЈА И ПОВАЖНИ КАРАКТЕРИСТИКИ
Електронскиот потпис е всушност аналоген на своерачниот потпис само
што неговата примена е електронска и за да биде процесиран мора да се
задоволуваат одредени услови во поглед на хардверот и софтверот и со него се
потврдува автентичноста на одреден идентитет како и автентичноста на
документите и пораките на кои се содржи тој електронски потпис.
За да биде прифатен одреден документ во електронска форма пред се мора да
бидат запазени непроменливоста на неговата содржина како и веродостојноста на
изворот односно на оној кој го создал документот.
Од тука можеме и да ги извлечиме поважните карактеристики на електронскиот
потпис а тие се:
Автентикација всушност претставува уверување во сигурноста дека пораката која
сме ја добиле е со сигурност од испраќачот кој ни ја испратил пораката.
Интегритетот ни ја дава сигурноста дека при доспевањето на пораката или
документот истиот не бил менуван, додека пак
Неотповикливост при електронско потпишување на документот е всушност
гаранција и потврда дека оној кој ни го испратил документот потпишан со
сопствениот е-потпис стои зад истиот документ и неможе да го порекнува.
Електронски можеме да ги потпишуваме сите Office документи (Excel, Word,
PowerPoint), електронска пошта и сл.
Покрај е-потпис постои и Квалификуван е-потпис за кој е потребно да се поседува
сретство за негово формирање и квалификуван сертификат со валидна важност
издаден од овластен (акредитиран) издавач на сертификати.
Квалификуваниот е-потпис е за сите намени но најчесто и задолжително се
употребува при случаеви каде е потребна поквалитетна презентација на идентитетот
и каде се обавуваат финансиски трансакции, учество на тендери и слично.
II ПРАВНИ АСПЕКТИ
2.1. Директива на ЕУ и законски акти во Македонија
Директивата на ЕУ 1999/93/ЕЦ за потписите во електронски облик е усвоена на 13
декември 1999 год, а на сила од 19 јануари 2000 год, на чија основа се донесени
сите закони за електронски потпис во земјите членки на ЕУ а исто така и во поголем
број земји од останатите делови на Европа и идни земји членки на унијата.
Во Македонија законското работење со сертификати и потписи е регулирано со
законот за податоци во електронски облик и електронски потпис кој последна измена
и како пречистен текст е објавен во сл.весник бр 98 од 2008 година.
Osnovna uloga
� Osnovna uloga Zakona o elektronskom potpisu svodi se na dve
najvažnije stvari:
1. Da propiše uslove pod kojima je elektronski potpis pravno
ekvivalentan svojeručnom potpisu.
2. Da propiše uslove koje moraju da ispune sertifikaciona tela koja
izdaju kvalifikovane sertifikate za verifikaciju kvalifikovanih elektronskih
potpisa.
Definicije
� U Zakonu o elektronskom potpisu navedene su sledeće :
� Elektronski potpis - skup podataka u elektronskom obliku, koji su
pridruženi ili su logički povezani sa elektronskim dokumentom i služe za
identifikaciju potpisnika.
� Kvalifikovani elektronski potpis - elektronski potpis kojim se
pouzdano garantuje identitet potpisnika, integritet elektronskih
dokumenata i onemogućava naknadno poricanje odgovornosti za njihov
sadržaj, i koji ispunjava uslove utvrđene Zakonom o elektronskom
potpisu.
Zakon daje definicije pojedinih izraza
U Zakonu o elektronskom potpisu navedene su sledeće definicije:
� „Elektronski dokument" je dokument u elektronskom obliku koji se
koristi u pravnim poslovima i drugim pravnim radnjama, kao i u
upravnom, sudskom i drugom postupku pred državnim organom.
� „Elektronski potpis" je skup podataka u elektronskom obliku koji su
pridruženi ili su logički povezani sa elektronskim dokumentom i koji služe
za identifikaciju potpisnika.
„Kvalifikovani elektronski potpis"
� je elektronski potpiskojim se pouzdano garantuje identitet
potpisnika, integritet elektronskih dokumenata i onemogućava naknadno
poricanje odgovornosti za njihov sadržaj. Kvalifikovani elektronski potpis
mora da zadovolji sledeće uslove:
1. isključivo je povezan sa potpisnikom
2. nedvosmisleno identifikuje potpisnika
3. nastaje korišćenjem sredstava kojima potpisnik može samostalno
da upravlja i koja su isključivo pod nadzorom potpisnika
4. direktno je povezan sa podacima na koje se odnosi i to na način
koji nedvosmisleno omogućava uvid u bilo koju izmenu izvornih podataka
5. formiran je sredstvima za formiranje kvalifikovanog elektronskog
potpisa
6. proverava se na osnovu kvalifikovanog elektronskog sertifikata
potpisnika.
Kvalifikovani elektronski potpis, koji zadovoljava prethodno navedene
uslove, u odnosu na podatke u elektronskom obliku ima isto pravno
dejstvo i dokaznu snagu kao i svojeručni potpis, odnosno svojeručni
potpisi pečat.
� „Podaci za formiranje elektronskog potpisa" su podaci,
kao što su kodovi ili privatni kriptografski ključevi, koje potpisnik
koristi za izradu elektronskog potpisa.
� „Sredstva za formiranje elektronskog potpisa" su odgovarajuća
tehnička sredstva (softver i hardver) koja se koriste za formiranje
elektronskog potpisa, uz korišćenje podataka za formiranje elektron-skog
potpisa.
� „Elektronski sertifikat" je elektronski dokument kojim se potvrđuje
veza između podataka za proveru elektronskog potpisa i identiteta
potpisnika.
� „Sertifikaciono telo" je pravno lice koje izdaje elektronske
sertifikate u skladu sa odredbama za-kona.
� Zakon posebno ističe da se elektronskom dokumentu ne može
osporiti punovažnost ili dokazna snaga samo zbog toga što je u
elektronskom obliku, da elektronski potpis može imati pravno dejstvo i
da se može koristiti kao dokazno sredstvo u zakonom uređenom
postupku, osim kada se, u skladu sa posebnim zakonom, zahteva da
samo svojeručni potpis ima pravno dejstvo i dokaznu snagu.
Realizacija elektronskog potpisa
„ Za realizaciju kvalifikovanog elektronskog potpisa neophodno je
koristiti sredstva za formiranje kvalifikovanog elektronskog potpisa i
posedovati kvalifikovani elektronski sertifikat, izdat od strane
sertifikacionog tela koje ispunjava odgovarajuće uslove prema Zakonu o
elektronskom potpisu. U ovom tehnološkom trenutku, kvalifikovani
elektronski potpis se realizuje primenom asimetričnih kriptografskih
sistema (na primer RSA algoritam) i hash funkcija (MD5 ili SHA-1
algoritmi), dok se kao sredstva za formiranje kvalifikovanog elektronskog
potpisa uglavnom koriste smart kartice.
Gde se koristi ?
„ Najpopularnije aplikacije u kojima se koristi elektronski potpis su:
„ Dakle, za primenu kvalifikovanog elektronskog potpisa neophodno
je posedovati dva osnovna elementa:
1. sredstvo za formiranje kvalifikovanog elektronskog potpisa i
2. kvalifikovani elektronski sertifikat potpisnika.
„ Ako bilo koji od ovih elemenata nedostaje, potpis ne zadovoljava
uslove da bude kvalifikovan, već je to "samo" elektronski potpis.
� Iako elektronski potpis može prema zakonu biti bilo šta što je
"logički povezano sa elektronskim dokumentom i što služi za identifikaciju
potpisnika" (na primer, skenirani svojeručni potpis na kraju dokumenta i
sl.), elektronskim potpisom se smatra i potpis koji je izvršen sredstvom
za formiranje kvalifikovanog elektronskog potpisa ali potpisnik nema
kvalifikovani sertifikat.
„ Potpisnik koji ima kvalifikovani sertifikat a potpisivanje ne vrši
primenom sredstva za formiranje kvalifikovanog potpisa ne može da
formira kvalifikovani elektronski potpis koji je pravno izjednačen sa
svojeručnim potpisom.
� U našoj zemlji je od 6. januara 2003. uvedeno elektronsko
bankarstvo između pravnih i fizičkih lica i skoro svih naših banaka, u
kojem se koriste smart kartice za elektronsko potpisivanje finansijskih
transakcija.
„ Ti potpisi predstavljaju "samo" elektronske potpise, jer korisnici
nemaju kvalifikovane sertifikate, a smart kartice koje se koriste nisu
verifikovane kao sredstva za formiranje kvalifikovanog potpisa u našoj
zemlji.
„ Na osnovu svetske prakse, u domenu elektronskog bankarstva
neće ni biti obavezno da se koristi kvalifikovani elektronski potpis, jer se
to smatra zatvorenom grupom korisnika (gde postoji eksplicitni ugovor
između komitenta i banke).
� Na osnovu svetskih i evropskih analiza, prava i najšira primena
kvalifikovanog elektronskog potpisa se očekuje u domenu elektronske
uprave, kada će građani elektronski poslovati sa javnom upravom, tj.
slati elektronske zahteve javnoj upravi (npr. zahtev za izdavanje
elektronskog izvoda iz matične knjige, elektronska prijava poreza itd.).
Ovi zahtevi moraju biti potpisani kvalifikovanim elektronskim potpisom
građana.
� Projekat uvođenja ličnih karata u Srbiji kao elektronskih
identifikacionih dokumenata u obliku smart kartice predstavlja pravu
podršku za realizaciju pomenutog sistema.
� Očekuje se da će pomenuta elektronska lična karta, biti
verifikovana kao sredstvo za formiranje kvalifikovanog elektronskog
potpisa.
Valifikovani elektronski potpis se na ovom tepenu tehnološkog razvoja
formira na bazi primene asimetričnih kriptografskih algoritama i
tehnologije digitalnog potpisa.
� Kvalifikovani elektronski potpis se formira u skladu sa preporukom
PKCS#1 (Public Key Cryptographic Standard), a dužina modulusa u
asimetričnom kriptografskom algoritmu mora biti minimalno 1.024 bita.
� PKCS#1 standard opisuje metode šifrovanja podataka korišćenjem
RSA asimetričnog algoritma i najčešće se koristi za konstrukciju digitalnog
koverta i digitalnog potpisa.
Tehnologija elektronskog potpisa
� U slučaju digitalnog potpisa, sadržaj koji treba da se potpiše prvo se
redukuje u otisak poruke (message digest) primenom nekog od metoda
za kreiranje otiska poruke, message-digest algoritma (na primer, MD5
ili SHA-1 algoritmi), a zatim se dobijeni otisak poruke šifruje primenom,
na primer, RSA algoritma, koristeći privatni ključ potpisnika poruke.
� Šifrovani otisak poruke predstavlja digitalni potpis date poruke i
postaje njen pridruženi deo. Kada ovakva poruka stigne do primaoca
kojem je namenjena, izvršava se postupak verifikacije digitalnog potpisa.
� Ovaj postupak se sastoji od dešifrovanja otiska dobijene poruke
primenom RSA algoritma, uz upotrebu javnog ključa pošiljaoca
(potpisnika) poruke. Po dešifrovanju digitalnog potpisa, primalac poruke
izvrši isti message digest postupak nad dobijenom porukom.
� Ako je dobijeni otisak poruke identičan sa dešifrovanom vrednošću
otiska, verifikacija je uspela; u protivnom je verifikacija negativna i
poruka se odbacuje kao nevalidna.
� Potpisana elektronska dokumenta se razmenjuju u formi
dokumenata u kojima su ugrađeni osnovni podaci o postupku,
algoritmu i kvalifikovanom elektronskom sertifikatu potpisnika, kako bi
primalac elektronskog dokumenta mogao proveriti kvalifikovani
elektronski potpis na bazi usaglašene tehnologije i postupaka.
Standardizacija – preduslov tehničkog funkcionisanja elektronskog
sistema plaćanja
Standardizacija u najširem smislu, predstavlja utvrđene
standarde/pravila za odabir podataka i sačinjavanje tih podataka,
definisani proces razmene podataka, utvrđene telekomunikacione
protokole, licencirana softverska rešenja, definisane mehanizme zaštite
subjektiviteta učesnika,kao i pravnu regulativu koja definiše odnose koji
se uspostavljaju povodom nastanka, promene ili prestanka bilo koga
od navedenih i pratećih elemenata u sistemu pravnog
prometa. Standard je sredstvo za saopštavanje ideja i tehničkih
podataka, za stvaranje reda u neredu i dostizanje jednostavnosti.
On predstavlja pravilo, odnosno „propis”, koji je od ključnog interesa za
sve aktivnosti u modernoj standardizaciji. Međunarodne
organizacije za standardizaciju ISO/IEC10 već više decenija donose
standarde, tehničke propise koji kao pravni akti, praktično
omogućuju jedinstvenu primenu različitih tehnologija u čitavom svetu.
Za razvoj elektronskog poslovanja od značaja je, i telekomunikaciona
infrastruktura. Telekomunikacije su na međunarodnom planu u
nadležnosti ITU11. Samo elektronsko poslovanje, kao deo informacionih
tehnologija, razvija se i prati u okviru UN/ECE/CEFACT. Ova organizacija
je sa sve tri prethodno navedene organizacije 1999. godine sklopila
Ugovor o razumevanju (Memorandum of Understanding) na osnovu kog
je određeno da standardi, procedure ili definisanje nekih od elemenata
koji se odnose na elektronsko poslovanje koje usvoji bilo koja od ovih
organizacija u okviru svoje nadležnosti, prihvaćena je i od ostalih
organizacija i predstavlja osnov za dalji rad u domenu nadležnosti svake
od organizacija.
Na{a zemlja se uključila u rad ECE/CEFACT još 1998. godine, u
statusu posmatrača (O-observer), da bismo u međuvremenu,
posredstvom rada YUEDI12 asocijacije, postali učesnici (P - participant).
1985 god. na nivou Evropske zajednice (sada Evropska unija) odlučeno je
da između svojih zemalja otklone fizičke, fiskalne i tehničke barijere, tako
što se na istu ravan stavlja politika, ekonomija i tehnika. Prioritet je dat
tehnici, tako da od 300 direktiva (propisi EZ) koje su doneli, preko 45%
direktive-propisi su iz oblasti tehnike, pristupili su prvo harmonizaciji
tehnčke regulative - harmonizovani su standardi, doneti su tehnički
propisi u vidu direktiva i formirane su organizacije CEN13 i CENELEC14.
Kada su
10 ISO/IEC - Joint Technical Committee for Information Technology;
11 ITU – International Telecommunication Union;
12 YUEDI – Jugoslovenska asocijacija za elektronsku razmenu podataka;
13 CEN – Comite Europeen de Normalisation;
14 CENELEC – Comite Europeen de Normalisation Electrotechnique;
uskladili standarde i tehničku regulativu,zatim su harmonizovali
postupke, testiranja (preko tzv. modula), formirali Evropsku
organizaciju za ispitivanje i sertifikaciju, na osnovu čega jednostavno
mogu da sprovode tehničku regulativu.
Taj proces globalizacije svetske privrede se u sve većoj meri prenosi na
“standardizaciju” upravljanja pravnim prometom,. U okviru
standardizacije sve se više prostora ostavlja razvoju kvaliteta i
računarskih komunikacija koje praktično predstavljaju nadgradnju na
zahteve TQM15, jer svaka roba ili usluga, usklađena sa standardima
kvaliteta, predstavlja proizvod koji se nudi na tržištu.
Elektronsko poslovanje podrazumeva vođenje poslova elektronskim
putem, razmenom poslovnih poruka između subjekata pravnog prometa.
Kao takvo ono prelazi okvire ugovora-ugovornog prava. Za elektronsko
poslovanje neophodan je elektronski potpis, koji predstavlja podatke u
elektronskom obliku, pridodate ili logički pridružene, drugim elektronskim
podacima, u cilju obezbedjenja integriteta podataka i identifikacije
potpisnika. Prelaskom na ovaj način poslovanja, snižavaju se
troškovi,što za posledicu ima i poboljšavanje privrednih aktivnosti. Ovo
potvr|uje i studija Ekonomske komisije UN za Evropu u kojoj se kaže da
je ovaj način poslovanja čak hiljadu puta jeftiniji od klasičnog, i
neuporedivo brži. Kod elektronskog poslovanja, veoma je teško utvrditi
gde se nalaze subjekti elektronskog poslovanja, odnosno koji zakon na
njih treba da se primeni. Stoga je bilo preporuka da se problematika
elektronskog poslovanja uredi jedinstveno, u međunarodnim
organizacijama.
Prednosti elektronskog poslovanja su: postiže se uniformnost uređenja.
Nedostatak ovakvog pristupa je što se do rešenja koje odgovara većini
dolazi teško, pregovori dugo traju, i usvojeni akti stvaraju obavezu
samo onim državama koje konvencije ratifikuju i unesu u svoje
unutrašnje zakonodavstvo. OEBS16 je u svom izveštaju iz 1996. godine
sugerisao da, obzirom na globalni karakter elektronskog poslovanja,
države treba da podstiču digitalno poslovanje i stvaraju uslove za što
liberalniju zakonsku regulativu,a što dovodi u pitanje pravnu
sigurnost.
Model-zakoni kao rešenja elektonskog poslovanja i elektronskih potpisa
Rešenje je pronađeno donošenjem okvirnih tekstova, model-zakona, za
elektronsko poslovanje i za elektronske potpise. On ne podleže
ratifikaciji, nego stoji na raspolaganju svakoj državi koja želi da ga
koristi kao obrazac za pravljenje sopstvenog zakona. Praksa korišćenja
model-zakona naročito je raširena u SAD. Formulacije model-zakona
su neobavezne i države imaju slobodu da ponuđena rešenja prilagode
osobenostima svog nacionalno-pravnog sistema.
Najvažniji akti u ovoj oblasti doneti su u okviru Komisije UN za
međunarodno trgovako pravo - UNCITRAL je 1996. godine doneo model-
zakon o elktronskom poslovanju, a model-zakon o elektronskim
potpisima usvojen je 5. jula 2001.
15 TQM - Total Quality Management;
16 OEBS – Evropska organizacija za bezbednost i saradnju;
godine. Po UNCITRAL model-zakonu urađeni su, zakoni u Sloveniji,
Francuskoj, Irskoj i Australiji. Izvesni uticaj ovaj model-zakon imao je na
regulativu usvojenu u Kanadi i SAD.
Za razliku od model-zakona o elektonskom poslovanju, o elektronskim
potpisima još uvek nisu objavljeni vodiči za implementaciju u unutrašnje
zakonodavstvo. Model-zakon je fleksibilnije sredstvo od međunarodnog
ugovora i uniformnog zakona.
Direktive Evropske Unije
U Evropskoj Uniji problematika elektronskog poslovanja i elektronskih
potpisa ure|ena je direktivama (Direktiva br. 1999/93/CE od 13.
decembra 1999. o zajedničkom okviru za elektronske potpise, Sl. List
EZ br. L 013 i od 19. januara
2000. godine, Direktiva br. 2000/31/CE o nekim pravnim aspektima
usluga informatikog društva, a naročito elekronskog poslovanja na
unutrašnjem tržištu “direktiva o elektronskom poslovanju”, Sl. List EZ br.
L 178 od 17. jula 2000. godine).
Pravni sistem EU, iako komplikovan na prvi pogled, sledi jednostavnu
logiku unifikacije i harmonizacije koje se unutar Unije obavljaju putem
dva izvora komunitarnog prava: uredbi i direktiva.
Uredbe su opšti pravni propisi koje donose organi zajednice kojima se
unifikuje materija koja je obuhvaćena propisom. Uredbe se primenjuju
neposredno u državama članicama, bez potrebe da se vrši njihova
inkorporacija donošenjem posebnih unutrašnjih propisa.
Direktive su opšti propisi kojima se vrši harmonizacija, odnosno
usklađivanje prava država članica. Direktive samo određuju ciljeve
buduće pravne regulative, ali prepuštaju državama članicama da donesu
unutrašnje propise kojima će se oni ostvariti. Teorijski, države članice
uživaju slobodu u pogledu načina na koji će se predviđeni ciljevi ostvariti i
u pogledu sadržine samih propisa, te podsećaju na model-zakone.
Međutim, do sada usvojene direktive ostavljaju veoma malo prostora za
manevrisanje.
Regulisanje finansijskih transakcija, koje se izriito izuzimaju iz polja
primene Direktive EU, jer finansijske transakcije treba da ostanu van
domašaja Zakona o elektronskom poslovanju. Praksa je pokazala da se
najveće zloupotrebe i događaju kod finansijskih transakcija (pr.: kreditne
kartice, direktno prebacivanje sa računa na račun, iz jedne zemlje u
drugu, a bez evidentiranja prenosa i sl.). što je dovelo do toga da ova
materija bude uređena posebnim propisima.
Elektronski potpis “tehničko rešenje”elektronskog poslovanja
Elektronski potpis je neophodan za elektronsko bankarstvo.Digitalni
potpis je tehnika šifriranja koja je “rešila” glavni problem elektronskog
poslovanja: strah od nedovoljne sigurnosti transakcija. Njime se
obezbeđuje integritet podataka, odnosno omogućuje da podaci ostanu
nepromenjeni tokom transakcije i
omogućuje utvrđivanje pošiljaoca. Digitalnim šifriranjem se elektronski
dokument,
koji se nalazi u transakcijama na Internetu, čini nečitljivim svima koji
nemaju ključ za dešifriranje.
Time se povećava sigurnost transfera poverljivih podataka. Identifikacija
pošiljaoca se obavlja potvrdom autentičnosti kod “poverljive treće strane”
TTP17. TTP je neko kome je dozvoljeno da proizvodi digitalne sertifikate,
autentičnost digitalnog potpisa i u koju imaju poverenje obe
zainteresovane strane za transakciju. Potvrda autentičnosti predstavlja
dokaz da je vlasnik digitalnog potpisa upravo onaj koji tvrdi da jeste.
Najrasprostranjenija metoda je metoda šifriranja javnim ključem koja
pošiljaocu i primaocu elektronske poruke dodeljuje dva ključa:
-jedan javni ( koji se deponuje kod TTP) i
-jedan privatni.
Digitalni potpis – tehnologija za realizaciju elektronskog potpisa
M M1
HASH
transf. H1
М transf. S S
EA
Prrivatni ključ
DA H
pošiljaoca i juč pošiljaoca
Pristup koršćenja digitalnog potpisa
Korišćenje digitalnog potpisa u svetu nije jednobrazan. Međunarodna tela
kao što su IETF18 ili ISO (International Organization for Standardisation)
rade na njegovoj standardizaciji, a OECD i UNCITRAL daju uputstva
državama kako pravno regulisati elektronko poslovanje ili neke njegove
delove. Prava samo nekih zemalja su podržala upotrebu digitalnog
potpisa bilo u obliku zakona ili preporuka. U SAD je svega 19
država članica pravno regulisala ovu problematiku. Evropa je u
blagom zaostatku. Prva zemlja u Evropi koja je pravno definisala
korišćenje digitalnog potpisa je Velika Britanija 1997. godine, a 1998.
godine za njom slede Fransuska i Nemačka, koja, čak donosi poseban
Zakon o digitalnom potpisu. Još neke evropske zemlje (Švedska, Italija i
Belgija) su najavile zakonsku regulaciju. Pored digitalnog potpisa moguće
je korišćenje i
17 TTP - Trusted Third Party;
18 IETF - Internet Engineering Task Force
drugih načina šifriranja elektronskih dokumenata ili potvrde autentičnosti
pošiljaoca. Priznaje se da je šifriranje veoma korisno sredstvo zaštite
podataka, ali i da se ono koristi u kriminalne svrhe. Kako bi se to sprečilo
određene zemlje preduzimaju različite mere na primer: SAD je u jednom
zakonskom predlogu iz
1998. godine predvidela kazne od 5 do 10 godine zatvora za one koji
koriste šifriranje dokumenata da bi prikrili svoje kriminalne aktivnosti,
zatim Velika Britanija pri regulaciji digitalnog potpisa iz 1997. TTP ima
ovlašćenje da pored pristupa javnim ključevima ima pristup i privatnim.
Na međunarodnom planu prve smernice koje se odnose na šifriranje
dokumenta vezanih za elektronsko poslovanje dao je OECD 1997.
godine u obliku dva principa:
korisnik ima pravo izbora metoda šifriranja, što je predmet primene
prava:
osnovna prava pojedinca na privatnost uključuje tajnost
komunikacija i zaštitu podataka o ličnosti, što neće biti kršeno
nacionalnom politikom šifriranja.
Evropska Unija je 1994. godine u Direktivi o privatnosti podataka dala
smernice koje predstavljaju zajedničku politiku vezanu i za elektronsko
poslovanje.
Pravno posmatrano, najveći problem koji se pojavljuje u ovoj materiji je
rešavanje pitanja nadležnosti. Privredni kriminal danas dobija nove oblike
i novo okruženje. Kompjuterska tehnologija omogu}ava da postane
transnacionalan. Novi oblici zloupotreba u direktnoj su vezi sa razvojem i
širenjem kompjuterskih mreža, a naročito pogodan teren predstavlja
elektronsko obavljanje poslovnih transakcija preko otvorenih mreža,
kakav je Internet.
Polja primene elektronskog potpisa Elektronsko poslovanje ( e-business)
Elektronska trgovina( e-commerce) Elektonsko bankarstvo
Elektronska uprava ( e-government) Elektronsko zdravstvo (e-
healthcare) Platni sistemi na bazi čip kartica (EMV)
Aktivnosti u svetu
Se mogu okarakterisati u skladu sa izveštajem o implementaciji Evropske
Direktive o elektronskim potpisima u zemljama Evrope, kao i o
praktčnom korišćenju elektronskih potpisa. Izveštaj je izrađen na osnovu
zahteva Evropske komisije. Oformljen tim istraž`ivača i pravnika iz
Belgije je izradio izveštaj, konsultovajući mnoga nacionalna
zakonodavstva i predao ga Evropskoj komisiji krajem 2003 godine.
Najvažniji nalazi i zaključci u datom izveštaju su:
- Direktiva je uz manje ili veće izmene u potpunosti
imolementirana u nacionalnim zakonodavstvima zemalja EU, kao i
drugih Evropskih zemalja. Izmene se odnose na osnovne probleme šire
primene elektronskog potpisa u EU, a to su različito tumačnje sl. pitanja:
- dobrovoljne akreditacije:
- primenjene šeme supervizije CA19:
-procene usklađenosti sredstva za formiranje kvalifikovanog
elektronskog potpisa itd.
Postoji veoma mali broj primera iz sudske prakse u vezi primene
elektronskog potpisa, tako da se još ne može reći da sudska praksa u
ovom domenu postoji. Problem se javlja kod različitih PKI20 sistema koji
se uglavnom ponašaju kao odvojena ostrva u primeni aplikacija sa
elektronskim potpisima u kojima postoji samo jedno CA koje izdaje
sertifikate za jednu PKI aplikaciju.
PKI sistemi
Infrastruktura sistema sa javnim ključevima PKI predstavlja ključni
aspekt i najvažniju komponentu sistema elektronskog poslovanja i
trgovine (e- commerce), kao i savremenih finansijskih i korporacijskih
računarskih mreža..
Infrastruktura sistema sa javnim ključem PKI obezbeđuje pouzdano
okruženje za realizaciju funkcija zaštite komercijalnih transakcija.
PKI sistem predstavlja kombinaciju hardverskih i softverskih
proizvoda, politika i procedura.
PKI sistem ostvaruje lanac poverenja u elektronskom poslovanju
tako da korisnici koji se ne poznaju mogu komunicirati potpuno
bezbedno.
PKI sistem se bazira na digitalnim certifikatima.
Komponente PKI sistema
Certifikaciono telo (CA)
Registraciona tela (RA21)
Sistem za distribuciju certifikata
PKI aplikacije
Dokumenti za rad PKI sistema
Certificaciono telo – (CA)
Srce PKI sistema predstavlja certifikaciono telo čija je osnovna
funkcija pouzdano uspostavljanje zaštićenog digitalnog identiteta svih
učesnika za komunikaciju u nebezbednoj računarskoj mreži.
Funkcije CA su:
Izdavanje certifikata;
Upravlja rokom važnosti certifikata;
Upravlja povlačenjem certifikata publikovanjem lista povučenih
certifikata;
Bezbednosni aspekti CA
Imperativ PKI sistema je obezbeđenje najvišeg nivoa bezbednosti CA.
Ako je CA kompromitovano, čitav PKI sistem je kompromitovan.
Potpuna i pouzdana zaštita tajnog ključa asimetričnog sistema
CA je najvažniji zadatak koji se postavlja pred CA.
19 CA – Certificate authority - certifikaciono telo;
20 PKI - Public Key Infrastructure
21 RA - REGISTRATION AUTHORITY – registraciono telo;
Registraciono telo
Registraciono telo omogućava interfejs između korisnika i CA.
RA prihvata zahteve za izdavanjem certifikata, proverava identitet
korisnika i prosleđuje zahteve u određenom formatu ka CA.
Kvalitet načina provere identiteta podnosioca zahteva
određuje nivo poverenja koji smešta u certifikacioni zahtev.
PKI aplikacije
Zaštićene WEB transakcije
Zaštićene E-mail poruke
Zaštićen FTP servis
Formiranje VPN (IPSec) mreža
Bezbedno upravljanje dokumentacijom
Bezbena plaćanja putem Interneta
Danas u svetu najšire korišćena aplikacija koja koristi elektronske potpise
je elektronsko bankarstvo. Obzirom da se radi o ugovornom odnosu
komitenta i banke, ove aplikacije spadaju u aplikacije zatvorenih grupa
korisnika. Oblast koju sigurno obuhvataju Evropske Direktive i nacionalni
zakoni je e-government – elektronska uprava, kao i drugi javni servisi koji
se nude građanima i pravnim licima.
Do sada preduzete aktivnosti u Srbiji
Srbija je jedna od poslednjih država u Evropi koja je, nakon Evropske
Direktive o elektronskim potpisima od 19.01.2000.godine, usvojila Zakon
o elektronskom potpisu.Zakon o elektronskom potpisu u Srbiji je izglasan
u Narodnoj Skupštini Republike Srbije dana 14.12.2004. godine i
publikovan u “Sl. gl. RS” br. 135 od
21.12.2004 godine. Rad na ovom Zakonu je započeo avgusta 2000.
godine kada je radna grupa pod okriljem tadašnjeg Saveznog zavoda za
informatiku započela izradu Predloga Zakona o elektronskom poslovanju
i elektronskom potpisu. Predlagač tog Zakona je trebalo da bude
Savezno Ministarsto pravde, ali iz mnogih razloga taj Zakon nije nikada
usvojen na saveznom nivou.Krajem 2002. godine organizovana je radna
grupa od strane Ministarstva za nauku, tehnologiju i razvoj RS za izradu
republičkog Predloga Zakona o elektronskom potpisu.
Ovaj predlog je izrađen početkom 2003. godine i prosleđen Ministarstvu,
a zatim
Vladi i Skupštini . Vlada je pala i Skupština raspuštena, i on nije izglasan.
Nakon formiranja nove Vlade početkom 2004. godine svi predlozi Zakona
koji su se našli u proceduri prethodne Skupštine vraćeni su nadležnim
Ministarstvima na doradu. Zakon o elektronskom potpisu je vraćen
Ministarstvu za nauku i zaštitu životne sredine, koje je angažovalo istu
radnu grupu za reviziju Zakona. Tom prilikom izrađen je predlog u koga
su ugrađene neophodne izmene u skladu sa najnovijim zaključcima i
trendovima u tom domenu u Evropskoj zajednici.
Uticaj Zakona o elektronskom potpisu na rad banaka
U domenu elektronskog bankarstva, u svetu Srbija spada u red najrazvijenijih zemalja.Od 06. januara 2003. godine, nakon prelaska platnog prometa sa ZOP-a na poslovne banke, sve banke u Srbiji koje su praktčno krenule u elektronski platni promet sa pravnim licima i to na bazi primene smart kartica i elektronskog potpisa. Banke koriste različita PKI rešenja za realizaciju elektronskog potpisa. Usvojen Zakon o elektronskom potpisu je osnova za dalji razvoj elektronskog poslovanja – elektronske uprave, kao i osnova za donošenje novih zakonskih rešenja u Srbiji (na pr. Zakon o elektronskoj trgovini).U pravnom smislu na osnovu iznetih Evropskih iskustava Zakon o elektronskom potpisu nema nikakvog uticaja na elektronsko bankarstvo u Srbiji. Osnovna uloga Zakona se odnosi na :- da propiše uslove pod kojima je elektronski potpis pravno ekvivalentan svojeručnom potpisu.- da propše uslove koje moraju da ispune Sertifikaciona Tela koja izdaju kvalifikovane sertifikate za verifikaciju kvalifikovanih elektronskih potpisa.
Predmet Zakonskog regulisanja- upotreba elektronskog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i drugim radnjama.- korišćenje dokumenata u elektronskom obliku;
Ciljevi koji se žele postići donošenjem Zakona- Pouzdano elektronsko poslovanje- Punovažnost elektronskog dokumenta- Ravnopravnost elektronskog potpisa sa svojeručnim potpisom- Modernizacija rada državnih organa, organa lokalne samouprave i javnih službi- Sprovođenje Direktive EU o elektronskom potpisu- Usklađivanje sa međunarodnim standardima
Uslovi za formiranje kvalifikovanog elektronskog potpisa- Pravno dejstvo kvalifikovanog elektronskog potpisa- Rad sertifikacionih tela- Elektronski sertifikati- Prava i obaveze u vezi korišćenja elektronskih sertifikata- Poslovi nadzora nad sprovo|enjem zakona- Kaznene odredbePunovažnost elektronskog dokumenta“Elektronski dokument” – dokument u elektronskom obliku koji se koristi u pravnim poslovima i drugim pravnim radnjama, kao i upravnom, sudskom i drugom postupku pred državnim organom-(čl.2 tačka1. Zakona o elektronskom potpisu.)Elektronskom dokumentu se ne može osporiti punovažnost ili dokazna snaga samo zbog toga što je u elektronskom obliku (Evropska direktiva o elektronskom potpisu, 19. januara 2000.godine)
Pravila i uslovi čuvanja elektronskog dokumenta
- da je dostupan i na raspolaganju za kasniju upotrebu.- sačuvan u obliku u kome je formiran ili primljen- sačuvan na način koji omogućuje identifikaciju vremena i mesta nastanka ili prijema i lica koje ga je formiralo- primenjena terhnologija i postupci koji omogućuju da se na pouzdan način može utvrditi bilo kakva izmena u elektronskom dokumentuLica koja čuvaju elektronske dokumente, koji su elektronski potpisani, moraju čuvati podatke i sredstva za proveru elektronskog potpisa onoliko vremena koliko se čuvaju sami dokumenti.
Poslovi koji se ne mogu punovažno obaviti elektronskim putem su:- Prenos prava svojine na nepokretnosti ili ustanovljavanje drugih stvarnih prava na nepokretnostima;- ostavinski poslovi;- ugovori o uređivanju imovinskih odnosa između bračnih drugova;- ugovori o raspolaganju imovinom lica kojima je oduzeta poslovna sposobnost;- ugovori o ustupanju i raspodeli imovine za života;- ugovori o doživotnom izdržavanju i sporazumi u vezi sa nasleđivanjem;- ugovori o poklonu;- drugi pravni poslovi ili radnje za koje je posebnim Zakonom ili na osnovu zakona donetih propisa izričito određena upotreba svojeručnog potpisa;
Struktura Zakona o elektronskom potpisu
Zakon ima 46 članova, podeljenih u 7 glava.U prvoj glavi Opšte odredbe (1.1.-5) objanjeni su osnovni pojmovi korišćeni u tekstu.U drugoj glavi, naslovljeno, Elektronski potpis, i kvalifikovani elektronski potpis (1.6-11) uređeni su osnovi elektronskog poslovanja, podaci u elektronskom obliku,čuvanje, provera, povezanost sa potpisnikom, sredstva za izradu, proveru kvalifikovanog elektronskog potpisa, slanje i prijem elektronskih poruka, punovažnost elektronskog ugovora.Tre}a glava posve}ena je Elektronski sertifikati i sertifikaciona telo (1.12.-22) odnosi se na kvalifikovani sertifikat i njegov sadržaj, punovažnost,verifikaciju, uslove rada sertifikscionog tela.Cetvrta glava Prava, Obaveze i Odgovornosti korisnika i sertifikaciono telo (l.23.-35.),obuhvata uslove za izdavanje i opoziv kvalifikovanih elektronskih sertfikata, čuvanje izdatih kvalifikovanih elektronskih sertifikata, odgovornosti i obaveze sertifikacionog tela.Peta glava Nadzor (1.36-41) posvećena je nadzoru nad sertifikacionim telima, kontrola pravilnosti primene propisanih postupaka.Šesta glava Zakona Kaznene odredbe(1.42.-44), posvećena je kaznenim odredbama – novčanim kaznama za navedeni prekršajSedmu glavu cine prelazne i završne odredbe (l. 45.-46.) -podzakonska akta.
Elektronski potpis – definicija i pravno dejstvo
“Elektronski potpis”- skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa elektronskim dokumentom i koji služe za identifikaciju potpisnika (čl. 2 tačka 2 Zakona o elektronskom potpisu).“Potpisnik”- lice koje poseduje sredstva za elektronsko potpisivanje i vrši elektronsko potpisivanje u svoje ime ili u ime pravnog ili fizičkog lica, (čl. 2 tačka4 Zakona).Elektronski potpis mo`e imati pravno dejstvo i može se koristiti kao dokaz u zakonskom postupku, osim kada zahteva da samo svojeručni potpis ima zakonsku snagu.“Podaci za formiranje elektronskog potpisa”-jedinstveni podaci, kao što su kodovi ili privatni kriptografski ključevi, koji potpisnik koristi za izradu elektronskog potpisa; (član 2. tačka 5. Zakona)“Sredstva za formiranje elektronskog potpisa”-odgovgaraju}a tehni~ka sredstva (softver i hardver) koja se koristi za formiranje elektronskog potpisa, uz kori{}enje podataka za formiranje elektronskog potpisa; (~l. 2 ta~ka 6. Zakona) “Podaci za proveru elektronskog potpisa “ –podaci, kao {to su kodovi ili javni kriptografski klju~evi , koji se koriste za proveru i overu elektronskog potpisa; (~l.2 ta~ka 8. Zakona)“Sredstva za proveru elektronskog potpisa”-odgovaraju}a tehnička sredstva (softver i hardver) koja služe za proveru elektronskog potpisa, uz korišćenje podataka za proveru elektronskog potpisa; (čl. 2 tačka 9 Zakona).
Kvalifikovani elektronski potpis- definicija i uslovi
“Kvalifikovani elektronski potpis”je elektronski potpis kojim se pouzdano garantuje identitet potpisnika, integritet elektronskih dokumenata i onemogućava naknadno poricanja odgovornosti za njihov sadržaj, i koji ispunjava uslove utvrđene ovim Zakonom;On u odnosu na podatke u elektronskom obliku ima isto pravno dejstvo i dokaznu snagu kao i svojerični potpis na podatke u papirnatom obliku.Kvalifikovani elektronski potpis, mora da zadovolji sledeće uslove:-isključivo je povezan sa potpisnikom;-nedvomisleno identifikuje potpisnika;-nastaje koršćenjem sredstava kojima potpisnik može samostalno da upravlja i koja su isključivo pod nadzorom potpisnika;-direktno je povezan sa podacima na koje se odnosi, i to na način koji nedvosmisleno omogućava uvid u bilo koju izmenu izvornih podataka;-formiran je sredstvima za formiranje kvalifikovanog elektronskog potpisa; Primenom kvalifikovanog elektronskog potpisa pouzdano se realizuju sledeće funkcije: Provera autentičnosti potpisnika, Zaštita integriteta sadržaja poruke koja je potpisana, Neporečivost potpisivanja poruke.
Sredstva za formiranje kvalifikovanog elektronskog potpisa
Koja ispunjavaju uslove utvrđene Zakonom (čl. 2tačka 7. Zakona) treba da obezbede:- da se podaci za formiranje kvalifikovanog elektronskog potpisa mogu pojaviti samo jednom i da je obezbeđena njihova poverljivost;- da se iz podataka za proveru kvalifikovanog elektronskog potpisa, ne mogu u razumno vreme i trenutno dostupnim sredstvima, dobiti podaci za formiranje kvalifikovanog elektronskog potpisa;- da kvalifikovani elektronski potpis bude zaštićen od falsifikovanja,upotrebom trenutno dostupne tehnologije;- da podaci za formiranje kvalifikovanog elektronskog potpisa budu pouzdano zaštićeni od neovlašćenog korišćenja.Sredstva za formiranje kvalifikovanog elektronskog potpisa ne smeju prilikom formiranja potpisa promeniti podatke koji se potpisuju ili onemogućiti potpisniku uvid u te podatke pre procesa formiranja kvalifikovanog elektronskog potpisa.
Formiranje kvalifikovanog elektronskog potpisa – asimetrični algoritmi
Kvalifikovani elektronski potpis se formira primenom jednog od standardizovanih asimetrčnih kriptografskih algoritama iz sledeće grupe, i to: RSA22, DSA23 ili ECDSA24.Pri formiranju kvalifikovanog elektronskog potpisa primenjuju se i hash funkcije za dobijanje otisaka poruke fiksne veličine (128 ili 160 bita).Hash funkcije iz stava 1 ovog člana realizuju se primenom standardizovanih hash algoritama iz sledeće grupe, i to: MD5 (Message Digest) – rezultuje u hash vrednostima veličine 128 bita ili SHA-1 (Secure Hash Algorithm) – rezultuje u hash vrednostima veličine 160 bita.
Sredstva za proveru kvalifikovanog elektronskog potpisa
Treba da obezbede:- pouzdano utvrđivanje da podaci korišćeni za proveru elektronskog potpisa odgovaraju podacima prikazanim licu koje vrši proveru;- pouzdano verifikovanje potpisa i korektno prikazivanje rezultata provere;- omogućavanje pouzdanog uvida u sadržaj potpisanih podataka- pouzdano verifikovanje autentičnosti i validnosti elektronskog sertifikata potpisnika u trenutku provere elektronskog potpisa;- korektno prikazivanje identiteta potpisnika;- da se bilo koje izmene u potpisanim podacima pouzdano detektuju.
22 RSA - Rivest Shamir Adleman;23 DSA - Digital Signature Algorithm;24 ECDSA - Elliptic Curve Digital Signature Algorithm;
“Sredstva za proveru kvalifikovanog elektronskog potpisa”- sredstva za proveru elektronskog potpisa koja ispunjavaju uslove utvr|ene su Zakonom (čl. 2 tačka 10 Zakona).
Pravno dejstvo kvalifikovanog elektronskog potpisaKvalifikovan elektronski potpis, formiran sredstvima za formiranje kvalifikovanog elektronskog potpisa, koji se može proveriti na osnovu kvalifikovanog elektronskog sertifikata u odnosu na podatke u elektronskom obliku, i kao takav prihvatljiv je kao dokazni materjal u pravnim poslovima, i ima istu pravnu snagu kao i svojeručni potpis u odnosu na podatke u papirnom obliku.
Definicija elektronskog sertifikata i njegov sadržaj“Elektronski sertifikat” –elektronski dokument kojim se potvrđuje veza između podataka za proveru elektronskog potpisa i identiteta potpisnika; (čl. 2 ta~ka 3Zakona o elektronskom potpisu)
Sadržaj elektronskog sertifikata
Верзија формата цертификата (v3)
Серијски број цертификатаИдентификатор алгоритма којим се врши дигитални потписНазив Цертификационог тела које је издало цертификат
Рок важности цертификата
Власник цертификата
Јавни кључ власника цертификатаОдређени специфични подаци који се односе на услове коришћења цертификата
ДИГИТАЛНИ ПОТПИС ЦЕРТИФИКАТА ТАЈНИМ КЉУЧЕМ ЦЕРТИФИКАЦИОНОГ ТЕЛА
Provera elektronskog sertifikata korisnika
Provera perioda validnosti Provera da li se veruje CA koje je izdalo sertifikat;
Provera digitalnog potpisa samog korisnikovog sertifikata Provera CRL liste; (Opciono) Autorizacija korisnika – provera privilegija za pristup odgovaraju}im informacionim resursima;
“Kvalifikovani elektronski sertifikat” – elektronski sertifikat koji je izdat od strane sertifikacionog tela za izdavanje kvalifikovanih elektronskih sertifikata i koji mora da sadr`i podatke:- oznaku o tome da se radi o kvalifikovanom elektronskom sertifikatu;- skup podataka koji jedinstveno identifikuje pravno lice koje izdaje sertifikat;- skup podataka koji jedinstveno identifikuje potpisnika;- podatke za proveru elektronskog potpisa, koji odgovaraju podacima za izradu kvalifikovanog elektronskog potpisa, a koji su pod kontrolom potpisnika;-podatke o po~etku i kraju va`enja elektronskog sertifikata;- identifikacionu oznaku izdatog elektronskog sertifikata;- kvalifikovani elektronski potpis sertifikacionog tela koje je izdalo elektronski sertifikat;- ograni~enja vezana za upotrebu sertifikata, ako ih ima.
Sertifikaciono telo i uslovi za rad
“Sertifikaciono telo” – pravno lice koje izdaje elektronske sertifikate u skladu sa odredbama ovog Zakona tj. pravno lice koje drugim pravnim i fizičkim licima pruža usluge izdavanja elektronskih sertifikata i vrši druge usluge povezane sa tom delatnošću.Uslovi za rad: sposobnost za pouzdano obavljanje usluga izdavanja elektronskih sertifikata; bezbedno i ažurno vođenje registra korisnika kao i sprovođenje bezbednog i trenutnog opoziva elektronskog sertifikata; obezbeđivanje tačnog utvrđivanja datuma i vremena izdavanja ili opoziva elektronskog sertifikata; da izvršava proveru identiteta i, ako je potrebno, drugih dodatnih obeležja licu kojem se izdaje sertifikat, na pouzdan način i u skladu sa propisima; da ima zaposlena lica sa specijalističkim znanjima, iskustvom i stručnim kvalifikacijama potrebnim za vršenje usluge izdavanja elektronskih sertifikata, a naročito u odnosu na: upravljačke sposobnosti, stručnost u primeni tehnologija elektronskog potpisa i odgovarajućih sigurnosnih procedura i bezbednu primenu odgovarajućih administrativnih i upravljačkih postupaka koji su usaglašeni sa priznatim standardima; da koristi pouzdane sisteme i proizvode koji su zaštićeni od neovlašćenih izmena i koji obezbeđuju tehničku i kriptografsku sigurnost procesa; da preduzima mere protiv falsifikovanja elektronskih sertifikata, a u slučajevima u kojima generiše podatke za formiranje elektronskog potpisa da garantuje tajnost procesa formiranja tih podataka;
da ne čuva i ne kopira podatke za formiranje elektronskog potpisa za lica u čije ime pruža tu uslugu; da obezbedi sisteme za fizičku zaštitu uređaja, opreme i podataka, i sigurnosna rešenja za zaštitu od neovlašćenog pristupa; da informiše lica koja traže izdavanje kvalifikovanog elektronskog sertifikata o tačnim uslovima izdavanja i korišćenja tog sertifikata, uključujući bilo koja ogrančenja u korišćenju, kao i o postupcima za rešavanje sporova. Takve informacije, koje mogu biti dostavljene elektronski, moraju biti napisane i pripremljene u razumljivom obliku na srpskom jeziku. da obezbedi čuvanje svih relevantnih informacija koje se odnose na elektronske sertifikate u propisanom vremenskom periodu i to u izvornom obliku; da koristi pouzdan sistem upravljanja elektronskim sertifikatima u obliku koji omogućava njihovu proveru kako bi:- unos i promene radila samo ovlašćena lica;- mogla biti proverena autentičnost informacija iz sertifikata;- elektronski sertifikati bili javno raspoloživi za pretraživanje samo u onim slučajevima za koje je vlasnik sertifikata dao saglasnost;- bilo koja tehnička promena koja bi mogla da naruši bezbednosne zahteve bila poznata sertifikacionom telu.Sertifikaciono telo izdaje kvalifikovane elektronske sertifikate korisnicima u skladu sa dokumentima ETSI ESI TS 101 862 “Qualified Certificate Profile i sa obaveznim sadržajem definisanim u čl.17 Zakona o elektronskom potpisu.
Registracija sertifikacionih tela za izdavanje elektronskih sertifikata
Sertifikacionim telima nije potrebno posebna dozvola za izdavanje elektronskih sertifikata.Ministarrstvo za nauku, tehnologiju i razvoj je nadležno za vođenje evidencije sertifikscionih tela.Sertifikaciono telo mora prijaviti Ministarstvu početak obavljanja usluga izdavanja elektronskih sertifikata najmanje 15. dana pre početka rada.
Registracija sertifikacionih tela za izdavanje kvalifikovanih elektronskih sertifikata
Sertifikaciono telo:- obavlja usluge na osnovu dozvole koju izdaje Ministarstvo, na njegov zahtev, ako ispunjava uslove utvrđene Zakonom.- dozvola ima značenje rešenja izdatog u upravnom postupku.- dozvola se izdaje u roku od 30 dana ukoliko su ispunjeni Zakonom propisani uslovi;- sertifikaciono telo za izdavanje kvalifikovanih elektronskih sertifikata kome je izdata dozvola upisuju se u Registar sertifikacionih tela za izdavanje kvalifikovanih sertifikata u Republici Srbiji koji vodi Ministarstvo.- sertifikaciono telo za izdavanje kvalifikovanih elektronskih sertifikata može da započne sa obavljanjem usluge danom upisa u registar.
Za izdavanje kvalifikovanih elektronskih sertifikata može biti državni organ i toMinistarstvo unutrašnjih poslova, u skladu sa posebnim propisima. Javnost rada sertifikacionih telaRegistar sertifikacionih tela za izdavanje kvalifikovanih elektronskih sertifikata i evidencija sertifikacionih tela su javni i vode se u elektronskom obliku.Spisak sertifikacionih tela za izdavanje kvalifikovanih elektronskih sertifikata upisanih u registar, kao i izmene i dopune, objavljuju se u “Sl. Glasniku Republike Srbije”.
Korisnici elektronskih sertifikataElektronski sertifikat se može izdati na zahtev, o čemu se zaključuje poseban ugovor i to:- pravnom licu;- preduzetniku;- državnom organu;- organu teritorijalne autonomije;- organu lokalne smouprave- fizičkom licu
Obaveze korisnika elektronskih sertifikata su:- čuvanje sredstava i podatke za formiranje elektronskog potpisa od neovlašćenog pristupa i upotrebe, i iste koristi u skladu sa odredbama Zakona.- dostavljanje sertifikacionom telu sve potrebne podatke i informacije o promenama koje utiču na tačnost utvrđivanja identiteta potpisnika odmah, a najkasnije u roku od 24časa od nastanka promena.- da trenutno zatraži opoziv svog sertifikata u svim slučajevima gubitka ili oštećenja sredstava ili podataka za formiranje elektronskog potpisa.
Obaveze sertifikacionih tela za izdavanje kvalifikovanih elektronskih sertifikata:
- obezbedi da svaki kvalifikacioni elektronski sertifikat sadrži sve potrebne podatke u skladu sa Zakonom;- izvrši potpunu proveru identiteta korisnika za koga vrši usluge sertifikacije;- obezbedi tačnost i celovitost podataka koje unosi u evidenciju izdatih sertifikata- u svaki sertifikat unese osnovne podatke o svom identitetu;- omogući svakom zainteresovanom licu uvid u identifikacione podatke sertifikacionog tela i uvid u dozvolu za izdavanje kvalifikovanih elektronskih sertifikata;- vodi ažurnu, tačnu i bezbednim merama zaštićenu evidenciju elektronskih sertifikata koja mora da bude javno dostupna;- vodi tačnu i bezbednim merama zaštićenu evidenciju nevažećih elektronskih sertifikata;- obezbedi vidljiv podatak o tačnom datumu i vremenu (sat i minut) izdavanja odnosno opoziva elektronskih sertifikata u evidenciji izdatih elektronskih sertifikata;
- primenjuje odredbe Zakona i drugih propisa kojima je uređena zaštita ličnih podataka;Opoziv izdatih kvalifikovanih elektronskih sertifikata
Sertifikaciono telo je dužno da prekine uslugu sertifikacije, izvrši opoziv izdatih kvalifikovanih elektronskih sertifikata , u slede}im slučajevima:- opoziv sertifikata zahteva vlasnik sertifikata ili njegov punomoćnik;- vlasnik sertifikata izgubi poslovnu sposobnost, ili je prestao da postoji , ili su se promenile okolnosti koje bitno utiču na važenje sertifikata;- utvrdi da je podatak u sertifikatu pogrešan ili je sertifikat izdat na osnovu pogrešnih podataka;- utvrdi da su podaci za proveru elektronskog potpisa ili informacioni sistem sertifikacionog tela ugroženi na način koji utiče na bezbednost i pouzdanost sertifikata;- utvrdi da su podaci za elektronsko potpisivanje ili informacioni sistem vlasnika sertifikata ugroženi na način koji utiče na pouzdanost i bezbednost izrade elektronskog potpisa;- prestaje sa radom ili mu je rad zabranjen, a period izdatih sertifikata je važeći; Sertifikaciono telo je dužno da ažurno vodi evidenciju svih opozvanih elektronskih sertifikata, kao i da obavesti korisnika o opozivu elektronskog sertifikata u roku od 24 sata od primljenog obaveštenja o nastanku okolnosti zbog kojih se elektronski sertifikat opoziva.
Razmena potpisanih dokumenata
Potpisana elektronska dokumenta se razmenjuju u formi dokumenata u kojima su ugrađeni osnovni podaci o postupku, algoritmu i kvalifikovanom elektronskom sertifikatu potpisnika kako bi primalac elektronskog dokumenta mogao proveriti kvalifikovani elektronski potpis na bazi usaglašene tehnologije i postupaka.
Rok za čuvanje dokumentacije o elektonskim sertifikatima
Sertifikaciono telo koje izdaje kvalifikovane elektronske sertifikate mora čuvati kompletnu dokumentaciju o izdatim i opozvanim elektronskim sertifikatima kao sredstvo za dokazivanje i verifikaciju u sudskim, upravnim i drugim postupcima najmanja 10 godina po prestanku važenja kvalifikovanih elektronskih sertifikata. Podaci se mogu čuvati u elektronskom obliku.
Obaveze u slučaju prekida rada sertifikacionog tela
Sertifikaciono telo je dužno:- da o prekidu rada obavesti svakog korisnika i Ministarstvo najmanje 3 meseca pre nastanka ovih okolnosti;- da obezbedi kod drugog sertifikacionog tela nastavak obavlanja usluge sertifikacije za korisnike kojima je izdao sertifikate, a ukoliko za to nema mogućnosti dužno je da opozove sve izdate sertifikate i o tome odmah obavesti Ministarstvo.- da dostavi svu dokumentaciju u vezi sa obavljanjem usluge sertifikacije drugom sertifikacionom telu na koga prenosi obaveze obavljanja usluge sertifikacije, odnosno Ministarstvu ako nema drugog sertifikacionog tela.Ministarstvo vrši opoziv sertifikata koje je izdalo sertifikaciono telo koje je iz bilo kojih razloga prekinulo obavljanja sertifikacije, a nije obezbedilo nastavljanje obavljanja sertifikacije kod drugog sertifikacionog tela i nije opozvalo izdate sertifikate, na trošak sertifikacionog tela.
Punovažnost stranih elektronskih sertifikata
Elektronski sertifikati koje izdaje strano sertifikaciono telo ravnopravni su sa domaćim elektronskim sertifikatima.Kvalifikovani elektronski sertifikati izdati od strane inostranih sertifikacionih tela ravnopravni su sa domaćim samo:- ako je inostrano sertifikaciono telo dobilo dozvolu od Ministarstva, ili ako potiču iz zemlje sa kojom postoji bilateralni sporazum o međusobnom priznanju kvalifikovanih elektronskih sertifikata.
Poslovi nadzora
Inspekcijski nadzor nad sprovo|enjem Zakona i radom sertifikacionih tela vrši Ministarstvo. Pored toga nadzor mogu vršiti i državni organi, i drugi organi određeni Zakonaom i drugim propisima kojima se uređuje zaštita ličnih podataka. U okviru nadzora registrovanih i evidentiranih sertifikacionih tela Ministarstvo:- utvrđuje da li su ispunjeni Zakonom propisani uslovi;- kontroliše pravilnost primene propisanih postupaka i organizaciono-tehničkih mera, primenu internih pravila koja su u vezi sa uslovima propisanim Zakonom.
Obaveze sertifikacionog tela u vr{enju nadzora
Sertifikaciono telo je dužno da u cilju sprovođenja nadzora omogući ovlašćenim licima Ministarstva pristup u svoje poslovne prostorije i uvid u podatke o poslovanju, uvid u poslovnu dokumentaciju, pristup registru korisnika i primenjenoj računarskoj opremi i uređajima.Ako sertifikaciono telo prestane da ispunjava uslove propisane ovim Zakonom, ovlašćeno lice Ministarstva donosi rešenje o njegovom brisanju iz registra sertifikacionih tela za izdavanje kvalifikovanih elektronskih sertifikata.
Kaznene odredbe
Za radnje suprotne odredbama Zakona propisani su prekršaji i novčane kazne za:- fizička lica- pravna lica- preduzetnike- sertifikaciona tela- odgovorna lica
Naredni koraci
Prvi korak nakon usvajanja Zakona o elektronskom potpisu je postupak javne rasprave za usaglašavanje i javno objavljivanje odgovarajućih podzakonskih akata kojima se bliže uređuju pitanja iz domena akreditacije i registracije sertifikacionih tela koja izdaju kvalifikovane sertifikate, kao i iz domena tehnologije elektronskog potpisa i procene usklađenosti sredstava za kreiranje kvalifikovanog elektronskog potpisa. Podzakonski akti ne moraju da prolaze klasičnu skupštinsku proceduru već se odobravaju na nivou Ministra.Paralelno sa procedurom usaglašavanja podzakonskih akata neophodno je realizovati aktivnosti na uspostavi nadležnog Nacionalnog tela – Agencije u cilju obezbe|enja neophodne infrastrukutre za implementaciju Zakona, a samim tim i Evropske Direktive o elektronskim potpisima.Pripremljena su četiri podzakonska akta koja su predviđena u Zakonu i to:- Pravilnik o evidenciji sertifikacionih tela;- Pravilnik o registru sertifikacionih tela koja izdaju kvalifikovane elektronske sertifikate u Republici Srbiji;- Pravilnik o tehničko-tehnološkim postupcima za formiranje kvalifikovanog elektronskog potpisa i kriterijumima koje treba da ispune sredstva za formiranje kvalifikovanog elektronskog potpisa;- Pravilnik o bližim uslovima za izdavanje kvalifikovanih elektronskih sertifikata. Implementacija Zakona je predvi|ena po nezvaničnoj informaciji krajem ove2005.godine. Postoje tri oblasti u kojima se mora definisati odgovarajuća regulative od strane pomenutog Nacionalnog tela: Uspostava Centralnog Sertifikacionog Tela (Root CA) u okviruNacionalnog tela, Definisanje odgovarajućih tela/laboratorija u cilju ispitivanja i atestiranja Sertifikacionih tela koja hoće da izdaju kvalifikovane elektronske sertifikate, Definisanje odgovarajućih tela/laboratorija u cilju “procene prilagođenosti”sredstava za kreiranje kvalifikovanog elektronskog potpisa SSCDs.
Zaključak
Razvoj banaka je bio vrlo dinamičan, sa stalnom tendencijom povećavanja obima poslovanja, uvođenjem novih poslova i metoda rada, unapređenje tehničko- tehnološke opremljenosti banke i primeni elektronskog bankarstva.
Privatizacijom u privredi i razvojem tržišta, sanacijom bankarskog sistema, podizanjem nivoa informatičke pismenosti , kako zaposlenih u bankama, tako i stanovništva, uplivom stranog kapitala i infrastrukturnom nadgradnjom, za očekivati je da će se u finansijskom sistemu Srbije ozbiljnije početi sa korišćenjem elektronskog bankarstva. Pored interesa bankarskih subjekta u pogledu razvoja i primene elektronskog bankarstva ,nezaobilazna je uloga države, koja mora osim svoje regulativne uloge, u procesu pospešivanja razvoja elektronskog bankarstva da posebno vodi ra~una o kadrovima.Potrebno je očekivati podršku Vlade i izraziti potrebu za Vladinim programima koji bi:-doprineli razvoju obrazovanijeg i bolje informisanijeg društva:-otklonili socijalnu podeljenost , tj. digitalni jaz između onih koji imaju i onih koji nemaju mogućnost korišćenja informacione tehnologije:-Podržali razvoj kvalitetnije i izdržljive informacione i telekomunikacione infrastrukture:- Obezbedili saradnju sa drugim međunarodnim organizacijama, čiji rezultati rada imaju primenu u oblasti elektronskog poslovanja (OECD,UNCITRAL,ISO...).
Primjena elektronskog poslovanja mijenja poslovni ambijent i stvara
uslove da se svi poslovi rade drugaĉije i to, prije svega, brże,efikasnije i
ekonomiĉnije. Poslovni partneri komuniciraju preko Interneta, ĉitaju
elektronske ponude, elektronski ugovaraju nabavke,narudţe potpisuju
elektronskim potpisom, šalju elektronske naloge za isporuku naruĉene
robe, vrše elektronsko plaćanje, prijaVljuju svoju nabavku carini i
elektronski obavljaju i potpisuju ĉitav niz drugih poslova.
Prema jednoj od niza definicija Elektronsko poslovanje (e-business) jeste
voĊenje poslova na Internetu, što ne podrazumeva samokupovinu i
prodaju, već organizaciju poslovanja firme u mreţnom okruţenju,
organizovanje poslovne komunikacije prema klijentima I brigu o
klijentima. Novo poslovanje je dobro dokumentovano, zaštićeno od
falsifikata i prevara i nije zasnovano na papirnimdokumentima, već se
iskljuĉivo bazira na elektronskim dokumentima koji se, prema potrebi,
mogu i odštampati.
Najĉešći oblici elektronskog poslovanja jesu elektronska trgovina (e-
commerce) i elektronsko bankarstvo (e-banking), a u posljednje vrijeme
36
sve ĉešće se spominje i u praksi nalazi primjenu pojam elektronska uprava
(e-Government). Naţalost, na našim prostorimaelektronsko poslovanja
nalazi se na marginama svjetskih zbivanja, prije svega zbog nepostojanja
odgovarajuće zakonske regulative i veoma malog procenta stanovništva
koje se koristi internetom, odnosno niskog nivoa tehniĉke kulture uopšte.
Iz grafikona na slici 1vidi se da samo 10 % stanovništva Bosne i
Hercegovine koristi Internet, a ako bi se upuštali u dalje analize najveći dio
njih Internet koristi samo za pretraţivanje i elektronsku poštu (e-mail)
Pošto sam jedan od prvih korisnika e-bankinga za fiziĉka lica u Banja Luci
iz liĉnog iskustva mogu reći da ovaj vid elektronskogposlovanja predstavlja
znaĉajan napredak i umnogome olakšava i ubrzava poslovanje na nivou
pojedinca, odnosno domaćinstva išire. Već
desetak godina ja ne stojim u redu da podignem platu i što je još bitnije,
nakon toga u redovima za plaćanje raĉuna zatelefone, struju, komunalne i
sve druge obaveze. Ne treba posebno naglašavati koliko ušteĊenog
vremena to znaĉi, posebno danasu vrijeme ekstremno brzog naĉina ţivota
kad uzreĉica "vrijeme je novac" nije više samo fraza.
37