10.2 Програмне забезпечення м.Е.Doc (opz).

Даний програмний продукт призначений для формування податкової звітності в електронному вигляді у форматі Extensible Markup Language (XML) згідно наказу Державної податкової адміністрації України від 3 травня 2006 року № 242 «Про затвердження формату (стандарту) електронного документа звітності платників податків» зі змінами які внесені наказом від 5 грудня 2007 року № 670 «Про внесення змін до формату (стандарту) електронного документа звітності платників податків»

Метою створення даного програмного продукту було надання можливості швидкого формування податкової звітності в електронному вигляді, з дотриманням правил структурного контролю, проведення камеральної перевірки та формування паперової копії.

Вимоги до технічного забезпечення

Для нормального функціонування даної програми необхідні:

- Операційна система Microsoft Windows 98/ME/2000/XP

- Додаткові компоненти Microsoft Windows: Microsoft Internet Explorer (версії не нижче 6.0), Microsoft XML Parser 4.0 SP2, Java 2 Platform Standard Edition Runtime Environment 5.0 (або вищої версії), Adobe Acrobat Reader 5.0 (або вищої версії).

Отримати, доповнення(поновлення) та додаткові компоненти Microsoft Windows, необхідні для функціонування програмного забезпечення по формуванню податкової звітності в електронному вигляді, можна:

• на інформаційному ресурсі Державної податкової адміністрації за адресою: http://www.sta.gov.ua/control/uk/publish/article?art_id=118370&cat_id=117117

• у своїй податковій інспекції.

Для встановлення ПЗ краще використовувати інсталяційний пакет OPZ, призначений для встановлення програми "з нуля". За допомогою такого пакету встановлюється базова версія, наявні оновлення та додаткові компоненти.

Інсталяційний пакет містить лише офіційні релізи програми, зібрані в 1 архівний файл. Спочатку встановлюється ПЗ у версії 1.15, після чого завантажуються оновлення та (на вимогу) – додаткові компоненти (потрібний доступ до мережі Інтернет).

 

10.3 Електронний цифровий підпис та програмне забезпечення art-zvit.

Електронний цифровий підпис (ЕЦП) (Digital signature) — вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа

Надійний засіб електронного цифрового підпису — засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.

Одним із елементів обов'язкового реквізиту є електронний підпис, який використовується для ідентифікації автора та/або підписувача електронного документа іншими суб'єктами електронного документообігу.

Оригіналом електронного документа вважається електронний примірник з електронним цифровим підписом автора.

Електронний цифровий підпис є складовою частиною інфраструктури відкритих ключів.

Електронний цифровий підпис призначений для забезпечення діяльності фізичних та юридичних осіб, яка здійснюється з використанням електронних документів.

Електронний цифровий підпис використовується фізичними та юридичними особами - суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.

Використання електронного цифрового підпису не змінює порядку підписання договорів та інших документів, встановленого законом для вчинення правочинів у письмовій формі.

ЕЦП - інструмент забезпечення інформаційної безпеки держави

Електронний цифровий підпис, як засіб контролю походження і цілосності інформації, є ефективним інструментом забезпечення інформаційної безпеки на всіх рівнях інфраструктури суспільства: від персональної інформаційної безпеки людини до інформаційної безпеки держави. Тому ЕЦП, зокрема, і інфраструктура відкритих ключів, у цілому, є стратегічною оборонною технологією, від якості й надійності реалізації якої залежить інформаційна безпека підприємства.

Механізм ЕЦП

Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа. За правовим статусом він прирівнюється до власноручного підпису (печатки). Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа. За умови правильного зберігання власником секретного (особистого) ключа його підробка неможлива. Електронний документ також не можливо підробити: будь-які зміни, не санкціоновано внесені в текст документу, будуть миттєво виявлені.

Особистий ключ ЕЦП

Особистий ключ ЕЦП формується на підставі абсолютно випадкових чисел, що генеруються датчиком випадкових чисел, а відкритий ключ обчислюється з особистого ключа ЕЦП так, щоб одержати другий з першого було неможливо.

Особистий ключ ЕЦП є унікальною послідовністю символів довжиною 264 біта, яка призначена для створення Електронного цифрового підпису в електронних документах. Працює особистий ключ тільки в парі з відкритим ключем. Особистий ключ необхідно зберігати в таємниці, адже будь-хто, хто дізнається його, зможе підробити Електронний цифровий підпис.

Документ підписується ЕЦП за допомогою особистого ключа ЕЦП, який існує в одному екземплярі тільки у його власника. Цьому особистому ключу відповідає відкритий ключ, за допомогою якого можна перевірити відповідність ЕЦП її власнику.

Відкритий ключ ЕЦП і Сертифікат відкритого ключа

Відкритий ключ використовується для перевірки ЕЦП одержуваних документів (файлів). Відкритий ключ працює тільки в парі з особистим ключем. Відкритий ключ міститься в Сертифікаті відкритого ключа, і підтверджує приналежність відкритого ключа ЕЦП певній особі. Крім самого відкритого ключа, Сертифікат відкритого ключа містить в собі персональну інформацію про його власника (ім'я, реквізити), унікальний реєстраційний номер, термін дії Сертифікату відкритого ключа. З метою забезпечення цілісності представлених у Сертифікаті даних він підписується особистим ключем Центру сертифікації ключів. Сертифікат відкритого ключа може публікуватися на сайті відповідного ЦСК відповідно до Договору про надання послуг ЕЦП.

Підписання електронного документу ЕЦП

При підписанні електронного документу його початковий зміст не змінюється, а додається блок даних, так званий Електронний цифровий підпис. Отримання цього блоку можна розділити на два етапи:

1. На першому етапі за допомогою програмного забезпечення і спеціальної математичної функції обчислюється так званий «відбиток повідомлення» (message digest).

Цей відбиток має такі особливості:

1. • фіксовану довжину, незалежно від довжини повідомлення;

   • унікальність відбитку для кожного повідомлення;

   • неможливість відновлення повідомлення по його відбитку.

Таким чином, якщо документ був модифікований, то зміниться і його відбиток, що відобразиться при перевірці Електронного цифрового підпису.

1. На другому етапі відбиток документу шифрується за допомогою програмного забезпечення і особистого ключа автора.

Розшифрувати ЕЦП і одержати початковий відбиток, який відповідатиме документу, можна тільки використовуючи Сертифікат відкритого ключа автора.

Таким чином, обчислення відбитку документу захищає його від модифікації сторонніми особами після підписання, а шифрування особистим ключем автора підтверджує авторство документу.

Перевірка ЕЦП одержаного документу

Перевірка Електронного цифрового підпису одержаного документу проводиться декількома етапами:

1. На першому етапі адресат за допомогою програмного забезпечення Сертифікатом відкритого ключа автора розшифровує підписаний відбиток і одержує відбиток початкового документа.

2. За допомогою програмного забезпечення і спеціальної математичної функції з документу, який був одержаний, обчислюється його відбиток.

3. При перевірці ЕЦП порівнюються відбитки початкового і одержаного документів. Результат перевірки — одна з відповідей: «вірний»/«невірний».

Використання

Властивості інформації

Електронний цифровий підпис підтверджує достовірність і цілісність документа. Якщо в документ в процесі пересилки були внесені які-небудь зміни, нехай навіть зовсім незначні, то підміна виявиться. Сертифікат відкритого ключа містить персональну інформацію про власника, що дозволяє однозначно ідентифікувати автора документу.

Фіксація точного часу підписання

Однією з додаткових можливостей при роботі з ЕЦП є послуга фіксації точного часу підписання документа ЕЦП відмітка точного часу. Відмітка точного часу при підписанні документу дозволяє точно ідентифікувати момент накладання підпису, причому змінити його значення згодом, навіть особою, яка наклала підпис, неможливо. Можливе лише повторне підписання з фіксацією нового часу. Точне значення часу, який використовується для формування відмітки точного часу, здійснюється апаратними засобами Центру сертифікації ключів шляхом синхронізації з джерелами точного часу з точністю до 1 секунди.

Обмеження використання національного ЕЦП

Термін валідності ЕЦП

На цей час, відповідно до чинного законодавства, позначка часу не є обов'язковим атрибутом електронного документу, підписаного електронним цифровим підписом. Цей факт обмежує використання національного ЕЦП тільки для підпису документів, що валідні протягом дії сертифікату ЕЦП, яким було підписано документ.

Критична вразливість

Чинне законодавство не визначає особливості застосування ЕЦП, щодо документів, термін дії яких перевищує термін дії ЕЦП. Також не визначено статус підписаних документів, термін дії яких не закінчився, у разі компрометації ЕЦП. Це дозволяє реалізувати два види атак на ЕЦП:

1. використання недійсного ЕЦП (скомпрометованого, або ЕЦП, термін дії якого закінчився) для підпису документів заднім числом;

2. визнання підписаного документу без позначки часу, сертифікат якого на час перевірки підпису не діє, недійсним на підставі того, що неможливо встановити чи був документ підписаний дійсним ЕЦП, чи був підписаний заднім числом недійсним ЕЦП. Ця атака може супроводжуватись брехливою заявою про компрометацію ключа ЕЦП.

Ця вразливість позбавляє змісту такі послуги сертифікаційних центрів, як призупинення дії ЕЦП або реєстрація компрометації ключа ЕЦП.

Головною помилкою, що призвела до з'явлення вразливості, є сприйняття інфраструктури ЕЦП обмеженою відношеннями двох сторін, що перевіряють підпис на момент складання документу. При цьому не враховується роль арбітра при виникненні спорів, щодо підписаного документу. Тобто валідність підписаного документа розглядається у статиці, а має розглядатися у динаміці.

Атака підпису заднім числом була успішно змодельована з використанням чинного ЕЦП і сертифікованого ПЗ переведенням системного годинника комп'ютера назад.

Обмеження придатності національного ЕЦП для електронного документообігу

Враховуючи наявність такої критичної вразливості, національний електронний документообіг, у якому не застосовується позначка часу, обмежується підписанням документів, валідність яких перевіряється тільки на момент підпису. Прикладом таких документів є подача електронної звітності.

Щодо електронного цифрового підпису довгострокових документів, то кожний такий документ може буди визнаний недійсним навіть протягом терміну валідності ЕЦП за наступним алгоритмом:

1. при виникненні спорів щодо підписаного документу сторона, що зацікавлена у визнанні документу недійсним, подає заяву про компрометацію ключа, наприклад, у зв'язку з наявністю вірусів на комп'ютері де використовується ЕЦП, або за фактом наявності на цьому комп'ютері програмного забезпечення, що надає можливість несанкціонованого доступу;

2. при початку судового процесу, який має встановити валідність підписаних документів, стверджувати, що документ був складений після факту компрометації ключа ЕЦП особою - викрадачем ключа і підписаний заднім числом;

3. продемонструвати можливість підписання документу заднім числом.

Висновок: при чинній законодавчій базі і засобах ЕЦП, що використовуються сьогодні, національний ЕЦП непридатний для електронного документообігу у широкому змісту цього терміну.

10.4 Дотримання ліцензійних вимог для програмних продуктів в сфері оподаткування – на самостійне опрацювання (доповіді на практичних заняттях).