eIDAS

eIDAS (від англ. electronic IDentification, Authentication and trust Services, що дослівно: «електронна ідентифікація, автентифікація та довірчі послуги») — це регламент Європейського Союзу про електронну ідентифікацію^[en] та довірчі послуги для електронних транзакцій в межах внутрішнього ринку ЄС. Він був затверджений як Регламент (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та замінив Директиву 1999/93/ЄС^[en] від 13 грудня 1999 року^[1][2].

Знак довіри «EU trust mark» для кваліфікованих довірчих послуг.

Єдиний цифровий ринок ЄС та забезпечення надання публічних послуг через кордони.

Регламент набрав чинності 17 вересня 2014 року та застосовується з 1 липня 2016 року, за винятком окремих статей, перерахованих у статті 52 цього регламенту^[3]. Усі організації, які надають публічні цифрові послуги в країні-члені ЄС, повинні визнавати електронну ідентифікацію, здійснену в усіх державах-членах ЄС з 29 вересня 2018 року^[4][5].

Опис

eIDAS регулює електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку ЄС. Він регулює електронні підписи, електронні транзакції, залучені органи та процедури їх включення, щоб забезпечити користувачам безпечний спосіб ведення бізнесу онлайн, наприклад, електронний переказ коштів або транзакції з публічними послугами. Це зручніше та безпечніше як для підписанта, так і для одержувача. Замість того, щоб покладатися на традиційні методи, такі як пошта чи факс, або особисто з’являтися для подання паперових документів, вони тепер можуть виконувати транзакції за кордоном, подібно до технології «1 клік^[en]»^[2][6].

eIDAS створив стандарти того, які електронні підписи, кваліфіковані цифрові сертифікати^[en], електронні печатки^[en], позначки часу та інші докази для механізмів автентифікації дозволяють здійснювати електронні транзакції з таким самим правовим статусом, як транзакції, що оформлюють на папері^[7].

Регламент набрав чинності в липні 2014 року як засіб запровадження безпечних і без перешкод електронних транзакцій у межах ЄС. Держави-члени повинні визнавати електронні підписи, що відповідають стандартам eIDAS^[2][8].

Цілі

eIDAS — результат зосередження Європейської комісії на Цифровому порядку денному для Європи 2010 року. Під наглядом Єврокомісії eIDAS впровадили для стимулювання цифрового зростання в ЄС^[9].

За задумом, eIDAS має стимулювати інновації. Дотримання керівних принципів, встановлених для технологій згідно з eIDAS, підштовхує організації до застосування вищих рівнів інформаційної безпеки та інновацій. Крім того, eIDAS зосереджується на наступному^[8][10]:

• Сумісність: Держави-члени повинні створити спільну інфраструктуру, яка буде визнавати електронні ідентифікатори з інших держав-членів і забезпечувати їх автентичність і безпеку. Це полегшує користувачам ведення бізнесу через кордони.
• Прозорість^[en]: eIDAS надає ясний і доступний перелік довірчих послуг, які можуть надаватися в централізованій інфраструктурі підписання. Це дозволяє зацікавленим у безпеці брати участь в обговоренні найкращих технологій та інструментів для захисту цифрових підписів.

Врегульовані аспекти електронних транзакцій

Регламент забезпечує регуляторне середовище для таких важливих аспектів, що стосуються електронних транзакцій^[2]:

• Удосконалений електронний підпис^[en]: Електронний підпис вважається вдосконаленим, якщо він відповідає певним вимогам:
  • Він надає унікальну інформацію для ідентифікації, яка пов'язує його зі своїм підписантом.
  • Підписант одноосібно контролює дані, які використовуються для створення електронного підпису.
  • Він повинен мати можливість ідентифікувати, якщо дані, що супроводжують повідомлення, були підроблені після підписання. Якщо підписані дані змінилися, підпис позначається недійсним.
  • Є сертифікат електронного підпису як електронний доказ, який підтверджує особу підписанта та пов'язує дані підтвердження електронного підпису з цією особою.
  • Удосконалені електронні підписи можуть бути технічно реалізовані, слідуючи стандартам XAdES^[en], PAdES^[en], CAdES^[en] або ASiC для цифрових підписів, визначених ETSI^[11].
• Кваліфікований електронний підпис^[en] — удосконалений електронний підпис, який створюється з допомогою пристрою для створення кваліфікованого електронного підпису^[en] на основі кваліфікованого сертифіката електронного підпису.
• Кваліфікований цифровий сертифікат^[en] для електронного підпису — сертифікат, який засвідчує справжність кваліфікованого електронного підпису, виданий кваліфікованим провайдером довірчих послуг.
• Кваліфікований сертифікат автентифікації вебсайту^[en] — кваліфікований цифровий сертифікат відповідно до довірчих послуг, визначених у Регламенті eIDAS.
• Довірча послуга^[en] — електронна послуга, яка створює, перевіряє та перевіряє електронні підписи, позначки часу, електронні печатки^[en] та кваліфіковані цифрові сертифікати^[en]. Також довірча послуга може забезпечувати автентифікацію вебсайту та збереження створених електронних підписів, сертифікатів та печаток. Довірчі послуги надає провайдер довірчих послуг^[en].

Розвиток та правові наслідки

Регламент eIDAS виник з Директиви 1999/93/ЄС, яка встановлювила мету, яку держави-члени ЄС мали досягти щодо електронних підписів. Менші європейські країни одними з перших почали застосовувати цифрові підписи та ідентифікацію, наприклад, перший цифровий підпис в Естонії був наданий у 2002 році, а перший цифровий підпис у Латвії — у 2006 році. Їхній досвід був використаний для розробки нині загальноєвропейського регламенту, який з 1 липня 2016 року став обов'язковим як закон у всьому ЄС^[12]. Директива зобов'язала держави-члени ЄС створити закони, які б дозволили їм досягти створення системи для електронних підписів у ЄС. Директива також дозволяла кожній державі-члену тлумачити закон та вводити обмеження, тим самим перешкоджаючи реальній сумісності та ведучи до сценарію фрагментації^[13]. На відміну від цієї директиви, eIDAS забезпечує взаємне визнання електронних ідентифікаторів для автентифікації між державами-членами^[14], таким чином досягаючи мети Єдиного цифрового ринку.

eIDAS запроваджує багатоступеневий підхід до юридичного значення. Він вимагає, щоб по відношенню до жодного електронного підпису не відмовляли в юридичній силі чи прийнятності в суді виключно тому, що він не є вдосконаленим або кваліфікованим електронним підписом^[15]. Кваліфіковані електронні підписи повинні наділятися такою ж юридичною силою як і власноручні підписи^[16].

Для електронних печаток (версія підписів для юридичних осіб) прямо вказано про доказову силу, адже щодо печаток має діяти презумпція цілісності та правильності походження прикріплених даних^[17].

Ідентифікаційний номер

Інформація в базі даних повинна бути пов’язана з якимсь ідентифікаційним номером. Підтвердження того, що особа має право отримати доступ до певної особистої інформації, передбачає кілька етапів.

• Пов'язання людини з номером, що можна зробити за допомогою методів, розроблених в одній країні, наприклад, цифрових сертифікатів.
• Пов'язання номера з конкретною інформацією, що здійснюється в базах даних.
• Для eIDAS необхідно зв’язати номер, що використовується країною, що має інформацію, з номером, що використовується країною, яка видає цифрові сертифікати.

eIDAS має концепцію мінімальної ідентичності — ім’я та дату народження. Але для того, щоб отримати доступ до більш конфіденційної інформації, потрібна певна сертифікація, що ідентифікаційні номери, видані двома країнами, стосуються однієї особи^[18].

Вразливості

У жовтні 2019 року дослідники безпеки виявили дві вразливості в eIDAS-Node (зразковій реалізації ідентифікатора профілю eIDAS, забезпеченій Європейською комісією^[19]); обидві були виправлені у версії 2.3.1 eIDAS-Node^[20].

Європейська інфраструктура самосуверенної ідентичності

ЄС створює сумісну з eIDAS Європейську інфраструктуру самосуверенної ідентичності (англ. European Self-Sovereign Identity Framework, скорочено ESSIF).

Взаємне визнання з Україною

Законодавство України про електронні довірчі послуги було розроблене за зразком європейської Директиви eIDAS^[21]. Проте на шляху до взаємного визнання залишається низка регуляторних бар'єрів^[22]. Україна була учасницею пілотного проекту з апробації транскордонних технічних рішень, які повинні забезпечити транскордонне взаємне визнання цифрових підписів^[23]. Щоб бути кваліфікованою в ЄС, вся архітектура має бути реалізована на обладнанні та програмному забезпеченні, яке відповідає рівню безпеки EAL4+ відповідно до міжнародної системи сертифікації захисту інформації Common Criteria, яка в Україні поки що не застосовується^[24].

Примітки

1. Тернер, Дон (11 січня 2016). Understanding eIDAS [Розуміючи eIDAS] (англ.) . Cryptomathic. Архів оригіналу за 20 квітня 2016. Процитовано 12 квітня 2016.
2. Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC [Регламент (ЄС) № 910/2014 Європейського Парламенту та Ради від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій в межах внутрішнього ринку та про скасування Директиви 1999/93/ЄС]. EUR-Lex (англ.) . Європейський парламент і Рада Європейського Союзу. Архів оригіналу за 15 січня 2018. Процитовано 18 березня 2016.
3. eIDAS in force, applies and exceptions on Europa.eu. Архів оригіналу за 6 березня 2021. Процитовано 6 січня 2021.
4. Info on eIDAS, Connectis. [Архівовано 30 липня 2020 у Wayback Machine.]
5. Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014. Архів оригіналу за 4 червня 2020. Процитовано 6 січня 2021.
6. ван Зейп, Жак. Is the EU ready for eIDAS? [Чи ЄС готовий до eIDAS?] (англ.) . Secure Identity Alliance. Архів оригіналу за 22 листопада 2016. Процитовано 18 березня 2016.
7. Тернер, Дон М. (15 січня 2016). eIDAS from Directive to Regulation - Legal Aspects [eIDAS від Директиви до Регламенту - правові аспекти]. Cryptomathic. Архів оригіналу за 10 березня 2016. Процитовано 18 березня 2016.
8. Бендер, Єнс. eIDAS Regulation: EID - Opportunities and Risks [Регламент eIDAS: EID - нагоди та ризики] (PDF). Bunde.de. Fraunhofer-Gesellschaft. Архів оригіналу (PDF) за 10 вересня 2015. Процитовано 18 березня 2016.
9. A Digital Agenda For Europe [Цифровий порядок денний для Європи]. EUR-Lex. Європейська комісія. Архів оригіналу за 23 квітня 2016. Процитовано 18 березня 2016.
10. Ашик, «JA» (Мохамед) (25 січня 2016). The eIDAS Agenda: Innovation, Interoperability and Transparency [Порядок денний eIDAS: інновації, сумісність і прозорість] (англ.) . Cryptomathic. Архів оригіналу за 24 квітня 2016. Процитовано 18 березня 2016.
11. Тернер, Дон М. (27 лютого 2016). The Difference Between an Electronic Signature and a Digital Signature [Різниця між електронним підписом і цифровим підписом]. Cryptomathic. Архів оригіналу за 8 травня 2016. Процитовано 21 квітня 2016.
12. Regulations, Directives and other acts. Europa.eu. The European Union. Архів оригіналу за 12 грудня 2013. Процитовано 18 березня 2016.
13. Путербау, Ден (1 березня 2016). Understanding eIDAS – All you ever wanted to know about the new EU Electronic Signature Regulation [Розуміючи eIDAS – Усе, що ви б хотіли знати про новий Регламент ЄС про електронні підписи]. Legal IT Insider (англ.) . Архів оригіналу за 17 січня 2018. Процитовано 1 березня 2016.
14. Бастін, Роланд; Гедея, Ірина; Сіссе, Ісмаель (жовтень 2016). A Big Step Toward the European Digital Single Market [Великий крок до Європейського Єдиного цифрового ринку] (PDF). Журнал «Inside» (англ.) . Deloitte (13): 70—77. Архів оригіналу (PDF) за 27 березня 2019. Процитовано 27 березня 2019.
15. Пункт 1 статті 25 і визначення у статті 3 у пунктах з 10 по 12.
16. Пункт 2 статті 25.
17. Пункт 2 статті 35.
18. Hur skapar du en koppling mellan svenska och utländska eID:n? [Як з'єднати шведський та іноземний eID?] (PDF). www.elegnamnden.se (шведською) . Шведське податкове агентство. 2 лютого 2018. Архів оригіналу (PDF) за 6 жовтня 2018.
19. eIDAS-Node integration package. European Commission. Архів оригіналу (html) за 10 червня 2019. Процитовано 29 жовтня 2019. The eIDAS-Node software contains the necessary modules to help Member States to communicate with other eIDAS-compliant counterparts in a centralised or distributed fashion.
20. Cimpanu, Catalin (29 жовтня 2019). Major vulnerability patched in the EU's eIDAS authentication system. ZDNet. Архів оригіналу (html) за 29 жовтня 2019. Процитовано 29 жовтня 2019. Vulnerability would have allowed attackers to pose as any EU citizen or business.
21. Мельник О. Мокрі, електронні, кваліфіковані [Архівовано 13 вересня 2021 у Wayback Machine.] / Олександр Мельник // Василь Кісіль і Партнери. — 2021. — 02/04. — Переглянуто 13 вересня 2021.
22. Мелащенко А., Акуленко Л., Потапенко К. Цифровий безвіз – перспектива недалекого майбутнього? [Архівовано 13 вересня 2021 у Wayback Machine.] // The Page. — 2021. — 9 лютого. — Переглянуто 13 вересня 2021.
23. Україна та ЄС співпрацюватимуть задля взаємного визнання електронних довірчих послуг [Архівовано 13 вересня 2021 у Wayback Machine.] // EU4Digital. — 2021. — 24/02. — Переглянуто 13 вересня 2021.
24. Пилипенко О. Разбор | Подпись Джо Байдена: ЭЦП в Украине могут подделать. Как это исправить? [Архівовано 13 вересня 2021 у Wayback Machine.] // Liga.Tech. — 2021. — 26.07. — Переглянуто 13 вересня 2021.

Посилання

• Технічний переклад Регламенту (ЄС) № 910/2014 від 23.07.2014 [Архівовано 5 січня 2021 у Wayback Machine.], здійснений Міністерством юстиції України, опублікований на сайті Центрального засвідчувального органу 27 лютого 2015.