ELEKTRON MZA TEXNOLOGIYASI Mhazir 10 Modul 4 Mvzu4

ELEKTRON İMZA TEXNOLOGIYASI

Mühazirə № 10 Modul -4 Mövzu-4 Kompüter kriptoqrafiyasi Elektron imza texnologiyası Mühazirənin məzmunu Elektron sənədin mühafizəsi atributları. Elektron imza (digital signature). Elektron imza üzərinə qoyulmuş tələblər. Mətnüstü və mətnə əlavə imzalama texnologiyaları. Birbaşa və arbitrlı imzalama texnologiyaları. Simmetrik kriptosistemlərdə imzalama alqoritmi. Açıq açar infrastrukturlu imzalama texnologiyaları. Heş-funksiya üzrə tələblər: Çevrilməzlik, Kolliziyyaya davamlıq, Həsssaslıq. Elektron möhür. Sənədin elektron imzasının yaradılması sxemi. Elektron sertifikat. Elektron imza əsasında informasiyanın tamlığının təmini. Şəbəkə istifadəçilərinin tanınmasının (idetifikasiya) və əsilliyinin (autentifikasiya) qarşılıqlı təsdiqi. Açar sözlər: elektron sənəd, elektron imza, kriptoqrafik heş-funksiyalar, elektron sertifikat Mühazirənin planı 1. Elektron sənəd və mühafizəsi atributları. Elektron imza 2. Mətnüstü və mətnə əlavə, birbaşa və arbitrlı imzalama texnologiyaları. 3. 4. 5. 6. Simmetrik kriptosistemlərdə imzalama alqoritmi. Açıq açar infrastrukturlu imzalama texnologiyaları. Elektron sertifikat Elektron imza əsasında idetifikasiya və autentifikasiya

Elektron imza nədir • Elektron imza Elektron dünyada şəxsiyyəti müəyyənləşdirmə vasitəsidir. • Elektron imza anlayışı ümumi xarakter daşıyıb, insanların əl imzalarının rəqəmli çeviricilərdən keçirilmiş, barmaq izləri, səs kimi bioloji əlamətlərinin rəqəmli çeviricilərdən keçirilmiş və s. biometrik əlamətlərin elektron halda kimliklərinin doğrulanmasını təmin edən vasitədir.

Elektron imza nədir Elektron imza və elektron sənəd haqqında Azərbaycan Respublikasının Qanunu – Maddə 1 • “Elektron imza - digər verilənlərə əlavə edilən və ya onlarla məntiqi əlaqəli olan, imza sahibini identikləşdirməyə imkan verən verilənlərdir” • Maddə 1, bənd 1. 1. 3: “Gücləndirilmiş elektron imza (bundan sonra - gücləndirilmiş imza) - imza sahibinin nəzarəti altında olan elektron imza vasitələri ilə yaradılan və yalnız imza sahibinə məxsus olmaqla onu identikləşdirən, əlaqəli olduğu məlumat bildirişinin bütövlüyünü, dəyişməzliyini, təhrif olunmadığını və saxtalaşdırılmadığını müəyyən etməyə imkan verən elektron imzadır” • Maddə 3, bənd 3. 5: “Azərbaycan Respublikasının qanunvericiliyi ilə sənədin notariat qaydasında təsdiqi və (və ya) dövlət qeydiyyatı tələb olunduğu hallar istisna olmaqla, elektron sənəd kağız daşıyıcıda olan sənədə bərabər tutulur və onunla eyni hüquqi qüvvəyə malikdir”

Elektron imza nədir • Gücləndirilmiş e-imzanın üstünlükləri: – gizlilik (confidentiality); – bütünlük (integrity); – tanınma (authentication); – Məsuliyyətdən yayinmanın mümkünsüzlüyü (non-repudiation).

Elektron imza nədir • Kommunikasiyanın təhlükəsizliyinin təmin olunması üçün elektron çözümlər Açıq Gizli • Kriptoqrafiya – Gizli açar – Açıq açar • Kriptoqrafiyadan xüsusi istifadələr:

Elektron imza nədir l Şifrələmə Açıq məlumat l Deşifrələmə Şifrələnmiş məlumat Şifrələmə açarı Şifrələmə Alqoritmi Şifrələnmiş məlumat Deşifrələmə açarı Deşifrələmə Alqoritmi Açıq məlumat l Hər şifrələmə açarına bir deşifrələmə açarı uyğundur hansı ki, ilkin açıq məlumatla yekun açıq məlumatın eyni olmağını təmin edir

Elektron imza nədir Gizli açar • Kriptoqrafiyaya daxildir: əd Sən əd n ə S Gizli açar alqoritmi Gizli açar iş nm ə l ə Şifr ənəd s – Şifrələmə – Deşifrələmə • Gizli açar kriptoqrafiyası: – Verilənlər eyni gizli açar ilə şifrələnir və deşifrələnir – yəni “Simmetrik açar” 1 data encryption standard

Elektron imza nədir Məlumatın elektron imzalanması Zəhmət olmazsa XYZ şirkətinə Noyabrın 10 -na qədər $5000. 00 ödəyin İlkin məlumat (açıq şəkildə) Məlumat (açıq şəkildə) Heş İmza Xvc. A 56787 h. F 56 j İmzalanmış məlumat Heşləmə funksiyası Məlumatların heşinin şifrələnməsi elektron imzanı yaradır Zəhmət olmazsa XYZ şirkətinə Noyabrın 10 -na qədər $5000. 00 ödəyin Gizli açar İmza Heş nəyə lazımdır?

Elektron imza nədir Elektron imzanın yoxlanması Zəhmət olmazsa XYZ şirkətinə Noyabrın 10 -na qədər $5000. 00 ödəyin Beləliklə alan tərəf heşləri müqayisə etməklə imzanı yoxlayır İlkin məlumat (açıq şəkildə) Heş göndərilənlə eynidir? HƏ Heşləmə funksiyası Məlumatın heşi Xvc. A 56787 h. F 56 j Məlumat tamdır və dəyişdirilməyib YOX İmza və ya məlumat tam deyil və ya dəyişdirilib. Zəhmət olmazsa XYZ şirkətinə Noyabrın 10 -na qədər $5000. 00 ödəyin İmza Açıq açar Məlumatın heşi Xvc. A 56787 h. F 56 j

Elektron imza nədir Məlumat (açıq şəkildə) H İmza və ya Yox məlumat tam deyil və ya dəyişdirilib = H Hə Məlumat tamdır və dəyişdirilməyib Açıq açar Heş Gizli açar Yoxlamaq İmza (Açmaq) İmza (Bağlamaq) İnkar edə bilməmək İmza

Elektron imzaya nümunə Məlumat (açiq şəkildə) Zəhmət olmazsa XYZ şirkətinə Noyabrın 10 -na qədər $5000. 00 ödəyin Bob-un mesajı Heş Xvc. A 56787 h. F 56 j Bob-un gizli açarı Heş funksiyası Zəhmət olmazsa XYZ şirkətinə Noyabrın 10 -na qədər $5000. 00 ödəyin Heşin şifrələnməsi elektron imzanı əmələ gətirir İmza Məlumat (açıq şəkildə) Heşlər eynidirmi? HƏ Heş funksiyası Alice-in heşi Xvc. A 56787 h. F 56 j Məlumat tamdır və dəyişdirilməyib Zəhmət olmazsa XYZ şirkətinə Noyabrın 10 -na qədər $5000. 00 ödəyin İmza Alice-ə gondərilir Zəhmət olmazsa XYZ şirkətinə Noyabrın 10 na qədər $5000. 00 ödəyin İmza YOX İmza və ya məlumat tam deyil və ya dəyişdirilib Heş Bob-un açıq açarı Xvc. A 56787 h. F 56 j

Elektron imza nədir Sertifikat Mərkəzi • Sertifikat Mərkəzi sertifikat verilən şəxs haqda informasiyanın düzgünlüyünün yoxlanılmasına görə məsuliyyət daşıyır • Sertifikat Mərkəzinin identifikasiya üsulları: – Özündə olan məlumatlarla tutuşdurma • İşçilərin verilənlər bazası – Fiziki identifikasiya vasitələrin yoxlamaq • Pasport, sürücülük vəsiqəsi – Keçmişi haqda məlumat əldə SM yoxlayır, sertifikat verir və bu etmək sertifikatların fəaliyyətini tənzimləyir • Dövlət orqanları C

Elektron imza nədir Açıq Açar İnfrastrukturuna əsaslanan Elektron Sertifikatlar • • • Rəqəmlidir, kompüterdə hazırlanır Sahibinin adını və açıq açarını saxlayır Sahibinin işlədiyi qurumun adını saxlayır Sahibinin elektron poçt ünvanını saxlayır İstifadə vaxt intervalını saxlayır Sertifikatı verən qurumun adını saxlayır Unikal identifikasiya nömrəsinə malikdir İstifadə məqsədini özundə saxlayır İstifadə məhdudiyyətlərini ozundə saxlayır

Elektron imza nədir Elektron Sertifikat (nümunə) Serial nömrə 2368 Sertifikat Sahibi Məmməd Həsənov Şirkət/Qurum Məlumat Hesablama Mərkəzi (MHM) Yayınlayan Sertifikat Xidməti Mərkəzi (SXM) E-mail adresi anb@rabita. az İlk istifadə tarixi 15. 10. 2006 Son istifadə tarixi 15. 10. 2007 İstifadə məqsədi Elektronik İmza Məhdudiyyətlər 1000 YM Açıq Açar 2489349 e 894859 f 45489450 dab 45454 c. . . SXM-in Elektron İmzası ae 89349 c 989893 e 8989548 d 0823048 b 08023 f 9 e 903

Elektron imza nədir Sertifikasiya ierarxiyası Ali SM Tabe olan SM İstifadəçi Hər bir istifadəçi malik olduğu sertifikatları saxlamaq üçün məlumat bazasına malikdir

Elektron imza nədir PKI modeli və onu təşkil edən komponentlər İnanan tərəfin proqram təminat Qeydiyyat mərkəzi Web Server Açıq açar infrastrukturu bunlardan ibarətdir: • • • Sertifikat Mərkəzləri Qeydiyyat Mərkəzləri (Açıq açarın sertifikat sahibinə məxsus olduğunu yoxlayır) Sertifikat sahibləri (Subyektlər) İnanan tərəflər (İmzaları və sertifikatları yoxlayır) Saxlama bazaları (Sertifikatları saxlayır və yayır status: vaxtı geçmə, geri çağrılma və s. ) İnternet Sertifikasiya mərkəzi Sertifikat sahibi Saxlama bazaları (Qovluqlar)

Dünya təcrübəsi: Avropa Direktivi Okinava xartiyasında müəyyən olunmuş əsas prinsip və yanaşma: • Milli qanunvericilik bir neçə vahid qanun şəklində olmalı, həmçinin beynəlxalq və şəffaf xarakter daşımalıdır; • Avropa Parlamentinin elektron imza barədə 1999 -cu il tarixli Direktivi: • Elektron imza açarları üzrə sertifikatlaşdırma xidmətlərinin yerinə

Dünya təcrübəsi: Avropa Direktivi . . . (davamı): • Elektron imza vasitələrinin daxili bazarda sərbəst dövriyyəsinə zəmanət verilməlidir; • Elektron imzanın dövlət sektorunda istifadə olunmasına dair əlavə tələblər müəyyən oluna bilər. Amma bu tələblər vətəndaşlar üçün ölkələrarası xidmətlərin yerinə yetirilməsinə maneçilik törətməməlidir; • Elektron imza vasitələrinin Direktivin müvafiq tələblərinə uyğun olmaları etibarlı sertifikatlar vasitəsilə təsdiqlənməlidir.

Dünya təcrübəsi: Avropa Direktivi Etibarlı elektron imza vasitələrinin köməyilə yaradılmış və etibarlılığı təsdiq olunmuş elektron imzalar üçün aşağıdakılara dair zəmanət verilməlidir: • Elektron imza kağız üzərindəki əl imzasına bərabər tutulmalıdır; • Elektron imza məhkəmə sübutu kimi qəbul olunmalıdır; • AB-nin üzvü olan dövlətlər Direktivə uyğun qanunlar və qanunvericilik aktları qəbul etməlidir

Dünya təcrübəsi: Avropa Direktivi • 2003 -cü ildə Avropa parlamentinin komissiyası Avropa Birliyində elektron imzadan istifadə olunmasına dair vahid metodoloji və texnoloji yanaşma ilə əlaqədar qərar dərc etmişdir. Həmin qərarda EESSI (Elektron imzanın standartlaşdırılmasına dair Avropa təşəbbüsü) çərçivəsində CEN (Avropa standartlaşdırma komitəsi) və ETSİ (Avropa telekommunikasiya standartları

Dünya təcrübəsi: Avropa Direktivi Standartlar: • CWA 14167 -1 (mart 2003): elektron imza sertifikatlarının idarə olunması üzrə etibarlı sistemlərin təhlükəsizliyinə dair tələblər – 1 -ci Hissə: Sistemin təhlükəsizliyinə dair tələblər; • CWA 14167 -2 (mart 2002): elektron imza sertifikatlarının idarə olunması üzrə etibarlı sistemlərin təhlükəsizliyinə dair tələblər – 2 -ci Hissə: elektron imzanın yaradılması üçün kriptoqrafik modul: imzanın təsdiqlənməsi ilə məşğul olan qurumlar tərəfindən istifadə olunur – Müdafiə profili; • CWA 14169 (mart 2002): elektron imzanın yaradılması üçün təhlükəsiz qurğular (kriptoqrafik açarların yaradılmasına, saxlanılmasına və istifadəsinə dair tələblər daxil olmaqla).

Dünya təcrübəsi: Avropa Direktivi • Avropa ölkələrinin əksəriyyətində etibarlı (tam) şəhadətnamələrin verilməsi ilə məşğul olan təsdiqləyici mərkəzlərə dair tələblər müəyyən olunur (məhz bu sertifikatlardan istifadə olunması əllə qeyd edilmiş imzaların elektron imzalarla eyni qüvvəyə malik olmasını və «Elektron imza və elektron sənəd barədə» qanuna uyğun olmasını təmin edir). • Mərkəzlər elektron imzanın yaradılması üçün konkret bir ölkədə yoxlanılmış və sertifikatlaşdırılmış proqram-texniki vasitələrdən istifadə edirlər.

E-İmza Dünya Örnekleri ve Uygulamaları Birleşmiş Milletler : Bünyesinde yer alan UNCITRAL (Birleşmiş Milletler Uluslararası Ticaret Hukuku Konferansı) tarafından 1996 yılında kabul edilmiş olan model kanun 99/93/EC nolu Elektronik İmza Direktifi AB üyesi ülkelerin elektronik imza uygulamaları incelendiğinde; kök sertifika hizmet sağlayıcısı olarak ulusal açık anahtar sisteminin kurulması, elektronik sertifika hizmet sağlayıcıların kontrolü ve denetlenmesinin sorumluluğu bazı Avrupa ülkelerinde; Ekonomi Bakanlıkları, Ulusal Güvenlik Bakanlığı, Ticaret ve Endüstri Bakanlığı gibi kurumlara verilmiştir. Ancak bu görevin çoğunlukla Telekomünikasyon Regülasyon Kurumları ve Bilgi Teknolojisi ve Haberleşme Bakanlıkları nın sorumluluğunda olduğu görülmektedir.

E-İmza Dünya Örnekleri ve Uygulamaları Örneğin; • Almanya, Avusturya, Danimarka, Finlandiya Yunanistan, Hollanda, Macaristan Norveç, İsveç, Telekomünikasyon Regülasyon Kurumları, · Estonya, Çek Cumhuriyeti, İspanya ve İtalya’da ise Bilgi Teknolojisi ve Haberleşme Bakanlıkları, · Belçika ve Lüksemburg’ta Ekonomi Bakanlığı, · Fransa ve Slovakya’da Ulusal Güvenlik Bakanlığına bağlı kuruluşlar ve · İngiltere’de Ticaret ve Endüstri Bakanlığı’nın 99/93/EC sayılı e-imza direktifinin uygulamaya koyulmasını sağlayan kök sertifika hizmet sağlayıcılığı ve denetleme görevlerini yürüttüğü görülmektedir.

Dünya təcrübəsi: Avropa Direktivi • İnformasiya cəhətdən inkişaf etmiş ölkələrin əksəriyyətində elektron imzadan istifadə olunması ilə əlaqədar fəaliyyətlər səlahiyyətli orqan vasitəsilə hökumət tərəfindən tənzimlənir. • Almaniyada səlahiyyətli orqan telekommunikasiya və poçt rabitəsi sahəsində tənzimləmə və nəzarət üzrə dövlət orqanıdır (Reg. TP).

TK’nın yapması gerekenler: Kurumumuzun öncelikle; Gerekli yurtiçi ve yurtdışı koordinasyonlar sağlanarak Ülkemizin açık anahtar altyapısı sistemini kurması gerekmektedir. Şekil’den de açıkça görülebileceği gibi kök sertifika hizmet sağlayıcısının bir sertifika hizmet sağlayıcısını akredite etmesi ona kendi yayınladığı elektronik sertifikayı elektronik yolla göndermesi ile mümkündür. Yani her şey elektronik yollarla olmaktadır.

Dünya təcrübəsi: Avropa Direktivi • Kanadada Eİ-nin tətbiq olunması siyasəti Dövlət Xəzinədarlığı Katibliyi tərəfindən idarə edilir. Eİ sahəsində Kanada hökumət siyasətinin yerinə yetirilməsi üzrə Komitə açıq açar sertifikatlarının verilməsi və ya təsdiqləyici mərkəzlərin idarə olunması ilə məşğul olan Departamentlərin nümayəndələrindən, informasiya texnologiyaları üzrə rəhbər nümayəndədən, "Kanada Federal PKI Körpüsü" və s. təşkilatlardan ibarətdir. İnformasiya texnologiyaları üzrə rəhbər şəxs Eİ sahəsində Kanada hökumət siyasətinin yerinə yetirilməsi üzrə Komitəyə rəhbərlik edir; o,

Dünya təcrübəsi: Avropa Direktivi ABŞ-ın federal hökumətində PKİ-nin inkişafını əlaqələndirmək məqsədilə, 2000 -ci ildə PKİ siyasəti üzrə Federal Agentlik yaradılmışdır. Federal Agentlik İnformasiya texnologiyaları üzrə Federal İdarəetmə Şurasının nəzdində yaradılmışdır və arxitektura və qarşılıqlı əlaqələr Komitəsinin rəhbərliyi altında fəaliyyət göstərir. Agentlik PKİ siyasəti üzrə təşkilatların qarşılıqlı

Dünya təcrübəsi: Türkiyə E – İmza haqqında Qanununun Dövlət qazetində çapı: 23 Yanvar 2004 Qanunun qüvvəyə minməsi 23 İyul 2004 Telekomunikasiya Qurumunun əlavə düzəlişlərinin tamamlanması 06 yanvar 2005

Dünya təcrübəsi: Türkiyə • Etibarlı Elektron imza, əl ilə çəkilən imza ilə eyni hüquqa malikdir. • Qanunların rəsmi formaya və ya xüsusi mərasimə tabe olan hüquqi İşlərlə təminat Müqavilələri etibarlı elektron imza ilə həyata keçirilə bilməz.

Dünya təcrübəsi: Türkiyə • Elektron imzanın tətbiqi istiqamətləri : – Dövlət qurumlarına müraciətlər (ÖSS, KPSS, pasport müraciətləri və s. ) – Qurumlararası görülən işlər (Müdafiə/Mülki və vətəndaşlıq İşləri) – Sosial müdafiə (Pensiya fondu, SSK, Bağkur) – Səhiyyə xidmətləri (Tibbi personal, xəstəxanalar, əczaxana) – Vergi ödəmələri – Elektron səsvermə

Dünya təcrübəsi: Türkiyə E-İMZA SEKTOR ƏLAQƏLƏNDİRİCİLƏRİ: • Baş Nazırın 2004/21 saylı sərəncamı ilə bütün dövlət qurumlarının elektron imza sertifikat ehtiyaclarının ödənməsi TÜBİTAK-UEKAE-yə (Beynəlxalq Elektron və Kriptoloji Axtarış İnstitutu) tapşırılmışdır. – TSK, MİT, EGM kimi müstəsnalardan başqa heç bir dövlət qurumü daxillərində ESHS qura bilməzlər. – Bu Sərəncamın icrası və ona nəzarət Telekomunikasiya Qurumuna verilmişdir.

Dünya təcrübəsi: Türkiyə • Elektron imza sahəsində Telekommunikasiya Qurumunun vəzifələri: – ESHS Bildirişinin incələnməsi – E-Sertifikat qiymətlərinin təyini – ESHS axtarışı – ESHS’nin fəaliyətinin sona çatdırılması

Dünya təcrübəsi: Türkiyədə Sertifikat Xidməti Mərkəzləri: • • TÜRKTRUST A. Ş. UEKAE -ictimai Sertifikasiya Mərkəzi (ictimai SM) E-GÜVEN A. Ş. e-Tugra (sultanlarin imzasi)

Dünya təcrübəsi: Türkiyə Proqram təminatı və kriptoqrafik müdafiə vasitələri: • Sertifikat Xidmətləri Mərkəzlərində istifadə olunan proqram təminatları və kriptoqrafik müdafiə vasitələri Türkiyənin milli istehsalıdır.

Türkiye’de ESHS Yapısı TÜRKİYE Kamu Sertifikasyon Merkezi (UEKAE) . . . Sağlık Bak. Çalışanları Diğer ESHS TÜRKTRUST ÖN KAYIT MERKEZLERİ İçişleri Bak. Çalışanları Vatandaşlar NOTER

Dünya təcrübəsi: Rusiya Federasiyasının 10 yanvar 2002 -ci il tarixli 1 -FZ saylı “Elektron rəqəmli imza haqqında” Qanunu • Qanun 13 dekabr 2001 -ci il tarixdə Dövlət Duması tərəfindən qəbul edilmişdir; • 26 dekabr 2001 -ci il tarixdə Federasiya Şurası tərəfindən bəyənilmişdir.

Dünya təcrübəsi: Rusiya • Rusiya Federasiyası hökumətinin 28 yanvar 2002 -ci il tarixli, 65 №-li sərəncamı ilə təsdiqlənmiş «Elektron Rusiya (2002 -2010 -cu illər)» adlı Federal Proqramda elektron imzanın tətbiqi ilə elektron sənədlərdən istifadə olunması üçün müvafiq şəraitin yaradılması xüsusi qeyd olunur. Həmin şəraitin yaradılması dedikdə, aşağıdakı istiqamətlərdə vəzifələrin həlli nəzərdə tutulur: • Hüquqi istiqamət - Bu istiqamətdə mövcud vəzifələr İT bazarının normativ tənzimlənməsi üzrə islahatların aparılmasından və elektron sənədlərdən istifadə olunması üçün normativ-hüquqi bazanın formalaşdırılmasından ibarətdir;

Dünya təcrübəsi: Rusiya ERİ-nin istifadə olunması sahəsində hazırda mövcud olan tendensiyalar: • Dövlət hakimiyyəti orqanları elektron sənəd dövriyyəsində və digər informasiya texnologiyalarında ERİ-nin tətbiq olunması ilə əlaqədar daxili məsələlərin həlli üçün təsdiqləyici mərkəzlər yaradırlar; • Dövlət hakimiyyəti orqanları ERİ-dən istifadə etməklə təşkilatlararası münasibətlərə dair ikitərəfli razılaşma imzalayırlar. Bu razılaşmalar çərçivəstində təşkilatlar korporativ təsdiqləyici mərkəzlər tərəfindən verilən sertifikatların tanınması qaydalarını müəyyənləşdirirlər; • Dövlət hakimiyyəti orqanları şirkətlər və əhali ilə qarşılıqlı münasibətlərə dair dövlət xidmətlərinin yerinə yetirilməsi ilə əlaqədar məsələlərin həlli üçün

Dünya təcrübəsi: Rusiya. . . (davamı) • Şirkətlər və əhali ilə qarşılıqlı münasibətlərə dair dövlət xidmətlərinin yerinə yetirilməsi ilə əlaqədar məsələlərin həlli üçün dövlət hakimiyyəti orqanları xarici təsdiqləyici mərkəzlərdən istifadə edirlər ki, həmin mərkəzlər də başqa hüquqi şəxslər (kommersiya təşkilatları) tərəfindən müqavilə əsasında istismar edilirlər. Bu halda təsdiqləyici mərkəzin xidmətlərindən bir neçə qurum istifadə edə bilər; • Təsdiqləyici mərkəzlərin xidmətlərini yerinə yetirən hüquqi şəxslər (kommersiya təşkilatları) təşkilatlanma prosesini həyata

Dünya təcrübəsi: Rusiya ERİ-nin tətbiq sahələri: • Rusiyada vergi orqanlarına, pensiya fonduna, Rosstat və Sosial sığorta orqalarına hesabatların təqdim edilməsi sahəsində təsərrüfat subyektləri ilə dövlət hakimiyyəti orqanları arasında qarşılıqlı münasibətlərdə elektron rəqəmsal imzadan daha geniş istifadə olunur (300 min istifadəçi). ERİ başqa sahələrdə də: büdcənin icra olunması sistemlərində, malların və nəqliyyat

Dünya təcrübəsi: Rusiya Proqram təminatı və kriptoqrafik müdafiə vasitələri: • Rusiyanın Sertifikat Xidmətləri Mərkəzlərində istifadə olunan proqram təminatı və kriptoqrafik müdafiə vasitələrinin əksəriyyəti Rusiya istehsalıdır və onların əsas hissəsi "Kripto Pro" şirkəti tərəfindən istehsal olunmuşdur. Bu şirkətin məhsullarına 550000 -dən çox kriptoqrafik müdafiə vasitələri "Kripro. Pro CSP" və 650 təsdiqləyici mərkəz "Kripto. Pro US" daxildir.

Dünya təcrübəsi: Rusiya • 2006 -cı ilin noyabr ayına olan göstəriclərə əsasən, Rusiya Federasiyasında Təsdiqləyici mərkəzlərin funksiyalarını yerinə yetirən 300 təşkilat mövcuddur. Bu təşkilatlar korporativ informasiya sistemləri üzrə xidmət göstərirlər. • Həmin təşkilatlardan təxminən 70 -i təsdiqləyici mərkəzlərin imza açarları sertifikatlarının dövlət reyestrində qeydiyyata alınmışlar. (http: //www. reestr-pki. ru)

Dünya təcrübəsi: Estoniya • Elektron imza haqqında qanun 8 mart 2000 -ci ildə qəbul edilmiş, 15 dekabr 2000 -ci il tarixdə qüvvəyə minmişdir; • 12 iyul 2001 -ci il tarixdə elektron imza sertifikatlarının milli İD identifikasiya kartlarına daxil edilməsi barədə “Elektron imza haqqında Qanun”a əlavələr edilmişdir; • Elektron imza kağız daşıyıcısı üzərindəki

Dünya təcrübəsi: Estoniya • 2001 -2002 –ci illərdə sertifikat xidmətlərinin tətbiqi üçün tender elan edilmişdir; • Sertifikatların verilməsi və zaman göstəriciləri (zaman damğası) xidmətləri AS Sertifiseemiskeskus və AS Cybernetika şirkətlərinə məxsusdur. • Açıq və gizli açarlar və onların sertifikatlarının daşıyıcısı kimi şəxsiyyəti

Dünya təcrübəsi: Estoniya • İD kartlar çoxfunksiyalıdır – onlar şəxsiyyəti təsdiq edən sənəd olmaqla bərabər, həmdə çoxsaylı elektron xidmətlərindən istifadə üçündür; • 2000 – ci ilin yanvarında elektron imza sertifikatlı ilk İD kart buraxılmışdır; • 2006 – ci ilin sentyabrınadək Estoniyada

Dünya təcrübəsi: Estoniya İD KARTLARIN VERİLMƏSİ Miqrasiya qurumu: Vətəndaşlardan 1. İD kartın alınması üçün ərizələri qəbul edib, onları yoxlayır və TRÜB-a göndərir 2. Şəxsiyyətin sorğusu TRÜB Baltics AS Trüb: İstifadəçi açarlarını və PİN kodu generasiya edərək fərdi göstəriciləri SXM-ə göndərir. SXM-dən aldığı sertifikatları karta daxil edir, fərdi kartları və PİN kodları qeydiyyat məntəqələrinə göndərir 3. Sertifikatın 4. Sertifikatlar 5. İD kartlar PİN alınmasına sorğu kodla bərabər AS Sertifitseerimiskeskus SXM CA: Sertifikatları generasiya edərkən onları TRÜB-a göndərir bank şöbələrinə göndərilir 150 dən çox Bank şöbələri Hansapank and Ühispank Dövlət direktoriyaları RA: Sertifikatlar daxil edilmiş İD kart və daxilində PİN kodları olan zərf vətəndaşa verilir.

Dünya təcrübəsi: Estoniya Proqram təminatı və kriptoqrafik müdafiə vasitələri: • Estoniyanın Sertifikat Xidməti Mərkəzində istifadə olunan proqram təminatı və kriptoqrafik müdafiə vasitələri bu mərkəzin qurulmasında Tender qalibi olmuş İsveç şirkətinə məxsusdur. Bu proqram təminatı şirkət tərəfindən Estoniya tərəfinə açıq

AZƏRBAYCAN- Konsepsiya Elektron imzanın tətbiqi üçün hüquqi - normativ baza: Azərbaycan Respublikasında Eİ-nin tətbiq olunması üzrə mövcud normativ baza Azərbaycan Respublikasının «Elektron imza və elektron sənəd haqda» 9 mart 2004 -cü il tarixli qanunundan və normativ aktlardan ibarətdir. Həmin aktlara aşağıdakılar daxildir: • "Elektron imzadan istifadə olunması qaydaları"; • “Dövlət hakimiyyəti və yerli özünüidarə orqanları tərəfindən elektron imzadan istifadə olunması qaydaları";

AZƏRBAYCAN- Konsepsiya . . davamı • “Elektron imza sertifikatlarını verən və elektron imzadan istifadə olunması üzrə xidmət göstərən Mərkəzin (Sertifikatlaşdırma xidmətləri Mərkəzi) qeydiyyata alınması və akreditasiya olunması qaydaları"; • "Sertifikatlaşdırma xidmətlərinin yerinə yetirilməsi, sertifikatların verilməsi və

AZƏRBAYCAN- Konsepsiya “Elektron imza və elektron sənəd haqqında” Qanundan bəzi əsas anlayışlar: • Sertifikat - imza sahibini identikləşdirmək üçün nəzərdə tutulan və elektron imzanı yoxlama məlumatlarının imza sahibinə məxsus olması barədə sertifikat xidmətləri mərkəzinin verdiyi kağız və ya elektron sənəd • Təkmil sertifikat - akkreditə edilmiş sertifikat xidmətləri mərkəzi tərəfindən gücləndirilmiş elektron imzanı yoxlama məlumatları barəsində verilən sertifikat; • Sertifikat xidmətləri mərkəzi (bundan sonra - mərkəz) - elektron

AZƏRBAYCAN- Konsepsiya . . davamı • Akkreditə edilmiş sertifikat xidmətləri mərkəzi (bundan sonra akkreditə edilmiş mərkəz) - təkmil sertifikat vermək hüququ müvafiq icra hakimiyyəti orqanı tərəfindən şəhadətnamə ilə təsdiqlənmiş sertifikat xidmətləri mərkəzi; • Sertifikatlaşdırılmış elektron imza vasitələri - müəyyən olunmuş tələblərə uyğunluğu sertifikatlaşdırma qaydaları əsasında təsdiq edilmiş elektron imza vasitələri; • Sertifikatlaşdırılmış elektron sənəd dövriyyəsi vasitələri müəyyən olunmuş tələblərə uyğunluğu sertifikatlaşdırma

AZƏRBAYCAN- Konsepsiya “Elektron imza və elektron sənəd haqqında” Qanundan bəzi əsas müddəalar: Maddə 6. Elektron imzanın dövlət idarəçiliyi sahəsində istifadəsi 6. 1 Dövlət hakimiyyəti və yerli özünüidarəetmə orqanlarının informasiya sistemlərində elektron sənəd mübadiləsi üçün ancaq gücləndirilmiş imzadan və sertifikatlaşdırılmış imza vasitələrindən istifadə edilir. 6. 2 Dövlət hakimiyyəti və yerli özünüidarəetmə orqanları sahə üzrə akkreditə edilmiş mərkəzin xidmətlərindən istifadə etməlidir. 6. 3 Dövlət hakimiyyəti və ya yerli özünüidarəetmə orqanlarına fiziki və ya hüquqi şəxsin göndərdiyi məlumat bildirişi onun gücləndirilmiş imzası ilə təsdiqlənməlidir.

AZƏRBAYCAN- Konsepsiya. . . davamı: Maddə 9. Sertifikat xidmətləri mərkəzinin qeydiyyata alınması və akkreditə edilməsi 9. 1 Mərkəz Azərbaycan Respublikasında fəaliyyətə başlamazdan 30 gün əvvəl müvafiq icra hakimiyyəti orqanına məlumat verməli və qeydiyyatdan keçməlidir. 9. 2 Məlumatda mərkəz kimi fəaliyyət göstərməyə iddiaçı şəxsin ünvanı, hüquqi statusu, maliyyə, texniki, kadr imkanları və fəaliyyətinin xüsusiyyətləri göstərilməlidir. Hüquqi şəxs bu məlumatlara dövlət qeydiyyatı şəhadətnaməsi və nizamnaməsinin surətini, fiziki şəxs isə hüquqi şəxs yaratmadan sahibkarlıq fəaliyyəti barədə sənədləri əlavə etməlidir. Təqdim edilən sənədlərin siyahısı qeydiyyat qaydaları ilə müəyyən edilir.

AZƏRBAYCAN- Konsepsiya. . davamı: 9. 4 Təkmil sertifikat xidmətləri göstərmək üçün mərkəz müvafiq icra hakimiyyəti orqanında akkreditədən keçir və ona təkmil sertifikat verilir. 9. 6 Mərkəz fəaliyyətə yalnız müvafiq icra hakimiyyəti orqanı tərəfindən sertifikat xidmətləri mərkəzləri reyestrinə qeydiyyat məlumatlarının daxil edilməsindən sonra başlaya bilər. 9. 8 Mərkəzin qeydiyyatı və akkreditə edilməsi qaydaları müvafiq icra hakimiyyəti orqanı tərəfindən müəyyənləşdirilir.

AZƏRBAYCAN- Konsepsiya Eİ vasitələrinin işlənib hazırlanması və sertifikatlaşdırılması proseduru aşağıdakı prinsiplərə əsaslanmalıdır: • Gücləndirilmiş imza üzrə Eİ vasitələrinin işlənib hazırlanması informasiya qoruyucu vasitələrin istehsalı və hazırlanması üçün lisenziyaya malik təşkilatlar tərəfindən həyata keçirilir; • Eİ vasitələrinin sertifikatlaşdırma sınaqları müstəqil ekspertlər (sertifikatlaşdırma laboratoriyaları) tərəfindən həyata keçirilir ki, onların da fəaliyyəti Milli təhlükəsizlik nazirliyi tərəfindən tənzimlənir; • Milli təhlükəsizlik nazirliyi sertifikatlaşdırma sınaqlarının nəticələrinə dair ekspert dəyərləndirməsini həyata keçirir və uyğunluğu

AZƏRBAYCAN- Konsepsiya Elektron imzadan istifadənin əsas prinsipləri və vahid dövlət siyasətinin reallaşdırılması: • Elektron imzadan istifadə sosial-iqtisadi inkişafın, dövlət idarəetmə sisteminin modernləşdirilməsinin, dövlətin müdafiə və milli təhlükəsizliyinin prioritetlərindən olmalıdir; • Vacib sosial-iqtisadi və siyasi əhəmiyyət kəsb edən Milli Sertifikat Xidməti Sisteminin

AZƏRBAYCAN- Konsepsiya . . davamı: • Dövlət hakimiyyəti və yerli özünüidarəetmə orqanlarında elektron imzanın tətbiq edilməsində razılaşdırılma və balanslaşdırılma təmin olunmalıdır; • Elektron imzanın tətbiq edilməsi zamanı bütün səviyyələrdəki normativ hüquqi və metodioloji baza razılaşdırılmalıdır; • Korparativ səviyyədə elektron imza texnologiyalarının tətbiqi zamanı büdcə vəsaitlərinin təkrar xərclərinə yol verilməməlidir;

AZƏRBAYCAN- Konsepsiya Milli Mərkəzlər Sisteminin təklif olunan arxitekturası Milli Mərkəzlər Sistemi aşağıdakı təşkiledicilərdən ibarət olmalıdır: • Ali Sertifikat Xidmətləri Mərkəzi; • Konsepsiyanın təsdiq olunmasına qədər dövlət orqanlarında fəaliyyət göstərən

AZƏRBAYCAN- Konsepsiya Ali SXM-in təyinatı: • Azərbaycan Respublikasının dövlət hakimiyyəti və yerli özünüidarəetmə orqanlarındakı elektron sənəd mübadiləsi sistemlərində tətbiq edilən elektron imza sertifikatlarının idarə olunması; • Azərbaycan Respublikası ərazisində fəaliyyət göstərən SXM-lərin verdikləri elektron imza sertifikatlarının tanınması məqsədilə vahid informasiya məkanının yaradılması; • Milli infrastruktura daxil olan Mərkəzlərin xarici dövlətlərdəki Mərkəzlər ilə qarşılıqlı əlaqəsinin təmin olunması

AZƏRBAYCAN- Konsepsiya Ali SXM-in təklif olunan strukturu : Ali SXM gücləndirilmiş elektron imza üçün tam sertifikatların verilməsini təmin etməlidir. Bu Mərkəzin avtomatlaşdırılmış fəaliyyəti 3 mərkəzin proqram-aparat vasitələri ilə yerinə yetirilməlidir: • Milli sistemə daxil olan bütün tabeli mərkəzlərə sertifikat verən Əsas Mərkəz; • Nazirlik və Komitə əməkdaşlarına daxili və sahələrarası sənəd mübadiləsi üşün sertifikat verilməsini təmin edəcək Dövlət Hakimiyyəti Mərkəzi; • Təsərrüfat subyektləri və vətəndaşlara hakimiyyət orqanları

AZƏRBAYCAN- Konsepsiya . . davamı: • Dövlət Hakimiyyəti Mərkəzi və Elektron Hökumət Mərkəzi Əsas Mərkəzə tabe olurlar. • Ali SXM-in tərkibinə eyni zamanda zaman göstəricilərini vermək və sertifikatları online rejimində yoxlamaq üçün aparat-proqram vasitələri daxildir. • Dövlət Hakimiyyəti Mərkəzi ildə 30. 000 sertifikat vermə qabiliyyətinə malik olmalıdır. Bu Mərkəzin normal fəaliyyəti üçün hakimiyyət orqanlarında Qeydiyyat Məntəqələri yaradılmalıdır. • Avtomatlaşdırılmış iş yerlərindən ibarət olan bu

AZƏRBAYCAN- Konsepsiya Milli Mərkəzlər Sisteminin qarşılıqlı əlaqə sxemi aşağıdakı kimidir: Ali SXM Milli Sistemin tərkibinı daxil olan mərkəzlər Əsas Mərkəz Elektron hökumət mərkəzi Hüquqi şəxslər vətəndaşlar Qeydiyyat məntəqələri ilə əlaqə Birtərəfli sertifikatlaşdıma (əsas – tabe olan) Sertifikatların verilməsi RİTN Qeydiyyat məntəqəsi RİTN ərazi orqanı Hakimiyyət orqanları mərkəzi Vaxt göstəricilərinin verilməsi və Sertifikatların onlayn yoxlanılması üçün PCK Sertifikatın faktiki statusu Vaxt ştampı Qeydiyyat məntəqəsi Hakimiyyət orqanı

AZƏRBAYCAN- Konsepsiya • Bu Konsepsiyanın təsdiq olunması anında fəaliyyət göstərən təkmil sertifikatlar verən bütün digər mərkəzlər müəyyən olunmuş qaydalara müvafiq olaraq akkreditədən keçib tabeli mərkəz statusu ilə Ali SXM-ə qoşulmalıdırlar. Həmin mərkəzlər sertifikatların online rejimində yoxlanılması üçün vacib olan informasiyanı təqdim etməyi bacarmalıdırlar.

AZƏRBAYCAN- Konsepsiya Mərkəzlərin akkreditə proseduru: • Akkreditə prosedurunun həyata keçirilməsi üçün Milli Sistemə daxil olan proqram-aparat vasitələrinin mövcud tələblərə və standartlara uyğunluğunun təsdiqlənməsi qaydaları işlənib hazırlanmalıdır. • Xarici ölkələrin istehsalı olan mərkəzlərin fəaliyyətləri üçün avtomatlaşdırma

AZƏRBAYCAN- Konsepsiya Ali SXM-in yaradılmasının gedişində mövcud normativ bazaya praktikaya uyğun bəzi düzəlişlərin edilməsi və əlavə qaydaların hazırlanması edilməsi təklif olunur. Bunlara ilkin olaraq aşağıdakılar aiddir: • Sertifikatlarda istifadə olunan vahid identifikatorların tətbiqi; • İdentifikatorların qeydiyyatı qaydasının

AZƏRBAYCAN- Konsepsiya . . davamı: • identifikatorların qeydiyyatı funksiyasını yerinə yetirəcək cavabdeh təşkilatın müəyyənləşdirilməsi; • elektron imza üçün aparat-proqram vasitələrinin sertifikatlaşdırılması prosedurunun təmin olunması; • xaricdə istehsal olunmuş elektron imza

AZƏRBAYCAN- Konsepsiya • Konsepsiyada Ali Sertifikat Xidmətləri Mərkəzinə və dövlət hakimiyyəti və yerli özünüidarəetmə orqanlarında tətbiq olunacaq elektron imza vasitələrinə texniki tələblərdə Əsas Mərkəz, Dövlət Hakimiyyəti Mərkəzi və Elektron Hökumət Mərkəzinin hər biri üçün aparat və proqram vasitələrinə, Ali SXM-in kriptoqrafik müdafiə vasitələrinə,

Mərkəzlər fəaliyyətində aşağıdakı standartlara və texniki sənədlərə riayət etməlidirlər: Akkreditə edilmiş Mərkəzin fəaliyyətinin ümumi təşkili ETSI TS 101 456, CEN/ISSS CWA 14167 -1 Təkmil sertifikatlar ETSI TS 101 862, ITU-T Rec. X-509 v. 3. Sertifikatın verilməsi sorğusunun formatı PKCS#10 "Sertifikat siyasəti" və "Sertifikatın tətbiqi qaydaları" RFC 3647 İnformasiya sisteminin təhlükəsizliyinin auditi və ekspertizası standartı İSO 15408 və ya ona uyğun olan milli standart İmza yaratma məlumatlarının yaradılması, saxlanılması və ya istifadəsi Ümumi tələblər (Common Criteria), İSO 15408 -ə uyğun olaraq EAL 3 və ya ondan yuxarı olan təhlükəsizlik səviyyəsi Gücləndirilmiş elektron imza yaratma məlumatları CWA 14169 standartına uyğun və TS ISO/IEC 15408 (-1, -2, -3) və ya ISO/IEC 15408 (-1, -2, -3) görə ən azı EAL 4+ Elektron imzanın yoxlanılması CEN/İSSS CWA 14167 -1 Sertifikatın vəziyyətinin real vaxt rejimində yoxlanılması protokolu RFC 2560 Alqoritmlər və parametrlər ETSI SR 002 176 İmza sahibinin imza yaratma və yoxlama məlumatları RSA üçün ən azı 1024 bit və ya DSA elliptik əyrisi üçün ən azı 160 bit Heş-funksiya:

Mərkəzlər fəaliyyətində aşağıdakı standartlara və texniki sənədlərə riayət etməlidirlər: Akkreditə edilmiş Mərkəzin imza yaratma və yoxlama məlumatları RSA - ən azı 2048 bit və ya DSA elliptik əyrisi üçün ən azı 256 bit Heş-funksiya: RIPEMD – 160; və ya SHA – 1 Təhlükəsizlik meyarları CEN/ISSS CWA 14167 -1, ETSI TS 101 456 TS ISO/IEC 17799 və ya ISO/IEC 17799 Vaxt göstəriciləri və xidmətləri üzrə ETSI TS 101 861 CEN/ISSS CWA 14167 -1 "Vaxt göstəricilərinin qeyd edilmə qaydası" ETSI TS 102 023 İmza yaratma və yoxlama proseduru QOST 34. 310 -95 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма. Heş-funksiya QOST 34. 311 -95 Информационная технология. Криптографическая защита информации. Функция хэширования.

Kök Sertifikasyon Makamı, Görevleri ve Sertifika Hizmet Sağlayıcıları Kök Sertifikasyon Makamı, görevleri ve Sertifika Hizmet Sağlayıcıları, konusuna doğrudan başlamadan önce bu mercilerin yer aldıkları sisteme ”Açık Anahtar Altyapısı’”na kısaca değinmek yerinde olacaktır.

Şəbəkədə əlaqə zamanı təhlükəsizliklə bağlı meydana gələn 4 zərurət Konfidensiallıq Bloklanma Mənim göndərdiklərimi başqası görurmü ? İdentifikasiya Falsifikasiya Mən kimlə əlaqə saxlayıram? Tamlıq Dəyişdirilmə Mənim göndərdiklərim dəyişdirilibmi? İnkar edə bilməmək İddialar Göndərməmişəm Almamışam Bunu kim və nə vaxt göndərib?

Elektron sertifikata nəyə görə inanılmalıdır? • Elektron sertifikat sizi identifikasiya edən pasport rolunu oynayır – Azərbaycan pasportu dövlət tərəfindən verilir – başqa dövlət gördükdə ona inanır • İnanılmış Sertifikasiya Mərkəzi tərəfindən verilən elektron sertifikata da inanmaq olar

Gəlinən qənaət • Açıq Açar Kriptoqrafiyasından nə üçün istifadə edilir? Elektron imza və açıq açar şifrələməsi, lakin ləng işləyir • Gizli açar kriptoqrafiyası adətən nə üçün istifadə edilir? Mübadilə olunan məlumatın şifrələnməsi, çünki sürətlidir • Elektron sertifikatın vacib 2 hissəsi