Аутентифікація та електронно-цифровий підпис
забезпечити зберігання облікових даних користувачів в захищеному вигляді в БД. Зберігання облікових даних в HTML сторінках або файлах, що зберігаються на Web-сервері, і доступних користувачам за URL, повинно бути виключено; [10, 291]
забезпечити авторизованому користувачеві можливість самостійного завершення сеансу роботи, при цьому додаток повинен видалити його ідентифікатор сесії і вважати даного клієнта неавторизованим;
у випадку якщо додатком передбачається можливість внесення змін користувачем у власний профіль, при внесенні змін необхідно проводити додаткову процедуру автентифікації;
сесія користувача повинна вважатися завершеною: при закінченні тимчасового не активного режиму користувача і при виході користувача із системи;
сесійний ідентифікатор та cookie-файли не повинні містити паролі і будь-яку іншу інформацію, розкриття якої дозволить зловмисникові одержати в додатку повноваження законного користувача. У разі, якщо дана інформація повинна бути присутня, необхідно використовувати механізми шифрування даних. [10, 292]
Для ідентифікації достовірності інформації використовують відповідні технічні засоби. Зокрема, для прискорення документообігу між суб’єктами економічної діяльності, було запроваджено електронний цифровий підпис, за допомогою якого документи в електронній формі можуть набувати такої самої юридичної сили, що і документи на папері.
З січня 2004 року вступив у дію прийнятий парламентом Закон України «Про електронний цифровий підпис», в якому визначене поняття, сфера використання та юридична сила електронного цифрового підпису. Відповідно до нього: електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. [додаток 1]
Електронний цифровий підпис може використовуватись юридичними та фізичними особами як аналог власноручного підпису для надання електронному документу юридичної сили. Юридична сила електронного документа, підписаного ЕЦП, еквівалентна юридичні силі документа на паперовому носієві, підписаного власноручним підписом правоздатної особи і скріплена печаткою. Приклад формування електронно-цифрового конверту приведений на рис. 1.
Рис. 1 - «Шифрування та дешифрування електронного документу»
ЕЦП володіє всіма основними функціями особистого підпису:
засвідчує те, що отриманий документ надійшов від особи, яка його підписала;
гарантує цілісність та захист від спотворення/виправлення підписаного документу;[8, 219]
не дає можливості особі, яка підписала документ, відмовитись від зобов'язань, що виникли в результаті підписання цього документу.
Для того, щоб підписати електронний документ, потрібен особистий ключ. Особистий ключ - це набір випадкової послідовності символів за певним криптографічним алгоритмом, за допомогою якого буде накладатися ЕЦП на створений електронний документ або на електронну операцію. Відкритий ключ - це ключ, який логічно пов'язаний з особистим ключем. За допомогою відкритого ключа перевіряється ЕЦП на електронному документі або електронній операції. Сертифікат відкритого ключа - електронний сертифікат, який видає центр сертифікації ключів, засвідчуючи, що відкритий ключ та логічно пов'язаний з ним особистий ключ належать конкретній особі. Приклад формування та використання ЕЦП приведений на рис. 2.
