Кваліфікований електронний підпис (КЕП) – це вид електронного підпису, який за законом прирівнюється до власноручного підпису фізичної особи. Він має найвищий рівень довіри та юридичної сили серед усіх типів електронних підписів.

КЕП формується в результаті криптографічного перетворення електронних даних і додається до них або логічно поєднується з ними. Такий підпис забезпечує ідентифікацію підписувача та гарантію цілісності даних (захист від змін після підписання).

Відповідно до п. 3 ст. 15 Закону України «Про електронну ідентифікацію та електронні довірчі послуги»(далі - Закон), використання кваліфікованих електронних підписів та печаток забезпечує високий рівень довіри до засобів електронної ідентифікації, з використанням яких створюються такі електронні підписи та печатки, а також до схем електронної ідентифікації, в рамках яких видаються відповідні засоби електронної ідентифікації.

У відповідності до вимог п.2. ст.18 Закону, обов’язковою умовою при використанні  КЕП є зберігання особистого ключа на захищеному носії інформації – засобі кваліфікованого електронного підпису. Відповідно, особистий ключ КЕП має генеруватися та зберігатися в засобі кваліфікованого електронного підпису, а доступ до використання такого ключа буде лише у власника КЕП.

Різниця між КЕП, УЕП і ЕЦП полягає в тому, що КЕП фактично став продовженням того, що раніше називалося ЕЦП. Для більшості користувачів це одне й те саме, просто змінилася назва. Центри сертифікації користувачів автоматично стали кваліфікованими надавачами електронних довірчих послуг, а електронні цифрові підписи стали кваліфікованими електронними підписами.

До ухвалення Закону України № 2155-VIII не було вимоги зберігати закритий ключ на захищеному носії. Тоді ЕЦП також прирівнювався до власноручного підпису. Через це виникало багато ризиків, особливо коли почали з’являтися різні електронні сервіси та автоматизація між інформаційними системами.

Сьогодні існують два типи підписів: кваліфікований (КЕП) і удосконалений (УЕП). Обидва використовують кваліфікований сертифікат відкритого ключа, але рівень довіри до них різний. Основна різниця полягає в тому, що файлові ключі, які використовуються для УЕП, легко скопіювати та передати іншій особі, тому існує ризик втрати контролю над ними. Наприклад, коли директор передає копію свого ключа бухгалтеру.

Для КЕП такі ситуації значно складніші. Особистий ключ у засобі КЕП неможливо скопіювати, а сам пристрій має обмежену кількість невдалих спроб введення пароля. Коли ця кількість вичерпується, доступ до ключа блокується. У фізичних носіях такий блок є незворотним, і відновити ключ неможливо.

Удосконалений електронний підпис, що базується на кваліфікованому сертифікаті електронного підпису, - удосконалений електронний підпис, що створюється з використанням кваліфікованого сертифіката електронного підпису, виданого кваліфікованим надавачем електронних довірчих послуг та не містить відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису (токен, Гряда і т.і.).

Електронний підпис – це електронні дані підписувача, які додаються до електронного документа або логічно з ним поєднуються. Такий підпис забезпечує ідентифікацію особи, яка підписала електронний документ, та підтверджує цілісність (незмінність) даних.

На сьогодні можна виділити 3 види електронних підписів:

• Звичайний електронний підпис. Може існувати у форматі буквенно-числового набору даних (наприклад, OTP-паролі) або графічного відображення власноручного підпису. Має низький рівень довіри.
• Удосконалений електронний підпис (УЕП). Створюється з використанням кваліфікованого сертифіката електронного підпису, виданого кваліфікованим надавачем електронних довірчих послуг, та не містить відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису. Має середній рівень довіри.
• Кваліфікований електронний підпис (КЕП). Створюється з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті електронного підпису. Має високий рівень довіри.

Хмарний КЕП — це КЕП, особистий ключ якого зберігається безпосередньо в захищеному хмарному сховищі Надавача електронних довірчих послуг. Для  використання даного типу підпису зазвичай необхідні ідентифікатор самого ключа та/або мобільний додаток для виконання необхідних дій з КЕП. Він завжди доступний онлайн та використовується без необхідності у додаткових фізичних носіях

Особистий ключ електронного підпису або «закритий ключ» — це унікальні дані, які використовуються власником цього ключа для накладання/створення електронного підпису. Особистий ключ має належати лише користувачу, бути захищеним паролем і являє собою конфіденційну інформацію. Особистий ключ і пароль до нього не можна передавати іншим особам, навіть за довіреністю, інакше ключ може вважатися скомпрометованим.

У  відповідності до п.2 ст. 12 Закону визначено, що користувач зобов’язаний негайно повідомити надавача електронних довірчих послуг про підозру або факт компрометації особистого ключа і не використовувати цей ключ у разі компрометації. Підтвердження компрометації здійснюється лише на підставі звернення власника ключа, контролюючого органу у сфері електронних довірчих послуг або за рішенням суду, яке набрало законної сили.

В залежності від процесу проходження ідентифікації, заявник може надати один із наступних документів для проходження ідентифікації:

• паспорт громадянина України
• паспорт громадянина України для виїзду за кордон
• паспорт громадянина України у вигляді ID картки
• посвідчення водія
• посвідка на постійне проживання
• посвідка на тимчасове проживання
• національний паспорт іноземця з нотаріально засвідченим перекладом на українську мову
• дипломатичний паспорт України
• службовий паспорт України
• посвідчення особи на повернення в Україну
• тимчасове посвідчення громадянина України
• посвідчення особи без громадянства для виїзду за кордон
• посвідчення біженця

та інші, відповідно до затвердженого законодавством переліку документів.

 Електронні довірчі послуги (ЕДП) — це комплекс цифрових інструментів, які забезпечують юридичну значущість електронної взаємодії: ідентифікацію особи в мережі, створення та перевірку кваліфікованого електронного підпису (КЕП) чи печатки, формування позначки часу та реєстрованої електронної доставки, що надають правовим діям в інтернеті такої ж ваги, як і власноручні підписи та паперові документи. Вони дозволяють безпечно підписувати документи, подавати звіти (наприклад, податкові), обмінюватися інформацією та ідентифікуватися на порталах, спрощуючи цифровізацію для громадян і бізнесу.

Користувачі електронних довірчих послуг — це фізичні та юридичні особи (громадяни, підприємства, нотаріуси, адвокати), які використовують цифрові сервіси для створення електронних підписів, печаток, автентифікації та безпечного обміну електронними даними, довіряючи надавачу електронних довірчих послуг підтвердити їхню ідентифікацію та цілісність документів в цифровому просторі, відповідно до вимог Закону України «Про електронну ідентифікацію та електронні довірчі послуги».

Токен — це апаратний пристрій, який захищає особисті ключі електронного підпису від копіювання та несанкціонованого доступу. Він може бути у вигляді USB-пристрою або смарт-картки з чипом. Прикладами таких пристроїв є Алмаз-1К, Кристал-1, Автор та інші.

Файловий носій — це спеціальний файл/контейнер, у якому зберігається ваш особистий ключ електронного підпису. Найчастіше він має назву Key-6 із розширенням “dat”, але можуть траплятися й інші формати, такі як *.pfx, *.pk8, *.zs2 чи *.jks.

Захищений носій особистих ключів (ЗНОК) — це спеціальний пристрій, у якому зберігається особистий ключ електронного підпису. Він має вбудовані механізми захисту, що не дозволяють переглядати ключ, копіювати його або отримати до нього несанкціонований доступ.

КЕП для програмного реєстратора розрахункових операцій (ПРРО) — це спеціальний електронний підпис або печатка для фіскалізації чеків у програмних реєстраторах розрахункових операцій, який можна отримати у КНЕДП, і який потрібно подати на реєстрацію до Податкової служби (ДПС) через Повідомлення J(F)1391801. Це дозволяє автоматично підписувати чеки та забезпечує роботу касирів, а підпис може бути як печатка (для багатьох кас) або індивідуальний підпис касира

Під час використання КЕП або УЕП для подання звітності чи обміну електронними документами застосовується кваліфікований сертифікат. Сертифікат може бути чинний до 2 років. Після закінчення цього строку використовувати сертифікат більше не можна.

Разом із тим, електронний підпис, накладений на документ, не має строку давності. Підписані документи можна перевірити і через 5, і через 10, і через 25 років. За правильно організованого електронного документообігу КЕП підходить і для документів тривалого зберігання, зокрема, до 75 років. Для довготривалого архівування рекомендується використовувати формат CAdES-X-Long.

Підписання електронним підписом або перевірка електронного підпису здійснюється з використанням засобів кваліфікованого електронного підпису або печатки. Найбільш розповсюдженими на сьогодні є онлайн-сервіси (віджети підпису), які надаються кваліфікованими Надавачами електронних довірчих послуг. При цьому можливе окреме використання внутрішніх розробок організаціями для використання електронних підписів, які б не порушували вимоги законодавства в сфері електронних довірчих послуг.

Окрім цього, існують десктопні версії спеціалізованого програмного забезпечення для використання електронних підписів  (типу — ІІТ «Користувач-1»).

Пароль до особистого ключа є конфіденційною інформацією і має належати лише власнику особистого ключа. Якщо пароль до особистого ключа було забуто, то необхідно буде створювати новий ключ, оскільки відновити, оновити або змінити його буде неможливо.

Віддалене отримання КЕП можливе, за умови наявності:

• біометричних документів (ID-картка або паспорт громадянина України для виїзду за кордон);
• встановленого застосунку Дія.

Для отримання власного КЕП співробітнику юридичної особи або ФОП необхідно, щоб керівник юридичної особи або ФОП мав дійсний КЕП керівника або КЕП самого ФОП.