ДК 021:2015 “30230000-0 Комп’ютерне обладнання” (Засіб криптографічного захисту інформації "електронний ключ "Алмаз-1К" або еквівалент)

І:
Вимога до Додатку 5 Характеристик предмету закупівлі до тендерної документації на закупівлю, код ДК 021:2015: “30230000-0 – комп’ютерне обладнання” (засіб криптографічного захисту інформації "електронний ключ "Алмаз-1К" або еквівалент):
Замовником зазначені наступні характеристики: «Об'єм внутрішньої пам'яті (EEPROM): не більше 40 КБ»
Оскільки предмет закупівлі Засіб криптографічного захисту інформації "електронний ключ "Алмаз-1К" або еквівалент згідно ЗУ«Про електронну ідентифікацію та електронні довірчі послуги»:
статті 1 п.1 частини 20:
“20) засіб кваліфікованого електронного підпису чи печатки - засіб електронного підпису чи печатки, що відповідає вимогам, встановленим частинами першою - четвертою статті 19 цього Закону”
Відповідно до ЗУ «Про електронну ідентифікацію та електронні довірчі послуги» статті 1 п.1 частини 18:
“18) засіб електронного підпису чи печатки - апаратно-програмний пристрій чи програмне забезпечення, що використовуються для створення електронного підпису чи печатки”.
Відповідно до вимог, встановлених до засобів кваліфікованого електронного підпису чи печатки частинами першою – п’ятою статті 19 Засоби кваліфікованого електронного підпису чи печатки ЗУ «Про електронну ідентифікацію та електронні довірчі послуги»:

“ 1. Засоби кваліфікованого електронного підпису чи печатки за допомогою відповідних технічних та процедурних засобів повинні забезпечувати:
- надійний рівень конфіденційності особистих ключів під час їх генерації, зберігання та створення кваліфікованого електронного підпису чи печатки;
- належний рівень унікальності пари ключів, які вони генерують;
- надійний рівень неможливості обчислення значення особистого ключа на основі відкритої інформації та надійний захист кваліфікованого електронного підпису чи печатки від підроблення шляхом використання наявних на даний момент технологій;
- можливість надійного захисту підписувачем чи створювачем (уповноваженим представником створювача) електронної печатки особистого ключа від використання іншими особами.
2. Засоби кваліфікованого електронного підпису чи печатки не повинні змінювати електронні дані, з якими пов’язаний такий підпис чи печатка, або перешкоджати доступу підписувача чи створювача (уповноваженого представника створювача) електронної печатки до таких електронних даних перед накладанням на них кваліфікованого електронного підпису чи печатки.
3. Генерацію та/або управління парою ключів від імені підписувача чи створювача електронної печатки може здійснювати виключно кваліфікований надавач електронних довірчих послуг.
4. Кваліфікований надавач електронних довірчих послуг, який здійснює управління парою ключів від імені підписувача чи створювача електронної печатки, може здійснювати резервне копіювання особистого ключа підписувача чи створювача електронної печатки з метою його зберігання, за умови дотримання вимоги абзацу п’ятого частини першої статті 19 цього Закону, а також таких вимог:
- рівень безпеки резервної копії особистого ключа повинен відповідати рівню безпеки оригінального особистого ключа;
- кількість резервних копій не повинна перевищувати мінімальне значення, необхідне для забезпечення безперервності надання послуги.
5. Відповідність засобів кваліфікованого електронного підпису чи печатки вимогам, встановленим частинами першою - четвертою цієї статті, підтверджується документами про відповідність, виданими за результатами сертифікації таких засобів відповідно до Закону України "Про технічні регламенти та оцінку відповідності".
Презумпцією відповідності виконання вимог, встановлених частинами першою - четвертою цієї статті, є реалізація вимог стандартів, у тому числі щодо забезпечення сумісності, затверджених центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг”
Відповідно до вимог до засобів кваліфікованого електронного підпису чи печатки Постанови КМУ від 7 листопада 2018 р. № 992 «Про затвердження вимог у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг»:
“Вимоги до засобів кваліфікованого електронного підпису чи печатки
130. Засоби кваліфікованого електронного підпису чи печатки, що використовуються під час надання кваліфікованих електронних довірчих послуг, повинні відповідати вимогам, установленим частинами першою та другою статті 19 Закону України “Про електронні довірчі послуги”.
131. Для надання кваліфікованих електронних довірчих послуг використовуються засоби кваліфікованого електронного підпису чи печатки, які повинні мати документи про відповідність або позитивний експертний висновок за результатами їх державної експертизи у сфері криптографічного захисту інформації.
132. Надання кваліфікованих електронних довірчих послуг надавачем без чинних документів, що підтверджують його право власності та/або право користування засобами кваліфікованого електронного підпису чи печатки, які використовуються для надання кваліфікованих електронних довірчих послуг, забороняється.
133. Контроль за дотриманням вимог до засобів кваліфікованого електронного підпису чи печатки здійснюється Адміністрацією Держспецзв’язку.
Стандарти, що визначають вимоги до засобів кваліфікованого електронного підпису чи печатки
ДСТУ EN 419211-1:2016 (EN 419211-1:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 1. Огляд”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 23 вересня 2016 р. № 279
ДСТУ EN 419211-2:2016 (EN 419211-2:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 2. Пристрій з генерацією ключів”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 23 вересня 2016 р. № 279”

Підтвердженням відповідності предмету закупівлі державним вимогам у сфері криптографічного захисту інформації є наявний позитивний експертний висновок Державної служби спеціального зв’язку та захисту інформації України за результатами державної експертизи в сфері криптографічного захисту інформації з зазначеними стандартами згідно Постанови КМУ від 7 листопада 2018 р. № 992.
Відповідно до перелічених Закону та нормативно-правових актів ніде не зазначено, що засіб криптографічного захисту інформації повинен мати об’єм пам’яті НЕ БІЛЬШЕ 40 КБ.
Таким чином, вимога Об'єм внутрішньої пам'яті (EEPROM): НЕ БІЛЬШЕ 40 КБ – є дискримінаційною.
Просимо прибрати в Додатку 5 до тендерної документації вимогу до предмету закупівлі «НЕ БІЛЬШЕ 40 КБ»





ІІ.
Вимога до Додатку 5 Характеристик предмету закупівлі до тендерної документації на закупівлю, код ДК 021:2015: “30230000-0 – комп’ютерне обладнання” (засіб криптографічного захисту інформації "електронний ключ "Алмаз-1К" або еквівалент):
Замовником зазначені наступні характеристики:
«Швидкість формування КЕП за ДСТУ 4145-2002, поле 257 - 300 мс
Швидкість формування спільного секрету Діффі-Гелмана в гр.т. еліптичної кривої, поле 571 - 2100 мс»

Звертаємо Вашу увагу на те, що дані вимоги (довжина ключа до 571 біту, поле 257 - 300 мс, поле 571 - 2100 мс.) є порушенням чинного законодавства України, а саме:
- Наказу МІНІСТЕРСТВА ЦИФРОВОЇ ТРАНСФОРМАЦІЇ УКРАЇНИ АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ № 140/614 від 30.09.2020 «Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-телекомунікаційних систем під час надання кваліфікованих електронних довірчих послуг», зареєстрованого в Міністерстві юстиції України 22 жовтня 2020 р. за № 1039/35322, п. 8 – «Установити, що об’єктні ідентифікатори алгоритмів криптографічного захисту інформації, визначених у підпункті 2 пункту 1 цього наказу, публікуються на офіційному вебсайті Держспецзв’язку до моменту їх реєстрації національною реєструючою організацією відповідно до законодавства» де зазначаються об’єктні ідентифікатори алгоритмів криптографічного захисту інформації та криптографічних протоколів з їх використанням;
- Закону «Про публічні закупівлі» статті 5;
- Закону «Про публічні закупівлі» статті 22.

Відповідно до Наказу МІНІСТЕРСТВА ЦИФРОВОЇ ТРАНСФОРМАЦІЇ УКРАЇНИ АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ № 140/614 від 30.09.2020 «Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-телекомунікаційних систем під час надання кваліфікованих електронних довірчих послуг», зареєстрованого в Міністерстві юстиції України 22 жовтня 2020 р. за № 1039/35322, п. 8 - https://cip.gov.ua/ua/news/perelik-ob-yektnikh-identifikatoriv-algoritmiv-kriptografichnogo-zakhistu-informaciyi-kriptografichnikh-protokoliv-ta-politik-sertifikaciyi-z-yikh-vikoristannyam встановлені та викладені наступні читкі вимоги до криптографічних алгоритмів та протоколів:
1. Протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої:

Вимога до довжини ключа відсутня! Одже вимагання довжини ключа до 571 біту є безпідставною та дискримінаційною

2. Швидкість формування ЕЦП за ДСТУ 4145-2002
В нормативній документації, а саме https://cip.gov.ua/ua/news/perelik-ob-yektnikh-identifikatoriv-algoritmiv-kriptografichnogo-zakhistu-informaciyi-kriptografichnikh-protokoliv-ta-politik-sertifikaciyi-z-yikh-vikoristannyam затверджено наступне:

Вимога полів 257 - 300 мс відсутня, одже є безпідставною та дискримінаційною

3. Швидкість формування спільного секрету Діффі-Гелмана в гр.т. еліптичної кривої, поле 571 - 2100 мс:

Відповідно до п. Е.7 додатку Е ДСТУ ISO/IEC 11770-3 розподіл ключів за протоколом розподілу ключів Діффі-Гелмана визначено в ДСТУ 4145 та заданих в поліноміальному базисі для ступенів розширення поля 163, 191, 257 та 431. Згідно вимог національного стандарту України Стандарт ДСТУ 4145-2002 визначає наступні вимоги до полів m:

Вимога довжини ключа 571 - 2100 мс в нормативній документації та українських стандартах відустня та не передбачається, одже є безпідставною та дискримінаційною.
Підтвердженням відповідності необхідним характеристикам та затвердженим державним стандартам предмету закупівлі Захищені носії особистого ключа є наявність позитивного експертного висновку Державної служби спеціального зв’язку та захисту інформації України за результатами державної експертизи в сфері криптографічного захисту інформації, де зазначається відповідність носія конкретному стандарту. В Даному випадку – ДСТУ 4145-2002.

Відповідно до вищевикладеного, вимоги до довжина ключа до 571 біту, поле 257 - 300 мс, поле 571 - 2100 мс. є некоректними, та суперечать державним стандартам. Крім того, дані характеристики зазначені тільки на сайті лише одного виробника даного предмету закупівлі, що є порушенням Закону України «Про публічні закупівлі», а саме статті 22 та статті 5: інформація про необхідні технічні, якісні та кількісні характеристики предмета закупівлі, у тому числі відповідну технічну специфікацію (у разі потреби - плани, креслення, малюнки чи опис предмета закупівлі). Технічні, якісні характеристики предмета закупівлі та технічні специфікації до предмета закупівлі повинні визначатися замовником з урахуванням вимог, визначених частиною четвертою статті 5 цього Закону - Замовники не мають права встановлювати жодних дискримінаційних вимог до учасників.

Виходячи з вищевикладеного та з метою дотримання Законів України «Про публічні закупівлі», Закону України «Про електронні довірчі послуги» та Наказу МІНІСТЕРСТВА ЦИФРОВОЇ ТРАНСФОРМАЦІЇ УКРАЇНИ АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ від 30.09.2020 № 140/614 «Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-телекомунікаційних систем під час надання кваліфікованих електронних довірчих послуг», та інформації, що міститься у джерелах https://czo.gov.ua/normative-documentation, https://zakon.rada.gov.ua/laws/show/z1039-20#n8, https://zakon.rada.gov.ua/laws/show/2155-19#n325, стандарту ДСТУ 4145-2002 http://ksv.do.am/GOST/DSTY_ALL/DSTU2/dstu_4145-2002.pdf просимо Вас внести зміни в Тендерну документацію закупівлі Ідентифікатор UA-2024-03-06-013432-a ID 46e10c42b3654c03857e2529fcbebf4f, та викласти їх настпним чином у Додатку 5:

«протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої
Формування ЕЦП за ДСТУ 4145-2002
Формування спільного секрету Діффі-Гелмана в гр.т. еліптичної кривої»

Одним із принципів здійснення публічних закупівель є принцип недискримінації учасників, встановлений в п. 4 ч. 1 ст. 5 ЗУ «Про публічні закупівлі». Дотримання даного принципу означає, що Замовник не може встановлювати дискримінаційні вимоги до учасників. Крім цього, згідно ч. 4 ст. 22 Закону тендерна документація не повинна містити вимог, що обмежують конкуренцію та призводять до дискримінації учасників.
На підставі вищевикладеного керуючись п. 55-59 Особливостей, вважаємо, що тендерна документація Замовника містить дискримінаційні вимоги та вимоги, які порушують чинні норми Особливостей та Закону, а саме статтю 5 Закону «Принципи здійснення публічних закупівель та недискримінація учасників» та частину 4 статті 22 «Тендерна документація не повинна містити вимог, що обмежують конкуренцію та призводять до дискримінації учасників», Постанова КМУ № 1178 від 12.10.2022 року.

Додатково хочемо звернути увагу Замовника ГОЛОВНЕ УПРАВЛІННЯ НАЦІОНАЛЬНОЇ ПОЛІЦІЇ У ВІННИЦЬКІЙ ОБЛАСТІ на те, що відповідно до сталої практики АМКУ – дискримінаційні вимоги є порушенням діючого законодавства. (Приклад рішення АМКУ додається)