Эцп что это такое
Эцп что это такое
Электронная подпись — что это такое
Содержание:
Всё больше современных компаний практикуют электронный документооборот. Через интернет отправляют заявки на участие в тендерах, передают документы на оформление, подают налоговые декларации и т. д. Для передачи официальных документов, проведения банковских операций, совершения сделок онлайн необходима электронная подпись. Она подтверждает подлинность подписи заявителя и является обязательной составляющей оформления любой документации.
1. Что такое ЭЦП
ЭЦП — это набор зашифрованной информации о физическом либо юридическом лице. По закону юридическая сила ЭП аналогична собственноручной подписи.
Электронная цифровая подпись:
позволяет идентифицировать владельца подписи;
защищает целостность и конфиденциальность документации.
Существует понятие простой и усиленной электронной подписи. Вторая, в свою очередь, подразделяется на квалифицированную и неквалифицированную.
Как это работает
При подписании документа ЭЦП формируется специальный блок данных. Это происходи поэтапно: сначала создается уникальный отпечаток сообщения, а затем происходит его расшифровка с помощью программы и ключа. Когда адресат получает документ, подписанный электронной подписью, специальное ПО восстанавливает отпечаток исходных данных и сравнивает его с полученными. Если они оказались идентичными, то ЭЦП подтверждает целостность и корректность документа.
При использовании подписи автоматически фиксируется время подписания. В процессе аутентификации документации используется хеширование. Процедура сжимает исходный документ в короткий числовой код, аналогичный по содержанию. Это позволяет пересылать объемные файлы, а также обеспечивает уникальность передаваемых данных.
2. Кто выдает ЭЦП
Электронные цифровые подписи выдают физическим и юридическим лицам. Получить ЭЦП можно в удостоверяющих центрах (УЦ), аккредитованных Минкомсвязью. Полный перечень таких компаний, а также информацию о правилах подачи заявления на получение подписи, вы найдете по ссылке.
Важно! Заявления на выдачу ЭЦП принимаются на портале государственных услуг. Чтобы воспользоваться сервисом, понадобится подтверждённая учётная запись.
3. Как получить ЭЦП
Процедура получения включает несколько этапов:
Выбор типа подписи.
1.1. Простой вариант отличается самой низкой степенью защиты подходит предпринимателям и физическим лицам, которые хотят лишь подтвердить личность, например, при идентификации на сайтах государственных услуг. Такую подпись легко оформить самостоятельно с помощью специальных программных продуктов, например, «КриптоПро CSP» или «USB-токен». Она представляет собой одноразовый пароль для подтверждения операции.
1.2. Усиленный неквалифицированный вариант (УНЭП) — это своеобразный идентификатор контроля документооборота компании, позволяющий вносить какие-либо изменения. Такая подпись применяется при подаче отчётной документации в государственные учреждения. УНЭП выдаётся в удостоверяющими центрами (УЦ) без аттестации.
1.3. Усиленная квалифицированная подпись (УКЭП) — вариант с наибольшей степенью защиты. Одновременно с УКЭП выпускается крипто-ключ, а также оформляется сертификат. Всё это подтверждает подлинность подписи конкретного человека. Подпись имеет юридическую силу только при наличии двух этих элементов. Усиленная ЭЦП признаётся во всех государственных инстанциях: подходит для участия в торгах, тендерах по госзакупкам, аукционах и др.
2. Подбор удостоверяющего центра. Получить подробные сведения об УЦ можно на сайте Министерства связи.
3. Посещение выбранного удостоверяющего центра. Также можно позвонить по телефону, чтобы узнать, как действовать дальше. Специалисты центра расскажут о необходимых документах.
4. Оплата счёта любым удобным способом: по квитанции в отделении банка, банковской картой или с помощью платёжных онлайн-сервисов. Стоимость услуги зависит от условий работы аккредитованного центра, типа и области применения электронной подписи.
5. В назначенный день принести пакет документов в УЦ. Перечень нужной документации зависит от того, какой тип сертификата электронной подписи вам требуется.
Важно! Юридическим лицам требуется расширенный пакет документов. Полный список необходимых бумаг представлен на сайте Минсвязи.
Стандартный алгоритм получения предусматривает выдачу подписи, крипто-ключа, сертификата подлинности ЭЦП. Ключ чаще всего записывается на съёмный носитель (flash-карту). На нём также сохраняется утилита «КриптоПро CSP» с ключами: открытым или закрытыми ruToken, eToken.
Эцп что это такое
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
Для целей настоящего Федерального закона используются следующие основные понятия:
(в ред. Федеральных законов от 30.12.2015 N 445-ФЗ, от 27.12.2019 N 476-ФЗ)
(см. текст в предыдущей редакции)
(в ред. Федерального закона от 30.12.2015 N 445-ФЗ)
(см. текст в предыдущей редакции)
(в ред. Федерального закона от 27.12.2019 N 476-ФЗ)
(см. текст в предыдущей редакции)
(п. 8.1 введен Федеральным законом от 27.12.2019 N 476-ФЗ)
(в ред. Федерального закона от 27.12.2019 N 476-ФЗ)
(см. текст в предыдущей редакции)
(п. 14 введен Федеральным законом от 30.12.2015 N 445-ФЗ; в ред. Федерального закона от 27.12.2019 N 476-ФЗ)
(см. текст в предыдущей редакции)
(п. 15 введен Федеральным законом от 30.12.2015 N 445-ФЗ)
(п. 16 введен Федеральным законом от 27.12.2019 N 476-ФЗ)
(п. 17 введен Федеральным законом от 27.12.2019 N 476-ФЗ)
(п. 18 введен Федеральным законом от 27.12.2019 N 476-ФЗ)
(п. 19 введен Федеральным законом от 27.12.2019 N 476-ФЗ)
Понятие электронной цифровой подписи: как оформить, хранить и использовать в 2022 году
1. Введение
Прогресс не стоит на месте и все больше предпринимателей внедряют в свою деятельность систему электронного документооборота. Посредством интернета теперь можно представлять отчетные документы, декларации, заявления на участие в различных тендерах и др. Все эти документы необходимо заверять электронной подписью, которая свидетельствует об их подлинности.
2. Что представляет собой ЭЦП
Электронная подпись – это закодированная информация о лице, как физическом, так и юридическом, которая необходима для его идентификации при подаче документов в электронном виде. Также она позволяет защитить документ от редактирования сторонними лицами.
Документы, заверенные электронной подписью, имеют точно такую же юридическую силу, как и документы подписанные вручную.
3. Кем осуществляется выдача
Электронную подпись могут выдавать исключительно организации, имеющие аккредитацию Минкомсвязи. Со списком данных организаций можно ознакомиться здесь. На этом ресурсе Вы также можете получить подробные сведения о правилах подачи заявления и о пакете документов, которые необходимо представить для получения электронной подписи.
4. Процесс оформление электронной цифровой подписи
Оформление электронной подписи включает в себя следующий порядок действий:
5. В каком виде хранить ЭЦП?
Электронная цифровая подпись представляет собой набор символов в текстовом формате, поэтому поместить ее можно на любом носителе. Однако для правильного функционирования, необходимо соответствующее программное обеспечение. Поэтому логично хранить файл в следующих местах:
Это наиболее простой и самый экономичный способ хранения электронной подписи. Такие хранилища предусмотрены в каждой ОС. При установленном Windows, подпись будет размещаться в его реестре. Однако у этого способа есть несколько недостатков. Воспользоваться подписью можно только на компьютере, где она храниться. А в случае повреждения или переустановки операционной системы, доступ к электронной подписи будет утерян. Для пользования подписью, размещенной в ОС, необходима установка криптопровайдера. Это программа, преобразовывающая криптографические алгоритмы.
Это устройство, внешне напоминающее флешку, предназначенное для безопасного хранения ЭЦП. Как и любой другой носитель, токен имеет ограниченный объем памяти, он варьируется от 32Кб до 256Кб. Обычно один сертификат требует от 4 до 10Кб, поэтому Вы можете самостоятельно рассчитать, сколько подписей вместиться в данный носитель. Для полноценной работы с подписью в этом случае тоже требуется наличие криптопровайдера. В 2022 году в наличии есть токены со встроенным программным обеспечением, они имеют маркировку ЭЦП или ГОСТ.
6. Процесс использования
Как уже было сказано ранее, использовать подпись можно после установки криптопровайдера. Он расшифровывает крипто-ключ в месте хранения и производит подписание. Сам процесс подписания состоит из сложных математических алгоритмов с вовлечением большого количества символов. Некоторые программные обеспечения уже имеют встроенную функцию работы с электронными подписями. В качестве примера можно привести Microsoft Word,в котором можно создавать и подписывать документы.
7. Где можно применить ЭЦП
Так как электронная подпись равнозначна обычной подписи от руки, то использовать ее можно во всех областях электронного документооборота. Особенно это удобно при представлении документов в налоговую службу, пенсионный фонд, страховые компании и т.д. Также ею заверяют коммерческие сделки.
Что такое электронная подпись: виды и как её получить
Чтобы документ приобрёл юридическую силу, его нужно подписать. Бумажные документы подписывают собственноручно, а для электронных используется электронная подпись (ЭЦП) — уникальная цифровая информация в виде комбинации символов. Из этой информации можно узнать, кто именно и когда подписал документ. Таким образом, электронная подпись — это официальный утверждённый законом аналог собственноручной подписи, который применяется для подписания электронных и заверения бумажных документов, преобразованных в электронный формат.
Технически электронная подпись отличается от рукописной, но она точно так же позволяет идентифицировать подписанта. Создаётся такая подпись с помощью специальных программных средств. Она всегда уникальна, её нельзя подделать. Когда электронный документ подписан ЭЦП, изменения или дополнения уже недоступны, поэтому и сам документ, его содержимое, подделать невозможно — только создавать новый.
Преимущества ЭЦП
В сравнении с обычной подписью электронная подпись (ЭЦП) обладает целым рядом преимуществ:
ЭЦП — это скорость, удобство, надёжность и безопасность. Без неё невозможно работать, вести бизнес, получать госуслуги, оперативно заключать сделки в современном мире информационных цифровых технологий, которые всё активнее внедряются в нашу жизнь.
Получите сертификат ЭЦП
Пройдите идентификацию и получите сертификат удалённо с помощью смартфона и биометрического загранпаспорта.
Преимущества электронной подписи также зависят от её вида. Каждый вид обладает своими характеристиками и сферами применения.
Существуют три вида ЭЦП:
Что такое простая электронная подпись (ПЭП)
Простая ЭЦП не требует специального оформления. Это уже привычные многим коды из СМС, которые приходят для подтверждения операций. Это пара «логин-пароль», которая формируется, например, при регистрации и создании рабочего личного кабинета пользователей на сайтах.
Простая электронная подпись может быть создана самим пользователем, который составляет себе пароль для входа на сайт или в информационную систему, или сформирована системой самостоятельно и предоставлена пользователю — так обычно работает получение СМС-кодов для совершения и подтверждения операций.
Простота, удобство, бесплатное создание и использование — главные преимущества ПЭП. Но у неё низкий уровень надёжности. Логины и пароли часто взламывают, а при получении и вводе кода из СМС нельзя однозначно определить, кто именно воспользовался таким кодом.
Что такое усиленная неквалифицированная электронная подпись (НЭП)
Неквалифицированная электронная подпись (НЭП) создаётся с использованием программных средств, посредством криптографического преобразования данных. Неквалифицированная ЭЦП принадлежит конкретному лицу, даёт возможность установить, кто именно подписал документ и вносились ли после подписания в него какие-либо изменения.
Технически неквалифицированная электронная подпись — это закодированная информация, которая хранится на материальном носителе или на сервере (в облаке). Носитель (токен) владелец может получить на руки. Облачная неквалифицированная электронная подпись доступна пользователю при авторизации в системе с использованием логина и пароля. Такой формат сегодня использует, например, ФНС, которая формирует НЭП по запросу пользователя бесплатно, но только для работы внутри своей системы.
В отличие от простой ЭЦП, неквалифицированная подпись более надёжна. Она зачастую используется при подписании договоров и других электронных документов, в том числе юридически значимых. Эта ЭЦП, как и квалифицированная, тоже является усиленной, поэтому может применяться везде, где нет требования об использовании КЭП, но простая подпись не подходит.
Согласно трудовому законодательству, неквалифицированную ЭЦП разрешено использовать работникам, которые заключают договор о дистанционной работе, для взаимодействия с работодателем удалённо. Кроме того, неквалифицированная электронная подпись применяется в организациях для внутреннего электронного документооборота.
НЭП имеет все преимущества, характерные для усиленных ЭЦП. Она надёжна, позволяет установить подписанта и убедиться, что в документ не вносились изменения. Однако полным юридическим аналогом собственноручной подписи её назвать нельзя — в этом плане она уступает квалифицированной ЭЦП.
Квалифицированная электронная подпись
Усиленная квалифицированная электронная подпись (КЭП) — самый надёжный вариант. КЭП соответствует всем признакам неквалифицированной ЭЦП, но отвечает более высоким требованиям защиты и безопасности. Она может использоваться для подписания любых документов, служить способом авторизации в различных государственных системах и, как правило, обязательна для работы в них.
Ключ проверки ЭЦП указан в квалифицированном сертификате, что в паре с закрытым ключом даёт безопасность и считываемость данных, содержащихся в сертификате:
Квалифицированная электронная подпись применяется:
КЭП универсальна, а сферы её использования только расширяются.
Преимущества усиленной КЭП — это безопасность, скорость, удобство, надёжность, возможность вести документооборот быстро и экономично, в том числе полностью отказаться от бумажных документов и связанных с их использованием затрат.
Какой срок действия у электронной подписи
Сроки действия сертификатов электронной подписи устанавливает выдавший их удостоверяющий центр. Стандартный срок — 1 год. В дальнейшем сертификат легко обновить (перевыпустить) и продлить его действие.
Что нужно для получения электронной подписи
Для получения ЭЦП необходимо предоставить сведения о владельце — лице, на имя которого будет оформлена подпись. Для подтверждения данных понадобится пройти идентификацию и представить документы.
Стандартный набор документов включает:
Для чего нужны носители и какими они бывают
При оформлении электронной подписи вся информация записывается на цифровой защищённый носитель (USB-токен). Эти устройства служат для хранения и применения ключа ЭЦП. Требования к виду носителя предъявляют удостоверяющие центры. Необходимо, чтобы токен технически поддерживал определённые возможности.
Наиболее часто используются носители формата USB Тип-А. К ним относятся: JaCarta LT, JaCarta ГОСТ, JaCarta-2 ГОСТ, Рутокен Lite (ЭЦП 2.0, S), ESMART Token (ГОСТ).
Носитель можно приобрести в удостоверяющем центре вместе с оформлением ЭЦП или предоставить свой.
Чтобы получить электронную подпись, оставьте заявку. Наши специалисты помогут вам оформить электронную подпись для физических и юридических лиц — удалённо, быстро и по выгодной цене.
Что такое ЭЦП
Из нашей статьи вы узнаете:
Электронная цифровая подпись — это современная альтернатива традиционной подписи от руки. Под такой подписью следует понимать информацию в электронном формате. Её обеспечивает комбинация определённой символики, которая является уникальной. Благодаря этому любая документация обретает юридическую силу.
В целом, ЭЦП выполняет следующие функции:
Для электронного оборота документов она незаменима, равно как и при необходимости регулярно подавать отчёты в государственные инстанции. Что касается электронных площадок для торговли, в этой сфере без неё точно не обойтись.
Справочная информация об ЭП
Какими бывают ЭЦП
Различают две их разновидности:
Последняя тоже делится на: квалифицированную и неквалифицированную.
О простой ЭЦП
В ней сочетаются пароль и логин, которые владельцу необходимо вводить, когда он посещает личные кабинеты разных организаций или сервисов. Простую подпись создаёт система информации, использующая её. Также существует и информационное подтверждение того, что она принадлежит конкретной личности.
Сфера применения простой ЭП такова:
Для того чтобы придать юридическую силу документации, заверенной ЭП, стороны должны заключить ряд соглашений.
Простой ЭП недопустимо подписывать документацию в том случае, если она содержит гостайну. Один из минусов простой ЭП заключается в том, что она недостаточно надёжно защищена. Автор документа будет ясен, но файл от подделки, к сожалению, защитить невозможно.
Об усиленной неквалифицированной ЭП
НЭП идентифицирует человека, которому принадлежит документация, а также определяет наличие изменений, внесённых в тот или иной файл до его официального подписания сторонами. Этот вид ЭЦП создают, используя специализированные программы.
Их суть заключается в сложном криптошифровании, а ключ, применяемый в ЭП, является закрытым. В целом, речь идёт о подписи, снабжённой средней степенью защиты.
Итак, что такое НЭП:
НЭП — не полноценный аналог подписи, поставленной под документом вручную. Тем не менее если её владелец оформляет отношения с определённым предприятием или организацией, документ может стать юридически значимым, при условии, что речь идёт именно об этой компании и об электронном обороте документов.
Об усиленной квалифицированной ЭЦП
УКЭП обладает самой высокой степенью защиты, и любой подписанный такой подписью электронный документ считается аналогом бумажного документа, который подписан собственноручно. Этот вид ЭП позволяет точно сказать, кто именно подписал документ и не изменялся ли после этого данный файл.
На заметку! Квалифицированная электронная подпись (сокращённо КЭП) и неквалифицированная электронная подпись (сокращённо НЭП) имеют в своей основе криптографические алгоритмы.
Области применения
Применяют электронную подпись в разных областях:
Процесс получения ЭЦП
На самом деле, он не так сложен, как может показаться. Создать сертификат ЭЦП вы можете, если обратитесь в центр удостоверения, имеющий официальную аккредитацию. Главное, чтобы у него было разрешение, выданное Минкомсвязи.
Удостоверяющий центр «Астрал-М» всегда поможет клиенту с выбором подходящего тарифа. Сотрудники проконсультируют вас, как должен выглядеть пакет документов.
Для получения ЭЦП нужно:
После выполнения всех этих условий вы станете обладателем готовой и уникальной электронной подписи.
Электронная подпись
Из нашей статьи вы узнаете:
Что такое электронная подпись и для чего она нужна
Электронная подпись — это цифровой аналог рукописной подписи. Электронные ключи используют в разных областях: для подписания электронных документов с контрагентами, сдачи отчётности, регистрации онлайн-кассы, участия в торгах, работы на госпорталах и т.д.
При подписании документа электронной подписью сохраняются данные о том, когда и кем был подписан файл. Если в документ внесут изменения после подписания, об этом можно будет узнать.
Чем электронная подпись лучше обычной
Усиленная ЭП обладает преимуществами перед рукописной:
Виды электронной подписи
Простая электронная подпись предоставляет минимальный уровень защиты. Она может представлять собой пару логин-пароль или одноразовый числовой код. Её можно использовать только для авторизации на сайтах и в сервисах.
Усиленная неквалифицированная электронная подпись — это подпись, которая позволяет подписывать документы и выполнять другие юридически значимые действия, но с оговоркой. Для того чтобы ей пользоваться, между контрагентами должно быть составлено соответствующее соглашение.
Усиленная квалифицированная электронная подпись предоставляет самый высокий уровень защиты и самый широкий спектр возможностей. Для её использования не нужно составлять отдельный документ, но получить её можно только в аккредитованном удостоверяющем центре. Изготовление электронной подписи не занимает много времени.
Области применения ЭП
Юридические лица, индивидуальные предприниматели и физические лица используют электронную подпись в разных областях.
Как используют электронную подпись обычные граждане
Простую подпись физические лица используют для авторизации на сайтах и в сервисах. Она предоставляет им возможность пользоваться базовыми возможностями. Неквалифицированную подпись обычные граждане могут получить на портале nalog.ru, с помощью которой они смогут воспользоваться дополнительными функциями сайта. Например, отправлять документы в налоговую, и они будут признаны равнозначными бумажным.
Как используют электронную подпись юридические лица
Юридические лица обычно используют именно квалифицированную подпись, так как она открывает им большие возможности:
Неквалифицированная подпись подходит для внутреннего документооборота.
Состав электронной подписи
Электронная подпись состоит из трёх элементов:
Как начать работать с квалифицированной электронной подписью
Как приобрести подпись юридическому лицу
До 1 января 2022 года юридические лица и индивидуальные предприниматели могут получить в аккредитованном удостоверяющем центре.
С 1 января 2022 года квалифицированные подписи будут выдавать в налоговой и у её доверенных лиц.
Подписание важных документов в один клик. Поможет сэкономить на почтовых и канцелярских расходах.
Как приобрести подпись физическому лицу
Неквалифицированную подпись физическое лицо может получить в налоговой или в удостоверяющем центре. Квалифицированную подпись выдают только аккредитованные удостоверяющие центры. Оформить ЭЦП достаточно просто.
Регистрируйте ИП или ЮЛ не выходя из дома, работайте удалённо, получайте патент.
Как выглядит электронная подпись
Как подписать документ электронной подписью
Порядок подписания документа зависит от его формата. Файл MS Word может быть подписан самостоятельно, а для PDF нужно устанавливать дополнительную программу — «КриптоПро PDF». Подробнее об этом здесь → «Как подписать документ электронной подписью».
Решение проблем с электронной подписью
Если возникают проблемы с электронной подписью, вы можете попробовать решить их самостоятельно, а можете обратиться в нашу техподдержку, которая работает 24/7.
8 (800) 333-93-13 — техподдержка 1С-ЭДО
8 (800) 700-39-84 — техподдержка 1С-ЭТП
Что делать, если ЭЦП утеряна
При потере или похищении носителя с электронной подписью, в первую очередь нужно обратиться в удостоверяющий центр и отозвать сертификат. После этого нужно будет написать заявление в полицию и сообщить об этом в налоговую. Подробнее об этом здесь → «Что делать, если ЭЦП утеряна»
Как восстановить доступ
Токены и смарт-карты защищены пин-кодами, которые открывают к ним доступ. Если владелец забыл пин-код, то он может воспользоваться стандартными кодами, которые у разных носителей свои. Подробнее об этом здесь → «Как восстановить доступ».
Часто задаваемые вопросы
Из чего состоит электронная подпись?
Квалифицированная электронная подпись состоит из двух элементов: закрытого и открытого ключей
Электронная подпись для участия в торгах, работы на государственных порталах и электронного документооборота
Как узнать, есть ли у меня электронная подпись?
Проверить наличие зарегистрированной электронной подписи можно в личном кабинете на портале «Госуслуги». Для этого нужно перейти в раздел «Настройки и безопасность».
Что значит отсоединённая электронная подпись?
Электронная подпись может встраиваться в документ, а может идти отдельно от подписываемого файла. В таком случае эта подпись будет называться отсоединённой.
Где и как получить электронную подпись?
Электронная подпись бывает нескольких видов, в зависимости от степени защищенности и области применения. Процедура ее получения имеет свои особенности и в некотором смысле зависит от того вида, который требуется клиенту.
Согласно ст. 2 Федерального закона от 06.04.2011 № 63-ФЗ электронная подпись (ЭП) — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию».
Зачем нужна электронная подпись?
Назначение ее вполне понятно. В последние годы компании активно переходят с бумажного документооборота на электронный, поэтому обычным для нас подписям и печатям на бумаге нужен аналог. Этим аналогом, по сути, является ЭП.
ЭП решает несколько основных задач. Первая — неотрекаемость. Благодаря ЭП можно доказать, что конкретный человек является автором документа, даже если он отказывается это признавать. Вторая задача — обеспечение подтверждения целостности документа, то есть подтверждение того, что после создания документа и его подписания никто не вносил туда каких-либо изменений (как намеренно, так и случайно). Допустим, у вас есть платежное поручение в банк на 10 000 руб., подписанное ЭП. Злоумышленник может поменять сумму с 10 000 руб. на 1 млн, чтобы перевести себе в 100 раз больше денег. Для предотвращения таких случаев ЭП фиксирует конечное содержимое электронного документа и позволяет установить, вносились ли в него изменения.
Виды электронной подписи
В соответствии с действующим Федеральным законом от 06.04.2011 № 63-ФЗ выделяются три вида ЭП, которые группируются в два блока: 1) простая ЭП; 2) усиленная ЭП, которая включает неквалифицированную электронную подпись (НЭП) и квалифицированную электронную подпись (КЭП).
Рассмотрим каждый тип подписи подробнее.
Простая электронная подпись
Простая ЭП применяется для получения госуслуг, при банковских транзакциях, аутентификации на сайтах. И это самый незащищенный вариант. Простая ЭП не содержит криптографические механизмы, алгоритмы и представляет собой такие инструменты, как пара логин-пароль, SMS-код, комбинирование пароля и SMS-кода. Эти инструменты позволяют идентифицировать личность подписанта и подтвердить действие, совершенное им. При этом они не защищены от подделки.
Пример
Клиент заходит в интернет-банк (идентифицируется в системе) по логину-паролю и осуществляет платеж за мобильный телефон, подтверждая свои дейcтвия SMS-кодом, который приходит ему на телефон (его номер телефона в момент заключения договора с банком был привязан к банковскому аккаунту). Такая цепочка действий позволяет убедиться в том, что владелец банковского счета — он, и именно он, а не кто-то другой, совершил операцию. При этом существует риск, что мобильный телефон могут украсть и воспользоваться им для того, чтобы ввести SMS-код. Кроме того, поскольку простая ЭП не имеет никакой криптографической основы, злоумышленник может подменить содержимое банковского платежа и, воспользовавшись введенным подтверждением, провести платеж на другую сумму или другой номер телефона.
Таким образом, простая ЭП не может гарантировать полную юридическую значимость документу и защитить его от подделки, поскольку недостаточно сильна для этого. Это не значит, что простая ЭП совсем не придает юридическую значимость электронному документу. Это значит лишь то, что доказательство такой значимости довольно трудоемко и не всегда возможно.
Постановление Правительства от 27.08.2018 № 996 устанавливает возможность использования простой ЭП (полученной при личном обращении) при обращении за получением госуслуг в электронной форме. И зменения позволят сократить расходы заявителей, связанные с выпуском физического носителя сертификата ключа ЭП.
Используя простую ЭП, можно получить доступ к просмотру личного кабинета или иной информации, например, о сумме штрафов. При этом отправлять заявки для получения услуг в электронном виде с ее помощью нельзя, для этого потребуется усиленная электронная подпись, которая выдается на USB-носителе в удостоверяющем центре.
В целях повышения доступности государственных и муниципальных услуг, предоставляемых в электронной форме, постановлением внесены изменения в ряд нормативных правовых актов Правительства, чтобы предусмотреть возможность использования простой ЭП при обращении в электронной форме за получением госуслуг при условии, что при выдаче ключа простой ЭП личность физического лица установлена при личном приеме.
Простую ЭП можно считать аналогом собственноручной подписи только в случаях, прямо указанных в нормативных правовых актах или соглашении между участниками электронного взаимодействия.
В ряде случаев возникает вопрос: можно ли считать адрес отправителя входящего электронного письма простой ЭП? В Минкомсвязи, отвечая на этот вопрос, ссылаются на ч. 2 ст. 5 Федерального закона от 06.04.2011 № 63-ФЗ, где дается определение простой ЭП, и одновременно обращают внимание на положения ст. 9 этого закона («Использование простой электронной подписи»), в которой говорится, что электронный документ считается подписанным простой ЭП при выполнении, в том числе, одного из следующих условий:
Исходя из этого в Минкомсвязи делают следующий вывод: если участники электронного взаимодействия достигли соглашения о том, что получение электронного сообщения с определенного адреса электронной почты будет считаться подписанием документа простой ЭП и при этом выполнено одно из выше обозначенных условий, то такое электронное сообщение может считаться подписанным простой ЭП.
Усиленная электронная подпись
В КЭП и НЭП заложены криптографические алгоритмы. Чем эти виды подписи отличаются друг от друга?
Таким образом, суть отличия между НЭП и КЭП прозрачна: так как на КЭП накладывается несколько жестких ограничений, ее юридический статус выше. КЭП — это единственная подпись, которая признается равной собственноручной подписи без дополнительных мероприятий. Фактически КЭП — это полный аналог собственноручной подписи и максимально юридически значимая ЭП в современном правовом поле РФ.
Что касается НЭП, то для признания ее равной собственноручной подписи требуются дополнительные соглашения между участниками электронного документооборота (ЭДО) либо отдельный нормативно-правовой акт, регламентирующий факт равнозначности. Например, если между двумя компаниями осуществляется ЭДО, то документы они подписывают ЭП. В этом случае компании могут пользоваться НЭП, но тогда им придется заключить между собой соглашение, устанавливающее правила использования и признания этой ЭП. Они могут пользоваться, допустим, американской криптографией, встроенной в Windows, не прикладывая никаких дополнительных усилий. При этом в суде им нужно будет доказывать юридическую значимость на основе данного соглашения. В случае допущения в соглашении о документообороте каких-то ошибок, значимость электронного документа может быть не признана. Если те же самые компании ведут ЭДО, используя КЭП, то им не понадобятся дополнительные соглашения друг с другом, а юридическая значимость документов будет в силу ФЗ признаваться автоматически. Когда в суде будет рассматриваться спорный вопрос, достаточно будет экспертизы УЦ по конкретному электронному документу и ЭП под ним.
КЭП для торгов
С 1 июля 2018 года КЭП стала обязательным элементом обмена электронных документов между участниками закупок в рамках Федерального закона от 18.07.2011 № 223-ФЗ.
Для чего нужна КЭП:
Области применения электронной подписи
В зависимости от вида подписи можно говорить о различных областях применения. Простая ЭП используется в интернет-банках физлицами и иногда юрлицами, на различных электронных порталах, например, на Портале госуслуг. Чтобы пользоваться этим порталом, нужно по СНИЛС получить пароль, с помощью которого можно зайти на портал и заказать услугу — допустим, оформление загранпаспорта. Это действие будет юридически значимым.
Можно выделить пять основных областей применения ЭП:
Различные электронные торги — для усиленной ЭП.
Например, если документооборот осуществляется внутри компании и есть информационная система, в которой проходит согласование документов, то в этом случае достаточно аккаунта сотрудника в виде связки логин-пароль. Если же осуществляется ЭДО счетами-фактурами между контрагентами, то нужно пользоваться КЭП. Такая механика реализована в Диадоке.
Как и где получить электронную подпись?
На самом деле пользователь всегда получает не саму ЭП, а некий инструмент для ее создания. Этот инструмент отличается в зависимости от вида ЭП.
В случае с простой ЭП это может быть логин и пароль, регистрация номера телефона и т.д. Процедура получения таких инструментов целиком и полностью зависит от информационной системы. Если нужен доступ в интернет-банк, то связку логин-пароль для использования ее в качестве простой ЭП выдает сам банк.
В случае с усиленной ЭП инструментом является сертификат электронной подписи. Именно его можно получить в УЦ. Однако в зависимости от вида ЭП существуют отличия в процедуре получения. Если нужна КЭП, то УЦ должен быть аккредитован в Минкомсвязи, если НЭП — УЦ, выдающий ее, должен быть каким-то образом связан с той информационной системой, в которой планируется применять подпись. При этом УЦ не обязательно должен быть аккредитован в Минкомсвязи.
Юрлицам для получения квалифицированного сертификата ЭП потребуются:
Сертификат и ключи ЭП запишут на сертифицированный электронный носитель — электронную карту или флеш-накопитель. Цена получения сертификата и ключей ЭП определяется регламентом УЦ.
Как выбрать сертификат электронной подписи?
На сегодняшний день существует много видов сертификатов. Законодательство меняется, информационные системы выдвигают различные требования, и вопрос выбора часто встает перед клиентом, так как клиент не может разобраться, какой сертификат ему нужен для той или иной задачи. На что ему следует ориентироваться?
В первую очередь нужно отталкиваться от той информационной системы, в которой планируется применять сертификат. Обычно клиент представляет, для чего ему нужна ЭП. Например, он хочет принять участие в торгах или работать с порталом Росреестра. Требования информационной системы к сертификату, как правило, указываются на сайте информационной системы, в нормативных документах, которые определяют регламент действия этой информационной системы. Их также можно узнать напрямую у представителей информационной системы. Выяснив необходимую информацию, следует обратиться к специалисту УЦ, который на основе данных об информационной системе поймет, какой именно тип сертификата нужен.
На сайте СКБ Контур есть удобный мастер подбора сертификата, который позволяет клиенту ответить на несколько вопросов, касающихся области применения требуемого сертификата, и на выходе получить один или несколько типов сертификатов, полностью закрывающих потребности. Специальный тариф «Электронная подпись 3.0» подходит для решения большинства задач.
Как получить сертификат электронной подписи в СКБ Контур?
У компании СКБ Контур хорошо развита филиальная сеть, поэтому клиент всегда может выбрать максимально близкую к себе точку получения (полный список центров выдачи ЭП). Процесс получения сертификата ЭП в СКБ Контур довольно простой. Можно выделить несколько этапов:
Этап первый
Необходимо подать заявку на получение сертификата одним из способов:
Этап второй
После того как заявка подана, представитель СКБ Контур в течение суток связывается с заявителем и рассказывает ему, какой комплект документов необходим для получения сертификата — квалифицированного или неквалифицированного.
Этап третий
Заявитель оплачивает счет, собирает необходимый пакет документов и приходит в сервисный центр для получения сертификата.
В сервисном центре он представляет комплект документов, который сотрудник центра визирует и проверяет на корректность. Далее он подписывает договор, осуществляет прочие формальности и в зависимости от того, какой способ ему удобнее, получает уже готовый защищенный носитель (внешне похожий на флешку), на котором хранится секретный ключ и сертификат, или самостоятельно на своем рабочем месте (в случае с квалифицированным сертификатом ЭП) получает сертификат через специальный сайт Личный кабинет УЦ.
Самый важный этап в процессе получения сертификата электронной подписи — это подготовка необходимого комплекта документов. Если комплект собран правильно, то процесс проходит быстро.
Есть ряд дополнительных услуг, которые можно заказать в сервисном центре, например, ускоренное получение сертификата в течение часа после представления документов. Такая услуга может понадобиться при экстренной необходимости участия в торгах.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Электронная подпись (ЭП)
Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения подписывающего информацию.
Федеральный закон от 06 апреля 2011 года №63-ФЗ «Об электронной подписи»
Защита документов от подделки
Подтверждение целостности данных
Придание юридической значимости
Обеспечение конфиденциальности информации
Стоит отметить сохранившуюся популярность аббревиатуры ЭЦП, которая объясняется тем, что данное сокращение использовали длительное время, начиная с 2002 г. (год принятия Федерального закона «Об электронной цифровой подписи»). Оно успело прочно закрепиться среди специалистов, перед тем, как в 2011 г. ФЗ-63 сократил его до двух букв. Аббревиатура ЭП также имеет существенный недостаток, при внесении ее в поисковую строку можно получить результаты выдачи по электрическим перфораторам и плитам, эпоксидным эмалям и ряду других нетематических продуктов. ЭЦП, в свою очередь, не имеет других популярных альтернативных расшифровок, что облегчает процесс поиска.
Виды электронной подписи
Федеральным законом от 06 апреля 2011 года № 63-ФЗ «Об электронной подписи» определены три вида электронной подписи:
Простая электронная подпись (ПЭП)
Придает подписанному документу юридическую значимость только в случаях, прямо предусмотренных законодательными и иными нормативными правовыми актами РФ, или соглашением между участниками электронного взаимодействия. При этом указанные соглашения должны предусматривать порядок проверки простой электронной подписи. Данный вид ЭЦП позволяет подтвердить авторство (т.е. факт формирования электронной подписи определенным лицом), но не гарантирует неизменность документа с момента подписания. Использование ПЭП для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается.
Простая электронная подпись чаще всего применяется для получения доступа к возможностям Единого портала госуслуг.
Неквалифицированная электронная подпись (НЭП)
Позволяет определить автора подписанного документа и доказать неизменность содержащейся в нем информации. В неквалифицированную электронную подпись заложены криптографические алгоритмы, которые обеспечивают защиту документов.
Такая подпись подойдет для внутреннего документооборота, а также для отправки электронных документов из одной компании в другую. Во втором случае, стороны должны заключить между собой соглашение, устанавливающие правила использования и признания ЭЦП.
Квалифицированная электронная подпись (КЭП)
Квалифицированная электронная подпись обладает всеми признаками неквалифицированной, однако она может быть получена только в удостоверяющем центре, аккредитованном Минкомсвязи России. Программное обеспечение, необходимое для работы с КЭП, должно быть сертифицировано Федеральной службой безопасности. Следовательно, квалифицированная ЭЦП наделяет документы полной юридической силой и соответствует всем требованиям о защите конфиденциальной информации.
КЭП используется для сдачи отчетности в контролирующие органы государственной власти и для участия в электронных торгах.
Где используется электронная подпись?
Электронные торги
Электронные торги — это современная форма торговли, при которой заказы на поставку товаров или услуг размещаются на специализированных электронных площадках, которые находятся в Интернете. Их участники имеют доступ к государственным закупкам и закупкам коммерческих фирм. Торги открыты для юридических и физических лиц.
Электронная подпись необходима для прохождения аккредитации на торговых площадках. Также ЭЦП заверяются документы, необходимые для участия в конкурсе, подачи ценового предложения и подписания контракта с победителем. Вид используемой подписи определяется самой площадкой, на которой проходят торги.
Электронный документооборот
Электронный документооборот (ЭДО) — это способ обмена документами, который осуществляется с помощью специализированной электронной системы, через сеть Интернет. Систему ЭДО используют крупные и мелкие компании с целью отправки информации сотрудникам внутри компании и внешним контрагентам, а также физические лица.
Электронная подпись необходима для того, чтобы обмениваться через Интернет не только информативными письмами, но также юридически значимыми документами: договорами, актами, счетами-фактур и другим. Для организации такого документооборота можно использовать любой вид ЭЦП: все зависит от целей, стоящих перед пользователем, а также от его договоренности с другими участниками онлайн обмена информацией.
Электронная отчетность
Процесс сдачи отчетности в контролирующие органы власти становится намного проще благодаря электронной подписи. Ежеквартальные отчеты для налоговой, пенсионного фонда и другое теперь можно заполнять в электронных бланках, заверять ЭЦП и отправлять через Интернет. Такая система отчетности значительно экономит рабочее время, гарантирует конфиденциальность данных, а также сканирует отчет на наличие в нем ошибок, что является неоспоримым преимуществом.
Для сдачи отчетности будет необходима КЭП.
Как получить электронную подпись?
Для получения ЭЦП необходимо оформить заявку на нашем портале, указав контактные данные и реквизиты.
После отправки на связь выйдет специалист из авторизованного АЭТП удостоверяющего центра (УЦ) вашего региона, который проконсультирует о дальнейших действиях. Также на ваш e-mail будет оправлено письмо с перечнем необходимых документов, счетом на оплату и контактными данными курирующего менеджера.
Быстро проверить сертификат ЭЦП можно по ссылке.
Остались вопросы? Читайте справку!
СОГЛАШЕНИЕ О ПРЕДОСТАВЛЕНИИ И ИСПОЛЬЗОВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящее соглашение регламентирует отношения между АО «Аналитический центр» и физическим лицом (Пользователь) и вступает в силу с момента принятия Пользователем условий настоящего соглашения. При несогласии Пользователя с хотя бы одним из пунктов соглашения, Пользователь не имеет права дальнейшей регистрации. Продолжение процедуры регистрации говорит о полном и безоговорочном согласии с настоящим соглашением.
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Мы используем персональные данные Пользователя только для тех целей, которые указываются при их сборе. Мы не используем персональные данные для других целей без согласия Пользователя. Мы можем использовать персональные данные Пользователя для следующих целей:
Для использования персональных данных для любой иной цели мы запрашиваем подтверждение Пользователя. Пользователь соглашается, что АО «Аналитический центр» оставляет за собой право использовать его персональные данные анонимно и в обобщенном виде для статистических целей.
ОБЯЗАТЕЛЬСТВА ПОЛЬЗОВАТЕЛЯ ПО РЕГИСТРАЦИИ
Пользователь соглашается предоставить правдивую, точную и полную информацию о себе по вопросам, предлагаемым в регистрационной карте. Если Пользователь предоставляет неверную информацию, АО «Аналитический центр» имеет право приостановить либо отменить регистрацию.
ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ ТРЕТЬИМ ЛИЦАМ
АО «Аналитический центр» не передает персональные данные третьим лицам для маркетинговых целей без разрешения Пользователя.
АО «Аналитический центр» может передавать персональные данные Пользователя компаниям, аффилированным по отношению к АО «Аналитический центр», для обработки и хранения. Пользователь соглашается с тем, что АО «Аналитический центр» передает персональные данные Пользователя уполномоченным организациям для создания и выдачи электронной подписи, выполнения требуемых услуг и операций.
АО «Аналитический центр» предоставляем третьим лицам объем персональных данных, необходимый для оказания требуемой услуги или транзакции. При необходимости АО «Аналитический центр» можем использовать персональные данные Пользователя для ответа на претензии, исковые заявления.
АО «Аналитический центр» можем собирать и, при необходимости, передавать уполномоченным органам имеющуюся в нашем распоряжении информацию для расследования, предотвращения и пресечения любых незаконных действий. АО «Аналитический центр» вправе раскрывать любые персональные данные по запросам правоохранительных органов, решению суда и в прочих случаях, предусмотренных законодательством РФ.
С целью предоставления дополнительной информации, оказания услуг, Пользователь можете быть направлен на другие ресурсы, содержащие информационные или функциональные ресурсы, предоставляемые третьими лицами.
Только в тех случаях, когда информация собирается от лица АО «Аналитический центр», использование данных Пользователя будет определяться политикой АО «Аналитический центр» в отношении конфиденциальности персональных данных. При предоставлении информации на других ресурсах будут использоваться политики в отношении конфиденциальности персональных данных, проводимые их владельцами.
АО «Аналитический центр» требует от своих партнеров использования политики в отношении конфиденциальности персональных данных, согласующихся с политикой АО «Аналитический центр».
БЕЗОПАСНОСТЬ ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
АО «Аналитический центр» использует технологии безопасности, процедуры и организационные меры для защиты персональных данных Пользователя от несанкционированного доступа, использования или разглашения.
АО «Аналитический центр» стремится защитить персональные данные Пользователя, но не может гарантировать безопасность передаваемых данных.
АО «Аналитический центр» рекомендует принимать все меры по защите ваших персональных данных при работе в Интернете. Часто меняйте пароли, используйте сочетание букв и цифр при создании паролей и используйте защищенный браузер.
АО «Аналитический центр» не хранит персональные данные Пользователя дольше, чем необходимо для целей их сбора, или чем требуется в соответствии с действующими законами или правилами.
Что такое сертификат ключа электронной подписи
Из нашей статьи вы узнаете:
О сертификате: что это такое
Сертификат ключа ЭЦП — это документ, несущий информацию о владельце. В открытом ключе зашифрованы данные о статусе владельца, реквизитах и полномочиях. Сертификат подтверждает принадлежность ключа конкретному лицу, отвечающему за его применение. Документ имеет электронный цифровой или бумажный вариант. Выдача сертификата электронного ключа происходит в удостоверяющем центре. Вся информация о сертификатах хранится в едином федеральном реестре. УЦ гарантирует соответствие предоставленных данных действительности, подтверждает личность владельца и защищает цифровой ключ от взлома.
Электронная цифровая подпись (ЭЦП) — аналог рукописного варианта подписи владельца. Используется в документообороте и при работе с электронными системами управления финансами. ЭП составляет электронный сертификат, выданный удостоверяющим центром. В ней зашифрованы данные о владельце, внесенные в базы единого реестра. ЭЦП применима в работе с судами, биржами, при сдаче документов в налоговые службы и т. д.
Цифровой аналог реальной подписи делится на квалифицированный и неквалифицированный тип. В зависимости от профиля у электронного сертификата есть уровень допуска для работы с теми или иными ресурсами. Квалифицированный вариант обладает самой высокой степенью защиты, благодаря чему его применяют в операциях с недвижимостью, финансами и для подписания документов. Подписание квалифицированным типом договоров или соглашений принимается в судах, на биржах, торгах. У квалифицированного сертификата шире область действия, поскольку он обеспечивает большую степень защиты.
Информация о сертификатах хранится в базах Единого реестра ЕСИА. Вносить данные имеют право удостоверяющие центры, прошедшие сертификацию. Все УЦ делятся на аккредитованные и неаккредитованные.
Для чего нужен сертификат
Рукописная подпись имеет юридическую силу, так как подтверждается присутствующей личностью. В электронном документообороте гарантией сделки служит квалифицированный сертификат, поскольку в нем содержится вся информация об участнике процесса, она подтверждает принадлежность ЭЦП владельцу.
Подделку или махинации с подписанием документов предотвращает ключ. Он кодируется методом криптографии, делится на открытый и закрытый. Кодирование настолько сложно, что полностью исключает взлом. Только владелец токена с подписью может внести данные в документ, засвидетельствовав свое согласие на сделку или передачу информации.
Открытый и закрытый ключ
Открытый ключ доступен лицам, участвующим в документообороте или сделке. Закрытый известен исключительно владельцу, его нельзя определить, используя открытый ключ. Выданный на них сертификат легализирует оба ключа, обеспечивает их взаимодействие с системой. Через него утверждаются сроки начала и окончания работы ключей.
Подпись на документе ставится открытым ключом. В момент проверки информации от открытого ключа к закрытому идет сигнал. Подпись проходит проверку на соответствие внесенных в базу данных о владельце. Если информация совпадает, идет подтверждение подлинности личности владельца. В таком случае сделка или акт подписания считаются легальными.
Удостоверяющие центры: какие УЦ могут выдавать усиленные сертификаты
Электронную подпись имеют право выдавать центры, получившие сертификацию в Едином федеральном центре. В каждом регионе работает от 20 до 50 таких заведений. Сертификация дает им правом собирать информацию о гражданах и работать с ней, выдавать сертификаты и создавать подписи. Полученная от граждан, юридических лиц и организаций информация заносится в Единый реестр, где используется для идентификации личности владельца подписи. Всего в России существует более 400 удостоверяющий центров.
Что такое аккредитованный удостоверяющий центр
Аккредитованный удостоверяющий центр (УЦ) — это организация, получившая доступ к Единому реестру, имеющая право на сбор и хранение ключевой информации. Она имеет право на создание квалифицированного электронного сертификата и распространение лицензий на криптографию. В распоряжении организации доступ к ПО, обеспечивающему кодировку, и управлению структурой ЭП.
Организация обслуживает серверы, с которых пользователи ЭЦП получают информацию и доступ к законодательной базе по подписям. УЦ обслуживает владельца подписи, обновляя дату истечения срока работы сертификата ЭП и устраняя ошибки в работе токена.
В УЦ можно продлить, аннулировать или заказать новую подпись. Чтобы подписывать документы в электронном виде, необходимо иметь квалифицированный электронный сертификат. Именно такую услугу оказывают УЦ.
Удостоверяющий центр выдает исключительно квалифицированные сертификаты. Получение в УЦ сертификата гарантирует достоверность и безопасность ключа электронной подписи. Для работы с кодами используется специальное ПО, обеспечивающее защиту исходных данных. Сертификат из центра гарантирует предотвращение подделок и взлома, для чего используется уникальная система шифрования.
Познакомиться со списком сертифицированных удостоверяющих центров можно на сайтах ФНС и Минкомсвязи. В специальном разделе по регионам указаны действующие организации. Здесь же можно проверить данные о закрытых и лишенных лицензий организациях, узнать, кому переданы права и полномочия после закрытия.
Состав: из чего состоит сертификат ЭП
Электронная подпись имеет вид буквенно-цифрового кода или графического изображения. В работе с сертификатами используется специализированное ПО, обеспечивающее шифрование информации. Чтобы получить подпись, будущий владелец должен предоставить о себе достоверные данные, подав документы в удостоверяющий центр.
Составляющие сертификата подписи:
Перед получением производится подробная проверка указанных данных. Только после подтверждения происходит выдача лицу электронного сертификата. Выполняются изготовление и передача носителя с ключом. Чтобы создать и подписать юридический документ, владельцу необходимо установить специализированное ПО.
На официальных порталах программ производителей выложен инструкции, как пользоваться ЭП в их программах (Microsoft Office, Acrobat Reader и других). Через установленное на ПК программное обеспечение наносится скрипт подписи. После нанесения ЭП документ не может быть изменен сторонними лицами.
Все об электронной цифровой подписи
Электронная цифровая подпись — относительно новая технология, которая значительно упростила работу многих государственных и частных коммерческих организаций. Благодаря ей стало проще и безопаснее обмениваться данными онлайн, пропала необходимость посещения других городов для подписи документов.
Как получить ЭЦП, какие виды подходят для конкретных организаций и как с ее помощью можно заверить данные онлайн, вы узнаете из нашей статьи.
Что такое электронная цифровая подпись?
ЭЦП — это информация, которая дополняет электронный документ, подтверждая его подлинность и согласие человека с имеющимися в нем данными. Квалифицированная электронная цифровая подпись является аналогом рукописной и имеет юридическую силу.
Поэтому, если одна из заверивших документ сторон не будет соблюдать условий сотрудничества, вторая может использовать этот документ в суде как доказательство неисполнения обязательств оппонента.
Электронная цифровая подпись обладает рядом важных функций:
Виды электронной цифровой подписи
Существует три вида ЭЦП:
(Может приниматься на ряде ЭТП)
Для чего стоит получить сертификат ЭЦП?
Из чего состоит ЭЦП?
Для заверения документов электронной цифровой подписью необходимо наличие 3 составляющих:
 |  |  |
| Закрытый ключ | Программа-криптопровайдер | Сертификат |
| Это уникальный код, необходимый для создания уникальной подписи. Его знает только владелец. Закрытый ключ гарантирует защиту ЭЦП от фальсификации и взломов. | Специализированная программа, которая необходима для работы с электронной подписью в ОС Windows | Документ, который подтверждает принадлежность подписи конкретному человеку. В ней содержится открытый ключ, который позволяет получателю проверить заверенный файл. |
Как работает ЭЦП?
При заверении документа электронной цифровой подписью срабатывает определенный алгоритм:
Как проверить подлинность электронной цифровой подписи?
Как мы уже выяснили ранее, документ поступает к получателю в зашифрованном виде. И чтобы его посмотреть, необходим сертификат. Эта составляющая очень важна и является индивидуальной. Поэтому при получении подписанного вами документа адресат может удостовериться, что это именно вы заверили его, проверив сертификат. Сделать это очень просто:
Как выбрать подходящую КЭП?
Существует множество тарифов сертификатов, предназначеных для различных нужд. Чтобы выбрать подходящую КЭП, следует учесть два важных параметра:
Как получить КЭП?
Что такое удостоверяющий центр?
Удостоверяющий центр выполняет несколько функций:
ЭЦП и Федеральный закон №54-ФЗ
Электронная цифровая подпись помогает упростить работу с онлайн-кассами. Она позволяет:
Как получить и поставить электронную подпись
Информация, которая передается через интернет, является электронным сообщением. Когда ее записывают на электронный носитель, она становится электронным документом. Подпись под таким документом — электронная, она позволяет определить лицо, которому принадлежит.
Чтобы поставить электронную подпись (ЭП), нужно владеть ключом ЭП. Ключ ЭП называется закрытым ключом, а ключ проверки ЭП — открытым. Для создания ЭП используется специальный инструмент — средство ЭП.
Виды электронной подписи
Различают два вида ЭП:
Усиленная неквалифицированная ЭП обладает несколькими принципиальными качествами:
Если к этим качествам добавить еще два, то получится усиленная квалифицированная ЭП. При этом будет ошибкой считать, что усиленная квалифицированная ЭП является в то же время усиленной неквалифицированной ЭП.
Речь идет об этих двух дополнительных признаках:
Усиленная квалифицированная ЭП предоставляет ее владельцу максимум возможностей с правовой точки зрения. В то же время к ней предъявляются высокие требования.
Сертификат ключа проверки электронной подписи
В Федеральном законе от 06.04.2011 № 63-ФЗ сертификат ключа проверки ЭП определяется как электронный документ или документ на бумажном носителе, который выдает удостоверяющий центр (УЦ) или доверенное лицо УЦ. Он подтверждает принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП.
Квалифицированный сертификат включает следующую информацию:
Роль аккредитованного удостоверяющего центра
Как уже было сказано выше, сертификат ключа проверки ЭП выдает УЦ в электронном или бумажном виде. УЦ, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным УЦ и получает право выдавать квалифицированные сертификаты.
При выдаче квалифицированного сертификата аккредитованный УЦ должен не только установить личность обратившегося лица, но и внести в специальную базу данных (реестр сертификатов) серию, номер и дату выдачи документа, использовавшегося для установления личности.
Аккредитованный УЦ должен регулярно публиковать специальную выписку из реестра сертификатов, содержащую номера квалифицированных сертификатов, которые прекратили действие по решению суда или по обращению владельца сертификата.
Подробно об обязанностях и функционале аккредитованного УЦ говорится в ст. 15 Федерального закона от 06.04.2011 № 63-ФЗ.
Чтобы получить ЭП, для начала нужно определить, какой сертификат ЭП вам нужен для работы, с какой целью вы будете его использовать.
Подберите сертификат под цели своего бизнеса в Удостоверяющем центре Контура
Подготовить необходимые документы перед визитом в центр выдачи можно с помощью мастера подбора документов.
Для получения сертификата придется лично прийти в центр выдачи с оригиналами документов или их заверенными копиями, оплаченным счетом или копией платежного поручения, заверенной банком.
Кто и как может получить КЭП бесплатно
В мае 2021 года ФНС выпустила подробные разъяснения по вопросу получения бесплатной КЭП. Ведомство предупредило, что с 1 января 2022 года оно начнет выпускать такую подпись для юрлиц (гендиректоров, которые действуют от лица компании без доверенности), ИП и нотариусов.
Срок действия КЭП, которые были выпущены коммерческими УЦ, ограничен 1 января 2022 года. Этим УЦ нужно будет успеть до 1 июля 2021 года переаккредитоваться.
«Чтобы обеспечить «бесшовный» переход от платной к соответствующей безвозмездной государственной услуге по выпуску электронной подписи с 1 июля получить квалифицированную электронную подпись можно будет в Удостоверяющем центре ФНС России», — предупреждает ФНС.
УЦ ФНС выдаст квалифицированные сертификаты бесплатно только для юрлиц, ИП и нотариусов. Квалифицированный сертификат физлица, а также лица, планирующего действовать от имени юрлица по доверенности, можно получить в коммерческих аккредитованных УЦ. С 1 января 2022 года услуга будет доступна только в тех УЦ, которые прошли переаккредитацию.
С 1 июля 2021 года лица, имеющие право действовать без доверенности от имени организации, и ИП смогут подать заявление на выпуск КЭП через «Личный кабинет налогоплательщика — физлица».
Как подписать документ электронной подписью
Допустим, вы получили квалифицированный сертификат ЭП и хотите начать им пользоваться. Что для этого нужно?
Для подписания ЭП документов формата Word и Excel есть несколько возможностей. Способ подписания зависит от применяемого ПО. Поэтому разумно перед тем как окончательно определиться с выбором, обсудить требования к подписи у контрагента.
В зависимости от ПО есть несколько видов подписей:
| Вид ЭП | Ключевая особенность |
|---|---|
| Открепленная | Файл подписи формируется отдельно от подписываемого файла |
| Совмещенная | Создается файл, в котором содержится и ЭП, и исходный документ |
| Встроенная | Подписание происходит внутри документов Word, Excel, PDF с помощью ПО |
| В Outlook | Подписание в Outlook возможно только в почтовом клиенте Microsoft Outlook |
Для создания совмещенной подписи потребуется программа КриптоАРМ. Установив ее, можно подписывать документы любого формата: rar,.jpeg,.png,.ppt, видео и т.д. Есть бесплатная базовая версия КриптоАРМ Старт, стоимость остальных версий зависит от функциональности.
Для создания встроенной ЭП потребуются плагины:
Подписывать документы в Outlook можно только в почтовом клиенте Microsoft Outlook. При этом важно, чтобы почта в учетной записи MS Outlook совпадала с почтой, указанной в сертификате.
Для открепленной подписи подойдут как КриптоАРМ, так и бесплатный веб-сервис Контур.Крипто.
Контур.Крипто не нужно устанавливать, достаточно просто иметь доступ в интернет. Он работает с подписью, выпущенной любым УЦ, помогает создать и проверить ЭП, зашифровать и расшифровать электронный файл, а также подписать пакет файлов или архивов, поставить подпись двум и более лицам. При этом в сервисе есть ограничение на вес документа — до 100 Мб, и он работает только в Microsoft Windows. Кроме того, сервис позволяет создать только открепленную подпись. Проверить подпись, созданную в Контур.Крипто, можно в любой программе, которая работает с открепленными ЭП.
Как подписать документ в Контур.Крипто
Настройте Контур.Крипто в соответствии с инструкцией. Затем зайдите в Контур.Крипто и выберите вкладку «Подписать».
На первом этапе вам предложат выбрать документы для подписания. Подгрузите необходимый файл. После этого наступит второй этап с предложением выбрать сертификат. Сведения о сертификате подгружаются автоматически. Если вы поставите галочку напротив предложения «Усовершенствовать подпись», то в сведениях о подписании документов появятся дата и время подписания. После нажатия кнопки «Подписать» система попросит ввести пароль.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Что такое электронная подпись?
Электронная подпись — это аналог собственноручной подписи и печати на документе бумажного формата. Электронная подпись идентифицирует автора; позволяет определить, вносились ли изменения в документ после его подписания; защищает документ от просмотра третьими лицами.
Электронная подпись — это, по сути, аналог собственноручной подписи и печати на документе бумажного формата. Электронная подпись идентифицирует автора; позволяет определить, вносились ли изменения в документ после его подписания; защищает документ от просмотра третьими лицами.
Каждая подпись уникальна и создается с помощью средств криптографической защиты информации и закрытого ключа электронной подписи, который содержится на ключевом носителе (токене) владельца сертификата. Именно с помощью электронной подписи можно сделать электронные документы юридически значимыми и защитить их от подделки.
С развитием электронных услуг (таких как сдача отчетности через интернет, проведение госзакупок в электронном виде и внедрение электронного документооборота) технология становится все более привычной для российского бизнеса и при этом более защищенной.
Десять лет назад Удостоверяющий центр СКБ Контур выдавал сертификаты электронной подписи в основном для системы интернет-отчетности в контролирующие органы Контур.Экстерн. Сегодня это крупнейший удостоверяющий центр в России, где можно получить сертификат для работы на большинстве электронных торговых площадок, государственных порталов и коммерческих площадок, работающих с технологией электронной подписи.
Накопленный опыт позволяет разрабатывать для пользователей востребованные тарифные планы и сервисы. А количество выдаваемых в месяц сертификатов увеличилось более чем в 200 раз.
УЦ СКБ Контур выпускает все виды электронных подписей.
Электронная подпись
Введение
Безопасность электронной подписи зависит от:
свойств закрытого ключа
функциональных возможностей ключевого носителя
Рекомендуется использовать защищенные носители ключевой информации (далее — ключевые носители), которые, в свою очередь, делятся на пассивные (с защитой данных только по PIN-коду) и активные (со встроенными на аппаратном уровне функциями средства криптографической защиты информации, далее — СКЗИ ).
Соблюдение настоящих методологических рекомендаций по использованию ключевых носителей поможет защитить участников электронного документооборота от рисков:
получение несанкционированного доступа третьих лиц к закрытому ключу для создания его копии
подписания электронных документов третьими лицами от имени владельца электронной подписи
хищение ключевого носителя или его уничтожение
Свойства закрытого ключа
Экспортируемые и неэкспортируемые закрытые ключи
Свойство экспортируемости или неэкспортируемости закрытого ключа присваивается на этапе формирования закрытого ключа и записи его на ключевой носитель. Указанное свойство может быть реализовано в средствах электронной подписи и управляться его настройками, которые следует установить до формирования закрытого ключа.
Для экспортируемых закрытых ключей доступно их копирование, что несет риски нарушения конфиденциальности закрытого ключа.
Для копирования закрытого ключа нарушителю потребуется получить физический доступ к ключевому носителю и узнать пароль (PIN-код).
Возможность копирования закрытого ключа создаёт риск возникновения неучтенных копий, усложняет контроль за его хранением, использованием и уничтожением. Также указанное усложняет определение возможного нарушителя, особенно когда нарушитель начнет использовать копию не сразу.
Неэкспортируемые закрытые ключи обладают большей защищенностью, так как записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи стандартных СКЗИ. Получение доступа к такому ключу требует применения специальных средств и техники.
Извлекаемые и неизвлекаемые закрытые ключи
Для некоторых ключевых носителей существует возможность записи закрытого ключа на активные ключевые носители сторонними СКЗИ (установленными локально на компьютерное устройство или непосредственно в информационной системе удостоверяющего центра) и, в таком случае, такой носитель применяется как пассивный ключевой носитель, который может обеспечить только свойство неэкспортируемости закрытого ключа.
К извлекаемым закрытым ключам относятся все виды закрытых ключей, за исключением неизвлекаемых, включая экспортируемые и неэкспортируемые.
Виды ключевых носителей
Пассивный ключевой носитель
Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.
Для доступа к защищенному содержимому данного ключевого носителя необходимо ввести пароль (PIN-код). Закрытый ключ хранится в ключевом контейнере на ключевом носителе. Пароль (PIN-код), которым защищён от доступа закрытый ключ на таком носителе, при получении следует изменить, обеспечить его надежное хранение и исключить доступ к паролю любых лиц.
На ключевом носителе установлено ограничение попыток неправильного ввода пароля (PIN-кода) и при превышении такого лимита ключевой носитель блокируется. Несмотря на это пассивный ключевой носитель обладает средним уровнем защищенности от атак злоумышленников – в момент подписания документа образуется короткий промежуток времени, когда закрытый ключ находится в памяти компьютерного устройства, где существует возможность его перехвата злоумышленником с высоким уровнем технических знаний и/или с использованием специальных технических средств. Для исключения такого вида атак существует активный ключевой носитель.
Активный ключевой носитель (криптографический ключевой носитель)
Электронная подпись: для чего нужна и как получить
Электронная подпись — это не только удобно, но часто необходимо по закону. Рассказываем, когда руководителю компании или ИП нужна электронная подпись, как её получить и какие варианты подписи бывают.
Какие виды электронных подписей бывают
Простая электронная подпись (ПЭП)
Это обычный пароль, который только подтверждает личность создателя документа или пользователя сервиса. Например, пин-код банковской карты или пароль, который можно установить для открытия документа Word. Простая подпись не защищает документ от внесения в него изменений.
ПЭП можно использовать для документооборота внутри компании: передавать между подразделениями заявки, отчеты, служебные записки и другую необходимую информацию.
Для оформлении кадровых документов тоже в большинстве случаев допустимо использовать ПЭП. Исключения здесь только два — трудовой договор и договор о материальной ответственности, для которых необходимо применять только усиленную квалифицированную электронную подпись (УКЭП).
Весь остальной кадровый документооборот можно вести с помощью ПЭП. Например, это могут быть заявления, объяснительные записки, распоряжения, приказы. Чтобы использовать ПЭП для кадровых документов, это правило нужно отразить в трудовом договоре, коллективном договоре или в другом внутреннем нормативном документе компании.
Также ПЭП можно применять и для документооборота с контрагентами. Здесь также есть исключение: электронные счета-фактуры следует подписывать только с помощью УКЭП. Но все остальные документы можно заверять и с помощью ПЭП. Это могут быть договоры, накладные, акты выполненных работ, письма.
Чтобы документ, подписанный с помощью ПЭП, имел юридическую силу, нужно заключить с каждым контрагентом соответствующее соглашение.
Соглашение с контрагентом, трудовой договор, или раздел внутреннего документа компании, посвященные ПЭП, должны включать в себя следующие положения.
На практике для юридически значимого оборота чаще используют другие, более надежные виды ЭП.
Усиленная неквалифицированная электронная подпись (УНЭП)
Её формируют с помощью криптографических программ, которые специально разработаны для защиты информации. Такая подпись состоит из двух ключей — закрытого и открытого. Владелец УНЭП создаёт документ и шифрует его с помощью закрытого ключа, а затем отправляет получателю вместе с открытым ключом. Получатель, используя открытый ключ, может проверить подлинность документа и отсутствие изменений в нём.
УНЭП можно применять в тех же случаях, что и ПЭП. Это внутренний документооборот между подразделениями компании, а также кадры и работа с контрагентами, кроме отдельных исключений. Чтобы придать УНЭП юридическую силу, по аналогии с ПЭП нужно заранее прописать это в трудовом договоре, внутренних нормативных актах компании или соглашениях с контрагентами.
Лучше применять УНЭП, чем простую электронную подпись, особенно для документооборота с контрагентами. Усиленная подпись, в отличие от простой, не только подтверждает личность отправителя, но и защищает документ от исправлений.
Усиленная квалифицированная электронная подпись (УКЭП)
Работает по тому же принципу двух ключей, как и неквалифицированная ЭП. Отличие квалифицированной подписи — в порядке её создания.
УКЭП по умолчанию равнозначна собственноручной подписи руководителя компании, предпринимателя или физического лица на бумажном документе. В этом случае не нужно дополнительно подтверждать юридическую силу подписи с помощью нормативных документов компании или соглашений с контрагентами. УКЭП можно без каких-либо дополнительных условий применять для заверения любых электронных документов.
Если же закон не определяет вид электронной подписи для конкретной ситуации, вы можете использовать любую версию, установив это внутренними документами, либо по согласованию с контрагентами или сотрудниками.
В таблице — ситуации, где может понадобиться электронная подпись, и какой вид подойдёт.
Где получить электронную подпись
До конца 2021 года у организаций и предпринимателей есть выбор, где получить УКЭП.
Если коммерческий УЦ прошёл аккредитацию по новым правилам, то выданная им во втором полугодии 2021 года УКЭП будет работать до конца установленного срока действия, в том числе и после 1 января 2022 года.
Если же УЦ не прошел переаккредитацию, то он после 1 июля 2021 года не имеет права выдавать УКЭП юридическим лицам и предпринимателям. Если вы уже успели получить в таких УЦ электронную подпись до 1 июля 2021 года, имейте в виду, что с 1 января 2022 года она станет недействительной (письмо Минцифры от 10.08.2021 № ОП-П15-085-33604).
С 1 января 2022 года на имя ИП и организации УКЭП можно получить только у ФНС и её доверенных лиц.
Физические лица, как в 2021, так в 2022 году могут оформить УКЭП в любом аккредитованном коммерческом УЦ. Стоимость УКЭП на год для них — примерно от 1 до 2,5 тыс. руб. Там же можно получить электронную подпись на сотрудника организации, например, главбуха. Но чтобы он смог подписывать документы от имени компании, к его подписи физлица нужно будет прилагать специальную доверенность.
Этот порядок с доверенностями должен был заработать с 2022 года, но сейчас власти рассматривают отсрочку до 2023 года. Скорее всего, в течение 2022 года вариант с машиночитаемыми доверенностями будет применяться добровольно, а параллельно с этим аккредитованные центры продолжат выпускать электронные подписи на сотрудников компании с привязкой к организации.
Электронная подпись на физическом токене — шаг назад. Многие устройства, с которых можно работать в облачных бухгалтерских программах не имеют USB-порта, в который можно воткнуть флешку с токеном. При этом давно существуют облачные электронные подписи по технологии myDSS, для которых токен не нужен. В интернет-бухгалтерии «Моё дело» используется именно такой вид электронной подписи.
При этом ФНС в Концепции развития электронного документооборота в хозяйственной деятельности планирует переход от КЭП на флешках к облачным подписям. По всей видимости, выдача КЭП только на токенах — временная мера, которая позволит подразделениям ФНС быстро увеличить объем выпуска.
Подробно о новых правилах аккредитации УЦ и получении ЭП с учётом всех изменений законодательства читайте в нашей статье.
Что такое ЭЦП. Объясняем простыми словами
Электронная цифровая подпись (ЭЦП) — уникальная комбинация знаков или паролей, которая служит аналогом собственноручной подписи на бумаге.
Проще говоря, цифровая подпись позволяет сделать документы в электронном виде юридически значимыми и защитить их от подделки. Также ЭЦП:
С развитием электронных услуг (сдача отчётности через интернет, проведение госзакупок через онлайн-площадки и т. д.) ЭЦП уже успела стать привычной для российского бизнеса.
Пример употребления на «Секрете»
«В течение последнего года участились случаи блокировки электронных подписей (ЭЦП). В этом случае компания лишается возможности сдавать отчёты в Налоговую инспекцию».
(Глава консалтинговой компании «Сальдо фаворит» Екатерина Звягина — о том, как налоговики могут усложнять жизнь бизнесу.)
Нюансы
Сама по себе электронная подпись — результат криптографических преобразований подписываемого документа. Её нельзя «физически» выдать на каком-либо носителе или увидеть. ЭЦП не похожа на росчерк пера либо фигурный оттиск.
Электронная подпись состоит из трёх элементов:
Обзавестись ЭЦП и соответствующим сертификатом можно, отправив онлайн-заявку в один из аккредитованных удостоверяющих центров и предоставив необходимые документы. В России действует более 300 таких организаций. С 1 июля 2021 года юрлица, ИП и нотариусы могут бесплатно получить квалифицированную электронную подпись в удостоверяющем центре Федеральной налоговой службы (УЦ ФНС) России.
Удостоверяющий центр устанавливает сроки действия сертификатов электронной подписи. Стандартный срок — один год. В дальнейшем сертификат придётся перевыпустить и продлить его действие.
Виды ЭЦП
Простая электронная подпись (ПЭП), с помощью которой можно идентифицировать личность пользователя для повседневных нужд, имеет сравнительно низкую степень защиты. Пример — логин и пароль, которые вводятся на сайтах для авторизации, или код для входа в личный кабинет, который приходит в СМС-сообщении. ПЭП не имеет юридической силы, поэтому её нельзя использовать для подачи документов или участия в госзакупках.
Усиленная неквалифицированная электронная подпись (НЭП) подходит скорее юрлицам и применяется, в частности, для организации внутреннего документооборота компании и взаимодействия с контрагентами.
Усиленная квалифицированная электронная подпись (КЭП). Для работы с ней нужны флеш-накопитель, специальная программа и библиотеки к ней, а также личный сертификат. Зато такая электронная подпись обеспечивает надёжную защиту информации от посторонних лиц и освобождает от необходимости заключать дополнительные соглашения с участниками электронного документооборота. КЭП можно использовать для любых нужд: для регистрации онлайн-кассы в ФНС, удалённой подачи документов, участия в электронных торгах, заверения заявления о постановке на учёт в налоговом органе и т. д.
При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться.
Усиленная квалифицированная электронная подпись: что это такое и сколько стоит
На смену бумажным документам постепенно приходит электронный документооборот (ЭДО) и его обязательный атрибут — усиленная квалифицированная электронная подпись (УКЭП). Её обладатель может в режиме онлайн получить доступ к нужной информации на государственных и прочих Интернет-ресурсах, сделать необходимые выплаты, написать заявление, оформить сделку. Усиленная электронная подпись служит для удостоверения личности пользователя в Сети.
Что такое ЕСИА и зачем она нужна
В 2010 г. в России была создана Единая система идентификации и авторизации (ЕСИА) – регистрация в ней открывает для пользователей Интернета доступ ко всем государственным сервисам.
Идентификацию в ЕСИА признают:
Получить водительское удостоверение или загранпаспорт, записаться на прием к врачу, оформить ребенка в школу, оплатить счета, получить кредит в банке – все это в режиме онлайн доступно пользователям системы ЕСИА. Электронные услуги позволяют решать проблемы, не теряя времени в очередях к заветному окошку, не вступая в личный контакт с сотрудниками госучреждений.
При оформлении документации через интернет граждане используют электронную подпись, которая позволяет идентифицировать их личность.
Какие бывают электронные подписи
Электронная подпись на документе — это аналог собственноручного автографа, оставленного на бумажном носителе. Закон №63-ФЗ определяет два вида электронной подписи (ЭП):
Что такое простая электронная подпись
Простая электронная подпись (ПЭП) представляет собой несложное буквенно-цифровое обозначение, позволяющее пользователю авторизоваться в той или иной информационной системе, совершать в ней разрешенные операции. Чаще всего ПЭП представлена парой логин-пароль, где логином является электронный адрес или телефонный номер, а пароль сгенерирован самим пользователем или системой, с которой он намеревается взаимодействовать.
Сама по себе ПЭП не имеет юридической силы. К собственноручной подписи её можно приравнять, если об этом заключено специальное соглашение на сайте, внутри корпорации или между деловыми партнерами. Так, онлайн-банк одобрит перевод денег со счета, если получит подтверждение в виде цифрового кода, присланного на телефон или электронную почту клиента. Особое соглашение с клиентом позволяет приравнять сочетание «номер телефона + СМС-код» к личной подписи клиента. Кроме банковских операций, простую ЭП применяют:
В системе ЕСИА подача запросов и доступ к электронным услугам на сайтах разрешается лишь после того, как получатель ключа ПЭП лично явится с паспортом в МФЦ, где будет идентифицирована его личность.
Что такое усиленная неквалифицированная электронная подпись (НЭП)
Усиленная подпись может быть неквалифицированной (НЭП) и квалифицированной (КЭП). Разница между ними – в степени доверия государства. НЭП генерируется для внутреннего электронного документооборота по произвольному криптографическому алгоритму, она действительна только для тех корреспондентов корпорации, с которыми имеется договор о признании юридической силы данной подписи. Без предъявления такого договора арбитражный суд признает контракт, подписанный НЭП, недействительным. Сервис Налоговой инспекции генерирует для своих пользователей НЭП для подписания документов по налоговой отчетности из личного кабинета на сайте. Не используется НЭП на портале Госуслуг, на ресурсах ПФР и ФСС, Росреестр, Росстат и др.
Что такое усиленная квалифицированная электронная подпись
Квалифицированная ЭП генерируется в удостоверяющих центрах, аккредитованных Министерством коммуникаций и связи; для её кодировки используется алгоритм, соответствующий государственным стандартам. Этой подписи доверяют все государственные органы, включая арбитражные суды. Документ, заверенный УКЭП, имеет безусловную юридическую силу, подпись может быть использована во всех операциях электронного документооборота.
Представленная ниже сравнительная таблица пояснит, чем отличаются оба вида усиленной ЭП.
Что такое ЭЦП, для чего нужна и как ее получить
ЭЦП — это электронная цифровая подпись. Она имеет такую же юридическую силу, как и рукописная, и сильно облегчает документооборот и «общение» с государственными инстанциями. А если получить квалифицированную ЭЦП, можно заверять отчетные документы, декларации и заявления на участие в тендерах.
Подробнее о том, как выбрать и получить нужную ЭЦП, читайте в этой статье.
Какие бывают ЭЦП
Федеральным законом «Об электронной подписи» установлено два вида электронной цифровой подписи: простая и усиленная. Давайте разбираться, чем они отличаются и как их получить.
Простая электронная цифровая подпись
Простая ЭЦП формируется с помощью кодов и паролей.
Кому и где пригодится
Простой ЭЦП пользуются физические лица.
Для чего нужна простая ЭЦП:
Как получить и поставить
Простая ЭЦП формируется при регистрации на сайтах, в приложениях и сервисах. Вы заполняете форму с вашими данными, вводите логин и пароль, а потом подтверждаете данные, вводя код из СМС или кликая по ссылке из email-рассылки. Код или переход по ссылке и будет вашей цифровой подписью.
Иногда для регистрации подписи нужно прийти с документами в соответствующий орган и подтвердить свою личность. Например, чтобы пользоваться всеми возможностями «Госуслуг», нужно подтвердить свою учетную запись. Для этого с паспортом и СНИЛС приходят в центр обслуживания населения «Мои документы», запрашивают доступ через аккаунт в Сбербанке, Тинькофф Банке, Почта Банке или получают код заказным письмом.
Усиленная электронная цифровая подпись
Усиленная ЭЦП бывает двух видов: неквалифицированная и квалифицированная. Может использоваться физическими и юридическими лицами.
Неквалифицированная электронная подпись — это подпись в виде ключа, хранящегося на USB-носителе. Ее оформляют платно в удостоверяющем центре. Применение неквалифицированной электронной подписи ограничено.
Квалифицированная электронная подпись отличается от неквалифицированной только тем, что ключ проверки будет сертифицирован.
Кому и где пригодится
Неквалифицированную электронную подпись можно использовать:
Квалифицированную электронную подпись можно использовать:
Чтобы поставить неквалифицированную или квалифицированную ЭЦП, необходимо запустить на компьютере ключ с USB-носителя. Затем потребуется зайти в программу для криптозащиты информации (СКЗИ) и загрузить в нее документ, который нужно подписать.
Гайд по криптографии: что такое электронная цифровая подпись и как она работает
Партнер
Содержание статьи
Roadmap
Это пятый урок из цикла «Погружение в крипту». Все уроки цикла в хронологическом порядке:
Как работает цифровая подпись
Если вспомнить формальное определение, то ЭЦП — это реквизит электронного документа. Другими словами, последовательность битов, вычисленная уникально для каждого конкретного сообщения. Подпись может быть вычислена как с применением секретного ключа, так и без него. Без секретного ключа подпись представляет собой просто код, который может доказать, что документ не был изменен. С использованием секретного ключа подпись докажет целостность сообщения, позволит убедиться в его подлинности и аутентифицировать источник.
Если ты читал вторую часть нашего цикла, то помнишь, что существуют симметричный и асимметричный подходы к шифрованию. С электронной подписью дела обстоят очень похоже — есть подписи с симметричным механизмом, а есть с асимметричным.
Симметричный механизм подписи малоприменим на практике — никому не хочется генерировать ключи для каждой подписи заново. А как ты помнишь, именно в одинаковых ключах кроется фишка симметричной криптографии.
Схемы электронной подписи так же многообразны, как и способы шифрования. Чтобы схема подписи была стойкой, нужно, чтобы она основывалась на трудновычислимой математической задаче. Есть два типа таких задач: факторизация больших чисел и дискретное логарифмирование.
Факторизация больших чисел
Рассмотрим на практике электронную подпись на основе знаменитого алгоритма RSA. Шифрование RSA мы рассматривать не стали — это мейнстрим, и в той же «Википедии» есть его подробное описание.
1. Генерация ключей
Причина стойкости RSA кроется в сложности факторизации больших чисел. Другими словами, перебором очень трудно подобрать такие простые числа, которые в произведении дают модуль n. Ключи генерируются одинаково для подписи и для шифрования.
Когда ключи сгенерированы, можно приступить к вычислению электронной подписи.
2. Вычисление электронной подписи
3. Проверка электронной подписи
RSA, как известно, собирается уходить на пенсию, потому что вычислительные мощности растут не по дням, а по часам. Недалек тот день, когда 1024-битный ключ RSA можно будет подобрать за считаные минуты. Впрочем, о квантовых компьютерах мы поговорим в следующий раз.
В общем, не стоит полагаться на стойкость этой схемы подписи RSA, особенно с такими «криптостойкими» ключами, как в нашем примере.
Дискретное логарифмирование
Это вторая сложная проблема, на которой основаны цифровые подписи. Для начала хорошо бы усвоить, что такое дискретный логарифм. Для кого-то такое словосочетание может звучать пугающе, но на самом деле это одна из самых простых для понимания вещей в этой статье.
1. Генерация подписи
2. Проверка подписи
Даже если не вникать в схему, понятно, что такой алгоритм сложнее. Кроме того, нигде уже не используется простой модуль, его сменили эллиптические кривые. Эллиптическая кривая — это кривая, которая задана кубическим уравнением и имеет невообразимо сложное представление. Задача решения логарифма в группе точек, которые принадлежат эллиптической кривой, вычислительно сложная, и на данный момент не существует таких мощностей, которые решали бы это уравнение за полиномиальное время, если длина секретного ключа составляет 512 бит. Согласно задаче дискретного логарифмирования, невероятно сложно найти на кривой две такие точки, которые связывает операция возведения в некоторую степень.
ЭЦП на практике
В России, как и во многих развитых странах, электронная подпись имеет официальный юридический статус. У нас этот факт регламентирует закон № 63-ФЗ «Об электронной подписи». Однако он утверждает, что юридической силой обладает далеко не любая электронная подпись, а только соответствующая определенным критериям:
Подпись также должна быть вычислена средствами, соответствующими требованиям закона. Этим требованиям удовлетворяет отечественный алгоритм шифрования ГОСТ 34.10—2012. Он использует математический аппарат эллиптических кривых, является достаточно стойким и официально используется для разработки криптографических средств, реализующих электронную подпись. Для того чтобы попробовать неквалифицированную подпись — без сертификата удостоверяющего центра, можно воспользоваться известной PGP. Потестировать подпись можно, к примеру, на сайте ReadVerify.
Стоит сказать, что в нашей стране электронная подпись используется чаще, чем можно себе представить. В банках, налоговых, торгово-закупочных операциях, бухгалтерии — во всех этих организациях используется или внедряется ЭЦП. Электронная подпись отважно борется со злом бюрократии, однако до полной победы еще далеко.
За рубежом электронный документооборот процветает еще дольше. Официальный стандарт электронной подписи в США DSS (Digital Signature Standard) также использует эллиптические кривые и основан на описанной выше схеме Эль-Гамаля.
Цифровая подпись в Bitcoin
Помимо прочего, электронная подпись используется в криптовалютах, в частности — в Bitcoin. У каждого пользователя Bitcoin есть пара из секретного и открытого ключа. Хеш-значение открытого ключа служит основным адресом для передачи монет. Это значение не секретно, и сообщать его можно кому угодно. Но по значению хеша вычислить значение открытого ключа невозможно.
Сама пара ключей будет использована лишь однажды — при передаче прав собственности. На этом жизнь пары ключей заканчивается.
Вот как устроен сам процесс передачи прав собственности на биткойны.
О втором собственнике ничего не известно, кроме HASH(PUB2), до тех пор пока он не передаст права третьему владельцу. И эта цепочка может быть бесконечной.
Подписывая передачу прав с использованием ЭЦП, собственник подтверждает не только свою личность, но и свое согласие на проведение сделки. То есть вернуть монетку он уже не может и с этим согласился, подписавшись электронной подписью.
Благодаря HASH(PUB) получается двойная защита. Первая загадка — узнать публичный ключ по его хешу. Вторая загадка — подписаться чужим секретным ключом.
Такая технология построения цепи передачи прав и называется блокчейном. Благодаря этой технологии можно отследить историю владения до самых истоков, но изменить эту историю никак нельзя.
Выводы
Будущее неразрывно связано с криптографией. В один прекрасный момент при получении паспорта наши дети будут генерировать электронную подпись и покупать чипсы в ларьке за криптовалюту. Что готовит нам будущее с точки зрения развития криптографии, посмотрим в следующей статье на примере квантовых компьютеров.
Про ЭЦП от технаря — азы для начинающих
Общая информация от технического специалиста, которую может быть полезно знать каждому работающему с электронными подписями.
Недавно я услышал от одного специалиста в сфере бухгалтерии (не технаря) рекомендацию по способам хранения документов с электронной подписью. Имея кое-какой опыт работы с электронной отчётностью и электронными документами, включая разработку и поддержку соответствующих программ, а также свои публикации по электронным подписям, я не смог с этой рекомендацией согласиться.
Но, чтобы высказать своё несогласие, считаю необходимым его сначала обосновать. Дело это не самое простое, и связано оно во многом с недопониманием непрофильными специалистами того, для чего в принципе нужна электронная подпись, как она работает и каким требованиям должна соответствовать.
В этом посте я хочу, не слишком сильно углубляясь в технические детали, попытаться раскрыть некоторые подробности работы электронных подписей. Здесь приведу буквально самые азы, которые нужно понимать любому человеку, работающему с электронными подписями и документами, ими подписанными.
Хочу рассказать следующее:
Понимаю, что многих посетителей сайта интересуют намного более насущные моменты: как получить, как использовать подписи. Есть некоторый практический опыт в этой сфере. Некоторые моменты освещу по ходу объяснения здесь, но для большинства таких ситуаций одного поста не хватит. Будем писать дальше; пожелания по конкретике можно оставлять в комментариях.
После прочтения этого поста понять практические процессы и избежать возможных проблем будет намного проще. Ну и понимание работы упрощает поиск и предупреждение возможных проблем.
Что такое электронная подпись
Электронная подпись, согласно закону 63-ФЗ, это информация в электронной форме, которая присоединена к подписываемой информации в электронной форме или иным образом с ней связана и используется для определения лица, подписывающего информацию.
Другими словами, если, к примеру, в конце письма, пришедшего вам по электронной почте, написано «С уважением, Иванов И. И.», в теории эта подпись, если смотреть только на основные понятия из закона, тоже считается электронной.
Но это не значит, что письмо действительно написано и подписано Ивановым И. И. И что никто по пути от отправителя до получателя, включая самого получателя, текст письма не поменял. Все эти факты придется подтверждать дополнительно.
Способы подтверждения тоже существуют разные. Их выбор зависит от того, насколько сильно нужно защититься от подделки отправителя и содержания документа. И здесь встаёт вопрос о видах электронной подписи.
Простая электронная подпись — это минимальная защита. Закон предлагает использовать для неё коды, пароли или иные средства. В этом случае подтверждается только факт формирования электронной подписи конкретным лицом.
Проще говоря: те же мессенджеры вроде Telegram, WhatsApp и т. п. являются по сути комплексами средств связи с простой электронной подписью передаваемых через них сообщений. Отправителем сообщения (подписываемой информации) считается владелец телефона с соответствующим номером, что контролируется программными средствами мессенджера. Другому лицу, не имеющему контроля над номером телефона, система подключиться не даст.
Для серьёзных целей такие системы не подходят — хотя бы потому, что у отправителя есть возможность редактировать и удалять сообщения. То же самое могут делать администрация или технические специалисты мессенджера.
Но это всё равно простая электронная подпись. Контроля целостности передаваемой информации от неё не требуется. Закон разрешает лицам, желающим наладить информационный обмен, признавать такие простые электронные подписи электронных документов равнозначными подписям бумажных документов, если стороны договорятся об этом.
Для более серьёзных целей используют усиленные подписи — квалифицированную и неквалифицированную. В них активно используются криптографические преобразования.
Оговорим возможности усиленных подписей и отличия квалифицированной и неквалифицированной подписи.
Усиленная подпись должна позволять определить лицо, подписавшее электронный документ, а также обнаруживать факты внесения изменений в подписанный документ после его подписания. Создаётся она с использованием так называемых средств электронной подписи и ключа электронной подписи.
Квалифицированная подпись, помимо сказанного требует, чтобы:
Квалифицированная (усиленная квалифицированная — это то же самое) электронная подпись — это официально высший уровень доверия.
Электронный документ, подписанный квалифицированной подписью, по закону признаётся равнозначным собственноручно подписанному бумажному документу без каких-либо соглашений о признании. Квалифицированная электронная подпись может применяться в любых правоотношениях, кроме случаев, когда законы или другие НПА требуют исключительно бумагу.
Выскажу личное мнение. В теории, признание может быть аннулировано при выявлении обстоятельств, свидетельствующих о выпуске подписи на какое-то лицо без законных на то оснований и подписании документов такой подписью. Но на практике сам сталкивался только со спорными ситуациями, не с их разрешением. Поэтому подробно рассказать что-то на эту тему не могу.
С простыми электронными подписями в техническом плане всё понятно; там с ходу я вряд ли смогу придумать то, что надо ещё объяснить, так что предлагаю задавать конкретные вопросы в комментариях.
Теперь в общих чертах разберём, каким именно образом усиленные (в том числе квалифицированные) электронные подписи обеспечивают определение лица, подписавшего документ, и фактов внесения в него изменений. Для этого сначала придётся немного отступить от этой темы и изучить обзор криптографии.
Вкратце о криптографии
Слово «криптография» в переводе с греческого означает тайнопись. Но в современном понимании этого термина он стал практически синонимом шифрования.
В работе с усиленными электронными подписями активно используются операции шифрования. Поэтому программные и аппаратные средства усиленной электронной подписи вполне обоснованно являются шифровальными средствами.
Обращаю внимание, что в России, да и не только в ней, многие виды деятельности, связанные с разработкой и оборотом шифровальных средств, находятся под повышенным контролем регулирующих органов. Чтобы заниматься разработкой таких средств или их распространением, нужно иметь соответствующую лицензию.
В каком случае это знание может пригодиться? Например: производитель защищённых ключевых носителей Рутокен у себя на сайте продаёт их в партиях от 10 штук, а за меньшим количеством предлагает обращаться к партнёрам. И какому-нибудь холдингу или бухгалтерскому аутсорсеру может показаться соблазнительным купить сразу такую партию на одну фирму и раздать-продать их своим клиентам или конторам, чтобы они в налоговой получили на своих руководителей квалифицированные электронные подписи.
Идея, может, и соблазнительная, но так делать не стоит. Возможные плачевные последствия узнайте у юристов.
В контексте этого поста мы будем рассматривать криптографию как совокупность вычислительных операций над исходным материалом со стороны соответственно отправителя, подписывающего информацию, и её получателя, проверяющего электронную подпись.
Дополнительным аргументом многих таких операций является число, называемое ключом шифрования (в нашем контексте — ключом электронной подписи) или криптоключом. Немного позже мы слегка углубимся в их суть.
Дальше. Криптография бывает асимметричной и симметричной. Симметричная криптография подразумевает использование одного и того же криптоключа для совершения противоположных друг дружке операций. Она подходит и используется для сравнительно простых и быстрых операций шифрования и расшифровки, но совершенно не годится для применения в электронных подписях. Тем не менее, во вспомогательных процессах она активно применяется. И существует даже российский ГОСТ на алгоритм такой криптографии, используемый в электронном документообороте и реализованный в соответствующих программах.
Асимметричная криптография использует так называемую пару криптоключей. Один из ключей этой пары называется открытым или публичным (в англоязычной терминологии — public key), а второй — закрытым (private key). Пара криптоключей вычисляется как результат единой криптографической операции — генерации ключевой пары. А дальше пути ключей в паре расходятся. Открытый ключ публикуется, чтобы заинтересованные лица могли с его помощью зашифровать информацию для владельца пары ключей или проверить его электронную подпись под какой-либо информацией — разумеется, при условии подтверждения принадлежности открытого ключа владельцу. Закрытый же ключ в теории обязан быть доступным только владельцу и никому больше. Он применяется для обратных операций — подписания и расшифровки. Попадание закрытого ключа в нежелательные руки называется компрометацией закрытого ключа. Это, конечно, плохо.
Рассмотрим криптографические операции, применяемые в электронных подписях. Всего их пять. Криптографическую генерацию случайных чисел вряд ли нужно объяснять; суть примерно понятна. Про генерацию ключевых пар я рассказал чуть выше; делается она с помощью генерации случайных чисел. Остальные операции рассмотрим подробнее. В этой части только скажу, что под работу с квалифицированными электронными подписями для каждой этой операции используются только алгоритмы, описанные и опубликованные в соответствующих российских ГОСТ-ах.
Криптографическая контрольная сумма (хэширование, digest)
Сначала в качестве вспомогательной криптографической операции, применяемой при подписании и проверке подписей, рассмотрим так называемое одностороннее шифрование, называемое также хэшированием. В ходе этой операции блок информации произвольного размера (в нашем случае это может быть какой-то файл или его определённая часть) превращается в число с фиксированным количеством разрядов (обычно двоичных, т. е. бит, но для удобства оно везде пропечатывается в шестнадцатеричной системе счисления), называемое хэш-суммой или хэшем. Математически эта работа выполняется так, что для одного и того же блока информации результат хэширования по одному и тому же алгоритму будет всегда одинаковым. По сути хэширование выдаёт контрольную сумму. Но при этом алгоритмы хэширования разрабатываются таким образом, чтобы невозможно или крайне трудно было заранее предсказать, на сколько именно то или иное изменение в исходной информации изменит результат вычисления: такие возможности могут использовать злоумышленники в своих нехороших целях. И хэш-суммы двух блоков информации с мизерным отличием в одну букву или пробел будут кардинально отличаться друг от дружки. В качестве примера на картинке ниже приведены результаты хэширования по ныне устаревшему буржуйскому алгоритму md5 для блоков из цифр: 12345, 123456 и 1234567. Невооружённым глазом видно, что суммы отличаются очень сильно, хотя различие в составе информации составляет в каждом случае всего 1 символ (байт).
Разумеется, по результату хэширования должно быть невозможно восстановить исходную информацию. Собственно слово хэширование происходит от английского слова hash, обозначающего фарш, который невозможно провернуть назад, чтобы обратно получить куски мяса. Ну и англоязычный термин digest означает переваривание, которое, как известно, тоже является необратимым процессом. Если немного отойти от темы, то хэширование часто используется для хранения паролей, которые согласно конкретной задаче требуется только проверять, но не расшифровывать. Поэтому, если вам в техподдержке какого-нибудь сайта на просьбу напомнить ваш пароль сотрудник ответит, что не знает и не может его знать, то это, скорее всего, не его жлобство, а чисто техническая правда. Немного упрощённо говоря, практически любой современный сайт чаще всего хранит не пароль пользователя, а хэш пароля, и при проверке правильности пароля он вычисляет хэш того, что ввёл пользователь на сайте в поле пароля, и сравнивает с хэшем в базе. Если значения совпадают, пароль считается введённым правильно. Это позволяет уменьшить ущерб для пользователей, если злобные хакеры стырят с сайта всю базу или её часть с логинами и таким вот образом сохранёнными паролями.
Электронная подпись. Подписание и проверка подписей
Возвращаемся к теме усиленных электронных подписей. Как происходит подписание и проверка подписи?
Начнём с подписания. Итак, у владельца подписи есть закрытый ключ электронной подписи и блок информации, которую нужно подписать. Обычно блок информации — это файл или его содержательная часть; об этом мы поподробнее поговорим позже, когда будем рассматривать варианты представления электронной подписи файла. Первым делом вычисляется хэш подписываемой информации. Затем из этого хэша и закрытого ключа по определённой математической формуле, описанной в используемом алгоритме электронной подписи, вычисляется значение электронной подписи данной информации. Осталось скомпоновать в стандартном виде полученное значение и вспомогательную служебную информацию — и электронная подпись для блока готова, можно передавать её получателю вместе с информацией.
Вкратце расскажу, какая вспомогательная информация входит или может входить в электронную подпись помимо её значения. Это информация об использованных при подписании алгоритмах хэширования и вычисления электронной подписи, дата и время подписания документа, сертификат открытого ключа вместе с самим открытым ключом, про что мы поговорим позже, и так далее.
Перейдём к проверке подписи. Итак, у получателя есть блок информации, электронная подпись отправителя под ним и открытый ключ отправителя — полученный либо в составе подписи, либо отдельным образом. Первым делом получатель вычисляет хэш-сумму блока информации — конечно, по тому же алгоритму, что и отправитель. Затем эта хэш-сумма, открытый ключ отправителя и значение электронной подписи под блоком подставляются в математическое уравнение проверки электронной подписи в качестве аргументов. Если уравнение не сходится, подпись сразу считается неверной. В противном случае для подтверждения верности подписи в зависимости от ситуации могут быть проведены дополнительные проверки. Эти проверки должны ответить нам на вопрос, можем ли мы доверять данной подписи как действующей подписи владельца. Если здесь всё нормально или не имеет значения, то подпись считается верной, а информация, ей подписанная, легитимной. На случай споров, если вдруг потребуется повторная проверка электронной подписи независимой организацией, нужно сохранять у себя и электронный документ, и электронную подпись под ним. И именно таким образом, чтобы электронный документ и электронную подпись можно было получить в оригинальном виде. Иначе независимая проверка электронной подписи будет невозможна, что может в будущем иметь правовые последствия (какие именно, вопрос уже к юристам).
Как выглядит документ (файл) с электронной подписью
Существуют два варианта представления электронной подписи файла. В первом, наиболее популярном нынче варианте на подписание в качестве блока информации передаётся содержимое подписываемого файла целиком, а полученная при подписании электронная подпись записывается в отдельный файл. Такой вариант называется откреплённой электронной подписью. И передавать на проверку получателю или независимой стороне нужно оба файла — сам документ и подпись под ним.
Второй вариант — электронная подпись, встроенная в электронный документ. Для его реализации необходимо, чтобы формат этого документа поддерживал встраивание электронной подписи внутрь файла. А в качестве информационного блока для подписания передаётся соответственно не весь файл, а его часть, содержащая подписываемую информацию. Дальше эта часть остаётся в исходном неизменном виде, а электронная подпись записывается в специально отведённое для этого место внутри файла, откуда проверяющая программа может её извлечь и проверить так, как было описано выше. Встроенная подпись поддерживается, например, форматами файлов PDF, Microsoft Office (хотя никто не мешает использовать с ними и откреплённую). Есть вариант с встраиванием электронной подписи в xml-файлы (так называемый стандарт XMLDSig), если утверждённый формат конкретного файла подразумевает его использование. Но, например, в электронном документообороте с ФНС и ПФР в основном используются откреплённые подписи. Тем не менее, например, выписки из ЕГРЮЛ в формате pdf скачиваются с встроенными электронными подписями. И, если открыть такой pdf на компьютере с сертифицированным российским криптопровайдером (о них поговорим позже) в программе Adobe Acrobat Reader DC, то через некоторое время мы увидим такую вот картинку:
Обращаю внимание, что здесь есть не только красивый штампик на выписке, который в теории можно к документу и прифотошопить, но и окна от программы Adobe Acrobat Reader, прямо утверждающие, что документ не только открыт, но и электронная подпись под документом проверена. При любом изменении в содержательной части документа (попытке его отредактировать) подпись либо вообще удалится, либо её проверка закончится отрицательно. Штампик при этом, может быть, и останется, но легитимным документ уже не будет.
И да. Некоторые пользователи, видя какой-нибудь pdf с красивым штампиком, распечатанный, например, из программы оператора ЭДО, думают, что этот самый pdf-файл можно сохранить или даже распечатать, чтобы потом предъявить кому-то и этим надёжно доказать, что вот он, документ, подписанный ЭЦП, и всё с ним хорошо, хотя на самом деле документ пришёл из налоговой в формате xml с откреплённой подписью, просто это не так хорошо видно. Такое мнение по вышеописанным причинам ошибочно. По сути предъявление такой распечатки говорит лишь о том, что предъявившее лицо свидетельствует, что оно когда-то взяло некий документ из программы электронного документооборота, которая при приёме документа проверила электронную подпись под ним и распечатала (или сохранила) документ в виде, удобном для чтения или распечатки, но не для проверки. Подлинность такой распечатки проверить невозможно. Реально проверка квалифицированной электронной подписи осуществляется только в электронном документе с помощью специальной программы-криптопровайдера, разработанной и сертифицированной в установленном порядке. И только результат её работы однозначно может сказать о том, что всё хорошо или всё плохо. Причём работа эта в некоторых случаях может быть проведена независимой стороной повторно. Для этого и требуется хранить электронные документы так, как сказано выше: строго в виде оригинальных файлов без попыток редактирования, ну и про электронные подписи не забыть.
Сертификат открытого ключа усиленной электронной подписи
Для выполнения дополнительных проверок нам, скорее всего, потребуется так называемый сертификат открытого ключа. Поговорим о нём подробнее.
Сертификат — это блок информации или файл, содержащий сам открытый ключ и информацию (перечислил не всю, но для понимания достаточно; полный состав может меняться или дополняться в зависимости от требований):
Как правило, сертификаты выпускаются в формате, установленном международным стандартом, универсальным как для российских, так и для иностранных алгоритмов и программных средств. Это сильно упрощает разработку соответствующего программного обеспечения. При этом некоторые детали вроде кодов, имён полей и так далее в некоторых ситуациях могут устанавливаться законодательно. В частности, это касается квалифицированных сертификатов: например, соответствующим приказом определено поле для СНИЛС его владельца, отсутствующее в международном стандарте. Но эта тема больше интересна профильным специалистам, разрабатывающим соответствующие программы. В усиленных квалифицированных электронных подписях удостоверяющие центры могут также распечатывать информацию из сертификатов на бумаге, которую владелец сертификата заверяет собственноручной подписью и таким образом документально подтверждает принадлежность данного сертификата себе любимому. Бумага эта отправляется на долгосрочное хранение в архив удостоверяющего центра и в случае возникновения споров может быть оттуда извлечена.
Доверие. Инфраструктура открытых ключей. Удостоверяющие центры
Итак, у сертификата есть такое понятие, как издатель. В качестве такового может выступать сам владелец сертификата (закрытого ключа), в этом случае сертификат называется самоподписанным. Для более серьёзных задач, в которых нет взаимного доверия, сертификаты выпускаются специализированными организациями, которым можно или нужно доверять. В зависимости от конкретной задачи доверие может определяться соглашением сторон, законом или обычаями делового оборота. Такая специализированная организация называется удостоверяющим центром (в англоязычной терминологии — certificate authority).
Помимо выпуска сертификатов удостоверяющий центр выполняет вспомогательные задачи — например, ведение списка отозванных сертификатов. Все выпускаемые сертификаты и списки удостоверяющий центр подписывает своим сертификатом, который он может выпустить для себя сам (т. е., самоподписанный сертификат) или получить в так называемом корневом удостоверяющем центре. Для издания квалифицированных электронных подписей удостоверяющий центр обязан быть аккредитован на соответствие требованиям законодательства. Без аккредитации корневой удостоверяющий центр просто не выпустит ему сертификат.
В России для квалифицированных электронных подписей корневым (ну или головным) удостоверяющим центром является удостоверяющий центр Минцифры. Он сделал себе самоподписанный сертификат, с его помощью издаёт сертификаты другим удостоверяющим центрам, а те в свою очередь уже издают сертификаты пользователям, подписывая их своими сертификатами. Образуется так называемая цепочка доверия: Минцифры, аккредитованный удостоверяющий центр, рядовой владелец сертификата (ключа) квалифицированной электронной подписи. И в принципе для придания электронной подписи юридического значения её проверка должна проходить по всей этой цепочке доверия.
Выпуск (издание) сертификата усиленной электронной подписи
Сначала рассмотрим теоретически идеальный вариант. Исходные данные такие. У владельца есть компьютер со специальной программой, позволяющей по команде выполнять соответствующие криптографические (и не только) операции. И первым делом он даёт ей команду сгенерировать пару криптоключей. Закрытый ключ из полученной пары он сохраняет у себя и больше никому не отдаёт, используя только сам.
Следующей задачей является формирование запроса на сертификат для удостоверяющего центра. Этот запрос включает в себя сгенерированный открытый ключ и информацию о его владельце, которая должна быть впоследствии включена в сертификат. Будущий владелец сертификата формирует этот запрос, подписывает его сгенерированным закрытым ключом, добавляет вычисленную подпись в запрос и передаёт этот запрос в удостоверяющий центр.
Удостоверяющий центр, получив этот запрос, осуществляет проверку полученного запроса — в том числе идентификацию владельца, например, путём его личного визита с документами, удостоверяющими личность, хотя это и не единственный способ. Если всё нормально, то программа в удостоверяющем центре формирует уже сам сертификат электронной подписи, подписывает его уже закрытым ключом удостоверяющего центра, регистрирует у себя, выдаёт владельцу и публикует в установленном порядке.
Из практических рассмотрим вариант получения усиленной квалифицированной электронной подписи индивидуального предпринимателя в налоговой инспекции. Опишу я его на основании личного опыта. Перед визитом я купил так называемый защищённый ключевой носитель, что по сути есть флэшка специализированного назначения для хранения закрытых ключей и соответствующих им сертификатов электронных подписей. С этим носителем, паспортом и СНИЛС-ом (а также ИНН-ом, его иногда нужно назвать), а также заранее распечатанным заявлением установленного образца на выпуск квалифицированного сертификата электронной подписи я поехал в 46-ю налоговую, единственную уполномоченную в Москве на выдачу квалифицированных электронных подписей руководителям юрлиц и индивидуальным предпринимателям (есть ещё несколько банков в качестве доверенных лиц, но там свои особенности). После проверки документов инспектор взял мой носитель, подключил его к своему компьютеру и за несколько минут сам выполнил все те операции, которые были описаны выше. После того, как я подписал распечатку изданного сертификата и отдал её инспектору, взамен я получил свой экземпляр сертификата с подписью инспектора и печатью и свой ключевой носитель, на который уже были записаны сертификат и закрытый ключ, а также сопроводительную бумажку с информацией о безопасном использовании. Далее я уже использовал этот носитель при работе на государственных порталах и сдаче отчётности в налоговую.
Отзыв сертификата
Выданный удостоверяющим центром сертификат электронной подписи (в том числе квалифицированной) может быть отозван до окончания срока действия (позже эта операция не имеет смысла, так как этап дополнительных проверок подписи и без того не будет пройден). Делает это удостоверяющий центр — в теории только по заявлению владельца сертификата. По квалифицированным сертификатам действия для этого в общем те же, что и при выдаче: владелец сертификата едет с документами, удостоверяющими личность (только без ключевого носителя, которого у него может и не быть), в удостоверяющий центр и там пишет заявление на отзыв. Удостоверяющий центр, проверив личность владельца сертификата и заявление, находит выданный сертификат и помещает его серийный номер в свой список отозванных сертификатов вместе с датой и временем помещения. Этот список, естественно, публикуется в установленном порядке с электронной подписью удостоверяющего центра. И получатель электронного документа при проверке подписи может (и должен) получить от удостоверяющего центра, выпустившего сертификат, свежий список отозванных сертификатов и убедиться, что на момент подписания документа сертификат, присутствующий в электронной подписи, в этом списке не был.
Так какие же есть дополнительные проверки легитимности документа, подписанного электронной подписью?
Исходя из сказанного, вариантов возможна масса в зависимости от конкретной задачи. Можно и нужно проверить, действовал ли сам сертификат на момент подписания документа и не попал ли он до подписания в список отозванных сертификатов удостоверяющего центра. Можно (и, опять же, нужно) проверить сертификаты по цепочке доверия, чтобы убедиться, действительно ли выдавший сертификат удостоверяющий центр был аккредитован и имел ли он на момент выдачи сертификата право его издавать. Если документ подписан руководителем юрлица, можно, например, взять из сертификата ИНН организации, найти по нему сведения ЕГРЮЛ на момент подписания документа и проверить, имело ли право физлицо, указанное в сертификате, в тот момент действовать от имени юрлица без доверенности, или же собственники юрлица лишили его полномочий. Если в будущем подписант идёт в отказ и говорит, что не давал удостоверяющему центру разрешения на выпуск электронной подписи, то можно запросить в удостоверяющем центре бумажную распечатку сертификата или заявление на выпуск с личной подписью лица, которую его получило, для назначения соответствующей экспертизы. Но это уже, скорее, вопрос правоохранительных органов и других более компетентных в этих делах лиц.
Программное устройство
Для работы с усиленными электронными подписями, конечно, необходимы соответствующие программы (ну и иногда аппаратные средства, но для простоты мы сейчас не будем их рассматривать). Условно поделим их на два уровня: прикладные и системные. С прикладными программами пользователи работают напрямую, а системные программы принимают соответствующие запросы от прикладных.
Откуда взялось это деление? И программные, и аппаратные средства усиленной электронной подписи так или иначе реализуют криптографические операции и таким образом являются шифровальными средствами. К разработке и разработчикам шифровальных средств в силу большой ответственности как логически, так и нормативно предъявляются особые требования, которых больше нигде разработчик не встретит. И разработчиков, соответствующих таким требованиям и непосредственно занимающихся реализацией криптографии, очень мало. А прикладных задач по работе с электронными подписями и шифрованием (и соответственно прикладных разработчиков) намного больше. В силу этого разработчикам прикладных программ настоятельно не рекомендуется лезть в криптографию самим. Вместо этого им предлагается брать от профильных разработчиков готовые программные модули и использовать их для выполнения криптографических операций. Такие модули называются криптопровайдерами. В рамках операционных систем реализованы и публично доступны стандарты взаимодействия прикладных программ и криптопровайдеров, определяющие конкретику — что и откуда вызывать. В частности, для Windows часто используется спецификация Microsoft CryptoAPI 2.0. И, если прикладной программе нужно поработать с криптографией, она согласно этой спецификации обращается к криптопровайдеру, который ей выполнит запрошенные операции.
Из российских криптопровайдеров, которые могут использоваться с квалифицированными электронными подписями, больше всего известен КриптоПро CSP от фирмы КриптоПро. Удостоверяющий центр ФНС России выпускает и выдаёт юрлицам и ИП подписи, работающие только с этим криптопровайдером. Так что, хочешь не хочешь, а для работы с такими подписями придётся этот криптопровайдер покупать и ставить на компьютер. Простым физическим лицам коммерческие аккредитованные удостоверяющие центры могут выдавать квалифицированные подписи, умеющие работать с другими соответствующими российским нормативам криптопровайдерами, в том числе бесплатными. Ну и у доверенных лиц удостоверяющего центра ФНС тоже здесь могут быть моменты, особенно у банков с их особыми требованиями к безопасности. Надо понимать, что в силу единства стандартов документ, подписанный квалифицированной электронной подписью с использованием одного криптопровайдера, должен без проблем проверяться другим криптопровайдером, подходящим для работы с КЭП. Но именно на выдаче подписей есть определённые особенности; углубляться в это я не буду, это очень жёсткие дебри для непрофильных людей, даже если они технические специалисты. Насколько я понимаю, связаны они с некоторым разночтением в российских криптографических стандартах, когда разные производители прочитали их по-разному.
Отмечу, что в КриптоПро CSP, хоть он по-прежнему и остался криптопровайдером, начиная с пятой версии появились и некоторые базовые прикладные возможности. То есть, пользователь в нём может запустить программу и самостоятельно подписать какой-то файл (вариант с откреплённой подписью) или проверить подпись. Мы это опробовали в случае с одним из моих клиентов, когда ему надо было подписать заявление для портала, если мне память не изменяет, Росавтодора; всё прошло вполне успешно. Если же нужно больше возможностей и настроек, рекомендуется дополнительно к криптопровайдеру приобрести ещё и специализированное программное обеспечение вроде КриптоАРМ. Но это уже больше, что называется, для специалистов отрасли.
Прикладными программами в нашем случае в основном являются системы электронной отчётности и электронного документооборота. Здесь тоже бывают свои особенности, но в силу их разнообразия это выходит за рамки общего описания.
Доступ к государственным сайтам с использованием усиленной квалифицированной электронной подписи
Усиленную электронную подпись можно использовать не только для подписания электронных документов, но и для аутентификации на сайтах. С очень большой долей упрощения процесс аутентификации выглядит так. Когда пользователь заходит на сайт, сервер сайта отдаёт пользователю (точнее, интернет-браузеру на компьютере или другом устройстве) блок данных. Задача браузера — подписать этот блок данных закрытым ключом владельца сертификата (разумеется, с использованием криптопровайдера, который также должен иметься на устройстве) и отправить полученную электронную подпись обратно. На стороне сайта программа проверяет подпись и сертификат, как я здесь описывал (некоторые проверки могут быть исключены), и, если всё хорошо, то считает, что аутентификация пройдена, зашёл именно пользователь такой-то, можно с ним работать. Эта аутентификация реализуется в рамках универсальных протоколов безопасного сетевого соединения SSL и TLS. И криптопровайдер для такой аутентификации с использованием усиленной электронной подписи должен иметь поддержку работы с этими протоколами в операционной системе. Если, например, взять бесплатный российский криптопровайдер VipNet CSP от Инфотекса, то у него при выборочной установке в списке компонентов программы я видел компонент «Поддержка протокола SSL/TLS». И неопытные компьютерщики иногда его не устанавливали, что приводило к невозможности подключиться к тому же личному кабинету налогоплательщика с аутентификацией по электронной подписи.
Часто необходимо также, чтобы российские криптоалгоритмы поддерживались самой программой, в которой открывается сайт — то есть браузером. Здесь можно использовать, например, Яндекс-браузер или chromium-gost. За подробностями, что можно использовать, лучше обратиться к соответствующим страницам сайта, с которым предполагается работать.
Помимо этого, на подобных порталах нередко возникает необходимость обеспечить автоматическое (но, естественно, с одобрения пользователя) подписание электронных документов, сформированных на сайте. Встроенных функций для взаимодействия с криптопровайдерами, чтобы делать такие вещи, браузеры не содержат. Поэтому для этого используются браузерные дополнения или расширения (plug-ins или плагины), которые тоже необходимо установить на устройство, с которого предполагается работа на сайте. Таких плагинов существует довольно много от разных производителей; они имеют разные механизмы реализации и использования. В основном на государственных сайтах используются бесплатные плагины. Например, в Личном кабинете налогоплательщика используется КриптоПРО ЭЦП Browser plug-in, который можно скачать на сайте производителя. Портал Росстата использует уже другой плагин (если честно, не помню уже, какой, но на портале можно посмотреть). Конкретику, опять же, нужно смотреть в документации к конкретным сайтам.
Итоги и выводы
Хранение документов, исходно полученных (отправленных) как электронные, должно осуществляться строго в электронном виде с электронными подписями, которыми они были подписаны. Даже минимальное изменение в документ приводит к невозможности проверить электронную подпись и утрате документом юридического значения.
В случае компрометации закрытого ключа электронной подписи её необходимо отозвать. И чем быстрее, тем лучше, так как электронные документы, подписанные до момента отзыва сертификата, считаются легитимными.
Для работы с квалифицированными электронными подписями на соответствующем компьютере необходимо иметь программу-криптопровайдер.
Если квалифицированную электронную подпись нужно использовать при работе с государственными сайтами, могут потребоваться браузер, поддерживающий российские алгоритмы подписей и шифрования, и плагин для браузера, чтобы подписывать на сайте электронные документы. Если на сайт можно зайти, но нельзя подписать какой-то запрос, то техническому специалисту нужно искать проблему в направлении плагина, а если зайти не получается, то в направлении криптопровайдера или браузера.
Заключение
Вот в общем и все азы, которые полезно знать обычным пользователям электронных подписей. Если кому захочется разобрать конкретный вопрос подробнее, пишите в комментариях; возможно, что-то из этого и получится при наличии возможности. Удачной работы.