Сертифицированные средства электронной подписи

Электронная подпись: виды и использование

Сертифицированные средства электронной подписи

Электронный документооборот уже давно вошел в нашу жизнь. И даже если в вашей организации по каким-то причинам никто не пользуется электронной подписью, вы должны знать, что это такое. В статье опишем особенности каждого вида электронной подписи, объясним, как ее получить и в каких случаях использовать.

ЧТО ТАКОЕ ЭЛЕКТРОННАЯ ПОДПИСЬ

Правила использования электронной подписи (далее – ЭП) при совершении юридически значимых действий регулирует Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон № 63-ФЗ).

То есть ЭП – это некий уникальный код, который определенным способом связан с файлом документа. Этот код получается путем криптографического преобразования и подтверждает:

  • неизменность информации;
  • целостность документа;
  • авторство определенного лица.

При внедрении электронного документооборота именно ЭП делает электронный документ равнозначным документу на бумажном носителе, подписанному собственноручно, то есть придает ему юридическую силу.

ВИДЫ ЭП

Существует два вида ЭП: простая и усиленная. Усиленная ЭП может быть неквалифицированной и квалифицированной. В Таблице 1 указаны особенности всех ЭП.

ПРОСТАЯ ЭП

Простую ЭП создают средствами информационной системы, в которой ее используют. Эта подпись подтверждает только то, что ее создал конкретный человек. Простая ЭП – это пароли, коды и прочие простые средства идентификации.

Простая ЭП приравнивается к собственноручной (следовательно, документ с такой подписью приобретает юридическую силу), если это регламентирует отдельный нормативный правовой акт или между участниками электронного документооборота (далее – ЭДО) заключено соглашение, где прописаны:

  • правила, по которым определяют владельца электронной подписи;
  • обязанность пользователя соблюдать конфиденциальность ключей (например, пароля в паре логин-пароль или СМС-кода).

Простую ЭП применяют при банковских операциях, на портале государственных услуг, на сайте Пенсионного фонда России, для аутентификации в информационных системах, а также для заверения документов внутри корпоративного ЭДО.

УСИЛЕННАЯ НЕКВАЛИФИЦИРОВАННАЯ ЭП

Усиленную неквалифицированную ЭП создают с помощью специальных программных средств путем криптографического шифрования. Ее выдают в удостоверяющем центре (далее – УЦ). Чтобы ее получить, нужно представить:

  • паспорт (для физического лица);
  • учредительные документы (если обращается организация);
  • доверенность (если заявление подает доверенное лицо).

После проверки документов заявитель получает сертификат ЭП и два ключа усиленной неквалифицированной ЭП: закрытый и открытый. В сертификате ЭП обязательно указано соответствие открытого ключа закрытому и владельцу усиленной неквалифицированной ЭП.

Закрытый ключ ЭП хранят на специальном ключевом носителе с ПИН-кодом или на компьютере в виде файла в зашифрованном формате. С помощью него владелец генерирует электронные подписи, которыми подписывает документы.

Открытый ключ ЭП доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом ЭП и позволяет всем получателям подписанного документа проверить подлинность ЭП.

Такой подписью можно подписывать документы, которые в бумажном виде заверяют печатью. Участники ЭДО должны обязательно заключить между собой соглашение о правилах использования усиленной неквалифицированной ЭП и взаимном признании ее юридической силы. Это нужно, чтобы электронные документы, заверенные такой подписью, считались равнозначными бумажным с собственноручной подписью.

Юридические лица применяют усиленную неквалифицированную ЭП:

  • внутри организации или при обмене электронными документами с проверенными контрагентами (если есть стороннее соглашение, подтверждающее юридическую силу такой подписи);
  • во время участия в официальных торгах;
  • при закупках товаров или работ.

УСИЛЕННАЯ КВАЛИФИЦИРОВАННАЯ ЭП

Усиленная квалифицированная ЭП – самый регламентированный государством вид подписи.

Усиленную квалифицированную ЭП выдают в аккредитованном УЦ. Чтобы ее получить, нужно заполнить заявку и предоставить:

  • паспорт и СНИЛС (физическое лицо);
  • учредительные документы (юридическое лицо);
  • заверенную выписку из ЕГРЮЛ или ЕГРИП (для участия в торгах), выписка должна быть выдана не более 6 месяцев назад;
  • доверенность (если заявление подает доверенное лицо).

Срок изготовления усиленной квалифицированной ЭП – два рабочих дня.

Так же, как и усиленная неквалифицированная ЭП, она создается с помощью криптографических алгоритмов и базируется на инфраструктуре ключей.

Код ключа – это длинная и сложная цепочка чисел и символов объемом до 256 бит. Запомнить или набрать электронный ключ невозможно, поэтому он сохраняется на цифровом носителе.

Хранить ключи усиленной квалифицированной ЭП нужно на токенах с USB-разъемом или смарт-картах.

Эти цифровые носители защищены паролями и сертифицированы в соответствии с требованиями Федеральной службы по техническому и экспортному контролю России и ФСБ России.

Усиленная квалифицированная ЭП обязательно имеет квалифицированный сертификат ключа проверки ЭП в бумажном или электронном виде. Сертификат подтверждает подлинность подписи, которую можно оспорить только судебным решением. Срок действия сертификата определяет аккредитованный УЦ, а его структура определена приказом ФСБ России № 795 от 27.12.2011.

Сертификат содержит информацию об уникальном номере, сроке действия и персональных данных владельца усиленной квалифицированной ЭП. Дополнительно сертификат может содержать:

  • точное название средств ЭП;
  • информацию об удостоверяющем центре, выдавшем сертификат;
  • перечень ограничений в использовании ЭП;
  • ключ для проверки.

Усиленная квалифицированная ЭП – это подпись, которая придает документам юридическую силу без дополнительных условий.

Документы, подписанные такой подписью, признают равнозначными подписанным собственноручно и используют в документах, которые сопровождают любые правовые отношения.

Исключения – случаи, при которых законодательство требует подавать документы только на бумажных носителях с оригинальной подписью.

Усиленную квалифицированную ЭП применяют:

  • при сдаче отчетности в контролирующие органы;
  • в работе с государственными информационными системами;
  • для работы с интернет-ресурсами;
  • при участии в качестве поставщика и заказчика в электронных торгах;
  • при обмене формализованными документами с ФНС России;
  • для ведения ЭДО внутри организации и с контрагентами;
  • для оформления удаленных трудовых отношений.

ПРЕИМУЩЕСТВА УСИЛЕННОЙ ЭП

1. Сформированный с помощью программы код нельзя запомнить или заново воспроизвести, поэтому подделать усиленную ЭП практически невозможно.

2. Усиленная подпись позволяет точно определить момент создания документа.

3. После подписания документа усиленной ЭП в него нельзя внести никакие изменения (даже автору документа): любые попытки внести их отразятся при расшифровке.

4. Усиленная ЭП позволяет пересылать документы по электронным каналам без передачи носителя информации.

5. Заверенный усиленной ЭП документ передается адресату в течение нескольких секунд, а все участники ЭДО имеют равные возможности для работы вне зависимости от их местоположения.

6. Риск потери документов при электронном обмене намного ниже, чем при передаче бумажных документов.

КАКОЙ ЭП ПОДПИСЫВАТЬ ДОКУМЕНТЫ?

Для подписания различных документов в организации могут использовать разные виды ЭП. Какой именно вид ЭП следует проставлять на том или ином документе организации, указано в Таблице 2.

НОВОЕ В ЗАКОНОДАТЕЛЬСТВЕ ОБ ЭП

В конце декабря 2019 года в связи с совершенствованием регулирования в сфере ЭП Госдума приняла в третьем чтении законопроект № 747528-7 «О внесении изменений в Федеральный закон “Об электронной подписи” и статью 1 Федерального закона “О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля”» (далее – законопроект № 747528-7), который направлен на создание более безопасной цифровой среды. На момент публикации статьи законопроект одобрен Советом Федерации и направлен на подпись Президенту России. Это значит, что текст предлагаемых поправок сформирован окончательно. Проанализируем, какие изменения нас ожидают с 01.07.2020.

Изменение 1: все участники электронного взаимодействия будут признавать усиленную квалифицированную ЭП

Сейчас каждая структура устанавливает свои требования сертификата ключа проверки ЭП. Организациям это не очень удобно, поскольку на разных порталах нужно получать свой вариант. Законопроект устраняет этот недостаток: теперь во всех информационных системах будет признаваться единая усиленная квалифицированная ЭП.

С момента вступления закона в силу ни один участник ЭДО не сможет ограничить признание усиленной квалифицированной ЭП на своей площадке. Ограничения можно будет устанавливать, только если это прямо предусмотрено Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон № 63-ФЗ).

Изменение 2: появится новый вид организаций – доверенные третьи стороны

Доверенные третьи стороны будут оказывать определенные услуги участникам электронного взаимодействия, а именно:

  • подтверждать действительность ЭП и сертификатов на момент создания документа, наличие аккредитации удостоверяющего центра, выдавшего сертификат;
  • проверять, все ли сертификаты, задействованные при подписании электронного документа, отвечают требованиям нормативных актов;
  • проверять полномочия участников ЭДО;
  • создавать квитанции, которые будут отражать результаты проверки квалифицированной ЭП и информацию о моменте ее подписания;
  • оказывать услуги по хранению данных.

В законопроекте № 747528-7 не указано прямо, что эти услуги будут оказывать на коммерческой основе. Скорее всего, за них придется платить, если организация хочет максимально обезопасить работу с ЭП.

Доверенные третьи стороны будут получать аккредитацию и нести ответственность за неисполнение своих обязанностей или нарушение порядка исполнения функций.

Изменение 3: ужесточатся требования к УЦ

Электронная подпись: безопасное использование и предотвращение рисков

Сертифицированные средства электронной подписи

К сожалению, мошенники идут в ногу со временем и находят возможности использовать продукты развития цифровой экономики в своих преступных целях. В некоторых случаях пострадать могут не клиенты удостоверяющих центров, а граждане, никогда не получавшие электронную подпись.

Весной 2019 года в российской прессе широко освещался случай отъёма квартиры мошенническим путём с использованием электронной подписи. Преступники переоформили квартиру на третье лицо без ведома собственника. О том, что жильё больше ему не принадлежит, хозяин московской квартиры узнал случайно, когда обнаружил имя нового владельца в квитанции на оплату коммунальных услуг.

В Росреестре пострадавшему сообщили, что электронная сделка по передаче имущества была проведена без нарушения законодательства. Оказалось, что он «подарил» свою квартиру жителю Уфы еще в октябре 2018 года.

В итоге выяснилось, что преступление крылось в незаконном оформлении электронной подписи, которой заверялся договор дарения: хозяин квартиры не оформлял ЭП и не получал носитель с ключами электронной подписи и сертификат, за него это сделал другой человек по поддельной доверенности.

Где злоумышленники получили паспортные данные владельца для фальсификации доверенности — неизвестно.

Выпустившая электронную подпись организация, так же, как и владелец квартиры, стала жертвой мошенников, получив от них поддельную доверенность. Законодательство позволяет удостоверяющим центрам выдавать ЭП по доверенности: согласно Федеральному закону от 06.04.

2011 №63-ФЗ «Об электронной подписи», заявитель представляет доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц, в оригинале или его надлежащим образом заверенной копии. Иных требований закон не содержит.

Фактически удостоверяющие центры имеют право выпускать электронную подпись по доверенности, не удостоверенной нотариально.

Что было бы, если бы закон запрещал выпуск сертификатов ЭП без нотариального заверения доверенности? Нотариальную доверенность подделать сложнее, но тоже возможно. К тому же запрет на выпуск сертификатов и ключей ЭП для юридических лиц без нотариально заверенной доверенности существенно осложнил бы документооборот и скорость работы организаций.

Тем не менее попытки ввести обязательное нотариальное удостоверение доверенностей на выпуск сертификатов электронной подписи уже предпринимаются на законодательном уровне.

В феврале 2018 года в Госдуму был внесён проект Федерального закона № 387130-7, который предусматривал, что при обращении в аккредитованный удостоверяющий центр потребуется представить не обычную доверенность, как сейчас, а нотариально удостоверенную. Однако после принятия в первом чтении законопроект находится без движения с июля 2018 года.

Защитить своё имущество от мошенничества с электронной сделкой с использованием ЭП, полученной по поддельной доверенности, всё же возможно. Для этого был принят Федеральный закон от 02.08.

2019 № 286-ФЗ «О внесении изменений в Федеральный закон „О государственной регистрации недвижимости“». Закон создан для того, чтобы защитить граждан от мошенничества в сфере недвижимости.

Теперь не получится подать в Росреестр электронное заявление о продаже недвижимости без специальной отметки в ЕГРН о возможности подачи документов в электронной форме.

Отметку проставят на основании заявления, поданного лично или отправленного по почте. При отсутствии такой отметки в регистрации сделки по передаче недвижимости будет отказано.

Исключение сделано для нотариальных сделок, для документов, подписанных электронной подписью, сертификат которой выдан Федеральной кадастровой палатой Росреестра, а также для сделок, которые поданы на регистрацию через банки, — их зарегистрируют без отметки.

Кроме того, законом предусмотрена обязанность Росреестра уведомлять владельца недвижимости о поступлении от его имени каких-либо электронных документов для продажи или ином отчуждении недвижимости.

Законодательные меры для защищённого использования ЭП

Законодательство стремится усовершенствовать установленные правила использования электронной подписи: в ноябре 2019 года Госдумой РФ в первом чтении принят законопроект, ужесточающий требования к удостоверяющим центрам. Речь идет о проекте федерального закона № 747528-7 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с совершенствованием регулирования в сфере электронной подписи».

В настоящее время проходят подготовку ко второму чтению в Госдуме принятые в первом чтении поправки в Федеральный закон от 06.04.2011 №63-ФЗ «Об электронной подписи». Историю подготовки законопроекта с поправками и основные этапы его изменений вы найдете в статье Елены Никоновой.

Как оценить надёжность удостоверяющего центра

Несмотря на то, что мошеннические схемы нацелены на все возможные уязвимые места в законодательстве, которые не ограничиваются сферой электронной подписи, выбор удостоверяющего центра остается одним из важнейших слагаемых безопасного использования ЭП. Поэтому вернёмся к удостоверяющим центрам и рассмотрим подробнее критерии их надёжности.

Законодательство, в рамках которого работают аккредитованные удостоверяющие центры, применяет к ним жёсткие требования, соответствие которым необходимо подтверждать раз в пять лет. Правила аккредитации удостоверяющего центра определяются статьей 16 Федерального закона №63 «Об электронной подписи». Среди главных условий для получения удостоверяющим центром аккредитации Минкомсвязи:

  • организация должна обладать чистыми активами стоимостью не менее 7 млн рублей;
  • у организации должно быть финансовое обеспечение ответственности за убытки, причинённые третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет этот УЦ. Сумма — не менее 30 млн рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности;
  • средства электронной подписи удостоверяющего центра должны быть сертифицированы ФСБ Российской Федерации;
  • удостоверяющий центр должен иметь порядок реализаций функций и исполнения обязанностей в виде регламента, правил и прочих нормативных документов, установленный в соответствии с требованиями, утверждёнными федеральным органом исполнительной власти.

Электронная подпись физического лица (часть 1)

Сертифицированные средства электронной подписи

Я расскажу о Федеральном законе от 6 апреля 2011 г. N63-ФЗ «Об электронной подписи»: что он, зачем он, а главное, как обывателю его использовать. Рассмотрю проблемы, с которыми я столкнулся, и их решения. Этот пост направлен больше в сторону социума, поэтому для технарей будет присутствовать некая избыточная информация.

Что вообще такое подпись? По Википедии это уникальная совокупность символов, написанных от руки, с применением определенных оформительных приёмов, служащая для идентификации человека. Мы подписываем документ, следовательно, соглашаемся с его содержимым, оставляя неповторимый отпечаток.

Электронная подпись по той же Вики это реквизит электронного документа, позволяющий установить:

  1. отсутствие искажения информации в электронном документе с момента подписания;
  2. принадлежность подписи владельцу.

Легко заметить аналогию.

Как подпись ручная является неотъемлемым реквизитом документа бумажного, так и подпись электронная является реквизитом электронного же документа. Также как подпись ручная является уникальным символом, так и электронная подпись тоже уникальна.

Как подписываются бумаги, я думаю, всем известно, поэтому вкратце опишу, как подписывается электронная информация. Для этого используется асимметричная криптография, она так называется потому, что ее алгоритмы используют не один, а сразу два ключа: известный всем, «открытый» и известный лишь одному, «закрытый».

А алгоритмы ассиметричной криптографии, соответственно, позволяют шифровать информацию одним из ключей и расшифровывать другим.

Для меня, владельца ключами, это дает некоторые преимущества:

  • С одной стороны, любой человек может зашифровать некую информацию моим открытым ключом и быть уверенным в том, что ее расшифровать смогу только я;
  • С другой стороны, я могу зашифровать информацию своим закрытым ключом, и любой человек, ухитрившийся расшифровать эту информацию моим открытым ключом, может быть уверен в том, что именно я, а никто другой, эту информацию шифровал.

Именно на этом, втором преимуществе и держится вся механика электронной подписи.

Перейдем к закону

Что такое «Электронная подпись» по законодателю? В терминах закона это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. то есть электронная подпись это всего лишь некая информация, связывающая два объекта: подписываемый документ и подписавшее лицо. Закон также вводит еще ряд определений:

Сертификат ключа проверки электронной подписиэлектронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Это не что иное, как сертификат открытого ключа.

Квалифицированный сертификат ключа проверки электронной подписи (он же квалифицированный сертификат) — сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.

Исключая бла-бла-бла, понимаем, что это тот же сертификат открытого ключа, который был выдан кем-то там очень важным, получившим аккредитацию.

Ключ электронной подписиуникальная последовательность символов, предназначенная для создания электронной подписи.

Это наш закрытый ключ.

Ключ проверки электронной подписиуникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

А это наш открытый ключ.

Здесь я сразу обращу внимание на разницу, потому что, как говорится, мухи отдельно, а котлеты отдельно. Открытый ключ это открытый ключ, просто последовательность символов, а сертификат открытого ключа это уже целый документ, состоящий из открытого ключа и кое-чего еще.

Удостоверяющий центрюридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей.

Аккредитация удостоверяющего центрапризнание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона.

Помните разницу между квалифицированным и неквалифицированным сертификатом? Квалифицированный сертификат может выдать только аккредитованный центр.

Средства электронной подписишифровальные криптографические средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

А это наш хард и софт.

Пропуская кучу строк закона об обязанностях всех перед всеми, скажу, что получить я захотел именно ключи для создания Квалифицированной электронной подписи.

Почему? Потому что информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе. Тут прелесть в том, что если законом явно не сказано «гони бумагу, дружок», то можно обойтись лишь электронным носителем, а это открывает просто чудовищные перспективы. Случай навскидку. При приеме на работу работодатель обязан ознакомить под роспись работника с действующими локальными нормативными актами. Теоретически, если предъявить паспорт, пенсионное, военник можно дистанционно, а трудовую книжку переслать почтой, то ознакомить под роспись с каким-либо документом до изобретения ЭП, можно было только локально. А значит, мне для расширения моих возможностей нужно получить ключи.

Получение

Как я это делаю? Я смотрю в статью 18 закона и вижу, что для того, чтобы выдать мне сертификат, удостоверяющий центр должен лишь установить мою личность, а я, в свою очередь, предоставить ему два документа: паспорт и свидетельство обязательного пенсионного страхования. К счастью, оба эти документа у меня есть.

Теперь остается дело за малым: найти ближайший аккредитованный удостоверяющий центр. В самом законе то место, где искать, описано больно витиевато: “Аккредитация удостоверяющих центров осуществляется уполномоченным федеральным органом“.

Где этот орган? Как его найти?

Я решил для начала поковыряться на сайте Минкомсвязи РФ и сразу же попал в точку. В соответствии с указом президента от 25.08.2010г.

№1060 «О совершенствовании государственного управления в сфере информационных технологий», функции уполномоченного органа в области использования ЭЦП, в том числе ведение ЕГР сертификатов УЛ УЦ, возложены на Министерство связи и массовых коммуникаций Российской Федерации.

Но далее государство подкладывает обывателю свинью.

Свинья 1. На сайте профильного органа исполнительной власти отсутствует информация о получении ключей физическими лицами

Много, достаточно много информации по старому закону, тому самому, который обошелся без присутствия в нем физических лиц, а информации по новому закону ноль.

Ничего, я знаю про существование 59-ФЗ, поэтому пишу обращение в Минкомсвязи, тем более что восьмая статья закона «Об электронной подписи» прямо обязывает их хранить реестр аккредитованных удостоверяющих центров.

В этот же день, к счастью, я совершенно случайно узнал, что у нас в Питере выдает ключи ОАО Ростелеком, поэтому в тот же вечер отправился на Невский, 88 в центр обслуживания.

Десять минут времени, 660 рублей денег, четыре-пять подписей под заявлением, разрешением на обработку персональных данных, ознакомлении со статьями почему-то старого закона и бумажной версией сертификата, и вот я счастливый обладатель маленького usb-устройства, напоминающего flash-накопитель, содержащего ключи и сертификат для создания электронной подписи. А спустя полчаса, дома, я, потирая руки, воткнул ключик в usb-порт и получил новую свинью от государства.

Свинья 2. В Windows XP eToken без дополнительных манипуляций не работает

Статьей 18-й закона предусмотрено, что выдача квалифицированного сертификата сопровождается выдачей руководства по обеспечению безопасности. В моем случае это была бумаженция, в которой все инструкции по безопасности ограничивались надписью «при первом использовании, смените ПИН с 1234567890 на иной».

Законодатель не посчитал необходимым выдачу инструкции по эксплуатации, поэтому я начал поиск с сайта госуслуг, мне казалось, я там видел что-то такое об электронной подписи.

И действительно, на сайте предусмотрен вход по ЭП, а также довольно быстро нашлись CCID драйвер, плагин к браузеру для доступа и даже небольшой документ «Инструкция пользователя по работе с ЭП». Обратите внимание на раздел 3, «Подписание электронных документов».

Оказывается тем ключиком, что я получил, можно подписывать лишь определенные услуги (кстати, та услуга, которая указана в инструкции, у меня отсутствует) лишь на сайте государственных услуг и лишь через браузер.

Свинья 3. Отсутствие средств создания электронной подписи вне сайта

Сам закон не накладывает ограничений на использование электронной подписи, я получил средства создания электронной подписи абсолютно законным путем, а, следовательно, имею право использовать ее везде, где пожелаю.

В следующей части, технической, я опишу, как обходится третья свинья, будет некоторое количество кода, терминологии, и даже один рабочий проект.

А в третьей части я планирую вернуться обратно, к жгучей смеси социалки и юриспруденции, и устроить различным ведомствам нашей необъятной родины стресс-тест заявлениями, подписанными моей электронной подписью.

  • электронная подпись
  • электронное правительство
  • федеральный закон
  • госуслуги

Электронная подпись – где и как получить и поставить ЭЦП?

Сертифицированные средства электронной подписи

Чтобы поставить электронную подпись (ЭП), нужно владеть ключом ЭП. Ключ ЭП называется закрытым ключом, а ключ проверки ЭП — открытым. Для создания ЭП используется специальный инструмент — средство ЭП.

Виды электронной подписи

Различают два вида ЭП:

Простая ЭП используется в случаях, когда на аналогичном бумажном документе не требуется наличие печати. Такая подпись может только подтвердить личность подписанта.

Для усиленной неквалифицированной ЭП характерен ряд принципиальных качеств:

1) получается в результате криптографического преобразования информации с использованием ключа ЭП;

2) благодаря средству ЭП и ключу проверки помогает определить авторство электронного документа и установить изменения в документе после его подписания;

3) создается с использованием средств ЭП.

Если к этим качествам добавить еще два, то получится усиленная квалифицированная ЭП. При этом будет ошибкой считать, что усиленная квалифицированная ЭП является в то же время усиленной неквалифицированной ЭП.

О каких двух дополнительных признаках идет речь?

1) ключ проверки ЭП должен содержаться в квалифицированном сертификате ключа проверки ЭП;

2) средство ЭП, которое используется для создания и проверки, должно получить подтверждение соответствия требованиям, предусмотренным законом и ФСБ для средств ЭП.

Усиленная квалифицированная ЭП предоставляет ее владельцу максимум возможностей с правовой точки зрения. В то же время к ней предъявляются высокие требования.

Сертификат ключа проверки электронной подписи

В Федеральном законе от 06.04.2011 № 63-ФЗ говорится о том, что для подтверждения принадлежности ключа проверки ЭП автору документа сертификат может не использоваться. Сейчас он требуется только для квалифицированной ЭП.

Квалифицированный сертификат включает следующую информацию:

1) уникальный номер квалифицированного сертификата, даты начала и окончания его действия;

2) для физлица: ФИО и СНИЛС владельца сертификата;

для юрлица: наименование, место нахождения, ИНН и ОГРН владельца сертификата;

3) ключ проверки ЭП;

4) наименования средств ЭП и средств удостоверяющего центра (УЦ), с помощью которых созданы ключ ЭП, ключ проверки ЭП УЦ, квалифицированный сертификат;

6) наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат, номер квалифицированного сертификата УЦ;

7) ограничения использования квалифицированного сертификата.

Нужна электронная подпись? Подберите сертификат под вашу задачу 

Требования к форме квалифицированного сертификата установлены Приказом ФСБ РФ от 27.12.2011 № 795. Для ограничения использования сертификата есть, например, дополнение keyUsage, содержащее серию флагов, с помощью которых устанавливается, где ключ проверки электронной подписи не может применяться.

Флаг keyCertSign в дополнении keyUsage означает, что область использования ключа включает проверку подписей под квалифицированными сертификатами. Этот флаг не поднимается в квалифицированных сертификатах клиентов УЦ.

А вот в квалифицированном сертификате, который выдан УЦ Минкомсвязи, этот флаг поднимается, что позволяет УЦ создавать свою квалифицированную ЭП в сертификатах своих клиентов.

Аккредитованный удостоверяющий центр

Как уже было сказано выше, сертификат ключа проверки ЭП выдает УЦ в электронном или бумажном виде. УЦ, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным УЦ и получает право выдавать квалифицированные сертификаты (список аккредитованных УЦ).

При выдаче квалифицированного сертификата аккредитованный УЦ должен не только установить личность обратившегося лица, но и внести в специальную базу данных (реестр сертификатов) серию, номер и дату выдачи документа, использовавшегося для установления личности.

Аккредитованный УЦ должен регулярно публиковать специальную выписку из реестра сертификатов (список отозванных сертификатов), содержащую номера квалифицированных сертификатов, которые прекратили действие по решению суда или по обращению владельца сертификата.

Подробно об обязанностях и функционале аккредитованного УЦ написано в ст. 15 Федерального закона от 06.04.2011 № 63-ФЗ.

Чтобы получить электронную подпись, для начала нужно определить, какой сертификат ЭП вам нужен для работы, с какой целью вы будете его использовать. Если вы планируете получить сертификат в Удостоверяющем центре СКБ Контур, то воспользуйтесь мастером подбора сертификата и заполните заявку на сайте.

Подготовить необходимые документы перед визитом в центр выдачи можно с помощью мастера подбора документов.

Для получения сертификата придется лично прийти в центр выдачи с оригиналами документов или их заверенными копиями, оплаченным счетом или копией платежного поручения, заверенной банком.

Как подписать документ электронной подписью

Допустим, вы получили квалифицированный сертификат электронной подписи и хотите начать им пользоваться. Что для этого нужно?

  • Прежде чем подписать документ ЭП, убедитесь в его окончательной версии. После того, как будет создана ЭП, внести в него изменения не получится.
  • Позаботьтесь о наличии средств ЭП (в УЦ СКБ Контур настройка компьютера для работы с ЭП проходит автоматически) и программ для создания ЭП.

Для подписания ЭП документов формата Word и Excel есть несколько возможностей. Первая предполагает установку и использование платного программного модуля КриптоПро Office Signature (бесплатно он доступен только в рамках тестового периода).

Однако у этого варианта есть несколько особенностей. Во-первых, алгоритм подписания в разных версиях Word отличается. Во-вторых, если создать подпись в одной версии программы, а проверять в другой, то результат может оказаться некорректным.

Модуль КриптоПро PDF используется для создания и проверки ЭП в Adobe Acrobat, Adobe Reader и Adobe LiveCycle ES.

Установка специальной программы (например, КриптоАРМ) позволит подписывать документы любого формата: rar,.jpeg,.png,.ppt, видео, базы данных и т.д. Но бесплатно доступна только базовая версия КриптоАРМ Старт, в которой заложен минимум возможностей. Остальные версии — платные, и цена зависит от функциональности.  

Наконец, с помощью бесплатного веб-сервиса Контур.Крипто можно подписать документ любого формата без необходимости установки специальных программ. Сервис работает с подписью, выпущенной любым УЦ. С помощью Контур.

Крипто вы можете создать и проверить ЭП, зашифровать и расшифровать электронный файл, а также подписать пакет файлов или архивов, создать подпись документа двумя и более лицами. При этом в сервисе есть ограничение на вес документа — до 100 Мб, и он работает только в Microsoft Windows.

Кроме того, сервис позволяет создать только отсоединенную подпись. Проверить подпись, созданную в Контур.Крипто, можно в любой программе, которая работает с отсоединенными ЭП.

Токены: сертифицированные или несертифицированные, вот в чем вопрос | Портал Про ЭЦП

Сертифицированные средства электронной подписи

Подключив специалистов юридической сферы, редакция Единого портала Электронной подписи подготовила статью, в которой разъясняется вопрос сертификации токенов. Обязательно ли использовать сертифицированные носители? Какие токены рекомендуют профессионалы рынка?

В рубрику «Вопрос эксперту» на портале iEcp.

ru неоднократно поступали обращения с просьбой разъяснить: обязательно или нет использовать сертифицированные токены для записи ключей электронной подписи? В каких законодательных актах это отражено? Что подразумевают под собой процедуры сертификации, проводимые Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю?

Обязательно ли всегда использовать сертифицированные токены?

Дискуссии по этому вопросу возникали в интернете на различных тематических форумах и в живом общении специалистов сферы электронного взаимодействия.

Пресекая дальнейшие споры, сообщаем, что в ФЗ-63 «Об электронной подписи» прямого указания на обязательность использования сертифицированных носителей для ключа электронной подписи нет.

Казалось бы, это и есть ответ на вопрос, но не все так просто.

Что такое сертификация ФСБ и ФСТЭК?

Сертификат ФСТЭК — это документ, который подтверждает, что программное обеспечение токена не имеет «недекларированных возможностей1», а устройство может применяться в качестве средства защиты данных от несанкционированного доступа, а также для хранения информации (например, ключевых контейнеров2) и аутентификации3.

Сертификат ФСБ — это документ, который подтверждает, что характеристики токена позволяют безопасно генерировать ключи, подписывать документы электронной подписью и проверять уже поставленную ЭП, а также шифровать информацию, другими словами, использовать токен в качестве СКЗИ (средства криптографической защиты информации) без приобретения дополнительного ПО.

Токен может иметь как один сертификат, который позволит ему решать одну задачу, так и оба.

Когда обязательно использовать сертифицированные токены?

На текущий момент регулирование обязательного применения токенов представлено в разных законодательных актах и никак не отражено в «главном» федеральном законе об ЭП (ФЗ-63 «Об электронной подписи» от 06.04.2011 года).

Основные правила, когда обязательно использовать сертифицированные токены:

  1. Носитель будет использоваться не только в качестве места записи и хранения ключей электронной подписи, но и в качестве средства электронной подписи для создания квалифицированной ЭП (КЭП) без приобретения отдельного СКЗИ — согласно ФЗ-63 для создания и проверки КЭП необходимо использовать исключительно соответствующие требованиям, указанным в законе, средства ЭП, а подтверждение соответствия требованиям осуществляется ФСБ России (63-ФЗ, ст.8 ч.5), соответственно, необходим сертификат ФСБ.
  2. Планируется участие в электронных аукционах, проводимых федеральными ЭТП — в соответствии с Регламентом получения сертификатов ключей подписей и использования электронной цифровой подписи (Приложение №1, п. 3, пп. 3.1.) необходим сертификат ФСТЭК или ФСБ.
  3. Электронная подпись предназначена для участия в электронных аукционах на площадках, входящих в АЭТП — исходя из Регламента авторизации электронных торговых площадок в информационной среде НКО «Ассоциация Электронных Торговых Площадок» (Приложения №6, п. 3, пп. 3.1.) необходим сертификат ФСТЭК или ФСБ.
  4. ЭП планируется использовать участниками внешнеэкономической деятельности и лицами, осуществляющими деятельность в сфере таможенного дела, для информационного взаимодействия с таможенными органами Российской Федерации и при условии, что носитель предоставляется удостоверяющему центру самим заявителем — в соответствии с Приказом Федеральной таможенной службы №2187 от 25.10.2011 года (IV.15) необходим сертификат ФСТЭК или ФСБ.
  5. Данное требование прописано в Регламенте информационной системы или прочих нормативных документах, регулирующих взаимодействие с ней. На текущий момент огромное количество ИС предоставляют возможность взаимодействовать с ними посредством электронной подписи. К сожалению, единых правил использования токенов в них законодательно не закреплено, и регламенты разрабатываются в индивидуальном порядке в зависимости от требований к безопасности информационного обмена, от технических и прочих особенностей каждой конкретной системы. Важно помнить, что применение сертифицированных токенов никогда не будет нарушением, в отличие от несертифицированных носителей, возможность использования которых должна быть обозначена в Регламенте. В качестве примера приводим 2 информационные системы:
    • носитель планируется использовать для работы с ЕГАИС — в соответствии с Требованиями к аппаратному крипто-ключу, размещенными на сайте Федеральной службы по регулированию алкогольного рынка wiki.egais.ru, для подключения к указанной системе требуется обязательное использование ключевых носителей со встроенным СКЗИ, а значит, согласно первому правилу, необходим сертификат ФСБ.
    • при взаимодействии с ФГИС Росаккредитация — в соответствии с Порядком получения доступа к информационным ресурсам Федеральной государственной информационной системы Федеральной службы по аккредитации, которые представлены на сайте fsa.gov.ru, необходим сертификат ФСТЭК или ФСБ, дополнительно рекомендован сертификат ФСБ.

Когда можно использовать несертифицированные токены?

Использование несертифицированных токенов допускается в случаях, не попадающих под правила, перечисленные выше, но владельцу электронной подписи важно понимать риски:

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.