Анонсы

Электронная подпись: зачем она нужна, как получить ЭП физическому и юридическому лицам, ИП

Электронная подпись (ЭП) — то же самое, что обычная подпись, но в электронном виде. Она приравнивает любой электронный документ к бумажному оригиналу.

Павел Овчинников

работает с электронными документами

Что такое электронная подпись

По сути подпись — это специально сгенерированный файл с цифрами, который крепится к электронному документу. Этот файл отвечает на три главных вопроса:

  1. Кто подписал документ?
  2. Когда подписали документ?
  3. Есть ли у этого человека полномочия?

Электронная подпись гарантирует, что документ подписал владелец электронной подписи. А неквалифицированная и квалифицированная подписи покажут, изменился ли документ после подписания.

Зачем нужна электронная подпись

Электронная подпись понадобится тем, кто собирается использовать в работе электронные документы, сдавать отчетность и получать услуги в интернете.

Вот как используют электронную подпись юридические лица:

  1. Работают с электронными документами, которые не надо печатать на бумаге. Государство признает такие документы имеющими юридическую силу.
  2. Передают электронные налоговые декларации в ИФНС.
  3. Оформляют электронные заявки на патенты, сделки с собственностью и др.
  4. Участвуют в электронных торгах, где подписывают заявки на тендеры и тендерную документацию в электронном виде.
  5. Подписывают документы в системе дистанционного банковского обслуживания, где можно удаленно оформить платеж и получить другие банковские услуги.
  6. Подписывают служебные электронные документы внутри организации.
  7. Регистрируют электронные сделки с недвижимостью.
  8. Оформляют трудовые отношения с удаленным сотрудником.

Все эти операции призваны облегчить жизнь представителям бизнеса — экономить на документообороте, меньше бегать по инстанциям, получать государственные услуги удаленно и т. п.

А вот что могут сделать с электронной подписью обычные граждане:

  1. Получить государственные услуги через интернет — например, оформить регистрацию или обращение к муниципальным властям с помощью портала госуслуг.
  2. Подать электронное заявление на поступление в вуз, записать ребенка в садик или школу.
  3. Обмениваться документами с удаленным работодателем.
  4. Зарегистрировать или получить патент или разрешение — например, на строительные работы.
  5. Подать судебный иск или жалобу в электронном виде. Сделать это можно через систему ГАС «Правосудие».

Обычно физлица делают электронную подпись, чтобы передавать документы госслужбам — например, удаленно подают заявление на регистрацию по месту жительства или отправляют иск или доверенность в суд. Но на самом деле электронная подпись может заменить рукописную в любых случаях. Вот как, к примеру, ее можно использовать:

  1. Подписать долговую расписку, если хотите занять денег у человека из другого города.
  2. Подать иск, ходатайство или жалобу.
  3. Заверить доверенность, в том числе ту, для которой нужен нотариус.
  4. Заключить договор: купли-продажи, на оказание услуг или любой другой.
  5. Подписать любые документы. Многие из нас сталкивались, например, с удаленным банковским обслуживанием. Оно все построено на принципах электронной подписи. Ввод кода, полученного по смс, равнозначен подписанию документа.
  6. Решить любой вопрос с налоговой службой. ФНС сама оформляет электронную подпись для решения таких вопросов, ей можно подписывать любой документ для налоговой и не ходить в ФНС. Это может быть, например, заявление на налоговый вычет, заявка о предоставлении льгот или жалоба на действия сотрудников ФНС.
  7. Обезопасить деловую переписку. Взломать почтовый ящик проще, чем подделать ЭП. Если два человека договорились между собой о том, что будут считать достоверными письма, подписанные электронными подписями, им никто не мешает это делать.

О том, как еще обычный человек может использовать электронную подпись на практике, мы рассказывали в другой статье.

Объясняем сложное простым языком

Разбираем законы, которые касаются вас и ваших денег. Раз в месяц присылаем письма с самым важным

Как устроена ЭП

Файл электронной подписи генерирует специальная программа — средство криптографической защиты информации (СКЗИ). Когда вы подпишете документ электронной подписью, эта программа просканирует документ. В итоге она создаст уникальное сочетание данных документа — хэш-сумму. Она шифруется с помощью закрытого ключа — особой последовательности символов, которая формирует файл подписи. Ключ выдают владельцу подписи.

Сертификат закрытого ключа хранится у владельца на любом удобном носителе: на компьютере, внешнем диске или токене — специальной защищенной флешке, которую можно носить с собой. Еще подпись может быть на диске, смарт-карте, симке, в облачном хранилище и т. д.

Просмотреть подпись можно с помощью сертификата открытого ключа — электронного документа, в котором есть следующая информация:

  1. Кто владеет подписью.
  2. Какие у него полномочия.
  3. Какая организация выдала подпись и какие у нее полномочия.

Программа СКЗИ проверяет хэш-сумму и сравнивает ее с содержанием документа. Если все совпало, документ не меняли и подпись цела. Несовпадения означают, что документ изменили после того, как подписали. Тогда подпись автоматически считается недействительной и документ теряет юридическую силу.

Так выглядит токен — защищенная флешка, на которой хранят сертификат электронной подписи. Источник: Википедия

Виды ЭП и их отличия

В законе описаны несколько видов электронной подписи: простая, неквалифицированная и квалифицированная.

Простая электронная подпись самая доступная. Это логин и пароль, которые подтверждают, что пользователь авторизовался в системе. C помощью этой подписи можно подтвердить обращение в органы власти или подписать заявку на услугу. Еще ей можно пользоваться во внутреннем документообороте компании и подписывать служебные письма.

Например, вы заходите в мобильный банк при помощи логина и пароля или подтверждаете оплату в интернете кодом из смс. По условиям договора с банком такая подпись равнозначна обычной подписи.

Простая электронная подпись уязвима, поэтому ее применяют не везде. Если вы работаете с имущественными и финансовыми документами, то лучше ее не использовать. Она подтвердит, что документ подписали, но не гарантирует, что его не меняли и что его подписал нужный человек. Это будет проверять арбитражный суд, если возникнет спорная ситуация.

Неквалифицированная электронная подпись формируется с помощью средств шифрования. Средства шифрования — это специальная программа, имеющая сертификат ФСБ. Считается, что подделать подпись, созданную с помощью такой программы, невозможно или очень сложно. Эта подпись говорит: документ подписал такой-то человек в такое-то время и не менял его после.

Эту подпись используют в электронном документообороте. Ей подписывают договоры, контракты и агентские отчеты, но только если стороны заключили соглашение о доверии таким подписям и электронным документам.

Неквалифицированные подписи можно генерировать внутри компании или сервиса с помощью бесплатных инструментов. Государство не может контролировать неквалифицированную подпись: ее может выдать кто угодно, ей может владеть кто угодно и она не защищена средствами, которым доверяет государство. Именно поэтому в судебных инстанциях не принимают такие подписи.

Квалифицированная электронная подпись — самый надежный вид электронной подписи. От неквалифицированной ее отличает то, что выдают ее в удостоверяющем центре. Эта организация уполномочена выдавать электронные подписи и осуществлять услуги по криптозащите информации. Она прошла сертификацию ФСБ и аккредитацию у Минкомсвязи, и ей доверяют государственные органы.

Целостность подписи проверяют двумя способами:

  1. Смотрят список недействительных сертификатов — его можно скачать на сайте удостоверяющего центра. Это помогает определить, была ли подпись действительна, когда ее использовали.
  2. Проверяют штамп времени. Этот показатель говорит, когда документ подписали.

Так определяют, что подпись не была утеряна, украдена или просрочена, когда ее использовали.

Сертификат квалифицированной подписи необходимо обновлять каждый год: помнить, когда она перестает действовать, и вовремя заказывать перевыпуск.

У квалифицированной подписи есть два важных преимущества.

Взломать квалифицированную подпись практически невозможно — это потребует слишком больших вычислительных ресурсов. Если вы потеряете закрытый ключ, по вашему сигналу удостоверяющий центр отзовет сертификат — подписывать документы с его помощью будет нельзя.

Ее можно использовать в любых операциях с электронными документами. Ей доверяют арбитражный суд и налоговая служба, поэтому чаще всего ей подписывают электронные счета-фактуры, налоговые декларации и договоры.

Где можно использовать электронную подпись

ПростаяНеквалифицированнаяКвалифицированная
Внешние и внутренние электронные документы+++
Документооборот с физическими лицами+++
Госуслуги++
Документы для ИФНС в личном кабинете налогоплательщика++
ПФР и ФСС+
Арбитражный суд+

Внешние и внутренние электронные документы

ПростаяНеквалифицированнаяКвалифицированная

Документооборот с физическими лицами

ПростаяНеквалифицированнаяКвалифицированная

Госуслуги

ПростаяКвалифицированная

Документы для ИФНС в личном кабинете налогоплательщика

НеквалифицированнаяКвалифицированная

ПФР и ФСС

Квалифицированная

Арбитражный суд

Квалифицированная

Как начать работать с квалифицированной электронной подписью

Чтобы начать работать с электронной подписью, необходимо подготовить свое рабочее место и приобрести сертификат подписи. Сертификат выдают быстро — в течение часа.

Рабочее место — это ваш компьютер, на котором вы будете подписывать документы. На нем должна быть операционная система Виндоус или Мак-ос и браузер с доступом в сеть. Линукс тоже подойдет, но его понадобится настроить. Это могут бесплатно сделать в удостоверяющем центре, но туда, возможно, придется везти компьютер.

Еще для работы с квалифицированной подписью надо будет установить программу для криптозащиты информации (СКЗИ). Самые распространенные средства криптозащиты в России — это «Криптопро CSP», Signal-com CSP, «Лисси CSP», Vipnet CSP. Все они примерно одинаковые.

Какое конкретно СКЗИ потребуется и какие настройки будут нужны, вам скажут в удостоверяющем центре или МФЦ.

Как приобрести подпись юридическому лицу и ИП

Юридические лица получают квалифицированные сертификаты подписи в удостоверяющем центре или МФЦ.

Найти удостоверяющий центр можно в списках аккредитованных центров на сайте Минкомсвязи или на сайте e-trust.gosuslugi.ru. Выбирайте тот центр, у которого есть филиал в вашем городе. Удаленно электронную подпись получить нельзя, придется идти за подписью лично.

Чтобы получить электронную подпись, вам потребуются следующие документы:

  1. Заявление на изготовление электронной подписи. В удостоверяющем центре вам выдадут форму заявления, а в МФЦ вы заполните заявление на сайте госуслуг.
  2. Выписка из ЕГРЮЛ или ЕГРИП. Получить ее можно на сайте ФНС.
  3. Копия устава для юридических лиц.
  4. Паспорт — для ИП.
  5. СНИЛС — для ИП.

Если подпись получает представитель, ему дополнительно потребуются:

  1. Доверенность уполномоченного представителя на получение подписи.
  2. Паспорт получателя.

Когда вы подпишете заявление, надо будет оплатить счет. Лучше платить наличными или банковской картой. Если будете платить банковским переводом, вам придется ждать, когда оплата пройдет. Срок ожидания зависит от того, как быстро банк обработает платеж: можно прождать несколько минут, а можно и несколько дней.

В разных регионах сертификат стоит по-разному. В Москве — от 1650 рублей, а в Хакасии, например, это может стоить от 1300 рублей.

После оплаты вам запишут электронную подпись на токен. Его можно купить в удостоверяющем центре за 1200—1300 рублей. С этого момента сертификат начинает действовать.

Как приобрести подпись физическому лицу

Обычные граждане могут пользоваться любой подписью — простой, неквалифицированной и квалифицированной. Как правило, простая подпись используется для авторизации на госуслугах, где можно заказывать информационные услуги в электронном виде. Неквалифицированной подписью можно пользоваться по договоренности для обмена документами с юридическими лицами. А с помощью квалифицированной подписи получают госуслуги, связанные с имущественными операциями. Например, ею можно подписать договор купли-продажи квартиры и подать его на государственную регистрацию. Или оформить юрлицо без посещения налоговых органов, назначить его директора и других должностных лиц.

Физическим лицам проще всего получить подпись в ближайшем МФЦ: рядом может не быть удостоверяющих центров, а МФЦ найдется всегда. Для этого надо записаться на прием и подготовить следующие документы:

  1. Заявление на изготовление квалифицированного сертификата — шаблон дадут в МФЦ.
  2. Паспорт.
  3. СНИЛС.
  4. Свидетельство о присвоении ИНН.

В Москве электронная подпись для граждан стоит 900—950 рублей. Вместе с носителем цена составит 1500—1600 Р. Отдельно носитель будет стоить от 1500 рублей. Эта цена отличается в зависимости от тарифа удостоверяющего центра и того, насколько защищенную подпись вы хотите использовать.

Расходы на электронную подпись в Москве для физических лиц — 2150 Р

Токен1200 Р разово
Электронная подписьот 950 Р в год
Программа СКЗИР

Электронная подпись

от 950 Р в год

Расходы на электронную подпись в Москве для юридических лиц — 2700—3600 Р

Токен1200 Р разово
Электронная подписьот 1500 Р в год
Программа СКЗИР или коммерческая СКЗИ на выбор от 900 Р

Электронная подпись

от 1500 Р в год

Программа СКЗИ

Р или коммерческая СКЗИ на выбор от 900 Р

Как подписать документ электронной подписью

Ваше СКЗИ добавляет в контекстное меню вашей операционной системы — Виндоус или Мак-ос — свой специальный раздел. Таким образом, можно подписать любой документ просто нажатием правой кнопки мыши. На сайте каждого СКЗИ можно найти подробную инструкцию, как подписывать документ.

Например, так работает процесс подписания с помощью программы «Крипто-АРМ»:

  1. Кликните правой кнопкой мыши по документу.
  2. Найдите пункт меню «Крипто-АРМ» и нажмите «Подписать».
  3. После этого запускается мастер создания электронной подписи, который подробно объяснит все дальнейшие шаги.
  4. В итоге рядом с документом появится новый файл документ.doc.sig — это и есть файл электронной подписи.
Запуск мастера создания электронной подписи с помощью «Крипто-АРМ» в Виндоус

Документы «Микрософт-офис» подписать еще проще:

  1. В ворде во вкладке «Файл» откройте пункт «Сведения».
  2. Найдите кнопку «Защита документа». В экселе она будет называться «Защита книги», в пауэпоинте — «Защита презентации».
  3. Далее в открывшемся меню нажмите кнопку «Добавить цифровую подпись».
  4. Выберите из списка сертификат подписи и нажмите «Ок».

В результате документ становится недоступным для изменения, а рядом с ним в папке появится файл подписи в формате документ.doc.sig.

Если у вас установлена СКЗИ и есть подпись, то подписать документ можно прямо в ворде

Документы можно подписывать в электронной почте и облачных хранилищах — например, в «Дропбоксе» и на «Яндекс-диске». Для этого нужно установить специальное расширение для браузера. Такое расширение добавляет в интерфейс вашего файлового хранилища кнопку «Подписать».

В «Гугл-докс» плагины для электронной подписи можно найти во вкладке «Дополнения».

Чтобы подписать документ в «Гугл-докс» с помощью плагина eSignGSA, найдите плагин в разделе «Дополнения» и установите его. Затем нажмите Start

Как проверить подлинность подписи

Чтобы проверить подлинность подписи и неизменность документа, воспользуйтесь любым из бесплатных сервисов:

  1. Портал «Криптопро».
  2. Сайт госуслуг.
  3. Сервис «Контур-крипто».
На сайте «Криптопро» укажите путь к подписанному документу и подписи в специальном окне, и программа выдаст результат
На сайте госуслуг вам нужен третий пункт — «ЭП отсоединенная, в формате PKCS#7». Загрузите документ, который хотите проверить, в формате PDF или xml и файл с подписью в формате xml.sig или pdf.sig. Названия документа для проверки и файла с подписью должны быть одинаковы. Затем введите проверочный код с изображения и кнопку «Проверить»
Сервис «Контур-крипто» легко установить только на компьютерах под Виндоус. Для работы потребуется скачать плагин для браузера, это происходит прямо через интерфейс сервиса, ничего сложного. Компьютеры на Мак-ос и Линуксе придется везти в удостоверяющий центр, чтобы там их настроили особым образом — тогда программа будет работать

Можно ли передать подпись другому

Теоретически можно. По закону вы должны не допускать того, чтобы подпись попала в чужие руки без вашего согласия. Получается, другой человек может использовать вашу подпись, если вы согласились на это. Но ответственность за любой подписанный документ все равно несет владелец подписи.

Что делать, если потеряли электронную подпись

Если вы потеряли ключ от подписи или его украли, сразу обратитесь в удостоверяющий центр или МФЦ, который выдавал вам сертификат. Центр отзовет ваш сертификат, чтобы его не могли использовать мошенники. Еще обязательно сообщите об этом контрагентам, чтобы они знали, что вашей утерянной подписью могут воспользоваться злоумышленники.

Восстановить утерянный сертификат или ключ ЭП невозможно. Нужно получать новый: собирать документы и идти в удостоверяющий центр.

Как перевыпустить сертификат

Срок действия сертификата электронной подписи — год. Когда он подойдет к концу, выпустите новый сертификат. Для этого обратитесь с заявлением в удостоверяющий центр или МФЦ. Если в документах ничего не изменилось, нести их снова не нужно. Если какие-то документы поменялись, нужно принести оригиналы только этих документов.

Для этого термина существует аббревиатура «ЭП», которая имеет и другие значения: см.

ЭП (значения)

.

Электро́нная по́дпись (ЭП), Электро́нная цифровая по́дпись (ЭЦП), Цифровая по́дпись (ЦП) позволяет подтвердить авторство электронного документа (будь то реальное лицо или, например, аккаунт в криптовалютной системе). Подпись связана как с автором, так и с самим документом с помощью криптографических методов, и не может быть подделана с помощью обычного копирования.

ЭЦП — это реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).

Широко применяемая в настоящее время технология электронной подписи основана на асимметричном шифровании с открытым ключом и опирается на следующие принципы:

  • Можно сгенерировать пару очень больших чисел (открытый ключ и закрытый ключ) так, чтобы, зная открытый ключ, нельзя было вычислить закрытый ключ за разумный срок. Механизм генерации ключей строго определён и является общеизвестным. При этом каждому открытому ключу соответствует определённый закрытый ключ. Если, например, Иван Иванов публикует свой открытый ключ, то можно быть уверенным, что соответствующий закрытый ключ есть только у него.
  • Имеются надёжные методы шифрования, позволяющие зашифровать сообщение закрытым ключом так, чтобы расшифровать его можно было только открытым ключом[Прим. 1]. Механизм шифрования является общеизвестным.
  • Если электронный документ поддается расшифровке с помощью открытого ключа[Прим. 2], то можно быть уверенным, что он был зашифрован с помощью уникального закрытого ключа. Если документ расшифрован с помощью открытого ключа Ивана Иванова, то это подтверждает его авторство: зашифровать данный документ мог только Иванов, т.к. он является единственным обладателем закрытого ключа.

Однако шифровать весь документ было бы неудобно, поэтому шифруется только его хеш — небольшой объём данных, жёстко привязанный к документу с помощью математических преобразований и идентифицирующий его. Шифрованный хеш и является электронной подписью.

В 1976 году Уитфилдом Диффи и Мартином Хеллманом было впервые предложено понятие «электронная цифровая подпись», хотя они всего лишь предполагали, что схемы ЭЦП могут существовать.[1]

В 1977 году Рональд Ривест, Ади Шамир и Леонард Адлеман разработали криптографический алгоритм RSA, который без дополнительных модификаций можно использовать для создания примитивных цифровых подписей.[2]

Вскоре после RSA были разработаны другие ЭЦП, такие, как алгоритмы цифровой подписи Рабина, Меркле.

В 1984 году Шафи Гольдвассер, Сильвио Микали и Рональд Ривест первыми строго определили требования безопасности к алгоритмам цифровой подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям (Криптосистема Гольдвассер — Микали).[3]

В 1994 году Главным управлением безопасности связи ФАПСИ был разработан первый российский стандарт ЭЦП — ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

В 2002 году для обеспечения большей криптостойкости алгоритма взамен ГОСТ Р 34.10-94 был введён одноимённый стандарт ГОСТ Р 34.10-2001, основанный на вычислениях в группе точек эллиптической кривой. В соответствии с этим стандартом термины «электронная цифровая подпись» и «цифровая подпись» являются синонимами.

1 января 2013 года ГОСТ Р 34.10-2001 заменён на ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.»

Существует несколько схем построения цифровой подписи:

  • На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица — арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру.[4]
  • На основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭП наиболее распространены и находят широкое применение.

Кроме этого, существуют другие разновидности цифровых подписей (групповая подпись, неоспоримая подпись, доверенная подпись), которые являются модификациями описанных выше схем.[4] Их появление обусловлено разнообразием задач, решаемых с помощью ЭП.

Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хеш. Для вычисления хеша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хеш-функция.

Использование хеш-функций даёт следующие преимущества:

  • Вычислительная сложность. Обычно хеш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хеша являются более быстрыми, чем алгоритмы ЭП. Поэтому формировать хеш документа и подписывать его получается намного быстрее, чем подписывать сам документ.
  • Совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хеш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат.
  • Целостность. Без использования хеш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.

Использование хеш-функции не обязательно при электронной подписи, а сама функция не является частью алгоритма ЭП, поэтому хеш-функция может использоваться любая или не использоваться вообще.

В большинстве ранних систем ЭП использовались функции с секретом, которые по своему назначению близки к односторонним функциям. Такие системы уязвимы для атак с использованием открытого ключа (см. ниже), так как, выбрав произвольную цифровую подпись и применив к ней алгоритм верификации, можно получить исходный текст.[5] Чтобы избежать этого, вместе с цифровой подписью используется хеш-функция, то есть, вычисление подписи осуществляется не относительно самого документа, а относительно его хеша. В этом случае в результате верификации можно получить только хеш исходного текста, следовательно, если используемая хеш-функция криптографически стойкая, то получить исходный текст будет вычислительно сложно, а значит атака такого типа становится невозможной.

Симметричные схемы ЭП менее распространены, чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи, основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятия ЭП Диффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощью блочного шифра.[1] Асимметричные схемы цифровой подписи опираются на вычислительно сложные задачи, сложность которых ещё не доказана, поэтому невозможно определить, будут ли эти схемы сломаны в ближайшее время, как это произошло со схемой, основанной на задаче об укладке ранца. Также для увеличения криптостойкости нужно увеличивать длину ключей, что приводит к необходимости переписывать программы, реализующие асимметричные схемы, и в некоторых случаях перепроектировать аппаратуру.[4] Симметричные схемы основаны на хорошо изученных блочных шифрах.

В связи с этим симметричные схемы имеют следующие преимущества:

  • Стойкость симметричных схем ЭП вытекает из стойкости используемых блочных шифров, надежность которых также хорошо изучена.
  • Если стойкость шифра окажется недостаточной, его легко можно будет заменить на более стойкий с минимальными изменениями в реализации.

Однако у симметричных ЭП есть и ряд недостатков:

  • Нужно подписывать отдельно каждый бит передаваемой информации, что приводит к значительному увеличению подписи. Подпись может превосходить сообщение по размеру на два порядка.
  • Сгенерированные для подписи ключи могут быть использованы только один раз, так как после подписывания раскрывается половина секретного ключа.

Из-за рассмотренных недостатков симметричная схема ЭЦП Диффи-Хелмана не применяется, а используется её модификация, разработанная Березиным и Дорошкевичем, в которой подписывается сразу группа из нескольких бит. Это приводит к уменьшению размеров подписи, но к увеличению объёма вычислений. Для преодоления проблемы «одноразовости» ключей используется генерация отдельных ключей из главного ключа.[4]

Схема, поясняющая алгоритмы подписи и проверки

Асимметричные схемы ЭП относятся к криптосистемам с открытым ключом.

Но в отличие от асимметричных алгоритмов шифрования, в которых шифрование производится с помощью открытого ключа, а расшифровка — с помощью закрытого (расшифровать может только знающий секрет адресат), в асимметричных схемах цифровой подписи подписание производится с применением закрытого ключа, а проверка подписи — с применением открытого (расшифровать и проверить подпись может любой адресат).

Общепризнанная схема цифровой подписи охватывает три процесса[источник не указан 1634 дня]:

  • Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.
  • Формирование подписи. Для заданного электронного документа с помощью закрытого ключа вычисляется подпись.
  • Проверка (верификация) подписи. Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.

Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:

  • Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.
  • Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.

Следует отличать электронную цифровую подпись от кода аутентичности сообщения (MAC).

Как было сказано выше, чтобы применение ЭП имело смысл, необходимо, чтобы вычисление легитимной подписи без знания закрытого ключа было вычислительно сложным процессом.

Обеспечение этого во всех асимметричных алгоритмах цифровой подписи опирается на следующие вычислительные задачи:

Вычисления тоже могут производиться двумя способами: на базе математического аппарата эллиптических кривых (ГОСТ Р 34.10-2012, ECDSA) и на базе полей Галуа (ГОСТ Р 34.10-94, DSA)[6]. В настоящее время[когда?] самые быстрые алгоритмы дискретного логарифмирования и факторизации являются субэкспоненциальными. Принадлежность самих задач к классу NP-полных не доказана.

Алгоритмы ЭП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением документа[7]. При верификации цифровых подписей с восстановлением документа тело документа восстанавливается автоматически, его не нужно прикреплять к подписи. Обычные цифровые подписи требуют присоединение документа к подписи. Ясно, что все алгоритмы, подписывающие хеш документа, относятся к обычным ЭП. К ЭП с восстановлением документа относится, в частности, RSA.

Схемы электронной подписи могут быть одноразовыми и многоразовыми. В одноразовых схемах после проверки подлинности подписи необходимо провести замену ключей, в многоразовых схемах это делать не требуется.

Также алгоритмы ЭП делятся на детерминированные и вероятностные[7]. Детерминированные ЭП при одинаковых входных данных вычисляют одинаковую подпись. Реализация вероятностных алгоритмов более сложна, так как требует надежный источник энтропии, но при одинаковых входных данных подписи могут быть различны, что увеличивает криптостойкость. В настоящее время многие детерминированные схемы модифицированы в вероятностные.

В некоторых случаях, таких как потоковая передача данных, алгоритмы ЭП могут оказаться слишком медленными. В таких случаях применяется быстрая цифровая подпись. Ускорение подписи достигается алгоритмами с меньшим количеством модульных вычислений и переходом к принципиально другим методам расчёта.

Асимметричные схемы:

На основе асимметричных схем созданы модификации цифровой подписи, отвечающие различным требованиям:

  • Групповая цифровая подпись
  • Неоспоримая цифровая подпись
  • «Слепая» цифровая подпись и справедливая «слепая» подпись
  • Конфиденциальная цифровая подпись
  • Цифровая подпись с доказуемостью подделки
  • Доверенная цифровая подпись
  • Разовая цифровая подпись

Анализ возможностей подделки подписей — задача криптоанализа. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют «атака».

Модели атак и их возможные результаты[править | править код]

В своей работе Гольдвассер, Микали и Ривест описывают следующие модели атак, которые актуальны и в настоящее время[3]:

  • Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.
  • Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.
  • Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.

Также в работе описана классификация возможных результатов атак:

  • Полный взлом цифровой подписи. Получение закрытого ключа, что означает полный взлом алгоритма.
  • Универсальная подделка цифровой подписи. Нахождение алгоритма, аналогичного алгоритму подписи, что позволяет подделывать подписи для любого электронного документа.
  • Выборочная подделка цифровой подписи. Возможность подделывать подписи для документов, выбранных криптоаналитиком.
  • Экзистенциальная подделка цифровой подписи. Возможность получения допустимой подписи для какого-то документа, не выбираемого криптоаналитиком.

Ясно, что самой «опасной» атакой является адаптивная атака на основе выбранных сообщений, и при анализе алгоритмов ЭП на криптостойкость нужно рассматривать именно её (если нет каких-либо особых условий).

При безошибочной реализации современных алгоритмов ЭП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭП построена. Гораздо более вероятен поиск криптоаналитиком коллизий первого и второго родов. Коллизия первого рода эквивалентна экзистенциальной подделке, а коллизия второго рода — выборочной. С учётом применения хеш-функций, нахождение коллизий для алгоритма подписи эквивалентно нахождению коллизий для самих хеш-функций.

Подделка документа (коллизия первого рода)[править | править код]

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

  • документ представляет из себя осмысленный текст;
  • текст документа оформлен по установленной форме;
  • документы редко оформляют в виде txt-файла, чаще всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться три следующих условия:

  • случайный набор байт должен подойти под сложно структурированный формат файла;
  • то, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме;
  • текст должен быть осмысленным, грамотным и соответствующим теме документа.

Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы. Некоторые форматы подписи даже защищают целостность текста, но не служебных полей.[9]

Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма — килобайты.

Получение двух документов с одинаковой подписью (коллизия второго рода)[править | править код]

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хеш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хеширования, подписи или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования MD5.[10]

Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключами[11].

  • Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
  • Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.
  • Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него. Использование протоколов обмена ключами и защита закрытого ключа от несанкционированного доступа позволяет снизить опасность социальных атак[12].

Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзы́в ключа в случае его компрометации.

Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.

Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзы́в истекших и компрометированных сертификатов и ведёт базы (списки) выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.

Смарт-карта и USB-брелоки

Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищённость ключа полностью зависит от защищённости компьютера, и пользователь может подписывать документы только на этом компьютере.

В настоящее время существуют следующие устройства хранения закрытого ключа:

Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат должен/может быть немедленно отозван.

Наиболее защищённый способ хранения закрытого ключа — хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хеш передаётся в карту, её процессор осуществляет подписывание хеша и передаёт подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты немного сложнее, чем с других устройств хранения.

В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несёт сам.

Использование ЭП предполагается для осуществления следующих важных направлений в электронной экономике:

  • Полный контроль целостности передаваемого электронного платежного документа: в случае любого случайного или преднамеренного изменения документа цифровая подпись станет недействительной, потому как вычисляется она по специальному алгоритму на основании исходного состояния документа и соответствует лишь ему.
  • Эффективная защита от изменений (подделки) документа. ЭП даёт гарантию, что при осуществлении контроля целостности будут выявлены всякого рода подделки. Как следствие, подделывание документов становится нецелесообразным в большинстве случаев.
  • Фиксирование невозможности отказа от авторства данного документа. Этот аспект вытекает из того, что вновь создать правильную электронную подпись можно лишь в случае обладания так называемым закрытым ключом, который, в свою очередь, должен быть известен только владельцу этого самого ключа (автору документа). В этом случае владелец не сможет сформировать отказ от своей подписи, а значит — от документа.
  • Формирование доказательств подтверждения авторства документа: исходя из того, что создать корректную электронную подпись можно, как указывалось выше, лишь зная закрытый ключ, а он по определению должен быть известен только владельцу-автору документа, то владелец ключей может однозначно доказать своё авторство подписи под документом. Более того, в документе могут быть подписаны только отдельные поля документа, такие как «автор», «внесённые изменения», «метка времени» и т. д. То есть, может быть доказательно подтверждено авторство не на весь документ.

Перечисленные выше свойства электронной цифровой подписи позволяют использовать её в следующих основных целях электронной экономики и электронного документального и денежного обращения:

  • Использование в банковских платежных системах;
  • Электронная коммерция (торговля);
  • Электронная регистрация сделок по объектам недвижимости;
  • Таможенное декларирование товаров и услуг (таможенные декларации). Контролирующие функции исполнения государственного бюджета (если речь идет о стране) и исполнения сметных назначений и лимитов бюджетных обязательств (в данном случае если разговор идет об отрасли или о конкретном бюджетном учреждении). Управление государственными заказами;
  • В электронных системах обращения граждан к органам власти, в том числе и по экономическим вопросам (в рамках таких проектов как «электронное правительство» и «электронный гражданин»);
  • Формирование обязательной налоговой (фискальной), бюджетной, статистической и прочей отчетности перед государственными учреждениями и внебюджетными фондами;
  • Организация юридически легитимного внутрикорпоративного, внутриотраслевого или национального электронного документооборота;
  • Применение ЭЦП в различных расчетных и трейдинговых системах, а также Forex;
  • Управление акционерным капиталом и долевым участием;
  • ЭП является одним из ключевых компонентов сделок в криптовалютах.

Согласно Гражданскому кодексу РФ, квалифицированная электронная подпись предназначена для определения лица, подписавшего электронный документ, и является аналогом собственноручной подписи в случаях, предусмотренных законом[13].

Квалифицированная электронная подпись применяется при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий[14].

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».

После становления ЭП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного документооборота между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам РФ от 2 апреля 2002 года № БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи». Он определяет общие принципы информационного обмена при представлении налоговой декларации в электронном виде по телекоммуникационным каналам связи.

В законе РФ от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи» описаны условия использования ЭП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.

Благодаря ЭП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете через системы электронной торговли, обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур[15]. В силу требований Федерального закона от 5 апреля 2013 года № 44-ФЗ «О контрактной системе…» государственные контракты, заключаемые в электронном виде, должны быть подписаны усиленной электронной подписью[16].

С 13 июля 2012 согласно Федеральному закону № 108-ФЗ официально вступила в действие правовая норма, продлевающая действие 1-ФЗ «Об электронной цифровой подписи» до 1 июля 2013 года. В частности, решено в части 2 статьи 20 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036) слова «с 1 июля 2012 года» заменить словами «с 1 июля 2013 года».[17].

Однако Федеральным законом от 02.07.2013 № 171-ФЗ внесены изменения в статью 19 Федерального закона от 06.04.11 № 63-ФЗ «Об электронной подписи». В соответствии с этим электронный документ, подписанный электронной подписью, сертификат ключа проверки которой выдан в период действия федерального закона № 1-ФЗ, признаётся подписанным квалифицированной электронной подписью. При этом использовать старый сертификат можно до 31 декабря 2013 года включительно. Это значит, что в указанный период документы могут подписываться электронной цифровой подписью, сертификат ключа проверки которой выдан до 1 июля 2013 года.

С 1 июля 2013 года Федеральный закон от 10 января 2002 года № 1-ФЗ утратил силу, на смену ему пришёл Федеральный закон от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». В результате было введено определение трех видов электронных подписей:

  • Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определённым лицом.
  • Усиленной неквалифицированной электронной подписью является электронная подпись, которая:
  1. получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
  2. позволяет определить лицо, подписавшее электронный документ;
  3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
  4. создается с использованием средств электронной подписи.
  • Усиленной квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
  1. ключ проверки электронной подписи указан в квалифицированном сертификате;
  2. для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с 63-ФЗ

С 1 января 2013 года гражданам выдаётся универсальная электронная карта, в которую встроена усиленная квалифицированная электронная подпись (выпуск карт прекращён с 1 января 2017 года[18]).

8 сентября 2015 года в Крымском федеральном округе (КФО) аккредитован первый удостоверяющий центр на базе Государственного унитарного предприятия «Крымтехнологии». Соответствующие полномочия утверждены приказом Министерства связи и массовых коммуникаций Российской Федерации № 298 «Об аккредитации удостоверяющих центров» от 11 августа 2015 года.[19]

ЭП применяется в системе контроля над объёмом производства и оборота этилового спирта, алкогольной продукции и пива ЕГАИС.

Манипуляции с электронными подписями в России[править | править код]

  • Известны незаконные действия с электронными подписями через центры сертификации РФ[20]. Коллегия Счетной палаты под председательством Татьяны Голиковой выявила участие некоторых УЦ в неправомерном применении электронной подписи застрахованного лица в интересах негосударственных пенсионных фондов, а также оформления документов без участия гражданина[21]. «Проверка Счетной палаты в очередной раз выявила массовые нарушения даже при наличии усиленных мер защиты электронной подписи», — прокомментировал ситуацию президент НАПФ Сергей Беляков[22], его советник утверждает, что массовая фальсификация электронных подписей в повторных заявлениях производилась путём повторного использования удостоверяющим центром электронной подписи клиента[23]. Похожий способ использовался при мошенничестве с недвижимостью[24], однако, в 2019 году Государственная Дума приняла закон о защите граждан от хищений квартир по электронной подписи, который фактически исключил использование электронной подписи при сделках с недвижимостью[25].
  • Другой способ манипуляции с электронными подписями заключается в том, что клиенту предлагают дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра, в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации[26]. В результате подобных действий, вызванных, по мнению специалистов правовой системы «Гарант», тем что «IT-функции в деятельности УЦ преобладают над его юридической сущностью», электронная подпись может быть использована недобросовестными третьими лицами[27]. Однако, в 2017 году предложение Минкомсвязи передать функции выдачи усиленной квалифицированной электронной подписи (УКЭП) от частных компаний государству не нашло понимания других министерств и ведомств[28].

На Украине использование электронной подписи регулируется законом, изданным в 2003 году, который координирует отношения, появляющиеся вследствие применения электронных подписей. Система функционирования украинской ЭЦП состоит из центрального удостоверяющего органа, выдающего разрешения центрам сертификации ключей (ЦСК) и обеспечивающего доступ к электронным каталогам, контролирующего органа и центров сертификации ключей, которые выдают ЭЦП конечному потребителю.

19 апреля 2007 года было принято Постановление «Об утверждении порядка представления отчетов в Пенсионный фонд Украины в электронной форме». А 10 апреля 2008 года — приказ № 233 ГНА Украины «О подаче электронной цифровой отчётности». В результате активной разъяснительной деятельности налоговых служб, в 2008 г. количество субъектов, подающих отчётность по НДС в электронном виде, возросло с 43 % до 71 %.

С 16 июля 2015 года начал действовать закон № 643-VIII «О внесении изменений в Налоговый кодекс Украины касательно усовершенствования администрирования налога на добавленную стоимость». 31 августа 2015 года зарегистрирован проект закона № 2544а «Об электронных доверительных услугах».

16 июня 2015 года заработал украинский сайт электронных государственных услуг iGov.org.ua. Здесь можно заказать справку о несудимости для предъявления в МРЭО, оформить заявку на получение субсидии, справки о доходах, а также заполнить документы на загранпаспорт.

Система электронных подписей широко используется в Эстонии, где введена программа ID-карт, которыми снабжены более 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент — Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные органы самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Всё это осуществляется через центральный гражданский портал Eesti.ee. Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии. Это, в свою очередь, нарушает анонимность покупки проездных билетов.

В США использование электронной подписи началось в 2000 году. Первым законом, регулирующим электронную подпись, стал UETA (Единый закон об электронных транзакциях). Этот закон ориентирован на юридических лиц и коммерцию. Он был подготовлен в 1999 году и принят 48 штатами, округом Колумбия и Виргинскими островами США[29]. 1 октября 2000 года был принят федеральный закон ESIGN (Закон об электронных подписях в международной и внутригосударственной торговле)[30]. ESIGN координирует законодательство разных штатов, рассматривает взаимодействие физических и юридических лиц[31].

В ESIGN указано следующее: «подпись, договор или другая запись, относящаяся к такой транзакции, не может быть лишена юридической силы, действительности или исковой силы только потому, что она находится в электронной форме». Поэтому на практике в США электронная подпись, сделанная мышью, стилусом, нажатие кнопки «Я принимаю», имеет одинаковый правовой статус с рукописной подписью[32]. Так же ESIGN указывает, что потребитель должен обязательно иметь намерение оставить подпись.

В Канаде использование электронной подписи регулирует федеральный закон PIPEDA (Закон о защите личных сведений и электронных документов), вступивший в силу в 2004 году[33]. Но в Квебеке использование электронной подписи регулируется Законом о создании правовой основы для информационных технологий[34]. Разница между этими законами заключается в отношении к использованию и раскрытию личной информации[35]. И в Квебеке, и в Канаде электронная подпись не приравнивается в полной мере к рукописной, поэтому в суде могут потребоваться дополнительные доказательства[36].

Комментарии
  1. Названия ключей открытый и закрытый — условные. Согласно алгоритму асимметричного шифровании с открытым ключом шифрующий ключ делается открытым, а дешифрующий — закрытым, чтобы обеспечить расшифровку сообщения именно получателем. В случае ЭЦП задача обратная: предоставить легкий путь дешифрации — проверки подписи, значит дешифрующий ключ должен быть открытым.
  2. И при условии, что получается осмысленный результат, а не случайный набор данных.
Источники
  1. 1 2 Diffie W., Hellman M. E. New Directions in Cryptography (англ.) // IEEE Trans. Inf. Theory / F. Kschischang — IEEE, 1976. — Vol. 22, Iss. 6. — P. 644—654. — ISSN 0018-9448; 1557-9654 — doi:10.1109/TIT.1976.1055638
  2. Rivest R., Shamir A., Adleman L. A method for obtaining digital signatures and public-key cryptosystems (англ.) // Commun. ACM — NYC, USA: ACM, 1978. — Vol. 21, Iss. 2. — P. 120—126. — ISSN 0001-0782; 1557-7317 — doi:10.1145/359340.359342
  3. 1 2 «A digital signature scheme secure against adaptive chosen-message attacks.», Shafi Goldwasser, Silvio Micali, and Ronald Rivest. SIAM Journal on Computing, 17(2):281—308, Apr. 1988.
  4. 1 2 3 4 http://eregex.ru/2009/06/electronic-signature/ (недоступная ссылка)
  5. «Modern Cryptography: Theory & Practice», Wenbo Mao, Prentice Hall Professional Technical Reference, New Jersey, 2004, pg. 308. ISBN 0-13-066943-1
  6. Анализ алгоритмов ЭЦП
  7. 1 2 Электронная цифровая подпись — Компания «Криптомаш» (неопр.) (недоступная ссылка). Дата обращения: 8 ноября 2009. Архивировано 26 декабря 2009 года.
  8. - МГС (неопр.) (недоступная ссылка). www.easc.org.by. Дата обращения: 29 декабря 2015. Архивировано 2 февраля 2016 года.
  9. Inline PGP signatures considered harmful
  10. Creating a rogue CA certificate< (неопр.) (недоступная ссылка). Дата обращения: 13 мая 2009. Архивировано 18 апреля 2012 года.
  11. Овчаренко М.А. Национальный горный университет, Украина. Атаки на электронную цифровую подпись. Электронная цифровая подпись
  12. Электронная цифровая подпись (Electronic Digital Signature): особенности получения и ее назначение
  13. Гражданский кодекс Российской Федерации, часть 1, глава 9, статья 160
  14. Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ, статья 1
  15. Область применения электронной подписи
  16. Федеральный закон о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд (неопр.). КонсультантПлюс.
  17. Федеральный закон Российской Федерации от 10 июля 2012 года № 108-ФЗ
  18. АО «УЭК» сообщает о закрытии проекта по выпуску универсальных электронных карт (неопр.) (недоступная ссылка). Дата обращения: 3 февраля 2017. Архивировано 4 февраля 2017 года.
  19. krtech.ru. В Крыму зарегистрирован первый удостоверяющий центр (неопр.) (04.09.2015).
  20. «Порядок перевода пенсионных накоплений из ПФР несет риски, считают в СП» МИА «Россия сегодня» от 27.06.2017.
  21. «Граждане не имеют возможности получить актуальную информацию при заключении договора с НПФ» «Счетная палата Российской Федерации», 27 июня 2017
  22. «Простая электронная подпись не защитит накопления» gazeta.ru от 31.07.2017,
  23. «Электронная подпись вышла из доверия» «РБК» № 108 (2604) (2306) 23 июня 2017: «По словам советника НАПФ Валерия Виноградова, электронная подпись, формирующаяся в удостоверяющем центре, должна использоваться единоразово. После её использования центр должен её удалить, говорит он. „Однако в конце декабря эти электронные подписи клиентов использовались вторично“, — констатирует эксперт».
  24. «Новый вид мошенничества: Оставили без квартиры, подделав электронную подпись» «КП» от 22 мая 2019 года
  25. «Продать согласен лично» rg.ru от 25.07.2019.
  26. «Выпуск электронной подписи без личного присутствия заявителя нарушает закон» «Гарант» от 7 декабря 2017
  27. «Оформление электронной подписи без личного присутствия нарушает закон» «Электронный экспресс», 2018.
  28. «ЦБ и Минэкономразвития предупредили о коллапсе рынка электронных подписей» «РБК» от 21 июля 2017.
  29. Electronic Transactions Act (неопр.). Uniform Law Comission. Дата обращения: 1 декабря 2020.
  30. [https://www.fdic.gov/resources/supervision-and-examinations/consumer-compliance-examination-manual/documents/10/x-3-1.pdf The Electronic Signatures in Global and NationalCommerce Act (E-Sign Act)] (неопр.). Federal Deposit Insurance Corporation. Дата обращения: 1 декабря 2020.
  31. E-Sign versus State Electronic Signature Laws: The Electronic Statutory Battleground (неопр.). North Caroline Banking Institute. Дата обращения: 1 декабря 2020.
  32. Legal Basis for Electronic Signature in USA (неопр.). Certified Translation. Дата обращения: 1 декабря 2020.
  33. Personal Information Protection and Electronic Documents Act (S.C. 2000, c. 5) (неопр.). Justice Laws Website. Дата обращения: 1 декабря 2020.
  34. Act to establish a legal framework for information technology (неопр.). Legis Quebec. Дата обращения: 1 декабря 2020.
  35. Guide to doing business in Canada: privacy law (неопр.). Gowling WLG. Дата обращения: 1 декабря 2020.
  36. Are electronic signatures legal in Canada? (неопр.). Signable. Дата обращения: 1 декабря 2020.
  • Рябко Б. Я., Фионов А. Н. Основы современной криптографии для специалистов в информационных технологиях — Научный мир, 2004. — 173 с. — ISBN 978-5-89176-233-6
  • Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. — «Гелиос АРВ», 2002. — 480 с. — ISBN 5-85438-137-0.
  • Нильс Фергюсон, Брюс Шнайер. Практическая криптография = Practical Cryptography: Designing and Implementing Secure Cryptographic Systems. — М. : Диалектика, 2004. — 432 с. — 3000 экз. — ISBN 5-8459-0733-0, ISBN 0-4712-2357-3.
  • Б. А. Фороузан. Схема цифровой подписи Эль-Гамаля // Управление ключами шифрования и безопасность сети / Пер. А. Н. Берлин. — Курс лекций.
  • Menezes A. J., Oorschot P. v., Vanstone S. A. Handbook of Applied Cryptography (англ.) — CRC Press, 1996. — 816 p. — (Discrete Mathematics and Its Applications) — ISBN 978-0-8493-8523-0
  • Мао В. Современная криптография: Теория и практика / пер. Д. А. Клюшина — М.: Вильямс, 2005. — 768 с. — ISBN 978-5-8459-0847-6

Что такое электронная подпись — простым языком для новичков мира цифровой экономики

30 октября 2017

Что такое электронная подпись — простым языком для новичков мира цифровой экономики

В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.

Что такое электронная подпись?

Электронная подпись – это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.

Справочно:

Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП  (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т.д.

Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:

— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,

— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.

Возможности электронной подписи

Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.

Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.

Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.

Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?

Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.

Справочно:

Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.

Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).

Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.

Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.

Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.

Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?

Выданная электронная подпись состоит из 3 элементов:

1 – средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако». Подробнее прочитать о технологиях ЭЦП, связанных с использованием «электронного облака», можно будет в следующей статье Единого портала Электронной подписи.

Справочно:

Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.

Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона № 63.

2 – ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них – ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете. Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым». Он не содержится в тайне, однозначно привязан к «закрытому» ключу и необходим, чтобы любой желающий мог проверить корректность электронной подписи.

3 – сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией). На практике это выглядит следующим образом: например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову. Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим. Таким образом, преступник получит возможность выдавать себя за подписанта. В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.

В соответствии с законодательством РФ различают:

— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;

— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.

Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр —  понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.

Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:

  1. Клиент приобрел средство электронной подписи.
  2. Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.
  3. УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.

Вопрос безопасности

Требуемые свойства подписываемых документов: 

  • целостность;
  • достоверность;
  • аутентичность (подлинность; «неотрекаемость» от авторства информации).

Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.

С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.

Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.

Как подписать файл электронной подписью?

Для подписания файла ЭЦП нужно выполнить несколько шагов. В качестве примера рассмотрим, как поставить квалифицированную электронную подпись на свидетельство на товарный знак Единого портала Электронной подписи в формате .pdf. Нужно:

1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».

Подписание файла электронной подписью

2. Пройти путь в диалоговых окнах криптопровайдера:

Запуск мастера создания электронной подписи

Выбрать кнопку «Далее».

Выбор файлов исходных данных для создания электронной подписи

На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.

Выбор желаемого выходного формата электронной подписи

Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).

Установка желаемых параметров электронной подписи

В блоке «Свойства подписи» выбираете «Подписано», при необходимости можно добавить комментарий. Остальные поля можно исключить/выбрать по желанию.

Выбор сертификата электронной подписи

Из хранилища сертификатов выбираете нужный.

Проверка правильности Владельца сертификата электронной подписи

После проверки правильности поля «Владелец сертификата», нажимайте кнопку «Далее».

Финальная проверка данных для создания электронной подписи

В данном диалоговом окне проводится финальная проверка данных, необходимых для создания электронной подписи, а затем после клика на кнопку «Готово» должно всплыть следующее сообщение:

Подтверждение создания электронной подписи

Успешное окончание операции означает, что файл был криптографически преобразован и содержит реквизит, фиксирующий неизменность документа после его подписания и обеспечивающий его юридическую значимость.

Итак, как же выглядит электронная подпись на документе?

Для примера берем файл, подписанный электронной подписью (сохраняется в формате .sig), и открываем его через криптопровайдер.

Файл, подписанный электронной подписью, на рабочем столе

Фрагмент рабочего стола. Слева: файл, подписанный ЭП, справа: криптопровайдер (например, КриптоАРМ).

Визуализация электронной подписи в самом документе при его открытии не предусмотрена ввиду того, что она является реквизитом. Но есть исключения, например, электронная подпись ФНС при получении выписки из ЕГРЮЛ/ЕГРИП через онлайн сервис условно отображается на самом документе. Скриншот можно найти по ссылке.

Но как же в итоге «выглядит» ЭЦП, вернее, как факт подписания обозначается в документе?

Открыв через криптопровайдер окно «Управление подписанными данными», можно увидеть информацию о файле и подписи.

Управление подписанными электронной подписью данными

При нажатии на кнопку «Посмотреть» появляется окно, содержащее информацию о подписи и сертификате.

Информация об электронной подписи и сертификате

Последний скриншот наглядно демонстрирует как выглядит ЭЦП на документе «изнутри».

Приобрести электронную подпись можно по ссылке.

Задавайте другие вопросы по теме статьи в комментариях, эксперты Единого портала Электронной подписи обязательно ответят Вам.

Статья подготовлена редакцией Единого портала Электронной подписи iEcp.ru с использованием материалов компании SafeTech.

При полном или частичном использовании материала гиперссылка на www.iecp.ru обязательна.

Читайте также:

Подписаться

23 августа 2017

Цифровая экономика стремительно вытесняет старый уклад во всех сферах деятельности современного общества. Трансформируется частная жизнь и рабочие места, появляются новые профессии и инструменты взаимодействия. В эпоху столь масштабных преобразований всё большую актульность принимает проблема информационной безопасности в организациях. Исполнительный директор АЭТП Илия Димитров и заместитель директора Академии Информационных Систем Игорь Елисеев прокомментировали вопрос становления цифровой экономики и основные аспекты обеспечения ИБ в современных компаниях.

Электронная цифровая подпись — относительно новая технология, которая значительно упростила работу многих государственных и частных коммерческих организаций. Благодаря ей стало проще и безопаснее обмениваться данными онлайн, пропала необходимость посещения других городов для подписи документов.

Как получить ЭЦП, какие виды подходят для конкретных организаций и как с ее помощью можно заверить данные онлайн, вы узнаете из нашей статьи.

Что такое электронная цифровая подпись?

ЭЦП — это информация, которая дополняет электронный документ, подтверждая его подлинность и согласие человека с имеющимися в нем данными. Квалифицированная электронная цифровая подпись является аналогом рукописной и имеет юридическую силу.

Поэтому, если одна из заверивших документ сторон не будет соблюдать условий сотрудничества, вторая может использовать этот документ в суде как доказательство неисполнения обязательств оппонента.

Электронная цифровая подпись обладает рядом важных функций:

  1. Подтверждает авторство. В электронной подписи содержатся сведения о сертификате, в котором подробно прописаны данные о его владельце. Таким образом данные, подписанные сертификатом ЭП, указывают на авторство определенного лица или организации
  2. Имеет юридическую силу. ЭЦП позволяет оперативно в электронном виде подписывать договоры, сдавать отчеты, продавать и покупать ценные бумаги. Нет необходимости подтверждать важные документы лично, приезжая на другой конец страны.
  3. Защищает от фальсификации. Злоумышленники не смогут воспользоваться вашей подписью или подделать ее
  4. Подтверждает целостность документа. Исправить договор незаметно не получится: если ваш сотрудник, клиент или партнер подписал его, а потом изменил какие-либо сведения (случайно или умышленно), вы увидите это и сможете принять меры.

Виды электронной цифровой подписи

Существует три вида ЭЦП:

  1. Простая. Используется физическими лицами для подтверждения личных данных. Например, при входе на сайт Госуслуг или бесконтактной оплате покупок в торговых центрах.
  2. Усиленная неквалифицированная. Применяется юридическими лицами для определения автора документа, отслеживания вносимых в него изменений после заверения. Более надежна по сравнению с простой ЭЦП. Требуется в редких случаях.
  3. Усиленная квалифицированная. Самый надежный и используемый из всех видов ЭЦП. Является аналогом личной рукописной подписи и имеет полную юридическую силу. Применяется во всех сферах деятельности юридических лиц и ИП — от подписания договоров с контрагентами до взаимодействия с контролирующими и надзорными органами.

Для чего стоит получить сертификат ЭЦП?

  1. Участие в онлайн-торгах и аукционах. Электронная цифровая подпись может потребоваться для коммерческих и государственных закупок. Только с ней можно оставлять на торговых платформах заявки и заверять контракты.
  2. Работа на сайте Госуслуги. Получение ЭЦП дает возможность записаться на прием в государственное учреждение, подать заявления на оформление многих личных документов, оплатить штрафы и налоги, зарегистрировать автомобиль, и многое другое.
  3. Сдача отчетностей в налоговую. Для своевременного отправления деклараций о доходах в ФНС России или об алкоголе и пиве в ЕГАИС также стоит получить ЭЦП. Она может понадобиться и для работы на сайтах Росстата и Пенсионного фонда РФ.
  4. Удаленный документооборот. С помощью электронной цифровой подписи вы сможете отправлять отчеты, заявления, договоры и иные важные бумаги в своей организации и в другие компании.

Из чего состоит ЭЦП?

Для заверения документов электронной цифровой подписью необходимо наличие 3 составляющих:

Закрытый ключПрограмма-шифраторСертификат
Это уникальный код, необходимый для создания уникальной подписи. Его знает только владелец. Закрытый ключ гарантирует защиту ЭЦП от фальсификации и взломов.Кодирует документы, формирует уникальную подпись для каждого из них.Документ, который подтверждает принадлежность подписи конкретному человеку. В ней содержится открытый ключ, который позволяет получателю проверить заверенный файл.

Как работает ЭЦП?

При заверении документа электронной цифровой подписью срабатывает определенный алгоритм:

  1. Программа-шифратор преобразовывает файл в строку символов — хеш. Разные документы переводятся в разный набор символов, а одинаковые — в одинаковый.
  2. После хеширования программа зашифровывает строку с помощью закрытого ключа. Процесс аналогичен тому, как что-то кладется в коробку и запечатывается замком. Это и есть ЭЦП.
  3. Документ пересылается получателю, к нему прикладывается зашифрованный хеш и сертификат, где указаны контактные данные отправителя.
  4. С помощью сертификата адресат «распечатывает» хеш и может посмотреть документ. Если у него есть ЭЦП, обратное отправление документа происходит также по рассмотренному нами алгоритму.

Как проверить подлинность электронной цифровой подписи?

Как мы уже выяснили ранее, документ поступает к получателю в зашифрованном виде. И чтобы его посмотреть, необходим сертификат. Эта составляющая очень важна и является индивидуальной. Поэтому при получении подписанного вами документа адресат может удостовериться, что это именно вы заверили его, проверив сертификат. Сделать это очень просто:

  1. Получатель хеширует файл, как это сделал ранее отправитель.
  2. Расшифровывает ЭЦП с помощью открытого ключа, который есть в сертификате.
  3. Видит хеш, который вы отправили вместе с документом.
  4. Сравнивает с тем, который получился у него. Если хеши одинаковые, то документ не был изменен после заверения и имеет юридическую силу.

Как выбрать подходящую КЭП?

Существует множество тарифов сертификатов, предназначеных для различных нужд. Чтобы выбрать подходящую КЭП, следует учесть два важных параметра:

  1. Возможности подписи. Нет единой ЭЦП, которая могла бы подойти для всех сфер сразу. Чтобы работать с Госуслугами, требуется базовая КЭП. Для взаимодействия с коммерческими порталами требуется КЭП с расширениями (дополнениями) для ЭП. Кроме того, для регистрации на некоторых платформах существуют требования по получению КЭП в определенных удостоверяющих центрах. Поэтому выбирайте подпись, максимально соответствующую вашим потребностям.
  2. Стоимость сертификата. Кроме возможностей подписи стоит обратить внимание и на ее функционал. Нет смысла переплачивать за ненужные опции: если вам нужна ЭЦП для передачи отчетностей в ФНС России, нет необходимости покупать сертификат с доступом к торговым площадкам — достаточно получить стандартную КЭП. На стоимость влияет также назначение подписи. Для физических лиц, которым нужно работать только с сайтом Госуслуг, ЭЦП обойдется почти в 10 раз дешевле, чем организациям, участвующим в торгах на крупных площадках.

Как получить КЭП?

  1. Подайте заявление в удостоверяющий центр. УЦ — аккредитованные Минкомсвязи организации, которые имеют право выдавать электронные подписи. Компания «Сигнал-КОМ» является одной из них. Вы можете связаться с нами, оставив заявку на сайте или позвонив по номеру 8 (495) 259-40-21.
  2. Вам отправят список необходимых документов для получения ЭЦП и образцы их заполнения. Также сотрудники УЦ пришлют счет на оплату.
  3. Вы вносите на счет удостоверяющего центра требующуюся сумму и предоставляете копии документов (позже потребуются оригиналы):
    • Для физических лиц:
    • Для юридических лиц и ИП:
      • Паспорт.
      • СНИЛС.
      • Учредительные документы.
      • Свидетельство ЕГРЮЛ/ЕГРИП.
      • ИНН заявителя.

    Важно: Если вы хотите получить электронную подпись для другого человека или целой организации, потребуется нотариально заверенная доверенность.

  4. Удостоверяющий центр проверяет полученные документы и подтверждает оплату. Обычно процедура занимает не более 3 дней. Если КЭП требуется срочно, за дополнительную плату можно сократить процесс до нескольких часов.
  5. После проверки документов вас приглашают в офис, куда вы приносите оригиналы всех вышеперечисленных документов и заверенные нотариусом копии.
  6. Вы получаете флешку-рутокен, которая содержит ключ, сертификат и программу для создания подписи.

Что такое удостоверяющий центр?

Это организация, получившая официальное разрешение от ФСБ на осуществление деятельности, связанной с производством и продажей электронных цифровых подписей.

Удостоверяющий центр выполняет несколько функций:

  1. Создает персональные сертификаты. УЦ формирует ключи и сертификаты для создания электронных подписей, которые содержат контактные данные владельца и техническую информация о составе ЭП. С помощью персонального сертификата получатель заверенного документа может проверить ЭЦП, чтобы убедиться в ее принадлежности конкретному человеку.
  2. Предоставляет ЭЦП. Получить квалифицированную электронную подпись можно только в аккредитованном удостоверяющем центре. Его сотрудники создадут закрытый ключ и предоставят его только вам — владельцу ЭЦП.
  3. Обеспечивает проверку сертификатов. Удостоверяющий центр имеет собственную базу, в которой содержатся все выданные КЭП. Если вы сомневаетесь в подлинности подписи человека, который отправил вам документ, вы можете связаться с представителями УЦ и удостовериться в ее верности.

ЭЦП и Федеральный закон №54-ФЗ

Электронная цифровая подпись помогает упростить работу с онлайн-кассами. Она позволяет:

  1. Зарегистрировать ККТ через онлайн. Больше не нужно приходить в ФНС с кассой и ждать окончания процедуры несколько дней. Все необходимые документы можно послать на сайт Федеральной налоговой службы. А регистрация занимает всего 15 минут.
  2. Работать с сайтом ОФД. Для заключения договора с оператором фискальных данных необходимо получить сертификат ЭЦП. Для этого можно обратиться к партнеру ОФД, приехать в его офис и поставить ручную подпись. Но удобнее и быстрее сделать это онлайн.
  3. Взаимодействовать с ЕГАИС. Получить ЭЦП стоит и для отправления данных и подписания документов, касающихся алкогольной продукции.

Электронная подпись — виды, способы применения и получения

Электронная подпись (ранее ЭЦП) — собственноручная подпись в электронном виде, которой можно подписывать документы. Федеральный закон №63‑ФЗ от 06.04.2011 определил три вида электронных подписей: простую, неквалифицированную и квалифицированную. У них разный уровень защиты и юридической значимости, так что применяются они в разных ситуациях.

Простая электронная подпись

Простая ЭП — это логин/пароль или код из СМС, которые вы вводите для авторизации в интернет‑магазине, портале «Госуслуги» или внутренней корпоративной сети, подтверждая свою личность. Простая электронная подпись имеет юридическую силу при оказании страховых, государственных и муниципальных услуг, а также если участники документооборота договорятся о ее признании.

Неквалифицированная электронная подпись

Неквалифицированная ЭП — это зашифрованная комбинация символов, которая подтверждает личность пользователя и позволяет обнаружить внесение изменений в документ после его подписания. Подходит для внутреннего документооборота и работы на портале nalog.ru. Оформляется самостоятельно или в удостоверяющем центре. Документ, подписанный неквалифицированной ЭП, получает юридическую значимость, если имеется указание закона или достигнута договоренность между сторонами.

Квалифицированная электронная подпись

Самая защищенная подпись, обладающая теми же возможностями, что и неквалифицированная. В отличие от нее, квалифицированная подпись создается с использованием средств шифрования, сертифицированных ФСБ. Выдается квалифицированная ЭП только в удостоверяющих центрах, аккредитованных Минкомсвязи России. Любой документ, который законом не запрещено оформлять в электронном виде, можно подписывать квалифицированной электронной подписью. Он будет иметь полную юридическую силу.

В чем заключаются самые важные отличия электронных подписей?

Свойства электронной подписи

Простая

Неквалифицированная

Квалифицированная

Способ получения

Простая

Самостоятельно, при регистрации на сайте

Неквалифицированная

В любом УЦ

Квалифицированная

В аккредитованном УЦ

Защита подписанного документа

Простая

Не защищает документ от подделки

Неквалифицированная

Защищает документ от подделки

Квалифицированная

Защищает документ от подделки

Юридическая значимость

Простая

Требует соглашения о признании

Неквалифицированная

Требует соглашения о признании

Квалифицированная

Равна собственноручной подписи

Где хранятся

Простая

На любом носителе

Неквалифицированная

На любом носителе

Квалифицированная

Защищенный носитель (Рутокен, eToken)

Стоимость

Неквалифицированная

Бесплатно или от 200 рублей

Квалифицированная

От 500 рублей

Как узнать, какая у вас подпись?

Если у вас есть только физический носитель электронной подписи, то это означает, что перед вами неквалифицированная или квалифицированная ЭП.

Чтобы узнать, какая именно, позвоните в техподдержку удостоверяющего центра. Если вы получали подпись в УЦ «Тензор», сообщите специалисту техподдержки ваш ИНН и он подскажет тип ЭП.

Когда и какую электронную подпись использовать

Простая электронная подпись подойдет любым физическим лицам, которые пользуются интернет‑сервисами для покупок товаров и услуг, управления средствами в банке. Может использоваться для оплаты штрафов ГИБДД и получения некоторых услуг на портале «Госуслуги».

Неквалифицированная электронная подпись нужна сотрудникам компаний для обмена документами с партнерами и внутреннего документооборота (для подписания приказов, инструкций, заявлений, справок). Используется для работы в личном кабинете налогоплательщика.

Квалифицированная электронная подпись требуется всем, кто сдает отчетность в ФСС, ФНС, ПФР и другие государственные органы, подписывает договоры с контрагентами, участвует в госзакупках и других видах торгов. С помощью квалифицированной ЭП можно зарегистрировать онлайн‑кассу в ФНС, подать в суд или заключить трудовой договор с удаленным сотрудником без личной встречи.

Квалифицированная электронная подпись универсальна, она подходит для работы на большинстве площадок. Однако некоторые торговые площадки предъявляют дополнительные требования к электронным подписям. Например, чтобы в сертификате подписи был объектный идентификатор (OID), содержащий дополнительную информацию о владельце ЭП и его полномочиях. В «Тензоре» выдадут ЭП для любой торговой площадки.

Каждый человек может пользоваться одной или несколькими электронными подписями. Каких‑либо ограничений по количеству и разнообразию используемых ЭП нет.

Что нужно для получения электронной подписи

1. Создать заявку на получение подписи одним из трех способов:

  • Прийти лично в офисы компании «Тензор» с необходимыми документами. Срок выпуска подписи — 1 час.
  • Отправить онлайн‑заявку на выпуск ЭЦП с сайта УЦ. Менеджер проверит заявку, запросит сканы документов и согласует с вами дату и время визита в офис для получения электронной подписи.
  • Создать заявку из личного кабинета, если вы уже работаете в СБИС. Приложите сканы документов и выберите время визита в офис.

2. Забрать готовую подпись

Если вы подавали заявку дистанционно, в назначенный день придите в УЦ и предоставьте оригиналы документов, чтобы удостоверить личность. Менеджер сверит с приложенными сканами и, если все верно, выпустит квалифицированный сертификат электронной подписи и выдаст вам полностью готовый к использованию носитель.

Получить квалифицированную электронную подпись можно в офисе компании «Тензор» или наших партнеров в регионе. Подпись сделают в течение часа. А можно отправить онлайн‑заявку. Менеджер проверит заявку, после чего пригласит вас в офис для получения ЭП.

Вы можете заказать доставку электронной подписи на дом или в офис. Наш специалист, прошедший обучение и сертифицированный по требованиям ФСБ, привезет ЭЦП, не допустив компрометации.

Яндекс-карты не поддерживают версию вашего браузера.

 Скачайте дистрибутив 

 для обновления браузера.

Что еще может потребоваться для работы с ЭЦП

Средство криптографической защиты информации (СКЗИ) — программа, отвечающая за работу с подписью и шифрование документов. Стоимость от 1 200 рублей.

Носитель — защищенное устройство в виде USB‑флешки, на которое устанавливается сертификат электронной подписи. Записать КЭП на обычную флешку нельзя. Стоимость от 1 400 рублей.

Виды носителей:

  • Рутокен, eToken (европейский вариант носителя) – используются для работы на госпорталах, торговых площадках, для сдачи отчетности, для ЭДО. Стоимость: 1 400 рублей.
  • Рутокен ЭЦП 2.0, JaCarta‑2 SE – предназначены только для продавцов и производителей алкоголя. Стоимость: 1 600 рублей.

Частые вопросы

Какие документы нужны для выпуска подписи?

В соответствии с п.2 статьи 18 Федерального закона № 63‑ФЗ удостоверяющий центр для выпуска подписи потребует следующие документы:

  • с граждан РФ — паспорт и СНИЛС.
  • с иностранцев — документ, удостоверяющий личность: паспорт, разрешение на временное проживание, вид на жительство и т.д., и любой документ с номером СНИЛС: само страховое свидетельство, справка из ПФР с номером СНИЛС либо сопроводительная ведомость по форме АДИ‑5.
  • с представителей владельца ЭП — доверенность на получение, оригиналы или заверенные копии документов владельца подписи, паспорт представителя или документ, удостоверяющий личность.

Как заверить копии документов?

Физические лица должны заверять копии документов для получения подписи только нотариально. Если вы находитесь на территории другой страны, заверить копии можно в консульстве РФ.

Юридические лица и ИП могут заверять копии самостоятельно. Если у организации или ИП есть печать, заверить копии может любой сотрудник компании. Для этого на копии необходимо указать:

  • надпись «Копия верна» или «Верно»;
  • должность заверившего лица с подписью и расшифровкой;
  • дату заверения;
  • печать организации или ИП.

Если печати нет:

  • для юрлиц: на копиях должна стоять только подпись руководителя, плюс прикладывается устав, в котором нет записи, что организация работает с печатью;
  • для ИП: на копиях должна стоять только подпись предпринимателя, плюс прикладывается «Свидетельство о государственной регистрации физического лица в качестве индивидуального предпринимателя» либо «Лист записи ЕГРИП».

Копия многостраничного документа может быть заверена двумя способами:

  • отдельно заверить каждый лист копии;
  • прошить все листы, пронумеровать их и заверить на обратной стороне последнего листа на месте прошивки, указав количество листов.

Сменился руководитель — что делать?

В этом случае потребуется выпустить новый ключ электронной подписи, а старую — аннулировать, обратившись к своему менеджеру в удостоверяющем центре.

Как отозвать подпись?

Обратитесь к менеджеру вашего удостоверяющего центра. Он оформит заявку на отзыв и отправит вам заявление на подпись. Если вы работаете в СБИС, то заявку на отзыв вы можете отправить самостоятельно.

Как продлить подпись?

Сертификат электронной подписи имеет ограниченный срок действия, в среднем - 12 месяцев. Чтобы продлить подпись нужно заранее, лучше за 30 дней до окончания срока, обратиться в ваш удостоверяющий центр для продления.

Если вы получали ЭП в удостоверяющем центре «Тензор», то получите автоматическое напоминание со ссылкой на заявку для продления ЭП. Кликните по заявке и следуйте подсказкам системы.

Продлить можно только действующую ЭП. Если ее срок уже закончился, придется выпускать новую.

На каких носителях разрешено выпускать подпись?

Носителями могут быть: защищенный флеш‑накопитель (JaCarta‑2, Рутокен, Рутокен ЭЦП 2.0 и др.), флеш‑накопитель и реестр.

В соответствии со ст. 27.3 Приложения 2 к Приказу ФСБ от 27.12.2011 № 796 компания «Тензор» выдает ключи ЭП на защищенных носителях. Они также соответствуют регламенту Федеральной антимонопольной службы по ЭП для госзакупок.

Кроме этого такие устройства:

  • поддерживают множество циклов перезаписи, что увеличивает срок службы;
  • имеют функцию защиты информации — чтобы получить доступ к контейнеру с ключом, нужно ввести пароль.

Как проверить сертификат ЭЦП?

Проверить подлинность сертификата электронной подписи можно на нашем сайте по серийному номеру или по данным владельца.

Электронная подпись – это атрибут электронного документа, который позволяет установить авторство и неизменность после подписания. В зависимости от своего вида электронная подпись может быть полностью равнозначна рукописной и обеспечивает подписанным файлам юридическую силу.

Электронная подпись

Функции электронной подписи

Подписывать любые файлы электронной подписью могут и юридические, и физические лица. Электронная подпись:

  • идентифицирует автора,
  • позволяет определить, вносились ли изменения в документ после его подписания (доступно не всем видам подписи),
  • подтверждает юридическую силу подписанного документа (доступно не всем видам подписи).

В России используется три вида подписи.

Простая электронная подпись, или ПЭП

Простая подпись — это знакомая многим пара логин-пароль в Личных кабинетах, СМС-код, коды на скретч-картах. Такая подпись подтверждает авторство, но не гарантирует неизменность документа после подпиcания, следовательно, не гарантирует его юридическую значимость. Простая электронная подпись чаще всего применяется для получения Госуслуг, при банковских транзакциях, аутентификации на сайтах.

Неквалифицированная электронная подпись, или НЭП

За счет криптографических алгоритмов НЭП не только позволяет определить автора подписанного документа, но и доказать неизменность содержащейся в нем информации. Неквалифицированную подпись нужно получать в удостоверяющих центрах на специальном ключевом носителе — токене.

НЭП подойдет для электронного документооборота внутри компании и с внешними контрагентами. Только в этом случае сторонам потребуется заключить между собой соглашение о взаимном признании юридической силы электронных подписей.

Квалифицированная электронная подпись, или КЭП

Так же, как НЭП, квалифицированная подпись создается с помощью криптографических алгоритмов, но отличается в следующем:

Квалифицированная электронная подпись наделяет документы юридической силой и позволяет проверить, изменяли ли документ после подписания.

КЭП наделяет документ юридической силой

КЭП для торгов имеет самое широкое применение и используется:

  • для сдачи отчетности в контролирующие органы,
  • для участия в электронных торгах по 44-ФЗ компаний с госучастием в качестве поставщика,
  • для электронного документооборота, имеющего юридическую силу без дополнительных соглашений между участниками,
  • для организации и участия в закупках по 223-ФЗ,
  • для работы с государственными информационными системами (например, на порталах Росреестра, ФСТ, ФТС, в системах СМЭВ, ГИС ГМП, ГИС ЖКХ, АС АКОТ, подачи сведений на портал ЕРФСБ, ЕФРСФДЮЛ, для взаимодействия с ФГИС Росаккредитация и др.)..

Некоторые торговые площадки требуют, чтобы квалифицированный сертификат содержал специальный идентификатор (OID). Так, чтобы работать на площадках uTender или Центр реализации, придется докупить отдельный OID для каждой площадки. Площадки могут отказываться от OIDов или вводить их — точную информацию о том, нужен ли площадки дополнительный идентификатор, нужно уточнять в техподдержке площадки или читать в ее регламенте.


Добавить комментарий