1 июля изменился порядок выдачи электронных подписей — СКБ Контур

1 июля изменился порядок выдачи электронных подписей — СКБ Контур Электронная цифровая подпись
На чтение 22 мин. Просмотров 88 Опубликовано
Содержание
  1. «подводные камни» простой электронной подписи
  2. 1 июля изменился порядок выдачи электронных подписей
  3. Безопасность при использовании кэп
  4. Государство vs. удостоверяющие центры
  5. Послесловие
  6. Проблема № 2 — ограничение использования электронной подписи
  7. Проблема № 4 — правила использования скзи
  8. Проблема № 5 — стандартизация средств электронной подписи
  9. Проблема № 6 — старые подписи
  10. Проблема № 7 — «атака назад в будущее»
  11. Решение проблемы № 1 («идентификация клиентов удостоверяющими центрами»)

«подводные камни» простой электронной подписи

Все информационные системы (ИС) можно разделить на публичные и закрытые, рассматривая круг пользователей, имеющих возможность создания или отправки электронных документов. Если, для доступа к ИС, человек обязан пройти процедуру проверки оригинала УЛ, то такая ИС будет закрытой, доступ к которой имеет строго определенный круг лиц.

ИС, доступ к которой имеет неопределенный круг лиц, не прошедших процедуру проверки УЛ, будет публичной. К закрытым ИС относятся все корпоративные ИС, так как человек, получивший к ней доступ, прошел процедуру оформления на рабочем месте с предъявлением документов и заключением трудового договора.

Рассмотрим основные способы подписания документов ПЭП, сложившиеся в российских реалиях.

Первым способом является заключение соглашения о том, что стороны признают документы, отправленные с электронного почтового ящика, подписанными ПЭП. В этом случае открытым ключом является адрес электронной почты, конфиденциальным ключом — пароль к электронному почтовому ящику. Юридически значимой такая ПЭП будет при соблюдении следующего условий:

  1. Почтовый сервис является закрытым, т.е. доступ к нему имеет строго определенный круг лиц, прошедших процедуру проверки оригинала удостоверения личности;
  2. Открытый ключ ПЭП содержится в передаваемом документе (ФЗ-63, статья 9 п.1);
  3. Пароль к почтовому ящику строго конфиденциален, известен только единственному, определенному лицу, прошедшему процедуру проверки оригинала УЛ перед получением пароля (ключа ПЭП) и это зафиксировано в соглашении (ФЗ-63, статья 9, п.2);

При использовании корпоративной электронной почты обычно соблюдаются все эти условия, т.к. корпоративная почта относится к закрытым ИС, адрес почтового ящика отправителя содержится в передаваемом сообщении, пароль к корпоративному личному почтовому ящику известен только строго определенному лицу.

1 июля изменился порядок выдачи электронных подписей

1 июля вступили в силу изменения в 63-ФЗ «Об электронной подписи». Теперь будущий владелец электронной подписи не может отправить вместо себя курьера с доверенностью — он должен получить подпись сам (ч.1 ст. 18 63-ФЗ, регламент УЦ СКБ Контур).

«Новые требования 63-ФЗ мы уже закрепили в своих регламентах, изменили под них процессы выдачи подписей. Вместе с нами изменения ввели и другие удостоверяющие центры. Это поможет снизить риск мошенничества с электронной подписью и сделать ее еще более надежным инструментом. Ведь теперь человек получает подпись лично, как и паспорт»,— отмечает руководитель Удостоверяющего центра Контура Сергей Казаков.

Чтобы получить подпись в Удостоверяющем центре Контура, нужно удостоверить личность одним из трех способов: 

  1. Лично приехать в офис УЦ с паспортом. Отправить вместо себя представителя нельзя, даже если у него есть нотариальная доверенность.

    Для тех, кто получает подпись юрлица, действуют дополнительные правила: 

  1. Заказать выезд нашего курьера и не посещать офис УЦ. Курьер приедет к вам, проверит ваш паспорт, удостоверит личность и заберет заявление на выдачу сертификата электронной подписи.

  1. Получить подпись онлайн. Это возможно, если вы получаете новую подпись вместо старой, а не оформляете ее в первый раз. Для онлайн-обновления должны выполняться три условия:

    • У вас есть действующая квалифицированная электронная подпись от УЦ Контура.
    • Остались прежними реквизиты организации и данные владельца, указанные в сертификате подписи.
    • Ваша подпись приобретена не для СМЭВ ЭП-ОВ.

    Если одно из условий не выполняется, то для обновления подписи вам нужно приехать в офис УЦ или заказать выезд курьера. 

Изменения в 63-ФЗ также вводят новый дистанционный способ удостоверения личности для получения подписи — с помощью биометрии из загранпаспорта или Единой биометрической системы (ЕБС). Но этот способ еще не работает, нужно время, чтобы удостоверяющие центры настроили интеграцию с базами биометрических данных.

Безопасность при использовании кэп


Безопасность КЭП

Статьей 10 Федерального закона от 06.04.2021 №63-ФЗ «Об электронной подписи (далее – Федеральный закон №63-ФЗ) установлена обязанность участников электронного взаимодействия обеспечивать конфиденциальность ключей электронных подписей.

При использовании электронной подписи стоит помнить, что токен в ваших руках – не просто флешка, а важный инструмент с помощью которого недоброжелатели могут вывести деньги со счета организации или даже переоформить ее на себя.

Чтобы не стать участником аферы, не передавайте свой ключ электронной подписи третьим лицам. Примером такой ситуации является случай, когда генеральный директор приобретает УКЭП и передает его бухгалтеру для сдачи отчетности, а бухгалтер выводит средства с расчетного счета компании.

В любом случае, чтобы обезопасить себя и свой бизнес, вам необходимо придерживаться трех простых правил:

  • Максимально бережно относиться к токену, который вы получили в УЦ, не передавать его третьим лицам. Если вашим сотрудникам для работы требуется сертификат ЭП – оформите им собственные КЭП.
  • В случае утери токена с действующим сертификатом ЭП или подозрений на незаконное использование – сразу обращайтесь в в УЦ для прекращения действия сертификата.
  • Если вам необходимо получить квалифицированную подпись – обращайтесь за ней только в проверенный Удостоверяющий Центр.

Спасибо, за внимание! Если у вас остались вопросы, от отвечу в комментариях.

#Электронная_Подпись#ЭЦП#крипто

Государство vs. удостоверяющие центры

Услышав о проблемах закона «Об электронной подписи», люди в первую очередь предлагают упразднить удостоверяющие центры и передать их функции государству. Одним из основных аргументов сторонников этой точки зрения является то, что эти «шарашкины конторы» не могут обеспечить безопасность предоставляемых услуг и сами являются потенциальными участниками конфликтов интересов (могут неправомерно выпустить подпись третьего лица и ей воспользоваться).

Следует отметить, что данные мысли не лишены логики, но для принятия взвешенных решений нужно учитывать и другие нюансы.

Экономические аспекты взаимодействия государства и частного бизнеса

Государство в эпоху цифровой экономики — это провайдер инфраструктурных сервисов, позволяющих экономике существовать и развиваться. Глобализация — неизбежный спутник цифровизации экономики — серьезно обострит конкуренцию между государствами. Инвестиции и человеческий капитал будут направляться в те страны, государственные сервисы которых наиболее эффективны.

Для победы в конкурентной борьбе государству, как и бизнесу, нужны инвестиции. Где их взять?
Увеличивать налоги — не вариант, так как это приведет к снижению эффективности гос. сервисов: за ту же работу государство будет брать больше. Где еще тогда можно взять деньги?

Наиболее перспективными вариантами получения инвестиций являются государственно-частное партнерство и делегирование бизнесу части государственных полномочий. В качестве примеров подобного взаимодействия можно привести:

Таким образом, мы приходим к выводу, что государство всеми силами должно сохранить вовлеченность частного бизнеса в реализацию своих функций, обязательно обеспечив должный уровень их качества. В противном случае подобное взаимодействие несет больше вреда, нежели пользы, и от него лучше отказаться.

Читайте также:  Настройка компьютера - РТС-тендер 44 ФЗ

Дополнительным аргументом в пользу сохранения коммерческих удостоверяющих центров как общественных институтов, как ни странно, является человеческий фактор. Сам факт того, что человек служит в госоргане, а не трудится в частной фирме, не делает его честней и порядочней.

Если человек не проводил идентификацию заявителя на выпуск электронной подписи, будучи работником коммерческого удостоверяющего центра, то он не будет этого делать и будучи госслужащим. Для того чтобы процесс заработал, нужны дополнительные усилия: грамотная мотивация труда, обеспечение контроля и др. Все эти меры можно успешно реализовать как в коммерческих компаниях, так и в госструктурах — в общем случае разницы нет.

С учетом вышесказанного в данной статье мы будем исходить из того, что коммерческие удостоверяющие центры будут и дальше продолжать выпускать электронную подпись.

Послесловие

Итак, мы с вами познакомились с некоторыми проблемами в текущем законе «Об электронной подписи». Проблем множество, но даже в этой статье нам не удалось рассмотреть их все. Мы поговорили лишь об одном, правда, наиболее значимом виде электронных подписей — квалифицированной усиленной электронной подписи.

Важно задать вопрос, приносит ли электронная подпись больше пользы, нежели вреда?

Субъективно многие граждане испытывают к электронной подписи недоверие, считая что все, что творится в цифровом мире, можно легко подделать. Отчасти они правы, но какова альтернатива? Собственноручная подпись и бумажные документы?

Если на данный момент стало известно всего о двух случаях кражи квартир с использованием электронной подписи, то количество аналогичных краж, совершенных с помощью традиционных бумажных документов, превысит это числов в тысячи раз.

Наше представление о стойкости собственноручной подписи иллюзорно и граничит с самообманом. Мало того, что ее может подделать любой человек с мало-мальски развитой мелкой моторикой рук, так она уже может быть воспроизведена с помощью машины.

Абсолютно стойкой защиты, к сожалению, не бывает. Это справедливо как для электронной, так и для собственноручной подписи.

Чем более массово электронная подпись будет использоваться, тем чаще ее будут пытаться подделывать (неправомерно использовать). Это неизбежно. Но все же процент правомерного использования электронной подписи значительно опережает процент неправомерного, а положительный эффект от закона превышает негативный.

Важно оперативно латать «дыры» в законодательстве, постоянно повышая планку затрат злоумышленников на совершение преступления. При этом сами латки должны быть легкореализуемыми и эффективными.

Проблема № 2 — ограничение использования электронной подписи

Электронные подписи, как и любые другие технологии, переживают определенные циклы развития. Текущий закон «Об электронной подписи» — это закон этапа популяризации технологии (электронная подпись уже используется обществом, но ее проникновение все еще далеко от повсеместного). В следствие этого закон больше ориентирован на массовость, нежели безопасность электронной подписи.

Единственный механизм ограничения использования электронной подписи приведен в п. 4 ст. 11 63-ФЗ. Там, в частности, говорится о том, что квалифицированная электронная подпись должна использоваться в соответствии с ограничениями, указанными в сертификате ключа подписи.

К сожалению, данная формулировка не позволяет полностью запретить выпуск и использование электронной подписи, в результате чего от электронной подписи страдают граждане, которые никогда в жизни ее не выпускали (например, жертвы приведенных в начале статьи инцидентов).

Особо остро проблема ограничения использования электронной подписи касается должностных лиц.

В данный момент они вынуждены жертвовать личной безопасностью в угоду интересов работодателя. Это, в частности, проявляется в том, что электронная подпись, выпускаемая на них для удовлетворения нужд компании, может быть использована против их личных интересов, например, для неправомерного переоформления квартиры в Росреестре.

Проблема усугубляется тем, что количество людей, которым может оказаться доступна электронная подпись должностного лица, трудно поддается ограничению и практически не зависит от воли владельца подписи. В качестве примеров людей, которым может стать доступной электронная подпись должностного лица, можно привести:

  • администраторов средств криптографической защиты информации (СКЗИ), ответственных за выпуск криптографических ключей и в том числе ключей электронной подписи;
  • ИТ-работников, настраивающих информационные системы для использования электронной подписи;
  • аудиторов, осуществляющих проверку работы организации (например, пентестеры);
  • сотрудников государственных контрольных органов, осуществляющих в отношении организации контрольные мероприятия;
  • сотрудников правоохранительных органов, проводящих в отношении компании работодателя оперативно-следственные мероприятия;
  • команду конкурсных управленцев, руководящих компанией, если та инициировала процедуру банкротства;
  • и, как ни печально, других лиц.

Проблема № 4 — правила использования скзи

(с) Яндекс.Картинки

Текущая законодательная база, регулирующая использование электронной подписи, содержит требование по обеспечению безопасности, которое, в конечном счете, может привести к обратному эффекту и создать прецедент для оспаривания подписи. Разберем все по порядку.

П.п. 2. п. 4 ст. 5 63-ФЗ устанавливает требования к квалифицированной электронной подписи: «для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом».

Указанные требования к средствам электронной подписи определены в Приказе ФСБ РФ от 27.12.2021 N 796. В п. 6 данного документа сказано, что средства электронной подписи (а это — СКЗИ) должны эксплуатироваться в соответствии с ПКЗ-2005.

Тут сразу возникает вопрос, будет ли считаться электронная подпись квалифицированной, если она сделана с помощью сертифицированного СКЗИ, эксплуатируемого не в полном соответствии с правилами пользования (технической документацией).

Однозначного ответа на данный вопрос законодательство не содержит. Следовательно, учитывая состязательность российского судопроизводства, по схожим делам будут выноситься диаметрально противоположные решения, что в конечном счете может привести к снижению доверия к электронной подписи, и сделает ее более уязвимой к атакам на неотрекаемость.

Для иллюстрации данной проблемы рассмотрим ситуацию, часто возникающую при получении квалифицированных сертификатов ключей подписи в удостоверяющих центрах. Суть ее в том, что срок действия сертификата может быть определен в 5 лет, а срок действия закрытого ключа (расширение PrivateKeyUsagePeriod OID 2.5.29.16)

Проблема № 5 — стандартизация средств электронной подписи

1 июля изменился порядок выдачи электронных подписей — СКБ Контур(с) Яндекс.Картинки

Если вы когда-нибудь сталкивались с настройкой компьютеров для осуществления юридически значимого электронного документооборота с гос. органами, то наверно помните тот ад, что при этом возникает. Жонглирование версиями криптопровайдеров, браузеров и плагинов, в результате которого система начинает хоть как-то работать, не поддается научному объяснению. Данное действо больше похоже на танец шамана, взывающего к духам бури, земли и огня у ночного костра.

При этом радость от успешной настройки быстро сменяется жуткой депрессией, когда выясняется, что работнику, для которого выполнялась настройка, нужно посылать отчеты в еще один гос. орган. А там свое СКЗИ, свои ключи и вообще всё свое. Ну и вишенкой на торте конечно же является тот факт, что два сертифицированных СКЗИ на одном компьютере в принципе не уживаются.

Читайте также:  Газпромбанк запустил торги по 44 фз в 2023 г. с помощью торговой площадки газпроффонда

Таким образом, в копилку проблем текущего закона можно смело добавить отсутствие стандартизации и совместимости между СКЗИ, используемыми для формирования и проверки квалифицированных электронных подписей.

Постановление Правительства РФ от 09.02.2021 N 111 «Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи» не в счёт, так как распространяется только на межведомственное взаимодействие, да и по сути не дает никакой конкретики.

Проблема № 6 — старые подписи

1 июля изменился порядок выдачи электронных подписей — СКБ Контур(с) Яндекс.Картинки

Давайте зададимся вопросом, что будет с документом, подписанным электронной подписью через 30 лет, а через 100 лет? Откуда такие сроки? Все просто: для сделок с недвижимостью характерно длительное владение собственностью. Вот поэтому и 30 лет, и 100 лет — не предел. Например, Александр II продал Америке Аляску в 1867 году, то есть 152 года назад.

Но вернемся к электронной подписи. С точки зрения технологии ее стойкость базируется на математических свойствах криптографических алгоритмов, лежащих в ее основе. При этом стойкость самих алгоритмов базируется лишь на незнании эффективных способов их взлома.

Текущий стек криптографических алгоритмов, используемых для электронной подписи в России, базируется на ГОСТ Р 34.10-2021, ГОСТ Р 34.11-2021, ГОСТ 34.12-2021 и еще немереного числа рекомендаций по стандартизации и алгоритмов спутников. Что будет с ними через 30 лет? Есть мнение, что с ними уже сейчас не все здорово.

Проблема уязвимостей в алгоритмах и средствах электронной подписи не является чисто гипотетической. Мировая практика уже столкнулась с подобными вещами, например, уязвимость ROCA.

Таким образом, очередная проблема закона — это отсутствие регулирования, направленного на поддержание долговременной юридической значимости электронных документов.

Проблема № 7 — «атака назад в будущее»

1 июля изменился порядок выдачи электронных подписей — СКБ Контур(с) киносказки Александра Роу

Данная атака — это, пожалуй, осиновый кол в сердце электронного документооборота, использующего для заверения документов только электронную подпись.

Проблема в том, что, манипулируя с датой формирования электронной подписи, злоумышленник может добиться как признания поддельной подписи, так и отрицания легитимной.

Пример 1 – признание поддельной подписи

Жил был Ярополк и руководил он артелью заморских каменных дел мастеров. По просьбе заказчика своего, Всеволода, решил он упростить обмен бумагой окаянной и оформил себе квалифицированный сертификат электронной подписи.

Ярополк и Всеволод договорились, что вместо бумажных пергаментов, от руки написанных, будут они по почте электронной слать друг другу файлы, в редакторе MS Word составленные и подписью электронной с помощью СКЗИ КриптоПРО и ПО КриптоАРМ заверенные. По наставлению волхвов, в том толк знающих, решили дату подписи документов прописывать в файлах электронных перед их заверением.

Записали все это на пергаменте и скрепили подписями своими, назвав сей документ «Соглашением об электронном документообороте».

Долго ли, коротко ли работали они по такой схеме. Но затем жадность жабою тяжелою грудь Всеволоду сдавила, навевая мысли темные о том, что платит Ярополку он слишком дорого. Начали думы горькие изводить Всеволода по-разному: сна лиши, да настроение испортили.

Решил Всеволод с горем своим обратиться к знахарке местной, Бабой-Ягой величать которую. Та за плату щедрую надоумила Всеволода закрытый ключ электронной подписи у Ярополка выкрасть. Как известно, ключ тот содержался в приборе заморском, яйцо напоминающем (USB токен), в заднюю часть компьютера постоянно воткнутом.

Для плана своего коварного нанял Всеволод блудницу кареглазую, чтоб та чарами своими амурными разум Ярополку затуманила и в тридевятое царство съездить надоумила.

Пока в путешествии заморском Ярополк с блудницей развлекался, Всеволод в тайне прокрался в палаты белокаменные и прибор, яйцо напоминающий, ключ Ярополка содержащий, из задней части компьютера вынул и сбежал с ним.

Но не знал Всеволод, что перед отъездом своим Ярополк чары охранные на палаты свои наложить попросил. Чары те сработали и сигнал в дружину городскую направили. Прибыв на место и не найдя ворогов лютых, дружинники челядь Ярополка вызвали, чтоб та проверила, не украдено ли добро какое-нибудь ценное. Приказчик Ярополка обнаружил пропажу «яйца» заветного, ключ электронной подписи содержащего. Памятуя заветы волхвов, он немедленно к мастерам обратился, что «яйцо» то изготовили, чтоб заклятиями своими силу «яйца» они изничтожили. Мастера, следуя заветам предков, добавили сертификат электронной подписи Ярополка к списку отозванных сертификатов и наказ дали, чтоб Ярополк «яйцо» то не пользовал, даже если оно сыщется, и чтоб к ним он скорее за новым «яйцом» явился, новую электронную подпись получить.

Всеволод узнал все это и еще больше пригорюнился. Отправился он с думами тяжкими к Бабе-Яге за советом мудрым. Узнав о горе Всеволода, Баба-Яга закатилась злобным хохотом и, проржавшись, молвила: «Это не беда! А делать тебе нужно следующее:

  1. Запусти свой компьютер и переведи дату на три месяца назад, когда ключ Ярополка действовал еще.
  2. Составь документ новый и напиши в нем, что Ярополк взял у тебя денег множество и с процентами отдать обязуется через три месяца.
  3. В качестве даты подписания документа укажи дату, что на компьютере у тебя будет.
  4. Подпиши документ сей своей электронной подписью и подписью Ярополка».

«Чует мой дух,» — сказала старуха — «что Ярополк на „яйце“ пароль по умолчанию оставил».

Всеволод так и сделал и через суд забрал у Ярополка денег видимо не видимо.

Так как, согласно п.2 ст. 11 63-ФЗ: «Квалифицированная электронная подпись признается действительной… при одновременном соблюдении следующих условий:… квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;» документ липовый, Всеволодом составленный, судьей годным признан был, поскольку подписью Ярополка был заверен, а дата формирования подписи с периодом, когда подпись действовала, совпадала. Оспорить дату эту окаянную Ярополк не смог, поскольку та по всем правилам «Соглашения об электронном документообороте» была поставлена.

Пример 2 – отрицание легитимной подписи

Раздосадованный трагедией ужасной, денег уйму стоящей, решил Ярополк отомстить Всеволоду, да так, чтоб той же монетой, чтоб по справедливости.

Принялся Ярополк читать писание, закон 63-ФЗ содержащее. Читал, читал… да и уснул. И приснился ему муж величавый, ликом Вещевого Олега напоминающий. Взирал тот муж на поле ратное, где полчища басурман поверженных кровью своей поганою Русь святую пачкали, и гласил речи грозные: «Кто к нам с чем за чем, тот от того и того…». По утру проснулся Ярополк в бодром здравии, ибо знал он теперь, что делать ему надобно.

Читайте также:  Электронная подпись документов: как подписать, у ково есть право подписи, доверенность — Удостоверяющий центр СКБ Контур

Пришел Ярополк к Всеволоду и слово молвил, что, несмотря на все разногласия, у мастеровых его семьи, да дети малые, что без работы худо им, и предложил строить палаты белокаменные вместе и далее. Услышав это, Всеволод несказанно возрадовался и сообщил, что не против он продолжения сотрудничества, но платить будет по справедливости, то есть в два раза меньше прежнего.

Ярополк предложение то принял, но сказал, что «Соглашение об электронном документообороте» поменять надобно: слова про дату подписания документов от туда выкинуть. Также добавил он, что раз денег за работу вдвое меньше будет, то надобно аванс ему выдать, да наличными, чтоб мог он камня строительного привести, да часть жалования мастеровым выдать. За деньги полученные расписку он составит безбумажную, электронной подписью заверенную. На том и порешили.

Выдал Всеволод аванс Ярополку и получил взамен расписку электронную.

После этого пошел Ярополк к мастерам, что «яйцо» с электронной подписью изготовили, и попросил новое «яйцо» сделать, так как старое у него лихие люди вместе с кошелем в подворотне похитили. Мастера отозвали подпись старую, да «яйцо» с новой выдали.

Проходит неделя, другая, а Ярополк работы и начинать не думает. Разгневался Всеволод и вызвал Ярополка, чтоб испросить с него за бездействие. А Ярополк слово молвит, мол денег аванса он так и не получил, не на что камень строительный приобрести. Всеволод почуял неладное, да в суд на Ярополка опять подал.

Во время слушаний предъявил Всеволод судье мудрому расписку электронную, подписью Ярополка заверенную. На что Ярополк ответил: «Подписка та поддельная лихими людьми составлена, что „яйцо“ его похитили».

Для разрешения спора этого сложного запросил судья у мастеров, что подпись Ярополку выпустили, дату отзыва подписи его электронной, так же вязл судья у Всеволода оригинал «Соглашения об электронном документообороте».

Поскольку соглашение то не содержало слов о том, что считать датой подписи электронного документа, а также, учтя тот факт, что стороны не пришли к согласию относительно самого факта подписи и соответственно даты ее совершения, судья мудрый принял решение, что дата электронной подписи электронного документа достоверно не определена.

После этого обратился он к п.2 ст. 11 63-ФЗ: «Квалифицированная электронная подпись признается действительной… при одновременном соблюдении следующих условий:… квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен».

На основании всего выше сказанного суд пришел к выводу, что электронная подпись под документом не действительна, так как дата подписания документа достоверно не определена, а на момент проверки подписи ее сертификат не действителен.

Решение проблемы № 1 («идентификация клиентов удостоверяющими центрами»)

Для обычного гражданина получение электронной подписи по значимости равносильно получению национального паспорта. По сути это два практически равносильных удостоверения личности, только первое — для реального мира, а второе — для «цифрового». Раз ценность удостоверений равна, то и защита их также должна быть равносильной. Другими словами электронная подпись должна выдаваться столь же строго, как и паспорт.

Но все же по сравнению с паспортом у электронной подписи есть важные отличия:

  1. Если паспорт выдается на длительный срок (десятки лет), то электронная подпись — на короткий, как правило, не больше года и трех месяцев.
  2. Обладание паспортом не требует специальных знаний. Обладание же электронной подписью требует. Например, при использовании электронной подписи часто возникают сугубо ИТ-шные вопросы, требующие оперативной технической поддержки.
  3. Для того чтобы воспользоваться краденными паспортом или электронной подписью, злоумышленник должен преодолеть их систему защиты, например, переклеить фотографию в паспорте или взломать пароль на электронной подписи. При этом определить, что злоумышленник воспользовался краденным паспортом, можно по показаниям очевидцев или записям видеонаблюдения, установить же факт неправомерного использования электронной подписи практически невозможно.


Паспорта выдает МВД России. Следуя принципу равной защищенности, рассмотренному выше, получается, что оно же должно выдавать и электронные подписи. Однако, сделать это в рамках существующей структуры МВД России невозможно:

  • Во-первых, потому что наряду с государственными функциями (идентификация, учет и контроль удостоверений личности, …) МВД потребуется выполнять еще сугубо ИТ-шные функции: техническая поддержка, консультации и др.
  • Во-вторых, для МВД потребуется организовать закупки технических и криптографических средств в массовых масштабах, а это будут гигантские бюджетные траты.
  • В-третьих, МВД потребуется существенно расширить штат, так как количество выпускаемых / отзываемых электронных подписей существенно больше аналогичного количества паспортов.

Здесь упоминается МВД России, но приведенные рассуждения будут справедливы и для любых других гос. структур. Как ни крути, а затраты государства на передачу функций удостоверяющих центров в любой из своих органов будут гигантскими. Реальный экономический эффект, выраженный в снижении потерь от экономических преступлений, связанных с использованием электронной подписи, вряд ли будет значительным.

Оптимальный вариант решения сложившейся проблемы видится в совершенствовании процедуры выпуска электронных подписей. В частности, предлагается следующий набор мер:

  1. Запрет оформления электронной подписи по доверенности (паспорт по доверенности получить нельзя).
  2. Законодательное принятие методики идентификации заявителей на оформление электронной подписи, как минимум включающей в себя:
    • наличие не менее двух людей, проводящих идентификацию заявителей своими глазами (как во многих банках при оформлении вкладов или кредитов);
    • наличие процедур проверки документов, удостоверяющих личность заявителя, на предмет подделки.
  3. Обязательная фиксация процедуры идентификации личности заявителя на фискальный видеорегистратор (исключающий возможность подделки видеозаписей) и хранение записей в течение 3 лет (срок исковой давности) со дня окончания срока действия сертификата ключа подписи.

Основным нюансом данного набора мер будет выбор второго человека, проводящего идентификацию личности заявителя на выпуск электронной подписи. Рассмотрим несколько вариантов, отличающихся друг от друга ожидаемой достоверностью идентификации и затратами на реализацию. Вторым человеком, проводящим идентификацию, может быть:

  1. Еще один работник удостоверяющего центра. Самый дешевый вариант, обладающий минимальной безопасностью.
  2. Нотариус. Более дорогой вариант, обладающий максимальной безопасностью без привлечения госслужащих.
  3. Сотрудник МВД России. Самый затратный, самый безопасный вариант (если не они то кто?).


Реализация любой из предлагаемых мер неизбежно приведет к увеличению стоимости электронной подписи. Это, к сожалению, — неизбежное зло.

Усиливая процедуру идентификации заявителей на выпуск электронной подписи, нужно аналогичным образом усиливать и процедуры выдачи SIM-карт, и процедуры авторизации учетных записей на портале «Госуслуги».

Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2023 ЭЦП Эксперт