Что такое отсоединенная электронная цифровая подпись

Как организовать обмен электронными документами между организациями?

Для этого необходимо выполнить следующие действия:

• Определить цели и специфику документооборота между вашей организацией и другой организацией. Это должно быть оформлено в виде соглашения или договора, в котором определяются и регламентируются операции и состав документов с электронной подписью, передаваемым в электронном виде. Такие типовые договора подписывают, например, банки с клиентами, разрешая пользоваться системой клиент-банк, уполномоченные налоговыми органами организации;
• Выпустить внутренние инструкции, регламентирующие порядок передачи и приема  электронных документов с другой организацией, включая порядок проверки электронной подписи полученных документов и действия в случае отсутствия подлинности электронной подписи.

Теперь можно начать обмен электронными документами между организациями.

Как я пытался поменять полис ОМС через госуслуги

На портале госуслуг с помощью можно сделать многое. Эти сервисы планируют расширять. Недавно появились прототипы пяти суперсервисов:

Пока это только прототипы. Как они будут работать на самом деле, непонятно. Разработчики обещают, что, например, европротокол для получения страховки при ДТП можно будет составить, вообще не заполняя бумаг, подписать его и прямо с места ДТП отправить в страховую компанию. Мне кажется, это полезно.

В вуз я не поступаю и в другой регион не переезжаю. Единственное, что нашел на госуслугах из необходимого мне сейчас, — это подача заявления о выборе страховой медицинской организации.

Ожидания. Я хотел заменить полис ОМС, потому что мне неудобно пользоваться бумажным. Я понимаю, что разницы нет, но для меня пластиковая карточка удобнее большого бумажного листа. Страховая компания, в которой я был застрахован ранее, пластиковых полисов не выдавала. Поэтому я решил сменить страховую.

Я надеялся, что мне никуда не придется ходить, чтобы подать заявление о выборе страховой, и визит в страховую компанию будет только один — для получения полиса.

Как это работает. На госуслугах нужно было перейти на страницу оказания услуги. Там открылось окно для подачи заявления. Личные данные появились в форме автоматически.

Когда я заполнил форму, нужно было подписать заявление электронной подписью. Для этого необходимо вставить токен в . Система сама обратится к токену — нужно только следовать подсказкам и в конце нажать на кнопку «Отправить». Срок рассмотрения заявления — 30 дней. Потом, по идее, должны прислать приглашение в страховую для получения готового полиса.

После выбора услуги откроется окно для подачи заявления о выборе страховой медицинской организации

Личные данные заполнять не потребуется — система подставит их автоматически

Затем система предложит подписать заявление. После нажатия кнопки «Подписать» система сама обратится к токену с ЭП и заверит все отправляемые документы

Так выглядит процесс подписания

Потребуется ввести пин-код. Для всех носителей подписи он один — 12345678. И это плохо: в случае утери токена любой сможет подписать документы от вашего имени. При получении токена обязательно измените пин-код

После этого заявление готово. Достаточно нажать кнопку «Отправить заявление»

Реальность. Сообщение о приеме заявления я не увидел. 30 дней прошло — заявление так и не было отправлено в страховую компанию.

Почему так получилось, сказать сложно. Может быть, это был технический сбой или страховая компания решила не принимать заявления, подписанные , через госуслуги. Чтобы завершить оформление полиса или узнать, почему мое заявление так и не было отправлено, придется обратиться в страховую компанию лично.

Не могу утверждать, что всех пользователей госуслуг ждет результат. Но у меня сэкономить время и силы за счет современных электронных сервисов в этом случае не получилось.

Мое заявление так и находится в очереди на отправку. Судя по всему, страховая компания не знает, что я хочу поменять полис

Как подписать документ электронной подписью

Ваше СКЗИ добавляет в контекстное меню вашей операционной системы — Виндоус или  — свой специальный раздел. Таким образом, можно подписать любой документ просто нажатием правой кнопки мыши. На сайте каждого СКЗИ можно найти подробную инструкцию, как подписывать документ.

Например, так работает процесс подписания с помощью программы « »:

• Кликните правой кнопкой мыши по документу.
• Найдите пункт меню « » и нажмите «Подписать».
• После этого запускается мастер создания электронной подписи, который подробно объяснит все дальнейшие шаги.
• В итоге рядом с документом появится новый файл  — это и есть файл электронной подписи.

Запуск мастера создания электронной подписи с помощью «Крипто-АРМ» в Виндоус

Документы « » подписать еще проще:

• В ворде во вкладке «Файл» откройте пункт «Сведения».
• Найдите кнопку «Защита документа». В экселе она будет называться «Защита книги», в пауэпоинте — «Защита презентации».
• Далее в открывшемся меню нажмите кнопку «Добавить цифровую подпись».
• Выберите из списка сертификат подписи и нажмите «Ок».

В результате документ становится недоступным для изменения, а рядом с ним в папке появится файл подписи в формате .

Если у вас установлена СКЗИ и есть подпись, то подписать документ можно прямо в ворде

Документы можно подписывать в электронной почте и облачных хранилищах — например, в «Дропбоксе» и на «Яндекс-диске». Для этого нужно установить специальное расширение для браузера. Такое расширение добавляет в интерфейс вашего файлового хранилища кнопку «Подписать».

В « » плагины для электронной подписи можно найти во вкладке «Дополнения».

Чтобы подписать документ в «Гугл-докс» с помощью плагина eSignGSA, найдите плагин в разделе «Дополнения» и установите его. Затем нажмите Start

Что понадобилось для эксперимента

Для эксперимента я оформил усиленную квалифицированную электронную подпись на защищенном носителе — токене. Это обошлось мне в 1400 рублей.

Я использовал ноутбук Acer с операционной системой Windows 10. Для работы установил программы, без которых подпись работать не будет. Инструкция по их установке была на сайте удостоверяющего центра, который выпустил для меня ЭП. была ссылка для скачивания и автоматической установки — мое участие в этом процессе было минимальным. Это бесплатно.

ЭП работает не только на Windows. До эксперимента у меня на ноутбуке стояла Linux, но самостоятельно настроить ее для работы я не смог. Везти компьютер в удостоверяющий центр мне было неудобно — оказалось проще установить на ноутбук Windows.

Еще мне понадобился ворд, где я создавал документы для подписи, и учетная запись на госуслугах — она у меня уже была, создавать новую не пришлось. Больше для работы ничего не потребовалось.

Вот так выглядит токен с электронной подписью. Он похож на флешку, вставленную в порт компьютера

Термины криптографии

Предлагаемый глоссарий не ставит перед собой цель максимально полно и точно осветить терминологию, касающуюся криптографии и электронной цифровой подписи. Глоссарий поможет Вам не запутаться в терминах, которые часто встречаются при использовании «КАРМА»

Еще одна цель глоссария – раскрыть основной смысл понятий, не углубляясь в специфические подробности, ведь знание основных принципов позволяет не запоминать множество деталей. Возможно, для специалистов в области криптографической защиты информации этот глоссарий покажется недостаточно подробным, но ведь специалистам такой глоссарий и не нужен.

Криптография

В дословном переводе с греческого – тайнопись, наука о математических способах сокрытия информации от постороннего читателя.

Криптография решает следующие задачи:

• Шифрование – процесс преобразования обычного текста в шифрованный текст
• Расшифровывание – процесс преобразования шифрованного текста в обычный текст
• Имитозащита – защита от навязывания ложной информации

Криптографическая защита информации

Защита информации с помощью криптографических механизмов. При помощи криптографической защиты реализуются конфиденциальность (невозможность прочтения посторонними) и аутентичность (целостность, подлинность, авторство и не отказуемость от него ) информации.

Особенностью современной криптографической защиты информации является тот факт, что общедоступность алгоритмов, по которым преобразовывается информация, не влияет на степень защищённости данных.

СКЗИ

Средства криптографической защиты информации – программные и аппаратные средства, реализующие криптографические алгоритмы и обеспечивающие их применение для защиты информации.

Криптографический ключ

Криптографические ключи различаются согласно алгоритмам, в которых они используются.

• Симметричные ключи — ключи, используемые в симметричных алгоритмах шифрования. Главное свойство симметричных ключей: для выполнения как прямого, так и обратного криптографического преобразования (шифрование – расшифровывание) необходимо использовать один и тот же ключ. С одной стороны, это обеспечивает более высокую конфиденциальность сообщений, с другой стороны, создаёт проблемы распространения ключей в системах с большим количеством пользователей.
• Асимметричные ключи — ключи, используемые в асимметричных алгоритмах. Вообще говоря, они являются ключевой парой, поскольку всегда состоят из двух связанных друг с другом ключей:

  Закрытый (секретный) ключ — ключ, известный только своему владельцу. Только сохранение пользователем в тайне своего закрытого ключа гарантирует невозможность подделки злоумышленником документа и электронной подписи от имени заверяющего.

  Открытый (публичный) ключ — ключ, который может быть опубликован и используется для проверки подлинности подписанного документа, а также для предупреждения мошенничества со стороны заверяющего лица в виде отказа его от подписи документа.

• Закрытый (секретный) ключ — ключ, известный только своему владельцу. Только сохранение пользователем в тайне своего закрытого ключа гарантирует невозможность подделки злоумышленником документа и электронной подписи от имени заверяющего.
• Открытый (публичный) ключ — ключ, который может быть опубликован и используется для проверки подлинности подписанного документа, а также для предупреждения мошенничества со стороны заверяющего лица в виде отказа его от подписи документа.

Главное свойство ключевой пары: по секретному ключу легко вычисляется открытый ключ, но по известному открытому ключу практически невозможно вычислить секретный.

Удостоверяющий центр

Удостоверяющий центр – организация или подразделение, обеспечивающее взаимное доверие между участниками обмена электронными сообщениями, подписанными электронной цифровой подписью. Именно обеспечение доверия между сторонами является основной задачей удостоверяющего центра, в этом его задача близка к задаче службы нотариата. Только на основании доверия всех участников обмена к удостоверяющему центру строится механизм доверия сторон к электронным цифровым подписям и сведениям, указанным в сертификатах участников обмена.

Для реализации механизма взаимного доверия участников обмена удостоверяющий центр имеет центр сертификации, который:

• изготавливает сертификаты открытых ключей;
• создает ключи по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа;
• приостанавливает и возобновляет действие сертификатов открытых ключей, а также аннулирует их;
• ведет реестр сертификатов открытых ключей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;
• проверяет уникальность открытых ключей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;
• выдает сертификаты открытых ключей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;
• осуществляет по обращениям пользователей сертификатов открытых ключей подтверждение подлинности электронной подписи в электронном документе в отношении выданных им сертификатов открытых ключей;
• может предоставлять участникам информационных систем иные связанные с использованием электронных подписей услуги.

Сертификат

Если быть точным – сертификат открытого ключа – цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа.

Содержит в себе информацию о владельце сертификата, сведения об открытом ключе, его назначении и области применения, Удостоверяющем Центре, выдавшем сертификат, сроке действия сертификата и другие данные. Сертификат в электронном виде защищён электронной подписью Удостоверяющего Центра, выдавшего сертификат – это позволяет доверять сведениям, указанным в сертификате, ответственность за них берёт на себя Удостоверяющий Центр.

Сертификат играет роль визитной карточки владельца в информационной среде, а так же несёт криптографическую нагрузку как хранилище открытого ключа.

Отдельно можно выделить сертификат корневого Удостоверяющего Центра. Такой сертификат является самоподписанным – для него нет электронной подписи, позволяющей проверить достоверность сведений, указанных в сертификате. Доверие сертификату корневого Удостоверяющего Центра оказывается априори, подтвердить достоверность указанных в нём сведений некому.

Цепочка сертификатов открытых ключей

Цепочка сертификатов – набор взаимосвязанных документов, который позволяет удостовериться, что предъявленный сертификат был выдан доверенным удостоверяющим центром. Последним звеном в этой цепочке является предъявленный сертификат, начальным – сертификат корневого доверенного центра сертификации, а промежуточными – сертификаты, выданные промежуточным центрам сертификации. Особенностью пути доверия является то, что при потере доверия к начальному звену цепочки (корневому центру сертификации) теряется доверие ко всей цепочке, то есть ко всем выданным данным центром сертификатам и к предъявленному в том числе.

Список отозванных сертификатов

Список отозванных сертификатов (СОС) – особым образом оформленный перечень идентификаторов сертификатов открытых ключей, признанных удостоверяющим центром недействительными по разным причинам. Опубликовывается удостоверяющим центром, доставляется пользователю (например, в виде файла с расширением .crl) и размещается в операционной системе. СОС является частью инфраструктуры открытых ключей и позволяет пользователю не допустить ошибочного доверия к какому либо сертификату открытого ключа, если удостоверяющий центр в доверии сертификату отказал.

Инфраструктура открытых ключей

Инфраструктура открытых ключей (англ. PKI – Public Key Infrastructure) – реализация технологии управления механизмами доверия между субъектами информационной системы, основанная на использовании открытых ключей и сертификатов.

Задачи, решаемые инфраструктурой открытых ключей:

• установление доверия (в рамках заданной модели доверия)
• система именования субъектов, обеспечивающая уникальность имени в рамках системы
• связь имени субъекта и пары ключей (открытый и закрытый) с подтверждением этой связи средствами удостоверяющего центра, которому доверяет субъект, проверяющий правильность связи

Электронная подпись

Электронная подпись – формализованный и структурированный электронный документ, предназначенный для защиты подписанной информации от подделки, содержащий в себе полученный в результате криптографического преобразования информации с использованием закрытого ключа реквизит и позволяющий идентифицировать владельца сертификата, установить отсутствие искажения информации и обеспечивает неотказуемость подписавшегося.

Что включает штамп на визуализации ЭД

Согласно ГОСТу Р-7.0.97-2016 от 1.07.2018 г. в форме электронной подписи должна содержаться новая форма с атрибутом «отметка об электронной подписи». Она обязательна для любого ЭД при его визуализации, сканировании или на печати в том месте, где обычно подпись проставляется на бумаге от руки.

Отметку ставят на документе, подписанном электронной подписью, который представляет собой:

• распечатку электронного контракта;
• распечатку протокола рассмотрения заявок и их оценку для участия в торгах на ЭТП;
• ответы на запросы контролирующих органов.

Штамп электронной подписи обязательно включает такие реквизиты, как:

• номер сертификата ключа подписи;
• ФИО владельца ЭЦП;
• срок окончания действия сертификата;
• фразу о том, что документ подписан ЭП.

Дополнительно штамп может содержать эмблему:

По требованиям стандарта отметка об электронной подписи должна быть читаемой, а ее элементы не должны пересекаться или накладываться друг на друга.

Как поставить отметку

Обычно для постановки отметки об электронной подписи используется два варианта:

• изготовление штампа с последующей вставкой его в копии;
• настройка подписи в MS Office.

Чтобы настроить ЭЦП через MS Office нужно в открытом документе перейти в подменю «Вкладка» и выбрать «Строка подписи»:

Далее выбрать «подписание»:

Если изготавливается штамп, то в копию он вставляется обычным способом через вставку картинки или рисунка и размещается на нужном месте.

Электронная бандероль. Шифрование и электронная подпись

Для пересылки бумажных документов по почте, давно и успешно применяется бандероль – непрозрачный плотный конверт с адресом отправителя и получателя, в который вложено отправление. Конверт выполняет при этом две функции – сохраняет содержимое в неприкосновенном виде и содержит необходимую адресную информацию.

При работе с электронными документами, пересылаемыми по электронной почте, существует возможность пользоваться электронным аналогом привычной бандероли.

«КАРМА» позволяет одновременно зашифровать и подписать пересылаемые данные. В результате этой операции будет сформирован файл, в котором, как в конверте, будет спрятана Ваша информация, защищённая с помощью шифрования, а электронная подпись обеспечит как целостность «бандероли», так и снабдит «бандероль» информацией об отправителе.

Этот файл-бандероль можно отправить по электронной почте или на машинном носителе получателю. При этом абсолютно исключается случайная или намеренная фальсификации отправляемых данных и их просмотр.

Даже в том случае, если бандероль по ошибке попадёт не в те руки – прочитать информацию сможет лишь ее законный получатель. Извлечь же электронные документы из такой бандероли при помощи «КАРМА» не составляет труда для получателя.

Как я успешно подал жалобу в ГИБДД

Пока я экспериментировал с сайтом госуслуг, выяснил, что у меня есть два неоплаченных штрафа. С удивлением узнал, что превысил скорость в Свердловской и Псковской областях, попал на камеры системы видеофиксации и теперь должен в бюджет деньги — по 500  за каждое превышение.

Штрафы, конечно, нужно платить, но была одна проблема: в Псковской области скорость превысил автомобиль Мерседес-Бенц Е400 с моим госномером, а в Свердловской — Фольксваген Транспортер, тоже с моим госномером. Я ни в одной из этих областей не был, и вообще у меня Лада Калина.

Можно было обратиться в суд, но проще всего отправить жалобу руководителю сотрудника ГИБДД, который оформил постановление об административном правонарушении. Обратиться можно через онлайн-сервис ГИБДД.

Ожидания. Я надеялся, что ГИБДД будет удобнее работать с заявлением, подписанным ЭП. Там будут точно знать, что отправитель именно я, и это не мой сосед заполнил жалобу, подписал ее моей фамилией и указал мой адрес.

Что думают по этому поводу сами сотрудники ГИБДД, мне выяснить не удалось. Возможно, им все равно: если жалоба направлена через сайт, отвечать им придется в любом случае. Наличие или отсутствие электронной подписи ни на что не повлияет.

Как это работает. При подаче жалобы можно обойтись без электронной подписи. Достаточно заполнить все необходимые поля в форме: указать персональные данные, регион, в котором хотите обжаловать постановление, и изложить суть жалобы.

Но у формы для заполнения есть недостатки. Поле для обращения не позволяет скопировать и вставить текст из другого документа. Так как я оспаривал постановления в разных регионах, мне два раза набирать текст жалобы вручную — это неудобно.

Я создал одно обращение сразу в два подразделения ГИБДД в ворде: в шапке заявления указал обоих адресатов. К форме для подачи жалобы в качестве вложения прикрепил вордовский файл, подписанный ЭП.

Такие электронные документы можно смело отправлять по электронной почте в любые государственные органы — они будут равнозначны подписанным собственноручно. Если попробует изменить текст, информация о подписи справа исчезнет, и любой человек увидит, что документ исправляли. Измененный документ юридической силы не имеет.

Так выглядит подписанный документ в ворд. В гугл-документах, к сожалению, работа именно с моей ЭП не поддерживается — там свои сервисы для подписей

Реальность. На следующий день после отправки жалобы информация о штрафах исчезла из моего личного кабинета на госуслугах. Вскоре пришло два ответа из ГИБДД, что скорость превысили другие водители, а не я.

Если бы я отправил вордовский документ, не подписанный ЭП, мое обращение все рассмотрели. И я  аналогичный ответ.

Штраф не мой — платить за чужое нарушение мне не нужно. Отлично!

Использование ЭП в судебной практике

Применение электронной подписи иногда осложняет судебное разбирательство. Отчетность вместо руководителя может заверить главный бухгалтер, а юрист — заявление для суда заверяет вместо истца. Похожие нарушения встречаются при использовании ПО «клиент-банк», когда платежные поручения отправляются не самим владельцем ЭП.

При рассмотрении исков о неправомерном списании денежных средств с расчетного счета организации суд признает правильность действия банка, поскольку ЭП корректна, а передачу права подписи третьему лицу рассматривает как нарушение договорных отношений и правил обслуживания клиентов.

https://youtube.com/watch?v=8Ft6-UQO4CI%3Ffeature%3Doembed

Аналогичная практика возникает и при участии в электронных государственных торгах. Если организация своевременно не подписала выигранный контракт, то она признается стороной, уклонившейся от заключения договора и вносится в реестр недобросовестных поставщиков. В судебной практике часты и случаи, когда организацию заносят в реестр из-за контракта, подписанного лицом, неимеющим права на заверение подобных документов.

В гражданско-правовых отношениях возникают споры контрагентов о законности документов, подписанных ЭП неуполномоченных лиц. При вынесении решения суд исходит из проверки действительности сертификата ЭП.

В законодательстве РФ нет прямых запретов на передачу ЭП третьим лицам с согласия владельца, и при возникновении спорных ситуаций суд признает владельца подписи лицом, подписавшим документ. Вся ответственность за использование ЭЦП лежит на владельце сертификата, и в случае компрометации ключа он обязан обратиться в УЦ с заявлением о приостановке деятельности подписи. В спорных случаях такое обращение может служить доказательством причинения ущерба не владельцем подписи, а сторонним лицом.

Можно ли передать подпись другому

Теоретически можно. По закону вы должны не допускать того, чтобы подпись попала в чужие руки без вашего согласия. Получается, другой человек может использовать вашу подпись, если вы согласились на это. Но ответственность за любой подписанный документ все равно несет владелец подписи.

Как распечатать документ с ЭЦП

Электронный документ, заверенный квалифицированной подписью, равнозначен бумажному, и обычно не требует распечатки. Однако, иногда требуется подать документ только на бумажном носителе или бумажный вызывает больше доверия у принимающей стороны. Чтобы распечатать ЭД нужно открыть его через КриптоПро, затем перейти в «Настройки» и «Управление настройками»:

В разделе «Профили» дважды кликнуть мышкой по нужному профилю:

В подменю «Общие» поставить галочку в пункте о добавлении ЭП в документ для распечатки:

При помощи мастера КриптоАРМ проверить ЭП документа, который нужно будет отправить на печать:

Затем нужно перейти в раздел «Детали»:

Документ можно распечатать отдельно, если нажать на «Печать», или перейти в подраздел «Посмотреть», и распечатать документ вместе с подписью:

При стандартной ЭЦП выглядеть она будет так:

Реже требуется распечатать сертификат ЭЦП. Сделать это можно в несколько простых шагов через кабинет налогоплательщика. Из списка предложенных организаций выбрать интересующую, затем перейти в раздел «Ответственные частные лица» и отправить на печать бланк сертификата. Программа автоматически сформирует бланк сертификата и даст команду к печати.

Работа с электронной подписью удобна и надежна только при условии соблюдения всех правил ее использования. Если произошла компрометация сертификата ЭП или были нарушены правила использования реквизита, то он теряет юридическую силу. При передаче закрытого ключа ЭЦП ответственность за применение подписи лежит на владельце. В судебном порядке доказать причинение ущерба и неиспользование владельцем ЭЦП бывает сложно. Информационно-технические детали и процесс работы подписи регулируется как Федеральным законодательством, так и ГОСТом. И если соблюдение ФЗ обязательно, но ГОСТа нужно придерживаться лишь в отдельных случаях (работа с секретными данными и т.п.). В законе прописаны не только вид и юридическая сила подписи, особенности ее получения и сроки действительности, но и наличие штампа времени, отметки на электронных документах о наличии ЭП, реквизиты владельца сертификата.

https://youtube.com/watch?v=ND9kNXDucP0%3Ffeature%3Doembed

Матчасть

Электронная подпись — это самое, что собственноручная подпись, но удостоверяет она электронные документы.

ЭП бывает простой — это коды и пароли, которые можно, например, использовать на госуслугах. И усиленной — такая подпись безопаснее, потому что при этом используются средства шифрования. По ней можно определить человека, который подписал документ. Если в документе c усиленной ЭП  изменили, это сразу будет видно.

Выдают электронные подписи в удостоверяющих центрах — специальных организациях, которых государство уполномочило на выдачу ЭП. Как оформить такую подпись и как защититься при ее использовании, я рассказывал в отдельной статье.

Подтверждение ЭЦП в сервисе КриптоАРМ

Перед началом проверки необходимо убедиться, что тип подписи — отдельный. Если сертификат совмещенный, то сначала нужно ее снять, и в отдельный файл сохранить все данные. В программе пользователь выбирает «Проверить подпись»:

Затем через поле «Добавить» выбрать нужный файл или папку с файлами:

Нажать «Далее». Программа начнет проверку и сбор информации о сертификате. Через несколько секунд откроется новое окно:

Если ЭЦП прошла проверку, то появится вот такое уведомление:

Процесс проверки и подробные результаты можно посмотреть во вкладке «Детали». Если подпись проверку не прошла, то появится окно с названием и расшифровкой ошибки.

Как выглядит ЭЦП на документе

Электронная подпись представляет собой уникальную последовательностиь символов. Она выступает в роли обязательного реквизита, проставляемого на официальных электронных документах. Для формирования подписи используются надежные криптографические методы и математические вычисления, а программное обеспечение имеет сертификацию ФСБ.

Существует 3 вида ЭЦП:

• простая;
• неквалифицированная;
• квалифицированная.

Простая электронная подпись (ПЭП) — это код или пароль, созданный системой, и отправленный на телефон или на электронный адрес пользователя. Обычно используется на сайтах для подтверждения действия. Неквалифицированная подпись (НЭП) отличается тем, что требует подтверждения личности клиента, и формируется при помощи криптографического преобразования.

Самая надежная — квалифицированная цифровая подпись (КЭП). Она подтверждается сертификатом проверки, имеет закрытый и открытый ключ, и наделяет документ полной юридической силой.

Сертификат ключа — это файл с расширением .crt, содержащий информацию о владельце, отпечаток сертификата и сроки действия подписи.

Электронная подпись на документе выглядит как:

• последовательность букв или цифр, которая соответствует ключу, указанному в сертификате;
• графическая картинка или штамп с указанием подписи владельца сертификата.

Самой надежной является невидимая ЭП, которая визуально не определяется. Она применяется при составлении документов MS Word, Excel, и генерируется автоматически. Установить ее наличие можно по отметке, которая появляется в графе «состояние».

Примером того, как выглядит усиленная квалифицированная электронная цифровая подпись, является выписка ЕГРЮЛ, заверенная ФНС. Подпись тут представляет собой печать с указанием номера сертификата, владельца, срока действия ЭП.

Как выглядит документ, подписанный ЭЦП:

Какую ЭЦП можно проверить самостоятельно

• заключается сделка в электронном виде вне системы электронного документооборота;
• заявка от участников торгов приходит на почту, а не через ЭТП;
• необходима проверка ЭЦП на выписке из росреестра и т.п.

Возможна проверка только цифровой подписи, составленной при помощи криптографических сервисов, открытых и закрытых ключей. К ним относятся:

• неквалифицированная усиленная подпись. Получить НЭП можно только в удостоверяющем центре. Требует дополнительного соглашения о признании юридической силы.;
• квалифицированная усиленная подпись. Выдается только в аккредитованных Минкомсвязи РФ удостоверяющих центрах. ПО, позволяющее работать с КЭП, имеет сертификацию ФСБ РФ.

Проверка позволяет подтвердить:

• создание ЭЦП при помощи сертификата, действительного на момент заверения документа;
• принадлежность ЭЦП владельцу сертификата;
• неизменность документа после его подписания.

Выбранное средство проверки подписи не влияет на результат, и каждый пользователь вправе отдать предпочтение наиболее удобному сервису.

Что надо знать для применения электронной подписи

Самый обычный вопрос, который задаётся человеком, впервые столкнувшимся с необходимостью использования электронной подписи, звучит примерно так: «А зачем мне вообще электронная подпись? И нужна ли?»

Электронная подпись может использоваться в нескольких ипостасях. Закон «Об электронной подписи» определяет условия применения электронной подписи как ответственной подписи в документе, аналога собственноручной подписи и печати. Подобным образом электронная подпись используется в системах электронного документооборота различного назначения (организационно-распорядительного, кадрового, законотворческого, торгово-промышленного и прочего).

Однако область применения электронной подписи не ограничивается приведенными областями. Сама по себе, электронная подпись  – великолепный механизм обеспечения целостности и подтверждения авторства и актуальности любых данных, представленных в электронном виде.

Электронная подпись поможет проверить целостность электронного письма (e-Mail) и убедиться в надёжности отправителя. Однозначно определит автора статьи, опубликованной в Интернете, и укажет дату публикации. Позволит написать собственное мнение о прочитанном документе в Microsoft Word и прикрепить его в виде «стикера» к файлу, не «испортив» сам файл своими пометками, при этом надёжно привязав такой «стикер» к текущему содержимому документа (при изменении текста документа «стикер» сразу обнаружит, что документ изменялся). Оставит «визитную карточку» о действиях, совершённых в электронном мире, подтвердит полномочия и т.п.

И когда человек утвердительно отвечает на вопрос, нужна ли ему электронная подпись, встаёт следующий вопрос – «Что нужно сделать, чтобы всё это начало работать у меня?». На этот вопрос одной фразой ответить не возможно – нужно выполнить ряд условий, как технических, так и организационных.

Сначала об электронной подписи самой по себе – что она собой представляет, какие бывают электронные подписи, что нужно для её создания и проверки.

Как устроена ЭП

Файл электронной подписи генерирует специальная программа — средство криптографической защиты информации (СКЗИ). Когда вы подпишете документ электронной подписью, эта программа просканирует документ. В итоге она создаст уникальное сочетание данных документа — . Она шифруется с помощью закрытого ключа — особой последовательности символов, которая формирует файл подписи. Ключ выдают владельцу подписи.

Сертификат закрытого ключа хранится у владельца на любом удобном носителе: на компьютере, внешнем диске или токене — специальной защищенной флешке, которую можно носить с собой. Еще подпись может быть на диске, , симке, в облачном хранилище .

Просмотреть подпись можно с помощью сертификата открытого ключа — электронного документа, в котором есть следующая информация:

• Кто владеет подписью.
• Какие у него полномочия.
• Какая организация выдала подпись и какие у нее полномочия.

Программа СКЗИ проверяет и сравнивает ее с содержанием документа. Если все совпало, документ не меняли и подпись цела. Несовпадения означают, что документ изменили после того, как подписали. Тогда подпись автоматически считается недействительной и документ теряет юридическую силу.

Проверка ЭЦП плагинами для Excel, PDF, Word

Плагины для программного обеспечения есть как платные, так и бесплатные. Они позволяют не только подтвердить работоспособность цифровой подписи, но и установить полное или частичное подписание файла, определить действительность сертификата или его недействительность с возможностью восстановления.

Excel и Word

Для проверки электронной подписи в стандартном интерфейсе Microsoft Office необходимо установить платный плагин «КриптоПро Office Signature».

• нажать «Файл» — «Сведения» — «Просмотр подписи»;
• выбрать «Состав подписи».

Аналогичным способом можно проверить данные о сертификате. Через меню «Файл» переходят к подменю «Просмотр подписи», а там выбирают «Состав подписи».

Для получения информации о сертификате в диалоговом окне переходят во вкладку «Просмотр».

Для проверки цифровой подписи в ПО Adobe также необходим специальный плагин, который можно использовать бесплатно. Кроме КриптоПро PDF пользователь должен иметь криптопровайдер КриптоПро CSP. Сама проверка происходит в несколько простых шагов:

• пользователь открывает нужный документ;
• нажимает кнопку «Подписи»;
• выбирает нужную неквалифицированную или квалифицированную подпись, и подтверждает свое действие правой клавишей мыши;
• в новом открывшемся окне выбирает «Проверить подпись».

Плагин производит проверку, которая обычно занимает несколько секунд, и выдает новое окно с результатами и информацией о сертификате и ЭЦП.

Веб-сервисы для проверки ЭЦП

Некоторые веб-сервисы (Тензор, Единая электронная торговая площадка, Сбербанк-АСТ, РТС-Тендер и т.п.) позволяют проверить ЭП онлайн. Для этого нужно лишь перейти на официальный сайт площадки и в нужном окне загрузить файл с ЭЦП. Аналогичным образом можно проверить ЭЦП росреестра или документы на официальном портале службы. Перейдя по ссылке https://rosreestr.net/proverka-elektronnogo-dokumenta-rosreestr можно выбрать для проверки либо электронный документ, либо ЭЦП.

Достоверность сертификата можно также подтвердить через бесплатный и удобный сервис УЦ СКБ Контур. Работа с порталом отличается легкостью и надежностью, не требует установки плагинов или утилит. Настройка ПК для работы происходит автоматически.

Сервис позволяет загрузить для проверки файл, объемом до 100 Мб. Алгоритм работы аналогичен другим порталам: пользователь загружает подпись и подписанный файл в специальные формы, после чего запускает проверку.

Для чего нужна электронная подпись?

Электронная подпись может применяться в разных областях:

• Электронная подпись может быть использована как ответственная подпись на электронном документе – то есть в качестве аналога собственноручной подписи и/или печати на бумажном документе. В частности, в этой ипостаси электронная подпись  используется в системах электронного документооборота разного назначения.
• Точно также электронная подпись широко используется для подписи программ или отдельных модулей, чтобы пользователь компьютера, загружая эти программы из Интернета, и используя их в работе, мог быть убежден в надежности и корректности их работы и надежности источника получения этих программ.
• Электронная подпись – это очень надежный инструмент, который позволяет, как установить авторство, так и подтвердить целостность любых данных в электронном виде. Например, полученное вами от, казалось бы, знакомого человека, письмо без электронной подписи может оказаться на самом деле поддельным или содержать искаженную после его отправления информацию. Использование электронной подписи такую возможность исключает. При проверке электронной подписи будет установлено, что документ был изменен после его подписания.
• При ведении деловой переписки канцеляриями или секретарями разных компаний электронная подпись  может служить в качестве «конверта» – на одном конце письмо запечатывают с помощью электронной подписи, а на финише получатель «вскрывает» конверт, предварительно убедившись в полной неприкосновенности и подлинности данных.
• С помощью электронной подписи можно согласовывать электронные варианты документов (например, договоров) как между различными службами внутри одной организации, так и между разными организациями. В таком случае текст договора будет защищен от несогласованных изменений, а каждая ответственная инстанция должна будет согласовать документ с помощью собственной электронной подписи, подтвердив тем самым свое отношение к нему. Такая подпись безошибочно расскажет не только о том, кто подписал документ, но и укажет дату и время подписи. Если же сотрудник решит отказаться от ответственности за визирование документа или отправку информации в письме, скрепленном его электронной подписью, то электронная подпись легко его уличит. Например, часто договор требуется согласовать с юридическим отделом, бухгалтерией и другими подразделениями компании, и лишь после этого его подпишут руководители обеих сторон. Такое согласование и визирование всеми ответственными службами можно проводить уже сейчас в электронном виде, применяя электронную подпись.

Виды ЭП и их отличия

В законе описаны несколько видов электронной подписи: простая, неквалифицированная и квалифицированная.

Простая электронная подпись уязвима, поэтому ее применяют не везде. Если вы работаете с имущественными и финансовыми документами, то лучше ее не использовать. Она подтвердит, что документ подписали, но не гарантирует, что его не меняли и что его подписал нужный человек. Это будет проверять арбитражный суд, если возникнет спорная ситуация.

Неквалифицированная электронная подпись формируется с помощью средств шифрования. Средства шифрования — это специальная программа, имеющая сертификат ФСБ. Считается, что подделать подпись, созданную с помощью такой программы, невозможно или очень сложно. Эта подпись говорит: документ подписал человек в  время и не менял его после.

Эту подпись используют в электронном документообороте. Ей подписывают договоры, контракты и агентские отчеты, но только если стороны заключили соглашение о доверии таким подписям и электронным документам.

Неквалифицированные подписи можно генерировать внутри компании или сервиса с помощью бесплатных инструментов. Государство не может контролировать неквалифицированную подпись: ее может выдать кто угодно, ей может владеть кто угодно и она не защищена средствами, которым доверяет государство. Именно поэтому в судебных инстанциях не принимают такие подписи.

Квалифицированная электронная подпись — самый надежный вид электронной подписи. От неквалифицированной ее отличает то, что выдают ее в удостоверяющем центре. Эта организация уполномочена выдавать электронные подписи и осуществлять услуги по криптозащите информации. Она прошла сертификацию ФСБ и аккредитацию у Минкомсвязи, и ей доверяют государственные органы.

Целостность подписи проверяют двумя способами:

Так определяют, что подпись не была утеряна, украдена или просрочена, когда ее использовали.

Сертификат квалифицированной подписи необходимо обновлять каждый год: помнить, когда она перестает действовать, и вовремя заказывать перевыпуск.

У квалифицированной подписи есть два важных преимущества.

Взломать квалифицированную подпись практически невозможно — это потребует слишком больших вычислительных ресурсов. Если вы потеряете закрытый ключ, по вашему сигналу удостоверяющий центр отзовет сертификат — подписывать документы с его помощью будет нельзя.

Ее можно использовать в любых операциях с электронными документами. Ей доверяют арбитражный суд и налоговая служба, поэтому чаще всего ей подписывают электронные счета-фактуры, налоговые декларации и договоры.

Где можно использовать электронную подпись

Внешние и внутренние электронные документы

Документооборот с физическими лицами

Документы для ИФНС в личном кабинете налогоплательщика

Что нужно сделать для использования электронной подписи?

Перед тем как практически начать применять электронную подпись в своей работе, надо создать файлы сертификата и закрытого ключа. Сертификат будет использоваться для проверки подлинности данных подписанных электронной подписью любым человеком, использующим эти данные. А закрытый ключ нужен человеку для формирования электронной подписи подписываемых им данных. При создании сертификатов и ключей используется специальные криптографические программы, которые в принципе есть в составе операционной системы любого компьютера.

Однако, доверять полученному таким образом сертификатам могут только люди, работающие на этом компьютере. Для того чтобы создать и в дальнейшем использовать сертификат, которому будут доверять все, кто будет проверять подлинность электронной подписи, нужна определенная организация, которая обеспечит нормативную, организационную и правовую основу использования выпущенных ею сертификатов. Такой организацией является Удостоверяющий Центр.

1. Договор с Удостоверяющим центром.

Электронная подпись аналогична подписи человека, а для того чтобы убедиться в подлинности документов, подписываемых человеком, любая организация отправляет его сначала к нотариусу, который проверив дееспособность человека удостоверяет его собственноручную подпись на самых различных документах.

Конечно, организация, установив соответствующее программное обеспечение, может организовать собственный Удостоверяющий центр, но при этом следует иметь ввиду, что электронная подпись, наносимые работниками организации, не смогут иметь юридическое значение за пределами этой организации.

Поэтому точно так же, как и при обращении к нотариусам, следует пользоваться услугами внешних аттестованных удостоверяющих центров. Подписав договор с Удостоверяющим Центром организация может получать от него сертификаты для своих работников, которые будут пользоваться электронную подпись.

2. Создание закрытого ключа и получение сертификата.

В процессе создания сертификата каждому из таких работников будет сгенерирован закрытый ключ. Процедура создания ключей может выполняться по-разному. Ключи могут создаваться в Удостоверяющем центре и передаваться пользователям вместе с сертификатом. Ключи могут создаваться и на рабочем месте пользователя в организации, а открытая часть ключа пересылаться в Удостоверяющий центр для последующего изготовления сертификата.

И ключ, и сертификат хранятся в файлах. Для того, чтобы никто, кроме владельца подписи, не мог воспользоваться закрытым ключом, его обычно записывают на съемный носитель ключа. Его также как банковскую карточку для дополнительной защиты снабжают PIN кодом. И точно также как при операциях с картой, перед тем как воспользоваться ключом для создания электронной подписи надо ввести правильное значение PIN кода.

Именно надежное сохранение пользователем своего закрытого ключа гарантирует невозможность подделки злоумышленником документа и электронной подписи от имени заверяющего документ подписанта.

Сертификат содержит всю необходимую информацию для проверки электронной подписи. Данные сертификата открыты и публичны. Поэтому обычно сертификаты хранятся в хранилище операционной системы (в каждом компьютере, в общем сетевом хранилище, в базе данных и т.п.). Конечно, все сертификаты всегда хранятся и в Удостоверяющем центре, точно так же, как и нотариус хранит всю необходимую информацию о человеке, выполнившем у него нотариальное действие.

Получение работником организации закрытого ключа, обеспечение его сохранности и действия с ним обычно регламентируется приказом по организации с утверждением инструктивных материалов. В них регламентируется порядок выпуска сертификатов, применение ключей для подписания документов, получение, замену, сдачу закрытого ключа работниками, и действия выполняемые при компрометации ключа. Последние аналогичны действиям выполняемым при потере банковской карты.

3. Установка криптопровайдера.

Создание электронной подписи представляет собой сложную математическую процедуру и ее выполняют специальные программы – криптопровайдеры. В современных операционных системах криптопровайдеры уже включены в их состав.

Однако в ряде случае законодательство требует применение сертифицированных государственными органами криптопровайдеров. В этом случае их придется покупать и устанавливать на всех машинах, на которых будут подписываться или проверяться электронная подпись. Создание же ключей и получение сертификатов будет возможно только после установки соответствующих криптопровайдеров, так как они будут использоваться в процессе создания ключей и дальнейших процессов формирования и проверки электронной цифровой подписи.

4. Установка системы «КАРМА»

Выполнив действия 1-3 уже можно применять электронную подпись, но при этом надо иметь соответствующие программы, которые умеют работать с электронной подисью. Например, можно использовать MS Office и создавать подписи внутри офисных документов.

Для того чтобы получить в свое распоряжение все возможности электронной подписи, использовать любые виды подписей и заставить их эффективно работать следует купить и установить систему «КАРМА» на каждый компьютер на котором будет подписываться или проверяться электронная подпись.

Как перевыпустить сертификат

Срок действия сертификата электронной подписи — год. Когда он подойдет к концу, выпустите новый сертификат. Для этого обратитесь с заявлением в удостоверяющий центр или МФЦ. Если в документах ничего не изменилось, нести их снова не нужно. Если документы поменялись, нужно принести оригиналы только этих документов. Можно не дожидаться окончания срока действия текущего сертификата и заказать новую подпись заранее — тогда это делается онлайн, если получать подпись через УЦ.

Зачем я оформил ЭП

Изначально я оформил электронную подпись, чтобы разобраться, как ее можно безопасно использовать. Я собирался применять ЭП: никто не покупает навороченный смартфон только для того, чтобы он лежал на полке. и с электронной подписью: нет смысла ее оформлять, чтобы она просто лежала в сейфе.

На момент начала эксперимента мне было непонятно, как вообще можно использовать в обычной жизни. Поэтому в течение месяца я пытался подписать ею любые документы и заявления.

После окончания эксперимента я не планирую прекращать пользоваться электронной подписью: надеюсь разобраться, чем еще она может помочь обычному человеку, и продолжить применять на практике.

Сравнение сервисов для проверки ЭЦП

Если вы проверяете ЭП через официальные сервисы, то результаты будут верными и отразят данные о владельце, сертификате, УЦ, выдавшем реквизит. Какой из способов выбрать — зависит от личных предпочтений, технических условий и дополнительных функций. Ознакомится с ними можно в сравнительной таблице сервисов:

Подтверждение достоверность ЭЦП необходимо при удаленной работе, заключении договоров, проверки сделок и т.п. В результате пользователь получает всю необходимую информацию о заверителе, а также убеждается в неизменности электронного документа после его подписания. Проверить ЭЦП можно несколькими способами, используя специальные плагины для ПО, онлайн-сервисы или официальный портал государственных услуг. Обычно процесс занимает несколько минут, но в зависимости от загруженности сервера данные могут быть доступны в течение пары часов.

https://youtube.com/watch?v=wKHnXOTiJac%3Ffeature%3Doembed

Как проверить подлинность подписи

Чтобы проверить подлинность подписи и неизменность документа, воспользуйтесь любым из бесплатных сервисов:

На сайте «Криптопро» укажите путь к подписанному документу и подписи в специальном окне, и программа выдаст результат

На сайте госуслуг вам нужен третий пункт — «ЭП отсоединенная, в формате PKCS#7». Загрузите документ, который хотите проверить, в формате PDF или xml и файл с подписью в формате xml.sig или pdf.sig. Названия документа для проверки и файла с подписью должны быть одинаковы. Затем введите проверочный код с изображения и кнопку «Проверить»

После загрузки документа и файла с подписью нажмите «Проверить» — система выдаст результат. Если подпись действительна, то покажет данные владельца, каким УЦ выдана и срок действия сертификата