Электронная подпись: что это такое, для чего нужна, как получить

Простая ЭЦП

Простая электронная подпись является наименее надежным вариантом подписи. Она не придает оформляемому электронному файлу юридической значимости, пока между его составителями не будут заключены дополнительные соглашения, относительно правил подписания и признания ЭЦП. Однако такая подпись способна защитить авторство документа.

Фактически ваш контрагент, видя сертификат такой подписи, получает информацию лишь о ее реквизитах, дате подписания, а также о том, кто составил данный документ. Однако является ли данный номер ЭЦП актуальным или же это всего лишь бессвязный набор символов, он сказать не может, пока на процедуру подписания не будут наложены дополнительные ограничения (то есть, она не пройдет проверку).

Технически это означает, что должны быть задействованы программы, работающие синхронно на компьютерах обоих контрагентов. И относительно результатов функционирования этих программных клиентов можно будет достоверно утверждать, является ли подпись подлинной или фальшивой.

Асимметричная схема

Асимметричные схемы ЭП относятся к криптосистемам с открытым ключом.

Но в отличие от асимметричных алгоритмов шифрования, в которых шифрование производится с помощью открытого ключа, а расшифровка — с помощью закрытого (расшифровать может только знающий секрет адресат), в асимметричных схемах цифровой подписи подписание производится с применением закрытого ключа, а проверка подписи — с применением открытого (расшифровать и проверить подпись может любой адресат).

Общепризнанная схема цифровой подписи охватывает три процесса[источник не указан 1669 дней]:

Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:

Следует отличать электронную цифровую подпись от кода аутентичности сообщения (MAC).

Виды асимметричных алгоритмов

Как было сказано выше, чтобы применение ЭП имело смысл, необходимо, чтобы вычисление легитимной подписи без знания закрытого ключа было вычислительно сложным процессом.

Обеспечение этого во всех асимметричных алгоритмах цифровой подписи опирается на следующие вычислительные задачи:

Вычисления тоже могут производиться двумя способами: на базе математического аппарата эллиптических кривых (ГОСТ Р 34.10-2021, ECDSA) и на базе полей Галуа (ГОСТ Р 34.10-94, DSA)[6].

В настоящее время[когда?] самые быстрые алгоритмы дискретного логарифмирования и факторизации являются субэкспоненциальными.

Алгоритмы ЭП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением документа[7]. При верификации цифровых подписей с восстановлением документа тело документа восстанавливается автоматически, его не нужно прикреплять к подписи.

Схемы электронной подписи могут быть одноразовыми и многоразовыми. В одноразовых схемах после проверки подлинности подписи необходимо провести замену ключей, в многоразовых схемах это делать не требуется.

Также алгоритмы ЭП делятся на детерминированные и вероятностные[7]. Детерминированные ЭП при одинаковых входных данных вычисляют одинаковую подпись. Реализация вероятностных алгоритмов более сложна, так как требует надежный источник энтропии, но при одинаковых входных данных подписи могут быть различны, что увеличивает криптостойкость. В настоящее время многие детерминированные схемы модифицированы в вероятностные.

В некоторых случаях, таких как потоковая передача данных, алгоритмы ЭП могут оказаться слишком медленными. В таких случаях применяется быстрая цифровая подпись. Ускорение подписи достигается алгоритмами с меньшим количеством модульных вычислений и переходом к принципиально другим методам расчёта.

Для чего нужна электронная подпись

Чем больше процессов уходит в интернет, тем более затруднительными становятся офлайн-технологии. И дело здесь даже не в растущей степени бюрократизации процессов, а исключительно в том, что электронные технологии информационной диспетчеризации и документооборота просто намного более эффективны:

• они требуют меньше времени на свою реализацию;
• они практически не нуждаются в обслуживающем персонале (например, в курьерах, которые переносят документы, а уж тем более, в целых почтовых службах);
• на их реализацию требуется на порядок (а то и на 2-3 порядка) меньше затрат времени.

Представьте себе такую ситуацию: клиент вашей фирмы подал на вас в местный суд в связи с затяжкой сроков по валидации оборудования, которую проводила ваша компания. И пусть этот клиент территориально располагается на значительном удалении от вас – предположим, в Красноярске, в то время как ваш офис находится в Калининграде.

А теперь представьте, что вы сможете, сидя на рабочем месте в Калининграде:

• написать ответ на исковое требование;
• приложить все первичные документы, а главное, график выполнения работ по валидации (из которого, к примеру, видно, что задержка произошла по вине самого клиента);
• подписать весь этот комплект документов электронной цифровой подписью и отправить ответ на иск в суд.

Причем сделать это можно буквально, в режиме онлайн, без потери времени (можно даже отзвониться в канцелярию суда и уточнить, получили ли они пересланные документы и все ли у них «открывается»). Все манипуляции с ЭЦП не требуют никаких материальных затрат. Для того, чтобы быть уверенным в ходе слушаний, можно нанять для ведения дел в суде местного юриста (с почасовой оплатой).

А теперь сравним стоимость билетов и командировочных, исчисляемых днями и неделями, для специалиста компании и стоимость почасовой оплаты услуг стороннего юриста. Невооруженным взглядом видно, что затраты в первом случае будут больше. Причем больше, как минимум, на порядок!

Итак, ЭЦП используется во всех тех же случаях, что и обычная подпись. Только при этом присутствуют такие ценные внешние эффекты, как экономия времени и денег. Перечислим же случаи, которые предусматривают возможность использования ЭЦП на современном этапе развития отечественного общества (цифровой экономики):

• заключение хозяйственных договоров между физическими или юридическими лицами на расстоянии;

ВНИМАНИЕ! Участились случаи мошенничества, когда преступные элементы (посредством подлога или подкупа) получают ключи ЭЦП (сертификаты) частных лиц и совершают от их имени (но в своих интересах) сделки с их недвижимостью. Для того, чтобы усилить свою безопасность и не стать жертвой мошенников, нужно подойти в любой многофункциональный центр и написать заявление о заочной блокировке юридической силы вашей ЭЦП по умолчанию. В этом случае для того, чтобы возобновить использование цифровой подписи, вам нужно будет написать заявление на ее разблокировку.

• покупка различных дорогостоящих предметов на расстоянии (например, автомобиля) с оформлением цифровой подписью первичных бухгалтерских документов;
• осуществление открытия банковских счетов, лицевых счетов в брокерских и иных управляющих компаниях;
• принятие участия (на расстоянии) в общих собраниях акционеров и дольщиков с возможностью визирования протоколов решений;
• подача любых судебных документов (исков, ответов на исковые заявления, апелляционных или кассационных жалоб и других документов, требующих личной подписи заявителя или ответчика).

Использование хеш-функций

Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хеш. Для вычисления хеша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хеш-функция.

Использование хеш-функций даёт следующие преимущества:

Использование хеш-функции не обязательно при электронной подписи, а сама функция не является частью алгоритма ЭП, поэтому хеш-функция может использоваться любая или не использоваться вообще.

В большинстве ранних систем ЭП использовались функции с секретом, которые по своему назначению близки к односторонним функциям. Такие системы уязвимы для атак с использованием открытого ключа (см. ниже), так как, выбрав произвольную цифровую подпись и применив к ней алгоритм верификации, можно получить исходный текст.[5] Чтобы избежать этого, вместе с цифровой подписью используется хеш-функция, то есть, вычисление подписи осуществляется не относительно самого документа, а относительно его хеша.

В этом случае в результате верификации можно получить только хеш исходного текста, следовательно, если используемая хеш-функция криптографически стойкая, то получить исходный текст будет вычислительно сложно, а значит атака такого типа становится невозможной.

История возникновения

В 1976 году Уитфилдом Диффи и Мартином Хеллманом было впервые предложено понятие «электронная цифровая подпись», хотя они всего лишь предполагали, что схемы ЭЦП могут существовать.[1]

В 1977 году Рональд Ривест, Ади Шамир и Леонард Адлеман разработали криптографический алгоритм RSA, который без дополнительных модификаций можно использовать для создания примитивных цифровых подписей.[2]

Вскоре после RSA были разработаны другие ЭЦП, такие, как алгоритмы цифровой подписи Рабина, Меркле.

В 1984 году Шафи Гольдвассер, Сильвио Микали и Рональд Ривест первыми строго определили требования безопасности к алгоритмам цифровой подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям (Криптосистема Гольдвассер — Микали).[3]

Как получить электронную подпись

Программные клиенты ЭЦП распространяются через сеть аккредитованных государством компаний, которые оказывают услуги по предоставлению электронных ключей с оплатой, в соответствии с установленными государством тарифами. Для этого следует обратиться в любую такую аккредитованную компанию (как правило, это компания, занимающаяся разработкой и отладкой программного обеспечения) с заявлением на выдачу ЭЦП нужного уровня.

• Для выдачи ЭП на физическое лицо потребуется предоставить паспортные данные, данные свидетельства ИНН и СНИЛС.
• Для выдачи ЭЦП на юридическое лицо требуется предоставление полного комплекта уставных документов компании: ОГРН, ИНН, цепочка свидетельств ЕГРЮЛ, как связанных, так и не связанных с внесением изменений в уставные документы, Устав, решение о создании общества, Учредительный договор, все решения о назначении исполнительного органа, а также свидетельство о регистрации в органе статистики. Заявление должны подписать граждане, которые в соответствии с Уставом компании, обладают правом финансовой подписи.

Канада

В Канаде использование электронной подписи регулирует федеральный закон PIPEDA (Закон о защите личных сведений и электронных документов), вступивший в силу в 2004 году[33]. Но в Квебеке использование электронной подписи регулируется Законом о создании правовой основы для информационных технологий[34].

Разница между этими законами заключается в отношении к использованию и раскрытию личной информации[35]. И в Квебеке, и в Канаде электронная подпись не приравнивается в полной мере к рукописной, поэтому в суде могут потребоваться дополнительные доказательства[36].

Литература

• Рябко Б. Я., Фионов А. Н.Основы современной криптографии для специалистов в информационных технологиях — Научный мир, 2004. — 173 с. — ISBN 978-5-89176-233-6
• Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. — «Гелиос АРВ», 2002. — 480 с. — ISBN 5-85438-137-0.
• Нильс Фергюсон, Брюс Шнайер. Практическая криптография = Practical Cryptography: Designing and Implementing Secure Cryptographic Systems. — М. : Диалектика, 2004. — 432 с. — 3000 экз. — ISBN 5-8459-0733-0, ISBN 0-4712-2357-3.
• Б. А. Фороузан.Схема цифровой подписи Эль-Гамаля // Управление ключами шифрования и безопасность сети / Пер. А. Н. Берлин. — Курс лекций.
• Menezes A. J., Oorschot P. v., Vanstone S. A.Handbook of Applied Cryptography (англ.) — CRC Press, 1996. — 816 p. — (Discrete Mathematics and Its Applications) — ISBN 978-0-8493-8523-0
• Мао В.Современная криптография: Теория и практика / пер. Д. А. Клюшина — М.: Вильямс, 2005. — 768 с. — ISBN 978-5-8459-0847-6

Манипуляции с электронными подписями в россии

• Другой способ манипуляции с электронными подписями заключается в том, что клиенту предлагают дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра, в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации^[26]. В результате подобных действий, вызванных, по мнению специалистов правовой системы «Гарант», тем что «IT-функции в деятельности УЦ преобладают над его юридической сущностью», электронная подпись может быть использована недобросовестными третьими лицами^[27]. Однако, в 2021 году предложение Минкомсвязи передать функции выдачи усиленной квалифицированной электронной подписи (УКЭП) от частных компаний государству не нашло понимания других министерств и ведомств^[28].

Модели атак и их возможные результаты

В своей работе Гольдвассер, Микали и Ривест описывают следующие модели атак, которые актуальны и в настоящее время[3]:

Также в работе описана классификация возможных результатов атак:

Ясно, что самой «опасной» атакой является адаптивная атака на основе выбранных сообщений, и при анализе алгоритмов ЭП на криптостойкость нужно рассматривать именно её (если нет каких-либо особых условий).

При безошибочной реализации современных алгоритмов ЭП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭП построена. Гораздо более вероятен поиск криптоаналитиком коллизий первого и второго родов.

Общее назначение

Использование ЭП предполагается для осуществления следующих важных направлений в электронной экономике:

• Полный контроль целостности передаваемого электронного платежного документа: в случае любого случайного или преднамеренного изменения документа цифровая подпись станет недействительной, потому как вычисляется она по специальному алгоритму на основании исходного состояния документа и соответствует лишь ему.
• Эффективная защита от изменений (подделки) документа. ЭП даёт гарантию, что при осуществлении контроля целостности будут выявлены всякого рода подделки. Как следствие, подделывание документов становится нецелесообразным в большинстве случаев.
• Фиксирование невозможности отказа от авторства данного документа. Этот аспект вытекает из того, что вновь создать правильную электронную подпись можно лишь в случае обладания так называемым закрытым ключом, который, в свою очередь, должен быть известен только владельцу этого самого ключа (автору документа). В этом случае владелец не сможет сформировать отказ от своей подписи, а значит — от документа.
• Формирование доказательств подтверждения авторства документа: исходя из того, что создать корректную электронную подпись можно, как указывалось выше, лишь зная закрытый ключ, а он по определению должен быть известен только владельцу-автору документа, то владелец ключей может однозначно доказать своё авторство подписи под документом. Более того, в документе могут быть подписаны только отдельные поля документа, такие как «автор», «внесённые изменения», «метка времени» и т. д. То есть, может быть доказательно подтверждено авторство не на весь документ.

Перечисленные выше свойства электронной цифровой подписи позволяют использовать её в следующих основных целях электронной экономики и электронного документального и денежного обращения:

Отечественный стандарт цифровой подписи гост р 34.10–2021

ГОСТ Р 34.10-2021 (полное название: «ГОСТ Р 34.10-2021. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи») — российский стандарт, описывающий алгоритмы формирования и проверки электронной цифровой подписи.

Цифровая подпись позволяет:

1. Аутентифицировать лицо, подписавшее сообщение;
2. Контролировать целостность сообщения;
3. Защищать сообщение от подделок;
4. Доказать авторство лица, подписавшего сообщение.

Данный алгоритм разработан главным управлением безопасности связи Федерального агентства правительственной связи и информации при Президенте Российской Федерации при участии Всероссийского научно-исследовательского института стандартизации. Разрабатывался взамен ГОСТ Р 34.10-94 для обеспечения большей стойкости алгоритма.

ГОСТ Р 34.10-2021 и ГОСТ Р 34.10-2001 основаны на эллиптических кривых. Стойкость этих алгоритмов основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости хэш-функции. Для ГОСТ Р 34.10-2021 используется хэш-функция по ГОСТ Р 34.11-2021. Для ГОСТ Р 34.10-2001 — ГОСТ Р 34.11-94.

Эллиптическая кривые описываются уравнением вида

Каноническая форма (форма Вейерштрасса):

где a и b — вещественные числа.

Определение эллиптической кривой также требует, чтобы кривая не имела особых точек. Геометрически это значит, что график не должен иметь каспов и самопересечений. Алгебраически, достаточно проверить, что дискриминант не равен нулю.

Рис. 7. Различные формы эллиптических кривых (b=1, a изменяется от 2 до -3).

Рис. 8.

Механизм цифровой подписи определяется посредством реализации двух основных процессов

— формирование подписи;

— проверка подписи.

Схематическое представление подписанного сообщения показано на рисунке 7.

Рисунок 7. Схема подписанного сообщения

Поле «Текст», показанное на данном рисунке и дополняющее поле «Цифровая подпись», может, например, содержать идентификаторы субъекта, подписавшего сообщение, и/или метку времени.

Установленная в настоящем стандарте схема цифровой подписи должна быть реализована с использованием операций группы точек эллиптической кривой, определенной над конечным простым полем, а также хэш-функции.

Криптографическая стойкость данной схемы цифровой подписи основывается на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции.

Необходимо прочесть документ ГОСТ Р 34.10-2021 во время занятий по самоподготовке.

Отчетность в егаис фсрар

Особняком стоит взаимодействие с единой государственной автоматизированной информационной системой (ЕГАИС) ФСРАР. Система создана, чтобы контролировать алкогольный рынок: производство, оптовую и розничную продажу спиртосодержащих напитков.

Для подключения к системе и взаимодействия с ней организации или индивидуальному предпринимателю нужна специальная квалифицированная электронная подпись — КЭП для ЕГАИС ФСРАР. Это связано с требованиями безопасности и техническими особенностями ключевых носителей: криптографические операции происходят в самом носителе, а не на компьютере пользователя.

Получить электронную подпись для ФСРАР ЕГАИС

Процедура проверки цифровой подписи

Абоненты сети могут проверить цифровую подпись полученного сообщения М с помощью открытого ключа отправителя КА этого сообщения (рис. 6.22).

При проверке ЭЦП абонент В — получатель сообщения M — расшифровывает принятый дайджест m открытым ключом КА отправителя А. Кроме того, получатель сам вычисляет c помощью хэш-функции h(M) дайджест m принятого сообщения М и сравнивает его с расшифрованным.

Рис. 3. Схема проверки электронной цифровой подписи

Принципиальным моментом в системе ЭЦП является невозможность подделки ЭЦП пользователя без знания его секретного ключа подписывания. Поэтому необходимо защитить секретный ключ подписывания от несанкционированного доступа. Секретный ключ ЭЦП, аналогично ключу симметричного шифрования, рекомендуется хранить на персональном ключевом носителе в защищенном виде.

Помещаемая в подписываемый файл (или в отдельный файл электронной подписи) структура ЭЦП обычно содержит дополнительную информацию, однозначно идентифицирующую автора подписанного документа. Эта информация добавляется к документу до вычисления ЭЦП, что обеспечивает и ее целостность. Каждая подпись содержит следующую информацию:

Рис. 4. USB-токен Рутокен ЭЦП 2.0.

• дату подписи;
• срок окончания действия ключа данной подписи;
• информацию о лице, подписавшем файл (Ф.И.О., должность, краткое наименование фирмы);
• идентификатор подписавшего (имя открытого ключа);
• собственно цифровую подпись.

Важно отметить, что, с точки зрения конечного пользователя, процесс формирования и проверки цифровой подписи отличается от процесса криптографического закрытия передаваемых данных следующими особенностями.

При формировании цифровой подписи используются закрытый ключ отправителя, тогда как при зашифровывании применяется открытый ключ получателя. При проверке цифровой подписи используется открытый ключ отправителя, а при расшифровывании — закрытый ключ получателя.

Проверить сформированную подпись может любое лицо, так как ключ проверки подписи является открытым. При положительном результате проверки подписи делается заключение о подлинности и целостности полученного сообщения, то есть о том, что это сообщение действительно отправлено тем или иным отправителем и не было модифицировано при передаче по сети.

Аналогично асимметричному шифрованию, необходимо обеспечить невозможность подмены открытого ключа, используемого для проверки ЭЦП. Если предположить, что злоумышленник n имеет доступ к открытым ключам, которые хранит на своем компьютере абонент В, в том числе к открытому ключу КА абонента А, то он может выполнить следующие действия:

• прочитать из файла, в котором содержится открытый ключ К_А, идентификационную информацию об абоненте А;
• сгенерировать собственную пару ключей k_n и K_n, записав в них идентификационную информацию абонента A;
• подменить хранящийся у абонента B открытый ключ К_А своим открытым ключом K_n, но содержащим идентификационную информацию абонента A.

После этого злоумышленник n может посылать документы абоненту B, подписанные своим секретным ключом kn. При проверке подписи этих документов абонент B будет считать, что документы подписаны абонентом A и их ЭЦП верна, то есть они не были модифицированы кем-либо.

До выяснения отношений непосредственно с абонентом А у абонента В может не появиться сомнений в подлинности полученных документов. Открытые ключи ЭЦП можно защитить от подмены с помощью соответствующих цифровых сертификатов.

Рис. 5. Защита открытых ключей с помощью удостоверяющего центра.

Сегодня существует большое количество алгоритмов ЭЦП.

Процедура формирования цифровой подписи

На подготовительном этапе этой процедуры абонент А — отправитель сообщения — генерирует пару ключей: секретный ключ kA и открытый ключ КА. Открытый ключ КА вычисляется из парного ему секретного ключа kA.

Открытый ключ КА рассылается остальным абонентам сети (или делается доступным, например, на разделяемом ресурсе) для использования при проверке подписи. Для формирования цифровой подписи отправитель А прежде всего вычисляет значение хэш- функции h(M) подписываемого текста M (рис. 1).

Рис. 1. Схема формирования электронной цифровой подписи.

Хэш-функция служит для сжатия исходного подписываемого текста М в дайджест — относительно короткое число, состоящее из фиксированного небольшого числа битов и характеризующее весь текст M в целом (Рис. 2).

Рис. 2. Схема формирования хэша H = h(M) (дайджеста сообщения М).

Далее отправитель А шифрует дайджест m своим секретным ключом kA. В результате получается цифровая подпись для данного текста M. Сообщение М вместе с цифровой подписью отправляется в адрес получателя.

Работа с государственными информационными системами

Многие ведомства и госорганы предоставляют услуги или принимают отчетность в электронном виде. Чтобы работать на этих порталах, также понадобится электронная подпись.

Большинство площадок принимают базовые квалифицированные подписи, например:

• ЕФРСБ, ЕФРСФДЮЛ, ЕАИС ФСТ, ЦБ РФ Финансовые рынки, Росимущество, Главгосэкспертиза, Мой Арбитр, Роскомнадзор, Госуслуги и другие.

Для некоторых нужен квалифицированный сертификат, который содержит в структуре специальный идентификатор, например:

• ФТС, порталы для раскрытия информации и некоторые коммерческие торговые площадки: B2B-Center, ЭТП ГПБ, Фабрикант и др.

Выберите сертификат для работы с конкретным ведомством с помощью Мастера подбора сертификатов.

Получить электронную подпись для госсистем

Россия

Согласно Гражданскому кодексу РФ, квалифицированная электронная подпись предназначена для определения лица, подписавшего электронный документ, и является аналогом собственноручной подписи в случаях, предусмотренных законом[13].

Квалифицированная электронная подпись применяется при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий[14].

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2021 года № 63-ФЗ «Об электронной подписи».

После становления ЭП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного документооборота между налоговыми органами и налогоплательщиками.

Начал работать приказ Министерства по налогам и сборам РФ от 2 апреля 2002 года № БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи». Он определяет общие принципы информационного обмена при представлении налоговой декларации в электронном виде по телекоммуникационным каналам связи.

В законе РФ от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи» описаны условия использования ЭП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.

Благодаря ЭП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете через системы электронной торговли, обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур[15].

В силу требований Федерального закона от 5 апреля 2021 года № 44-ФЗ «О контрактной системе…» государственные контракты, заключаемые в электронном виде, должны быть подписаны усиленной электронной подписью[16].

С 13 июля 2021 согласно Федеральному закону № 108-ФЗ официально вступила в действие правовая норма, продлевающая действие 1-ФЗ «Об электронной цифровой подписи» до 1 июля 2021 года. В частности, решено в части 2 статьи 20 Федерального закона от 6 апреля 2021 года № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2021, № 15, ст. 2036)

Однако Федеральным законом от 02.07.2021 № 171-ФЗ внесены изменения в статью 19 Федерального закона от 06.04.11 № 63-ФЗ «Об электронной подписи». В соответствии с этим электронный документ, подписанный электронной подписью, сертификат ключа проверки которой выдан в период действия федерального закона № 1-ФЗ, признаётся подписанным квалифицированной электронной подписью.

С 1 июля 2021 года Федеральный закон от 10 января 2002 года № 1-ФЗ утратил силу, на смену ему пришёл Федеральный закон от 6 апреля 2021 года № 63-ФЗ «Об электронной подписи». В результате было введено определение трех видов электронных подписей:

1. получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2. позволяет определить лицо, подписавшее электронный документ;
3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4. создается с использованием средств электронной подписи.

1. ключ проверки электронной подписи указан в квалифицированном сертификате;
2. для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с 63-ФЗ

С 1 января 2021 года гражданам выдаётся универсальная электронная карта, в которую встроена усиленная квалифицированная электронная подпись (выпуск карт прекращён с 1 января 2021 года[18]).

8 сентября 2021 года в Крымском федеральном округе (КФО) аккредитован первый удостоверяющий центр на базе Государственного унитарного предприятия «Крымтехнологии». Соответствующие полномочия утверждены приказом Министерства связи и массовых коммуникаций Российской Федерации № 298 «Об аккредитации удостоверяющих центров» от 11 августа 2021 года.[19]

ЭП применяется в системе контроля над объёмом производства и оборота этилового спирта, алкогольной продукции и пива ЕГАИС.

Симметричная схема

Симметричные схемы ЭП менее распространены, чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи, основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятия ЭП Диффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощью блочного шифра.[1] Асимметричные схемы цифровой подписи опираются на вычислительно сложные задачи, сложность которых ещё не доказана, поэтому невозможно определить, будут ли эти схемы сломаны в ближайшее время, как это произошло со схемой, основанной на задаче об укладке ранца.

Также для увеличения криптостойкости нужно увеличивать длину ключей, что приводит к необходимости переписывать программы, реализующие асимметричные схемы, и в некоторых случаях перепроектировать аппаратуру.[4] Симметричные схемы основаны на хорошо изученных блочных шифрах.

В связи с этим симметричные схемы имеют следующие преимущества:

Однако у симметричных ЭП есть и ряд недостатков:

Из-за рассмотренных недостатков симметричная схема ЭЦП Диффи-Хелмана не применяется, а используется её модификация, разработанная Березиным и Дорошкевичем, в которой подписывается сразу группа из нескольких бит. Это приводит к уменьшению размеров подписи, но к увеличению объёма вычислений.

Украина

На Украине использование электронной подписи регулируется законом, изданным в 2003 году, который координирует отношения, появляющиеся вследствие применения электронных подписей. Система функционирования украинской ЭЦП состоит из центрального удостоверяющего органа, выдающего разрешения центрам сертификации ключей (ЦСК) и обеспечивающего доступ к электронным каталогам, контролирующего органа и центров сертификации ключей, которые выдают ЭЦП конечному потребителю.

19 апреля 2007 года было принято Постановление «Об утверждении порядка представления отчетов в Пенсионный фонд Украины в электронной форме». А 10 апреля 2008 года — приказ № 233 ГНА Украины «О подаче электронной цифровой отчётности». В результате активной разъяснительной деятельности налоговых служб, в 2008 г. количество субъектов, подающих отчётность по НДС в электронном виде, возросло с 43 % до 71 %.

С 16 июля 2021 года начал действовать закон № 643-VIII «О внесении изменений в Налоговый кодекс Украины касательно усовершенствования администрирования налога на добавленную стоимость». 31 августа 2021 года зарегистрирован проект закона № 2544а «Об электронных доверительных услугах».

16 июня 2021 года заработал украинский сайт электронных государственных услуг iGov.org.ua. Здесь можно заказать справку о несудимости для предъявления в МРЭО, оформить заявку на получение субсидии, справки о доходах, а также заполнить документы на загранпаспорт.

Управление открытыми ключами

Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу.

Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные.

В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.

Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзы́в истекших и компрометированных сертификатов и ведёт базы (списки) выданных и отозванных сертификатов.

Участие в электронных торгах

Больше половины закупок всех бюджетных организаций проводятся в формате электронных аукционов. До июля 2021 года для участия в госзакупках нужна неквалифицированная электронная подпись (НЭП) — это требование 44-ФЗ «О контрактной системе».

С помощью НЭП участники госзакупок аккредитуются на электронных торговых площадках и подписывают контракты в случае победы в закупке. Но специалисты рекомендуют сразу же оформить КЭП, необходимую для других действий, связанных с участием в госзакупках: например, она нужна, чтобы оформить банковскую гарантию через интернет, обратиться в ФАС или арбитраж.

Кроме того, КЭП подойдет для участия в электронных закупках компаний с госучастием и коммерческий компаний, которые тоже проводят часть своих закупок  на электронных площадках.

Чтобы приобрести подходящую электронную подпись для участия в торгах в качестве поставщика, уточните требования к виду подписи на тех площадках, на которых планируете участвовать в электронных торгах.

Планируете участвовать в электронных торгах впервые? СКБ Контур поможет разобраться в сложных процедурах государственных и коммерческих торгов с помощью услуги Сопровождение торгов. Вы пройдете полный цикл от аккредитации на площадке до подписания контракта вместе с нашими специалистами. Услуги сопровождения торгов предотвратят ошибки, которые допускают новички. Мы проанализируем документацию, правильно составим и подадим заявки. Для победы вам останется подготовить конкурентное предложение.

Получить электронную подпись для торгов

Электронный документооборот

Все больше организаций, особенно с большим количеством контрагентов, переходят на электронный документооборот, оценив плюсы этой технологии:

• быстрый обмен любыми документами, в том числе бухгалтерской «первичкой»,
• сокращение издержек на обработку и передачу документов.

По договоренности между собой стороны могут использовать любой вид электронной подписи, но гарантом юридической силы электронных документов без подписания дополнительных соглашений между участниками документооборота является только КЭП. Кроме того, государство установило обязанность использовать квалифицированную электронную подпись для счетов-фактур.

Получить электронную подпись для документооборота

Эстония

Система электронных подписей широко используется в Эстонии, где введена программа ID-карт, которыми снабжены более 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент — Рийгикогу.

При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные органы самоуправления, так и в государственные органы.

В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Всё это осуществляется через центральный гражданский портал Eesti.ee. Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии. Это, в свою очередь, нарушает анонимность покупки проездных билетов.