Электронная подпись: надёжность и риски / Хабр

Что же может пойти не так?

Наверное, внимательные читатели уже увидели, что описанная выше схема представляет собой сферическую ЭП в вакууме.

И действительно, в теории взломать или подделать такую подпись можно несколькими способами. Самый лакомый способ для взломщика-криптоаналитика – это по открытому ключу угадать закрытый. Тогда злоумышленнику сразу открываются сказочные перспективы – ведь он сможет действовать от лица истинного владельца подписи и даже управлять его имуществом.

Однако обычно такой взлом не возможен ввиду того, что подбор закрытого ключа по открытому – вычислительно нерешаемая задача. При генерации пары ключей широко применяются факторизация или дискретное логарифмирование, что оставляет взломщику мало надежды.

Ещё одно уязвимое место – это хэш-функция. Здесь возможны сразу несколько направлений атак. Если алгоритм хэширования не достаточно надёжный, то взломщик может подобрать какой-нибудь свой документ, применение хэш-функции к которому даст тот же результат, что и её применение к исходному документу.

Или же злоумышленник может сгенерировать два документа, дающие одинаковый хэш, после чего при необходимости сможет подменить один документ другим. Названные ситуации считаются коллизиями хэш-функций. Однако жизнь взломщика хэш-функции всё же не так легка: мало того, что подставной документ должен представлять из себя читаемый текст, а не быть бессмысленным набором бит, так еще и придумано достаточно криптостойких алгоритмов хэширования.

«подводные камни» простой электронной подписи

Все информационные системы (ИС) можно разделить на публичные и закрытые, рассматривая круг пользователей, имеющих возможность создания или отправки электронных документов. Если, для доступа к ИС, человек обязан пройти процедуру проверки оригинала УЛ, то такая ИС будет закрытой, доступ к которой имеет строго определенный круг лиц.

ИС, доступ к которой имеет неопределенный круг лиц, не прошедших процедуру проверки УЛ, будет публичной. К закрытым ИС относятся все корпоративные ИС, так как человек, получивший к ней доступ, прошел процедуру оформления на рабочем месте с предъявлением документов и заключением трудового договора.

Рассмотрим основные способы подписания документов ПЭП, сложившиеся в российских реалиях.

Первым способом является заключение соглашения о том, что стороны признают документы, отправленные с электронного почтового ящика, подписанными ПЭП. В этом случае открытым ключом является адрес электронной почты, конфиденциальным ключом — пароль к электронному почтовому ящику. Юридически значимой такая ПЭП будет при соблюдении следующего условий:

  1. Почтовый сервис является закрытым, т.е. доступ к нему имеет строго определенный круг лиц, прошедших процедуру проверки оригинала удостоверения личности;
  2. Открытый ключ ПЭП содержится в передаваемом документе (ФЗ-63, статья 9 п.1);
  3. Пароль к почтовому ящику строго конфиденциален, известен только единственному, определенному лицу, прошедшему процедуру проверки оригинала УЛ перед получением пароля (ключа ПЭП) и это зафиксировано в соглашении (ФЗ-63, статья 9, п.2);

При использовании корпоративной электронной почты обычно соблюдаются все эти условия, т.к. корпоративная почта относится к закрытым ИС, адрес почтового ящика отправителя содержится в передаваемом сообщении, пароль к корпоративному личному почтовому ящику известен только строго определенному лицу.

Выбранная подпись не авторизована

Подобная ошибка возникает при попытке авторизации в личном кабинете на электронных торговых площадках. Например, при входе на площадку ZakazRF отображается сообщение «Выбранная ЭЦП не авторизована».

Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.

Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически.

Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.

Какие бывают ошибки

Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:

Рассмотрим неполадки подробнее и разберёмся, как их решать.

Личная собственноручная подпись

Исторически сложилось так, что в российском законодательстве нет определения личной собственноручной подписи. Этот вопрос разбирается в большом количестве юридической литературы, и общепринятым толкованием термина «личная собственноручная подпись» является следующее:

Подпись — уникальная совокупность символов, написанных от руки с помощью специальных оформительских приемов (монограмма, росчерки, штрихи), служащая для определения правоспособности физического лица.

Не виден сертификат на носителе

Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.

К наиболее распространённым причинам такой проблемы относятся следующие случаи:

Немного теории

В качестве алгоритмической базы для электронной подписи обычно применяют методы шифрования с открытым ключом. Подробнее о самих алгоритмах можно почитать на википедии или на хабре. Их суть сводится к тому, что для желающего обзавестись собственной электронной подписью специальным образом выбирается пара ключей – открытый и закрытый.

Первый, как следует из названия, доступен всем, а второй владельцу подписи лучше держать в секрете. Естественно, ключи выбираются так, чтобы закрытый ключ нельзя было легко угадать по открытому. После чего закрытый ключ используется для шифрования документа (иными словами, его подписания), а открытый – для расшифровки (то есть для проверки подписи).

При этом алгоритмы выбора ключей гарантируют, что открытым ключом можно расшифровать только те документы, которые шифровались соответсвующим ему закрытым ключом. Таким образом, если мы знаем открытый ключ владельца ЭП и смогли расшифровать им полученный от него документ, то он был точно подписан тем самым владельцем. Так работают асимметричные схемы ЭП.

Подключаем человеческий фактор, бюрократию и частные организации

В самом начале мы говорили о свойствах, которыми должна обладать качественная электронная подпись. Из них под действием уже упомянутых выше атак пока страдали только её целостность и неотказуемость. Однако в реалиях нашего мира наибольшее количество нарушений происходит из-за подмены авторства.

В России получение ЭП регулируется законом № 63-ФЗ «Об электронной подписи». Для её оформления нужно получить сертификат от удостоверяющего центра (УЦ) на выбор. В УЦ нужно предоставить необходимые документы и заплатить некоторую сумму, после чего забрать свой сертификат и заветный eToken с закрытым ключом.

Вот на получении сертификатов-то и возникает простор для всевозможных махинаций. Все УЦ являются коммерческими организациями, они обязательно аккредитованы Министерством цифрового развития и имеют лицензию от ФСБ. Однако чего не сделаешь ради прибыли — для УЦ порой желания клиентов выше установленных правил выдачи сертификата.

Например, из-за этого сегодня возможно получить ЭП на другое лицо, пользуясь утечками персональных данных или некомпетентностью УЦ. Это приводит к довольно печальным последствиям – вплоть до переоформления квартиры или регистрации фиктивных организаций с целью взятия кредитов.

Применение хэш-функций

В связи с тем, что шифрование закрытым ключом документа большого размера – довольно сложный и долгий процесс, обычно к тексту документа сначала применяют более быстрое и простое хэш-шифрование. Полученный сравнительно короткий результат шифруют закрытым ключом, получая саму цифровую подпись. Вместе с ней открытый текст документа передаётся получателю.

Читайте также:  Создание ЭП в Adobe Acrobat и Adobe Reader с помощью программы КриптоПро PDF
Подробная схема с применением хэш-функции
Подробная схема с применением хэш-функции

Тот должен всего лишь хэшировать текст документа той же хэш-функцией, после чего расшифровать открытым ключом подпись и сравнить оба результата. Если они совпадают – то документ мог быть подписан только отправителем (вот она и неотказуемость) и не был испорчен, дополнен или подменён в процессе пересылки (а это целостность).

А дляпоследнего свойства – авторства – необходимо, чтобы пара ключей подписавшего была закреплена за ним. На практике для этого используются так называемые удостоверяющие центры, которые по запросу выдают сертификат на пару ключей, а также гарантируют единственность обладания ими.

Применение эцп (электронная цифровая подпись) : возможности, проблемы и перспективы. #эп / эцп #сэд #ecmj

ИТ-директоруДелопроизводителюКадровикуБухгалтеру
Электронная цифровая подпись (ЭП)

Наталья Бичевина

 0 комментариевДобавить в закладки

Наталья Бичевина, Начальник отдела организации
электронного документооборота ООО «Аудит Груп»

Каждый имеет право совершать юридически значимые действия
и заключать сделки любым законным способом, в том числе и путем обмена
электронными документами (далее — ЭД). Это положение является фундаментом, на
котором базируются понятия электронного документооборота и электронной
торговли.

ЭД и электронная цифровая подпись (далее — ЭЦП) в качестве
надежных и эффективных инструментов для ведения бизнеса уже давно завоевали
признание мирового бизнес — сообщества.

О сферах применения ЭД, ЭЦП можно говорить бесконечно,
поскольку все сферы жизнедеятельности человека, где так или иначе используются
традиционные бумажные документы, рано или поздно становятся сферами применения
ЭД. С помощью ЭД могут заключаться сделки, может передаваться юридически
значимая информация, в том числе и распорядительного характера, возможно даже
удаленное управление бизнес-процессами в комплексе таких систем как CRM.

В настоящее время ЭД и ЭЦП в основном применяются в
следующих сферах:

1. Представление информации в электронном виде в
министерства и ведомства Российской Федерации.
Фактически началом данных
отношений между государственными органами и юридическими лицами можно считать
23.01.2002года — момент вступления в силу Федерального закона «Об электронной
цифровой подписи» (далее — ФЗ «Об ЭЦП»).

Согласно нему ЭД, заверенный ЭЦП, приобретает юридический
статус, то есть имеет такую же юридическую силу, как и бумажный документ с
собственноручной подписью и печатью.

Позже был принят ряд нормативно-правовых актов, которые и
составили законодательную базу для перехода на безбумажную технологию сдачи
отчетности. Например, это ФЗ от 28.12.2001г. № 180-ФЗ «О внесении изменений в
статью 80 части первой НК РФ» и ФЗ от 28.03.2002 г. № 32-ФЗ «О внесении
изменений и дополнений в Федеральный закон «О бухгалтерском учете», на основе
которых был утвержден Порядок представления налоговой декларации и
бухгалтерской отчетности (приказ МНС России от 02.04.2002г. N БГ-3-32/169 и
705).

2. Применение ЭД и ЭЦП в банковских и
финансово-кредитных правоотношениях.

ЭД, заверенный ЭЦП, как правовой институт, получил свое
значительное развитие именно в сфере банковских правоотношений. И это
неслучайно. Поскольку процесс нормативного регулирования порядка и применения
ЭД и ЭЦП, организации электронного документооборота (далее — ЭДО) в этой сфере
получил свое развитие задолго до принятия ФЗ «Об ЭЦП» и части 2 Гражданского
кодекса Российской Федерации. Значительная роль в этом принадлежит Центральному
Банку России (далее — ЦБРФ). ЦБ РФ, как ни один другой государственный орган,
принял значительное число нормативных актов, определяющих особенности
применения ЭЦП в сфере финансово-кредитных правоотношений. В настоящее время действуют
нормативные правовые акты ЦБ РФ, которые регулируют порядок использования ЭЦП в
банковской сфере, от традиционных отношений между коммерческими банками и его
клиентами до осуществления ЦБ РФ контрольно — надзорной функции и
предоставлении кредитными организациями отчетности в электронной форме. Общим
началом является признание юридической силы ЭД, подписанных ЭЦП, при
положительном результате проверки ЭЦП. При этом почти все нормативно-правовые
акты ЦБ РФ, вопреки ФЗ «Об ЭЦП», признают в качестве владельца ЭЦП юридическое
лицо — кредитную организацию или ее клиента.

Особенности договорных отношений между коммерческими
кредитными организациями и их клиентами заключаются в том, что при обмене ЭД
кредитные организации рассматривают любое лицо как представителя клиента,
обладающего полномочиями на совершение любых действий, предусмотренных
правилами работы и иными нормативными актами, если указанное лицо направит ЭД,
подписанный ЭЦП.

Использование ЭДО исключает необходимость обмена бумажными
оригиналами документов. При этом риск компрометации ключа лежит на клиенте.
Кредитные организации не несут ответственности за убытки, возникшие в
результате действия третьих лиц, получивших доступ к ключу ЭЦП, до момента
приостановления действия ключа ЭЦП, а равно и при нарушении сотрудниками
клиента правил пользования ключом ЭЦП. Так, например, ФАС Московского округа в
постановлении от 5.11.2003г. признал юридическую силу документа, подписанного
ЭЦП. ОАО «Ростелеком» обратилось в суд с иском о взыскании убытков, утверждая
при этом, что не передавало в банк платежное поручение в виде электронного
платежного документа системы «Клиент- Сбербанк», с помощью которой
распоряжалось денежными средствами, находящимися на счете. Экспертиза,
назначенная арбитражным судом и проведенная экспертами ЦБР, показала, что на
спорном платежном поручении ЭЦП корректна и принадлежит заместителю
генерального директора ОАО «Ростелеком». Кроме того, было установлено, что
ключевая система не позволяет инициировать сеанс связи без предъявления главного
ключа клиентского места, а также отправлять документы с клиентского компьютера
от имени другого клиента и принимать в обработку не подписанные
зарегистрированной ЭЦП документы. Суд признал несостоятельным заявление истца,
поскольку тот не представил доказательств несанкционированного вмешательства,
либо утраты или иного выбытия дискеты, содержащей ЭЦП лица, имеющего право на
ее применение.

3. Заключение договоров и совершение сделок с
использованием ЭД в системах электронной торговли.

Несмотря на отсутствие достаточно благоприятных и
предсказуемых правовых условий для электронной торговли, отсутствие необходимых
положений законодательства может быть компенсировано путем создания необходимых
договорных конструкций в корпоративных информационных системах (под
корпоративной информационной системой в российском законодательстве понимается
информационная система, участниками которой могут быть ограниченный круг лиц,
определенный ее владельцем или соглашением участников этой информационной
системы).

Вместе с тем, чем шире сфера применения ЭД и ЭЦП, тем
больше возникает вопросов и сложностей
, связанных с использованием этой
технологии, еще больше с обеспечением сохранности и целостности ЭД,
подтвержденных ЭЦП, с возможностью обеспечения судебной защиты прав участников
гражданского оборота.

Вопрос нормативного регулирования ЭД, обмена этим
документами, правового статуса ЭЦП стоит остро не только для российского
законодателя. Мировая практика также идет по пути создания актов отраслевого
назначения, которые определяют процедуру использования ЭД с ЭЦП в конкретной
сфере применения. В нашей стране, например, электронная торговля не
сопровождается необходимыми правовыми гарантиями, которые обеспечивали бы
законность и действительность сделок, совершаемых в сети Интернет. Участникам
электронной торговли нередко предъявляются невыполнимые в электронной среде
требованиям о предоставлении в подтверждении сделки бумажных документов,
заверенных собственноручными подписями сторон. Не устанавливаются оптимальные
юридические критерии, предъявляемые к ЭДО. Законодательство не регламентирует
порядок передачи, получения, хранения ЭД и иных электронных сообщений. Наконец,
должным образом не прописан порядок и процедура защиты интересов потребителей,
заключающих электронные сделки.

Читайте также:  Онлайн сервис подачи документов для получения сертификатов УЦ ФК

Некоторые проблемы возникают и при приобщении ЭД к
материалам дел, то есть еще до рассмотрения спора в суде. Например, по мнению
А.П. Вершинина, ЭД должны представляться в суд не на техническом, а на бумажном
носителе (то есть в письменном текстовом виде, который позволяет визуально и
устно исследовать и обсудить доказательство). В качестве доказательств по делу
могут быть использованы и данные, содержащиеся на техническом носителе, но
только в тех случаях, когда они преобразованы в форму, пригодную для обычного
восприятия и хранения в деле (Вершин А.П. Электронный документ: правовая
природа и доказательство в суде. М., 2000, С 114, 127). При необходимости
приобщения к делу документы можно распечатать либо записать на лазерный диск
(постановление ФАС Поволжского округа от 24 июня 2004 г. по делу № А55-11635/03-3).

Однако, несмотря на сложности при применении ЭД и ЭЦП и
обмене такими документами хочется отметить, что все же на законодательном
уровне эти инструменты легализованы. Одни законы направлены непосредственно на
нормативно-правовое регулирование применения ЭЦП, другие положения
нормативно-правовых актов – на регулирование электронной торговли и применения
информационных технологий.

Так, например, УПК РФ (ст. 74) прямо не предусматривает в
качестве доказательств ЭД, но, тем не менее, признает в качестве доказательства
«иные документы», то есть содержит открытый перечень доказательств и к ним
можно отнести и ЭД.

ГПК РФ предусматривает в качестве письменных доказательств
документы, выполненные в форме цифровой графической печати, в том числе
посредством факсимильной и электронной связи.

АПК РФ прямо предусматривает, что документы, полученные
посредством факсимильной, электронной и иной связи, а также документы,
подписанные ЭЦП или иным аналогом собственноручной подписи, допускаются в
качестве письменных доказательств.

Хотя при электронной торговле и возникают описанные выше
сложности, тем не менее, они решаются путем создания договорных конструкций в
условиях корпоративной информационной системах. Эти конструкции основываются на
традиционных нормах гражданского законодательства. Участники такой системы
заключают особое соглашение «Об электронном обмене данными», «Об использовании
электронных документов» и т.п.

Решается вопрос и защиты прав лиц, применяющих ЭЦП. Эта
защита основана на признании равенства участников гражданско-правовых
отношений. К примеру, большинство операций с ЭЦП осуществляются в корпоративных
информационных системах. В соответствии с Постановлением Пленумов ВС РФ и ВАС
РФ № 6/8 договоры об участии в таких системах и условия регламентов ЭДО, как и
договоры присоединения, могут быть изменены по соглашению сторон. Таким
образом, действующее законодательство все же позволяет защитить свои права уже
при вступлении в информационную систему и требовать изменения условий ЭДО, если
они явно ущемляют правовое положение участника.

Учитывая вспомогательный характер отношений по
использованию ЭЦП относительно конкретных имущественных и обязательственных
отношений, подавляющее большинство действий самозащиты прав – предъявление
требования по заключенным сделкам. Субъекты ЭДО могут прибегнуть к возможностям
самозащиты при урегулировании споров и конфликтных ситуаций, возникающих,
например, при компрометации закрытого ключа ЭЦП, нарушении нормального
функционирования средств ЭЦП.

Основная роль в защите гражданских прав и интересов
участников ЭДО принадлежит суду.

Пока еще вряд ли возможно говорить о полноценной судебной
практике, но, тем не менее, суды достаточно часто рассматривают ЭД в качестве
доказательств, а ЭЦП признают надлежащим реквизитом ЭД, фиксирующим волю лица и
идентифицирующим автора. Например, письмом ВАС РФ от 19.08.1994 г. N С1-7/ОП-587
«Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной
практике» определено, что возможно принятие в качестве доказательств
документов, изготовленных в электронном виде и подписанных ЭЦП, при наличии в
договоре процедуры разногласий и порядка доказывания подлинности договора и
достоверности подписей. При рассмотрении дела № КГ-А40/4465-00 ФАС Московского
округа от 5 октября 2000 г. указал, что юридическая сила ЭД может
подтверждаться ЭЦП при наличии программно-технических средств, обеспечивающих
идентификацию подписи, и соблюдении установленного режима их использования.

Нередко возникают споры, при разрешении которых суд
оценивает легитимность ЭД, предоставленных банками своим клиентам, участвующим
в публичных правоотношениях.

Так, ФАС Центрального округа в постановлении № 172/5 от 28
апреля 2000 года признал незаконным и ущемляющим интересы лиц требование
налоговой инспекции при наличии выписок банка в электронной форме предоставить
их также и на бумажном носителе, подтвердив подписями работников банка и
заверив печатью. Составление выписок по счету в электронной форме правомерно и
основано на законе «Об информации, информатизации и защите информации», который
подтверждает что документ с ЭЦП, полученный из автоматизированной информационной
системы, имеет юридическую силу. Такие электронные документы приняты в деловом
обороте между банками и их клиентами (письмо Банка России от 10.02.1998г. №
17-П).

Аналогичный спор был разрешен ФАС Волго-Вятского округа
постановлением от 6.10.2003 г. № А 17-842/5 и указанные документы признаны
доказательствами, соответствующими требования закона.

В корпоративных информационных системах электронными
документами могут оформляться как поручения на совершение определенной
операции, так и другие документы. ФАС Восточно-Сибирского округа от
12.08.2004г. рассматривал дело о легитимности принятого ООО решения,
оформленного в виде ЭД. Собственник информационной системы ООО «Иркутская
нефтяная компания» признал спорный ЭД в качестве надлежащего доказательства и
поставил под ним свою помощь, которая признана судом равнозначной ЭЦП. Доводы
стороны, оспаривающей правомерность признания в качестве доказательства
документов, распечатанных из электронной базы данных, судом признаны
несостоятельными, так как ЭД соответствовали требованиям законодательства.

Не меньшее внимание уделяется вопросу применения ЭД при
ведении бухгалтерского учета. ФЗ от 21.11.1996г. «О бухгалтерском учете»
позволяет составлять первичные и сводные учетные документы на бумажных и
машинных носителях информации. В письме от 19.05.2006г. Министерство Финансов
РФ разъяснило, что при ведении бюджетного учета допускается использованием ЭД с
ЭЦП в порядке, аналогичном для документов на бумажных носителях информации при
условии соблюдения действующего законодательства. При рассмотрении споров о
легитимности ведения документов бухгалтерского учета в электронной форме суд,
как правило, встает на сторону налогоплательщиков. Например, ФАС
Северо-Западного округа постановлением от 6.06.2005г. признал недействительным
решение ИМНС о привлечении налогоплательщика к ответственности на основании п.
2. ст. 120 НК РФ. Инспекция сделала ошибочный вывод об отсутствии у него книг
покупок, продаж и учета счетов-фактур в связи с тем, что они составлялись
сотрудниками бухгалтерии в электронном виде по формам, разработанным самим
налогоплательщиком.

Не все документы закон разрешает оформлять в электронном
виде. Установленный НК РФ порядок оформления и заполнения счетов-фактур не
разрешает выставлять их в электронном виде при расчетах по налогу на
добавленную стоимость. Это подчеркивает ФНС России в своем письме от
14.02.2005г. «О налоге на добавленную стоимость».

Резюмируя, хочется отметить следующее:

Электронные документы как письменное доказательство,
как правовой институт, все больше развивается и занимает свое «законное» место.

Конечно, в настоящее время законодательство об ЭЦП, ЭД в
достаточной мере разрозненно, фрагментарно и не содержит системы,
регламентирующей механизмы, процедуры и порядок применения ЭЦП, ЭД. Вместе с
тем, общий подход к регламентации ЭДО ясен и не вызывает возражений: это
принцип аналогии права. То есть, чтобы ЭД имел статус письменного
доказательства в суде, нужно создать такую правовую конструкцию ЭД, которая бы
могла исполнить все основные функции привычного бумажного документа.

Читайте также:  Как сформировать сертификат эцп

Сейчас создаются акты отраслевого назначения, которые
определяют процедуру использования ЭД с ЭЦП в конкретных сферах применения.
Постепенно появляется судебная практика, позволяющая анализировать
результативность методов защиты лиц, участвующих в ЭДО, способы обеспечения
сохранности и целостности ЭД и делать выводы о необходимых поправках и
доработке законодательства.

Сертификат не найден

Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи»

У подобных ошибок могут быть следующие причины:

1. На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.

2. На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.

3. Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.

Для установки списка отозванных сертификатов:

Электронная подпись

Нормативным документом, в котором приводится определение электронной подписи(ЭП), является Федеральный Закон «№ 63 от 06.04.2021 «Об электронной подписи» (далее ФЗ-63). В статье 2 ФЗ-63 рассматриваемое понятие определяется так:

Электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Из данного определения вытекает, и в статье 6 ФЗ-63 нормативно зафиксировано, что ЭП является аналогом личной собственноручной подписи, так как главная цель у обеих типов подписей одна — определение лица, подписывающего информацию. Идентификация личности — очень важный момент для юридической значимости ЭП.

Полную гарантию достоверного определения лица не дает ни один из видов ЭП, но, в случае неквалифицированной и квалифицированной ЭП, человек лично посещает специальное учреждение — Удостоверяющий Центр (УЦ), аккредитованное государством и уполномоченное для выдачи(замены) ЭП.

В случае ПЭП, об обязательности достоверной идентификации личности при выдаче(замене) ЭП часто забывают или способ определения лица вызывает много споров в технической реализации. ФЗ-63, в статье 5 пункт 2, подчеркивая важность идентификации личности, дает следующее определение простой электронной подписи:

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Кода, пароли или иные средства, являющиеся элементами ПЭП, имеют обобщающее название — ключи ПЭП. Ключи ПЭП могут иметь публичную и конфиденциальную части.

Например, при использовании в техническом решении идентификации личности личного электронного почтового ящика, адрес почтового ящика будет открытой частью ключа, а пароль к нему — закрытой, конфиденциальной частью. ФЗ-63 обязывает строго соблюдать конфиденциальность непубличных ключей ПЭП, так как компрометация приводит к потере юридической значимости.

Возвращаясь к определению подписи, которое было дано в предыдущих абзацах, мы можем расширить определение ПЭП, раскрыв значение термина «определенное лицо»:

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств устанавливает связь человека, подписывающего информацию, с набором признаков, присущих только этому человеку, в целях контроля соблюдения прав или выполнения обязанностей, определенных подписанным документом.

Основным и практически единственным способом юридического сопоставления человека с набором признаков, присущих данному человеку, является предъявление оригинала удостоверяющего документа, в качестве которого применяется выданное государственными органами удостоверение личности (УЛ).

Удостоверение личности содержит фотографию, фамилию и имя, а также указание на место жительства, т.е. весь необходимый набор признаков, установленный законодательством для идентификации. Правила выдачи такого удостоверения всегда предписывают его получение лично владельцем и никем иным и этот факт является юридически значимым: во время выдачи удостоверения установлена связь между человеком, его фотографией, его именем и фамилией, и его местом жительства.

Следовательно, задача придания ПЭП юридической значимости сводится к задаче определения связи между государственным УЛ и ключами ПЭП.

Эп не подписывает документ

Причин у подобной проблемы множество. Среди самых распространённых можно выделить следующие неполадки:

  1. Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.

  2. Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.

  3. Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.

  4. Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.

  5. Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.

В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».

В этой ситуации помогает установка и регистрация библиотеки Capicom:

Эпилог

Инфраструктура открытых ключей, которую необходимо разворачивать при использовании неквалифицированной и квалифицированной электронной подписи, сложна в практическом использовании для большинства людей, чьи интересы лежат вне сферы IT. Простая электронная подпись – это довольно удобная альтернатива инфраструктуре открытых ключей, главным образом, для физических лиц, а также во внутреннем электронном документообороте между сотрудниками организации.

Но, как и в любом процессе, в процедуре подписания ПЭП существуют некоторые нюансы. Надеюсь, эта статья поможет всем заинтересованным лицам увидеть эти подводные камни, и учесть их в проектировании инфраструктуры электронной подписи.

Заключение

В статье вкратце было рассмотрено, как работает электронная подпись. Видно, что алгоритм достаточно устойчив и почти не имеет слабых мест. Однако, как и во многих случаях, самое слабое место этого метода — человеческий фактор, оставляющий большой простор для действий злоумышленников.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector