Как защитить электронную цифровую подпись?

Правила использования УКЭП

Единственное преимущество квалифицированной усиленной подписи – это использование специального алгоритма шифрования, благодаря которому подделать её не получится. И на многих электронных торговых площадках требуют для верификации пользователя использовать исключительно такую вариацию ЭЦП, неквалифицированная – не подойдет.

Итого, как сделать квалифицированную электронную подпись? Достаточно обратиться в ближайший удостоверяющий центр. Порядка 80% из них поддерживают изготовление такой разновидности ЭЦП (остальные – только неквалифицированные). Услуга доступна для всех совершеннолетних граждан РФ.

Чтобы обезопасить сохранность передаваемых данных, подписанных УКЭП, следует пользоваться подписью лишь в тех случаях, которые указаны в сертификате, предоставляемом вместе с ней. Если сертификат был аннулирован или истек его срок действия, пользоваться УКЭП нельзя.  

Обязательным также является обеспечение конфиденциальности ключа. Если этого не удалось добиться, то при утере ключа или открытии доступа к нему посторонним следует немедленно уведомить об этом факте удостоверяющую компанию и всех участников документооборота, совершаемого в электронной форме.

Использование ЭП позволяет:

• значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
• усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;
• гарантировать достоверность документации;
• минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;
• построить корпоративную систему обмена документами.

Подделать ЭП невозможно – это требует огромного количества вычислений, которые не могут быть реализованы при современном уровне математики и вычислительной техники за приемлемое время, то есть пока информация, содержащаяся в подписанном документе, сохраняет актуальность. Дополнительная защита от подделки обеспечивается сертификацией Удостоверяющим центром открытого ключа подписи.

С использованием ЭП работа по схеме “разработка проекта в электронном виде – создание бумажной копии для подписи – пересылка бумажной копии с подписью – рассмотрение бумажной копии – перенос ее в электронном виде на компьютер” уходит в прошлое.

Преимущества квалифицированной ЭЦП

Усиленная неквалифицированная электронная подпись (далее — НЭП) создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки.  

Человек получает в удостоверяющем центре два ключа электронной подписи: закрытый и открытый. Закрытый ключ хранится на специальном ключевом носителе с пин-кодом или в компьютере пользователя — он известен только владельцу и его нужно держать в тайне. С помощью закрытого ключа владелец генерирует электронные подписи, которыми подписывает документы.

Открытый ключ электронной подписи доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом и позволяет всем получателям подписанного документа проверить подлинность ЭП.

То, что открытый ключ принадлежит владельцу закрытого ключа, прописывается в сертификате электронной подписи. Сертификат также выдается удостоверяющим центром. Но при использовании НЭП сертификат можно не создавать. Требования к структуре неквалифицированного сертификата не установлены в федеральном законе № 63-ФЗ “Об электронной подписи”.

Где используется?

НЭП можно использовать для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом.

Юридическая сила

Участникам ЭДО нужно соблюдать дополнительные условия, чтобы электронные документы, заверенные НЭП, считались равнозначными бумажным с собственноручной подписью. Сторонам нужно обязательно заключить между собой соглашение о правилах использования НЭП и взаимном признании ее юридической силы.

Усиленная квалифицированная электронная подпись — самый регламентированный государством вид подписи. Так же, как и НЭП, она  создается с помощью криптографических алгоритмов и базируется на инфраструктуре открытых ключей, но отличается от НЭП в следующем:

• Обязательно имеет квалифицированный сертификат в бумажном или электронном виде, структура которого определена приказом ФСБ России № 795 от 27.12.2011.
• Программное обеспечение для работы с КЭП сертифицировано ФСБ России.
• Выдавать КЭП может только удостоверяющий центр, который аккредитован Минкомсвязи России.

Получить квалифицированную электронную подпись

Где используется?

КЭП нужна, чтобы сдавать отчетность в контролирующие органы, участвовать в качестве поставщика и заказчика в электронных торгах, работать с государственными информационными системами, обмениваться формализованными документами с ФНС, вести электронный документооборот внутри компании или с ее внешними контрагентами.

Юридическая сила

КЭП — это подпись, которая придает документам юридическую силу без дополнительных условий.  Если организации ведут ЭДО, подписывая документы КЭП,  их юридическая сила признается автоматически согласно федеральному закону № 63-ФЗ “Об электронной подписи”.

Технически неквалифицированная ЭП — это шифр, записанный на электронный носитель, который будущий владелец получает на руки. Усиленные подписи, к которым относится и неквалифицированная ЭП, отличаются от простого типа тем, что не только подтверждают факт отправления документа конкретным лицом, но и гарантируют его неизменность с момента подписания.

Основные пользователи неквалифицированная ЭЦП — юридические лица либо предприниматели, сотрудничающие с государственными структурами. Требования, выдвигаемые законодательством к такому сертификату, менее строги, нежели к квалифицированной ЭЦП. В частности, центр, выдающий ключ, не обязан иметь аккредитацию, а криптографическая система шифрования может быть любой, в том числе и иностранной.

Однако и полномочия неквалифицированной ЭП несколько ограничены, и аналогом рукописной подписи она может выступать лишь с рядом оговорок. Главная из них — наличие официального соглашения между сторонами, которые обмениваются документами с неквалифицированной ЭЦП. Стоит отметить, что, несмотря на дополнительные возможности, КЭП не является усовершенствованным видом неквалифицированной ЭП. Последняя — самостоятельный вид подписи со своей сферой назначения.

Физическими лицами этот способ используется относительно редко — в большинстве ситуаций вполне достаточно простой ЭП. Однако прибегнуть к неквалифицированной ЭП бывает необходимо при отправке документов или сведений в ФНС. С ее помощью также можно получать справочные данные, информацию о налогах, оформлять официальные запросы.

Для осуществления внутреннего документооборота в рамках своей организации.

Для обмена документами с партнерами и иными предприятиями. Этот вариант возможен лишь при наличии соглашения, где оговорено, как будет использоваться неквалифицированная электронная подпись, что это такое и каким образом будет осуществляться проверка.

Для документооборота внутри банка. Как правило все подписи в банк клиенте и ДБО являются неквалифицрованными.

Для аккредитации и участия на электронных торговых площадках.

Последний вариант использования имеет свои нюансы. Ряд операций на виртуальных площадках может осуществляться только с использованием квалифицированной ЭП. К примеру, заказчики пользуются исключительно КЭП, а также могут предъявлять индивидуальные требования к поставщикам, выбирая нужный вид подписи.

Для физических лиц получить сертификат несложно — достаточно воспользоваться «Личным кабинетом» на сайте ФНС и заказать соответствующую услугу. Но единственное назначение неквалифицированной ЭП в этом случае — отправка данных в налоговые органы. Что касается юридических лиц, схема получения здесь несколько сложнее.

Существует и другой вариант приобретения сертификата — создать его самостоятельно. Если глава организации или кто-то из сотрудников неплохо разбирается в IT-технологиях, сделать это возможно. Однако обращение в центр значительно ускорит процесс получения и гарантирует качество конечного результата.

Процесс получения неквалифицированной ЭП несложен: услуга доступна в любом городе. Для этого достаточно подать заявление на сайте выбранного центра, а также приложить пакет необходимых документов.

Для физических лиц это:

• гражданский паспорт;
• ИНН;
• свидетельство о регистрации деятельности, если речь идет об ИП;
• СНИЛС;
• контактные данные.

Для юридических лиц:

• паспорт физического лица, на чье имя будет оформлена ЭП;
• свидетельство о постановке на учет в ФНС;
• подтверждение занимаемой должности;
• СНИЛС;
• сведения о регистрации предприятия;
• контактные данные.

Уточнить список документов можно непосредственно при подаче заявления. При получении заказчик обязан подтвердить свою личность. Если владелец сертификата не имеет возможности забрать его самостоятельно, нотариальная доверенность должна быть отправлена предварительно, вместе с остальными документами.

Сертификат неквалифицированной ЭП выдается только на год — по истечении этого срока необходимо приобрести новый, так как использование старого не будет иметь юридической силы. После получения нового ключа, прежний окончательно аннулируется.

Неквалифицированная ЭЦП также может быть признана недействительной в определенных ситуациях, например, если было доказано нарушение конфиденциальности. По закону владелец ЭЦП не имеет права доверять ее кому-либо, и, если факт передачи был признан, сертификат подлежит обязательной замене.

Для оперативного, законного и качественного получения неквалифицированной электронной подписи мы рекомендуем воспользоваться услугами нашего центра. Благодаря удобной системе вы сможете быстро оформить заявку и получить неквалифицированную ЭЦП в максимально сжатые сроки.

Для того чтобы разобраться, куда обращаться за получением подписи, выясним, что это такое -усиленная квалифицированная электронная подпись. В соответствии с п. 4 ст. 5 закона от 06.04.2011 № 63-ФЗ основным отличием усиленной квалифицированной электронной подписи (далее по тексту УКЭП) от неквалифицированной является то, что первая обладает дополнительными признаками, которые говорят о ее большей защищенности:

• у квалифицированной подписи есть ключ проверки, который указывается в квалифицированном сертификате (он выдается удостоверяющим центром, аккредитованным в Минкомсвязи);
• для проверки ее достоверности используются получившие подтверждение о соответствии федеральным требованиям средства электронной подписи.

Кроме того, УКЭП создается при использовании средств электронной подписи путем криптографического изменения информации с применением указанного выше ключа.   

Получить усиленную электронную подпись могут любые юридические и физические лица. Приведем необходимый набор документов, которые следует подать для получения подписи организациям. Без этого пакета квалифицированная цифровая подпись останется недоступной. В комплект входят:

• Заявление на получение подписи.
• Документ, с помощью которого можно подтвердить, что лицо, претендующее на получение подписи, имеет соответствующие полномочия руководителя.
• Копия удостоверения личности того, кто будет владеть сертификатом (или его представителя). Как правило, в этом качестве принимается только паспорт и копии снимаются с нескольких наиболее информативных страниц.
• Копия ИНН.
• Регистрационная карта компании, в которой отражаются контактные данные самой организации, ее руководства, принадлежность к определенному режиму налогообложения, банковские и иные реквизиты (все коды).
• Доверенность на лицо, которое будет владеть сертификатом, если это не руководитель компании.
• Доверенность на лицо, выступающее в роли представителя владельца сертификата.
• СНИЛС лица, владеющего сертификатом квалифицированной ЭЦП.

Средства ЭЦП

Средствами ЭЦП являются аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:

• создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи,
• подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе,
• создание закрытых и открытых ключей электронных цифровых подписей.

Криптографическая основа

В основе электронной подписи лежит криптография открытого ключа. С ее помощью формируется специальный сертификат пользователя. Он содержит данные о пользователе, открытый ключ и электронную подпись сертификата, ее можно проверить с помощью открытого ключа удостоверяющего центра. Алгоритм гарантирует, что произвести генерацию подписи может только удостоверяющий центр, который имеет секретный ключ шифрования и доверие к которому является основой для работы всей системы ЭЦП.

Доверие к удостоверяющим центрам основано на иерархическом принципе: сертификат удостоверяющего центра нижнего уровня заверяется электронной подписью удостоверяющего центра более высокого уровня. Высочайшим уровнем удостоверяющих центров является федеральный, который находится под управлением государственных органов.

Вся система доверия, построенная на сертификатах, образует так называемую инфраструктуру открытых ключей (Public Key Infrastructure, PKI). При такой инфраструктуре требуется проверка не только легитимности ключа удостоверяющего центра, выдавшего сертификат, но и всех вышестоящих удостоверяющих центров.

В России сейчас создается система PKI, которая доступна практически всем желающим. Изначально она была создана агентством Росинформтехнологии на базе Общероссийского государственного информационного центра (ОГИЦ). Однако сейчас федеральный удостоверяющий центр передан в ведение «Ростелекома». Этот телекоммуникационный оператор активно предлагает развивать различные проекты с использованием PKI.

Равнозначность собственноручной подписи

Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

• сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
• подтверждена подлинность электронной цифровой подписи в электронном документе;
• электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Область применения ЭЦП определяется идентификатором, называемым OID. У каждой области действия свой OID. Например, область применения, которая позволяет подписывать документы для постановки объектов на ГКН, имеет OID 1.2.643.5.1.24.2.1.3.1 «Формирование кадастровым инженером документов для получения услуг со стороны заявителя». ЭЦП с таким OID выдается только кадастровым инженерам, которые для получения предъявляют Аттестат кадастрового инженера.

Область применения, которая позволяет органу кадастрового учёта подтверждать документы – результаты кадастрового учета имеет OID – 1.2.643.5.1.24.2.1.2 «Формирование документов как результата оказания услуги со стороны органов кадастрового учета». ЭЦП с такими OID нами не выдается. И не может быть выдан без специальной аккредитации.

Электронная подпись для госзакупок

Основная статья:Электронная подпись в закупках

Для участия в закупочных процедурах необходимо наличие электронной подписи. Каких типов бывают ЭП, что влияет на стоимость подписи и какой пакет документов необходимо подготовить для её получения? Подробнее здесь.

Проверка ЭЦП – какие компоненты требуются

В некоторых случаях пользователь захочет убедиться, функционирует ли усиленная квалифицированная цифровая подпись

Чтобы ее проверить потребуется иметь в наличии компоненты в следующем наборе:

• Соответствующая компьютерная программа, которая устанавливается с накопителя к ЭЦП. В этом качестве может выступать, например, КриптоПро.
• Сам накопитель (флешка или диск) должен быть во время проверки вставлен в приемное устройство .
• Установленный личный сертификат.
• Установленные библиотеки для электронной подписи.

Для того чтобы выполнить проверку следует зайти на реестр ЭЦП и нажать соответствующую кнопку. Следует учитывать, что на компьютере пользователя в это время должна быть установлен браузер Internet Explorer 5-й версии. Только тогда удастся поработать с ActiveX объектами. 

Хроника

8 июля 2019 года стало известно, что Министр экономического развития Максим Орешкин выступил за скорейшее принятие законопроекта, ужесточающего требования к удостоверяющим центрам электронной подписи. Соответствующее заявление министр сделал в ходе парламентских слушаний в Госдуме, посвященных вопросам Цифровой экономики.

В Госдуму были внесены сразу два законопроекта с поправками в Закон «Об электронной подписи». Первый из них разработан сенаторами Владимиром Кравченко, Любовью Глебовой и Михаилом Пономаревым, второй – сенатором Людмилой Боковой.

Закон «Об электронно-цифровой подписи» был принят в России в 2003 г. К документу было множество нареканий, и в 2011 г. его заменили новым Законом – «Об электронной подписи».

В законе упоминается электронная подпись трех видов: простая, усиленная и квалифицированная. Усиленная электронная подпись выдается удостоверяющим центром, квалифицированная – удостоверяющим центром, прошедшим аккредитацию в Минкомсвязи. Квалифицированная электронная подпись признается аналогом собственноручной. В числе прочего она необходима для участия в госзакупках.

Изначально закон требовал, что для аккредитованных удостоверяющих центров минимальный размер чистых активов должен составлять 1 млн руб., а минимальный размер финансового обеспечения для покрытия возможных убытков третьим лицам 1,5 млн руб.

В 2015 г. по инициативе Минкомсвязи законодатели увеличили минимальный размер чистых активов до 7 млн руб., а минимальный размер финансового обеспечения – до 30 млн руб. Но власти хотели и дальше ужесточать требования к удостоверяющим центрам. Так, в 2017 г. Минкомсвязи разработало законопроект о монополизации выдачи квалифицированных электронных подписей государством, однако данный документ был раскритикован отраслью и не получил дальнейшего развития.

В представленных законопроектах речь идет о дальнейшем ужесточении требований к аккредитованным удостоверяющим центрам. Согласно обоим документам, минимальный размер чистых активов предлагается увеличить до 1 млрд руб., либо, если у удостоверяющего центра есть филиалы в как минимум двух третях российских регионов, до 500 млн руб.

Минимальный размер финансовой гарантии предлагается увеличить до 200 млн руб. Если число мест осуществления лицензируемого вида деятельности превышает 10, то за каждое такое место необходима дополнительная финансовая гарантия в размере 500 тыс. руб., но не более 300 млн руб. в совокупности.

Срок аккредитации удостоверяющих центров сокращается с пяти до трех лет. За нарушения в работе удостоверяющих центров технического характера вводится административная ответственность.

За заведомо умышленные действия сотрудников удостоверяющих центров помимо административной, вводится еще и уголовная ответственность.

Также вводятся требования к деловой репутации руководителей удостоверяющих центров и лиц, владеющих в них не менее чем 10% капитала. Если аккредитация удостоверяющего центра была отозвана, то центр сможет обратиться за новой аккредитацией не ранее чем через три года. Кроме того, аккредитованные удостоверяющие центры должны владеть лицензиями на разработку шифровальных средств и обладать правами собственности на аппаратные средства электронной подписи.

Другое важное требование состоит в использовании юридическими лицами электронных подписей, причем здесь подходы обоих документов расходятся. Законопроект Кравченко, Глебовой и Пономарева предполагает обязать использовать только квалифицированные электронные подписи, выданные удостоверяющим центром Федеральной налоговой службы (ФНС).

В случаях с кредитными организациями, некредитными финансовыми организациями и платежными системами будут применять квалифицированные электронные подписи, выданные удостоверяющими центрами Центробанка. В случаях с органами государственной власти и местного самоуправления, а также их должностными лицами будут применяться квалифицированные электронные подписи, выданные удостоверяющими центрами Федерального казначейства.

Законопроект Боковой более либерален. Он позволит юридическим лицами продолжить использовать квалифицированные электронные подписи от любых аккредитованных удостоверяющих центров. ФНС сможет отзывать сертификаты электронных подписей юридических лиц и индивидуальных предпринимателей.

Аналогичным образом, Центробанк сможет отзывать сертификаты электронных подписей кредитных организаций, некредитных финансовых организаций и платежных систем. Как и в другом законопроекте, законопроект Боковой также требует от органов госвласти и их должностных лиц получать квалифицированные электронные подписи только в удостоверяющем центре Федерального казначейства.

В случае принятия обоих законопроектов они вступят в силу в течение 120 дней с момента их подписания. Сертификаты квалифицированных электронных подписей и аккредитации удостоверяющих центров, выданные до опубликования данного закона, будут действительны до конца срока их действия, но не более двух лет.

Норма законопроекта Кравченко, Глебовой и Пономарева об использовании юридическими лицами квалифицированных электронных подписей, выданных удостоверяющим центром ФНС и Центробанком, вступит в силу через два года после опубликования соответствующих законов. Норма законопроекта Боковой о возможности ФНС и Центробанка отзывать сертификаты квалифицированных электронных подписей также вступит в силу через два года после опубликования закона.

В то же время есть и некоторые послабления. Удостоверяющие центры смогут привлекать третьих лиц для приема заявлений на выдачу сертификатов электронных подписей и вручению данных сертификатов.

Кроме того, удостоверяющие центры смогут хранить ключи проверки электронных подписей, и по поручению их владельцев, создавать с их помощью электронные подписи. Как пояснил Орешкин, речь идет о возможности использования облачной электронной подписи.

Законопроект вводит понятие доверенной третей стороны. Она будет проверять подлинность электронной подписи в электронных документах в конкретный момент и проверять подлинность электронных подписей, выданных за рубежом. Доверенные третьи лица должны будут проходить аккредитацию в Минкомсвязи. Ожидается, что в России появится около 20 таких лиц.

В связи с этим вводится еще одно понятие – метка доверенного времени. Это достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центров либо операторов информационной системы.

Удостоверяющие центры должны будут выдавать сертификаты электронных подписей по цене, не превышающей установленное Правительством значение. Лицам, получившим сертификаты, безвозмездно должна быть предоставлена возможность зарегистрироваться в Единой системе идентификации и аутентификации. Кроме того, физическим лицам должны быть безвозмездно предоставлены технические средства для шифрованиябиометрических подписей.

Авторы законопроектов утверждают, что предложенные ими документы решат еще одну проблему. На июль 2019 года госведомства требуют наличия в сертификатах квалифицированных электронных подписей наличия тех или иных полномочий, закрепляемых за пользователем в рамках конкретной информационной системы. В результате сертификаты, выданные аккредитованными удостоверяющими центрами, не могут быть использованы в некоторых информационных системах, и удостоверяющие центры вынуждены предлагать квалифицированные электронные подписи для работы в конкретных информационных системах.[1]