Преимущества использования ЭП
Использование ЭП позволяет:
- значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
- усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;
- гарантировать достоверность документации;
- минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;
- построить корпоративную систему обмена документами.
Подделать ЭП невозможно – это требует огромного количества вычислений, которые не могут быть реализованы при современном уровне математики и вычислительной техники за приемлемое время, то есть пока информация, содержащаяся в подписанном документе, сохраняет актуальность. Дополнительная защита от подделки обеспечивается сертификацией Удостоверяющим центром открытого ключа подписи.
С использованием ЭП работа по схеме “разработка проекта в электронном виде – создание бумажной копии для подписи – пересылка бумажной копии с подписью – рассмотрение бумажной копии – перенос ее в электронном виде на компьютер” уходит в прошлое.
Сколько и каких ключей можно иметь?
Цифровой документооборот активно развивается. Унифицирована лишь малая часть технических и юридических нюансов. При этом существуют некоторые недоработки:
- не существует единого реестра лиц, получивших и использующих ЭП (каждый УЦ ведет собственный перечень выданных и аннулированных сертификатов);
- не реализованы роуминг и кросс-сертификация между операторами электронного документооборота, которые бы обеспечили функциональную совместимость доменов инфраструктуры открытых ключей;
- одно лицо может владеть неограниченным числом подписей и действующих сертификатов КП ЭП для использования в разных целях.
К примеру, гражданин может одновременно владеть ЭП для подачи отчетности в территориальный орган ФНС:
- Для налоговых деклараций от собственного имени как физическое лицо.
- Для бухгалтерской и налоговой отчетности:
- как частный предприниматель;
- как должностное лицо предприятия (руководитель или бухгалтер);
- как представитель по доверенности любого хозяйствующего субъекта.
Для построения ЭП могут использоваться два вида алгоритмов:
- симметричного криптошифрования, подразумевающие под авторизацией документа подписание его издателем и передачу доверенному третьему лицу, уполномоченному отправить его адресату;
- асимметричного криптошифрования, в которых для прямого и обратного преобразований применяются разные ключи или присутствует пара: личный ключ строго конфиденциален, а КП открыто публикуется и защищается от подделки.
Открытый ключ электронной цифровой подписи ЭЦП – это данные, которые:
- сообщаются по общедоступному, технически незащищенному телекоммуникационному каналу;
- применяются для проверки ЭП и обратного преобразования содержимого файла;
- его пара – личный конфиденциальный ключ для формирования ЭП.
Проверка электронной подписи путем использования открытых ключей обычно применяется в сетевых протоколах, например – SSL, SSH, S/MIME. Они основываются на таких принципах:
- ключ для создания ЭП его владелец держит в строжайшем секрете;
- УЦ формирует сертификат открытого ключа, тем самым, обеспечивая его достоверность;
- участники файлообмена не доверяют друг другу, но каждый из них верит УЦ;
- только УЦ наделен полномочиям подтверждать принадлежность открытого ключа тому, кто владеет закрытым ключом.
Закрытый ключ электронной цифровой подписи ЭЦП – это конфиденциальная составляющая ключевой пары. Он имеет такие характеристики:
- применяется для формирования ЭП;
- не может быть вычислен из созданной с его помощью подписи или открытого ключа;
- исключает возможность подделки ЭП в случае применения стойкого криптоалгоритма.
Надлежащую работу ЭП обеспечивают:
- надежные методы криптошифрования;
- качественные генераторы случайных чисел (ключ должен быть абсолютно непредсказуем);
- безопасные носители – смарт-карты либо HSM, исключающие возможность перезаписи.
В Федеральном законе от 06.04.2011 № 63-ФЗ говорится о том, что для подтверждения принадлежности ключа проверки ЭП автору документа сертификат может не использоваться. Сейчас он требуется только для квалифицированной ЭП.
1) уникальный номер квалифицированного сертификата, даты начала и окончания его действия;
2) для физлица: ФИО и СНИЛС владельца сертификата;
для юрлица: наименование, место нахождения, ИНН и ОГРН владельца сертификата;
3) ключ проверки ЭП;
4) наименования средств ЭП и средств удостоверяющего центра (УЦ), с помощью которых созданы ключ ЭП, ключ проверки ЭП УЦ, квалифицированный сертификат;
6) наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат, номер квалифицированного сертификата УЦ;
7) ограничения использования квалифицированного сертификата.
Нужна электронная подпись? Подберите сертификат под вашу задачу
Требования к форме квалифицированного сертификата установлены Приказом ФСБ РФ от 27.12.2011 № 795. Для ограничения использования сертификата есть, например, дополнение keyUsage, содержащее серию флагов, с помощью которых устанавливается, где ключ проверки электронной подписи не может применяться. Флаг keyCertSign в дополнении keyUsage означает, что область использования ключа включает проверку подписей под квалифицированными сертификатами.
Следует понимать, что любой подписанный с использованием графических символов документ, и отправленный в электронном виде достаточно легко подделать, что делает по сути обычную подпись совершенно бессмысленной. Именно поэтому был создан ключ цифровой подписи, который представляет собой полный аналог обычной подписи, что мы оставляем на бумаге, но выполнен этот ключ с использованием математических преобразований, что касаются содержимого документа.
Математический алгоритм имеет свои особенности, которые проявляются как при создании электронного ключа, так и при ее проверке. Все это гарантирует невозможность осуществления процедуры подделки ЭЦП сторонними лицами. Такая подпись является неопровержимостью авторства. В настоящих условиях технического прогресса ЭЦП представляет собой надежный и удобный для пользования инструмент.
ЭЦП – это определенная последовательность символов, сформированных методом преобразования определенного документа или информации. Для этого используется специальное программное обеспечение. Такая подпись пересылается вместе с исходным документом, при этом важно понимать, что для каждого документа формируется своя подпись и она является уникальным образцом, ее перенесение на другой документ невозможно.
Подделать такую подпись нельзя, поскольку ее защита обеспечена большим количеством вычислений математического плана, которые используются для ее подбора. В итоге, получив документ с наличием ЭЦП, вы можете быть уверены в том, что авторство принадлежит конкретному человеку и текст документа не был изменен.
Применение электронного ключа в реалиях сегодняшнего дня является законодательно разрешенной и юридически важной процедурой, при которой обмен данными посредством телекоммуникационных каналов связи, например, Интернет, представляет собой защищенную процедуру. Востребованность использования ключа подписи приобретает особую значимость в настоящее время, когда происходит переход системы заказов муниципального и государственного уровней на схемы, связанные с электронным функционированием.
Благодаря тому, что ЭЦП является свидетельством достоверности подписи уполномоченного лица, а также печати организации или компании, нет необходимости предоставлять бумажные варианты отправленных в электронном виде документов. Остались в прошлом времена, когда участвующие в размещении заказа лица, должны были подготовить огромные кипы бумаг, которые были обязательны для участия в открытых аукционах или конкурсах.
При использовании ключа существуют следующие достоинства:
- благодаря тому, что все действия участников системы фиксируются по времени, споры разрешаются достаточно легко;
- изменить заявку участника не представляется возможным до конца проведения закупки.
Благодаря ЭЦП участники электронных торгов имеют следующие выгоды:
- нет необходимости в пересылке документов, что снижает расходы организации;
- обеспечивается оперативный доступ к процедуре торгов, заказчики же могут находиться в любой части страны.
Схема проведения торгов такова, что компания, изъявившая желание принять участие в аукционе и допущенная к нему, а также предложившая наименьшую стоимость предмета торгов, таким образом, выигравшая аукцион, принимает на себя обязательства по поставке товара или выполнению услуг. При этом она принимает условия, что заявлены в контракте в соответствии с итогами аукциона.
Компания, которая разместила извещение о проведении аукциона на поставку товара или услуг, ответственна за свои действия и, таким образом, берет на себя определенные обязательства, в том числе о заключении договора с компанией-поставщиком. Поставщик выбирается по стоимости контракта, выигрывает электронные торги тот, кто предлагает наименьшую стоимость контракта.
Использование ключа ЭЦП не является сложной процедурой, для этого не требуются особые знания, навыки или умения. Для каждого пользователя электронной подписи, который участвует в процедуре обмена электронными документами, предусмотрены уникальные криптографические ключи, их два – открытый ключ и закрытый ключ.
Закрытый ключ представляет собой набор информации уникального вида, объем которого 256 бит. Хранится информация на разных носителях: смарт-карте, флеш-карте и прочее в месте, которое недоступно для сторонних лиц. Использовать секретный ключ возможно только в тандеме в открытым ключом.
А вот с помощью открытого ключа проверяется проверка самой ЭЦП, с которой приходят документы. Такой ключ представляет собой информацию, объем которой 1024 бит. Открытый ключ – обязательный элемент при передаче письма участников торгов, который имеет электронную подпись. Надежность такого инструмента гарантируется еще одной защитой.
Процесс формирования электронной подписи предусматривает использование секретного электронного ключа и текста документа, на основе этих данных создается уникальное большое число. Оно и является электронной подписью пользователя, которая ставится только на этом документе. Число может быть добавлено в конце документа или его сохраняют на отдельном файле.
Подпись является зашифрованной информацией, в которую включается немало данных, в том числе следующие:
- имя файла, в котором содержится открытый ключ или закрытый ключ;
- данные о пользователе;
- дата создания ЭЦП.
Средства ЭП
В соответствии с предписаниями профильного закона 2011 года, средства электронной подписи применяются для выполнения следующих задач относительно ЭП:
- создание;
- проверка;
- создание ключа и ключа проверки.
Подлежат применению средства ЭП, которые:
- предполагают достоверное определение факта внесения любых, в том числе и случайных, правок в переданный документ;
- обеспечивают невозможность вычисления ключа ЭП.
При подписании они должны:
- гарантировать подписанту возможность ознакомиться с содержимым заверяемого файла;
- обезопасить от случайного создания ЭП.
При проверке ЭП ее средства должны:
- демонстрировать содержание подписанного файла;
- обнаруживать любые внесенные правки;
- устанавливать лицо, чей ключ использовался при формировании подписи.
До того, как получить ключ ЭЦП, нужно уяснить, что только средства квалифицированной ЭЦП прошли обязательную проверку и сертификацию. Они одобрены ФСБ, а потому являются самыми надежными.
Средствами ЭЦП являются аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:
- создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи,
- подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе,
- создание закрытых и открытых ключей электронных цифровых подписей.
Аккредитованный удостоверяющий центр
Как уже было сказано выше, сертификат ключа проверки ЭП выдает УЦ в электронном или бумажном виде. УЦ, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным УЦ и получает право выдавать квалифицированные сертификаты (список аккредитованных УЦ).
При выдаче квалифицированного сертификата аккредитованный УЦ должен не только установить личность обратившегося лица, но и внести в специальную базу данных (реестр сертификатов) серию, номер и дату выдачи документа, использовавшегося для установления личности.
Аккредитованный УЦ должен регулярно публиковать специальную выписку из реестра сертификатов (список отозванных сертификатов), содержащую номера квалифицированных сертификатов, которые прекратили действие по решению суда или по обращению владельца сертификата.
Подробно об обязанностях и функционале аккредитованного УЦ написано в ст. 15 Федерального закона от 06.04.2011 № 63-ФЗ.
Чтобы получить электронную подпись, для начала нужно определить, какой сертификат ЭП вам нужен для работы, с какой целью вы будете его использовать. Если вы планируете получить сертификат в Удостоверяющем центре СКБ Контур, то воспользуйтесь мастером подбора сертификата и заполните заявку на сайте.
Подготовить необходимые документы перед визитом в центр выдачи можно с помощью мастера подбора документов.
Для получения сертификата придется лично прийти в центр выдачи с оригиналами документов или их заверенными копиями, оплаченным счетом или копией платежного поручения, заверенной банком.
Основная статья:Удостоверяющие центры
Удостоверяющий центр (Центр сертификации) (англ. Certification authority, CA) — организация, выпускающая сертификаты ключей электронной цифровой подписи.
Криптографическая основа
В основе электронной подписи лежит криптография открытого ключа. С ее помощью формируется специальный сертификат пользователя. Он содержит данные о пользователе, открытый ключ и электронную подпись сертификата, ее можно проверить с помощью открытого ключа удостоверяющего центра. Алгоритм гарантирует, что произвести генерацию подписи может только удостоверяющий центр, который имеет секретный ключ шифрования и доверие к которому является основой для работы всей системы ЭЦП.
Доверие к удостоверяющим центрам основано на иерархическом принципе: сертификат удостоверяющего центра нижнего уровня заверяется электронной подписью удостоверяющего центра более высокого уровня. Высочайшим уровнем удостоверяющих центров является федеральный, который находится под управлением государственных органов.
Вся система доверия, построенная на сертификатах, образует так называемую инфраструктуру открытых ключей (Public Key Infrastructure, PKI). При такой инфраструктуре требуется проверка не только легитимности ключа удостоверяющего центра, выдавшего сертификат, но и всех вышестоящих удостоверяющих центров.
В России сейчас создается система PKI, которая доступна практически всем желающим. Изначально она была создана агентством Росинформтехнологии на базе Общероссийского государственного информационного центра (ОГИЦ). Однако сейчас федеральный удостоверяющий центр передан в ведение «Ростелекома». Этот телекоммуникационный оператор активно предлагает развивать различные проекты с использованием PKI.
Как подписать документ электронной подписью
Допустим, вы получили квалифицированный сертификат электронной подписи и хотите начать им пользоваться. Что для этого нужно?
- Прежде чем подписать документ ЭП, убедитесь в его окончательной версии. После того, как будет создана ЭП, внести в него изменения не получится.
- Позаботьтесь о наличии средств ЭП (в УЦ СКБ Контур настройка компьютера для работы с ЭП проходит автоматически) и программ для создания ЭП.
Для подписания ЭП документов формата Word и Excel есть несколько возможностей. Первая предполагает установку и использование платного программного модуля КриптоПро Office Signature (бесплатно он доступен только в рамках тестового периода). Однако у этого варианта есть несколько особенностей. Во-первых, алгоритм подписания в разных версиях Word отличается. Во-вторых, если создать подпись в одной версии программы, а проверять в другой, то результат может оказаться некорректным.
Модуль КриптоПро PDF используется для создания и проверки ЭП в Adobe Acrobat, Adobe Reader и Adobe LiveCycle ES.
Установка специальной программы (например, КриптоАРМ) позволит подписывать документы любого формата: rar,.jpeg,.png,.ppt, видео, базы данных и т.д. Но бесплатно доступна только базовая версия КриптоАРМ Старт, в которой заложен минимум возможностей. Остальные версии — платные, и цена зависит от функциональности.
Наконец, с помощью бесплатного веб-сервиса Контур.Крипто можно подписать документ любого формата без необходимости установки специальных программ. Сервис работает с подписью, выпущенной любым УЦ. С помощью Контур.Крипто вы можете создать и проверить ЭП, зашифровать и расшифровать электронный файл, а также подписать пакет файлов или архивов, создать подпись документа двумя и более лицами.
Равнозначность собственноручной подписи
Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
- сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
- подтверждена подлинность электронной цифровой подписи в электронном документе;
- электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Область применения ЭЦП определяется идентификатором, называемым OID. У каждой области действия свой OID. Например, область применения, которая позволяет подписывать документы для постановки объектов на ГКН, имеет OID 1.2.643.5.1.24.2.1.3.1 «Формирование кадастровым инженером документов для получения услуг со стороны заявителя». ЭЦП с таким OID выдается только кадастровым инженерам, которые для получения предъявляют Аттестат кадастрового инженера.
Область применения, которая позволяет органу кадастрового учёта подтверждать документы – результаты кадастрового учета имеет OID – 1.2.643.5.1.24.2.1.2 «Формирование документов как результата оказания услуги со стороны органов кадастрового учета». ЭЦП с такими OID нами не выдается. И не может быть выдан без специальной аккредитации.
Электронная подпись для госзакупок
Основная статья:Электронная подпись в закупках
Для участия в закупочных процедурах необходимо наличие электронной подписи. Каких типов бывают ЭП, что влияет на стоимость подписи и какой пакет документов необходимо подготовить для её получения? Подробнее здесь.
Хроника
8 июля 2019 года стало известно, что Министр экономического развития Максим Орешкин выступил за скорейшее принятие законопроекта, ужесточающего требования к удостоверяющим центрам электронной подписи. Соответствующее заявление министр сделал в ходе парламентских слушаний в Госдуме, посвященных вопросам Цифровой экономики.
В Госдуму были внесены сразу два законопроекта с поправками в Закон «Об электронной подписи». Первый из них разработан сенаторами Владимиром Кравченко, Любовью Глебовой и Михаилом Пономаревым, второй – сенатором Людмилой Боковой.
Закон «Об электронно-цифровой подписи» был принят в России в 2003 г. К документу было множество нареканий, и в 2011 г. его заменили новым Законом – «Об электронной подписи».
В законе упоминается электронная подпись трех видов: простая, усиленная и квалифицированная. Усиленная электронная подпись выдается удостоверяющим центром, квалифицированная – удостоверяющим центром, прошедшим аккредитацию в Минкомсвязи. Квалифицированная электронная подпись признается аналогом собственноручной. В числе прочего она необходима для участия в госзакупках.
Изначально закон требовал, что для аккредитованных удостоверяющих центров минимальный размер чистых активов должен составлять 1 млн руб., а минимальный размер финансового обеспечения для покрытия возможных убытков третьим лицам 1,5 млн руб.
В 2015 г. по инициативе Минкомсвязи законодатели увеличили минимальный размер чистых активов до 7 млн руб., а минимальный размер финансового обеспечения – до 30 млн руб. Но власти хотели и дальше ужесточать требования к удостоверяющим центрам. Так, в 2017 г. Минкомсвязи разработало законопроект о монополизации выдачи квалифицированных электронных подписей государством, однако данный документ был раскритикован отраслью и не получил дальнейшего развития.
В представленных законопроектах речь идет о дальнейшем ужесточении требований к аккредитованным удостоверяющим центрам. Согласно обоим документам, минимальный размер чистых активов предлагается увеличить до 1 млрд руб., либо, если у удостоверяющего центра есть филиалы в как минимум двух третях российских регионов, до 500 млн руб.
Минимальный размер финансовой гарантии предлагается увеличить до 200 млн руб. Если число мест осуществления лицензируемого вида деятельности превышает 10, то за каждое такое место необходима дополнительная финансовая гарантия в размере 500 тыс. руб., но не более 300 млн руб. в совокупности.
Срок аккредитации удостоверяющих центров сокращается с пяти до трех лет. За нарушения в работе удостоверяющих центров технического характера вводится административная ответственность.
За заведомо умышленные действия сотрудников удостоверяющих центров помимо административной, вводится еще и уголовная ответственность.
Также вводятся требования к деловой репутации руководителей удостоверяющих центров и лиц, владеющих в них не менее чем 10% капитала. Если аккредитация удостоверяющего центра была отозвана, то центр сможет обратиться за новой аккредитацией не ранее чем через три года. Кроме того, аккредитованные удостоверяющие центры должны владеть лицензиями на разработку шифровальных средств и обладать правами собственности на аппаратные средства электронной подписи.
Другое важное требование состоит в использовании юридическими лицами электронных подписей, причем здесь подходы обоих документов расходятся. Законопроект Кравченко, Глебовой и Пономарева предполагает обязать использовать только квалифицированные электронные подписи, выданные удостоверяющим центром Федеральной налоговой службы (ФНС).
В случаях с кредитными организациями, некредитными финансовыми организациями и платежными системами будут применять квалифицированные электронные подписи, выданные удостоверяющими центрами Центробанка. В случаях с органами государственной власти и местного самоуправления, а также их должностными лицами будут применяться квалифицированные электронные подписи, выданные удостоверяющими центрами Федерального казначейства.
Законопроект Боковой более либерален. Он позволит юридическим лицами продолжить использовать квалифицированные электронные подписи от любых аккредитованных удостоверяющих центров. ФНС сможет отзывать сертификаты электронных подписей юридических лиц и индивидуальных предпринимателей.
Аналогичным образом, Центробанк сможет отзывать сертификаты электронных подписей кредитных организаций, некредитных финансовых организаций и платежных систем. Как и в другом законопроекте, законопроект Боковой также требует от органов госвласти и их должностных лиц получать квалифицированные электронные подписи только в удостоверяющем центре Федерального казначейства.
В случае принятия обоих законопроектов они вступят в силу в течение 120 дней с момента их подписания. Сертификаты квалифицированных электронных подписей и аккредитации удостоверяющих центров, выданные до опубликования данного закона, будут действительны до конца срока их действия, но не более двух лет.
Норма законопроекта Кравченко, Глебовой и Пономарева об использовании юридическими лицами квалифицированных электронных подписей, выданных удостоверяющим центром ФНС и Центробанком, вступит в силу через два года после опубликования соответствующих законов. Норма законопроекта Боковой о возможности ФНС и Центробанка отзывать сертификаты квалифицированных электронных подписей также вступит в силу через два года после опубликования закона.
В то же время есть и некоторые послабления. Удостоверяющие центры смогут привлекать третьих лиц для приема заявлений на выдачу сертификатов электронных подписей и вручению данных сертификатов.
Кроме того, удостоверяющие центры смогут хранить ключи проверки электронных подписей, и по поручению их владельцев, создавать с их помощью электронные подписи. Как пояснил Орешкин, речь идет о возможности использования облачной электронной подписи.
Законопроект вводит понятие доверенной третей стороны. Она будет проверять подлинность электронной подписи в электронных документах в конкретный момент и проверять подлинность электронных подписей, выданных за рубежом. Доверенные третьи лица должны будут проходить аккредитацию в Минкомсвязи. Ожидается, что в России появится около 20 таких лиц.
В связи с этим вводится еще одно понятие – метка доверенного времени. Это достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центров либо операторов информационной системы.
Удостоверяющие центры должны будут выдавать сертификаты электронных подписей по цене, не превышающей установленное Правительством значение. Лицам, получившим сертификаты, безвозмездно должна быть предоставлена возможность зарегистрироваться в Единой системе идентификации и аутентификации. Кроме того, физическим лицам должны быть безвозмездно предоставлены технические средства для шифрованиябиометрических подписей.
Авторы законопроектов утверждают, что предложенные ими документы решат еще одну проблему. На июль 2019 года госведомства требуют наличия в сертификатах квалифицированных электронных подписей наличия тех или иных полномочий, закрепляемых за пользователем в рамках конкретной информационной системы. В результате сертификаты, выданные аккредитованными удостоверяющими центрами, не могут быть использованы в некоторых информационных системах, и удостоверяющие центры вынуждены предлагать квалифицированные электронные подписи для работы в конкретных информационных системах.[1]