- Что же может пойти не так?
- Квалифицированная эцп: проблемы и риски в свете последних событий
- Недостаточное снижение объёма печати
- Немного теории
- Объём печати упал в одном отделе, но вырос в другом
- Подключаем человеческий фактор, бюрократию и частные организации
- Применение хэш-функций
- Снижение объёма печати: неоднозначные результаты
- Сокращение расходов: временный переход на эцп и эдо
- Сокращение расходов: противоположные результаты
- Техническая сторона вопроса
- Частые проблемы при работе с электронной подписью
- Юридическая справка
- Выводы
- Снижение объёма печати: выводы
- Сокращение расходов: выводы
- Заключение
Что же может пойти не так?
Наверное, внимательные читатели уже увидели, что описанная выше схема представляет собой сферическую ЭП в вакууме.
И действительно, в теории взломать или подделать такую подпись можно несколькими способами. Самый лакомый способ для взломщика-криптоаналитика – это по открытому ключу угадать закрытый. Тогда злоумышленнику сразу открываются сказочные перспективы – ведь он сможет действовать от лица истинного владельца подписи и даже управлять его имуществом.
Однако обычно такой взлом не возможен ввиду того, что подбор закрытого ключа по открытому – вычислительно нерешаемая задача. При генерации пары ключей широко применяются факторизация или дискретное логарифмирование, что оставляет взломщику мало надежды.
Ещё одно уязвимое место – это хэш-функция. Здесь возможны сразу несколько направлений атак. Если алгоритм хэширования не достаточно надёжный, то взломщик может подобрать какой-нибудь свой документ, применение хэш-функции к которому даст тот же результат, что и её применение к исходному документу.
Или же злоумышленник может сгенерировать два документа, дающие одинаковый хэш, после чего при необходимости сможет подменить один документ другим. Названные ситуации считаются коллизиями хэш-функций. Однако жизнь взломщика хэш-функции всё же не так легка: мало того, что подставной документ должен представлять из себя читаемый текст, а не быть бессмысленным набором бит, так еще и придумано достаточно криптостойких алгоритмов хэширования.
Квалифицированная эцп: проблемы и риски в свете последних событий
В мае 2021 в России произошёл первый известный случай отъёма квартиры с фальсификацией электронной цифровой подписи (ЭЦП). Владелец квартиры на Тверской улице в Москве обнаружил, что в квитанции за коммунальные услуги указано, что квартирой владеет другой человек. Он обратился в Росреестр и выяснил, что по документам он подарил свою квартиру какому-то жителю Уфы. Сделал он это дистанционно, подписав документы своей электронной цифровой подписью. При этом сам владелец квартиры говорит, что у него цифровой подписи нет и никогда не было.
Не прошло и месяца, как стало известно о втором аналогичном случае. Также известны случаи оформления фиктивных фирм, регистрации генерального директора и другие мошеннические действия с ЭЦП в корпоративной сфере.
В соответствии с Гражданским кодексом РФ квалифицированная ЭЦП является аналогом собственноручной подписи в случаях, предусмотренных законом. Есть 2 вида ЭЦП:
- Простая квалифицированная электронная подпись – комбинация логина и пароля, которая подтверждает, что электронное сообщение отправлено конкретным лицом.
- Усиленная квалифицированная электронная подпись подтверждается сертификатом от удостоверяющего центра, аккредитованного Минкомсвязи. Документы, подписанные такой подписью, приравниваются к бумажным подписанным собственноручно документам.
Имея доступ к усиленной ЭЦП человека, можно распоряжаться его недвижимостью как угодно, в том числе продать или подарить.
Законным способом получить усиленную подпись удалённо нельзя. Чтобы получить токен с паролем необходимо лично прийти в аккредитованный центр с паспортом и написать заявление. Но если кто-то вступил в сговор с сотрудником такого центра, то, имея паспортные данные человека, преступник может получить усиленную ЭЦП от его имени. В стране работает около 500 удостоверяющих центров, единого реестра подписей нет.
Недостаточное снижение объёма печати
ЭДО покрывает лишь малую долю печати, которая производится в офисе. Результаты исследований показывают, что среднестатистический офисный документ «живёт» от нескольких часов до 1 рабочего дня. При внедрении ЭДО и ЭЦП кто-то из сотрудников получает право подписать документ в электронном виде и загрузить его в онлайн архив. Но откуда берутся данные для составления этого документа?
Например, руководитель подписывает договор при помощи ЭЦП и загружает в ЭДО. Но данные для составления договора он получил в бумажном виде: от контрагентов или от сотрудников, у которых нет ЭЦП. Та же история с отчётами в бухгалтерии. Даже если финальный документ загружается в ЭДО и подписывается ЭЦП, бухгалтер составляет его на основании распечатанных и подписанных документов от сотрудников, у которых нет электронной подписи.
Если же всех сотрудников обяжут отправлять тому, кто составляет договор или отчёт, документы в электронном виде, они точно также распечатают и подпишут от руки документ, а потом отсканируют. Таким образом, внедрение ЭЦП и ЭДО никак не повлияет на большую часть объёма печати в компании.
Немного теории
В качестве алгоритмической базы для электронной подписи обычно применяют методы шифрования с открытым ключом. Подробнее о самих алгоритмах можно почитать на википедии или на хабре. Их суть сводится к тому, что для желающего обзавестись собственной электронной подписью специальным образом выбирается пара ключей – открытый и закрытый.
Первый, как следует из названия, доступен всем, а второй владельцу подписи лучше держать в секрете. Естественно, ключи выбираются так, чтобы закрытый ключ нельзя было легко угадать по открытому. После чего закрытый ключ используется для шифрования документа (иными словами, его подписания), а открытый – для расшифровки (то есть для проверки подписи).
При этом алгоритмы выбора ключей гарантируют, что открытым ключом можно расшифровать только те документы, которые шифровались соответсвующим ему закрытым ключом. Таким образом, если мы знаем открытый ключ владельца ЭП и смогли расшифровать им полученный от него документ, то он был точно подписан тем самым владельцем. Так работают асимметричные схемы ЭП.
Объём печати упал в одном отделе, но вырос в другом
Компания внедрила ЭЦП и ЭДО, чтобы не печатать документы о сделках с контрагентами. Объём печати в отделе продаж или закупок снизился. Но вырос в бухгалтерии. Почему?
Во-первых, потому что бухгалтерия (справедливо) не доверяет сохранности документов в ЭДО. Пока нельзя исключить сбой системы, потерю или искажение данных, у каждого электронного документа обязательно есть hard copy.
Во-вторых, потому что бухгалтерия знает, что при налоговой проверке для подтверждения транзакций ФНС запрашивает документы в бумажном виде: оригиналы, первичную документацию. Поэтому бухгалтеры распечатают и подошьют в соответствующую папку закрывающие документы о каждой транзакции. Объём печати одного отдела просто переходит другому отделу.
И даже экономия на экземплярах для контрагента не всегда однозначна. Потому что каждый контрагент с ЭЦП и ЭДО точно также перекладывает обязательства печати на тех, с кем взаимодействует.
Бывает, что внедрение ЭДО увеличивает (!) объём печати. В одной компании внедрили электронную передачу промежуточных версий документов при подготовке финальной. Ранее 6 сотрудников читали и подписывали распечатанный лист согласования: каждый вносил правки, а затем передавал другому.
Финальную версию документа сканировали. Теперь подписанты получали электронную версию документа. Однако привычка работать с бумагой осталась: каждый из 6 сотрудников печатал документ, вносил правки ручкой, переписывал их в электронном виде и отправлял следующему в цепочке. Вывод: вместо 1 документа стали печатать 6. Объём печати вырос в 6 раз!
Подключаем человеческий фактор, бюрократию и частные организации
В самом начале мы говорили о свойствах, которыми должна обладать качественная электронная подпись. Из них под действием уже упомянутых выше атак пока страдали только её целостность и неотказуемость. Однако в реалиях нашего мира наибольшее количество нарушений происходит из-за подмены авторства.
В России получение ЭП регулируется законом № 63-ФЗ «Об электронной подписи». Для её оформления нужно получить сертификат от удостоверяющего центра (УЦ) на выбор. В УЦ нужно предоставить необходимые документы и заплатить некоторую сумму, после чего забрать свой сертификат и заветный eToken с закрытым ключом.
Вот на получении сертификатов-то и возникает простор для всевозможных махинаций. Все УЦ являются коммерческими организациями, они обязательно аккредитованы Министерством цифрового развития и имеют лицензию от ФСБ. Однако чего не сделаешь ради прибыли – для УЦ порой желания клиентов выше установленных правил выдачи сертификата.
Например, из-за этого сегодня возможно получить ЭП на другое лицо, пользуясь утечками персональных данных или некомпетентностью УЦ. Это приводит к довольно печальным последствиям – вплоть до переоформления квартиры или регистрации фиктивных организаций с целью взятия кредитов.
Применение хэш-функций
В связи с тем, что шифрование закрытым ключом документа большого размера – довольно сложный и долгий процесс, обычно к тексту документа сначала применяют более быстрое и простое хэш-шифрование. Полученный сравнительно короткий результат шифруют закрытым ключом, получая саму цифровую подпись. Вместе с ней открытый текст документа передаётся получателю.
Тот должен всего лишь хэшировать текст документа той же хэш-функцией, после чего расшифровать открытым ключом подпись и сравнить оба результата. Если они совпадают – то документ мог быть подписан только отправителем (вот она и неотказуемость) и не был испорчен, дополнен или подменён в процессе пересылки (а это целостность).
А дляпоследнего свойства – авторства – необходимо, чтобы пара ключей подписавшего была закреплена за ним. На практике для этого используются так называемые удостоверяющие центры, которые по запросу выдают сертификат на пару ключей, а также гарантируют единственность обладания ими.
Снижение объёма печати: неоднозначные результаты
Компании, которые внедрили ЭДО и ЭЦП несколько лет назад, уже успели собрать статистику по влиянию новых технологий на объёмы печати. Результаты оказались смешанными.
У кого-то общий объём печати снизился, но недостаточно для окупаемости внедрения, у кого-то – упал в одном отделе, но вырос в другом. Давайте разберёмся, почему так произошло.
Сокращение расходов: временный переход на эцп и эдо
Некоторые фирмы знают о вышеперечисленных подводных камнях, поэтому не рассматривают постоянный переход на ЭДО и ЭЦП. Но в условиях карантина спешат временно внедрить эти технологии, чтобы сэкономить на удалённой организации печати.
Минимальный пакет на 1 сотрудника стоит от 3 тысяч до 5 тысяч рублей в месяц. При этом, тот же сотрудник ежемесячно печатает примерно 300-500 листов. Стоимость печати 300-500 листов, включая оборудование, сервис и расходные материалы, обходится компании от 500 до 2 тысяч рублей (конечная цифра зависит от формата и параметров печати, а также от оборудования).
Сокращение расходов: противоположные результаты
Внедрение ЭДО и ЭЦП может дать какую-то экономию в печатных листах. Но как насчёт денег?
Предположим, что компания много печатает и хочет избавиться от расходов на принтеры, расходные материалы и сервис. Одна ЭЦП стоит от 1000 до 6000 рублей в год, в зависимости от сферы деятельности компании. Внедрение ЭДО стоит около 3000 рублей в месяц (система 1С, отправка 100 комплектов включена в стоимость, каждый дополнительный – 10 рублей).
Если оформить ЭЦП на 1 сотрудника, то при должном объеме документов никакие другие задачи он решать не сможет. Только проверять и подписывать счета, договоры, накладные, акты и так далее. Поэтому к стоимости ЭЦП и ЭДО прибавится годовая зарплата подписанта.
И вряд ли подписание любых документов, включая финансовые отчётности, доверят человеку на невысокой должности с маленькой зарплатой. Это просто небезопасно. Есть и другая проблема: что будет, если единственный сотрудник с ЭЦП заболеет, уедет в отпуск или уволится?
Можно оформить ЭЦП на 10 сотрудников, но это стоит от 10 до 60 тысяч рублей в год. И ещё, как минимум, 36 тысяч рублей оператору ЭДО.
Если же внедрять ПО, годовая API- лицензия на использование ЭДО (ЭВМ «Диадок») обойдётся в 18 тысяч рублей. Та же компания предлагает услуги посредника: от 4200 рублей в месяц за передачу 600 документов до 68.4 тысяч рублей в месяц за передачу 12 тысяч документов.
И к любым расходам на ЭЦП и ЭДО необходимо прибавить стоимость печати документов, потому что полностью исключить её компания не сможет.
Техническая сторона вопроса
Начнём с безопасности. Если поставщиком ЭДО является сторонняя компания, то сохранность документов зависит от их системы безопасности. Что произойдёт с архивами, если заказчик перестанет использовать ЭДО или решит сменить оператора?
Есть и вопрос зависимости от аутсорсера. Одна компания не успела вовремя подать в Сбербанк документы о продлении ЭЦП и две недели не могла пользоваться Сбербанком онлайн. Потому что подключением услуг занимался чужой IT-специалист, и невозможно повлиять на скорость его работы.
Случаются и простые технические сбои: бухгалтер или руководитель не может подписать и отправить документы, потому что программа не работает. Подключается IT-специалист со стороны компании и вступает в переговоры со сторонним айтишником. Они ищут причину сбоя и способ её исправить.
Если же компания внедряет ЭДО и ЭЦП комплексно у себя, то кто отвечает за сохранность архива внутри? Либо у IT-службы появятся дополнительные обязательства, либо наймут специального сотрудника. Возможно, переквалифицируют кого-то из штата. Это дополнительные траты, но главные вопросы: кто из компании получит доступ к архивам, и какой должна быть структура протоколов безопасности, чтобы предотвратить утечку информации или целенаправленное искажение данных?
Дополнительная проблема: что, если никто из организаций, с которыми взаимодействует фирма, не пользуется ЭДО? Бухгалтеры одной компании рассказали, что вынуждены вести два документооборота: бумажный для партнёров и электронный для внутреннего пользования.
По их словам, в зонах максимальной ответственности, они печатают и внутреннюю документацию. Потому что не все сотрудники одинаково подкованы в обращении с ЭДО. И если экспертов по той или иной причине не окажется в офисе, им проще попросить коллег поднять бумажный архив, чем по телефону объяснять, как работает система. Слишком высоки риски потери данных.
Частые проблемы при работе с электронной подписью
Рассмотрим проблемы, которые возникают при создании запроса на сертификат ключа проверки электронной подписи (ЭП), при установке или использовании сертификата.
Проблема 1. Неверные имя пользователя или пароль.
Решение: проверьте корректность логина и пароля указанного в настройках программы. Должен быть указан логин и пароль, который Вы используете для авторизации на сайте https://ecpexpert.ru.
Проблема 2. При нажатии на кнопку «Запросить сертификат» не удается авторизоваться в личном кабинете Удостоверяющего центра.
Решение:
Если у Вас установлена антивирусная программа «Avast» или «Антивирус Касперского», то данные программы достаточно временно отключить.
Если на компьютере установлены программы–блокираторы, временно отключите их или в настройках программ отключите сканирование сетевого трафика (HTTPS-трафика).
- Отключите брандмауэр Windows.
В меню «Пуск» откройте «Панель управления», выберите раздел «Система и безопасность», откройте «Брандмауэр Windows»:
Выберите пункт «Включение и отключение брандмауэра Windows»:
В открывшемся окне отключите брандмауэр, нажмите «ОК»:
Проблема 3. Не удается выполнить запрос на сертификат.
Решение: проверьте версию операционной системы (ОС).
Например, в программе «Подпись Про» нажмите кнопку 
. В окне «О Программе» нажмите кнопку «О системе…»:
Проверьте версию операционной системы:
Если на компьютере установлена Windows XP, обновите версию ОС или воспользуйтесь другим компьютером с операционной системой Windows 7 (SP1) или выше.
Внимание!Windows XP снята компанией Microsoft с поддержки в 2021 г. (информация с официального сайта Мicrosoft), т.е. для нее не выходят обновления безопасности, что делает уязвимой как саму ОС, так и Ваши данные.
Проблема 4. При создании запроса на сертификат в КриптоПро CSP отсутствует биологический датчик случайных чисел и не удается сформировать контейнер закрытого ключа. Вместо окна биологического датчика случайных чисел открылось окно:
Решение: добавить биологический датчик случайных чисел.
Для добавления биологического датчика ДСЧ запустите программу КриптоПро CSP от имени администратора. Перейдите на вкладку «Оборудование» и нажмите кнопку «Настроить ДСЧ»:
Если в открывшемся окне отсутствует «Биологический ДСЧ», нажмите «Добавить»:
В открывшемся окне нажмите «Далее». В окне «Выбор ДСЧ» выберите «Биологический ДСЧ» и нажмите кнопку «Далее»:
Задайте имя добавляемого ДСЧ или оставьте по умолчанию, нажмите «Далее» и «Готово».
В окне «Управление датчиками случайных чисел» появится «Биологический ДСЧ».
- Если биологический датчик есть в списке, но находится не напервом месте, поднимите его с помощью стрелки вверх.
Проблема 5. Ошибки при работе с полученным сертификатом: при подписании или при проверке подлинности сертификата.
Решение:
- Проверьте, действительна ли лицензия на программу КриптоПро CSP.
Запустите программу КриптоПро CSP и на вкладке «Общие»
проверьте срок действия.
Если в поле «Срок действия» указано «Истекла», то необходимо приобрести лицензию на программу либо ввести лицензионный ключ при наличии такового.
- Установите корневые сертификаты УЦ:
1. Через модуль
«Удостоверяющий центр» или через программу «Подпись Про»
. Для этого на ленте на вкладке
«Главная»
нажмите кнопку
:
2. Вручную. Для этого:
– Скачайте корневые сертификаты:
– Нажмите правой кнопкой мыши по одному из сертификатов и выберите «Установить сертификат»:
В появившемся окне нажмите «Далее»:
Снова нажмите «Далее»:
Нажмите на кнопку «Готово»:
Выполните аналогичные действия для других скачанных сертификатов.
– Откройте меню «Пуск»
и в папке «КРИПТО-ПРО» запустите «Сертификаты».
– В открывшемся окне раскройте ветку Сертификаты → текущий пользователь → Промежуточные центры сертификации → Реестр → Сертификаты.
Найдите сертификаты «Головной удостоверяющий сертификат» и «Минкомсвязь России», зажав левую кнопку мыши, перетащите их в ветку «Доверенные корневые центры сертификации».
На предупреждение о безопасности ответьте «Да».
Переустановите программу КриптоПро CSP поверх существующей.
Для этого скачайте требуемую версию и установите ее (подробнее см. инструкцию по установке).
Скачать КриптоПро CSP 4.0 >>
Проверьте актуальность версии программы одним из способов:
– В стартовом окне Полигон Про нажмите в правом верхнем углу кнопку 
– «Настройка и управление Полигон Про» и в выпадающем списке выберите 
.
– В любом программном модуле в левом верхнем углу нажмите кнопку 
и в открывшемся меню выберите 
.
– В любом программном модуле на «Ленте» перейдите на вкладку «Помощь»
и нажмите на кнопку 
.
В окне «О программе» сравните версию программы с версией, указанной в карточке товара.
Проблема 6. Не удается войти в личный кабинет на сайте Удостоверяющего центра ООО «ПРОГРАММНЫЙ ЦЕНТР». Возникает ошибка:
Решение:
Используйте браузер Internet Explorer версии 11. При работе в других версиях браузера могут возникать затруднения.
Добавьте сайт УЦ в надежные сайты.
Для этого в окне «Свойства браузера» на вкладке «Безопасность»
добавьте в список «Надежные сайты» адрес: https://ra.ecpexpert.ru.
- Для зоны «Надежные сайты» разрешите запуск ActiveX приложений.
Для этого в окне «Параметры безопасности – зона надежных сайтов» во всех пунктах установите значение «Включить».
- Отключите блокирование всплывающих окон.
Для этого в окне «Свойства браузера» на вкладке «Конфиденциальность»
уберите галочку с поля «Включить блокирование всплывающих окон».
Установите дополнительные параметры безопасности. Для этого в окне «Свойства браузера» на вкладке «Дополнительно» установите галочки в полях: «SSL 2.0», «SSL 3.0», «TLS 1.0», «Использовать TLS 1.1» и «Использовать TLS 1.2».
Если у Вас установлена антивирусная программа «Avast» или «Антивирус Касперского», то данные программы достаточно временно отключить.
Если на компьютере установлены программы–блокираторы, временно отключите их или в настройках программ отключите сканирование сетевого трафика (HTTPS-трафика).
- Отключите брандмауэр Windows.
В меню «Пуск» откройте «Панель управления», выберите раздел «Система и безопасность», откройте «Брандмауэр Windows»:
Выберите пункт «Включение и отключение брандмауэра Windows»:
В открывшемся окне отключите брандмауэр, нажмите «ОК»:
Проблема 7. При выборе сертификата в личном кабинете на сайте Удостоверяющего центра ООО «ПРОГРАММНЫЙ ЦЕНТР» возникает ошибка:
Решение: обновите или скачайте и установите «КриптоПро CSP» версии 4.0.9969. Скачать программу можно с официального сайта.
Проблема 8. При аннулировании или приостановке действия сертификата ЭП окно отзыва или приостановления не закрывается автоматически или страница сайта не обновляется.
Решение: скачайте и установите плагин «КриптоПро ЭЦП browser plug-in». Скачать плагин можно с официального сайта или с сайта Программного центра (скачать).
Если после выполнения данных рекомендаций проблема не устранилась, запишитесь на сеанс удаленного доступа.
Для этого:
Когда специалист будет подключаться к Вам, разрешите доступ к вашему компьютеру. Нажмите кнопку «Разрешить».
Юридическая справка
Есть несколько юридических аспектов использования ЭДО и ЭЦП. По словам экспертов в области права, суды скептически относятся к электронным документам и неохотно принимают данные в таком виде.
Второй вопрос: срок хранения документов. В отличие от бумажных носителей, в ЭДО данные не подлежат утилизации через 3-5 лет. И в некоторых ситуациях это полезно. Однако в прошлом году Верховный суд чуть не отменил срок давности по нарушениям налогового законодательства.
Выводы
Существуют компании, для которых внедрение ЭДО и ЭЦП является наилучшей оптимизацией внутренних процессов и взаимодействия с контрагентами. Но другим организациям электронная подпись и электронный документооборот не принесут ощутимых выгод. Чтобы понять, к какому типу относится Ваша компания, сравните затраты на печать с оптимизированными затратами на печать и со стоимостью временного/постоянного перехода на ЭЦП и ЭДО.
Снижение объёма печати: выводы
Прежде, чем внедрять ЭДО и ЭЦП, внимательно изучите бизнес-процессы внутри компании. Эти технологии эффективны только тогда, когда их внедрение позволит существенно сократить объёмы печати и расходы на неё. И помните, что от печати отчётности для контрольно-надзорных органов и в качестве страховки при сбое архива и потере или искажении данных Вы всё равно никуда не уйдёте.
Сокращение расходов: выводы
Временное или постоянное внедрение ЭЦП и ЭДО оптимально только в том случае, когда стоимость самого перехода и остаточные расходы на печать не превышают текущие расходы на печать. Поэтому на начальном этапе чётко определите тот объём печати, от которого Вы отказаться не сможете.
Опыт компаний, которые попробовали ЭЦП и ЭДО показывает, что в большинстве случаев результаты не совпадают с ожиданиями. Например, процесс подписания, передачи и приёма документов в бухгалтерии значительно ускорился, но суммарные расходы выросли.
Чтобы сократить траты во время карантина, изучите все доступные способы оптимизации расходов на печать. Возможно, Вы сэкономите на удалённой диагностике оборудования или найдёте расходные материалы по старому курсу. А если твёрдо уверены, что необходимо переходить на ЭЦП и ЭДО, то составьте план внедрения и чёткие критерии выбора провайдера. И заранее посчитайте объём печати, от которого нельзя отказаться.
Заключение
В статье вкратце было рассмотрено, как работает электронная подпись. Видно, что алгоритм достаточно устойчив и почти не имеет слабых мест. Однако, как и во многих случаях, самое слабое место этого метода – человеческий фактор, оставляющий большой простор для действий злоумышленников.
