Квалифицированная и неквалифицированная электронная подпись: разница

Где используется квалифицированная электронная подпись?

КЭП нужна, чтобы сдавать отчетность в контролирующие органы, участвовать в качестве поставщика и заказчика в электронных торгах, работать с государственными информационными системами, обмениваться формализованными документами с ФНС, вести электронный документооборот внутри компании или с ее внешними контрагентами.

Где используется неквалифицированная электронная подпись?

НЭП можно использовать для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом.

Где используется простая электронная подпись?

Простая электронная подпись чаще всего применяется при банковских операциях, а также для аутентификации в информационных системах, для получения госуслуг, для заверения документов внутри корпоративного электронного документооборота (далее — ЭДО).

Простую электронную подпись нельзя использовать при подписании электронных документов или в информационной системе, которые содержат гостайну.

Как выбрать электронную подпись

Подбирать подходящую ЭЦП следует, исходя из назначения. Для внутреннего документооборота подойдет любая, в том числе простая. Для работы с порталом Госуслуг, площадками электронных торгов, сайтом ФНС и иными контролирующими органами понадобиться усиленная квалифицированная подпись.

Второй выбор — тариф обслуживания, который должен включать все важные для вас услуги. Например, круглосуточная техподдержка, напоминание о необходимости продления сертификатов, консультации и обучение работе с электронными площадками и иное. Правильно подобранный тариф позволит сэкономить на обслуживании и сделает процесс пользования ЭЦП максимально удобным.

Как получить электронную подпись

Получить ЭП просто, для этого необходимо выполнить несколько действий:

Мы гарантируем оперативное выполнение вашего заказа, доставку подписи в ваш офис. Произведем все необходимые настройки, подготовим компьютер для работы. Окажем техническую и консультационную поддержку, проведем обучение персонала.

Квалифицированная электронная подпись или кэп

Усиленная квалифицированная электронная подпись — самый регламентированный государством вид подписи. Так же, как и НЭП, она  создается с помощью криптографических алгоритмов и базируется на инфраструктуре открытых ключей, но отличается от НЭП в следующем:

  • Обязательно имеет квалифицированный сертификат в бумажном или электронном виде, структура которого определена приказом ФСБ России № 795 от 27.12.2021.
  • Программное обеспечение для работы с КЭП сертифицировано ФСБ России.
  • Выдавать КЭП может только удостоверяющий центр, который аккредитован Минкомсвязи России.

Получить квалифицированную электронную подпись

Неквалифицированная электронная подпись, или нэп

Усиленная неквалифицированная электронная подпись (далее — НЭП) создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки.

Человек получает в удостоверяющем центре два ключа электронной подписи: закрытый и открытый. Закрытый ключ хранится на специальном ключевом носителе с пин-кодом или в компьютере пользователя — он известен только владельцу и его нужно держать в тайне.

Открытый ключ электронной подписи доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом и позволяет всем получателям подписанного документа проверить подлинность ЭП.

То, что открытый ключ принадлежит владельцу закрытого ключа, прописывается в сертификате электронной подписи. Сертификат также выдается удостоверяющим центром. Но при использовании НЭП сертификат можно не создавать. Требования к структуре неквалифицированного сертификата не установлены в федеральном законе № 63-ФЗ “Об электронной подписи”.

Усовершенствованная эцп: обзор решения архивного хранения электронной цифровой подписи

УСОВЕРШЕНСТВОВАННАЯ ЭЦП: ОБЗОР РЕШЕНИЯ АРХИВНОГО ХРАНЕНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ

ПОДПИСИ

И.В. Головков Научный руководитель – к. т.н., доцент А.В. Птицын

Со способами обмена электронными документами и методами обеспечения их долговременного хранения тесно связаны проблемы обеспечения их аутентичности.

Введение

До сих пор главным средством аутентификации электронной документации служат протоколы аудита сетевых ресурсов. С их помощью можно проследить историю документов и выявить случаи несанкционированного доступа к ним. Однако слабым местом такой системы аутентификации являются сами протоколы, находящиеся в практически бесконтрольной власти сетевых администраторов.

Другая проблема – обеспечение аутентичности в межсетевом (межкорпоративном) пространстве. Без четких представлений о происхождении электронных документов и твердых гарантий их целостности суды отказываются признать за ними доказательную силу и принимать в качестве письменных свидетельств. Обмен электронными документами осуществляется на доверительной основе (например, электронная почта), и их достоверность гарантируется лишь авторитетом владельца информационного ресурса или электронного адреса. В свое время именно нерешенность вопросов аутентичности и целостности электронных документов помешала реализации идей «безбумажного офиса».

Читайте также:  Электронная подпись для ЭТП ICETRADE - купить по цене 2 000 руб.

Электронная цифровая подпись

В правовом отношении ЭЦП долгое время находила применение лишь в частноправовой сфере. Для ее применения необходимо было заключение двусторонних или многосторонних договоров (на бумаге), в которых определялись все нюансы генерации, верификации, хранения ЭЦП и ответственность сторон. Рубеж веков стал периодом массового правового признания электронных средств аутентификации в открытых информационных сетях. Законы об ЭЦП или электронном документе были приняты в большинстве развитых и многих развивающихся странах.

Правовое признание ЭЦП превращает этот реквизит в надежное средство, обеспечивающее аутентичность и целостность электронных документов, однако только тех, которые находятся в оперативном использовании, со сроком хранения пять, максимум 10 лет. Для аутентификации документов на протяжении десятков лет ЭЦП не годится. Чтобы понять, почему это происходит, нужно несколько слов сказать о том, что собой представляют технологии криптографической аутентификации и защиты информации, определяемые законодательством как «аналог собственноручной подписи».

Российский закон об ЭЦП помогает раскрыть сущность этой технологии. В нем ЭЦП определяется как «реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе».

ЭЦП выглядит как последовательность цифр и других символов, что, собственно, и позволяет говорить о ней как о реквизите, обособленном от других реквизитов элек-

тронного документа. Технологически ЭЦП возникает в результате выполнения системой криптозащиты так называемого асимметричного алгоритма шифрования, т.е. шифрования с использованием ключа (опять же последовательность цифр), который отличается от ключа, применяемого потом для расшифрования сообщений. Первый ключ называется закрытым (тайным, личным) ключом. Им может владеть только тот человек, от лица которого документ подписывается. Второй ключ – открытый, его значение может узнать любой, кому необходимо удостовериться в подлинности ЭЦП. Эта пара ключей взаимосвязана, но при этом закрытый ключ не может быть за обозримое время вычислен, исходя из значения открытого ключа. Таким образом, использование открытого ключа при аутентификации надежно связывает подписанный документ с обладателем закрытого ключа.

В то же время особенностью ЭЦП, которая отличает ее от собственноручной подписи человека, является то, что идентифицирует она не столько лицо, подписавшее электронный документ, сколько конкретный документ: два разных документа, подписанные с использованием одного и того же закрытого ключа, будут иметь разные числовые выражения ЭЦП. Связано это с тем, что, кроме закрытого ключа, в алгоритм вычисления ЭЦП включены и другие параметры, в первую очередь, так называемый хэш-код файла с электронным документом.

Основным моментом, который следует отметить, это то, что подтверждение подлинности ЭЦП – процесс технологически кратковременный. Он зависит от жизненного цикла средства ЭЦП – конкретной системы криптографической защиты данных. В частности, аутентификация электронного документа становится невозможной после смены технологической платформы или бесполезной после утраты юридической силы сертификата средства ЭЦП. Это значит, что под вопросом оказывается подлинность документов, подписанных ранее. Но главная проблема при аутентификации электронных документов, подписанных ЭЦП, состоит в том, что этот реквизит (как и значение отдельного хэш-кода или контрольной суммы, гарантирующих целостность документа) неразрывно связан с форматом документа. При переформатировании электронного документа (что неизбежно при долговременном хранении) проверка подлинности ЭЦП становится бессмысленной.

Наиболее приемлемым методом обеспечения аутентичности электронных документов при долговременном хранении (особенно заверенных ЭЦП) можно было бы считать применение эмуляторов или конверторов при их воспроизведении. Но подобная практика пока мало изучена. Проблемы здесь видятся как в ограниченном наборе этих программных средств, так и в возможных ошибках воспроизведения документов, которые могут возникать при эмуляции или конвертировании, что опять-таки негативно сказывается на доказательной силе электронных документов при долговременном хранении. Инкапсуляция – вероятно, самый перспективный способ. Именно способ решения проблемы аутентичности электронных документов видят в нем американские архивисты. Но он требует долговременной апробации и дальнейшего развития.

Читайте также:  Добавление ЭП в документ Microsoft Office

Усовершенствованная электронная цифровая подпись

Необходимость переформатирования электронных документов при долговременном хранении приводит к тому, что, по существу, появляется другой документ с измененными реквизитами и контрольными характеристиками: датой последнего сохранения, объемом, контрольной суммой, хэш-кодом, ЭЦП и т.п. Получается, что подлинник электронного документа будет невозможно прочитать и использовать, а его миграционная копия не будет иметь юридической силы.

Проблема обеспечения аутентичности электронных документов в долговременной перспективе – на сегодняшний день, пожалуй, самая острая и сложная. При использовании

классической ЭЦП в юридически значимом электронном документообороте в случае возникновения спора достаточно трудно, а подчас и невозможно доказать подлинность ЭЦП и момент подписи (создания) ЭЦП. Эти трудности могут привести к тому, что арбитр не примет электронный документ в качестве письменного доказательства. Данные трудности порождаются рядом проблем, присущих «классической» ЭЦП, а именно:

• нет доказательства момента подписи;

• трудность доказательства статуса сертификата открытого ключа подписи на момент подписи (или действителен, или аннулирован, или приостановлен).

Предлагаемый отечественной компанией КРИПТО-ПРО стандарт применения усовершенствованной подписи позволяет решить все основные трудности, связанные с применением ЭЦП, и обеспечить участников электронного документооборота всей необходимой доказательной базой (причем собранной в самой ЭЦП в качестве реквизитов электронного документа), связанной с установлением момента подписи и статуса сертификата открытого ключа подписи на момент подписи. Усовершенствованная ЭЦП базируется на использовании новых сервисов, таких как:

• онлайновая проверка статуса сертификата по протоколу OCSP (Online Certificate Status Protocol);

• служба штампов времени TSP (Time-Stamp Protocol).

Усовершенствованная электронная цифровая подпись, определяемая в данном стандарте, представляет собой структурированную двоичную запись в формате ASN.1, закодированную в соответствии с правилами DER, описанными в разделе 8.7 Х.209). Формат усовершенствованной электронной цифровой подписи, определяемый в на-

Рисунок. Формат усовершенствованной электронной цифровой подписи

(1) Подписываемый документ (может храниться отдельно от всех остальных полей). Формат подписываемого документа определен в CMS (RFC 3852).

(2) Подписываемые атрибуты, описанные в CMS (см. RFC 3852) и в ESS (RFC 2634). Обязательными атрибутами являются:

(а) тип содержимого. Представляет собой атрибут Content-type, определенный в RFC 3852. Данный атрибут указывает на то, что содержимое поля ContentInfo является подписываемыми данными;

(б) хэш-код сообщения. Представляет собой атрибут Message-digest, определенный в RFC 3852 и содержит хэш-код подписываемого документа;

(в) хэш-код от набора полей сертификата, позволяющих однозначно его идентифицировать, – определенный в ETSI TS 101 733 атрибут other-signing-certificate.

(3) ЭЦП, полученная на данные, указанные в перечислениях (1) и (2) по алгоритму, определенному в ГОСТ Р 34.10-2001.

(4) Штамп времени, полученный на данные, указанные в перечислении в) по алгоритму, определенному в RFC 3161. Штамп времени позволяет удостовериться, что

ЭЦП, указанная в перечислении (3), была создана не позднее указанного в штампе момента времени.

(5) Хэш-коды каждого из перечислений (а)-(е) (см. ниже), составляющих доказательства подлинности. Доказательства подлинности включают в себя:

(г) сертификат ключа подписи, указанной в перечислении (3);

(д) OCSP-ответ, позволяющий удостовериться в действительности сертификата ключа подписи;

(е) сертификат OCSP-сервера, позволяющий удостовериться в действительности OCSP-ответа;

(ж) сертификат службы штампов времени, позволяющий удостовериться в действительности штампа времени, заверяющего ЭЦП;

(з) сертификаты промежуточных УЦ, если таковые имеются;

(и) OCSP-ответы, позволяющие удостовериться в действительности сертификатов ключей подписи промежуточных УЦ, указанных в перечислении 5, либо, если сертификаты таких УЦ не содержат поля AIA (содержащего адрес службы OCSP), соответствующие CRL.

Читайте также:  Как правильно работать с ЭЦП

(6) Штамп времени, полученный на данные, указанные в перечислениях (3), (4) и (5), по алгоритму, определенному в RFC 3161. Это обеспечивает целостность и доказательство моментов создания всех элементов и атрибутов усовершенствованной электронной цифровой подписи, что может послужить защитой сертификатов, CRL и/или OCSP-ответов в случае последующей компрометации или плановой смены ключей.

(7) Доказательства подлинности, указанные в перечислении (5) (значения сертификатов и информация об отзыве), требуемые для проверки ЭЦП. Хранение доказательств подлинности вместе с ЭЦП предохраняет их от потери и не требует наличия сети для проверки усовершенствованной ЭЦП. Доказательства подлинности содержатся в следующих атрибутах:

(к) Certificate-values. Определяется в ETSI TS 101 733 и содержит полный набор

сертификатов, требуемый для проверки ЭЦП; (л) Revocation-values. Определяется в ETSI TS 101 733 и содержит CRL и/или ОCSP-ответы.

Заключение

Применение усовершенствованной электронной цифровой подписи для архивного хранения электронных документов также имеет ряд особенностей и ограничений. При проверке хранящейся в архиве усовершенствованной ЭЦП необходимо наличие действующего сертификата уполномоченного лица удостоверяющего центра, выдавшего сертификат подписи, а также действующий сертификат оператора службы штампов времени. Обеспечить данные условия для успешной проверки усовершенствованной ЭЦП по прошествии десятков лет, когда удостоверяющий центр, выдавший сертификат подписи, может уже кануть в небытие, представляется невозможным.

Литература

1. Тихонов В.И. Архивное хранение электронных документов: проблемы и решения, 2006. – Режим доступа: http://www.delo-press.rU/magazines/documents/issue/2006/2/1554/

2. Стандарт применения усовершенствованной электронной цифровой подписи. -М.: КриптоПро, 2006.

3. Кустов В .Н. Реализация стандарта усовершенствованной ЭЦП в системе электронного документооборота, 2007. – Режим доступа: http://www.ank-pki.ru/conference/2007/tesis/Kustov_GIS.pdf

Чем отличается квалифицированная эцп от неквалифицированной

Оба вида ЭП создаются путем криптографического преобразования документа, подтверждают авторство и отсутствие изменений после подписания. С юридической точки равнозначны собственноручной подписи и печати. Отличие квалифицированной ЭЦП от неквалифицированной заключено в степени защищенности и возможностях.

Особенности неквалифицированного типа ЦП:

Перед использованием усиленной неквалифицированной электронной подписи для подписания контракта и документооборота с контрагентами необходимо заключить предварительный договор.

Отличие квалифицированного типа ЦП:

Для заключения контрактов и ведения документооборота не требует предварительной договоренности. Квалифицированная ЭЦП автоматически придает документу юридическую силу, поэтому используется для сдачи отчетности, участия в торгах и аукционах, в торгах банкротов, на коммерческих площадках, при взаимодействии с ЕГАИС и иными структурами.

Юридическая сила кэп

КЭП — это подпись, которая придает документам юридическую силу без дополнительных условий.  Если организации ведут ЭДО, подписывая документы КЭП,  их юридическая сила признается автоматически согласно федеральному закону № 63-ФЗ “Об электронной подписи”.

Получить квалифицированную электронную подпись

Юридическая сила нэп

Участникам ЭДО нужно соблюдать дополнительные условия, чтобы электронные документы, заверенные НЭП, считались равнозначными бумажным с собственноручной подписью. Сторонам нужно обязательно заключить между собой соглашение о правилах использования НЭП и взаимном признании ее юридической силы.

Получить электронную подпись

Юридическая сила пэп

Простая подпись приравнивается к собственноручной, если это регламентирует отдельный нормативно-правовой акт или между участниками ЭДО заключено соглашение, где прописаны:

Во многих информационных системах пользователь должен сначала подтвердить свою личность во время визита к оператору систему, чтобы его ПЭП в будущем имела юридическую силу. Например, для получения подтвержденной учетной записи на портале Госуслуг, нужно лично прийти в один из центров регистрации с документом, удостоверяющим личность.

Получить электронную подпись

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector