Мобильная электронная подпись: что это такое и как работает

Содержание

Что такое электронная подпись
Что делать, если потеряли электронную подпись
Два подхода – что выбрать?
«электронная подпись на мобильных устройствах и облачные решения: секреты должны оставаться секретами»
Где можно использовать электронную подпись
Зачем нужна электронная подпись
Как начать работать с квалифицированной электронной подписью
Как перевыпустить сертификат
Как подключиться?
Как подписать документ электронной подписью
Как приобрести подпись физическому лицу
Как приобрести подпись юридическому лицу и ип
Как проверить подлинность подписи
Как устроена эп
Новые возможности
Преимущества для бизнеса

Что такое электронная подпись

Электронная подпись гарантирует, что документ подписал владелец электронной подписи. А неквалифицированная и квалифицированная подписи покажут, изменился ли документ после подписания.

Что делать, если потеряли электронную подпись

Если вы потеряли ключ от подписи или его украли, сразу обратитесь в удостоверяющий центр или МФЦ, который выдавал вам сертификат. Центр отзовет ваш сертификат, чтобы его не могли использовать мошенники. Еще обязательно сообщите об этом контрагентам, чтобы они знали, что вашей утерянной подписью могут воспользоваться злоумышленники.

Восстановить утерянный сертификат или ключ ЭП невозможно. Нужно получать новый: собирать документы и идти в удостоверяющий центр.

Два подхода – что выбрать?

Существует два разных подхода к подписанию документов с мобильных устройств.

В первом случае используется облачная электронная подпись: сертификат размещается на сервере или защищенном облаке – например, DSS; а закрытый ключ отторгается от владельца. По этой причине для облачной подписи обязательно нужно подключение к сети: при отсутствии интернета или технических проблемах на сервере, где хранится сертификат, подписать документы просто не получится.

Во втором варианте подписание проходит с помощью токена с поддержкой Bluetooth, на котором установлен сертификат. По сути токен – это USB-флешка с картой памяти, защищенная паролем. И именно на этом носителе и хранится закрытый ключ, не отторгаясь от своего владельца.

Принципиально разница между этими подходами состоит только в способе хранения сертификата. В любом из случаев пользователь работает в мобильном приложении – а оно совместимо как с облачной подписью, так и с Bluetooth-токеном. Однако в некоторых случаях может быть важно, чтобы подпись не отторгалась от владельца – особенно, если документ подписывает ключевой руководитель. Например, такие требования выдвигают службы безопасности некоторых компаний.

В нашей стране действует два вида токенов – Рутокен, разработанный в России, и E-токен, европейский вариант. Более распространенной является отечественная разработка. Поэтому, как правило, в основе безопасности здесь лежит аппаратный токен от Рутокен ЭЦП Bluetooth.

Токен может безопасно хранить любые сведения: пароли, ключи шифрования, сертификаты, подписи и даже персональные данные. Безопасность обеспечена тем, что криптографические операции выполняются не покидая пределы токена. Помимо этого, соединение токена с устройством проходит по стандартному протоколу с шифрованием по ГОСТ 28147-89. В результате безопасности здесь уделяется много внимания, и вероятность компрометации данных становится минимальной.

«электронная подпись на мобильных устройствах и облачные решения: секреты должны оставаться секретами»

Директор по развитию компании «Актив» Владимир Иванов представил на PKI-Форуме 2020 решение для электронной и облачной подписи — смарт-карту Рутокен ЭЦП 3.0 с интерфейсом NFC. По его словам, мобильное приложение, мобильное устройство, токены и SIM-карты в качестве носителей имеют слишком много недостатков.

Смарт-карта

Владимир Иванов в своём выступлении на тему «Электронная подпись на мобильных устройствах и облачные решения: секреты должны оставаться секретами» отметил, что сейчас стоит задача отделить ключи подписи от устройства, но при этом не прибегать к контактным интерфейсам, сделать это по разумной цене и при этом с хорошей криптографией. И решением является их новое устройство – дуальная смарт-карта Рутокен ЭЦП 3.0 с интерфейсом NFC.

«Мы сегодня представляем наше новое устройство – это дуальная смарт-карта Рутокен ЭЦП 3.0 с интерфейсом NFC. Что такое дуальная карта? У неё два интерфейса: есть контактный интерфейс как у обычной смарт-карты, и есть интерфейс NFC – это бесконтактный интерфейс, который задействуется на современных смартфонах, и который можно подключить как считыватель к выделенному компьютеру. И у нас получается, что неизвлекаемые ключи подписи лежат на смарт-карте. Мы можем подписывать на этой карте данные и от приложений, и от браузера, и на мобильном приложении – фактически, где угодно. И плюс к тому, если мы работаем в облачной среде, мы эту смарт-карту можем использовать для аутентификации пользователя на облачном сервисе. Таким образом, ключи подписи продолжают лежать в облачном сервисе, а доступ к ним осуществляется по защищённым протоколам, с хорошей мощной аутентификацией на аппараты криптографии», – пояснил Владимир Иванов.

Чем это хорошо? По словам директора по развитию компании «Актив», NFC-карта не требует как такового отдельного источника питания, она питается от интерфейса (беспроводного или контактного). А также она может использоваться практически на любой мобильной платформе. К тому же в систему облачной подписи можно добавить возможность аутентификации пользователя по карте через мобильное устройство, либо через контактный или бесконтактный интерфейс на компьютере. «Мы в итоге можем одну карту использовать и для локальной подписи, и для мобильной подписи, и для дистанционной подписи», – рассказал Владимир Иванов.

Читайте также: облачные ключи криптопро

Но всё же, чем плохи другие носители электронной и облачной подписи? Давайте разбираться.

Мобильная подпись непосредственно в мобильном приложении

По словам Владимира Иванова, мобильная подпись в мобильном приложении – это фактически программное СКЗИ, которое работает на не доверенном устройстве. И тут возникает много вопросов к защите генератора случайных чисел, который используется в процессе подписи, и вообще к безопасности самих ключей, которые хранятся не в доверенном хранилище, а непосредственно на устройстве в файловой системе или где-то ещё, поскольку мобильные устройства не поддерживают по умолчанию российскую криптографию и хранение криптографических ключей.

«При этом пользоваться такой подписью можно только в мобильном приложении, больше нигде. То есть прислав туда в приложение абстрактный документ, подписать его — получается не очень хорошая история, непонятно как это делать. Получается, у нас решение по ЭП несколько функционально ограниченное. Плюс к тому доступ к ключам подписи у нас производится фактически средствами мобильной платформы. Это означает, в большинстве случаев, что аутентификация у нас сидит на четырёх символьном пин-коде. Потому что и Face ID, и пальчики при неудачных попытках в большинстве случаев предлагают ввести 4-х значный пин-код, который выясняется каким-то образом очевидно», р — рассказал Владимир Иванов.

К тому же он задался вопросом: раз это СКЗИ, и при этом сертифицированное для распространение через, например, AppStore, то есть ли лицензия на распространение СКЗИ у Apple и Google? Скорее всего нет.

Ещё один из минусов использования мобильного приложения в качестве носителя электронной подписи — при удалении такого приложения, пользователь лишается тех ключей, которые там были сгенерированы, которые используются. А это означает, что ему придётся заново проходить процедуру аутентификации и процедуру получения сертификата. Опять же всё это не бесплатно.

SIM-карты

Также плохи в качестве носителей ЭП и SIM-карты. Во-первых, потому что нужно тогда производить специальные SIM-карты, а это стоит денег. Во-вторых, потому что возникает проблема с идентификацией пользователей: мобильный оператор должен идентифицировать своего клиента, когда он выдаёт ему сим-карту, при этом при выпуске электронного сертификата клиент также должен пройти идентификацию в удостоверяющем центре. «По идее в данной ситуации мобильный оператор становится удостоверяющим центром. Но в следствии изменения в законодательстве, например, руководитель предприятия не может пользоваться такой подписью, потому что он должен получать квалифицированный сертификат в одном их трёх государственных удостоверяющих центров. Ни один из которых не является мобильным оператором. Пока», — пояснил Владимир Иванов.

Также существует проблема с коммуникацией, потому что мобильная платформа устроена таким образом, что доступ к криптографии на сим-карте возможен исключительно из сим-приложения и эти функции криптографические недоступны из операционной системы.

«То есть фактически мы очень сильно ограничены функциональностью этого приложения. Мы не можем отобразить подписываемый документ. Соответственно мы не можем установить соответствие самого документы и того, что мы подписываем. Плюс к тому коммуникация с этим приложением возможна только через смс. А через смс много информации не пошлёшь и pdf-файл по смс не передашь. Соответственно, мы получаем сильное сокращение функциональности такого решения», — поделился спикер.

«И моё личное мнение, что опираться на технологию позавчерашнего дня, которой является SIM-карта, не очень хорошая идея», — добавил он.

Токены

Ещё один из вариантов носителей ЭП – токены, контактные или бесконтактные. «С контактными устройствами история такая, что у нас существует масса интерфейсов аппаратных – micro-USB, Type-C и другие – и, соответственно, сделать такое аппаратное решение за разумные деньги не представляется возможным. А решение, которое основано на бесконтактном интерфейсе Bluetooth, во-первых, требует процедуры сопряжения между устройствами, и, во-вторых, не очень хорошо ведёт себя в условиях радиопомех. И тоже эксплуатация его возможна только с приложением на мобильном устройстве», — сказал Владимир Иванов.

Однако тут он отметил большой плюс токенов — устройство можно переносить куда угодно. «Переносимость ключа подписи на сегодняшний день — это будет достаточно интересная задача в плане технических решений, потому что по новому законодательству руководитель предприятия может иметь всего один сертификат квалифицированной подписи. Соответственно, нельзя сделать так, чтобы на телефоне был один сертификат, на компьютере другой и так далее. Плюс к тому, есть сложившиеся бизнес-практики, которые на самом деле порождают юридические казусы, когда руководитель передаёт ключ своей подписи своим сотрудникам. При этом руководители сейчас выпускают и пять, и десять ЭП, что будет невозможно, если мы замкнёмся на ту подпись, которая будет на телефоне. То есть свой телефон он никому не отдаст», — пояснил спикер.

Облачная подпись

В облачной подписи для аутентификации используются мобильные устройства. Условия использования примерно такие же как при ЭП: либо приложение, либо SIM-карта с криптографией.

«Для аутентификации там конечно всё гораздо проще получается и лучше. И при всех несомненных плюсах облачных решений мы всё равно получаем ключ аутентификации, привязанный к мобильному устройству. То есть они хранятся либо на устройстве, либо на SIM-карте. При этом ключи подписи и ключи аутентификации лежат у облачного провайдера в HSM и работают с теми приложениями, которые предоставляет данный провайдер. … И в случае мобильной облачной подписи очень много работы предстоит по интеграции», — рассказал Владимир Иванов.

Где можно использовать электронную подпись

	Простая	Неквалифицированная
Внешние и внутренние электронные документы
Документооборот с физическими лицами
Госуслуги		—
Документы для ИФНС в личном кабинете налогоплательщика	—
ПФР и ФСС	—	—
Арбитражный суд	—	—

Зачем нужна электронная подпись

Электронная подпись понадобится тем, кто собирается использовать в работе электронные документы, сдавать отчетность и получать услуги в интернете.

Все эти операции призваны облегчить жизнь представителям бизнеса — экономить на документообороте, меньше бегать по инстанциям, получать государственные услуги удаленно и т. п.

О том, как еще обычный человек может использовать электронную подпись на практике, мы рассказывали в другой статье.

Как начать работать с квалифицированной электронной подписью

Чтобы начать работать с электронной подписью, необходимо подготовить свое рабочее место и приобрести сертификат подписи. Сертификат выдают быстро — в течение часа.

Еще для работы с квалифицированной подписью надо будет установить программу для криптозащиты информации (СКЗИ). Самые распространенные средства криптозащиты в России — это «Криптопро CSP», Signal-com CSP, «Лисси CSP», Vipnet CSP. Все они примерно одинаковые.

Какое конкретно СКЗИ потребуется и какие настройки будут нужны, вам скажут в удостоверяющем центре или МФЦ.

Как перевыпустить сертификат

Срок действия сертификата электронной подписи — год. Когда он подойдет к концу, выпустите новый сертификат. Для этого обратитесь с заявлением в удостоверяющий центр или МФЦ. Если в документах ничего не изменилось, нести их снова не нужно. Если какие-то документы поменялись, нужно принести оригиналы только этих документов.

Как подключиться?

Для действия мобильной электронной подписи пользователю сначала нужно установить мобильное приложение, которое будет выступать клиентом СЭД. В этом мобильном приложении и будет работать пользователь, получая задания и подписывая документы. В случае с облачным подписанием этого будет достаточно. Единственный нюанс – приложение должно быть интегрировано с облаком, где хранится сертификат.

В другом же случае, помимо прочего, потребуется токен с поддержкой Bluetooth, на котором будет установлен сертификат квалифицированной электронной подписи. При выборе этого подхода приложение не нужно интегрировать с облаком.

Выбор конкретного решения зависит от задач, которые стоят перед бизнесом. Например, если сотрудники компании будут использовать только простую мобильную электронную подпись для работы с внутренними документами, то будет достаточно интегрировать приложение с СЭД.

Если требуется квалифицированная электронная подпись, то приложение также должно уметь работать с токенами или быть интегрированным с облаком. А в случае, если компания в принципе не использует СЭД, возможно, потребуется приложение, интегрированное напрямую с оператором ЭДО.

Таким образом, сначала необходимо сформулировать задачи – и только потом определяться с конкретным вариантом. Иногда уже готовые решения, представленные на рынке, не «закрывают» потребности бизнеса. В таком случае компания может обратиться к заказной разработке.

Также стоит обратить внимание и на самого подрядчика, который займется внедрением. В первую очередь, он должен уметь решать задачи, стоящие перед бизнесом клиента. Однако большим плюсом будет, если он предлагает и другие технологии для развития офиса.

Ведь делая работу сотрудников более гибкой и удобной, мобильная подпись становится важной частью подхода Bring Your Own Device (BYOD) – а вместе с тем и целого спектра технологий «умного офиса», кардинально меняющего представление об офисной работе.

Как подписать документ электронной подписью

Ваше СКЗИ добавляет в контекстное меню вашей операционной системы — Виндоус или Мак-ос — свой специальный раздел. Таким образом, можно подписать любой документ просто нажатием правой кнопки мыши. На сайте каждого СКЗИ можно найти подробную инструкцию, как подписывать документ.

Например, так работает процесс подписания с помощью программы «Крипто-АРМ»:

Кликните правой кнопкой мыши по документу.
Найдите пункт меню «Крипто-АРМ» и нажмите «Подписать».
После этого запускается мастер создания электронной подписи, который подробно объяснит все дальнейшие шаги.
В итоге рядом с документом появится новый файл документ.doc.sig — это и есть файл электронной подписи.

Запуск мастера создания электронной подписи с помощью «Крипто-АРМ» в Виндоус

В результате документ становится недоступным для изменения, а рядом с ним в папке появится файл подписи в формате документ.doc.sig.

Если у вас установлена СКЗИ и есть подпись, то подписать документ можно прямо в ворде

В «Гугл-докс» плагины для электронной подписи можно найти во вкладке «Дополнения».

Чтобы подписать документ в «Гугл-докс» с помощью плагина eSignGSA, найдите плагин в разделе «Дополнения» и установите его. Затем нажмите Start

Как приобрести подпись физическому лицу

Физическим лицам проще всего получить подпись в ближайшем МФЦ: рядом может не быть удостоверяющих центров, а МФЦ найдется всегда. Для этого надо записаться на прием и подготовить следующие документы:

Заявление на изготовление квалифицированного сертификата — шаблон дадут в МФЦ.
Паспорт.
СНИЛС.
Свидетельство о присвоении ИНН.

Читайте также: Скачать ПО

В Москве электронная подпись для граждан стоит 900—950 рублей. Вместе с носителем цена составит 1500—1600 Р. Отдельно носитель будет стоить от 1500 рублей. Эта цена отличается в зависимости от тарифа удостоверяющего центра и того, насколько защищенную подпись вы хотите использовать.

Как приобрести подпись юридическому лицу и ип

Юридические лица получают квалифицированные сертификаты подписи в удостоверяющем центре или МФЦ.

Как проверить подлинность подписи

Чтобы проверить подлинность подписи и неизменность документа, воспользуйтесь любым из бесплатных сервисов:

Портал «Криптопро».
Сайт госуслуг.
Сервис «Контур-крипто».

На сайте «Криптопро» укажите путь к подписанному документу и подписи в специальном окне, и программа выдаст результат

Как устроена эп

Файл электронной подписи генерирует специальная программа — средство криптографической защиты информации (СКЗИ). Когда вы подпишете документ электронной подписью, эта программа просканирует документ. В итоге она создаст уникальное сочетание данных документа — хэш-сумму.

Сертификат закрытого ключа хранится у владельца на любом удобном носителе: на компьютере, внешнем диске или токене — специальной защищенной флешке, которую можно носить с собой. Еще подпись может быть на диске, смарт-карте, симке, в облачном хранилище и т. д.

Просмотреть подпись можно с помощью сертификата открытого ключа — электронного документа, в котором есть следующая информация:

Кто владеет подписью.
Какие у него полномочия.
Какая организация выдала подпись и какие у нее полномочия.

Программа СКЗИ проверяет хэш-сумму и сравнивает ее с содержанием документа. Если все совпало, документ не меняли и подпись цела. Несовпадения означают, что документ изменили после того, как подписали. Тогда подпись автоматически считается недействительной и документ теряет юридическую силу.

Новые возможности

С мобильных устройств можно подписывать абсолютно любые документы: требующие как простой, так и усиленной подписи; внешние или внутрикорпоративные. При этом в случае простой подписи пользователю даже не понадобится токен.

Во внутреннем документообороте мобильная электронная подпись может стать оптимальным решением для крупных предприятий. Представим ситуацию: работнику производства нужно подписать документ – приказ на командировку или авансовый отчет. На его рабочем месте вообще нет компьютера, поэтому для подписания бумаг ему нужно идти в офис.

Однако в последнее время мобильная подпись все чаще используется и во внешнем документообороте. Документы, которыми компания обменивается с контрагентами, как правило, подписывают ее ключевые лица – генеральный директор, его заместитель или другие топ-менеджеры.

Такие сотрудники часто находятся в разъездах и командировках, не имея доступа к своему компьютеру в офисе. К тому же, работу сильно изменила пандемия, сместив акцент на ее дистанционные или комбинированные форматы. И сегодня в принципе не всегда удается застать сотрудников на их офисном рабочем месте.

В результате возможность подписать документ со смартфона заметно ускоряет этот процесс – время сделки становится короче, оплата со стороны контрагентов проводится оперативнее. А это значит, и бизнес в целом быстрее получает деньги.

Преимущества для бизнеса

Так как телефон всегда под рукой, применение мобильной PKI обеспечивает массу преимуществ. В России, однако, по сравнению со странами Европы и Азии, эта технология пока недостаточно востребована. Если обратиться к статистике, то среди населения Финляндии, которое составляет 5,4 млн человек, пользователями мобильной PKI являются 3 млн человек, или более 55%. При этом с помощью мобильных телефонов они совершают порядка 500 млн транзакций в год.

Эти данные не могли не заинтересовать российских операторов сотовой связи, входящих в «Большую тройку». Их первым шагом в данном направлении стало принятие принципиального решения об использовании одной технологии, единых стандартов и требований к выдаче карт, API для встраивания и тому подобное.

Для вывода новой технологии на рынок необходимо выстроить мощную инфраструктуру, которая будет затрагивать все аспекты работы новой технологии: от выдачи sim-карт до внедрения разработки на электронных сервисах. Именно поэтому сам факт использования единых стандартов и технологий должен дать мощный стимул к развитию в России электронных сервисов для физических лиц. Сервис же станет массовым тогда, когда будет выстроена необходимая платформа операторами сотовой связи.

Не секрет, что сегодня около 90% всех электронных сервисов разработаны для корпоративных клиентов. Постепенное насыщение массового рынка средствами электронной подписи способно изменить эту статистику. Компания Yota уже выдает sim-карты с поддержкой электронной подписи и технологии NFC, поэтому, возможно, проблема с нехваткой электронных сервисов для физлиц в скором времени останется в прошлом.

Положительное влияние на распространение мобильной PKI окажет и деятельность крупных ритейлеров и банков. Специалисты подсчитали, что средняя стоимость одного очного контакта с клиентом кредитной организации в среднем обходится в i850 в Москве и i730 в регионе.

В эту сумму входит оплата помещения, коммунальных услуг, а также заработная плата работника, осуществляющего прием. Благодаря использованию электронной подписи на sim-карте точки ритейла смогут в несколько раз ускорить обслуживание, что снизит затраты и даст дополнительные преимущества перед конкурентами.

Кроме того, развитие технологии мобильной PKI позволит ускорить переход на безбумажный документооборот, что опять же приведет к снижению накладных расходов (к слову, крупная компания или банк в месяц тратит до 9–12 тонн бумаги).