Памятка для удостоверяющих центров и других участников PKI

Электронная подпись – что это такое

В этой статье:

• Почему стоит оформить ЭЦП для ООО
• Как руководителю компании получить ЭЦП для ООО
• Каким организациям недоступно оформление ЭЦП для
  ООО
• Дополнения к ЭЦП: зачем нужны токен и КриптоПро
• Сумма расходов на получение ЭЦП для ООО
• Срок предоставления ЭЦП для ООО в налоговой
• Период действия сертификата УКЭП

Введение

С каждым днем количество бизнесменов, использующих электронный документооборот, неуклонно растет. С помощью интернета отправляются отчетности, декларации, заявки на участие в тендерах и т. д. Электронная подпись становится необходимым атрибутом любого официального документа. Она является свидетельством подлинности подписи заявителя.

Данные индивидуального предпринимателя
в соответствии с выпиской из ЕГРИП
(ФИО владельца ИП)

По паспорту без отчества

Женский

Мужской

Номер телефона в формате +7 (___) ___-__-__

На этот номер будет отправлена ссылка на установку
приложения IDPoint

По возможности укажите наиболее полный адрес

Паспорт гражданина РФ

Я даю своё согласие АО «ИИТ» на обработку моих
персональных данных в соответствии с
политикой

Мы гарантируем безопасность и сохранность ваших
данных

На указанный номер придёт СМС
со ссылкой на приложение IDPoint

Почему стоит оформить ЭЦП для ООО

Удаленный обмен документами с партнерами и государственными органами позволяет сэкономить
руководителю компании много времени. Особенно удобным электронный документооборот оказался
во время пандемии: ограничения не смогли блокировать деловые процессы компаний, имеющих
возможность работать с отчетами и контрактами дистанционно.

Универсальная цифровая подпись может использоваться для многих задач:

• Для регистрации ООО через ЭЦП
• Для своевременной подачи отчетности в налоговую
• Для регистрации заявок на площадках “Торги” и “Закупки”
• Для регистрации изменений в ЕГРЮЛ. Для этого, вам потребуется заявление Р13014, которое
  вы можете бесплатно подготовить с помощью нашего онлайн-сервиса, и КЭП, по которой
  сервис отправит готовый документ в налоговую.
• Для обеспечения удаленных деловых процессов с партнерами и контрагентами. К примеру, с
  помощью КЭП можно заключать сделки в онлайн режиме.

Обратите внимание:если на текущий момент вы являетесь
физическим лицом и вам нужна ЭЦП для регистрации ООО, придется обращаться в коммерческие
удостоверяющие центры. Налоговая не предоставляет бесплатную ЭЦП физлицам.

Как руководителю компании получить ЭЦП для ООО

Чтобы получить ЭЦП для ООО в ИФНС, необходимо предварительно купить токен для записи
электронного сертификата подписи, подать в налоговую документы и встретиться с инспектором,
предоставив ему токен. Рассмотрим варианты онлайн и личной подачи.

1 Онлайн обращение

Для бесплатного получения электронной подписи, нужно подготовить документы для ЭЦП . Для ООО
подача заявления доступна онлайн, в личном кабинете на портале налоговой службы. Данные в
заявление автоматически переносятся из учетной записи компании.

После того как обращение в ФНС будет рассмотрено, руководителю организации потребуется лично
приехать в инспекцию. Это необходимо, чтобы инспектор записал цифровой ключ на безопасный
носитель – токен. Через личный кабинет можно оформить запись на прием заранее, подобрав
удобное время посещения. При себе руководителю нужно иметь паспорт, свидетельство СНИЛС и
флэшку-токен.

Обратите внимание:необходимо уточнить заранее, какие ИФНС
в вашем городе выдают УКЭП. С выдачей цифровых сертификатов работают не все подразделения,
например в Москве такая инспекция всего одна..

2 Личный визит в налоговую

Если у вас нет возможности подать заявление онлайн, можно оформить ЭЦП для ООО бесплатно при
непосредственном обращении в ИФНС. Предварительно нужно записаться в подразделение, в
котором доступна выдача УКЭП.

С собой руководителю компании нужно взять:

• Распечатанный бланк заявления (есть на портале ФНС, можно заранее заполнить данные)
• Паспорт и СНИЛС руководителя
• Токен для записи ЭЦП

Каким организациям недоступно оформление ЭЦП для ООО

Есть перечень юридических лиц, которым бесплатное получение сертификата УКЭП недоступно. К
исключениям относятся банки и некредитные компании, операторы платежных систем. Например,
если ваша организация занимается инвестиционной деятельностью или является ломбардом,
придется получать ЭЦП в удостоверяющих центрах ЦБ РФ.

Обратите внимание:бесплатный выпуск ЭЦП для ООО в 2023
году доступен только при личном обращении руководителя Общества. Представители юрлица по
доверенности получить подпись не могут. Также, невозможен бесплатный выпуск КЭП для
сотрудников ООО. Как физические лица, сотрудники получают подпись через удостоверяющие
центры.

Зачем нужны токен и КриптоПро

После выпуска уникального цифрового сертификата, налоговая

должна записать файл на безопасный
цифровой носитель. Для этого, руководитель ООО сам приобретает токен. Это можно сделать в
специализированных компаниях, удостоверяющих центрах, в интернет-магазинах. Перед покупкой
токена важно убедиться в наличии сертификации ФСТЭК и ФСБ РФ у продавца и проверить стандарт
носителя: допускаются только 3 стандарта – ESMART, Рутокен и JaCarta.

Кроме покупки токена, потребуется установка специальной программы на компьютер. Пользоваться
ЭЦП можно лишь с программой КриптоПро CSP. Первые 90 дней криптопрограмма доступна на
бесплатной основе, а после окончания демоверсии требуется оплата лицензии.

Подготовив необходимые дополнения, можно начать работу с УКЭП

• Флэшку-токен необходимо вставить в компьютер, на котором установлена КриптоПро CSP.
• В программе нужно открыть документ, который планируете подписать
• Далее требуется выбор сертификата на токене

Сумма расходов на получение ЭЦП для ООО

Оформление сертификата ЭЦП для ООО в ИФНС является абсолютно бесплатным, но запись подписи и
работа с ней невозможны без дополнительных расходов:

• Токен – стоит порядка 1500 рублей
• Лицензия на КриптоПро CSP обходится в 1350 рублей за год или 2700 рублей без ограничения
  срока

Нюанс:на каждое устройство, на котором будет
использоваться ЭЦП, потребуется отдельная лицензия КриптоПро. То есть, на каждый
дополнительный компьютер придется оплачивать новую лицензию.

Срок предоставления ЭЦП для ООО в налоговой

Срок выдачи УКЭП не регламентирован. В большинстве случаев заявитель получает электронный
сертификат в день обращения. В некоторых ситуациях ожидание занимает больше времени – в
период высокой загруженности ИФНС.

Период действия сертификата УКЭП

Новые УКЭП (с 01.01.2022 г.) действуют 15 месяцев.

До 2022 года подпись предоставлялась на год. Бизнесмены, которые получали ЭЦП до указанного
периода, имеют право пользоваться сертификатом до окончания, а после истечения срока –
продлить его бесплатно.

Где используется ЭЦП?

Так как электронная цифровая подпись аналогична собственноручной, то ее можно использовать во всех сферах электронного документооборота. Она значительно упрощает коммерческим структурам процедуру подачи отчетности в страховые и пенсионные фонды, а также налоговую инспекцию.

Она позволяет завизировать коммерческую сделку в интернете, принять участие в торгах, купить товар или продать услугу.

Не ждем, а готовимся к переходу на новые стандарты криптографической защиты информации

Время на прочтение

В информационном мире и Digital-Банке само собой разумеется – Digital Security и Digital Signature.

Криптография позволяет нам защитить информацию от подмены и однозначно установить ее правообладателя посредством усиленной электронной подписи.

Криптография дает возможность закрыть для посторонних глаз информацию конфиденциального характера с помощью шифрования.

Как применять криптографию в соответствии с законодательством и ладу с регуляторами?

Речь пойдет о правовых аспектах и об организационно-технических мероприятиях в рамках официального перехода на национальные стандарты в области криптографической защиты информации ГОСТ Р 34.11-2012 «Функция хэширования» и ГОСТ Р 34.10-2012 «Процессы формирования и проверки электронной цифровой подписи».

Переход осуществляется в средствах электронной подписи, применяемых для информации, не содержащей сведений, составляющих государственную тайну, в случаях, подлежащих регулированию со стороны ФСБ России в соответствии с действующей нормативной правовой базой.

Правовые аспекты

Сначала, короткая справка, кто и на основании каких правовых документов является регуляторами в данной области.

Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ» установлен перечень видов деятельности, подлежащих обязательному лицензированию.

Постановлением Правительства РФ № 957 от 21 ноября 2011 г. «ОБ ОРГАНИЗАЦИИ ЛИЦЕНЗИРОВАНИЯ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ» утвержден «ПЕРЕЧЕНЬ ФЕДЕРАЛЬНЫХ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ, ОСУЩЕСТВЛЯЮЩИХ ЛИЦЕНЗИРОВАНИЕ КОНКРЕТНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ»

К лицензируемым видам деятельности, которые курирует ФСБ РФ, относятся:

Разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

31 января 2014 выходит документ ФСБ России № 149/7/1/3-58 «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования».

Здесь я позволю себе процитировать выписку из данного документа, которая опубликована на портале ТЕХНИЧЕСКОГО КОММИТЕТА ПО СТАНДАРТИЗАЦИИ «КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ» (ТК 26)

“Для средств ЭП, техническое задание на разработку которых утверждено после 31 декабря 2012 года, должна быть предусмотрена реализация функций средства в соответствии с ГОСТ Р 34.10-2012 хотя бы по одному из определяемых стандартом вариантов требований к параметрам (использование варианта, соответствующего длине секретного ключа порядка 256 бит, является предпочтительным, поскольку обеспечивает достаточный уровень криптографической стойкости и лучшие эксплуатационные характеристики, в том числе при совместной реализации со схемой ГОСТ Р 34.10-2001). После 31 декабря 2013 года не осуществлять подтверждение соответствия средств ЭП Требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27.12.2011 г. № 796, если в этих средствах не предусмотрена реализация функций средства в соответствии с ГОСТ Р 34.10-2012 хотя бы по одному из определяемых стандартом вариантов требований к параметрам. Исключение может быть сделано для средств ЭП, удовлетворяющих одновременно следующим условиям:
— техническое задание на разработку средства утверждено до 31 декабря 2012 года;
— в соответствии с техническим заданием разработка средства завершена после 31 декабря 2011 года;
— подтверждение соответствия средства указанным Требованиям ранее не осуществлялось.
Использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается. ”

На кого нацелен этот документ?

• он нацелен в первую очередь на лицензированных разработчиков СКЗИ, которые сертифицируют свои криптографические провайдеры в ФСБ.
• на уполномоченный федеральный орган в области использования электронной подписи и одновременно Головной Удостоверяющий Центр (ГУЦ), которым в соответствии с Федеральным законом № 63 «Об электронной подписи» и Постановлением Правительства РФ №976 от 28.11.2011 является Министерство связи и массовых коммуникаций
• на удостоверяющие центры, которые в соответствии со статьей 16 ФЗ № 63 «Об электронной подписи» получают аккредитацию в ГУЦ «Минкомсвязь»
• на организации, например, Альфа-Банк, которые осуществляют коммерческую деятельность с применением средств криптографической защиты информации.

В Постановлении Правительства России от 16 апреля 2012 г. №313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»

приведен Перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств.

Например, пункт из перечня: «2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем»

Иными словами организация, которая используя криптографию, взаимодействует с внешним миром и получает от этого прибыль, должна получить лицензию и соблюдать требования регулятора.

В пункте 6 Положения №313 приведены лицензионные требования к организациям лицензиатам.

На этом с правовыми аспектами, которые порой трудно читать, закончим. И перейдем к организационным мероприятиям.

Взаимодействие с регулятором

ГУЦ «Минкомсвязь» имеет свой портал — это своего рода единая точка входа в (Public Key Infrastructure PKI) Инфраструктуру с открытым ключом в масштабах Российской Федерации. Там опубликован большой список нормативных документов, требования и порядок аккредитации удостоверяющих центров, реестр действующих аккредитованных УЦ и информация о доступности их сервисов.

TSL — Trusted List of supervised/accredited Certification Service Providers. Этот список подписан электронной подписью Минкомсвязи, через него выстраивается доверие и пути сертификации.

В целом на площадке Госуслуги развернуто единое пространство Электронного правительства РФ. Большинство сервисов, которого стало возможным благодаря развертыванию национальной PKI и применению криптографии и квалифицированной электронной подписи.

Так, например, в сервисах шины Системы межведомственного электронного взаимодействия СМЭВ используется квалифицированная электронная подпись, сертификаты открытого ключа которой заверены аккредитованными удостоверяющими центрами национальной PKI.

Мое письмо было принято в работу группой ГУЦ-Восход:

Здравствуйте!
В соответствии с выпиской из документа ФСБ России № 149/7/1/3-58 от 31.01.2014 «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования»,
Где говорится, что использование ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается и необходимо выполнить переход на новые стандарты ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012

Сообщите, пожалуйста, какого плана работы предусмотрены для осуществления перевода инфраструктуры Головного удостоверяющего центра Минкомсвязи России на работу с ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012

Будут ли меняться:

• корневой сертификат ГУЦ Минкомсвязи России?
• сертификаты ПАК «УЦ 1 ИС ГУЦ» и ПАК «УЦ 2 ИС ГУЦ» ?
• сертификат подписи TSLExt1.0.xml списка аккредитованных УЦ?
• (STREET=125375 г. Москва ул. Тверская д.7, CN=Подсистема «Реестры» ИС ГУЦ, O=Минкомсвязь России, L=Москва, ST=77 г.Москва, C=RU)

В какие сроки планируется проводить изменения и работы?

Будут ли какие-то предварительные объявления на портале e-trust.gosuslugi.ru?

Что будет со старыми типами подписи СМЭВ?

Будет единовременный переход на СМЭВ 3 с новым алгоритмом подписи?

И получил следующие ответы:

В связи с тем, что с первого января 2019 года формирование подписи с использованием старых гостов не допускается, все сертификаты, используемые для формирования подписи, будут заменены.

Переход Головного удостоверяющего центра на новые госты планируется в первом полугодии 2018 года, соответственно сертификат ГУЦ Минкомсвязи России будет заменен в это же время.
Сертификаты УЦ 1 ИС ГУЦ и УЦ 2 ИС ГУЦ и сертификат подписи TSL предположительно будут заменены в это же время.

Структуру TSL списка менять не планируется.

Согласно вышеописанной выписке, после 1 января 2019 года не допускается формирование подписи на старых ГОСТ, т.е., исходя из нее, дожить они могут, но подписывать ими нельзя. Обязательный отзыв сертификатов на старых ГОСТ пока также не планируется. Перевод своих клиентов на новые ГОСТ аккредитованный УЦ осуществляет самостоятельно, по мере своих возможностей, какого-либо общего порядка по нему не предусмотрено.

По СМЭВ, к сожалению, подсказать не смогу, Головной удостоверяющий центр СМЭВом не занимается. По вопросам, связанным с ним, Вам необходимо создать отдельную заявку в поддержку СМЭВ.

Вопросы касательно СМЭВ я сформулировал в отдельном письме на тот же адрес и оно было маршрутизировано на группу PТК-CМЭВ, а затем команде ПАО «Ростелеком».

Получен такой ответ:

Какое-то время будут поддерживаться оба типа стандартов. Конкретная дата проведения работ в СМЭВ не определена. Участники информационного взаимодействия будут заблаговременно оповещены соответствующей новостью на Технологическом портале, а также всей необходимой информацией.

Вообще СМЭВ и подпись XMLDsig/XAdES это отдельная большая тема.

Постановка задачи

• обеспечить бесперебойную работу собственного программного обеспечения в переходный период.
• выполнить генерацию новых ключей и сертификатов
• проверить программное обеспечение на возможность корректного перехода. Для этого подписать документ новой электронной подписью и проверить ее.

В общем, стало понятно, что нужно не ждать регуляторов, а готовиться.

Тем более, почти все необходимое под рукой есть. Сертифицированные СКЗИ, поддерживающие новые алгоритмы КриптоПро CSP 4.0, Java API КриптоПро JCSP и КриптоПро JCP 2.0 есть.

Выполнить генерацию новых ключей можно.

Нужен был только УЦ в PKCS#10 запросе на сертификат, к которому мы сможем передать свой открытый ключ, сгенерированный по новому алгоритму. Но об этом чуть позже.

Бесперебойная работа ПО

На сайте КриптоПро регулярно выходили новости об автоматическом включении в СКЗИ предупреждений про грядущий переход на новые стандарты, по требованию ФСБ РФ.

В Базе знаний портала технической поддержки размещена подробная информация об этих предупреждениях, и как их отключить в версиях СКЗИ под различные операционные системы:

Обращаем внимание, что в связи с требованиями ФСБ России, сопряженными с запретом использования ГОСТ Р 34.10-2001 для формирования подписи после 1 января 2019 года (см. tc26.ru/info/new-national-standards), с 1 июля 2017 года в КриптоПро CSP версий 3.9 и 4.0, а также КриптоПро JCP 2.0 будут появляться предупреждения о необходимости скорого перехода на ГОСТ Р 34.10-2012 при формировании ключей ГОСТ Р 34.10-2001, а с 1 октября 2017 года – и при формировании подписи по ГОСТ Р 34.10-2001. Пользователь, обладающий правами администратора системы, при запуске приложения с правами администратора (UAC) может отложить предупреждения на месяц, установив соответствующий флаг в данном окне.
На случай если появление этих предупреждений в вашей системе нежелательно, вы можете заблаговременно их отключить.

Конечно же, такие уведомления могут быть крайне нежелательны в информационных системах. Где они могут вклиниться в поток, перехватить управление и привести к сбою основной логики программы.

За примером далеко ходить не надо. Возьмем операционную систему Linux, информационную систему на Java и провайдер КриптоПро JCP 2.0, посредствам которого выполняется электронная подпись документов. Если не отключить своевременно уведомления о переходе на новые стандарты, то в информационной системе при попытке подписать документ возникнет ошибка:

Эта ошибка говорит, что провайдер попытался выбросить графическое предупреждение на сервере, где нет графического терминала.

В итоге предупреждение приводит к сбою в программе, подпись на документ не ставится.

Разумеется, для информационной системы, где идет поток обращений к провайдеру, запускать сервер X Window System, например, программу Xming на своей станции и подключаться с помощью PuTTY по SSH с включенной опцией X11 forwarding для того, что бы клиент КриптоПро JCP мог отображать все предупреждения на нашу станцию, мы не будем.

Поэтому отключаем уведомления в контрольной панели КриптоПро JCP, следуя инструкции.

Если информационная система на Java использует криптографический провайдер КриптоПро CSP через JavaCSP, то выполняем пункт инструкции:

Для отключения данных предупреждений в КриптоПро CSP до 1 января 2019 года на Unix-системах нужно добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64.ini (или /etc/opt/cprocsp/config.ini в случае 32-битной системы) в существующую секцию Parameters:

Соответствующие напоминания КриптоПро CSP появляются при генерации ключей и нового запроса на сертификат в UI центра регистрации. Если указать в поле Криптопровайдер — Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider.
Для новой ключевой пары будет появляться окно с предупреждением вида:

Его можно отключить на месяц. Или навсегда для криптографического провайдера, действуя по уже знакомой инструкции.

Предупреждения СКЗИ вовремя отключены, они больше не смогут привести к сбою в наших информационных системах.

Получение новых сертификатов

У КриптоПро есть свои тестовые удостоверяющие центры

На момент написания статьи УЦ поддерживающий новые стандарты отсутствовал.

Мной было заведено обращение на на портал технической поддержки КриптоПро

Скажите, пожалуйста, планируется ли перевод тестового УЦ testca2.cryptopro.ru/UI на ГОСТ Р 34.10-2012 и если да, то в какие сроки?

Был получен ответ:

Планируется, сроки не определены. Возможно это будет другой УЦ.

Помощь с получением сертификатов оказало подразделение информационной безопасности. Был развернут собственный экземпляр тестового центра сертификации, поддерживающий ГОСТ 34.10-2012

Выполнена генерация двух комплектов ключей с размерностями 256 и 512 бит и получены два сертификата, соответствующие новым стандартам ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012.

Подпись документа и проверка

Напомню, в составе КриптоПро JCP можно найти много примеров в файле samples-sources.jar. В частности, там есть примеры подписи и проверки ЭП документов. Все остальное является по большому счету частными кастомизациями.

Провайдеры КриптоПро JCP и JCSP поддерживают следующие нужные нам алгоритмы хэш функции и подписи:

JCSP – CryptoPro Java CSP Provider
JCP – CryptoPro Java Provider

MessageDigest – GOST3411_2012_256
MessageDigest – GOST3411_2012_512

Signature – GOST3411_2012_256withGOST3410DH_2012_256
Signature – GOST3411_2012_512withGOST3410DH_2012_512

Для того чтобы существующие методы подписи по ГОСТ Р 34.10-2001 начали подписывать документ по ГОСТ Р 34.10-2012, потребовалось внести ряд небольших изменений.

Рассмотрим на примере создания CMS (PKCS#7) контейнера.

Добавить названия новых алгоритмов:

private static final String GOST3411_2012_256 = “GOST3411_2012_256”;
private static final String GOST3411_2012_256WITH_GOST3410DH_2012_256 = “GOST3411_2012_256withGOST3410DH_2012_256”;
private static final String GOST3411_2012_512 = “GOST3411_2012_512”;
private static final String GOST3411_2012_512WITH_GOST3410DH_2012_512 = “GOST3411_2012_512withGOST3410DH_2012_512”;

Инициализировать объект подписи с нужным алгоритмом:

Signature signature = Signature.getInstance(GOST3411_2012_512WITH_GOST3410DH_2012_512,config.getProperty(Config.CRYPTO_PROVIDER));

Добавить в создаваемый CMS контейнер нужный идентификатор хэш-функции:

CMS может содержать не одну подпись, поэтому в цикле для каждой отдельно указываются идентификаторы алгоритмов хэша и подписи:

В этом же цикле выполняем хэширование:

И здесь же создаем четвертый подписываемый атрибут, содержащий хэш сертификата открытого ключа проверки этой подписи

Это все места, где при подписании нужно указать новый алгоритм.

Для проверки подписи в другом классе добавляем названия алгоритмов и новые OID-ы.

private static final String GOST3411_2012_256WITH_GOST3410DH_2012_256 = “GOST3411_2012_256withGOST3410DH_2012_256”;
private static final String GOST3411_2012_512WITH_GOST3410DH_2012_512 = “GOST3411_2012_512withGOST3410DH_2012_512”;

private static final OID OID_ALG_DIGEST_GOST_2012_256 = new OID(“1.2.643.7.1.1.2.2”);
private static final OID OID_ALG_SIGN_GOST_2012_256 = new OID(“1.2.643.7.1.1.1.1”);
private static final OID OID_ALG_DIGEST_GOST_2012_512 = new OID(“1.2.643.7.1.1.2.3”);
private static final OID OID_ALG_SIGN_GOST_2012_512 = new OID(“1.2.643.7.1.1.1.2”);

Идентификаторы OID и их древовидная структура описаны в стандартах ASN.1 ITU-T X.660 и ISO/IEC 9834. Стандарты и информацию, какой идентификатор, какой сущности привязан можно найти на oid-info.com

Правда, идентификаторы новых алгоритмов пока не добавлены в российский сегмент OID-ов. Переход ведь только грядет. А вот по алгоритмам 2001 года информация есть:

private static final OID OID_S_ALG_DIGEST_GOSTBC = new OID(“1.2.643.2.2.9”);
private static final OID OID_S_ALG_SIGN_GOSTBC = new OID(“1.2.643.2.2.19”);

Далее в методе проверки подписи проверяем, что алгоритм хэш-функции, указанный в CMS-контейнере нам знаком:

Выполняем проверку алгоритмов digest-а и signature для каждой подписи внутри контейнера:

Создаем экземпляр объекта хэш по указанному алгоритму в атрибуте подписи. Он нам нужен, чтобы заново посчитать хэш данных и сравнить с переданным в контейнере.

MessageDigest digester = MessageDigest.getInstance(new OID(signerInfo.digestAlgorithm.algorithm.value).toString(), config.getProperty(Config.CRYPTO_PROVIDER));

Инициализируем объект класса Signature c соответствующим алгоритмом:

На этом все нюансы программного перехода на стандарты ГОСТ 34.10-2012 и ГОСТ 34.11-2012 исчерпаны.

Наше программное обеспечение готово подписывать документы и проверять подписи по новому стандарту с размерностью ключа 256 и 512 бит.

Вот так выглядит структура CMS с новыми идентификаторами алгоритмов в программе ASN1View (разработчик)

Результат проверки подписи PKCS-7 ГОСТ Р 34. 11-2012/34. 10-2012 256 бит

— в сервисе проверки ЭП на портале Госуслуги

«Подлинность документа не подтверждена», потому что сертификат выдан в тестовом УЦ и Электронное Правительство ничего про него не знает. Сама ЭП — верна.

— с помощью программы КриптоАрм

— в собственном программном обеспечении

Результат проверки подписи PKCS-7 ГОСТ Р 34. 11-2012/34. 10-2012 512 бит

В КриптоАРМ сертификат проверки ЭП считается действительным, потому что корневой сертификат нашего тестового УЦ я добавил в хранилище корневых доверенных центров сертификации своей операционной системы.

Полезные ссылки

Электронная подпись содержит информацию о юридическом или физическом лице в зашифрованном виде. Она используется для идентификации инициатора подачи электронного документа. Также электронная подпись выполняет защитные функции, ограждая документ от возможного редактирования заинтересованными лицами.

ЭЦП имеет аналогичную юридическую силу, что и собственноручная подпись заявителя.

Процесс получения ЭЦП

Для получения ЭЦП необходимо выполнить следующие действия:

• Выбрать тип подписи:
  Простой вариант. Подходит тем коммерсантам, которым нужно лишь подтвердить свою личность. Оформить заказ, на ее оформление можно не выходя из дома со своего ПК.Усиленный неквалифицированный вариант. Представляет собой некий идентификатор, позволяющий контролировать документооборот организации и вносить изменения в случае возникновения такой необходимости. Используется для представления отчетности в государственные учреждения. Данная ЭЦП выдается сотрудниками удостоверяющего центра.Усиленный квалифицированный вариант. Такая подпись является самой надежной и современной. Вместе с подписью оформляется крипто-ключ и сертификат, подтверждающий подлинность подписи человека. Эту ЭЦП можно использовать только при наличии вышеуказанных атрибутов. В противном случае она не будет иметь юридического значения. Усиленная квалифицированная ЭЦП нужна для участия в торгах или аукционах в интернете, а также тендерах по госзакупкам.
• Простой вариант. Подходит тем коммерсантам, которым нужно лишь подтвердить свою личность. Оформить заказ, на ее оформление можно не выходя из дома со своего ПК.
• Усиленный неквалифицированный вариант. Представляет собой некий идентификатор, позволяющий контролировать документооборот организации и вносить изменения в случае возникновения такой необходимости. Используется для представления отчетности в государственные учреждения. Данная ЭЦП выдается сотрудниками удостоверяющего центра.
• Усиленный квалифицированный вариант. Такая подпись является самой надежной и современной. Вместе с подписью оформляется крипто-ключ и сертификат, подтверждающий подлинность подписи человека. Эту ЭЦП можно использовать только при наличии вышеуказанных атрибутов. В противном случае она не будет иметь юридического значения. Усиленная квалифицированная ЭЦП нужна для участия в торгах или аукционах в интернете, а также тендерах по госзакупкам.
• Позвонить или лично посетить УЦ. Его сотрудники дадут Вам указания относительно дальнейших действий.
• Оплатить заказанную услугу. Сделать это можно любым удобным способом.
• Представить необходимые документы в назначенный срок. Полный их перечень можно найти на сайте Минсвязи. Согласно ФЗ №63, КЭП выдается только после прохождения процедуры верификации.

Важно! При оформлении усиленной квалифицированной ЭЦП, юридическому лицу потребуется собрать расширенный комплект документов. Если не будет хватать хотя бы одного, то получить ЭЦП данного типа не получится.

Данный алгоритм получения электронной подписи является стандартным. Клиент получает подпись, крипто-ключ и сертификат подлинности. Для хранения ключа может использоваться съемный носитель. На него же копируется утилита КриптоПро CSP с открытым или закрытым ruToken или eToken ключом.

Документы для регистрации ИП или ООО бесплатно

В каком виде хранить ЭЦП?

ЭЦП представляет собой текстовый файл, содержащий определенный набор символов. Для его хранения могут быть использованы совершенно различные инструменты. Главное, обеспечить его взаимодействие с подходящим программным обеспечением. В связи с этим рекомендуется хранить ЭЦП в следующих местах:

• Локальные хранилища ОСЭто самый бюджетный и простой вариант из нижеуказанных. Любая ОС имеет подобные хранилища. В случае с Windows роль хранилища играет реестр. К недостаткам такого способа можно отнести привязку ЭЦП лишь к одному ПК (подписывать документы можно только с него) и потерю данных без возможности восстановления в случае программного сбоя или переустановки ОС.Считывание информации о ключе осуществляется с помощью установленного считывателя (криптопровайдер).
• ТокеныВ данном случае ЭЦП хранится на специальном носителе. Внешне он напоминает обычную флешку. Этот вид носителя получил название “токен”. Токен, как и любые другие носители информации, обладает определенным объемом памяти, используемой для хранения ЭЦП. В большинстве случаев его объем составляет 32-256 Кб. Один сертификат занимает порядка 4-10 Кб. Следовательно, Вы можете самостоятельно рассчитать количество подписей, которое может поместиться на токене. Для использования подписи, находящейся на токене, так же как и в случае с реестром ОС потребуется криптопровайдер. Но существуют токены, в которые уже встроены криптопровайдеры. Они имеют пометки ГОСТ или ЭЦП. При использовании таких токенов покупать и выполнять установку криптопровайдеров не нужно.
• Облачные хранилищаЭЦП хранится на удаленном, находящемся под защитой, сервисе. Этот способ имеет много общего с первым лишь с той разницей, что вместо специального устройства используется удаленный защищенный сервер, доступ к подписи осуществляется посредством ее привязки к мобильному телефону (в этом случае подписание документов происходит с помощью SMS-сообщений) или специальных интерфейсов для внешнего ПО – API. Такой способ хранения весьма удобен, так как пользователю не нужно устанавливать специализированное ПО на свой ПК. Впрочем, даже наличие компьютера не является необязательным условием. Управлять подписью можно с мобильного телефона. Это весьма серьезное преимущество облачного хранения. Но есть и существенный недостаток: некоторые государственные органы не принимают документы, подписанные подобным образом. Одним из таких органов является ФНС.

Где ИП может использовать цифровую подпись

• Сдавать отчетность в налоговую.
• Пользоваться муниципальными и государственными услугами: подпись работает на 300+
  площадках, в числе которых Госуслуги, Росреестр, “Торги”.
• Вносить новые сведения в ЕГРИП (добавлять коды деятельности, уведомлять о смене ФИО,
  адреса и пр.). Для этого достаточно подписать с помощью ЭЦП заявление Р24001, которое
  можно бесплатно подготовить с помощью нашего онлайн-сервиса.
• Работать с контрагентами удаленно.
• Решать личные вопросы, требующие удаленногоподтверждения личности или оформления
  документов.

Любой документ, который будет подписан с помощью ЭЦП, имеет равную юридическую силу
документом, заверенным личной подписью.

Как получить ЭЦП для ИП бесплатно

Оформить ЭЦП для ИП проще, чем кажется на первый взгляд. Подать документы на получение
подписи можно онлайн или лично в инспекцию, порядок действий от выбранного способа не
изменится: предприниматель сам приобретает токен, подает свои документы и предъявляет токен
инспектору для регистрации сертификата подписи.

Особенности онлайн подачи

Заявление на получение цифровой подписи можно подготовить удаленно на сайте налоговой или в
личном кабинете предпринимателя. Данные вносятся в документ из учетной записи автоматически,
заявление сразу можно отправить в ИФНС.

Но, удаленная подача заявления не означает, что у вас получится избежать визита в инспекцию.
Придется приехать в ИФНС для регистрации сертификата ЭЦП. Для этого, можно заранее
записаться через портал ФНС или ваш личный кабинет. На встрече с инспектором вам потребуется
токен, гражданский паспорт и свидетельство СНИЛС.

Будьте внимательны при выборе инспекции для записи: далеко не
каждая налоговая выдает УКЭП! К примеру, в Москве данную услугу можно получить только в
одной ИФНС.

Особенности личного обращения

Получить ЭЦП для ИП бесплатно можно только в региональных отделениях инспекции по
предварительной записи. Воспользуйтесь сайтом ФНС, чтобы заранее уточнить – где получить ЭЦП
для ИП можно в вашем регионе.

При себе на встрече с инспектором необходимо иметь:

• Заявление на выдачу КЭП (подготовить его можно заранее, или заполнить непосредственно в
  ИФНС)
• Токен
• Паспорт
• Свидетельство СНИЛС

Обратите внимание: при оформлении ЭЦП для ИП, для
налоговой важно ваше личное присутствие – воспользоваться услугами представителя с
доверенностью не получится.Также, вы не сможете получить ЭЦП для своих сотрудников без их
присутствия. При необходимости оформления ЭЦП на работника из штата, ему нужно будет
обратиться за платной услугой удостоверяющего центра, который работает с подписями для
физических лиц.

Для чего необходим токен и КриптоПро

На регистрации сертификата подписи в налоговой задачи ИП не заканчиваются. Во-первых, для
записи цифрового ключа вам потребуется токен – это защищенная флэшка, на которой будет
храниться файл с кодом вашей ЭЦП. Отделаться простым цифровым носителем не получится – чтобы
получить ЭЦП для ИП, для налоговой нужно приобрести токен ESMART, JaCarta или Рутокен. Их
продают сами производители, удостоверяющие центры и интернет-магазины. При покупке токена
важно убедиться в наличии у продавца сертификации ФСТЭК или ФСБ России.

Устройство, на котором вы будете использовать подпись, должно быть защищено криптограммой: на
компьютер необходимо установить КриптоПро CSP. Первые 3 месяца будут доступны бесплатно в
качестве демоверсии, далее необходимо сделать выбор лицензии, наиболее подходящей под ваши
задачи и оплатить ее.

Как подписывать документы с помощью ЭЦП?

Получив ЭЦП для ИП для налоговой бесплатно, оплатив токен и установив криптограмму, вы можете
начать пользоваться своим новым инструментом. Инструкция:

• Установите токен на свой компьютер с установленной КриптоПро CSP.
• Откройте КриптоПро CSP и загрузите в нее документ, который необходимо подписать
• Выберите на токене сертификат
• Кликните на кнопку “Подписать”. Теперь документ можно отправлять.

Цена ЭЦП для ИП

С июля 2021 года у предпринимателей появилась возможность бесплатно получить ЭЦП для
налоговой. Для ИП цена аналогичной услуги в коммерческих удостоверяющих центрах – от
1500-2000 рублей.

Но, получить удобный инструмент полностью безвозмездно не получится, поскольку для его
использования нужны токен и криптограмма. Эти расходы налоговая на себя не берет. Средняя
стоимость токена – 1000-1500 рублей, КриптоПро CSP на год – 1350 рублей или 2700 рублей на
неограниченный период.

Обратите внимание: лицензия на программу КриптоПро CSP
может быть установлена только на одно устройство! Если вы планируете пользоваться своей
цифровой подписью с разных компьютеров, придется приобрести лицензию на каждый.

Сколько времени занимает оформление ЭЦП для ИП в ФНС

ФНС не устанавливает конкретный срок оказания услуги. Все будет зависеть от загрузки
инспекции. Период проверки данных ИП и оформление сертификата подписи может занять как
несколько минут, так и продлиться до нескольких дней, но в большинстве обращений
предприниматели получают ЭЦМ уже в день обращения.

Срок действия ЭЦП для ИП

Период действия цифровой подписи составляет 15 месяцев. Ранее, сертификаты предоставлялись на
год. Сертификаты, полученные до 01.01.2022, можно использовать до конца их срока, а после
продлить бесплатно.

ЭЦП для ИП от ФНС

Цифровая подпись является современным способом удаленного оформления документов. Она
применяется в целях подтверждения личности и позволяет заверить практически любой
документ, не выходя из дома.

Подпись в цифровом варианте представляет собой файл, содержащий персональный цифровой код
клиента, защищенный криптограммой. Подписи различаются по степени защищенности: простая
(ПЭП), неквалифицированная (НЭП) и квалифицированная (КЭП), усиленная квалифицированная
(УКЭП). Термин ЭЦП является стандартным сокращением, который может обозначать любой вид
цифровой подписи.

Предприниматели получили с 2023 года право получить ЭЦП для ИП в
налоговой бесплатно. Рассмотрим, как это сделать.

Процедура подписания

Ранее уже говорилось о том, что для заверки документа электронной подписью нужно установить криптопровайдер. В его функции входит считывание крипто-ключа с облачного хранилища или съемного носителя. Процедура подписания осуществляется с использованием сложных математических алгоритмов, использующих огромное количество символов. Некоторое ПО уже имеет функции работы с ЭЦП. Например, Microsoft Word умеет работать с хранилищами ЭЦП и подписывать созданные документы.

Кем выдается?

Выдачей электронных цифровых подписей занимаются компании, получившие аккредитацию Минкомсвязи. Полный список этих организаций можно посмотреть, перейдя по ссылке. На этой же странице находится информация относительно порядка подачи заявления, а также перечень необходимых для каждого отдельного заявителя документов.

Важно! Подать заявление можно через единый портал Госуслуг. В этом случае пользователь должен иметь подтвержденную учетную запись на сайте.