Сертификат электронной подписи: проверка ключа

I. общие положения

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 6 апреля 2021 г. N 63-ФЗ “Об электронной подписи” <1> (далее – Федеральный закон).(в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

2. В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона:

1) электронная подпись (далее – ЭП) – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

2) ключ ЭП – уникальная последовательность символов, предназначенная для создания ЭП;

3) ключ проверки ЭП – уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее – проверка ЭП);

4) удостоверяющий центр (далее – УЦ) – юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки ЭП, а также иные функции, предусмотренные Федеральным законом;(в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

5) сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;

6) квалифицированный сертификат ключа проверки ЭП (далее – квалифицированный сертификат) – сертификат ключа проверки ЭП, соответствующий требованиям, установленным Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, созданный аккредитованным УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП (далее – уполномоченный федеральный орган), и являющийся в связи с этим официальным документом;(в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

7) владелец сертификата ключа проверки ЭП – лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки ЭП;

8) аккредитация УЦ – признание соответствия УЦ требованиям Федерального закона; (в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

9) средства ЭП – шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций – создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;

10) средства УЦ – программные и (или) аппаратные средства, используемые для реализации функций УЦ;

11) участники электронного взаимодействия – осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, индивидуальные предприниматели, а также граждане; (в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

12) заявитель – коммерческая организация, некоммерческая организация, индивидуальный предприниматель, физическое лицо, не зарегистрированное в качестве индивидуального предпринимателя, но осуществляющее профессиональную деятельность, приносящую доход, в соответствии с федеральными законами на основании государственной регистрации и (или) лицензии, в силу членства в саморегулируемой организации, а также любое иное физическое лицо, лица, замещающие государственные должности Российской Федерации или государственные должности субъектов Российской Федерации, должностные лица государственных органов, органов местного самоуправления, работники подведомственных таким органам организаций, нотариусы и уполномоченные на совершение нотариальных действий лица, обращающиеся с соответствующим заявлением на выдачу сертификата ключа проверки ЭП в УЦ за получением сертификата ключа проверки ЭП в качестве будущего владельца такого сертификата.(в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

3. Настоящие Требования устанавливают требования к совокупности и порядку расположения полей квалифицированного сертификата (далее – форма квалифицированного сертификата).

4. При включении в состав квалифицированного сертификата дополнительных полей требования к их назначению и расположению в квалифицированном сертификате определяются в техническом задании на разработку (модернизацию) средств УЦ.

Iii. требования к порядку расположенияполей квалифицированного сертификата

9. Требования к порядку расположения полей квалифицированного сертификата устанавливаются в соответствии с основами аутентификации в открытых системах*(1), структурой сертификата открытого ключа и сертификата атрибутов*(2) и профилем сертификата и списка аннулированных сертификатов*(3).

10. Структура квалифицированного сертификата в форме электронного документа, определенная в соответствии со спецификацией абстрактной синтаксической нотации версии один*(4), должна иметь следующий общий вид:

Certificate ::= SIGNED { SEQUENCE {

    version                 [0]     Version DEFAULT v l,

    serialNumber                    CertificateSerialNumber,

    signature                       AlgorithmIdentifier,

    issuer                          Name,

    validity                        Validity,

    subject                         Name,

    subjectPublicKeyInfo            SubjectPublicKeyInfo,

    issuerUniqueIdentifier  [1]     IMPLICIT UniqueIdentifier OPTIONAL,

    subjectUniqueIdentifier [2]     IMPLICIT UniqueIdentifier OPTIONAL,

    extensions              [3]     Extensions OPTIONAL } }

SIGNED { ToBeSigned } ::= SEQUENCE {

    toBeSigned                      ToBeSigned,

    COMPONENTS OF                   SIGNATURE { ToBeSigned } }

SIGNATURE { ToBeSigned } ::= SEQUENCE {

    algorithmIdentifier             AlgorithmIdentifier,

    encrypted                       ENCRYPTED-HASH { ToBeSigned } }

ENCRYPTED-HASH { ToBeSigned } ::= BIT STRING (CONSTRAINED BY

                                       { ToBeSigned }).

11. Поле algorithmIdentifier (идентификатор алгоритма) содержит идентификатор криптографического алгоритма, с использованием которого аккредитованный УЦ, доверенное лицо аккредитованного УЦ либо уполномоченный федеральный орган сформировал ЭП настоящего квалифицированного сертификата. Дополнительно могут быть указаны параметры криптографического алгоритма:

AlgorithmIdentifier ::= SEQUENCE {

    algorithm   ALGORITHM.&id ({ SupportedAlgorithms }),

    parameters  ALGORITHM.&Type ({ SupportedAlgorithms }

                                    {@algorithm }) OPTIONAL }.

12. Поле encrypted содержит ЭП, сформированную аккредитованным УЦ, доверенным лицом аккредитованного УЦ либо уполномоченным федеральным органом под структурированной совокупностью полей квалифицированного сертификата (toBeSigned).

13. Поле version (версия) содержит номер версии формата сертификата: Version ::= INTEGER { vl(0), v2(1), v3(2) }.

Ввиду необходимости использования дополнений сертификата значение поля version должно равняться 2.

14. Поле serialNumber (серийный номер) должно содержать положительное целое число, однозначно идентифицирующее квалифицированный сертификат в множестве всех сертификатов, выданных данным аккредитованным УЦ, доверенным лицом аккредитованного УЦ либо уполномоченным федеральным органом: CertificateSerialNumber ::= INTEGER.

15. Поле signature (подпись) содержит идентификатор криптографического алгоритма, с использованием которого аккредитованный УЦ, доверенное лицо аккредитованного УЦ либо уполномоченный федеральный орган сформировали ЭП данного квалифицированного сертификата. Содержимое данного поля должно совпадать с содержимым поля algorithmIdentifier.

16. Поле issuer (издатель) имеет тип Name и идентифицирует аккредитованный УЦ, доверенное лицо аккредитованного УЦ либо уполномоченный федеральный орган, создавшие и выдавшие данный квалифицированный сертификат. Тип Name описывается следующим образом:

Name ::= CHOICE { rdnSequence RDNSequence }

RDNSequence ::= SEQUENCE OF RelativeDistinguishedName

RelativeDistinguishedName ::= SET SIZE (1..MAX) OF AttributeTypeAndValue

AttributeTypeAndValue ::= SEQUENCE {

    type     AttributeType,

    value    Attribute Value }

AttributeType ::= OBJECT IDENTIFIER

AttributeValue ::= ANY DEFINED BY AttributeType.

Тип поля value определяется типом атрибута, но в общем случае в качестве AttributeValue выступает тип DirectoryString:

DirectoryString ::= CHOICE {

    teletexString          TeletexString (SIZE (1 ..MAX)),

    printableString        PrintableString (SIZE (1 ..MAX)),

    universalString        UniversalString (SIZE (1. .MAX)),

    utf8String             UTF8String (SIZE (1 ..MAX)),

    bmpString              BMPString (SIZE (1..MAX))}.

17. Стандартные атрибуты имени описаны в справочнике выбранных типов атрибутов*(5). При описании формы квалифицированного сертификата используются следующие стандартные атрибуты имени:

1) commonName (общее имя).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую имя, фамилию и отчество (если имеется) – для физического лица, или наименование – для юридического лица. Объектный идентификатор типа атрибута commonName имеет вид 2.5.4.3;

2) surname (фамилия).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую фамилию физического лица. Объектный идентификатор типа атрибута surname имеет вид 2.5.4.4;

3) givenName (приобретенное имя).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую имя и отчество (если имеется) физического лица. Объектный идентификатор типа атрибута givenName имеет вид 2.5.4.42;

4) countryName (наименование страны).

В качестве значения данного атрибута имени следует использовать двухсимвольный код страны*(6). Объектный идентификатор типа атрибута countryName имеет вид 2.5.4.6;

5) stateOrProvinceName (наименование штата или области).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование соответствующего субъекта Российской Федерации. Объектный идентификатор типа атрибута stateOrProvinceName имеет вид 2.5.4.8;

6) localityName (наименование населенного пункта).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование соответствующего населенного пункта. Объектный идентификатор типа атрибута localityName имеет вид 2.5.4.7;

7) streetAddress (название улицы, номер дома).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую часть адреса места нахождения соответствующего лица, включающую наименование улицы, номер дома, а также корпуса, строения, квартиры, помещения (если имеется).

8) organizationName (наименование организации).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование юридического лица. Объектный идентификатор типа атрибута organizationName имеет вид 2.5.4.10;

9) organizationUnitName (подразделение организации).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование подразделения юридического лица. Объектный идентификатор типа атрибута organizationUnitName имеет вид 2.5.4.11;

10) title (должность).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование должности лица. Объектный идентификатор типа атрибута title имеет вид 2.5.4.12.

Для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата рекомендуется использовать стандартные атрибуты имени, описанные в справочнике выбранных типов атрибутов.

18. К дополнительным атрибутам имени, необходимость использования которых устанавливается в соответствии с Федеральным законом, относятся:

1) OGRN (ОГРН).

Значением атрибута OGRN является строка, состоящая из 13 цифр и представляющая ОГРН владельца квалифицированного сертификата – юридического лица. Объектный идентификатор типа атрибута OGRN имеет вид 1.2.643.100.1, тип атрибута OGRN описывается следующим образом:

OGRN ::= NUMERIC STRING SIZE 13;

2) SNILS (СНИЛС).

Значением атрибута SNILS является строка, состоящая из 11 цифр и представляющая СНИЛС владельца квалифицированного сертификата – физического лица. Объектный идентификатор типа атрибута SNILS имеет вид 1.2.643.100.3, тип атрибута SNILS описывается следующим образом:

SNILS ::= NUMERIC STRING SIZE 11;

3) INN (ИНН).

Значением атрибута INN является строка, состоящая из 12 цифр и представляющая ИНН владельца квалифицированного сертификата. Объектный идентификатор типа атрибута INN имеет вид 1.2.643.3.131.1.1, тип атрибута INN описывается следующим образом:

INN ::= NUMERIC STRING SIZE 12.

19. Поле validity имеет тип Validity и содержит даты начала и окончания действия квалифицированного сертификата. Тип Validity описывается следующим образом:

Validity:-SEQUENCE}

    notBefore        Time,

    notAfter         Time}

Time ::= CHOICE {

    utcTime          UTCTime,

    generalTimeGeneralizedTime}.

20. Поле subject имеет тип Name и идентифицирует владельца квалифицированного сертификата.

21. Поле subjectPublicKeylnfo имеет тип SubjectPublicKeylnfo и содержит значение ключа проверки ЭП владельца квалифицированного сертификата, а также идентификатор криптографического алгоритма, с которым должен использоваться данный ключ:

SubjectPublicKeyInfo ::= SEQUENCE {

    algorithm               AlgorithmIdentifier,

    subjectPublicKey        BIT STRING }.

22. Необязательные поля issuerUniqueIdentifier и subjectUniqueIdentifier имеют тип UniqueIdentifier. Настоящие Требования не устанавливают требований к использованию указанных полей.

23. Дополнительная информация, касающаяся использования квалифицированного сертификата, включается в состав дополнений:

Extensions ::= SEQUENCE {

    extnId      EXTENSION.&id ({ ExtensionSet}),

    critical    BOOLEAN DEFAULT FALSE,

    extnValue   OCTET STRING }.

Для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, для которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации о правомочиях владельца квалифицированного сертификата и сроке их действия, рекомендуется использовать дополнение subjectAlternativeName.

24. Дополнение authority Key Identifier (идентификатор ключа УЦ) имеет тип Authority KeyIdentifier, структура которого определяется следующим образом:

AuthorityKeyIdentifier ::= SEQUENCE {

    keyIdentifier             [0] KeyIdentifier    OPTIONAL,

    authorityCertIssuer       [1] GeneralNames     OPTIONAL,

    authorityCertSerialNumber [2] CertificateSerialNumber OPTIONAL}.

В квалифицированном сертификате следует использовать дополнение authorityKeyIdentifier с занесением в поле authorityCertSerialNumber номера соответствующего квалифицированного сертификата аккредитованного УЦ или доверенного лица аккредитованного УЦ либо уполномоченного федерального органа, создавшего исходный квалифицированный сертификат. Объектный идентификатор типа дополнения authorityKeyIdentifier имеет вид 2.5.29.35.

25. Дополнение keyUsage определяет область использования ключа проверки ЭП, содержащегося в поле subjectPublicKeylnfo квалифицированного сертификата. Дополнение keyUsage имеет тип KeyUsage, структура которого определяется следующим образом:

KeyUsage ::= BIT STRING {

    digitalSignature      (0),

    contentCommitment     (1),

    keyEncipherment       (2),

    dataEncipherment      (3),

    keyAgreement          (4),

    keyCertSign           (5),

    cRLSign               (6),

    encipherOnly          (7),

    decipherOnly         (8)}.

Значение «1» в нулевом бите означает, что область использования ключа включает проверку ЭП под электронными документами, отличными от квалифицированных сертификатов и списков уникальных номеров квалифицированных сертификатов ключей проверки ЭП, действие которых на определенный момент было прекращено УЦ до истечения их действия (далее – список аннулированных сертификатов), предназначенными для выполнения процедур аутентификации или контроля целостности.

Значение «1» в первом бите означает, что область использования ключа включает проверку ЭП под электронными документами, отличными от квалифицированных сертификатов и списков аннулированных сертификатов, в отношении которых ставится задача обеспечения невозможности отказа подписавшего лица от своего действия.

Значение «1» во втором бите означает, что область использования ключа включает зашифрование закрытых или секретных ключей, например в целях их защищенной доставки.

Значение «1» в третьем бите означает, что область использования ключа включает непосредственно зашифрование пользовательских данных без дополнительного использования методов симметричной криптографии.

Значение «1» в четвертом бите означает, что область использования ключа включает согласование ключей.

Значение «1» в пятом бите означает, что область использования ключа включает проверку подписей под квалифицированными сертификатами.

Значение «1» в шестом бите означает, что область использования ключа включает проверку подписей под списками аннулированных сертификатов.

Значение «1» в седьмом бите означает, что область использования ключа включает зашифрование данных в процессе согласования ключей (при этом в четвертом бите должно быть значение «1»).

Значение «1» в восьмом бите означает, что область использования ключа включает расшифрование данных в процессе согласования ключей (при этом в четвертом бите должно быть значение «1»).

Объектный идентификатор дополнения keyUsage имеет вид 2.5.29.15.

26. Дополнение certificatePolicies предназначено для обозначения политик сертификации, в соответствии с которыми должен использоваться квалифицированный сертификат. Тип CertificatePoliciesSyntax, описывающий дополнение certificatePolicies, определяется следующим образом:

CertificatePoliciesSyntax ::= SEQUENCE SIZE (1..MAX) OF Policylnformation

Policylnformation ::= SEQUENCE {

    policyIdentifier        CertPolicyId,

    policyQualifiers        SEQUENCE SIZE (1 ..MAX) OF

                            PolicyQualifierInfo OPTIONAL}

CertPolicyId ::= OBJECT IDENTIFIER

PolicyQualifierInfo ::= SEQUENCE {

    policyQualifierId       PolicyQualifierId,

    qualifier               ANY DEFINED BY policyQualifierId }

PolicyQualifierId ::= OBJECT IDENTIFIER.

Объектный идентификатор дополнения certificatePolicies имеет вид 2.5.29.32.

27. Для обозначения класса средств ЭП владельца квалифицированного сертификата должны применяться следующие идентификаторы:

– 1.2.643.100.113.1 – класс средства ЭП КС 1,

– 1.2.643.100.113.2 – класс средства ЭП КС2,

– 1.2.643.100.113.3 – класс средства ЭП КС3,

– 1.2.643.100.113.4 – класс средства ЭП КВ1,

– 1.2.643.100.113.5 – класс средства ЭП КВ2,

– 1.2.643.100.113.6 – класс средства ЭП КА1.

28. Сведения о классе средств ЭП владельца квалифицированного сертификата должны быть указаны в дополнении certificatePolicies путем включения следующих идентификаторов:

– для класса средств ЭП КС 1: 1.2.643.100.113.1,

– для класса средств ЭП КС2: 1.2.643.100.113.1, 1.2.643.100.113.2,

– для класса средств ЭП КС3: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3,

– для класса средств ЭП КВ1: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4,

– для класса средств ЭП КВ2: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5,

– для класса средств ЭП КА1: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5, 1.2.643.100.113.6.

Для средств ЭП, класс которых отличается от класса средств УЦ, в которых используются указанные средства ЭП, следует указывать идентификаторы для класса средств ЭП, соответствующего классу средств УЦ.

29. Для указания в квалифицированном сертификате наименования используемого владельцем квалифицированного сертификата средства ЭП должно использоваться некритичное дополнение subjectSignTool типа UTF8String SIZE(1..200), объектный идентификатор которого имеет вид 1.2.643.100.111.

30. Для указания в квалифицированном сертификате наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизитов документа, подтверждающего соответствие указанных средств требованиям, установленным законодательством Российской Федерации, должно использоваться некритичное дополнение issuerSignTool типа IssuerSignTool, имеющего следующее представление:

IssuerSignTool ::= SEQUENCE {

    signTool            UTF8String SIZE(1.200),

    cATool              UTF8String SIZE(1..200),

    signToolCert        UTF8String SIZE(1.. 100),

    cAToolCert          UTF8String SIZE(1.100) }.

В строковом поле signTool должно содержаться полное наименование средства ЭП, которое было использовано для создания ключа ЭП, ключа проверки ЭП и квалифицированного сертификата.

В строковом поле cATool должно содержаться полное наименование средства аккредитованного УЦ, которое было использовано для создания ключа ЭП, ключа проверки ЭП и квалифицированного сертификата.

В строковом поле signToolCert должны содержаться реквизиты заключения ФСБ России о подтверждении соответствия средства ЭП, которое было использовано для создания ключа ЭП, ключа проверки ЭП, требованиям, установленным в соответствии с Федеральным законом (далее – заключение о подтверждении соответствия средства электронной подписи).

В строковом поле cAToolCert должны содержаться реквизиты заключения ФСБ России о подтверждении соответствия средства УЦ, которое было использовано для создания квалифицированного сертификата, требованиям, установленным в соответствии с Федеральным законом (далее – заключение о подтверждении соответствия средства удостоверяющего центра).

Объектный идентификатор типа IssuerSignTool имеет вид 1.2.643.100.112.

Iv. требования к форме квалифицированного сертификата на бумажном носителе

31. Форма квалифицированного сертификата на бумажном носителе должна удовлетворять следующим требованиям:

– отображение всех полей квалифицированного сертификата в виде, пригодном для восприятия человеком;

– отображение содержащейся в квалифицированном сертификате информации о наименованиях, именах, месте нахождения, области применения и другой информации на русском языке с использованием символов кириллического алфавита;

– пригодность для проведения формализованной процедуры контроля соответствия квалифицированного сертификата в формах электронного документа и документа на бумажном носителе.

Допускается не отображать в квалифицированном сертификате на бумажном носителе значения полей, которые фиксированы для всех квалифицированных сертификатов (например: поле version имеет значение 2, соответствующее версии v3).

Допускается в квалифицированном сертификате на бумажном носителе однократно отображать информацию, которая дублируется в различных полях (например, algorithmIdentifier и signature).

32. Общий вид квалифицированного сертификата на бумажном носителе для владельца – физического лица приведен в приложении N 1 к настоящим Требованиям.

Общий вид квалифицированного сертификата на бумажном носителе для владельца – юридического лица приведен в приложении N 2 к настоящим Требованиям.

Общий вид квалифицированного сертификата на бумажном носителе для владельца – физического лица, являющегося индивидуальным предпринимателем, приведен в приложении N 3 к настоящим Требованиям. (в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

Приложение N 1к Требованиям (п. 32)

Как подписать документ электронной подписью

Допустим, вы получили квалифицированный сертификат ЭП и хотите начать им пользоваться. Что для этого нужно?

• Прежде чем подписать документ ЭП, убедитесь в его окончательной версии. После того, как будет создана ЭП, внести в него изменения не получится.
• Позаботьтесь о наличии средств ЭП (в УЦ Контура настройка компьютера для работы с ЭП проходит автоматически) и программ для создания ЭП.

Для подписания ЭП документов формата Word и Excel есть несколько возможностей. Способ подписания зависит от применяемого ПО. Поэтому разумно перед тем как окончательно определиться с выбором, обсудить требования к подписи у контрагента.  

В зависимости от ПО есть несколько видов подписей: 

Для создания совмещенной подписи потребуется программа КриптоАРМ. Установив ее, можно подписывать документы любого формата: rar,.jpeg,.png,.ppt, видео и т.д. Есть бесплатная базовая версия КриптоАРМ Старт, стоимость остальных версий зависит от функциональности.

Для создания встроенной ЭП потребуются плагины:

Подписывать документы в Outlook можно только в почтовом клиенте Microsoft Outlook. При этом важно, чтобы почта в учетной записи MS Outlook совпадала с почтой, указанной в сертификате.

Для открепленной подписи подойдут как КриптоАРМ, так и бесплатный веб-сервис Контур.Крипто. 

Контур.Крипто не нужно устанавливать, достаточно просто иметь доступ в интернет. Он работает с подписью, выпущенной любым УЦ, помогает создать и проверить ЭП, зашифровать и расшифровать электронный файл, а также подписать пакет файлов или архивов, поставить подпись двум и более лицам.

При этом в сервисе есть ограничение на вес документа — до 100 Мб, и он работает только в Microsoft Windows. Кроме того, сервис позволяет создать только открепленную подпись. Проверить подпись, созданную в Контур.Крипто, можно в любой программе, которая работает с открепленными ЭП.

Квалифицированный сертификат проверки подписи

Квалифицированный сертификат может быть только у усиленной квалифицированной подписи. Она выдается исключительно УЦ, прошедшими аккредитацию в госорганах. В настоящее время занимается ее проведением Минкомсвязи. Список аккредитованных УЦ можно найти на официальном сайте министерства.

Информация о каждой квалифицированной ЭП вносится в реестр. Она имеет полную юридическую значимость. Все документы, подписанные с помощью нее, будут полностью равны по значимости документам на бумажных носителях с собственноручной подписью.

Для создания квалифицированной ЭП используется специализированное криптографическое программное обеспечение. Она подтверждает отсутствие изменений в документе, а также подпись пользователя. Ограничений на применение квалифицированной ЭП в законодательстве нет. Она может использоваться в любых документах, в т. ч. содержащих гостайну.

Существует также еще 2 вида ЭП – усиленная неквалифицированная и простая. Усиленная неквалифицированная подпись выдается УЦ, которые необязательно должны иметь аккредитацию Минкомсвязи. По данному виду подписи можно однозначно определить подписанта и отсутствие изменений в документе.

Простая ЭП – наиболее упрощенный вариант подписи. Она позволяет только идентифицировать пользователя, совершившего определенные действия, например, при покупке товара в онлайн-магазине. Использовать в документообороте простую ЭП можно, но только при наличии соответствующей договоренности между сторонами.

Подробнее о видах ЭП

Общий вид квалифицированного сертификата на бумажном носителе для владельца – физического лица

(в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

Номер квалифицированного сертификата: <serialNumber>

Сведения о владельце квалифицированного сертификата

Фамилия, имя, отчество: <commonName>

Страховой номер индивидуального лицевого счета: <SNILS>

Индивидуальный номер налогоплательщика: <INN> (в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

Тип идентификации при выдаче сертификата: <identificationKind> (в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

Сведения об издателе квалифицированного сертификата

Наименование удостоверяющего центра: <commonName>

Место нахождения удостоверяющего центра: <countryName>, <stateOrProvinceName>, <localityName>, <streetAddress>

* Доверенное лицо удостоверяющего центра: <surname>, <givenName>

Номер квалифицированного сертификата удостоверяющего центра: <authorityKeyIdentifier.authorityCertSerialNumber>

Наименование средства электронной подписи: <issuerSignTool.signTool>

Реквизиты заключения о подтверждении соответствия средства электронной подписи: <issuerSignTool.signToolCert>

Наименование средства удостоверяющего центра: <issuerSignTool.cATool>

Реквизиты заключения о подтверждении соответствия средства удостоверяющего центра: <issuerSignTool.cAToolCert>

Класс средств удостоверяющего центра: <certificatePolicies>

Сведения о ключе проверки электронной подписи

Используемый алгоритм: <algorithm>

* Используемое средство электронной подписи: <subjectSignTool>

Класс средства электронной подписи: <certificatePolicies>

Область использования ключа: <keyUsage>

Значение ключа: <subjectPublicKey>

Электронная подпись под квалифицированным сертификатом

Используемый алгоритм: <algorithmIdentifier>

Значение электронной подписи: <encrypted>

Символом “*” отмечены поля, которые в квалифицированном сертификате могут отсутствовать.

Приложение N 2к Требованиям (п. 32)

Общий вид квалифицированного сертификата на бумажном носителе для владельца – физического лица, являющегося индивидуальным предпринимателем

(в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

Сведения о владельце квалифицированного сертификата

Фамилия, имя, отчество: <commonName>

Страховой номер индивидуального лицевого счета: <SNILS>

Индивидуальный номер налогоплательщика: <INN>

Основной государственный регистрационный номер индивидуального предпринимателя: <OGRNIP>

Тип идентификации при выдаче сертификата: <identificationKind>

Сведения об издателе квалифицированного сертификата

Наименование удостоверяющего центра: <commonName>

Место нахождения удостоверяющего центра: <countryName>, <stateOrProvinceName>, <localityName>, <streetAddress>

* Доверенное лицо удостоверяющего центра: <surname>, <givenName>

Номер квалифицированного сертификата удостоверяющего центра: <authorityKeyIdentifier.authorityCertSerialNumber>

Наименование средства электронной подписи: <issuerSignTool.signTool>

Реквизиты заключения о подтверждении соответствия средства электронной подписи: <issuerSignTool.signToolCert>

Наименование средства удостоверяющего центра: <issuerSignTool.cATool>

Реквизиты заключения о подтверждении соответствия средства удостоверяющего центра: <issuerSignTool.cAToolCert>

Класс средств удостоверяющего центра: <certificatePolicies>

Сведения о ключе проверки электронной подписи

Используемый алгоритм: <algorithm>

* Используемое средство электронной подписи: <subjectSignTool>

Класс средства электронной подписи: <certificatePolicies>

Область использования ключа: <keyUsage>

Значение ключа: <subjectPublicKey>

Электронная подпись под квалифицированным сертификатом

Используемый алгоритм: <algorithmIdentifier>

Значение электронной подписи: <encrypted>

* Символом “*” отмечены поля, которые в квалифицированном сертификате могут отсутствовать.

Общий вид квалифицированного сертификата на бумажном носителе для владельца – юридического лица

(в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

Номер квалифицированного сертификата: <serialNumber>

Сведения о владельце квалифицированного сертификата

Наименование юридического лица: <commonName>

Основной государственный регистрационный номер: <OGRN>

Идентификационный номер налогоплательщика: <INNLE> (в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

Место нахождения юридического лица: <countryName>,

* Уполномоченный представитель юридического лица: <title> <surname>

Тип идентификации при выдаче сертификата: <identificationKind> (в ред. Приказа ФСБ РФ от 29.01.2021 N 31)

Сведения об издателе квалифицированного сертификата

Наименование удостоверяющего центра: <commonName>

Место нахождения удостоверяющего центра: <countryName>, <stateOrProvinceName>, <localityName>, <streetAddress>

* Доверенное лицо удостоверяющего центра: <surname>, <givenName>

Номер квалифицированного сертификата удостоверяющего центра:

Наименование средства электронной подписи: <issuerSignTool.signTool>

Реквизиты заключения о подтверждении соответствия средства электронной подписи: <issuerSignTool.signToolCert>

Наименование средства удостоверяющего центра: <issuerSignTool.cATool>

Реквизиты заключения о подтверждении соответствия средства удостоверяющего центра: <issuerSignTool.cAToolCert>

Класс средств удостоверяющего центра: <certificatePolicies>

Сведения о ключе проверки электронной подписи

Используемый алгоритм: <algorithm>

* Используемое средство электронной подписи: <subjectSignTool>

Класс средства электронной подписи: <certificatePolicies>

Область использования ключа: <keyUsage>

Значение ключа: <subjectPublicKey>

Электронная подпись под квалифицированным сертификатом

Используемый алгоритм: <algorithmIdentifier>

Значение электронной подписи: <encrypted>

Символом “*” отмечены поля, которые в квалифицированном сертификате могут отсутствовать.

Приложение N 3к Требованиям (п. 32)

Откуда берутся сертификаты?

Еще совсем недавно было всего 2 способа заполучить X.509 сертификат, но времена меняются и с недавнего времени есть и третий путь.

1. Создать свой собственный сертификат и самому же его подписать. Плюсы — это бесплатно, минусы — сертификат будет принят лишь вами и, в лучшем случае, вашей организацией.

   

2. Приобрести сертификат в УЦ. Это будет стоить денег в зависимости от различных его характеристик и возможностей, указанных выше.
3. Получить бесплатный сертификат LetsEncrypt, доступны только самые простые DV сертификаты.

Для первого сценария достаточно пары команд и чтобы 2 раза не вставать создадим сертификат с алгоритмом эллиптических кривых. Первым шагом нужно создать закрытый ключ. Считается, что шифрование с алгоритмом эллиптических кривых дает больший выхлоп, если измерять в тактах CPU, либо байтах длины ключа. Поддержка ECC не определена однозначно в TLS < 1.2.

openssl ecparam -name secp521r1 -genkey -param_enc explicit -out private-key.pem

Далее, создает CSR — запрос на подписание сертификата.

openssl req -new -sha256 -key private.key -out server.csr -days 730

И подписываем.

openssl x509 -req -sha256 -days 365 -in server.csr -signkey private.key -out public.crt

Результат можно посмотреть командой:

openssl x509 -text -noout -in public.crt

Openssl имеет огромное количество опций и команд. Man страница не очень полезна, справочник удобнее использовать так:

openssl -help
openssl x509 -help
openssl s_client -help

Ровно то же самое можно сделать с помощью java утилиты keytool.

keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360 -keysize 2048

Следует серия вопросов, чтобы было чем запомнить поля owner и issuer

What is your first and last name?
What is the name of your organizational unit?
What is the name of your organization?
What is the name of your City or Locality?
What is the name of your State or Province?
What is the two-letter country code for this unit?
Is CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU correct?

Конвертируем связку ключей из проприетарного формата в PKCS12.

keytool -importkeystore -srckeystore keystore.jks -destkeystore keystore.jks -deststoretype pkcs12

Смотрим на результат:

Alias name: selfsigned
Creation date: 20.01.2021
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Issuer: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Serial number: 1f170cb9
Valid from: Sat Jan 20 18:33:42 MSK 2021 until: Tue Jan 15 18:33:42 MSK 2021
Certificate fingerprints:
     MD5:  B3:E9:92:87:13:71:2D:36:60:AD:B5:1F:24:16:51:05
     SHA1: 26:08:39:19:31:53:C5:43:1E:ED:2E:78:36:43:54:9B:EA:D4:EF:9A
     SHA256: FD:42:C9:6D:F6:2A:F1:A3:BC:24:EA:34:DC:12:02:69:86:39:F1:FC:1B:64:07:FD:E1:02:57:64:D1:55:02:3D

Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 30 95 58 E3 9E 76 1D FB   92 44 9D 95 47 94 E4 97  0.X..v...D..G...
0010: C8 1E F1 92                                        ....
]
]

Значению ObjectId: 2.5.29.14 соответствует определение ASN.1, согласно RFC 3280 оно всегда non-critical. Точно так же можно узнать смысл и возможные значения других ObjectId, которые присутствуют в сертификате X.509.

subjectKeyIdentifier EXTENSION ::= {
    SYNTAX SubjectKeyIdentifier
    IDENTIFIED BY id-ce-subjectKeyIdentifier
}

SubjectKeyIdentifier ::= KeyIdentifier

Правила хранения и защиты эп

Самым безопасным считается хранение ключа электронной подписи на специальном носителе – токене. Чаще всего, это флешка со встроенной внутри криптозащитой сертификата и паролем. Но даже в этом случае такой носитель рекомендуется хранить в сейфе. На одном токене может быть записано несколько сертификатов ЭП.

Если вы используете электронную подпись только на одном, рабочем, ноутбуке или ПК, то сертификат может быть записан в реестре Windows, конечно, при условии, что вход в компьютер осуществляется также с паролем.

Обязанность защиты сертификата лежит на его владельце. При подозрении на компрометацию ключа нужно сразу же проинформировать об этом свой удостоверяющий центр, чтобы специалисты могли отозвать ЭП.

Отозвать сертификат можно по заявлению, лично посетив удостоверяющий центр. Как правило, отзыв происходит в течение нескольких часов. Проверить, действителен ли потерянный сертификат можно в реестре отозванных сертификатов.

Относится к безопасности ключа проверки электронной подписи нужно очень серьёзно. Допустим, вы директор компании и ваш сертификат был украден. В этом случае злоумышленник сможет вывести деньги со счёта вашей компании, удалённо оформить на ваше имя ИП или ООО, заключить от вашего лица сомнительную сделку или оформить кредит.

Удостоверяющий центр Такском – крупнейший удостоверяющий центр страны. Партнёры Такском, имеющие право выдавать ключи электронной подписи, присутствуют во всех регионах России. УЦ Такском поможет оформить сертификаты ЭП для физических и юридических лиц, для участия в государственных торгах и работы на коммерческих электронных площадках, для работы с электронной отчётностью и электронным документооборотом, для регистрации онлайн-кассы и в системе маркировки «Честный ЗНАК».

Специалисты удостоверяющего центра проконсультируют вас, подберут нужный сертификат и носитель, ответят на все вопросы и помогут с установкой.

Для корпоративных клиентов существует сервис Такском-Управление Сертификатами, который обеспечит быстрый выпуск и отзыв сертификатов внутри компании в соответствии со всеми нормами законодательства. В пределах Москвы и Московской области компания Такском организовала для вас выездное обслуживание.

Роль аккредитованного удостоверяющего центра

Как уже было сказано выше, сертификат ключа проверки ЭП выдает УЦ в электронном или бумажном виде. УЦ, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным УЦ и получает право выдавать квалифицированные сертификаты.

При выдаче квалифицированного сертификата аккредитованный УЦ должен не только установить личность обратившегося лица, но и внести в специальную базу данных (реестр сертификатов) серию, номер и дату выдачи документа, использовавшегося для установления личности.

Аккредитованный УЦ должен регулярно публиковать специальную выписку из реестра сертификатов, содержащую номера квалифицированных сертификатов, которые прекратили действие по решению суда или по обращению владельца сертификата.

Подробно об обязанностях и функционале аккредитованного УЦ говорится в ст. 15 Федерального закона от 06.04.2021 № 63-ФЗ.Чтобы получить ЭП, для начала нужно определить, какой сертификат ЭП вам нужен для работы, с какой целью вы будете его использовать.

Подготовить необходимые документы перед визитом в центр выдачи можно с помощью мастера подбора документов.

Для получения сертификата придется лично прийти в центр выдачи с оригиналами документов или их заверенными копиями, оплаченным счетом или копией платежного поручения, заверенной банком.

Словарный запас

Определение X.509 сертификатов есть в архиве ITU-T

Certificate  ::=  SEQUENCE  {
     tbsCertificate       TBSCertificate,
     signatureAlgorithm   AlgorithmIdentifier,
     signatureValue       BIT STRING  }

TBSCertificate  ::=  SEQUENCE  {
     version         [0]  EXPLICIT Version DEFAULT v1,
     serialNumber         CertificateSerialNumber,
     signature            AlgorithmIdentifier,
     issuer               Name,
     validity             Validity,
     subject              Name,
     subjectPublicKeyInfo SubjectPublicKeyInfo,
     issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3

Для того, чтобы досконально понять обозначения и синтаксис, придется читать спеки X.680 редакции 2008 г., где есть полное описание ASN.1. В понятиях ASN.1SEQUENCE обозначает примерно то же самое, что и struct в Си. Это может сбить с толку, ведь по семантике оно должно было соответствовать скорее массиву. И тем не менее.

Стандарт X.690 определяет следующие правила кодирования структур данных, созданных в соответствии с ASN.1: BER (Basic Encoding Rules), CER (Canonical Encoding Rules), DER (Distinguished Encoding Rules). Есть даже XER (XML Encoding Rules), который на практике мне никогда не встречался.

Да, но для чего нужны сертификаты X.509, которые доставляют столько головной боли? Первая и основная функция сертификатов X.509 — служить хранилищем открытого или публичного ключа PKI (public key infrastructure). К этой функции нареканий нет, а вот со второй не все так однозначно.

Вторая функция сертификатов X.509 заключается в том, чтобы предъявитель сего был принят человеком, либо программой в качестве истинного владельца некоего цифрового актива: доменного имени, веб сайта и пр. Это получается по-разному, далеко не все сертификаты имеют высокую ликвидность, если пользоваться финансовой терминологией.

Установка сертификата

Наиболее часто для работы с ЭП используется система КриптоПро. Установка сертификата осуществляется в ней в 3 шага:

1. Запустить программу, переключиться на вкладку «Сервис» и нажать кнопку «Посмотреть сертификаты в контейнере». Перед началом установки необходимо подключить защищенный носитель к USB-порту ПК. Если драйвера для ключевого носителя не были инсталлированы заранее, то их также обычно придется установить.
2. Найти нужный контейнер. Для выбора контейнеров следует воспользоваться кнопкой «Обзор».
3. Перейти к просмотру сертификата и выбрать кнопку «Установить». Предварительно имеет смысл просмотреть информацию о сертификате и убедиться, что сделан правильный выбор.

При наличии файла ключа на флэшке или другом носителе его установка осуществляется с помощью следующих действий:

1. Открыть программу КриптоПро CSP и на вкладке «Сервис» нажать кнопку «Установить сертификат».
2. Выбрать файл сертификата на компьютере или внешнем носителе.
3. Выбрать в мастере установки автоматический поиск ключевого контейнера.
4. Поставить галочку для установки сертификата в контейнер и завершить операцию.

Сертификат проверки электронной подписи – важный элемент. Он нужен для проверки подписанта и отсутствия изменений в документе. Только при правильной установке сертификата получится использовать ЭП для документооборота.