Сертификат ключа проверки электронной подписи (ЭЦП)

Сертификат ключа проверки электронной подписи (ЭЦП) Электронная цифровая подпись
На чтение 25 мин. Просмотров 156 Опубликовано
Содержание
  1. Обоснование
  2. Как работает квалифицированная электронная подпись
  3. Правила хранения и защиты эп
  4. Признание незаконной электронной цифровой подписи в судебном порядке
  5. Судебная практика: бухгалтерский учет ключа электронной подписи
  6. Удостоверяющий центр
  7. Электронная цифровая подпись для чайников: с чем ее есть, и как не подавиться. часть 1

Обоснование

По вашему вопросу в СПС КонсультантПлюс представлены следующие материалы.

Извлечение из: {Готовое решение: По какому коду видов расходов и статье КОСГУ отразить расходы на приобретение ключа электронной подписи и сертификата к нему (КонсультантПлюс, 2020) {КонсультантПлюс}}

По какому коду видов расходов и статье КОСГУ отразить расходы на приобретение ключа электронной подписи и сертификата к нему

Это зависит от предмета договора (контракта), заключенного с удостоверяющим центром.

Как правило, приобретение ЭП включает в себя оплату следующих услуг:

3) создание электронной подписи, которое предполагает:

– изготовление ключа ЭП. Он может передаваться и на материальном usb-носителе – токене (eToken, Rutoken, ESMART Token);

– выдачу сертификата ключа проверки ЭП (в отдельных случаях);

4) передачу неисключительных прав (лицензии) на использование программного обеспечения для работы с ЭП.

Такие расходы отражайте по подстатье 226 “Прочие работы, услуги” КОСГУ и одному из следующих кодов видов расходов (Порядки N N 85н, 209н):

Если же usb-носитель для ключа ЭП приобретаете отдельно по договору поставки, то его стоимость отразите по статье 310 КОСГУ или подстатье 346 КОСГУ в зависимости от того, к основному средству или материальному запасу его отнесете (с учетом срока полезного использования).

При оплате сертификата ключа проверки ЭП расходы отразите по подстатье 226 “Прочие работы, услуги”.

С 01.01.2021 для отражения расходов на приобретение лицензионных прав вместо подстатьи 226 КОСГУ применяйте с учетом срока использования (Порядок N 209н):

Основание – п. п. 11.5.2, 11.5.3 Порядка N 209н, Письмо Минфина России от 29.06.2021 N 02-05-10/45153.

________________________________________________________________________________

Извлечение из: Готовое решение: Как учреждению отразить в учете расходы на приобретение электронной подписи (КонсультантПлюс, 2020) {КонсультантПлюс}

  1. Как в бухгалтерском (бюджетном) учете отразить расходы на приобретение ключа электронной подписи и сертификата к нему

Расходы на приобретение ЭП могут включать в себя оплату следующих услуг:

1) создание ЭП, которое предполагает:

2) передача неисключительных прав (лицензии) на использование ПО для работы с ЭП.

Обычно вышеуказанные расходы осуществляются в рамках одного лицензионного договора. В этом случае отражайте их в учете аналогично расходам на приобретение лицензионного ПО.

Оплата таких услуг, как правило, производится в виде фиксированного разового платежа и не предполагает поэтапную сдачу товаров (работ, услуг). Поэтому на дату заключения лицензионного договора отнесите их на расходы будущих периодов по дебету счета 0 401 50 000 с последующим отнесением на финансовый результат (затраты) текущего года (п. 302 Инструкции N 157н).

Одновременно полученные в пользование права учтите на забалансовом счете 01. Списать их с забалансового учета можно только по истечении срока действия лицензионного договора или по иным предусмотренным законом основаниям (п. п. 66, 333 Инструкции N 157н).

Расходы будущих периодов списывайте на финансовый результат (затраты) текущего года на основании бухгалтерской справки (ф. 0504833) в порядке и сроки, предусмотренные учетной политикой. Например, ежемесячно в течение срока действия договора (п.

Для отражения расходов на приобретение ЭП оформите бухгалтерские записи:

в бухгалтерском учете бюджетного учреждения

1. Применяется соответствующий код КОСГУ.

2. Одновременно отразите запись по забалансовому счету 18 (п. 367 Инструкции N 157н).

3. Применяется соответствующий код группы синтетического счета.

Расходы на приобретение ЭП можно единовременно списать на расходы (затраты) текущего финансового года только в случаях, предусмотренных учетной политикой. Например, если по договору ЭП будет использоваться в течение одного отчетного периода (п.

Обратите внимание: если ключевой usb-носитель (токен или флешку) приобретаете в рамках отдельного договора поставки, то примите его к учету в составе основных средств или материальных запасов. К какой группе нефинансовых активов вы будете относить носитель, установите в учетной политике (п. п. 38, 99 Инструкции N 157н).

В этом случае передачу ключа в личное пользование работнику для выполнения им служебных обязанностей (в том числе за пределами территории учреждения и вне продолжительности рабочего времени) отразите в учете как внутреннее перемещение между ответственными лицами с одновременным отражением usb-носителя на забалансовом счете 27 (п. п.

Как работает квалифицированная электронная подпись

Технически КЭП — сгенерированный файл с уникальной последовательностью цифр, который прикрепляется к документу.

Электронная подпись состоит из трех компонентов:

  • закрытого ключа, который генерирует электронную подпись;
  • открытого ключа для проверки подлинности подписи;
  • сертификата ЭП с данными о владельце подписи и об удостоверяющем центре.

Закрытый ключ — набор символов, с помощью которого создается уникальная электронная подпись для документа. Закрытый ключ можно хранить на компьютере, диске, флешке, в облаке, но лучше всего использовать токен.

Токен — специальный USB-носитель для электронной подписи. Внешне он похож на обычную флешку. В токен встроена защищенная карта памяти, поэтому использовать его безопаснее: никто не сможет взломать или перехватить вашу подпись в интернете.

Открытый ключ содержит публичную информацию. По нему получатель документа может проверить подлинность подписи и целостность документа.

Для работы с подписью нужна специальная программа — СКЗИ, средство криптографической защиты информации. Она шифрует и дешифрует электронные документы. Есть разные СКЗИ: КриптоПро CSP, Signal-COM CSP, ЛИССИ-CSP, VipNet CSP. Когда пойдете получать подпись, в удостоверяющем центре расскажут, какую программу нужно будет использовать.

Подписание документа, по сути, процесс взаимодействия открытого и закрытого ключей. К примеру, вы хотите отправить договор партнеру через систему электронного документооборота (ЭДО). Упрощенно, процесс такой:

  1. Вы подписываете документ в системе. С помощью СКЗИ для договора создается хэш-сумма — уникальная последовательность цифр, которая генерируется на основе содержания документа.
  2. Хэш-сумма шифруется с помощью закрытого ключа. Это и есть уникальная подпись договора.
  3. Вы отправляете зашифрованный документ партнеру через систему ЭДО. Этот документ передается вместе с подписью и данными сертификата, где указан открытый ключ.
  4. Партнер получает документ. С помощью открытого ключа он расшифровывает документ. СКЗИ на стороне получателя тоже вычисляет хэш-сумму и сравнивает ее с той, которую вы зашифровали при подписании документа.

Если эти две последовательности чисел совпадают, подпись верна, договор подписан и имеет юридическую силу. Если не совпадают, значит, документ меняли после подписания: подпись признается недействительной, а договор не имеет юридической силы.

Правила хранения и защиты эп

Самым безопасным считается хранение ключа электронной подписи на специальном носителе – токене. Чаще всего, это флешка со встроенной внутри криптозащитой сертификата и паролем. Но даже в этом случае такой носитель рекомендуется хранить в сейфе. На одном токене может быть записано несколько сертификатов ЭП.

Если вы используете электронную подпись только на одном, рабочем, ноутбуке или ПК, то сертификат может быть записан в реестре Windows, конечно, при условии, что вход в компьютер осуществляется также с паролем.

Обязанность защиты сертификата лежит на его владельце. При подозрении на компрометацию ключа нужно сразу же проинформировать об этом свой удостоверяющий центр, чтобы специалисты могли отозвать ЭП.

Отозвать сертификат можно по заявлению, лично посетив удостоверяющий центр. Как правило, отзыв происходит в течение нескольких часов. Проверить, действителен ли потерянный сертификат можно в реестре отозванных сертификатов.

Относится к безопасности ключа проверки электронной подписи нужно очень серьёзно. Допустим, вы директор компании и ваш сертификат был украден. В этом случае злоумышленник сможет вывести деньги со счёта вашей компании, удалённо оформить на ваше имя ИП или ООО, заключить от вашего лица сомнительную сделку или оформить кредит.

Удостоверяющий центр Такском – крупнейший удостоверяющий центр страны. Партнёры Такском, имеющие право выдавать ключи электронной подписи, присутствуют во всех регионах России. УЦ Такском поможет оформить сертификаты ЭП для физических и юридических лиц, для участия в государственных торгах и работы на коммерческих электронных площадках, для работы с электронной отчётностью и электронным документооборотом, для регистрации онлайн-кассы и в системе маркировки «Честный ЗНАК».

Читайте также:  Как переустановить эцп на сбербанк аст

Специалисты удостоверяющего центра проконсультируют вас, подберут нужный сертификат и носитель, ответят на все вопросы и помогут с установкой.

Для корпоративных клиентов существует сервис Такском-Управление Сертификатами, который обеспечит быстрый выпуск и отзыв сертификатов внутри компании в соответствии со всеми нормами законодательства. В пределах Москвы и Московской области компания Такском организовала для вас выездное обслуживание.

Признание незаконной электронной цифровой подписи в судебном порядке

1.ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика конфиденциальности в отношении обработки персональных данных пользователей сайта https://www.ecpexpert.ru/ (далее – Политика конфиденциальности) разработана и применяется в ООО Юридическая фирма «Двитекс», ОГРН 1107746800490, г. Москва, пер. Голутвинский 1-й, дом 3-5, оф 4-1 (далее – Оператор) в соответствии с пп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – Закон о персональных данных).

1.2. Настоящая Политика конфиденциальности определяет политику Оператора в отношении обработки персональных данных, принятых на обработку, порядок и условия осуществления обработки персональных данных физических лиц, передавших свои персональные данные для обработки Оператору (далее – субъекты персональных данных) с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.3. Политика конфиденциальности разработана с целью обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности должностных лиц Оператора, имеющих доступ к персональным данным субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных.

1.4. Персональные данные Субъекта персональных данных – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

1.5. Оператор осуществляет обработку следующих персональных данных Пользователей:

  • Фамилия, Имя, Отчество;
  • Адрес электронной почты;
  • Номер телефона;
  • иные данные, необходимые Оператору при оказании услуг Пользователям, для обеспечения функционирования Сайта.

1.6. Оператор осуществляет обработку персональных данных Субъектов персональных данных в следующих целях:

  • обеспечение возможности обратной связи от Специалистов Оператора по запросам Пользователей;
  • обеспечение возможности онлайн оплаты заказанных на Сайте услуг;
  • обеспечения исполнения обязательств Оператора перед Пользователями;
  • в целях исследования рынка;
  • информирования Субъекта персональных данных об акциях, конкурсах, специальных предложениях, о новых услугах, скидок, рекламных материалов и других сервисов, а также получения коммерческой или рекламной информации и бесплатной продукции, участия в выставках или мероприятиях, выполнения маркетинговых исследований и уведомления обо всех специальных инициативах для клиентов;
  • статистических целях;
  • в иных целях, если соответствующие действия Оператора не противоречат действующему законодательству, деятельности Оператора, и на проведение указанной обработки получено согласие Субъекта персональных данных.

1.7. Оператор осуществляет обработку персональных данных субъектов персональных данных посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. При обработке персональных данных Оператор руководствуется следующими принципами:

  • законности и справедливости;
  • конфиденциальности;
  • своевременности и достоверности получения согласия субъекта персональных данных на обработку персональных данных;
  • обработки только персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
  • уничтожения либо обезличивания персональных данных по достижению целей, их обработки или в случае утраты необходимости в достижении этих целей.

2.2. Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, предусмотренных:

  • Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных»;
  • Настоящей Политикой конфиденциальности;
  • Всеобщей Декларацией прав человека 1948 года;
  • Международного пакта о гражданских и политических правах 1966 года;
  • Европейской конвенции о защите прав человека и основных свобод 1950 года;
  • Положениями Конвенции Содружества Независимых Государств о правах и основных свободах человека (Минск, 1995 год), ратифицированной РФ 11.08.1998 года;
  • Положениями Окинавской Хартии глобального информационного общества, принятой 22.07.2000 года;
  • Постановлением Правительства РФ от 01.11.2021 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказом ФСТЭК России от 18.02.2021 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Иными нормативными и ненормативными правовыми актами, регулирующими вопросы обработки персональных данных.

3. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

3.1. Персональные данные субъектов персональных данных получаются Оператором:

  • путем предоставления субъектом персональных данных при регистрации на Сайте, при подаче заявок, заявлений, анкет, бланков, заполнении регистрационных форм на сайте Оператора или направления по электронной почте, сообщения по телефону службы поддержки Оператора;
  • иными способами, не противоречащими законодательству РФ и требованиям международного законодательства о защите персональных данных.

3.2. Оператор получает и начинает обработку персональных данных Субъекта с момента получения его согласия.

3.3. Согласие на обработку персональных данных дается субъектом персональных данных с момента начала использования сайта, в том числе, путем проставления отметок в графах «Я согласен на обработку персональных данных, с условиями и содержанием политики конфиденциальности», посредством совершения субъектом персональных данных конклюдентных действий.

3.4. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных. Для отзыва согласия на обработку персональных данных, необходимо подать соответствующее заявление Оператору по доступным средствам связи. При этом Оператор должен прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва.

3.5. В случае отзыва Субъектом персональных данных согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия Субъекта персональных данных только при наличии оснований, указанных в Законе о персональных данных.

3.6. Субъект персональных данных вправе выбрать, какие именно персональные данные будут им предоставлены. Однако, в случае неполного предоставления необходимых данных Оператор не гарантирует возможность субъекта использовать все сервисы и продукты Сайта, пользоваться всеми услугами Сайта.

3.7. Субъект персональных данных в любой момент может просматривать, обновлять или удалять любые персональные данные, которые включены в его профиль. Для этого он может отредактировать свой профиль в режиме онлайн в личном кабинете или отправить электронное письмо по адресу [email protected].

4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор принимает технические и организационно-правовые меры в целях обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

4.2. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона «О персональных данных», Постановлением Правительства РФ от 01.11.2021 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК РФ 14.02.2008 г., Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных ФСБ РФ 21.02.2008 г. № 149/54-144.

Читайте также:  Основные отличия квалифицированной электронной подписи от неквалифицированной

4.3. Для авторизации доступа к Сайту используется Логин и Пароль. Ответственность за сохранность данной информации несет субъект персональных данных. Субъект персональных данных не вправе передавать собственный Логин и Пароль третьим лицам, а также обязан предпринимать меры по обеспечению их конфиденциальности.

4.4. При передаче персональных данных Оператор соблюдает следующие требования:

  • не сообщает персональные данные субъекта персональных данных третьей стороне без выраженного согласия, за исключением случаев, когда это необходимо в целях обработки персональных данных, предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством;
  • не сообщает персональные данные в коммерческих целях без выраженного согласия субъекта персональных данных;
  • информирует лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц принятия надлежащих мер по защите персональных данных. Лица, получающие персональные данные Пользователя, обязаны соблюдать режим конфиденциальности;
  • разрешает доступ к персональным данным только уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

4.5. Оператор вправе раскрыть любую собранную о Пользователе данного Сайта информацию, если раскрытие необходимо в связи с расследованием или жалобой в отношении неправомерного использования Сайта, либо для установления (идентификации) Пользователя, который может нарушать или вмешиваться в права Администрации сайта или в права других Пользователей Сайта, а также для выполнения положений действующего законодательства или судебных решений, обеспечения выполнения условий настоящего Соглашения, защиты прав или безопасности иных Пользователей и любых третьих лиц.

4.6. Третьи лица самостоятельно определяют перечень иных лиц (своих сотрудников), имеющих непосредственный доступ к таким персональным данным и (или) осуществляющих их обработку. Перечень указанных лиц, а также порядок доступа и(или) обработки ими персональных данных утверждается внутренними документами Третьего лица.

4.7. Оператор не продаёт и не предоставляет персональные данные третьим лицам для маркетинговых целей, не предусмотренных данной Политикой конфиденциальности, без прямого согласия субъектов персональных данных. Оператор может объединять обезличенные данные с иной информацией, полученной от третьих лиц, и использовать их для совершенствования и персонификации услуг, информационного наполнения и рекламы.

4.8. Обработка персональных данных производится на территории Российской Федерации, трансграничная передача персональных данных не осуществляется. Оператор оставляет за собой право выбирать любые каналы передачи информации о персональных данных, а также содержания передаваемой информации.

4.9. Личная информация, собранная онлайн, хранится у Оператора и/или поставщиков услуг в базах данных, защищенных посредством физических и электронных средств контроля, технологий системы ограничения доступа и других приемлемых мер обеспечения безопасности.

4.10. Субъект персональных данных осознаёт, подтверждает и соглашается с тем, что техническая обработка и передача информации на Сайте Оператора может включать в себя передачу данных по различным сетям, в том числе по незашифрованным каналам связи сети Интернет, которая никогда не является полностью конфиденциальной и безопасной.

4.11. Субъект персональных данных также понимает, что любое сообщения и/или информация, отправленные посредством Сервера Оператора, могут быть несанкционированно прочитаны и/или перехвачены третьими лицами.

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

5.1. В случае возникновения любых споров или разногласий, связанных с исполнением настоящих Правил, Субъект персональных данных и Оператор приложат все усилия для их разрешения путем проведения переговоров между ними. В случае, если споры не будут разрешены путем переговоров, споры подлежат разрешению в порядке, установленном действующим законодательством Российской Федерации.

5.2. Настоящие Политика конфиденциальности вступают в силу для Субъекта персональных данных с момента начала использования Сайта Оператора и действует в течение неопределенного срока.

5.3. Настоящие Политика конфиденциальности могут быть изменены и/или дополнены Оператором в любое время в течение срока действия Правил по своему усмотрению без необходимости получения на то согласия Субъекта персональных данных. Все изменения и/или дополнения размещаются Оператором в соответствующем разделе Сайта и вступают в силу в день такого размещения. Субъект персональных данных обязуется своевременно и самостоятельно знакомиться со всеми изменениями и/или дополнениями. При несогласии Субъекта персональных данных с внесенными изменениями он обязан отказаться от доступа к Сайту, прекратить использование материалов и сервисов Сайта.

Судебная практика: бухгалтерский учет ключа электронной подписи

Открыть документ в вашей системе КонсультантПлюс:
Определение Девятого кассационного суда общей юрисдикции от 01.07.2021 N 88-4997/2021 по делу N 2-613/2020
Категория спора: 1) Неосновательное обогащение, возникающее из внедоговорных отношений; 2) Защита прав и интересов работника.
Требования заявителя: 1) О взыскании неосновательного обогащения; 2) О взыскании процентов за пользование чужими денежными средствами.
Требования: 3) Об установлении факта трудовых отношений.
Обстоятельства: Истец указал, что он не имел намерения передать денежные средства ответчику либо одарить его, не заключал каких-либо договоров. Ответчик предъявила встречный иск об установлении факта трудовых отношений, утверждает, что работала в должности главного бухгалтера.
Решение: 1) – 3) Отказано.
Процессуальные вопросы: О возмещении расходов по уплате государственной пошлины – отказано.Отменяя решение суда в части установления факта трудовых отношений с Е. и отказывая ей в иске, суд апелляционной инстанции, учитывая положения Федерального закона от 6 декабря 2021 года N 402-ФЗ “О бухгалтерском учете”, указал, что материалы дела не содержат первичных документов, регистров бухгалтерского учета, бухгалтерскую (финансовую) отчетность, которая составлялась бы Е., как главным бухгалтером ООО “СА”. Отклоняя довод Е. о возложении на нее в силу служебного положения обязанности по организации и ведению бухгалтерского учета, предоставления доступа к программе для сдачи отчетности, доступа к ключу электронной цифровой подписи для заверения электронных платежных документов, суд второй инстанции исходил из того, что данные обстоятельства не свидетельствует о трудовых отношениях, поскольку названные документы составлялись при исполнении договора управления между ООО “СА” и ООО Д”. Судом также отмечено, что из пояснений Е., данных в ходе проведения проверки СУ УМВД России по Хабаровскому краю (КУСП от 9 ноября 2021 года) по заявлению руководителя ООО Д”, следует, что с 2021 года по март 2021 года она работала в должности главного бухгалтера ООО Д” и по предложению директора Общества Л. с Е. как индивидуальным предпринимателем был заключен договор на оказание услуг сверх трудовых обязанностей главного бухгалтера. Учитывая, что факт допуска истца к работе в ООО “СА” с ведома или по поручению работодателя материалами дела не подтвержден, оснований для удовлетворения исковых требований у суда не имелось.

Удостоверяющий центр

Удостоверяющий центр АО «Россельхозбанк» предназначен для оказания услуг по созданию, публикации и аннулированию сертификатов ключей проверки электронной подписи, а также для предоставления иных услуг, соответствующих положениям Федерального закона от 06.04.2021 № 63-ФЗ «Об электронной подписи». В рамках своей деятельности Удостоверяющий центр АО «Россельхозбанк» осуществляет следующие функции:

  • регистрация Субъектов информационного обмена;

  • создает сертификаты ключей проверки электронной подписи и выдает такие сертификаты по обращению заявителям;

  • устанавливает сроки действия сертификатов ключей проверки электронной подписи;

  • аннулирует выданные Удостоверяющим центром АО «Россельхозбанк» сертификаты ключей проверки электронной подписи Субъектов информационного обмена;

  • приостанавливает и возобновляет действие выданных Удостоверяющим центром АО «Россельхозбанк» сертификатов ключей проверки электронной подписи Субъектов информационного обмена по обращениям их владельцев;

  • выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные Удостоверяющим центром АО «Россельхозбанк») или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;

    Читайте также:  Примерная форма акта приема-передачи сертификата ключа проверки электронной подписи (подготовлено экспертами компании "Гарант") | ГАРАНТ

  • ведет реестр выданных и аннулированных Удостоверяющим центром АО «Россельхозбанк» сертификатов ключей проверки электронной подписи (далее – реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных Удостоверяющим центром АО «Россельхозбанк» сертификатах ключей проверки электронной подписи, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронной подписи и об основаниях таких прекращения или аннулирования;

  • устанавливает порядок ведения реестра неквалифицированных сертификатов и порядок доступа к нему, а также обеспечивает доступ участников электронного взаимодействия к информации, содержащейся в реестре сертификатов, в том числе с использованием информационно-телекоммуникационной сети «Интернет»;

  • создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей и записывает их на функциональный ключевой носитель;

  • проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;

  • устанавливает порядок проверки электронной подписи;

  • изготавливает и публикует актуальный список аннулированных сертификатов, обеспечивает возможность свободного доступа участников электронного взаимодействия к списку аннулированных сертификатов;

  • осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;

    осуществляет иную связанную с использованием электронной подписи деятельность.

    • Электронная цифровая подпись для чайников: с чем ее есть, и как не подавиться. часть 1

    Итак, все чаще в кругах, работающих с документами все чаще звучат слова «электронный документ» и, связанное с ним почти неразрывно «электронная цифровая подпись», иначе — ЭЦП.

    Данный цикл статей предназначен для того, чтобы раскрыть «тайное знание» о том, что это такое, когда и как это можно и нужно использовать, какие есть плюсы и минусы.

    Естественно, статьи пишутся не для специалистов по криптографии, а для тех, кто эту самую криптографию будет использовать, или же только начинает ее изучение, желая стать специалистом, поэтому я старался максимально упростить понимание всего процесса, приводя аналогии и рассматривая примеры.

    Зачем нам вообще что-то подписывать? Естественно, чтобы удостоверить, что мы ознакомились с содержимым, согласны (а иногда наоборот, не согласны) с ним. А электронная подпись еще и защищает наше содержимое от подмены.

    Итак, начать, естественно, стоит с того, что такое электронная цифровая подпись.
    В самом примитивном случае это — результат хэш-функции. Что это такое лучше меня разъяснит википедиа, в нашем же случае главное, что с высокой степенью вероятности ее результат не повторяется для разных исходных данных, а также что результат этой функции мало того, что короче исходных данных, так еще по нему исходную информацию восстановить нельзя. Результат функции называют хэшем, а применение этой функции к данным называют хешированием. Грубо, можно назвать хэш функцию архивированием, в результате чего мы получаем очень маленькую последовательность байт, но восстановить исходные данные из такого «архива» нельзя.

    Итак, мы читаем файлик в память, хэшируем прочитанное. И что, уже получаем ЭЦП? Почти. Наш результат с большой натяжкой можно назвать подписью, но, все же, полноценной подписью он не является, потому что:

    1. Мы не знаем, кто сделал данную подпись

    2. Мы не знаем, когда была сделана подпись

    3. Сама подпись не защищена от подмены никак.

    4. Ну и да, хэш функций много, какая из них использовалась для создания этого конкретного хэша?

    Поэтому применять к хэшу слово «подпись» еще нехорошо, будем называть его дальше просто хэш.

    Вы посылаете ваш файл другому человеку, допустим, по почте, будучи уверенными, что он точно получит и прочитает именно то, что вы послали. Он же, в свою очередь, тоже должен хэшировать ваши данные и сравнить свой результат с вашим. Если они совпали — все хорошо. Это значит что данные защищены? Нет.
    Ведь хэшировать может кто угодно и когда угодно, и вы никогда не докажете, что он хэшировал не то, что вы послали. То есть, если данные будут перехвачены по дороге злоумышленником, или же тот, кому вы посылаете данные — не очень хороший человек, то данные могут быть спокойно подменены и прохэшированы. А ваш получатель (ну или вы, если получатель — тот самый нехороший человек) никогда не узнает, что он получил не то, что вы отправляли, или сам подменил информацию от вас для дальнейшего использования в своих нехороших целях.
    Посему, место для использование чистой хэш функции — транспорт данных в пределах программы или программ, если они умеют общаться между собой. Собственно, с помощью хэш функций вычисляются контрольные суммы. И эти механизмы защищают от случайной подмены данных, но не защищают от специальной.

    Но, пойдем дальше. Нам хочется защитить наш результат хеширования от подмены, чтобы каждый встречный не мог утверждать, что это у него правильный результат. Для этого самое очевидное что (помимо мер административного характера)? Правильно, зашифровать. А ведь с помощью шифрования же можно и удостоверить личность того, кто хэшировал данные! И сделать это сравнительно просто, ведь есть ассиметричное шифрование. Да, оно медленное и тяжелое, но ведь нам всего-то и надо — зашифровать маленькую последовательность байт. Плюсы такого действия очевидны — для того, чтобы проверить нашу подпись, надо будет иметь наш открытый ключ, по которому личность зашифровавшего (а значит, и создавшего хэш) можно легко установить.
    Суть этого шифрования в следующем: у вас есть закрытый ключ, который вы храните у себя. И есть открытый ключ. Открытый ключ вы можете всем показывать и раздавать, а закрытый — нет. Шифрование происходит с помощью закрытого ключа, а расшифровывание — с помощью открытого.
    Приводя аналогию, у вас есть отличный замок и два ключа к нему. Один ключ замок открывает (открытый), второй — закрывает (закрытый). Вы берете коробочку, кладете в нее какую-то вещь и закрываете ее своим замком. Так, как вы хотите, чтобы закрытую вашим замком коробочку открыл ее получатель, то вы открытый, открывающий замок, ключик спокойно отдаете ему. Но вы не хотите, чтобы вашим замком кто-то закрывал коробочку заново, ведь это ваш личный замок, и все знают, что он именно ваш. Поэтому закрывающий ключик вы всегда держите при себе, чтобы кто-нибудь не положил в вашу коробочку мерзкую гадость и не говорил потом, что это вы ее положили и закрыли своим замком.

    И все бы хорошо, но тут сразу же возникает проблема, а, на самом деле, даже не одна.

    1. Надо как-то передать наш открытый ключ, при этом его должна понять принимающая сторона.

    2. Надо как-то связать этот открытый ключ с нами, чтобы нельзя было его присвоить.

    3. Мало того, что ключ надо связать с нами, надо еще и понять, какой зашифрованный хэш каким ключом расшифровывать. А если хэш не один, а их, скажем, сто? Хранить отдельный реестр — очень тяжелая задача.

    Все это приводит нас к тому, что и закрытый ключ, и наш хэш надо хранить в каких-то форматах, которые нужно стандартизировать, распространить как можно шире и уже тогда использовать, чтобы у отправителя и получателя не возникало «трудностей перевода».

    Как водится у людей, к чему-то единому прийти так и не смогли, и образовалось два больших лагеря — формат OpenPGP и формат S/MIME X.509. Но об этом уже в следующей статье.

    Часть 2

    административное гарант документы Законодательство законы информационно-правовое обеспечение кодексы налоги налоговое налогообложение право россия РФ семейное система ГАРАНТ трудовое федеральные законы
    Оцените статью
    ЭЦП Эксперт
    Добавить комментарий

    © 2023 ЭЦП Эксперт