Статья 2. Основные понятия, используемые в настоящем Федеральном законе / КонсультантПлюс

Что нужно для обмена юридически значимыми электронными документами?

Чтобы наладить межкорпоративный документооборот юридически сильными (или юридически значимыми) электронными документами, необходимо решить задачи:

1. подписания ЭП и отправки электронных документов контрагентам;
2. приема и проверки подписи на электронных документах от контрагентов;
3. создания, хранения (в том числе архивного), поиска и обработки подписанных электронных документов;
4. обеспечения юридической значимости документов в процессе архивного хранения.

Первые две задачи отлично решают сервисы межкорпоративного обмена под управлением операторов электронного документооборота. При выборе сервиса необходимо обратить внимание на следующие факторы:

• наличие необходимых лицензий у оператора сервиса обмена;
• возможности интеграции сервиса обмена с вашими корпоративными информационными системами;
• предлагаемые варианты тарификации передачи электронных документов.

Для решения других задач идеально подходят системы электронного документооборота, так как там уже есть необходимый функционал, проверенный временем. Например, система Directum.

Обратите внимание на следующие факторы:

• используемые на текущий момент в компании корпоративные информационные системы (далее – КИС) и их функциональные возможности применительно к решению задач межкорпоративного документооборота;
• возможности интеграции КИС и сервиса обмена;
• стоимость проекта подключения ваших КИС к сервису обмена;
• комплексное решение всех необходимых задач на базе КИС.

Статья 2. основные понятия, используемые в настоящем федеральном законе / консультантплюс

А как у нас?

В России есть несколько стандартов, описывающих национальные алгоритмы ЭП, признаваемые нашим законодательством. Два из них (ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001) в настоящее время не действуют (от 2001 года имеет ограниченное действие в legacy-режиме), рабочим является

. Все УКЭП должны использовать алгоритм ГОСТ Р 34.10-2021 или ГОСТ Р 34.10-2001, чтобы считаться юридически признаваемыми. В целом, наши алгоритмы считаются вполне неплохими, построенными как раз на основе эллиптических кривых (не считая совсем устаревшего от 94 года).

в рамках

— за это плюс в карму.

В какой-то момент наши законодатели стали прибивать УКЭП гвоздями в разные сегменты гражданских отношений в России. Начали, естественно, с одной из самых обираемых групп субъектов — юридических лиц. В целом, идея здравая: перевести документооборот в электронный вид, убрать очереди из разных контролирующих контор, опять же, подорвать бизнес целлюлозных заводов и сохранить природу за счёт снижения объёма бумаги.

Но, так как законы принимаются в том числе без должной проработки и экспертизы (а иногда и вовсе в интересах определённого круга лиц, по ощущениям), так что всё в какой-то момент пошло не так. Государство обязало предпринимателей получать и продлевать ЭП каждый год (срок действия обычного ключа 12-15 месяцев), при этом самоустранилось от самого процесса выдачи такого важного атрибута, как ключ ЭП, отдав это на откуп коммерческим организациям — уполномоченным удостоверяющим центрам, на текущий момент их 445 с действующей аккредитацией не считая филиалов и представительств.

При этом, кроме того, что выдача ключа УКЭП сама по себе не бесплатна, было выбрано очень странное программно-аппаратное решение. Было принято решение заменить нормальные защищённые криптографические носители для закрытого ключа на более дешёвые, позволяющие производить копирование ключа (на самом деле не такие уж и дешёвые).

Так как такие носители не умеют сами работать с ключом, а по сути являются флешками с паролем, подтянулись софтверные коммерсанты, торгующие программными прослойками для операционных систем, которые проводят манипуляции с закрытым ключом ЭП, копируя его в оперативную память компьютера (SIC!), и при этом стабильно стоят денег.

Пикантности добавило тотальное невежество добровольно-прину́жденных пользователей ЭП и чудовищность программных решений для работы с ней. Например, чтобы настроить рабочий компьютер среднестатистического пользователя ЭП для работы с бухгалтерскими порталами всех мастей и электронными торговыми площадками, надо выполнить порядка 20 операций: скачиваний/устанавки кучи разномастного ПО сомнительного качества, сертификатов УЦ, произведения специфических настроек, чтобы всё это взаимодействовало и хоть как-то работало.

Не стоит даже упоминать, что этот ворох говнокода более-менее уверенно работает только в среде Windows (и не всегда последних версий), крайне ограниченно и с жуткими костылями работает в некоторых «гослинуксах» и абсолютно не работает на MacOS. Например, сайт налоговой всего менее года назад отучился работать только с Internet Explorer!

CC-BY-SA, Vadim Rybalko, Примерный список действий, которые выполняет скрипт-автоустановщик ПО для использования УКЭП. У УЦ СКБ Контур хоть есть такой сервис, некоторые УЦ просто дают инструкцию в DOC-файле.

Среднестатистический usecase с УКЭП в компании: кто-то (курьер или эникейщик) получает по доверенности от руководителя организации в УЦ ключ, передаёт его условной тёте Мане бухгалтеру, которая «подписывает» им документы от имени руководителя. Надо понимать, что суть УКЭП — аналог собственноручной подписи, а не подписи дяди условного Васи.

То есть, применение в данном виде уже претерпело существенные мутации. Надо не забывать, хоть ключ выдан и организации для работы с электронной отчётностью, он содержит в качестве квалифицирующих значений и данные физического лица — руководителя, на чьё имя данный ключ создан.

Это допускает вектор атаки против данного физического лица, единственным сдерживающим фактором которого является неразвитость электронных услуг с ЭП для физических лиц. И даже физический контроль над токеном с ключом является фикцией, так как любое лицо (тот же бухгалтер) может относительно незаметно для владельца просто скопировать ключ себе «в реестр», потому что «так удобнее». И это не говоря о пин-кодах по-умолчанию вида 12345678. Мрак и декаданс.

Отдельно стоит написать про электронную подпись для торговых площадок. Чтобы совершать сделки с бюджетными и околобюджетными структурами: что-то продавать или оказывать услуги, необходимо пройти через механизм тендера. Тендер осуществляются на электронных торговых площадках (ЭТП): специальных сайтах, где размещаются заказы, что-то типа аукциона.

Площадок достаточно много, как правило их держателями являются крупные окологосударственные организации. Чтобы быть аккредитованным участником ЭТП, нужно иметь электронную подпись, но только УКЭП, какой бы она ни была официальной и признаваемой государством не подойдёт.

Нет, разговор не о доверии к УКЭП, просто владельцы торговых площадок на этом зарабатывают. Технически электронная подпись для площадок та же УКЭП, но в состав сертификата дополнительно входят дополнительные идентификаторы, OID, которые дают право использовать данный ключ УКЭП на конкретной площадке.

Сделано это с той целью, чтобы получить за выпуск такой электронной подписи ощутимо больше денег, чем за выпуск обычной УКЭП. Доходит до нелепого сценария: чтобы продать что-то РЖД, нужно пройти через тендер, для которого надо получить ключ электронной подписи у конкретного УЦ, не любого.

РЖД может закупать не только вагоны и чугунные мосты, но и достаточно недорогой товар или заказывать услуги в малых объёмах. Технически, можно осуществить недорогую сделку и без тендера, но представители РЖД боятся так делать, могут по шапке настучать.

Поэтому они предлагают потенциальному поставщику зарегистрироваться на своей же карманной торговой площадке и откликнуться на специально подготовленный под поставщика заказ. Естественно, что такая схема в принципе попахивает нарушением принципов тендера, но для работников корпорации главное соблюсти бюрократический регламент.

Естественно, торговая площадка РЖД работает только для тех, кто имеет ключ электронной подписи, только в отличие от более крупных ЭТП, сотрудничает всего с четырьмя аккредитованными УЦ, из которых нет ни одного с разветвлённой сетью офисов по России, а один является просто оператором (владельцем) самой площадки.

Но если представителям РЖД очень надо получить уникальную услугу и поставщику проще им отказать в этом цирке с их ЭТП, то иногда они могут плюнуть на свой тендерный регламент и заказать сделку напрямую (основано на реальной истории). Получается, что вроде и нормальная УКЭП с одной стороны, но не подходит для ряда действий, для которых надо получать по сути такую же УКЭП у другого УЦ с иным набором дополнительных атрибутов.

Ряд уполномоченных УЦ вообще подозревают в халатном отношении к верификации персональных данных субъекта при выдаче ему УКЭП. Это должно было случиться, учитывая количество УЦ, которые развернули свою деятельность по всей территории страны. Хочется надеяться, что данные случаи всего лишь описывают факт невнимательности, а не умышленных действий.

И да, если кто-то успешно попробует получить УКЭП по подставным документам на моё имя, я даже не узнаю об этом! Причём я владею своей персональной УКЭП, то есть появится ключ-двойник. Отсутствует возможность узнать по сводному реестру, что на некое лицо выпущена УКЭП, у каждого УЦ свой реестр и процедуры доступа к нему.

Фактически нет доступного механизма отзыва УКЭП по заявлению без рассылки писем с нотариальным заявлением по адресам всех существующих УЦ. Более того, такие случаи не редкость, например PaulZi оказался в ситуации, когда на него оформили несколько подставных организаций путём получения УКЭП по подложным документам.

В своё время реальный пример раскрытия данных был на сервисе Госуслуги, куда можно было попасть по УКЭП, выданной руководителю организации, в его персональный личный кабинет на портале. Страшных действий натворить там было сложно, но всё равно для кого-то это будет неприятно.

А, например, тот же Росреестр, после ряда скандалов с переоформлением прав собственности на недвижимость с помощью УКЭП, был вынужден продавить законопроект (ещё не принятый, кстати), запрещающий совершать сделки с недвижимостью с использованием УКЭП, если заранее не разрешить такие операции для данного физического лица. То есть, сначала делаем откровенное архитектурное решето, а потом не меняем его, а просто ставим заплатки.

При разработке следующего проекта с применением УКЭП, ЕГАИС, разработчики пошли чуть более в сторону светлой стороны: допустили для работы в системе только те УКЭП, которые находятся в неизвлекаемом виде на честных криптографических токенах.

Это проблеск здравого смысла, жаль, только на рынке классических УКЭП продолжает царить криптографический нигилизм. Да, это возможно было всегда, но финансовые интересы производителей программных прослоек тоже надо обслуживать. Да и ежегодный выпуск ключа каждому юрлицу удостоверяющим центром тоже неплохое финансовое подспорье.

К слову, неизвлекаемые аппаратные ключи давно и успешно использует ряд банков в своих решениях дистанционного банковского обслуживания для организаций. Отдельным бенефитом таких решений является относительная абстрагированность криптографических вычислений с конкретным крипто-алгоритмом от поддержки данного алгоритма операционной системой.

Можно сказать, что ОС уже не обязана уметь работать с конкретным алгоритмом, а просто выдаёт задания: создай подпись для этого, или зашифруй это, а микропрограмма на аппаратном ключе уже выполняет указанные действия. И сразу не нужно никакое платное сумеречное ПО и всё отлично работает в любых браузерах, и даже на Маке.

Ну и нельзя не упомянуть весьма странный проект по запихиванию алгоритмов ГОСТ в мобильную телефонию, а именно в SIM-карты. Здравому анализу данная хотелка некоего круга лиц из числа russian silovik и подконтрольных «лицензированных» вендоров крипто-оборудования не поддаётся.

Где применяется электронная подпись

В целом области применения электронной подписи можно разделить на пять больших блоков.

1. Отчетность

Отчетность в ФНС явилась толчком для развития электронного документооборота (ЭДО). На сегодняшний день почти все контролирующие органы принимают отчетность в электронном виде. Законодательным катализатором оказалась отчетность по НДС, которая с 2021 года стала обязательной в электронном виде.

Определенные виды отчетности пока можно сдавать и в электронном виде и в бумажном. Но сфера применения электронной подписи постоянно расширяется, так как к процессу ЭДО подключается все больше органов исполнительной власти.

2. Электронные торги

Массово электронная подпись начала применяться в 2021 году, когда процедуры торгов перевели на пять государственных федеральных электронных торговых площадок. Это был старт большой отрасли, которая с тех пор непрерывно развивается.

На текущий момент существует не менее двухсот электронных торговых площадок, которые организуют торги по различным отраслям, но по-прежнему действуют пять крупных федеральных электронных площадок.

Когда был введен в действие закон 223-ФЗ, который регулирует закупки государственных организаций, все эти компании стали обязаны организовывать закупки в соответствии с требованиями 223-ФЗ. Часть таких закупок проходит на электронных торговых площадках, которых порядка 150 и на которых применяются различные сертификаты, по большей части сертифицированные.

Законом установлено требование на использование неквалифицированной электронной подписи, на которую налагаются дополнительные требования. При этом отрасль постепенно идет в сторону унификации, к повсеместному переходу на применение квалифицированной электронной подписи, в том числе в торгах по 44-ФЗ.

Отдельная отрасль электронных торгов — это продажа имущества банкротов. Существует ряд площадок, на которых можно проводить такие торги. Действует отдельное законодательство, которое в том числе устанавливает требование, чтобы использовалась квалифицированная электронная подпись.

• Коммерческие торги в секторе B2B

Здесь не действует никаких законодательных рамок. Поэтому площадки все организуют по своему усмотрению: кто-то осуществляет коммерческие торги при помощи квалифицированной электронной подписи, кто-то при помощи неквалифицированной электронной подписи, а некоторые площадки даже при помощи простой электронной подписи.

3. Государственные порталы

Госпорталы — довольно разнородная категория информационных систем, которые не обязательно созданы для отчетности, хотя многие из них очень близки к этой теме.

Есть ли свет в конце тоннеля?

На самом деле есть. Безусловно, применение ЭП должно развиваться — это благо. По моему мнению, институт уполномоченных УЦ должен уйти. Это лишнее звено, к тому же и слабо контролируемое. Единственным ответственным за выдачу УКЭП должен стать орган власти, как и в большинстве стран.

Самым рациональным выглядит сценарий некоторых стран: выдача УКЭП в составе электронной удостоверяющей личность карты, что сразу ограничит ряд векторов атак, так как УКЭП будет одна на человека и в виде, исключающем сознательную передачу ключа иному лицу на постоянной основе.

Та же передача ключа условному бухгалтеру — невежество, надо передавать полномочия, а бухгалтеру делать свой ключ на его имя (а с УКЭП на ID-карте достаточно просто передать полномочия, ключ к этому моменту у бухгалтеру уже будет свой). Но пока, возможно, никто этим не заморачивается.

. Посмотреть в сторону

, как наиболее прогрессивного и элегантного.

Здесь отдельная боль по поводу нормального пластикового удостоверения личности взамен морально устаревшему российскому внутреннему паспорту. При неспособности взять и сделать как все (а всё придумано до нас), мы выдумываем свой особый путь с берёзовым соком и кокошниками, проектируем каких-то монстров в интересах коммерческого банка (SIC!) — это камень в огород УЭК.

История приключения Сбербанка с УЭК тянет ещё на один обзор, так как в ней много боли. Сегодня снова заговорили об ID-картах, но теперь уже Ростелеком тянет одеяло на свою сторону и предлагает очередного франкенштейна, вместо того, чтобы взять спецификацию ICAO, обмазать её любимым ГОСТом (смарт-карты и не такое переживали) и пустить в опытную эксплуатацию.

Вот тогда заживём (если доживём)!

Немного о себе: системный и сетевой администратор, крипто-энтузиаст, коллекционирую банковские карты (порядка двух тысяч штук) и удостоверения личности различных стран, топлю за здравый смысл.

Обобщённый принцип работы эп

Если на пальцах попробовать объяснить, что такое электронная подпись и как она, чёрт возьми, работает, то получится примерно такое тезисное описание.

Есть группа асимметричных криптоалгоритмов «с открытым ключом». У владельца формируется взаимосвязанная пара из двух ключей: закрытый и открытый ключ. Закрытый, или приватный ключ строго хранится у владельца и является тайной. 

Открытый, или публичный ключ неотъемлемый от приватного и может свободно передаваться кому угодно. С помощью открытого ключа можно зашифровать некую информацию так, что расшифровать её сможет только владелец закрытого ключа и никто ещё (даже тот, кто зашифровал данные).

С помощью закрытого ключа можно сформировать подпись исходной информации, при передаче такого файла совместно с подписью, получатель, заранее имеющий публичный ключ владельца, может вычислить, что файл не был видоизменён в процессе и подписан именно тем лицом, которое владеет закрытым ключом.

CC-BY-SA, Иллюстрация процессов подписывания и проверки подписи при применении асимметричного шифрования, Wikipedia.

Очевидно, что точка доверия — владелец ли передал ранее свой публичный ключ или кто ещё? Для того, чтобы каждому не устанавливать с каждым заранее пиринговых доверительных отношений, придумана PKI (Public Key Infrastructure, Инфраструктура публичных ключей).

Чтобы публичный ключ отправителя, владельца ключа ЭП, был доверенным по умолчанию получателем без установки отношений, его может подписать общий доверенный обеими сторонами участник. Он называется «удостоверяющим центром», УЦ. Технически, УЦ добавляет к публичному ключу владельца набор дополнительных свойств (как правило: срок действия, текстовое описание владельца, набор служебных идентификаторов), после чего этот бутерброд уже подписывает своим закрытым ключом.

Публичный ключ УЦ может быть также удостоверен публичным ключом иного УЦ (иногда и нескольких, это называется кросс-подпись). Таким образом, получатель может не иметь открытого ключа непосредственно УЦ отправителя, а может иметь открытый ключ вышестоящего УЦ, который в свою очередь подписал открытый ключ УЦ отправителя. Цепочка проверки удлинится, но всё равно построить цепочку доверия будет возможно.

Дополнительно при формировании ЭП для документа в этот бутерброд добавляется важный ингредиент — штамп времени, timestamp. Это метка реального времени из доверенного источника, подписанная также ЭП сервера точного времени. Она уникальна и создаётся для конкретного документа.

Перспективы

Есть мнение о закате «классической» криптографии по мере развития квантовых вычислений. В определённый момент станет возможным обойти базовый принцип защиты закрытого ключа — невозможность его восстановления из открытого за вменяемый промежуток времени. Эта проблематика относится к области криптографии —

. В целом, подходы к PKI это особо не меняет, этот вопрос больше относится к выбору конкретных криптографических алгоритмов.

Ещё одной механикой подтверждения личности является биометрическая аутентификация. Как любая биометрия, такие данные не могут выступать вектором генерации закрытого ключа, так как априори биометрические параметры доступны для считывания без контроля владельца, так как всегда на виду у всех (отпечатки пальцев, рисунок радужной оболочки глаза, голосовой профиль).

Технологии считывания биометрических данных у их владельца постоянно находятся под прессом технических способов воспроизведения этих данных без участия владельца на основе ранее сделанной записи. Это вполне действующая технология, которая имеет определённые ограничения. То есть, это не замена электронной подписи и модели PKI, а отдельный механизм со своей нишей использования.

Отдельно стоит кратко рассказать про «облачную электронную подпись». Как и все термины, имеющие в своём составе слово «облачный», данная технология не является чем-то волшебным: это всего навсего хранение ключевой пары владельца (включая закрытый ключ) на некоем сервере в сети Интернет.

Криптографические операции аналогично производятся на удалённом компьютере, по сути, владелец ЭП не контролирует свой закрытый ключ никак. В России появились сервисы облачной подписи, один из первых стала предоставлять ФНС для личного кабинета физических лиц, а сейчас такие сервисы предоставляются некоторыми поставщиками «облачной бухгалтерии».

По факту это появилось исключительно из-за проблем совместимости нашей УКЭП с компьютерами и иными электронными устройствами конечных пользователей. Какие бы ни давали заверения поставщики таких услуг, реальная защищённость таких решений от неправомерных действий поставщика, его сотрудников или третьих лиц остаётся только на совести такого поставщика.

Большинство технически подкованных людей отмечают эту технологию как профанацию криптографии, в том числе направленную на то, чтобы под любым благовидным предлогом отнять закрытый ключ подписи у владельца этого ключа и положить в доступное для нужных служб хранилище.

Участие в электронных торгах

Больше половины закупок всех бюджетных организаций проводятся в формате электронных аукционов. До июля 2021 года для участия в госзакупках нужна неквалифицированная электронная подпись (НЭП) — это требование 44-ФЗ «О контрактной системе».

С помощью НЭП участники госзакупок аккредитуются на электронных торговых площадках и подписывают контракты в случае победы в закупке. Но специалисты рекомендуют сразу же оформить КЭП, необходимую для других действий, связанных с участием в госзакупках: например, она нужна, чтобы оформить банковскую гарантию через интернет, обратиться в ФАС или арбитраж.

Кроме того, КЭП подойдет для участия в электронных закупках компаний с госучастием и коммерческий компаний, которые тоже проводят часть своих закупок  на электронных площадках.

Чтобы приобрести подходящую электронную подпись для участия в торгах в качестве поставщика, уточните требования к виду подписи на тех площадках, на которых планируете участвовать в электронных торгах.

Планируете участвовать в электронных торгах впервые? СКБ Контур поможет разобраться в сложных процедурах государственных и коммерческих торгов с помощью услуги Сопровождение торгов. Вы пройдете полный цикл от аккредитации на площадке до подписания контракта вместе с нашими специалистами. Услуги сопровождения торгов предотвратят ошибки, которые допускают новички. Мы проанализируем документацию, правильно составим и подадим заявки. Для победы вам останется подготовить конкурентное предложение.

Получить электронную подпись для торгов

Электронная цифровая подпись: зачем нужна и как получить