Свойства сертификата эцп

Содержание

Что такое сертификат электронной подписи?
Содержание сертификата ЭЦП
Принцип работы
Формальное описание
Как создать квалифицированный сертификат ЭЦП
Структура сертификата
Продление сертификата ЭЦП
Перевыпуск сертификата ЭЦП
Как удалить старые сертификаты ЭЦП
Где хранятся сертификаты ЭЦП на компьютере?
Причины отзыва сертификата ЭЦП

Что такое сертификат электронной подписи?

Инфраструктура открытых ключей призвана обеспечить доверительные отношения между участниками взаимодействия.

При этом Иван получает сертификат открытого ключа Семена, заверенный УЦ, а Семен – Ивана. Без этого их доверительное взаимодействие невозможно.

Для обеспечения взаимного доверия между пользователями разных УЦ последние объединяются в иерархическую структуру

Кроме того, УЦ1 и УЦ2 могут организовать взаимное доверие и обойтись без корневого УЦ.

Кроме сертификатов открытых ключей пользователей УЦ может выпускать списки отзыва тех сертификатов, которые удостоверяют скомпрометированные по тем или иным причинам ключи. Этим самым обеспечивается оперативное реагирование на события, влияющие на надежность и безопасность обмена данными.

Конечно, приведенная информация далеко не полная, но, надеюсь, позволит разобраться в основах функционирования механизма ЭЦП и инфраструктуры открытых ключей. Если кому-то этого мало – Интернет безграничен, и на его просторах можно добыть практически любую информацию. Покрайней мере, теперь Вы знаете, что искать.

Согласно ст. 2 Закона, сертификат электронной подписи — документ, представленный в электронном виде либо на бумаге и подтверждающий, что открытый ключ, содержащийся в нем, принадлежит его владельцу. Выдается он УЦ либо его доверенным лицом. Квалифицированный СКПЭП выдается аккредитованным УЦ, его доверенным лицом или органом исполнительной власти, наделенным такими полномочиями.

Удостоверяющие центры — это ИП либо юрлица, занимающиеся созданием и выдачей СКПЭП на основании соглашений с заявителями, а также выполняющие другие функции, предусмотренные Законом. В настоящее время их услуги менее востребованы, поскольку НЭП и, соответственно, неквалифицированные сертификаты, выдаваемые ими, практически нигде не используются.

УЦ становится аккредитованным, когда его признает таковым уполномоченный федеральный орган, если организация не противоречит требованиям, указанным в ст. 16 Закона. Удостоверяющий центр, имеющий аккредитацию, наделен правом выдавать квалифицированный СКПЭП. Вместе с этим документом заявитель получает руководство по безопасному применению ЭП. В нем описаны финансовые, репутационные и другие риски, которые сопровождают пользователя при использовании ЦП, а также меры по их устранению.

СКПЭП выдают на 1 год. Однако документ может прекратить свое действие не только по истечении указанного срока. Аннулировать сертификат имеет право его владелец, написав соответствующее заявление и передав его в УЦ. Документ прекращает действие и из-за приостановки деятельности самого удостоверяющего центра, его выдавшего. Данные об аннулировании СКПЭП вносятся в реестр УЦ не позднее суток от момента выявления обстоятельств, отмеченных выше.

Для того чтобы подпись имела юридическую силу и выступала гарантом сделки, требуется наличие на нее сертификата, который может быть выдан в специальном удостоверяющем центре и служит подтверждением принадлежности ЭЦП владельцу.

Для предотвращения подделки или несанкционированного использования электронной подписи используют особый код (ключ электронной подписи). Различают закрытый и открытый ключи ЭЦП.

Открытый ключ доступен всем участникам сделки и документооборота и позволяет определить его владельца.

Закрытый ключ невозможно определить при помощи открытого, он должен быть известен только владельцу подписи.

В случае сохранности и конфиденциальности закрытого ключа электронная подпись может считаться действительной и иметь юридическую силу. При совершении сделок, заключении договоров или осуществлении обмена документами между сторонами необходим гарант, имеющий доверие сторон и подтверждающий личность участников сделки.

Таким гарантом выступает удостоверяющий центр, уполномоченный на выдачу сертификатов открытого ключа ЭЦП. Удостоверяющим центром может быть юридическое лицо, то есть организация, соответствующая требованиям законодательства о выдаче сертификата ЭЦП.

Сертификат открытого ключа ЭЦП позволяет подтвердить принадлежность подписи ее владельцу.

Например, при оформлении сделки, осуществлении

или других финансовых операций необходимо заключение договора и соглашения между сторонами.

Однако аутентификация сторон может быть затруднена, ввиду уязвимости электронной информации и, в частности, электронной цифровой подписи. Именно по этой причине возникает необходимость подтверждения правомерности сделки третьей стороной.

Роль третьей стороны в данном случае принадлежит Удостоверяющему центру, который создает сертификат ЭЦП.

В настоящее время существует большое число компаний по обеспечению сохранности информации, имеющих аккредитацию удостоверяющего центра и позволяющих оформить заявку и получить сертификат электронной подписи.

Заявку можно подать, используя сеть Интернет или обращаясь непосредственно в соответствующий удостоверяющий центр.

Для получения сертификата необходимо представить в центр ряд документов. Но некоторые компании заключают договор без необходимости личного присутствия.

Однако для получения квалифицированного сертификата необходимо представить копии и оригиналы документов и заключить договор, а для получения усиленного неквалифицированного сертификата можно заключить договор в онлайн режиме.

В последнем случае копии документов отправляются в центр по каналу телекоммуникационной связи вместе с заявлением на получение сертификата и квитанцией оплаченных услуг. После проверки данных формируются ключи ЭЦП, создается сертификат, а его данные вносятся в реестр учета.

Реквизиты договора и сертификат могут быть отправлены с помощью сети Интернет, после чего происходит самостоятельная установка сертификата ключа ЭЦП.

Получение квалифицированного сертификата в основном необходимо для государственных учреждений или юридических лиц, поэтому заключение такого договора требует более тщательной подготовки и присутствие в Удостоверяющем центре.

Основное назначение сертификата ключа проверки электронной подписи — это подтверждение того, что электронная подпись принадлежит какому-то определенному лицу, так называемому владельцу электронной подписи. Практически сертификат — это своего рода паспорт владельца электронной подписи, в котором указаны фамилия, имя, отчество, СНИЛС — если владелец ЭЦП является физлицом. Или наименование, адрес нахождения, ИНН, ОГРН, если владелец подписи — организация.

Сертификат ЭЦП с присвоенным ему уникальным номером предоставляется удостоверяющим центром в электронном виде или на бумажном носителе.

Выделяют квалифицированный и неквалифицированный сертификаты ЭЦП. Их различие в первую очередь состоит в функциональности. К примеру, электронную подпись с неквалифицированным сертификатом могут применить либо физлица — при работе с личным кабинетом налогоплательщика, либо фирмы-поставщики — при участии в электронных торгах.

Электронная подпись с квалифицированным сертификатом имеет более широкий спектр действия: начиная со входа на портал Госуслуг и заканчивая подписанием любых юридически значимых документов, не требующих обязательного бумажного оформления с ручной подписью.

Неквалифицированный сертификат выдается любым удостоверяющим центром на платной основе. Он также может быть сформирован любым опытным IT-специалистом при создании ЭЦП с помощью криптографических программ.

О различии и сходстве неквалифицированной и квалифицированной подписей читайте в нашем материале «Чем отличаются два основных типа электронных подписей».

Заявление на выдачу сертификата оформляется в виде приложения к договору на приобретение сертификата ключа ЭЦП. Бланк для заполнения данного заявления у каждого аккредитованного центра свой, но сведения, вносимые в него, одинаковы.

Чтобы наглядно увидеть, как примерно выглядит этот документ и какие сведения понадобятся для его заполнения, мы подготовили для вас образец уже заполненного заявления (см. ниже).

Содержание сертификата ЭЦП

Обязательные реквизиты СКПЭП и квалифицированного СКПЭП подробно описаны в ст.ст. 14 и 17 Закона. При предъявлении заявителем в аккредитованный УЦ документов, дающих ему полномочия действовать в интересах и от имени третьего лица, в квалифицированном сертификате указываются такие правомочия и срок их действия. СКПЭП включает следующие сведения:

номер — последовательность букв и цифр, которая является уникальной;
период действия;
сведения о владельце — название, место регистрации организации, ИНН, ОГРН (для юрлица), номер лицевого счета, Ф. И. О. (для физлица);
сведения об УЦ — название, место регистрации, средство ЭП и реквизиты заключения о подтверждении его соответствия нормам, класс средств и прочее;
данные о ключе проверки ЭЦП — значение открытого ключа, область использования, ГОСТ, класс средства.

Владелец СКПЭП не должен применять ключ ЭЦП, если имеет подозрения, что его секретность нарушена. Следует обратиться в УЦ, с которым заключено соглашение, и описать ситуацию.

Принцип работы

Наглядное объяснение принципа работы сертификатов открытого ключа на примере установки ПО от стороннего разработчика пользователем в Интернете

Сертификаты, как правило, используются для обмена зашифрованными данными в больших сетях. Криптосистема с открытым ключом решает проблему обмена секретными ключами между участниками безопасного обмена, однако не решает проблему доверия к открытым ключам. Предположим, что Алиса, желая получать зашифрованные сообщения, генерирует пару ключей, один из которых (открытый) она публикует каким-либо образом.

Любой, кто желает отправить ей конфиденциальное сообщение, имеет возможность зашифровать его этим ключом, и быть уверенным, что только она (так как только она обладает соответствующим секретным ключом) сможет это сообщение прочесть. Однако описанная схема ничем не может помешать злоумышленнику Давиду создать пару ключей, и опубликовать свой открытый ключ, выдав его за ключ Алисы.

Идея сертификата — это наличие третьей стороны, которой доверяют две другие стороны информационного обмена. Предполагается, что таких третьих сторон немного, и их открытые ключи всем известны каким-либо способом, например, хранятся в операционной системе или публикуются в журналах. Таким образом, подлог открытого ключа третьей стороны легко выявляется.

Сертификат открытого ключа выдаётся центром сертификации и состоит из таких полей как:

сам открытый ключ владельца сертификата,
срок действия,
имя эмитента (центра сертификации),
имя владельца сертификата
и, самой важной части, цифровой подписи.

Цифровая подпись гарантирует невозможность подделки сертификата. Она является результатом криптографической хеш-функции от данных сертификата, зашифрованным закрытым ключом центра сертификации. Открытый ключ центра сертификации является общеизвестным, поэтому любой может расшифровать им цифровую подпись сертификата, затем вычислить хеш самостоятельно и сравнить, совпадают ли хеши.

Если Алиса сформирует сертификат со своим публичным ключом, и этот сертификат будет подписан третьей стороной (например, Трентом), любой, доверяющий Тренту, сможет удостовериться в подлинности открытого ключа Алисы. В централизованной инфраструктуре в роли Трента выступает удостоверяющий центр. В сетях доверия Трент может быть любым пользователем, и следует ли доверять этому пользователю, удостоверившему ключ Алисы, решает сам отправитель сообщения.

В SSL используется целая цепочка доверия: сертификат подписывается закрытым ключом владельца сертификата, находящегося выше в цепи.[1]

Формальное описание

Пусть имеются две стороны информационного обмена — A{displaystyle A}, B{displaystyle B}, желающие обмениваться сообщениями конфиденциально, и третья сторона T{displaystyle T} (играющая роль удостоверяющего центра), которой доверяют A{displaystyle A} и B{displaystyle B}.

Стороне $A$ принадлежит пара ключей ( ${displaystyle KA_{o}}$ , ${displaystyle KA_{s}}$ ), где ${displaystyle KA_{o}}$ — открытый ключ, а ${displaystyle KA_{s}}$ — закрытый (секретный) ключ стороны $A$ .
Стороне $T$ принадлежит пара ключей ( ${displaystyle KT_{o}}$ , ${displaystyle KT_{s}}$ ).

A{displaystyle A} регистрируется у T{displaystyle T} (посылает запрос на подпись), указывая данные о себе и свой KAo{displaystyle KA_{o}}. Сторона T{displaystyle T} посредством определенных механизмов “удостоверяет личность” стороны A{displaystyle A} и выдает стороне A{displaystyle A} сертификат C{displaystyle C}, устанавливающий соответствие между субъектом A{displaystyle A} и ключом KAo{displaystyle KA_{o}}. Сертификат C{displaystyle C} содержит:

ключ ${displaystyle KA_{o}}$ ,
идентификационные данные субъекта $A$ ,
идентификационные данные удостоверяющей стороны $T$ ,
подпись стороны $T$ , которую обозначим $ST$ . Подпись $ST$ — это хеш (набор символов, хеш-сумма/хеш-код), полученный в результате применения хеш-функции к данным сертификата $C$ , зашифрованный стороной $T$ с использованием своего закрытого ключа ${displaystyle KT_{s}}$ .
и другую информацию.

A{displaystyle A} посылает стороне B{displaystyle B} свой сертификат C{displaystyle C}. B{displaystyle B} проверяет цифровую подпись ST{displaystyle ST}. Для этого B{displaystyle B}

самостоятельно вычисляет хеш от данных сертификата $C$ ,
расшифровывает ЭЦП сертификата $ST$ с помощью всем известного ${displaystyle KT_{o}}$ , получив другой хеш,
проверяет равенство этих двух хешей.

Если полученные хеши равны – ЭЦП корректна, а это подтверждает, что KAo{displaystyle KA_{o}} действительно принадлежит A{displaystyle A}.

Теперь B{displaystyle B}, зная открытый ключ A{displaystyle A} и зная, что он принадлежит именно A{displaystyle A}, может шифровать этим открытым ключом все последующие сообщения для A{displaystyle A}. И только A{displaystyle A} сможет их расшифровать, так как KAs{displaystyle KA_{s}} известен только A{displaystyle A}.

Как создать квалифицированный сертификат ЭЦП

Самостоятельно создать ЭЦП с квалифицированным сертификатом не получится. Квалифицированный сертификат выдается только аккредитованными удостоверяющими центрами. Поэтому для его получения придется обратиться в один из таких центров с заявлением на выдачу сертификата.

Подробнее узнать о назначении квалифицированной подписи и порядке ее получения вы можете в нашей статье «Усиленная квалифицированная электронная подпись – что это такое?».

Структура сертификата

	Украина	Россия
уникальный регистрационный номер сертификата
дата и время начала и окончания срока действия сертификата
фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца
открытый ключ
наименование и реквизиты ЦС
наименование криптографического алгоритма
информацию об ограничении использования подписи
указание на страну выпуска сертификата		–

Кроме этого в сертификат могут вноситься дополнительные поля.

Бумажный сертификат должен выдаваться на основании подтверждающих документов и в присутствии лица с последующим заверением подписями работника УЦ и носителя закрытого ключа.

Продление сертификата ЭЦП

Срок сертификатов ЭЦП, выдаваемых удостоверяющими центрами, ограничен и составляет 12 месяцев (год) независимо от того, квалифицированный сертификат или неквалифицированный. Некоторые крупные аккредитованные центры могут оформить сертификат на 15 месяцев. Но не более. Как только установленный срок сертификата истечет, электронная подпись станет недействительной.

Если планируется применять электронную подпись после окончания установленного срока сертификата, то необходимо подать заявление на продление срока его действия в удостоверяющий центр, выдавший этот сертификат, оформить допсоглашение и оплатить выставленный центром счет.

Перевыпуск сертификата ЭЦП

Иногда возникают ситуации, когда владелец электронной подписи теряет USB-носитель, меняет свои личные или юридические реквизиты или же законодательство вносит изменения в требования к электронным подписям. В таких случаях понадобится перевыпуск сертификата. В большинстве случаев эта услуга предоставляется удостоверяющими центрами на платной основе.

В случае перевыпуска сертификата ЭЦП просто обновить его не получится — придется устанавливать заново. Для установки нового сертификата понадобится программа КриптоПро CSP, находящаяся в меню «Пуск» — «Настройки» — «Панель управления». В этой программе на вкладке «Сервис» установить новый сертификат можно либо через кнопку «Просмотреть сертификаты в контейнере…», либо через кнопку «Установить личный сертификат…».

Как удалить старые сертификаты ЭЦП

Удалить старые сертификаты ЭЦП будет намного проще, чем установить или обновить новые. Для этого нужно зайти в программу «Сертификаты» через меню «Пуск» — «Программы» — «Крипто-Про», открыть подпапку «Личное», выбрать старый сертификат, нажать правой клавишей мыши и из появившегося меню выбрать функцию «Удалить». Сертификат будет удален.

Но специалисты не рекомендуют этого делать, так как устаревшие сертификаты могут понадобиться для просмотра ранее подписанных документов и отчетов. Например, при удалении старых сертификатов просмотреть отчеты и письма, переданные с их помощью через ТКС, уже будет нельзя. И придется обращаться в аккредитованные центры с просьбой предоставить удаленные сертификаты.

Чтобы старые сертификаты сохранились в электронном виде, но и не появлялись в списке действующих сертификатов, достаточно вместо удаления сертификата открыть его двойным щелчком левой клавиши мыши и в появившемся окне на вкладке «Состав» нажать на кнопку «Свойства». В новом окошке переставить точечку на «Разрешить только следующие назначения» и убрать галочку «Проверка подлинности клиента». Таким образом старый сертификат сохранится, но и мешать при использовании действующих сертификатов уже не будет.

Где хранятся сертификаты ЭЦП на компьютере?

Все сертификаты, установленные на компьютер, размещены в специальном хранилище — отдельной папке в реестре Windows. Чтобы просматривать их, нужно войти в систему с правами администратора. Файл с сертификатом «весит» несколько килобайт. Зная, где хранятся сертификаты ЭЦП на компьютере, нетрудно понять, как к ним добраться:

Нажмите комбинацию Win R. Всплывет окно «Выполнить» с пустой строкой. Введите туда certmgr.msc. Согласитесь, нажав «ОК».
Откроются папки (логические хранилища) с сертификатами. Они распределены по типам. Нужный сертификат находится в одной из них (в зависимости от того, куда он устанавливался пользователем).
Для ознакомления с информацией о сертификате кликните на него правой кнопкой мыши и укажите «Открыть».

Существует еще один способ, который поможет попасть в хранилище к сертификатам:

Откройте «Пуск» и перейдите в «Панель управления».
Перейдите в «Свойства обозревателя».
Откройте «Содержание» — «Сертификаты».
Всплывет окно со списком сертификатов.

Посмотреть данные по ним можно при нажатии на «Просмотр».

Нужно ли владельцу электронной подписи хранить сертификаты ЭЦП после истечения срока их действия? Да, желательно сохранить их у себя в электронном или бумажном виде, так как они могут пригодиться в любой момент для подтверждения юридической значимости ранее подписанных с помощью них документов. При определении срока хранения сертификата ЭЦП можно ориентироваться на установленные законодательством сроки хранения документов в бумажном виде. Ознакомиться с ними вы можете в нашей статье «Основные сроки хранения документов в организации (архив)».

Но еще раз напомним, что это лишь рекомендация для владельцев ЭЦП. Обязанность хранить сертификаты законодательно закреплена за выдавшими их аккредитованными удостоверяющими центрами (п. 1 ст. 15 закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ). Период хранения выданных сертификатов ограничен только сроком деятельности аккредитованного центра.

В будущем планируется перевести хранение всех выданных сертификатов под контроль единой государственной базы, чтобы минимизировать риск их утери в случае прекращения деятельности аккредитованных центров. Но пока такой системы хранения нет, поэтому негласно ответственность за сохранность сертификата полностью лежит на его владельце.

Причины отзыва сертификата ЭЦП

Помимо аннулирования сертификата ЭЦП в связи с окончанием срока его действия и его отзыва владельцем электронной подписи есть еще несколько причин, по которым сертификат может стать недействительным (п. 6, п. 6.1 ст. 14 закона № 63-ФЗ):

ликвидация аккредитованного центра в случае, если его функции не были переданы другим удостоверяющим центрам;
владелец сертификата владеет ключом ЭЦП, не соответствующим ключу ЭЦП, зарегистрированному в выданном сертификате;
оформленная сертификатом электронная подпись уже используется под другим сертификатом;
вынесено судебное решение о недостоверности информации, внесенной в сертификат ЭЦП;
иные случаи, установленные законодательством или соглашением между аккредитованным центром и владельцем сертификата.