Технологии работы с электронной подписью / Хабр

Что такое удостоверяющий центр?

Это организация, получившая официальное разрешение от ФСБ на осуществление деятельности, связанной с производством и продажей электронных цифровых подписей.

Удостоверяющий центр выполняет несколько функций:

1. Создает персональные сертификаты. УЦ формирует ключи и сертификаты необходимые для создания электронных подписей, которые содержат контактные данные владельца и техническую информация о составе ЭП. С помощью персонального сертификата получатель заверенного документа может проверить ЭЦП, чтобы убедиться в ее принадлежности конкретному человеку.
2. Предоставляет ЭЦП. Получить квалифицированную электронную подпись можно только в аккредитованном удостоверяющем центре. Его сотрудники создадут закрытый ключ и предоставят его только вам — владельцу ЭЦП.
3. Обеспечивает проверку сертификатов. Удостоверяющий центр имеет собственную базу, в которой содержатся все выданные КЭП. Если вы сомневаетесь в подлинности подписи человека, который отправил вам документ, вы можете связаться с представителями УЦ и удостовериться в ее верности.

Введение

Внедрение электронной подписи (без разделения на используемые криптоалгоритмы и критерий «квалифицированности», см. закон

, ст. 5) в информационную систему обычно вызвано необходимостью контроля целостности и авторства порождаемых в системе информационных потоков и документов.

Под катом описаны интерфейсы для работы с электронной подписью, а также распространенные форматы электронной подписи.

Согласно общепринятой терминологии, электронная подпись – это реквизит электронного документа, позволяющий установить факт целостности электронного документа и проверить принадлежность подписи владельцу открытого ключа подписи. Отдельно следует отметить, что электронная подпись никак не связана с конфиденциальностью информации. То есть подписанный документ все еще остается свободным для прочтения.

Электронная подпись реализуется на основе асимметричной криптографии, или криптографии с открытым ключом. Асимметричные криптографические алгоритмы предполагают использование пары ключей: открытого и закрытого. Закрытый ключ служит для выработки электронной подписи, открытый – для ее проверки.

Отдельное внимание в вопросе работы с электронной подписью следует уделить установлению соответствия между открытым ключом подписи и непосредственно лицом, которому он принадлежит. Для решения данной задачи существует такое понятие, как «Сертификат открытого ключа электронной подписи» (или просто «цифровой сертификат»).

Для выдачи, проверки действительности, отзыва и управления сертификатами необходима инфраструктура открытых ключей (Public Key Infrastructure). Вопрос сопоставления открытого ключа и его владельца – один из самых важных и сложных при работе с асимметричной криптографией, так как открытый ключ – это никак не идентифицируемый набор публичной информации, которая служит для проверки электронной подписи.

Что такое электронная подпись — простым языком для новичков мира цифровой экономики

Microsoft crypto api 2.0

Операционная система Microsoft Windows, независимо от версии, довольно сложная система, которая помимо всего прочего занимается вопросами обеспечения безопасности пользовательских и корпоративных данных. В этих задачах традиционно широко используется криптография.

С целью унификации доступа к криптографическим функциям компания Microsoft разработала проприетарный API: Microsoft Crypto API. Широкое распространение приобрела версия Crypto API 2.0. Парадигма Microsoft Crypto API базируется на использовании так называемых криптопровайдеров, или, по-русски, поставщиков криптографии.

Спецификация Crypto API описывает набор функций, которые должна предоставлять библиотека криптопровайдера операционной системе, способы интеграции с ней и спецификации вызовов. Таким образом, производитель СКЗИ, выполняющий правила Crypto API, имеет возможность интеграции своего решения в операционную систему Microsoft Windows, а прикладное программное обеспечение получает доступ криптографическим функциям посредством унифицированного интерфейса.

Дополнительным плюсом является то, что компания Microsoft реализовала над Crypto API довольно большое количество функций, отвечающих за выполнение прикладных задач: работа с сертификатами, формирование различных видов подписи, работа с ключевой информацией и пр. Также Crypto API, как нетрудно догадаться, тесно интегрирован с операционной системой и ее внутренними механизмами.

Но расплатой за удобство становится платформозависимость и необходимость тесной интеграции решения в операционную систему.

В Windows Vista Microsoft представила новую версию криптографического программного интерфейса – Microsoft CNG (Cryptography API: Next Generation). Данный интерфейс базируется уже не на поставщиках криптографии, а на поставщиках алгоритмов и поставщиках хранилищ ключевой информации.

Pkcs#11

PKCS#11 (Public-Key Cryptography Standard #11) – платформонезависимый программный интерфейс для работы с аппаратно реализованными СКЗИ: смарт-карты, HSM’ы, криптографические токены. Иногда PKCS#11 используется для доступа к программно реализованным криптографическим библиотекам.

PKCS#11 представляет собой довольно обширный документ, опубликованный RSA Laboratories, который описывает набор функций, механизмов, алгоритмов и их параметров для работы с криптографическими устройствами или библиотеками. В данном документе четко прописаны правила, в соответствии с которым будет работать прикладное программное обеспечение при вызове криптографических функций.

Данный стандарт поддерживается во многих open source-проектах, использующих криптографию. Для примера, Mozilla Firefox позволяет хранить сертификаты и закрытые ключи для аутентификации через SSL/TLS на токенах, работая с ними по PKCS#11.

Если прикладное программное обеспечение «умеет» работать с PKCS#11, то производителю СКЗИ необходимо реализовать программную библиотеку, которая наружу будет выставлять интерфейсы, описанные в стандарте, а внутри реализовывать необходимую СКЗИ логику: работа непосредственно с криптографическим устройством или реализация необходимых криптоалгоритмов программно.

В этом случае прикладное программное обеспечение должно «подцепить» необходимую библиотеку и выполнять необходимые действия в соответствии с рекомендациями стандарта. Это обеспечивает заменяемость различных устройств и их библиотек для прикладного программного обеспечения и прозрачное использование СКЗИ в различных системах.

Единственным существенным минусом PKCS#11 является отсутствие рекомендаций по работе с сертификатами открытого ключа, что предполагает либо использование проприетарных расширений стандарта, либо использование других средств для работы с сертификатами.

Pkcs#7

PKCS#7 (Public-Key Cryptography Standard #7), или CMS (Cryptographic Message Syntax) – стандарт, публикуемый и поддерживаемый все той же RSA Laboratories, описываемый синтаксис криптографических сообщений.

PKCS#7 также публикуется в качестве RFC с номером 2315.

Синтаксис CMS описывает способы формирования криптографических сообщений, в результате чего сообщение становится полностью самодостаточным для его открытия и выполнения всех необходимых операций.

С этой целью в PKCS#7 размещается информация об исходном сообщении (опционально), алгоритмах хеширования и подписи, параметрах криптоалгоритмов, времени подписи, сертификат ключа электронной подписи, цепочка сертификации и т. д.

Большинство атрибутов PKCS#7 являются опциональными, но их обязательность может определяться прикладной системой.

Отдельно следует отметить, что PKCS#7 позволяет ставить несколько подписей под одним документом, сохраняя всю необходимую информацию в сообщении.

Формирование и проверка PKCS#7 реализованы в криптографических «надстройках» в Microsoft Crypto API, речь о которых шла выше. Но сам формат довольно хорошо специализирован и его поддержка может быть реализована нативно.

Виды электронной цифровой подписи

Существует три вида ЭЦП:

1. Простая. Используется физическими лицами для подтверждения личных данных. Например, при входе на сайт Госуслуг или бесконтактной оплате покупок в торговых центрах.
2. Усиленная неквалифицированная. Применяется юридическими лицами для определения автора документа, отслеживания вносимых в него изменений после заверения. Более надежна по сравнению с простой ЭЦП. Требуется в редких случаях.
3. Усиленная квалифицированная. Самый надежный и используемый из всех видов ЭЦП. Является аналогом личной рукописной подписи и имеет полную юридическую силу. Применяется во всех сферах деятельности юридических лиц и ИП — от подписания договоров с контрагентами до взаимодействия с контролирующими и надзорными органами.

Встраивание электронной подписи в прикладные системы

Криптостойкие алгоритмы, принятые в качестве национальных или мировых стандартов, являются общедоступными. Их криптостойкость базируется на неразрешимых за приемлемое время математических задачах.

Но реализация криптоалгоритмов с учетом высокого быстродействия, отсутствия ошибок и гарантированного выполнения требований математических преобразований – непростая задача, которой занимаются квалифицированные разработчики.

В случае, если электронная подпись используется в критичных приложениях (например, для выполнения юридически значимых действий), реализация криптоалгоритмов в обязательном порядке проходит процесс сертификации на соответствие требованиям безопасности.

В «западном» мире широко используется сертификация решений на соответствие Common Criteria, в России процесс сертификации средств криптографической защиты проводит ФСБ России.

Дополнительно, средства криптографической защиты информации (СКЗИ, этот термин широко используется в РФ) могут иметь самое разное представление: от программных библиотек до высокопроизводительных специализированных железок (Hardware Security Module, HSM).

Именно из-за сложности реализации и регуляции данного вида продукции существует рынок решений по криптографической защите информации, на котором играют различные игроки.

С целью совместимости различных реализаций, а также упрощения их встраивания в прикладное программное обеспечение, были разработаны несколько стандартов, относящиеся к различным аспектам работы с СКЗИ и непосредственно электронной подписью.

Где применяется электронная подпись

В целом области применения электронной подписи можно разделить на пять больших блоков.

1. Отчетность

Отчетность в ФНС явилась толчком для развития электронного документооборота (ЭДО). На сегодняшний день почти все контролирующие органы принимают отчетность в электронном виде. Законодательным катализатором оказалась отчетность по НДС, которая с 2021 года стала обязательной в электронном виде.

Определенные виды отчетности пока можно сдавать и в электронном виде и в бумажном. Но сфера применения электронной подписи постоянно расширяется, так как к процессу ЭДО подключается все больше органов исполнительной власти.

2. Электронные торги

Массово электронная подпись начала применяться в 2021 году, когда процедуры торгов перевели на пять государственных федеральных электронных торговых площадок. Это был старт большой отрасли, которая с тех пор непрерывно развивается.

На текущий момент существует не менее двухсот электронных торговых площадок, которые организуют торги по различным отраслям, но по-прежнему действуют пять крупных федеральных электронных площадок.

Когда был введен в действие закон 223-ФЗ, который регулирует закупки государственных организаций, все эти компании стали обязаны организовывать закупки в соответствии с требованиями 223-ФЗ. Часть таких закупок проходит на электронных торговых площадках, которых порядка 150 и на которых применяются различные сертификаты, по большей части сертифицированные.

Законом установлено требование на использование неквалифицированной электронной подписи, на которую налагаются дополнительные требования. При этом отрасль постепенно идет в сторону унификации, к повсеместному переходу на применение квалифицированной электронной подписи, в том числе в торгах по 44-ФЗ.

Отдельная отрасль электронных торгов — это продажа имущества банкротов. Существует ряд площадок, на которых можно проводить такие торги. Действует отдельное законодательство, которое в том числе устанавливает требование, чтобы использовалась квалифицированная электронная подпись.

• Коммерческие торги в секторе B2B

Здесь не действует никаких законодательных рамок. Поэтому площадки все организуют по своему усмотрению: кто-то осуществляет коммерческие торги при помощи квалифицированной электронной подписи, кто-то при помощи неквалифицированной электронной подписи, а некоторые площадки даже при помощи простой электронной подписи.

3. Государственные порталы

Госпорталы — довольно разнородная категория информационных систем, которые не обязательно созданы для отчетности, хотя многие из них очень близки к этой теме.

Для чего стоит получить сертификат эцп?

1. Участие в онлайн-торгах и аукционах. Электронная цифровая подпись может потребоваться для коммерческих и государственных закупок. Только с ней можно оставлять на торговых платформах заявки и заверять контракты.
2. Работа на сайте Госуслуги. Получение ЭЦП дает возможность записаться на прием в государственное учреждение, подать заявления на оформление многих личных документов, оплатить штрафы и налоги, зарегистрировать автомобиль, и многое другое.
3. Сдача отчетностей в налоговую. Для своевременного отправления деклараций о доходах в ФНС России или об алкоголе и пиве в ЕГАИС также стоит получить ЭЦП. Она может понадобиться и для работы на сайтах Росстата и Пенсионного фонда РФ.
4. Удаленный документооборот. С помощью электронной цифровой подписи вы сможете отправлять отчеты, заявления, договоры и иные важные бумаги в своей организации и в другие компании.

Как выбрать подходящую кэп?

Существует множество тарифов сертификатов, предназначеных для различных нужд. Чтобы выбрать подходящую КЭП, следует учесть два важных параметра:

1. Возможности подписи. Нет единой ЭЦП, которая могла бы подойти для всех сфер сразу. Чтобы работать с Госуслугами, требуется базовая КЭП. Для взаимодействия с коммерческими порталами требуется КЭП с расширениями (дополнениями) для ЭП. Кроме того, для регистрации на некоторых платформах существуют требования по получению КЭП в определенных удостоверяющих центрах. Поэтому выбирайте подпись, максимально соответствующую вашим потребностям.
2. Стоимость сертификата. Кроме возможностей подписи стоит обратить внимание и на ее функционал. Нет смысла переплачивать за ненужные опции: если вам нужна ЭЦП для передачи отчетностей в ФНС России, нет необходимости покупать сертификат с доступом к торговым площадкам — достаточно получить стандартную КЭП. На стоимость влияет также назначение подписи. Для физических лиц, которым нужно работать только с сайтом Госуслуг, ЭЦП обойдется почти в 10 раз дешевле, чем организациям, участвующим в торгах на крупных площадках.

Как начать работать с квалифицированной электронной подписью

Чтобы начать работать с электронной подписью, необходимо подготовить свое рабочее место и приобрести сертификат подписи. Сертификат выдают быстро — в течение часа.

Еще для работы с квалифицированной подписью надо будет установить программу для криптозащиты информации (СКЗИ). Самые распространенные средства криптозащиты в России — это «Криптопро CSP», Signal-com CSP, «Лисси CSP», Vipnet CSP. Все они примерно одинаковые.

Какое конкретно СКЗИ потребуется и какие настройки будут нужны, вам скажут в удостоверяющем центре или МФЦ.

Как подписать документ электронной подписью

Ваше СКЗИ добавляет в контекстное меню вашей операционной системы — Виндоус или Мак-ос — свой специальный раздел. Таким образом, можно подписать любой документ просто нажатием правой кнопки мыши. На сайте каждого СКЗИ можно найти подробную инструкцию, как подписывать документ.

Например, так работает процесс подписания с помощью программы «Крипто-АРМ»:

1. Кликните правой кнопкой мыши по документу.
2. Найдите пункт меню «Крипто-АРМ» и нажмите «Подписать».
3. После этого запускается мастер создания электронной подписи, который подробно объяснит все дальнейшие шаги.
4. В итоге рядом с документом появится новый файл документ.doc.sig — это и есть файл электронной подписи.

В результате документ становится недоступным для изменения, а рядом с ним в папке появится файл подписи в формате документ.doc.sig.

В «Гугл-докс» плагины для электронной подписи можно найти во вкладке «Дополнения».

Как получить кэп?

1. Подайте заявление в удостоверяющий центр. УЦ — аккредитованные Минкомсвязи организации, которые имеют право выдавать электронные подписи. Компания «Сигнал-КОМ» является одной из них. Вы можете связаться с нами, оставив заявку на сайте или позвонив по номеру 8 (495) 259-40-21.
2. Вам отправят список необходимых документов для получения ЭЦП и образцы их заполнения. Также сотрудники УЦ пришлют счет на оплату.
3. • Для физических лиц:
   • Для юридических лиц и ИП:
     • Паспорт.
     • СНИЛС.
     • Свидетельство ЕГРЮЛ/ЕГРИП.
     • ИНН .Вы вносите на счет удостоверяющего центра требующуюся сумму и предоставляете копии документов (позже потребуются оригиналы):
4. Удостоверяющий центр проверяет полученные документы и подтверждает оплату. Обычно процедура занимает не более 3 дней. Если КЭП требуется срочно, за дополнительную плату можно сократить процесс до нескольких часов.
5. После проверки документов вас приглашают в офис, куда вы приносите оригиналы всех вышеперечисленных документов и заверенные нотариусом копии.
6. Вы получаете флешку-рутокен, которая содержит ключ, сертификат и программу для создания подписи.

Как получить электронную подпись?

Пакет документов для получения электронной подписи различается для юридических и физических лиц. Но общий порядок действий одинаков:

1. Определите, для чего нужна подпись: тип подписи отличается в зависимости от сферы применения. Основные сферы использования мы описали выше.
2. Заполните заявку на выпуск сертификата электронной подписи в удостоверяющем центре (УЦ).
3. Оплатите стоимость выбранного сертификата, подготовьте и отправьте специалисту УЦ нужный комплект документов.
4. Придите в УЦ, чтобы получить сертификат.

Получить электронную подпись

Как приобрести подпись физическому лицу

Физическим лицам проще всего получить подпись в ближайшем МФЦ: рядом может не быть удостоверяющих центров, а МФЦ найдется всегда. Для этого надо записаться на прием и подготовить следующие документы:

1. Заявление на изготовление квалифицированного сертификата — шаблон дадут в МФЦ.
2. Паспорт.
3. СНИЛС.
4. Свидетельство о присвоении ИНН.

В Москве электронная подпись для граждан стоит 900—950 рублей. Вместе с носителем цена составит 1500—1600 Р. Отдельно носитель будет стоить от 1500 рублей. Эта цена отличается в зависимости от тарифа удостоверяющего центра и того, насколько защищенную подпись вы хотите использовать.

Как проверить подлинность подписи

Чтобы проверить подлинность подписи и неизменность документа, воспользуйтесь любым из бесплатных сервисов:

1. Портал «Криптопро».
2. Сайт госуслуг.
3. Сервис «Контур-крипто».

Квалифицированная электронная подпись, или кэп

Так же, как НЭП, квалифицированнаяподпись создается с помощью криптографических алгоритмов, но отличается в следующем:

Квалифицированная электронная подпись наделяет документы юридической силой и позволяет проверить, изменяли ли документ после подписания.

КЭП для торгов имеет самое широкое применение и используется:

• для сдачи отчетности в контролирующие органы,
• для участия в электронных торгах по 44-ФЗ компаний с госучастием в качестве поставщика,
• для электронного документооборота, имеющего юридическую силу без дополнительных соглашений между участниками,
• для организации и участия в закупках по 223-ФЗ,
• для работы с государственными информационными системами (например, на порталах Росреестра, ФСТ, ФТС, в системах СМЭВ, ГИС ГМП, ГИС ЖКХ, АС АКОТ, подачи сведений на портал ЕРФСБ, ЕФРСФДЮЛ, для взаимодействия с ФГИС Росаккредитация и др.)..

Некоторые торговые площадки требуют, чтобы квалифицированный сертификат содержал специальный идентификатор (OID). Так, чтобы работать на площадках uTender или Центр реализации, придется докупить отдельный OID для каждой площадки. Площадки могут отказываться от OIDов или вводить их — точную информацию о том, нужен ли площадки дополнительный идентификатор, нужно уточнять в техподдержке площадки или читать в ее регламенте.

Отчетность в егаис фсрар

Особняком стоит взаимодействие с единой государственной автоматизированной информационной системой (ЕГАИС) ФСРАР. Система создана, чтобы контролировать алкогольный рынок: производство, оптовую и розничную продажу спиртосодержащих напитков.

Для подключения к системе и взаимодействия с ней организации или индивидуальному предпринимателю нужна специальная квалифицированная электронная подпись — КЭП для ЕГАИС ФСРАР. Это связано с требованиями безопасности и техническими особенностями ключевых носителей: криптографические операции происходят в самом носителе, а не на компьютере пользователя.

Получить электронную подпись для ФСРАР ЕГАИС

Отчетность через интернет

Основная сфера применения электронной подписи — это сдача электронной отчетности. Большинство категорий бизнеса обязаны через интернет представлять отчетность в ФНС, ПФР, ФСС и другие контролирующие органы. Для отправки отчетности через интернет потребуется квалифицированный сертификат электронной подписи (далее — КЭП), выпущенный на сотрудника, который обладает полномочиями подписывать электронную отчетность организации.

Получить электронную подпись для отчетности

Тенденции рынка электронной подписи

• Расширение сфер использования

Сейчас насчитается более 60 отраслей применения электронной подписи. Ежегодно прибавляется порядка двух десятков отраслей применения электронной подписи.

•  Облачная электронная подпись  

Пока нет однозначного мнения от регуляторов по поводу того, как она должна функционировать. На текущий момент существуют различные решения, которые в той или иной степени применяются. Часть из них квалифицируется как облачная квалифицированная подпись, часть — как облачная неквалифицированная подпись.

Есть страны, которые активно применяют эту технологию и позволяют своим гражданам и бизнесу пользоваться электронной подписью на SIM-карте мобильного телефона (Азербайджан, страны Прибалтики). В России эта технология пока только развивается.

•  Повышение рисков и, как следствие, ужесточение регуляции

По мере увеличения количества областей, где применяется электронная подпись, повышаются и риски, связанные с мошенническими действиями. Злоумышленники пытаются найти различные лазейки, чтобы получить выгоду. Чем больше таких возможностей, тем больше ответственности возлагается на информационные системы и аккредитованные центры.

• Сокращение количества удостоверяющих центров

Это один из главных трендов, возникший как следствие повышения рисков. Последняя из мер — применение поправок к закону об электронной подписи, которые увеличили требования к удостоверяющим центрам. 

Участие в электронных торгах

Больше половины закупок всех бюджетных организаций проводятся в формате электронных аукционов. До июля 2021 года для участия в госзакупках нужна неквалифицированная электронная подпись (НЭП) — это требование 44-ФЗ «О контрактной системе».

С помощью НЭП участники госзакупок аккредитуются на электронных торговых площадках и подписывают контракты в случае победы в закупке. Но специалисты рекомендуют сразу же оформить КЭП, необходимую для других действий, связанных с участием в госзакупках: например, она нужна, чтобы оформить банковскую гарантию через интернет, обратиться в ФАС или арбитраж.

Кроме того, КЭП подойдет для участия в электронных закупках компаний с госучастием и коммерческий компаний, которые тоже проводят часть своих закупок  на электронных площадках.

Чтобы приобрести подходящую электронную подпись для участия в торгах в качестве поставщика, уточните требования к виду подписи на тех площадках, на которых планируете участвовать в электронных торгах.

Планируете участвовать в электронных торгах впервые? СКБ Контур поможет разобраться в сложных процедурах государственных и коммерческих торгов с помощью услуги Сопровождение торгов. Вы пройдете полный цикл от аккредитации на площадке до подписания контракта вместе с нашими специалистами. Услуги сопровождения торгов предотвратят ошибки, которые допускают новички. Мы проанализируем документацию, правильно составим и подадим заявки. Для победы вам останется подготовить конкурентное предложение.

Получить электронную подпись для торгов

Электронный документооборот

Все больше организаций, особенно с большим количеством контрагентов, переходят на электронный документооборот, оценив плюсы этой технологии:

• быстрый обмен любыми документами, в том числе бухгалтерской «первичкой»,
• сокращение издержек на обработку и передачу документов.

По договоренности между собой стороны могут использовать любой вид электронной подписи, но гарантом юридической силы электронных документов без подписания дополнительных соглашений между участниками документооборота является только КЭП. Кроме того, государство установило обязанность использовать квалифицированную электронную подпись для счетов-фактур.

Получить электронную подпись для документооборота

Эцп и федеральный закон №54-фз

Электронная цифровая подпись помогает упростить работу с онлайн-кассами. Она позволяет:

1. Зарегистрировать ККТ через онлайн. Больше не нужно приходить в ФНС с кассой и ждать окончания процедуры несколько дней. Все необходимые документы можно послать на сайт Федеральной налоговой службы. А регистрация занимает всего 15 минут.
2. Работать с сайтом ОФД. Для заключения договора с оператором фискальных данных необходимо получить сертификат ЭЦП. Для этого можно обратиться к партнеру ОФД, приехать в его офис и поставить ручную подпись. Но удобнее и быстрее сделать это онлайн.
3. Взаимодействовать с ЕГАИС. Получить ЭЦП стоит и для отправления данных и подписания документов, касающихся алкогольной продукции.