- Из чего состоит электронная подпись?
- Электронная подпись
- Инфраструктура электронной подписи
- Операции с сертификатом электронной подписи в Контур.Крипто
- Удостоверяющие центры
- Электронные торговые площадки
1. Из чего состоит электронная подпись?
Сертификат электронной подписи
Это электронный «паспорт» юридического или физического лица, который выдается удостоверяющим центром для идентификации владельца электронной подписи и подтверждения ее подлинности. Сертификат электронной подписи содержит:
- сведения о владельце;
- открытый ключ для проверки подлинности подписи получателем;
- информация об удостоверяющем центре, выпустившем сертификат;
- сведения об области применения сертификата.
Как правило, сертификат выдается на год, по истечении срока действия его необходимо продлевать. Это обусловлено требованиями информационной безопасности.
Закрытый ключ
Это уникальная последовательность символов, с помощью которой происходит подписание и расшифрование документов. Закрытый ключ всегда идет в паре с общедоступным открытым ключом электронной подписи, который позволяет удостовериться в подлинности электронной подписи или зашифровать документы.
Закрытый ключ хранится на защищенном ключевом носителе — токене. Стоит помнить, что электронный документ и электронную подпись невозможно подделать только при условии хранения закрытого ключа ЭП в тайне. В случае если токен с закрытым ключом попадает в чужие руки, происходит «компрометация» ключа, и сертификат электронной подписи должен быть отозван. Также компрометация закрытого ключа может произойти в случае заражения рабочего компьютера вредоносный программой.
Открытый ключ
Это уникальная последовательность символов, однозначно связанная с закрытым ключом, но открытый ключ электронной подписи является общедоступной информацией. С его помощью адресат, которому отправлен электронный документ, проверяет подлинность электронной подписи отправителя или зашифровывает документ.
Ключевой носитель
Это носитель, предназначенный для безопасного хранения закрытого ключа электронной подписи. Вместе с закрытым ключом на носителе обычно хранится и сертификат электронной подписи владельца. В основном используются два вида ключевых носителей: Рутокен и eToken, — ключевые носители в виде USB-ключей (флеш-карты)
2. Электронная подпись
Электронная подпись (ЭП)
Реквизит электронного документа, предназначенный для обеспечения подлинности документа.
Электронная подпись формируется с использованием средств криптографической защиты информации (СКЗИ) и закрытого ключа электронной подписи. Технология позволяет идентифицировать автора документа и подтверждает отсутствие изменений в электронном документе после его подписания.
В отличие от собственноручной подписи, ЭП позволяет передавать подписанный документ по интернет без пересылки материального аналога и дает возможность проверить подлинность документа.
Простая электронная подпись
Самый незащищенный вид подписи, который чаще всего представляет собой код, отправляемый по СМС, а также логин и пароль. Простая подпись только утверждает авторство документа, поэтому сфера ее применения достаточно узка, а возможность и порядок использования устанавливается оператором системы.
Усиленная неквалифицированная электронная подпись
Вид подписи, который позволяет определить отправителя и подтвердить, что после подписания в документ не вносились изменения. Она приравнивает документ к собственноручно подписанному с печатью организации, если это установлено регламентом информационной системы, в котором используется данный вид подписи, либо соглашением сторон, участвующих в электронном документообороте. Именно этот вид подписи используется для торгов по Федеральному закону № 44-ФЗ.
Усиленная квалифицированная электронная подпись
Самая широко применяемая и регулируемая из всех. Она обладает теми же свойствами, что и усиленная неквалифицированная подпись, но за счет дополнительного регулирования ее содержимого и правил выпуска в Федеральном законе 63-ФЗ, ее можно использовать в информационных системах без необходимости описания ее применения в регламенте/соглашении сторон. Квалифицированная подпись нужна для участия в торгах на некоторых коммерческих площадках и площадках по продаже имущества должников (банкротов), а также в юридически значимом электронном документообороте с контрагентами, при отправке отчетности в контролирующие органы через интернет и при работе с некоторыми порталами государственных органов.
Усовершенствованная электронная подпись
Усовершенствованной называется электронная подпись, к которой в момент создания была присоединена дополнительная информация. Виды усовершенствованной подписи описаны в RFC 5126.
Контур.Крипто создаёт подпись в формате CAdES-C, содержащую полную информацию, необходимую для проверки подлинности подписи даже после истечения срока действия сертификата. Для этого в подпись включаются данные о дате и времени подписания документа, полученные от сервера точного времени УЦ СКБ Контур. Кроме того, в подпись включаются сведения о цепочке доверия к сертификату и результаты проверки того, не был ли отозван сертификат и сертификаты из его цепочки доверия в момент создания подписи.
Так как усовершенствованная подпись даёт возможность доказать, в какой момент времени она была создана и не был ли в данный момент времени отозван сертфикат, её использование является предпочтительным. Все сертификаты УЦ СКБ Контур поддерживают создание усовершенствованной подписи.
3. Инфраструктура электронной подписи
Средство криптографической защиты информации
Программный комплекс, реализующий на компьютере пользователя хотя бы один из следующих криптографических алгоритмов:
- шифрование
- расшифрование
- создание
- проверку электронных подписей.
В практике широкое применение получили средства криптографической защиты информации, реализующие все перечисленные алгоритмы, а значит, являющиеся также средствами электронной подписи. Самые распространенные из них: Крипто Про CSP, VipNet CSP.
В сервисах, предназначенных для подписания и шифрования документов, операции совершаются с помощью СКЗИ.
Компрометация ключа
Утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. Любое изменение реквизитов владельца ключа (сменилось название, поменялся руководитель организации) или компрометация закрытого ключа влечет к тому, что нужно отозвать действующий сертификат и получить новый.
Метка времени
Технология, которая подтверждает момент подписания электронного документа. В файл подписи включается точное время создания подписи, полученное с сервера точного времени и подтвержденное электронной подписью удостоверяющего центра. Метка времени используется для проверки того, что на момент подписания документа действие сертификата не истекло или он не был отозван.
Список отозванных сертификатов (СОС)
Электронный документ, включающий в себя список серийных номеров сертификатов ключей подписи, которые на определенный момент времени были аннулированы (отозваны). Достоверность и актуальность документа подтверждается электронной подписью Удостоверяющего Центра
Отсоединенная электронная подпись
Разновидность электронной подписи, при создании которой, файл подписи создается отдельно от подписываемого файла. Поскольку подписываемый файл никак не изменяется, его можно читать, не прибегая к специальным программам, работающим с электронной подписью.
Для проверки подписи нужно будет использовать программы либо сервисы, работающие с электронной подписью. При этом входными данными для таких программ будут служить файл с электронной подписью и подписанный ей файл.
Присоединенная электронная подпись
Разновидность электронной подписи, при создании которой, создаётся файл, содержащий как саму электронную подпись, так и исходный документ. В случае использования присоединенной подписи для чтения подписанного файла необходимо прибегнуть к специальным программам, работающим с электронной подписью, в которых можно как проверить подпись, так и «извлечь» подписанный файл для чтения. При этом входными данными для таких программ или сервисов будет служить единый файл, содержащий как электронной подпись, так и подписанный ей документ.
4. Операции с сертификатом электронной подписи в Контур.Крипто
Создание подписи
Электронная подпись гарантирует авторство и целостность данных, а значит, обеспечивает доверие к информации, содержащейся в электронном документе.
Каждая подпись создается с помощью закрытого ключа сертификата электронной подписи, который хранится на специальном носителе токене.
При создании файла подписи в него автоматически вкладывается сертификат электронной подписи, который содержит открытый ключ подписи для проверки ее подлинности получателем.
Проверка подписи
Электронная подпись, созданная с использованием сертификата, проверяется с помощью открытого ключа электронной подписи, который содержится в файле подписи.
Успешное прохождение проверки подтверждает, что данная электронная подпись была создана для полученного документа, и документ после этого не был изменен. Авторство документа получатель может проверить, ознакомившись со сведениями об авторе, которые содержатся в сертификате электронной подписи.
Шифрование документа
Шифрование документа обеспечивает конфиденциальность информации, содержащейся в документе любого формата.
Автор зашифровывает документ с помощью сертификата электронной подписи получателя, содержащего открытый ключ. Это открытая информация, которую автор документа может запросить у самого получателя. После завершения процедуры шифрования прочитать файл может только владелец того сертификата электронной подписи, с помощью которого был зашифрован документ.
Расшифрование документа
Расшифрование документа происходит с помощью сертификата электронный подписи (с помощью закрытого ключа данного сертификата), на который был зашифрован документ.
Данный сертификат должен быть установлен на компьютере получателя документа.
5. Удостоверяющие центры
Удостоверяющий центр
Организация, осуществляющая функции по созданию и выдаче сертификатов ключей проверки электронных подписей. Основным назначением удостоверяющего центра является выдача сертификатов ключей подписей. Помимо этого им осуществляется:
- Изготовление сертификатов ключей подписей;
- Создание закрытого и открытого ключа ЭП при обращении участников информационной системы;
- Обеспечение конфиденциальности закрытого ключа ЭП, созданного удостоверяющим центром;
- Аннулирование (отзыв) сертификатов ключей электронных подписей;
- Ведение реестра сертификатов, обеспечение его актуальности и возможности свободного доступа к нему участников информационных систем;
- Проверка уникальности открытых ключей ЭП в реестре сертификатов и архиве УЦ;
- Подтверждение подлинности ЭП в электронных документах в отношении выданных удостоверяющим центром сертификатов ключей подписей по обращениям пользователей сертификатов.
Удостоверяющий центр СКБ Контур
Крупнейший коммерческий федеральный центр выдачи электронных подписей.
Удостоверяющий бизнес СКБ Контур имеет аккредитацию Минкомсвязи, все необходимые лицензии и не только предлагает современные программы для эффективного ведения бизнеса, но и берёт на себя полную ответственность за их круглосуточную техническую поддержку.
Благодаря широкой партнерской сети Удостоверяющего центра центры выдачи сертификатов ЭП есть во многих городах России.
Аккредитация удостоверяющего центра
Признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона РФ от 6.04.2011г №63-ФЗ «Об электронной подписи». Удостоверяющий центр, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным удостоверяющим центром и получает право выдавать квалифицированные сертификаты.
6. Электронные торговые площадки
Электронная торговая площадка (ЭТП)
Специализированный интернет-сайт, который объединяет в одном информационном пространстве поставщиков и потребителей, другими словами, это ряд сервисов, позволяющий заключать сделки купли-продажи между предприятиями.
ЭТП для размещения государственного заказа
ЭТП, отобранные Минэкономразвития РФ и ФАС РФ в рамках специальной процедуры. Данные площадки располагают функционалом для проведения открытых аукционов в электронной форме и действуют по регламенту, жестко определенному законодательством Российской Федерации (Федеральный Закон РФ № 44-ФЗ).
Перечень федеральных торговых площадок определен Министерством Экономического Развития РФ и Федеральной Антимонопольной Службой РФ для размещения госзаказов:
- Сбербанк-АСТ (sberbank-ast.ru)
- ЭТП ММВБ «Госзакупки» (etp-micex.ru)
- РТС-Тендер (rts-tender.ru)
- Единая электронная торговая площадка (etp.roseltorg.ru)
- Система электронных торгов (zakazrf.ru)
Для аккредитации на ЭТП госзаказа необходимо иметь неквалифицированный сертификат электронной подписи.
ЭТП по продаже имущества должников (банкротов)
ЭТП, предназначенные для автоматизации процедуры проведения торгов в электронной форме при продаже имущества (предприятия) должников в ходе процедур, применяемых в деле о банкротстве в соответствии с требованиями Федерального закона «О несостоятельности (банкротстве)» и приказом Минэкономразвития № 54 от 15 февраля 2010 г. В настоящее время Комиссией Минэкономразвития РФ аккредитовано несколько ЭТП по реализации имущества банкротов:
- ЭТП «Electro-torgi.ru»
- Электронная торговая площадка ЭСП
- УЭТП
- ЭТП Электронный капитал
- ЭТП «СЭЛТ»
- ЭТП «Профит»
Для участия в торгах по продаже имущества банкротов требуется квалифицированный сертификат электронной подписи.
ЭТП для размещения заказов по 223-ФЗ
Электронные Торговые Площадки, на которых закупки осуществляют юридические лица, подпадающие под действие 223-ФЗ, и имеющие функционал, который разработан под закупочные процедуры, установленные в Положениях о закупках таких юридических лиц. Как правило, ЭТП для размещения заказов по 223-ФЗ совмещают свой функционал с процедурами, используемыми коммерческими заказчиками. Среди таких площадок можно назвать:
- B2B
- Торговый портал Fabrikant.ru
- ЭТП «БашЗаказ»
и др.
В зависимости от требований ЭТП для торгов по 223—ФЗ может понадобиться как квалифицированный, так и неквалифицированный сертификат.
ЭТП для коммерческих заказчиков
Электронные Торговые Площадки, на которых электронные торги проводят не государственные компании (коммерческие заказчики). Таких ЭТП значительно больше, чем для государственных торгов и регламент проведения электронных аукционов на них более гибкий (в некоторых аукционах не требуется даже электронная подпись):
- CЭТ ОАО «Российский аукционный дом»
- ЭТП «SetOnline»
- ЭТП «ELTORG»
- ЭТП «Аукционный Конкурсный Дом»,
- ЭТП «ТЗС Электра»
- ООО Электронная торговая площадка,
и др.
В зависимости от требований ЭТП для коммерческих торгов может понадобиться как квалифицированный, так и неквалифицированный сертификат.
Содержание статьи
Показать
Скрыть
Большинство государственных услуг давно можно получить в электронном виде, и на самом деле весь документооборот можно перевести в такой формат, но для этого придется оформить электронную подпись. Разбираемся, что это такое, чем отличаются механизмы получения такой подписи для физлиц и юрлиц и для чего она может понадобиться.
Что такое электронная подпись
Электронная цифровая подпись (ЭЦП) — это атрибут электронного документа, с помощью которого верифицируется авторство, время подписания документа и его неизменность. ЭЦП даже может полностью заменить рукописную подпись, но есть нюансы.
Принцип работы ЭЦП
Подписанный ЭЦП документ зашифровывается с помощью закрытого ключа, а расшифровывается с помощью открытого. Весь процесс складывается из нескольких этапов:
- Информация о документе и его содержании зашифровывается с помощью закрытого ключа, создается хэш-сумма.
- Полученная подпись прикрепляется к документу.
- Вместе с документом добавляется сертификат проверки (открытый ключ).
- С помощью программы криптографической защиты информации проверяется соответствие хэш-суммы и содержания документа. Если документ не изменялся после подписания, значит эти переменные совпадут, то есть документ сохранит юридическую силу.
Сертификат закрытого ключа хранится у владельца подписи на компьютере, внешнем диске или специальной флешке (токене). Также подпись можно записать на менее популярные носители: смарт-карты, сим-карты, облачные хранилища, диски.
Просмотреть подпись можно с помощью сертификата открытого ключа — электронного документа, в котором есть следующая информация:
- Кто владеет подписью.
- Какие у него полномочия.
- Какая организация выдала подпись.
Зачем нужна электронная подпись
Электронная подпись позволяет подписывать документы в электронном виде. Если для простых операций подходит простое подтверждение личности с помощью пары «логин-пароль» или СМС-подтверждение, то, например, для других целей физическим лицам понадобится ЭЦП. Например, чтобы:
- подать декларацию в ФНС;
- удаленно заключить трудовой договор;
- подать судебный иск через ГАС «Правосудие»;
- оформить заявление на поступление в вуз;
- получить патент или разрешение на различные работы;
- проводить удаленно сделки с недвижимостью (только при наличии специального расширения);
- подписывать договоры между заказчиком и исполнителем;
- использовать в других случаях, когда нужна подпись человека.
Федеральный закон «Об электронной подписи» прямо указывает, что ЭЦП — замена рукописной подписи. Поэтому физлицо смело может использовать электронную подпись в любых случаях, а препятствие к этому может быть лишь одно — категоричный отказ второй стороны взаимодействовать таким образом.
Электронная регистрация прав собственности: как проходит и какие документы нужны
Юридические лица и индивидуальные предприниматели пользуются ЭЦП, чтобы подавать отчетность, общаться с госорганами по электронному документообороту, работать в системе «Честный знак» или пользоваться онлайн-эквайрингом. Предпринимателям точно не обойтись без электронной подписи, если они планируют участвовать в тендерах и аукционах на торговых площадках. Без ЭЦП аккредитоваться на таких площадках не получится.
|
Простые |
Неквалифицированные |
Квалифицированные |
|
|
Декларации и отчетность в ФНС |
не принимаются |
принимаются |
принимаются |
|
Запросы в ПФР и ФСС |
принимаются, но только на «Госуслугах» и только по выпискам |
принимаются |
принимаются |
|
Иски в суды |
не принимаются |
не принимаются |
принимаются |
|
Трудовые отношения между организациями и сотрудниками |
не принимаются |
принимаются |
принимаются |
|
Операции с недвижимостью в Росреестре |
не принимаются |
не принимаются |
принимаются, причем только со специальным расширением |
|
Вузы |
принимаются, но ограниченно |
принимаются, но только для студентов |
принимаются |
В чем плюсы и минусы ЭЦП
Самое главное преимущество электронной подписи — экономия времени, а значит и расходов, связанных с физическим оформлением и подачей документов. Перевод документооборота в электронный вид упрощает рабочие процессы. Также к плюсам ЭЦП можно отнести:
- безопасность: электронную подпись невозможно подделать, если ее владелец соблюдает все правила сохранности;
- легкая проверка подлинности;
- высокая скорость коммуникаций между сторонами.
Правда, за это придется заплатить. Усиленная квалифицированная электронная подпись физического лица при самостоятельном выпуске стоит 1 200 рублей, а стоимость одного ключа для юрлиц может достигать 10 тыс. рублей. Учитывая, что ЭЦП действует только 15 месяцев, эти расходы станут ежегодными. К тому же в компании подпись может понадобиться нескольким сотрудникам, тогда расходы могут оказаться еще более существенными.
Это сравнительно молодой вид документооборота в России, поэтому пока встречаются манипуляции с ЭЦП. Правда, государство регулярно ужесточает правила выдачи электронных подписей и аккредитации удостоверяющих центров. Отдельные ведомства также добавляют дополнительные требования для работы на их порталах. Например, чтобы защитить граждан от мошенничества, Росреестр не принимает базовые квалифицированные подписи, а только подписи со специальным расширением.
Виды ЭЦП и их отличия
Всего существует три вида электронной подписи — простая, неквалифицированная и квалифицированная:
- Простая электронная подпись. Это знакомые пары «логин-пароль», коды из пуш-уведомлений и СМС. Когда пользователи заходят в онлайн-банкинг или в личные кабинеты сайтов госуслуг, совершают операции, подтверждают их с помощью кодов и паролей, то по условиям оферты или договора это приравнивается к подписи. Это лишь подтверждение согласия на действие, но нет никакой гарантии авторства.
- Неквалифицированная электронная подпись. Этот вид ЭЦП используется для электронного документооборота внутри компаний или с внешними контрагентами, если между сторонами подписаны соглашения о доверии электронным подписям. Неквалифицированную ЭЦП создают с помощью программ шифрования. Такой способ точно определяет автора, время подписи, но доказать неизменность документа уже не получится. А государство вовсе не доверяет этому виду ЭЦП, поэтому использовать такие документы в суде не получится.
- Квалифицированная электронная подпись (иногда — усиленная квалифицированная электронная подпись, УКЭП). Ее выдают лишь в удостоверяющих центрах, которые проходят госаккредитацию, поэтому это самый надежный вид ЭЦП. Ключи создаются только в тех программах, которые прошли сертификацию в ФСБ. Соответственно, государственные органы всецело доверяют именно квалифицированным электронным подписям. Подписанный такой ЭЦП документ можно проверить на авторство, неизменность и время подписания, то есть он равнозначен документу, подписанному от руки.
Для работы на портале Росреестра понадобится специальное расширение для квалифицированной электронной подписи. Без этого расширения ведомство не принимает электронные документы.
На всех электронных торговых площадках это обязательное условие. Обычно базовой УКЭП достаточно, но некоторые торговые площадки усложняют доступ и предъявляют дополнительные требования. Перед участием в торгах лучше уточнить условия у торговой площадки.
Как получить электронную подпись
Как получить электронную подпись физлицу
Квалифицированную электронную подпись можно получить через удостоверяющие центры. Для оформления необходимо подготовить пакет документов: каждый УЦ запрашивает свой список, но чаще всего требуется только заявление, паспорт и СНИЛС. Стоит обратить внимание, что понадобится техника — ноутбук или персональный компьютер. Его для корректной работы с ЭЦП бесплатно настроят специалисты удостоверяющего центра.
В офис идти необязательно. Многие УЦ предлагают услугу выезда специалиста на дом. Представители выезжают к клиенту на дом, верифицируют личность, забирают документы и выдают токен. После этого человек сам выпускает подпись на своем компьютере — это делается за пару кликов.
Стоимость выдачи электронной УКЭП для физлиц не превышает 2 тыс. рублей. Плюс к этой сумме добавляется отдельно стоимость токена — от 1,5 до 2 тыс. рублей в зависимости от региона.
При этом для операций в личном кабинете налоговой подойдет и неквалифицированная подпись, которую ФНС оформляет налогоплательщику бесплатно. Получить ее можно в разделе «Профиль».
Нет, подпись и на дому, и в офисе оформляется только на будущего владельца ЭЦП, поэтому даже нотариально заверенная доверенность не поможет получить ключ удаленно. Удаленно получить токен в УЦ можно только в том случае, если уже есть ЭЦП другого центра.
Как получить электронную подпись юрлицу и ИП
Юридические лица и ИП получают квалифицированные сертификаты подписи в удостоверяющем центре или МФЦ. Понадобятся следующие документы:
- заявление на изготовление электронной подписи;
- паспорт и СНИЛС (для ИП);
- выписка из ЕГРЮЛ или ЕГРИП;
- копия устава;
- доверенность уполномоченного представителя и паспорт получателя.
Как и в случае с физлицами, представители УЦ могут выехать в офис или на дом.
Стоит оформление от 800 до 20 тыс. рублей. Стоимость зависит от того, в каких целях юрлицо или предприниматель будет использовать подпись. Разные ведомства и торговые площадки предъявляют свои требования к нужным расширениям у ЭЦП. Помочь в подборе нужной конфигурации могут специалисты УЦ. Стоит обратить внимание, что отдельно оплачивается также носитель.
ФНС бесплатно выдает КЭП, но только руководителям юрлиц и ИП. Правда, носитель придется все равно покупать — любая флешка не подойдет. Только тот токен, что сертифицирован в ФСБ.
С 2022 года руководители юрлиц, ИП и частные нотариусы обязаны получать подписи в ФНС — непосредственно в отделении инспекции или в офисе доверенного лица налоговой. Если есть действующая электронная подпись, выданная другим УЦ, то ей можно пользоваться до конца года. Обновлять уже придется у налоговиков. Такая подпись будет действовать до 15 месяцев.
Можно ли проверить подлинность электронной подписи
Проверить подлинность электронной подписи можно несколькими способами:
- Сервис на «Госуслугах». Пользователь загружает документ без ограничений в форматах. Проверить таким образом бесплатно можно как квалифицированную, так и неквалифицированную электронную подпись. Если подпись отсоединенная, загрузить нужно и подписанный документ, и файл подписи.
- Сервис «КонтурКрипто». Здесь можно как подписать, так и проверить документы, подписанные электронной подписью. Последняя процедура бесплатная и подходит для файлов в любом формате. Правда, проверить можно только отсоединенную подпись — для этого нужно загрузить и документ, и файл подписи.
- Сервис «КриптоПро». На этом сервисе проверить бесплатно получится только PDF-файлы, а за остальные придется заплатить. Зато проверить можно все типы подписей.
- Программа «КриптоАРМ». Минус этого способа в том, что придется скачивать специальную программу. Для этого достаточно бесплатной версии «Старт». Проверить можно файлы в любом формате, а также папки документов.
- Плагины для офисного софта и читалок PDF. У «КриптоПро» есть свои инструменты, с помощью которых можно проверить подлинность документа прямо в Adobe Reader, Word или Excel. Такая же возможность есть у плагина «КриптоБит».
Если подписи действительны, сервисы укажут владельца подписи, дату подписания, наименование удостоверяющего центра, а также подтвердят, что файл не был изменен. Если же проверка окажется неуспешной, пользователю укажут, что с этим документом не так.
Помимо подлинности подписи для надежности рекомендуется проверять аккредитацию удостоверяющего центра, выдавшего ЭЦП. Это можно сделать на сайте Минцифры России.
Может ли другой человек использовать мою электронную подпись
Федеральный закон №63 «Об электронной подписи» накладывает ответственность за безопасность ЭЦП на ее владельца. Он отвечает за сохранность ключей и следит, чтобы электронную подпись не использовали без его согласия. Поэтому если соблюдать все правила безопасности, то использовать подпись без ведома ее владельца невозможно.
К сожалению, передача доверенности на ЭЦП никак не регламентирована. Чтобы сэкономить расходы, в некрупных компаниях часто заводят подпись на одного уполномоченного сотрудника (чаще всего директора), а после передают ее между сотрудниками. Бухгалтеры этим ключом отправляют отчетность в ФНС, юристы формируют иски в суд, коммерческие сотрудники маркируют товары.
По закону это не считается нарушением, но стоит помнить, что всю ответственность несет владелец подписи, независимо от того, подписывал он документ сам или поручил это своему доверенному сотруднику. Поэтому рекомендуется оформлять ЭЦП каждому сотруднику, у которого есть право подписи.
Что такое электронная подпись — простым языком для новичков мира цифровой экономики
30 октября 2017
В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.
Что такое электронная подпись?
Электронная подпись – это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.
Справочно:
Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т.д.
Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:
— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,
— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.
Возможности электронной подписи
Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.
Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.
Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.
Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?
Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.
Справочно:
Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.
Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).
Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.
Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.
Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.
Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?
Выданная электронная подпись состоит из 3 элементов:
1 – средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако». Подробнее прочитать о технологиях ЭЦП, связанных с использованием «электронного облака», можно будет в следующей статье Единого портала Электронной подписи.
Справочно:
Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.
Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона № 63.
2 – ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них – ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете. Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым». Он не содержится в тайне, однозначно привязан к «закрытому» ключу и необходим, чтобы любой желающий мог проверить корректность электронной подписи.
3 – сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией). На практике это выглядит следующим образом: например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову. Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим. Таким образом, преступник получит возможность выдавать себя за подписанта. В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.
В соответствии с законодательством РФ различают:
— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;
— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.
Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр — понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.
Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:
- Клиент приобрел средство электронной подписи.
- Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.
- УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.
Вопрос безопасности
Требуемые свойства подписываемых документов:
- целостность;
- достоверность;
- аутентичность (подлинность; «неотрекаемость» от авторства информации).
Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.
С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.
Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.
Как подписать файл электронной подписью?
Для подписания файла ЭЦП нужно выполнить несколько шагов. В качестве примера рассмотрим, как поставить квалифицированную электронную подпись на свидетельство на товарный знак Единого портала Электронной подписи в формате .pdf. Нужно:
1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».
2. Пройти путь в диалоговых окнах криптопровайдера:
Выбрать кнопку «Далее».
На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.
Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).
В блоке «Свойства подписи» выбираете «Подписано», при необходимости можно добавить комментарий. Остальные поля можно исключить/выбрать по желанию.
Из хранилища сертификатов выбираете нужный.
После проверки правильности поля «Владелец сертификата», нажимайте кнопку «Далее».
В данном диалоговом окне проводится финальная проверка данных, необходимых для создания электронной подписи, а затем после клика на кнопку «Готово» должно всплыть следующее сообщение:
Успешное окончание операции означает, что файл был криптографически преобразован и содержит реквизит, фиксирующий неизменность документа после его подписания и обеспечивающий его юридическую значимость.
Итак, как же выглядит электронная подпись на документе?
Для примера берем файл, подписанный электронной подписью (сохраняется в формате .sig), и открываем его через криптопровайдер.
Фрагмент рабочего стола. Слева: файл, подписанный ЭП, справа: криптопровайдер (например, КриптоАРМ).
Визуализация электронной подписи в самом документе при его открытии не предусмотрена ввиду того, что она является реквизитом. Но есть исключения, например, электронная подпись ФНС при получении выписки из ЕГРЮЛ/ЕГРИП через онлайн сервис условно отображается на самом документе. Скриншот можно найти по ссылке.
Но как же в итоге «выглядит» ЭЦП, вернее, как факт подписания обозначается в документе?
Открыв через криптопровайдер окно «Управление подписанными данными», можно увидеть информацию о файле и подписи.
При нажатии на кнопку «Посмотреть» появляется окно, содержащее информацию о подписи и сертификате.
Последний скриншот наглядно демонстрирует как выглядит ЭЦП на документе «изнутри».
Приобрести электронную подпись можно по ссылке.
Задавайте другие вопросы по теме статьи в комментариях, эксперты Единого портала Электронной подписи обязательно ответят Вам.
Статья подготовлена редакцией Единого портала Электронной подписи iEcp.ru с использованием материалов компании SafeTech.
При полном или частичном использовании материала гиперссылка на www.iecp.ru обязательна.
Читайте также:
Подписаться
23 августа 2017
Информационная безопасность в мире цифровой экономики
Цифровая экономика стремительно вытесняет старый уклад во всех сферах деятельности современного общества. Трансформируется частная жизнь и рабочие места, появляются новые профессии и инструменты взаимодействия. В эпоху столь масштабных преобразований всё большую актульность принимает проблема информационной безопасности в организациях. Исполнительный директор АЭТП Илия Димитров и заместитель директора Академии Информационных Систем Игорь Елисеев прокомментировали вопрос становления цифровой экономики и основные аспекты обеспечения ИБ в современных компаниях.
Как подписать документ электронной подписью: главные особенности процедуры
Дмитрий Пангин
Генеральный директор АО «Пененза» (ранее руководитель АО «ОТС»)
Специализация: закупки по 44-ФЗ и 223-ФЗ, коммерческие тендеры
дата: 09.11.2021
Электронная или электронно-цифровая подпись (ЭП) – это реквизит документа, сформированный с помощью оригинальной комбинации символов для того чтобы придать документу юридическую силу. Сегодня мы расскажем об основных преимуществах ЭП, а также о том, как заверить документы электронной цифровой подписью и какие программные модули для этого используются.
Содержание
- Область применения электронной подписи
- Разновидности и возможности электронной подписи
- Для чего нужен сертификат электронной подписи
- Программы для подписания документа ЭП
- Правила использования цифровой подписи в MS Word
Область применения электронной подписи
К наиболее популярным сферам применения ЭП относится:
- ► Электронный документооборот – ЭП часто применяется в качестве замены обыкновенной подписи либо печати в системах кадрового, торгового и другого делопроизводства.
- ► Отчётность – большинство организаций предпочитают сдавать документацию в электронном виде, используя отдельное ПО, программные продукты 1C, а также порталы ФНС и ФСС.
- ► Государственные услуги – ЭП часто используется для заверения документации, отправляемой в электронной форме.
- ► Торги – ЭП используется поставщиками для того, чтобы обеспечить заключаемым контрактам законную силу.
- ► Суд – подпись сможет послужить доказательством при появлении разногласий между предприятиями.
- ► Делопроизводство с физлицами – например, при помощи ЭП можно работать удалённо.
Совет: Во внутреннем делопроизводстве подпись можно применить в качестве средства визирования – к примеру, договор может передаваться в исполнение, если при согласовании руководитель компании подписал его ЭП. При формировании документооборота в сфере B2B ЭП выступает гарантом законности.
Разновидности и возможности электронной подписи
Разновидности подписи утверждены ФЗ № 63 от 06.04.2011. Любой вид ЭП гарантирует конфиденциальность информации, идентифицирует автора документации и предоставляет возможность контроля внесённых в документ изменений. Использование такой подписи существенно сокращает затраты, связанные с оформлением, анализом и хранением документации.
Применение ЭП позволяет:
- • уменьшить время, необходимое для оформления сделки и обмена документацией;
- • усовершенствовать процедуру подготовки и доставки документации;
- • выстроить эффективную структуру обмена документацией;
- • минимизировать риски, связанные с материальными потерями.
Подпись может быть:
- ➊ простой – предполагает подтверждение с применением паролей либо кодов;
- ➋ усиленной неквалифицированной – образуется в процессе криптографической обработки информации и позволяет установить, кто именно подписал тот или иной документ;
- ➌ усиленной квалифицированной – этот вид подразумевает применение наработок криптозащиты, обладающих сертификацией Федеральной службы безопасности РФ.
Для чего нужен сертификат электронной подписи
Этот бумажный либо электронный документ указывает на принадлежность электронной подписи собственнику и позволяет проверить её подлинность.
Сертификат включает такие элементы, как:
- ✔ ключ проверки;
- ✔ название центра, который выпустил данный сертификат, а также дату его действия;
- ✔ данные об ограничениях при использовании подписи и её владельце (ФИО, СНИЛС, ИНН и проч.).
Создание ключа сертификата производится при помощи средств криптографической защиты информации, поэтому все сведения надёжно защищены.
Совет: Желаете начать работать с ЭП? Тогда за сертификатом следует обратиться в удостоверяющий центр (СКПЭП), затем заполнить онлайн‑заявление, оплатить счёт и подготовить документацию, связанную с идентификацией.
Программы для подписания документа ЭП
Для подписания документации ЭП понадобится сам документ, действующий сертификат и специальные программы.
Существует несколько программ, используемых для подписания документации ЭП – к самым популярным из них относится:
- → ViPNet CryptoFile – эта бесплатная программа позволяет подписывать документацию в форматах doc, xls, jpg, xml и txt, однако при визировании можно добавлять только одну ЭП.
- → КриптоАРМ – программа с платным ПО, которая даёт возможность добавлять большое количество ЭП.
- → OTC-crypto – программа, доступная как для юридических, так и для физических лиц, которые находятся в любом регионе РФ.
Совет: Если вы планируете получить ЭП посредством OTC-crypto, то для этого вам потребуется пройти простую процедуру регистрации – указать контактные данные (ФИО, e-mail и номер телефона) и придумать пароль.
Правила использования цифровой подписи в MS Word
Заявления, судебные иски, различные договоры и другие документы в MS Word можно подписывать без применения специализированного программного обеспечения. Для этого к обычному пакету Microsoft Office необходимо скачать плагин «КриптоПро Office Signature 2.0». При этом на ноутбуке или персональном компьютере должна быть установлена ОС старше 2007 г.
Подписание ЭП в MS Word осуществляется в несколько этапов:
- ■ откройте документ, найдите раздел «Файл», нажмите на блок «Защита документа» и выберите пункт «Добавить цифровую подпись»;
- ■ после добавления подписи в окне «Подписание» нужно указать роль подписанта и выбрать сертификат (если к вашему персональному компьютеру или ноутбуку привязано несколько сертификатов, то Word автоматически подтянет последнюю версию ЭП, а для изменения текущего положения следует перейти в настройки, нажав на строку «Изменить»);
- ■ заполните обязательные поля, нажмите на кнопку «Подписать» – и сертификат соединится с документом, обеспечив его надёжную защиту.
Как видим, ЭП является программно-криптографическим средством, обеспечивающим конфиденциальность и проверку целостности документов, а также установку лиц-отправителей. В сфере госзакупок ЭП подписываются любые поданные заявки – подобная процедура позволит заказчикам быть уверенными в том, что они имеют дело с конкретными существующими участниками. Кроме того, все контракты, заключаемые по итогам закупок, начинают действовать исключительно после визирования при помощи ЭП.
Из нашей статьи вы узнаете:
ЭЦП — электронная (цифровая) подпись — это аналог рукописной подписи. Она выполняет ту же функцию — обеспечивает юридическую значимость для документов. Только подписывают с помощью ЭЦП документы не бумажные, а электронные. Кроме того, электронная подпись фиксирует информацию, которая была в документе на момент подписания, тем самым подтверждая её неизменность. В статье рассмотрим, что значит электронная подпись.
Как устроена электронная подпись
Электронная цифровая подпись — это устройство со сложной технической составляющей.
.png)
Электронная подпись состоит из двух основных частей:
- Открытый ключ, он же сертификат.
- Закрытый ключ — криптографическая часть.
Эти составные части выполняют разные функции: с помощью закрытого ключа, доступного только владельцу, документ шифруется, а с помощью сертификата, доступного для всех, документ дешифруется. Таким образом, достигается цель использования ЭЦП — подтверждается то, кем был подписан документ, и заверяется его неизменность с момента подписания.
Закрытый ключ не содержит в себе ничего, кроме механизма, с помощью которого он может шифровать документы. Сертификат же несёт в себе такую полезную информацию, как сведения о владельце, сведения об удостоверяющем центре, срок действия цифровой электронной подписи и т.д. Сертификат выступает в роли главного носителя информации о ЭЦП.
Программы для работы и алгоритмы шифрования
С ЭЦП не получится работать сразу. Чтобы шифровать и подписывать документы, недостаточно только иметь сертификат и закрытый ключ, для работы нужно устанавливать специальные программы. С помощью этих программ, которые работают по определённому стандарту шифрования (в России — ГОСТ 34.10-2018), обеспечивается связь закрытого и открытого ключа с документами.
Расшифровка ЭЦП: электронная цифровая подпись. Данное понятие является устаревшим. Сегодня используется термин — электронная подпись, сокращённо ЭП.
Одной из самых популярных программ-криптопровайдеров в России является «КриптоПро CSP». С её помощью можно подписывать и шифровать документы, проверять сертификаты на подлинность, контролировать целостность соответствующего программного обеспечения.
Принцип работы электронной подписи
Электронная подпись работает по асимметричному принципу шифрования. То есть документ зашифровывается с помощью закрытого ключа, а расшифровывается с помощью открытого.
.png)
Объясним принцип работы ЭЦП на пальцах. Подписание документа производится в несколько этапов:
- Хеш документа шифруется с помощью закрытого ключа.
- Полученная подпись добавляется к документу.
- К документу прикрепляется сертификат проверки.
Так как сертификаты, выдаваемые удостоверяющим центром, тоже подписываются с помощью электронной подписи, подменить сертификат невозможно. На сайте удостоверяющего центра, как правило, можно скачать открытый ключ проверки, хеш которого должен совпадать с хешем открытого ключа владельца. Таким образом доказывается его достоверность.
Виды электронной подписи
Существует три вида ЭП, которые используют для различных ситуаций. Рассмотрим, какой может быть электронная подпись, понятие, виды и применение.
- Простая электронная подпись (ПЭП) — представляет из себя логин и пароль. Используется для авторизации и аутентификации пользователя в интернете или различных автоматизированных сервисах;
- Неквалифицированная электронная подпись (НЭП) — подойдёт для внутреннего и партнёрского электронного документооборота. Чтобы работать с контрагентами, потребуется заключить дополнительное соглашение;
- Квалифицированная электронная подпись (КЭП) — равнозначна рукописной, придаёт документам юридическую значимость, имеет высокую степень защиты информации. Для создания цифровой подписи используются средства криптографической защиты, которые соответствуют требованиям законодательства. Технические характеристики КЭП регулирует государство. Данный вид подписи подходит для сдачи электронной отчётности в государственные органы, участия в закупках по 223-ФЗ и 44-ФЗ и ЭДО с контрагентами без дополнительных соглашений.
Как происходит подписание документа с помощью ЭЦП
Система подписания документов с помощью электронной подписи выглядит следующим образом:
- Электронная подпись присоединяется не к цифровому документу. ЭП ставится на его сжатую версию — хэш. Таким образом, сокращается время шифрования, так как хэш файла весит меньше, чем сам файл.
- Для создания хэша применяются криптографические хэш-функции. При данном способе объёмный текст файла не делится на отдельные модули и сохраняет свой порядок.
- После создания хэша, закрытый ключ его шифрует и передаёт получателю вместе с сертификатом электронной подписи.
- Открытый ключ ЭП адресата расшифровывает информацию и проверяет подлинность сертификата отправителя.
Закрытый ключ электронной подписи хранят в памяти компьютера или физических носителях: USB-токенах и смарт-картах. Согласно закону «Об электронной подписи» 63-ФЗ, ответственность за хранение закрытого ключа несёт владелец.
Как начать работать с квалифицированной электронной подписью
Для работы с КЭП требуется настроить рабочее место: установить СКЗИ и специальный плагин на компьютер. А получить квалифицированную электронную подпись можно только в удостоверяющих центрах. Финансовым участникам рынка КЭП выдают в Центробанке, работникам бюджетных учреждений — в Казначействе, а индивидуальным предпринимателям и юрлицам в УЦ ФНС и её доверенных лиц.
Для ускоренного выпуска квалифицированной ЭП юрлица и ИП рекомендуем воспользоваться услугой Получение КЭП в ФНС под ключ. Специалисты УЦ «Калуга Астрал» помогут сэкономить время на получение электронной подписи и настройку рабочего места, а пройти идентификацию и получить подпись вы сможете через филиалы нашего партнёра — доверенного лица УЦ «Основание».
Работники индивидуальных предпринимателей получают квалифицированную подпись только в удостоверяющих центрах, которые аккредитованы Минцифры.
УЦ «Калуга Астрал» входит в перечень аккредитованных удостоверяющих центров и имеет все необходимые лицензии для выпуска электронных подписей для физлиц и работников ЮЛ/ИП — «Астрал-ЭТ» и «1С-ЭТП». Данные продукты придают цифровым документам юридическую значимость и позволяют вести деятельность от имени компании.
