12+
Электронная подпись. Просто о сложном

Бесплатный фрагмент - Электронная подпись. Просто о сложном

Введите сумму не менее null ₽, если хотите поддержать автора, или скачайте книгу бесплатно.Подробнее

Объем: 58 бумажных стр.

Формат: epub, fb2, pdfRead, mobi

Подробнее

Составители:

Шадура А. А.

Ведущий специалист-эксперт Копейского отдела Управления Росреестра по Челябинской области

Гущин Е. А.

Ведущий специалист-эксперт отдела координации и анализа деятельности в учетно-регистрационной сфере Управления Росреестра по Челябинской области

1. Электронная подпись: что это такое и для чего нужна

Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск.

Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.

Электронная подпись — это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.

Сокращенное название (согласно федеральному закону №63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т. д.

Принципы использования электронной подписи:

Принципами использования электронной подписи являются:

● право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;

● возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования Федерального закона №63 «Об электронной подписи» применительно к использованию конкретных видов электронных подписей;

недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.

Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:

— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,

— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.

Выбор ЭП

Во-первых, существуют различные виды электронной подписи. Участники электронного взаимодействия вправе использовать электронную подпись любого вида по своему усмотрению, если законодательство РФ не закрепляет использование конкретного вида подписи в зависимости от целей ее использования.

Во-вторых, выбор вида электронной подписи зависит от задач, которые необходимо решать с ее помощью. Так, например, выдвигаются требования к выбору электронной подписи при работе с бухгалтерскими первичными документами: электронный счет-фактура является документом основанием для вычета сумм НДС только в том случае, если он подписан квалифицированной электронной подписью. Для сдачи отчетности в государственные органы также потребуется использование усиленной квалифицированной электронной подписи.

Для решения задач межкорпоративного электронного документооборота можно использовать усиленную квалифицированную электронную подпись. Получить сертификат квалифицированной электронной подписи можно в любом аккредитованном Минкомсвязи РФ Удостоверяющем центре.

Квалифицированная электронная подпись позволяет осуществить доказательное подтверждение авторства документа, защиту от изменений и контроль целостности документа.

Сколько сертификатов ЭП нужно?

Усиленная квалифицированная электронная подпись решает достаточно широкий спектр задач. С ее помощью вы сможете сдавать отчетность в налоговые органы, обмениваться электронными документами с контрагентами и другое.

Приобретая сертификат, вы должны четко понимать, где он будет использоваться, так как, во-первых, цена сертификата напрямую зависит от количества функций, которые он может выполнять, во-вторых, чтобы быть уверенным, что сертификат будет пригоден для достижения ваших целей. Обычно цели использования электронной подписи указываются при заказе сертификата.

На практике бывают ситуации, когда применение сертификата зависит от стороны, принимающей документ. Например, некоторые операторы электронного документооборота принимают сертификаты, выданные только их удостоверяющим центром. Всегда важно убедиться, что нет никаких ограничений на использование вашего сертификата в той или иной информационной системе.

Общие понятия

Электронная подпись (ЭП) — это особый реквизит документа, который позволяет установить отсутствие искажения информации в электронном документе с момента формирования ЭП и подтвердить принадлежность ЭП владельцу. Значение реквизита получается в результате криптографического преобразования информации.

Сертификат электронной подписи — документ, который подтверждает принадлежность открытого ключа (ключа проверки) ЭП владельцу сертификата. Выдаются сертификаты удостоверяющими центрами (УЦ) или их доверенными представителями.

Владелец сертификата ЭП — физическое лицо, на чье имя выдан сертификат ЭП в удостоверяющем центре. У каждого владельца сертификата на руках два ключа ЭП: закрытый и открытый.

Закрытый ключ электронной подписи (ключ ЭП) позволяет генерировать электронную подпись и подписывать электронный документ. Владелец сертификат обязан в тайне хранить свой закрытый ключ.

Открытый ключ электронной подписи (ключ проверки ЭП) однозначно связан с закрытым ключом ЭП и предназначен для проверки подлинности ЭП.

Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).

Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.

Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.

Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.

Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.

2. Понятие и виды электронной подписи

Обратимся к Федеральному закону от 06.04.2011 №63-ФЗ «Об электронной подписи» (далее — 63-ФЗ). Исходя из него, ЭП — это сущность, которая:

● является информацией;

● связана с подписываемой информацией;

● позволяет определить подписанта.

Виды электронных подписей:

Видами электронных подписей, отношения в области использования которых регулируются Федеральным законом №63 «Об электронной подписи», являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее — неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее — квалифицированная электронная подпись).

1. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

2. Неквалифицированной электронной подписью является электронная подпись, которая:

● получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

● позволяет определить лицо, подписавшее электронный документ;

● позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

● создается с использованием средств электронной подписи.

3. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

● ключ проверки электронной подписи указан в квалифицированном сертификате;

● для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом №63 «Об электронной подписи».

При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.

Признаки усиленной квалифицированной электронной подписи (далее — УКЭП):

● является информацией;

● связана с подписываемой информацией;

● предоставляет возможность определить подписанта;

● получена с помощью ключа ЭП (закрытого) в результате криптографического преобразования информации;

● позволяет установить факт внесения изменений в подписываемые данные;

● ключ проверки ЭП (открытый) указан в квалифицированном сертификате;

● для создания и проверки подписи используются сертифицированные средства ЭП.

Всё вышеперечисленное накладывает дополнительные ограничения, в том числе и на техническую часть. В процессе работы с электронной подписью должны присутствовать открытый и закрытый ключи, квалицированный сертификат, средства создания и проверки ЭП.

Простая электронная подпись посредством использования кодов, паролей или иных средств подтверждает факт формирования ЭП определенным лицом.

Усиленную неквалифицированную электронную подпись получают в результате криптографического преобразования информации с использованием закрытого ключа подписи. Данная ЭП позволяет определить лицо, подписавшее электронный документ, и обнаружить факт внесения изменений после подписания электронных документов.

Усиленная квалифицированная электронная подпись соответствует всем признакам неквалифицированной электронной подписи, но для создания и проверки ЭП используются средства криптозащиты, которые сертифицированы ФСБ РФ. Кроме того, сертификаты квалифицированной ЭП выдаются исключительно аккредитованными удостоверяющими центрами.

Согласно ФЗ №63 «Об электронной подписи» электронный документ, подписанный простой или усиленной неквалифицированной ЭП, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью. При этом обязательным является соблюдение следующего условия: между участниками электронного взаимодействия должно быть заключено соответствующее соглашение.

Усиленная квалифицированная подпись на электронном документе является аналогом собственноручной подписи и печати на бумажном документе. Контролирующие органы, такие как ФНС, ПФР, ФСС, признают юридическую силу только тех документов, которые подписаны квалифицированной ЭП.

3. Сертификат и ключи электронной подписи. Основные понятия

Выданная электронная подпись состоит из 3 элементов:

1 — средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако».

Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.

Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона №63.

2 — ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них — ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете. Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым». Он не содержится в тайне, однозначно привязан к «закрытому» ключу и необходим, чтобы любой желающий мог проверить корректность электронной подписи.

3 — сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией). На практике это выглядит следующим образом: например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову. Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим. Таким образом, преступник получит возможность выдавать себя за подписанта. В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.

В соответствии с законодательством РФ различают:

— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;

— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.

Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр — понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.

Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:

— Клиент приобрел средство электронной подписи.

— Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.

— УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.

Вопрос безопасности

Требуемые свойства подписываемых документов:

— целостность;

— достоверность;

— аутентичность (подлинность; «неотрекаемость» от авторства информации).

Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.

С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.

Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.

Действительность подписи

В соответствии с 63-ФЗ (Статья 11) документ с УКЭП обладает юридической силой, если:

● квалифицированный сертификат был действителен на момент подписания либо в момент проверки подписи;

● сертификат соответствует сформированной подписи;

● в подписанный документ не вносили изменения.

С технической точки зрения, с помощью открытого ключа проверяется соответствие значения ЭП подписанным данным (соответствие предоставленного открытого ключа закрытому, с помощью которого производились «криптографические преобразования»). Также устанавливается действительность сертификата либо на день проверки, либо на момент подписания документа. Если срок действия квалифицированного сертификата истек, появляется необходимость достоверно установить время подписания.

4. Преимущества использования сертификата электронной подписи

Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.

Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.

Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.

Сферы применения ЭП

Самые распространенные на данный момент.

— Электронный документооборот. Технология ЭП широко используется в системах электронного документооборота различного назначения: внешнего и внутреннего обмена, организационно-распорядительного, кадрового, законотворческого, торгово-промышленного и прочего. Это продиктовано главным свойством электронной подписи — она может быть использована в качестве аналога собственноручной подписи и/или печати на бумажном документе.

— Во внутреннем документообороте ЭП используется, как средство визирования и утверждения электронных документов в рамках внутренних процессов. Например, во время согласования договора директор подписывает его ЭП, что значит, что договор утвержден и может быть передан в исполнение. При построении межкорпоративного документооборота (B2B) наличие ЭП является критически важным условием обмена, поскольку является гарантом юридической силы. Только в этом случае электронный документ может быть признан подлинным и использоваться в качестве доказательства в судебных разбирательствах. Подписанный усиленной электронной подписью документ также может длительное время храниться в цифровом архиве, сохраняя при этом свою легитимность.

— Электронная отчетность для контролирующих органов. Современный подход к сдаче отчетности через интернет состоит в том, что клиент может выбрать любой удобный для себя способ: отдельное ПО, продукты семейства 1C, порталы ФНС, ФСС. Основа этой услуги –сертификат электронной подписи, который должен быть выпущен надежным удостоверяющим центром, метод же отправки не имеет решающего значения. Такая подпись нужна для придания документам юридической значимости.

— Государственные услуги. Каждый гражданин Российской Федерации может получить электронную подпись для получения госуслуг. С помощью ЭП гражданин может заверять документы и заявления, отправляемые в ведомства в электронном виде, а так же получать подписанные письма и уведомления о том, что обращение принято на рассмотрение от соответствующих органов власти. Пользователь имеет возможность подписать электронной подписью заявление, отправляемое в орган исполнительной власти (при готовности органа исполнительной власти принимать заявления, подписанные электронной подписью). При реализации этого механизма используются отечественные стандарты ЭП и применяются сертифицированные в системе сертификации ФСБ России средства криптографической защиты информации, такие как «Aladdin e-Token ГОСТ» и «КриптоПро CSP», что дает основания считать данную подпись усиленной квалифицированной электронной подписью (Источник: портал Госуслуги).

— Электронные торги. Электронные торги проходят на специальных площадках (сайтах). Электронная подпись необходима поставщикам на государственных и коммерческих площадках. ЭП поставщиков и заказчиков гарантируют участникам, что они имеют дело с реальными предложениями. Кроме того, заключенные контракты приобретают юридическую силу только при его подписании обеими сторонами.

— Арбитражный суд. При возникновении каких-либо споров между организациями в качестве доказательства в суде могут использоваться электронные документы. Согласно Арбитражному процессуальному кодексу РФ, полученные посредством факсимильной, электронной или иной связи, подписанные электронной подписью или другим аналогом собственноручной подписи, относятся к письменным доказательствам.

— Документооборот с физическими лицами. С помощью ЭП заверять различные документы могут физические лица. Благодаря этой возможности удаленные работники на основании договоров оказания услуг, например, могут выставлять акты приемки-сдачи работ в электронном виде.

5. Удостоверяющий центр

Принципиальным нововведением стало появление понятия удостоверяющего центра (УЦ) — юридического лица, оказывающего услуги по выдаче сертификатов ЭЦП, ведению реестров выданных сертификатов, их аннулированию и т. д. На тот момент в стране уже существовало значительное количество ИС, в которых использовалась ЭЦП. Однако взаимодействие между различными системами в значительной степени было затруднено тем, что владельцы ИС устанавливали собственные правила применения, использовались различные технические средства, порой не совместимые между собой, да и сами ГОСТы могли трактоваться по-разному. Система УЦ должна была положить конец этой раздробленности. В идеале, использование стандартизированных алгоритмов формирования (проверки) ЭЦП, сертифицированных технических средств, а также наличие регулирующих органов, должно было привести к возникновению юридически значимого электронного документооборота между различными информационными системами.

В рамках программы Электронная Россия планировалось (и планируется) запустить в эксплуатацию корневой УЦ уполномоченного федерального органа исполнительной власти в области применения ЭЦП. Он должен будет стать ядром системы УЦ органов государственной власти. В эту системы должны войти как УЦ самих органов государственной власти, так и коммерческие организации, оказывающие услуги УЦ этим органам. Задача корневого УЦ в том, чтобы их всех связать с целью создания единой зоны доверия в части сертификатов.

Удостоверяющие центры (далее — УЦ), аккредитованные Минкомсвязью России, по запросам пользователей выпускают для них сертификаты. Требования к форме последних, средствам УЦ и средствам электронной подписи устанавливает ФСБ России (Приказ ФСБ РФ от 27 декабря 2011 г. №795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»; Приказ ФСБ РФ от 27 декабря 2011 г. №796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра»). Примером сертифицированных ФСБ средств ЭП служит средство криптографической защиты «КриптоПро CSP».

Бесплатный фрагмент закончился.

Купите книгу, чтобы продолжить чтение.

Введите сумму не менее null ₽, если хотите поддержать автора, или скачайте книгу бесплатно.Подробнее