Как создать и использовать простую электронную подпись
Содержание:
- Правовое регулирование ЭП
- Правила действия
- Алгоритм работы ЭЦП
- Регистрация на сайте почты
- НОВОЕ В ЗАКОНОДАТЕЛЬСТВЕ ОБ ЭП
- Использование ЭП в судебной практике
- Использование ЭП в судебной практике
- Обязательно ли соблюдение ГОСТа или нет
- Как выбрать подходящую КЭП?
- Что такое штамп времени
- Как работает: сертификаты
- Виды цифровых подписей
- Потеря юридической значимости ЭП
- Как получить электронную подпись?
- Можно ли скопировать ЭЦП?
- Как проверить наличие ЭП?
- Принцип работы ЭЦП
- Обязательно или нет соблюдение ГОСТа
Правовое регулирование ЭП
Средства электронной подписи в России еще не столь распространены, как в Европе или США, а информации на бумажном носителе чаще доверяют больше. Однако с внедрением электронного документооборота ЭП стала применяться все чаще, а ее роль и возможности фиксируются в правовых и нормативных документах.
Принципы и схемы применения электронной подписи на территории РФ осуществляются на основе закона 1-Ф3 от 10.01.2002 г., а еще до вступления закона в силу термин ЭЦП содержался во многих правовых актах. Цель законопроекта — облегчение ведения электронного документооборота и создание хороших условий для развития ИТ между гражданами и муниципальными и государственными органами. Также закон обеспечивает правовые условия использования ЭЦП и приравнивает ее к оригинальной подписи на бумажном носителе.
Согласно п.2 ст. 160 ГК РФ применение в документообороте и при совершении сделок ЭЦП возможно лишь в порядке, установленном данным законом, дополнительным соглашением сторон или действующими правовыми актами.
По закону РФ ЭЦП имеет несколько формулировок. Первая из них говорит о том, что это реквизит документа, составленного в электронной форме, предназначенный для защиты от подделки. Реквизит получен путем криптографического преобразования и является уникальным.
Еще одна формулировка определяет ЭЦП так: это аналог оригинальной подписи, который обеспечивает документ целостностью и подлинностью
ЭЦП подтверждает принадлежность владельцу и становится важной частью действующего документооборота
Согласно еще одной трактовке ЭЦП представляет собой аналог оригинальной подписи, который не только является гарантом защиты информации, но и используется в электронном документообороте между ЦБ РФ и клиентами. ЭЦП обеспечивает контроль за подлинностью и целостностью передаваемой информации и позволяет определить ее принадлежность конкретному владельцу.
Также по закону ЭЦП — это уникальная последовательность символов, создать которую можно лишь при помощи криптографического преобразования исходных данный. ЭЦП подтверждает неизменность информации, устанавливает авторство и гарантирует целостность информации при обмене юридически значимыми электронными документами.
Однако при согласии сторон, прописанном в сопроводительном письме, могут быть использованы и несертифицированные средства. В этом случае ответственность за степень надежности информации и сделки ложится на участников.
Использование электронной цифровой подписи упрощает ведение документооборота и сотрудничество с государственными и муниципальными органами, дает возможность осуществления закупок и участия в официальных торгах. Документ, заверенный ЭЦП, приравнивается по юридической силе подписанному собственноручно. Бывают электронные подписи простыми, усиленными, квалифицированными и неквалифицированными. Вид зависит от цели использования и правового обеспечения, а сроки оформления, стоимость и необходимые документы — от типа оформляемой подписи. Чтобы ЭЦП выполняла свои функции, владелец должен придерживаться правил конфиденциальности и не допустить попадания сертификата или ключей к сторонним лицам.
Правила действия
При отсутствии иного условия СКПЭП функционирует со дня выдачи.
УЦ вносит сведения о нем в соответствующий реестр не позднее даты начала действия, предусмотренной в документе.
Сертификат перестает функционировать в следующих случаях:
- пл завершении работы УЦ без делегирования функций иному представителю;
- по истечении периода своего действия;
- после подачи обладателем соответствующего цифрового либо бумажного заявления;
- в иных обстоятельствах, предусмотренных законом, нормативным актом либо договором между УЦ и пользователем ключа.
УЦ вправе аннулировать СКПЭП на основании таких фактов:
- отсутствия подтверждения права владельца на обладание ключом ЭП, который должен соответствовать зафиксированному ключу ее проверки;
- наличия СКПЭП в другом ранее оформленном экземпляре;
- вынесения постановления суда, которым признано нахождение в сертификате недостоверных сведений.
Информация о прекращении действия СКПЭП должна быть внесена УЦ в соответствующий реестр в течение 12 часов с момента наступления правовых оснований либо его осведомленности об их возникновении. После фиксирования записи в ведомости ключ утрачивает силу.
Применение аннулированного документа влечет только связанные с этим последствия.
УЦ должен сообщить клиенту о процедуре отмены до занесения отметки в ведомость.
Алгоритм работы ЭЦП
Надежность квалифицированной электронной подписи объясняют криптографические процессы и функции хэширования. В процессе подписания и проверки используются сложные личные и открытые ключи, а также сертификаты открытого ключа.
Личный или закрытый ключ формируется через датчик случайных чисел и используется для подписания документов. А открытый — вычисляется из закрытого и применяется для проверки принадлежности подписи владельцу. Закрытый ключ работает только в паре с открытым, а хранить его необходимо в тайне от третьих лиц.
Если личный ключ был скомпрометирован, то необходимо обратить в УЦ, написать заявку о признании сертификата недействительным и о перевыпуске ЭЦП. Иначе ключ может быть использован для причинения материального или иного ущерба владельцу ЭП и контрагентам.
Подписание документов ЭЦП не изменяет содержимое файла, но добавляет новый блок данных. Этот блок и является электронной подписью. Сложность процесса гарантирует неизменность информации: если после подписания документ был изменен, то исправления будут видны и в отпечатке, что отразиться на проверке ЭЦП.
После того, как сформирована ЭЦП, редактирование файла подписанного документа невозможно. Если попытаться отредактировать текст или внести изменения в заверенный архив, то все ЭП удаляются, а при проверке будет выходить ошибка.
Регистрация на сайте почты
Для начала надо зарегистрироваться на сайте Почты России. Для этого следует перейти по этой ссылке — https://www.pochta.ru/support/office-services/sms-registration Здесь требуется заполнить анкету и совершить два важных шага — подтвердить свой мобильный телефон и адрес электронной почты (и тот и другой должны быть вашими!).
Пошаговый процесс регистрации
- При нажатии на ссылку «Заполните» на странице приветствия, появляется окошко с предложением ввести электронную почту и пароль. Пока ни то ни другое делать не надо — все это уже для тех, кто прошел все шаги. Внизу формы есть ссылка «Зарегистрироваться» — нажимаем на нее.
Кредит в Райффайзен от 8,99%. Решение за 2 минуты. Без залога, поручителей. По двум документам. Жми!
2.Прежде всего необходимо ввести данные о себе. Не подставляйте вымышленных данных — все они потребуют последующего заверения в отделении Почты, чтобы потом можно было уже пользоваться без паспорта. То есть один раз паспорт принести придется. Итак, в полях ввода оставьте личную информацию, придумайте пароль. При вводе адреса система сама будет находить подходящие компоненты (город, улицу, номер дома) из своей базы, таким образом адрес в итоге должен оказаться отформатированным по правилам почты. Никаких сложностей в этим, как правило, не возникает.
3. В ходе регистрации (на разных ее шагах) система попросит подтвердить введенный мобильный телефон (пришлет SMS с кодом, который надо будет ввести в поле) и адрес электронной почты (пришлет на него проверочное письмо, содержащее ссылку для перехода).
4. После того, как все контакты будут подтверждены, система предлагает дополнить информацию о себе паспортными данными. Дополнительно она хочет знать данные ИНН и СНИЛС (они не обязательны, но их наличие предоставляет Почте возможность предложить вам дополнительные услуги. Например, присылать заказные письма, сообщения о штрафах и т.д.).
5. Когда анкета окажется заполненной, система сообщит, что все данные о вас у ней уже есть. И для того, чтобы получать посылки, бандероли, письма и прочую корреспонденцию без паспорта и не заполняя извещений, достаточно один раз явиться с документом на почту, чтобы оператор распечатал анкету, сверил паспортные данные и предоставил услугу.
НОВОЕ В ЗАКОНОДАТЕЛЬСТВЕ ОБ ЭП
В конце декабря 2019 года в связи с совершенствованием регулирования в сфере ЭП Госдума приняла в третьем чтении законопроект № 747528-7 «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»» (далее – законопроект № 747528-7), который направлен на создание более безопасной цифровой среды. На момент публикации статьи законопроект одобрен Советом Федерации и направлен на подпись Президенту России. Это значит, что текст предлагаемых поправок сформирован окончательно. Проанализируем, какие изменения нас ожидают с 01.07.2020.
Изменение 1: все участники электронного взаимодействия будут признавать усиленную квалифицированную ЭП
Сейчас каждая структура устанавливает свои требования к содержанию сертификата ключа проверки ЭП. Организациям это не очень удобно, поскольку на разных порталах нужно получать свой вариант. Законопроект устраняет этот недостаток: теперь во всех информационных системах будет признаваться единая усиленная квалифицированная ЭП.
С момента вступления закона в силу ни один участник ЭДО не сможет ограничить признание усиленной квалифицированной ЭП на своей площадке. Ограничения можно будет устанавливать, только если это прямо предусмотрено Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон № 63-ФЗ).
Изменение 2: появится новый вид организаций – доверенные третьи стороны
Доверенные третьи стороны будут оказывать определенные услуги участникам электронного взаимодействия, а именно:
- подтверждать действительность ЭП и сертификатов на момент создания документа, наличие аккредитации удостоверяющего центра, выдавшего сертификат;
- проверять, все ли сертификаты, задействованные при подписании электронного документа, отвечают требованиям нормативных актов;
- проверять полномочия участников ЭДО;
- создавать квитанции, которые будут отражать результаты проверки квалифицированной ЭП и информацию о моменте ее подписания;
- оказывать услуги по хранению данных.
В законопроекте № 747528-7 не указано прямо, что эти услуги будут оказывать на коммерческой основе. Скорее всего, за них придется платить, если организация хочет максимально обезопасить работу с ЭП.
Доверенные третьи стороны будут получать аккредитацию и нести ответственность за неисполнение своих обязанностей или нарушение порядка исполнения функций.
Изменение 3: ужесточатся требования к УЦ
Срок действия аккредитации УЦ вместо пяти лет составит три года. Аккредитации, полученные УЦ до 01.01.2020, будут действовать до 01.01.2022. Соответственно, квалифицированные сертификаты, выданные УЦ до 01.07.2020, будут действовать до 01.01.2022.
Чтобы получить аккредитацию по новым правилам, УЦ должен отвечать более жестким требованиям:
- иметь минимум 1 млрд руб. собственных средств (капитала) или 500 млн. руб. капитала, но при этом один либо несколько филиалов или представительств не менее чем в 3/4 субъектов России;
- иметь финансовое обеспечение ответственности за убытки, причиненные третьим лицам в размере не менее 100 млн. руб. (сейчас это 30 млн. руб.);
- иметь лицензию на деятельность по производству, разработке и распространению шифровальных (криптографических средств), выполнению работ в области шифрования, техническому обслуживанию средств шифрования и т.п.;
- деловая репутация директора и учредителей УЦ должна соответствовать требованиям, установленным правительственной комиссией.
Изменение 4: изменятся правила выдачи и применения ЭП
В Федеральный закон № 63-ФЗ вводят новые статьи 17.1 – 17.6, регулирующие использование квалифицированной ЭП физическими лицами, гражданскими и муниципальными служащими, индивидуальными предпринимателями, организациями, государственными органами и органами местного самоуправления, а также использование ЭП в государственных информационных системах. Действие новых статей вступят в силу с 01.01.2021.
В Схеме отображено, где заявители смогут получить ЭП.
Изменения вступят в силу позже, поскольку требуют технической подготовки и модернизации IT-систем.
Анализируя сроки внедрения новых положений законодательства, действия прежних аккредитаций УЦ и выданных ими квалифицированных сертификатов, переходный период, во время которого будут внедряться изменения, продлится до 2022 года. Этого времени должно хватить для того, чтобы и УЦ, и государственные структуры, и, конечно, организации подготовились работать по новым правилам.
Использование ЭП в судебной практике
При рассмотрении исков о неправомерном списании денежных средств с расчетного счета организации суд признает правильность действия банка, поскольку ЭП корректна, а передачу права подписи третьему лицу рассматривает как нарушение договорных отношений и правил обслуживания клиентов.
Аналогичная практика возникает и при участии в электронных государственных торгах. Если организация своевременно не подписала выигранный контракт, то она признается стороной, уклонившейся от заключения договора и вносится в реестр недобросовестных поставщиков. В судебной практике часты и случаи, когда организацию заносят в реестр из-за контракта, подписанного лицом, неимеющим права на заверение подобных документов.
В законодательстве РФ нет прямых запретов на передачу ЭП третьим лицам с согласия владельца, и при возникновении спорных ситуаций суд признает владельца подписи лицом, подписавшим документ. Вся ответственность за использование ЭЦП лежит на владельце сертификата, и в случае компрометации ключа он обязан обратиться в УЦ с заявлением о приостановке деятельности подписи. В спорных случаях такое обращение может служить доказательством причинения ущерба не владельцем подписи, а сторонним лицом.
Использование ЭП в судебной практике
Применение электронной подписи иногда осложняет судебное разбирательство. Отчетность вместо руководителя может заверить главный бухгалтер, а юрист — заявление для суда заверяет вместо истца. Похожие нарушения встречаются при использовании ПО «клиент-банк», когда платежные поручения отправляются не самим владельцем ЭП.
При рассмотрении исков о неправомерном списании денежных средств с расчетного счета организации суд признает правильность действия банка, поскольку ЭП корректна, а передачу права подписи третьему лицу рассматривает как нарушение договорных отношений и правил обслуживания клиентов.
Аналогичная практика возникает и при участии в электронных государственных торгах. Если организация своевременно не подписала выигранный контракт, то она признается стороной, уклонившейся от заключения договора и вносится в реестр недобросовестных поставщиков. В судебной практике часты и случаи, когда организацию заносят в реестр из-за контракта, подписанного лицом, неимеющим права на заверение подобных документов.
В законодательстве РФ нет прямых запретов на передачу ЭП третьим лицам с согласия владельца, и при возникновении спорных ситуаций суд признает владельца подписи лицом, подписавшим документ. Вся ответственность за использование ЭЦП лежит на владельце сертификата, и в случае компрометации ключа он обязан обратиться в УЦ с заявлением о приостановке деятельности подписи. В спорных случаях такое обращение может служить доказательством причинения ущерба не владельцем подписи, а сторонним лицом.
Обязательно ли соблюдение ГОСТа или нет
В настоящее время для формирования электронной подписи должен использоваться ГОСТ Р 34.10-2012.Удостоверяющим центрам запрещается использовать старый ГОСТ для формирования ЭЦП своим клиентам. Таким образом, при выпуске электронной подписи соблюдение ГОСТа строго обязательно.
Правила формирования документов указываются в стандарте ГОСТ 7.0.97-2016. В нём прописываются правила составления документов как в бумажном, так и в электронном виде.
Помимо этого, в него включаются сведения о следующих показателях:
- Где на документе необходимо расположить требуемые реквизиты;
- По каким принципам должен быть создан электронный документ, как оформлен и т. д.
Данные стандартны строго обязательны к применению только в отдельных отраслях промышленности — документах, касающихся оборонной продукции, государственного заказа, атомной энергетики и т. д. Эти требования устанавливаются Федеральным законом 162.
Как выбрать подходящую КЭП?
Существует множество тарифов сертификатов, предназначеных для различных нужд. Чтобы выбрать подходящую КЭП, следует учесть два важных параметра:
Возможности подписи. Нет единой ЭЦП, которая могла бы подойти для всех сфер сразу. Чтобы работать с Госуслугами, требуется базовая КЭП. Для взаимодействия с коммерческими порталами требуется КЭП с расширениями (дополнениями) для ЭП. Кроме того, для регистрации на некоторых платформах существуют требования по получению КЭП в определенных удостоверяющих центрах. Поэтому выбирайте подпись, максимально соответствующую вашим потребностям.
Стоимость сертификата
Кроме возможностей подписи стоит обратить внимание и на ее функционал. Нет смысла переплачивать за ненужные опции: если вам нужна ЭЦП для передачи отчетностей в ФНС России, нет необходимости покупать сертификат с доступом к торговым площадкам — достаточно получить стандартную КЭП
На стоимость влияет также назначение подписи. Для физических лиц, которым нужно работать только с сайтом Госуслуг, ЭЦП обойдется почти в 10 раз дешевле, чем организациям, участвующим в торгах на крупных площадках.
Что такое штамп времени
Согласно ГОСТу Р-7.0.97-2016 от 1.07.2018 г. в форме электронной подписи должна содержаться новая форма с атрибутом «отметка об электронной подписи». Она обязательна для любого ЭД при его визуализации, сканировании или на печати в том месте, где обычно подпись проставляется на бумаге от руки.
Отметку ставят на документе, подписанном электронной подписью, который представляет собой:
- распечатку электронного контракта;
- распечатку протокола рассмотрения заявок и их оценку для участия в торгах на ЭТП;
- ответы на запросы контролирующих органов.
Штамп электронной подписи обязательно включает такие реквизиты, как:
- номер сертификата ключа подписи;
- ФИО владельца ЭЦП;
- срок окончания действия сертификата;
- фразу о том, что документ подписан ЭП.
Обычно для постановки отметки об электронной подписи используется два варианта:
- изготовление штампа с последующей вставкой его в копии;
- настройка подписи в MS Office.
Если изготавливается штамп, то в копию он вставляется обычным способом через вставку картинки или рисунка и размещается на нужном месте.
Клиенты системы КриптоПро TSP могут дополнительно получать штампы времени. В роли подписанных данных выступает значение хэш-функции и время проставления штампа. Реквизит связан с ЭД, на который он выдан, и обеспечивает его целостность.
Для выдачи штампом и реализации сервиса на базе КриптоПро необходимо создать отдельный сервер TSP и добавить КриптоПро TSP Client в ПО рабочего места.
Преимущество штампа времени:
- фиксация времени создания ЭД;
- фиксация времени формирования ЭЦП;
- фиксация времени проведения операции по обработке ЭД;
- долговременное хранение ЭД (даже после истечения срока действия сертификата ЭП пользователя).
Как работает: сертификаты
Электронная подпись состоит из двух принципиальных частей:
- Сертификат для удостоверения подписывающего.
- Криптографическая часть для проверки подлинности документа.
Грубо говоря, ЭП должна гарантировать, что документ подписали именно вы и что вы подписали именно этот документ.
В сертификате хранятся данные о владельце подписи:
- кто владелец этой подписи;
- открытый ключ для проверки подписи;
- когда заканчивается срок действия подписи;
- какого уровня документы можно подписывать этой подписью;
- кто выдал сертификат;
- и другие служебные данные.
Но смысл сертификата не в том, что там хранятся эти данные, а в том, кто эти данные туда положил. В России сертификаты и ЭП выдают специальные удостоверяющие центры — это компании, которые гарантируют, что сертификат выдаётся именно тому, кто в этом сертификате указан.
Чтобы получить сертификат, вы приходите лично в эту компанию (удостоверяющий центр), показываете документы, фотографируетесь. Вас заносят в базу удостоверяющего центра и выдают ключи электронной подписи. Так все участники электронного документооборота будут уверены, что все документы, подписанные вашими ключами, подписаны именно вами.
Виды цифровых подписей
Простая цифровая подпись
–это простые электронные средства, которые подтверждают факт подписания или заверения документа определенным лицом. К ним относятся коды и пароли, например, те, что мы водим на сайтах для авторизации, а так же коды, которые мы получаем в смс-оповещениях.
Для подписания простого электронного документа сторонам достаточно договориться и проверить подписи на подлинность, для этого потребуется заключить между всеми сторонами соглашение, без которого пописанный документ будет считаться недействительным. Использование такой подписи возможно для первичных документов. Если для подписания документа требуется заверка печатью, то простая электронная подпись не может использоваться. Такая подпись используется в повседневной жизни.
Сделать ее можно с помощью программного обеспечения — Microsoft Office (при создании документа в меню файла выбрать пункт «защита документа», а затем «добавить цифровую подпись») , КриптоПро CSP (используется для создания усиленного ключа), USB-токен (выдается в Удостоверяющем центре, подходит тем, кто хочет защитить свои цифровые документы от плагиата и подтвердить свое авторство). Простая цифровая подпись используется для регистрации авторизации на сайтах, как ключ доступа к базам данных с паролем, для заверки подлинности электронных документов.
ВАЖНО: простая электронная подпись не имеет юридической силы и не может быть использована для подачи документов в государственные органы
Усиленная неквалифицированная цифровая подпись
(или неквалифицированная электронная подпись) – эта подпись создана при помощи средств электронной подписи с использованием криптографического преобразования информации на основе специального ключа. Такая подпись позволяет идентифицировать подписантов документа, а так же показывает факт внесения изменений в документы после того, как они были подписаны.
Такую цифровую подпись индивидуальные предприниматели и юридические лица могут получить в удостоверяющих центрах или сделать самостоятельно силами опытных программистов. Усиленная неквалифицированная подпись может использоваться во внутреннем документообороте компании, а так же для заключения соглашений с контрагентами при наличии соглашения об использовании данной подписи.
ВАЖНО: при наличии договоренностей между сторонами с неквалифицированной подписью можно участвовать в торгах на электронных площадках, но ее действие распространяется на ограниченный круг операций
Усиленна квалифицированная цифровая подпись
(или квалифицированная электронная подпись) – аналогичная предыдущему виду, но для проверки подлинность подписи требуется специальный сертификат. Для создания квалифицированной цифровой подписи используются специальные средства, которые указаны в ФЗ-445 – специализированное программное обеспечение. Электронный документ, подписанный с помощью квалифицированной электронной подписи полностью идентичен бумажному аналогу с подписью и/или печатью.
Для подписания основных бухгалтерских документов и налоговых документов требуется именно этот вид подписи. Квалифицированная подпись обеспечивает надежную защиту информации и высокую степень конфиденциальности, которую владелец может выбрать самостоятельно.
ВАЖНО данные пользователя защищаются даже после того, как действие ключа истекло. Такая цифровая подпись выдается строго в Удостоверяющем центре после предоставления уставных документов компании и документов, подтверждающих личность владельца либо через специальные услуги банков, например Сбербанк Бизнес Онлайн
Такая цифровая подпись выдается строго в Удостоверяющем центре после предоставления уставных документов компании и документов, подтверждающих личность владельца либо через специальные услуги банков, например Сбербанк Бизнес Онлайн.
Такая подпись фактически может использоваться во всех возможных ситуаций – для регистрации онлайн-касс, удаленной подачи документов в государственные органы, для работы в личных кабинетах на государственных сайтах (ФНС, ПФР и так далее), для участия в государственных торгах и аукционах. Единственный существенный недостаток данного типа подписи – необходимость ежегодно оплачивать сертификат.
Потеря юридической значимости ЭП
Официальный документ имеет юридическую силу и юридическую значимость. Первый термин означает, что документ обладает правовыми последствиями. Значимость — это подтверждение деловой деятельности.
Федеральный закон об электронной подписи определяет, что в ЭДО документ заверяется при помощи специальных технологий и ЭП. Чтобы обладать юридической силой и служить доказательством действия, ЭД должен обладать следующими реквизитами:
- названием;
- номером;
- указанием ФИО автора подписи, названием фирмы и человека, имеющего право на подписание;
- дату составления;
- подпись.
Также закон прописывает три вида ЭП, характеристики каждой из них, юридическую силу, способ получения и сроки действия. Согласно законопроекту юридической силой обладают только документы, подписанные квалифицированной электронной подписью. НЭП наделяет ЭД юридической силой, если отдельно имеется соглашение между участниками ЭДО.
Юридическую силу теряет ЭЦП в следующих случаях:
- подпись поставлена лицом, не имеющим право действовать от собственного имени или от имени организации;
- в ЭД указаны не все обязательные реквизиты;
- не соблюден формат и способ передачи ЭД;
- сертификат утратит силу на момент подписания или проверки ЭД;
- ЭП использована с нарушением сведений, указанных в сертификате.
В договоренности между участниками ЭДО прописываются требования о признании равнозначности документов с ЭП и на бумажных носителях, и их нарушение также ведет к потере юридической значимости документа. Обычно к ним относят:
- обязательную отправку ЭД с надежного почтового ящика, доступ к которому имеется лишь у владельца подписи;
- открытый ключ должен прилагаться в письме;
- почтовый сервис должен иметь ограниченный доступ.
Предлагаем ознакомиться: Возврат страховой премии по кредитному договору
Эти же условия используются и для корпоративной ЭЦП. Работа с публичными почтовыми сервисами снижает юридическую силу простой подписи, и делает ее невозможным ее использования для заверения документации.
Как получить электронную подпись?
Обычно все удостоверяющие центры подробно консультируют на своих сайтах всех желающих получить электронную подпись. Вкратце этот процесс мы опишем здесь:
1.Выбрать удостоверяющий центр из организаций, аккредитованных Минкомсвязью.
2.Подать вместе с заявлением необходимый пакет документов, который будет различаться в зависимости от типа владельца ЭП – обычное физическое лицо, ИП или организация. Минимальным пакет документов будет у обычного физического лица – копия паспорта, СНИЛС и свидетельства об ИНН. С требованиями к оформлению документов надо ознакомиться в самом центре, потому что некоторые из них принимают только нотариальные копии, а другие запрашивают оригиналы документов для сверки.
3. Идентифицировать личность заявителя – явившись лично в удостоверяющий центр или направив заверенную телеграмму через Почту России.
4.В оговоренный срок явиться в точку выдачи ЭП для получения квалифицированного сертификата и ключей электронной подписи.
Можно ли скопировать ЭЦП?
Теоретически – можно с USB-токена, однако в них аппаратно ограничена возможность копирования содержимого. Поэтому скопировать и впоследствии подделать ключ не получится, а точнее – для этого необходимо дорогостоящее оборудование, которое невозможно приобрести без наличия специального разрешения. В общем, государство позаботилось о том, чтобы ключ ЭЦП был полностью защищен, а возможность подделать электронную подпись вовсе отсутствовала.
Ещё для работы с ЭЦП необходимо использовать специальное программное обеспечение КриптоПро. Именно с его помощью и дешифруются подписанные файлы (естественно, при наличии ключа дешифровки). Владелец подписи также может ограничить доступ к содержимому созданного объекта для сторонних лиц, включив доступ по паролю или ключу. Вот только работает такая функция на текущий момент исключительно в Microsoft Offce, частично – в LibreOffice (популярный текстовый редактор в Linux-дистрибутивах).
Как проверить наличие ЭП?
Чтобы посмотреть, есть ли цифровая подпись или отсутствует, стоит выполнить несколько шагов:
- Файл с присутствующим внутри электронным документом открывается. Делать это нужно через специальную программу, установленную криптопровайдером. У файла должно быть расширение .sig.
- Кликнуть по строке «Подписанные данные» и похожее название, что встречается в ПО.
- Если проверка пройдена, в окошке начинают отображаться сведения о подписи человека и о полученном официальном сертификате. К данной информации относится факт применения ЭП, время создания и оформления, алгоритм проставления ЭП, идентификатор используемого портала и хеширование.
Если ранее полученный сертификат потерял актуальность, если уже после стандартного подписания в оформленный документ вписали некоторые изменения, автоматически появится уведомление, что в нем присутствует неправильная подпись.
Аналогичную информацию можно наблюдать в иных доступных форматах. Это рисунки и стандартные текстовые файлы с расширением .doc, .pdf, также jpeg. Провести проверку разрешается через нажатие правой кнопки. Ею следует кликнуть по вкладке со представленными свойствами. Единственным исключением является только подпись категории ИФНС. Она видна на выписках, взятых в ЕГРЮЛ и в более известной ЕГРИП. Это набор буквенных параметров, цифр или картинки, все зависит от категории ЭП.
Принцип работы ЭЦП
Механизм работы электронной подписи можно объяснить простыми словами: при подписании документа добавляется блок данных, который и называется ЭЦП. Процесс его получения происходит в два этапа. С помощью ПО и математической функции происходит вычисление отпечатка сообщения, обладающего некоторыми особенностями:
- По отпечатку сообщения невозможно восстановить тело документа;
- Отпечаток уникален для каждого сообщения и имеет фиксированную длину.
На втором этапе ПО и ключ шифрует отпечаток, расшифровать который можно будет только открытым личным ключом электронной подписи.
Как работает ЭЦП при получении электронного документа:
- При помощи ПО адресат расшифровывает подписанный документы для получения отпечатка исходного документа;
- При помощи ПО и функции хэширования вычисляется отпечаток полученного документа;
- Во время проверки сравниваются отпечатки полученного и исходного электронного документа.
Если отпечатки равны, то ЭЦП подтверждает целостность и верность документа. Если во время пересылки в тело документы были внесены изменения и нарушена его целостность, то это будет отображено.
Еще один важный момент в работе ЭЦП — отметка времени подписания документа. Она позволяет точно определить момент создания файла и не дает вносить изменения даже автору документа. При необходимости дополнить электронный документ после установления отметки, его требуется заново подписать с установлением нового времени. Отметка синхронизируется со Всемирным координированным временем.
Функция хэширования и ЭЦП
Электронная подпись предназначена для аутентификации документов, пересылаемых через Интернет. А система ЭЦП состоит из двух процессов: формирования ЭЦП и проверки ЭЦП. Во время формирования ПО использует закрытый ключ электронной цифровой подписи, а при проверке — открытый ключ отправителя. Однако при формировании документа происходит еще один важный теневой процесс — хэширование. Хэш-функция необходима для сжатия исходного документа в короткое число, которое содержит весь текст документа и представляет собой фиксированное количество битов. Хэш-значение — это двоичное сжатое представление тела основного документа, формируемое хэшированием. Функция представляет собой преобразовательный процесс, который переводит сообщение переменной длины в строку с фиксированной.
Нужно это для того, чтобы даже объемные документы без проблем проходили по электронной почте с ограниченным объемом для одного сообщения. Хэш-функция обладает рядом важных свойств:
Ее можно использовать для аргументов любого размера;
- Получаемое на выходе число имеет фиксированный размер;
- Скорость вычисления функции не превышает скорость выработки и проверки ЭЦП;
- Чувствительность к выбросам, вставкам, перестановкам и т.п. внутри документа;
- Однонаправленность;
- Уникальность — вероятность того, что хэш-функции двух разных документов совпадут очень мала.
Хэширование служит и для обнаружения изменений в теле документа, т.е. используется для образования криптографической контрольной суммы. Это позволяет контролировать целостность пересылаемого документа на стадии формирования и проверки ЭЦП. Шифрование при помощи односторонней хэш-функции применяется также для соблюдения правил информационной безопасности. Своеобразность этого метода шифрования в том, что оно не сопровождается обратной процедурой. На основе хэширования и отправитель, и получатель применяют для работы с документом одинаковую процедуру шифрования.
Хэширование имеет несколько алгоритмов:
- По ГОСТУ РФ P34.11—94 функция вычисляет хэш, объемом 32 байта;
- В 16 байтное число преобразует информацию алгоритм MD (Message Digest), используемый в большинстве стран мира;
- Функция SHA-1 (Secure Hash Algorithm) универсальна.
Применяется алгоритм SHA-1 (Secure Hash Algorithm) во всем мире, а также в большинстве сетевых протоколов защиты информации. Во время работы функции информация преобразуется в 160-битный код.
Обязательно или нет соблюдение ГОСТа
Существует ГОСТ для электронной подписи. В едином реестре он числится под номером 7.0.97-2016. Стандарт содержит правила формирования документов как в бумажном, так и в электронном виде, и рассматривает такие вопросы, как:
- расположение на носителе необходимых реквизитов;
- требования к созданию и оформлению ЭД, включая использование ИТ.
Правила ГОСТа регулируются статьей 26 ФЗ 162 от 29.06.2015 г. В статье 6 ФЗ 162 предусмотрена обязательность применения документов по стандартизации для оборонной продукции, гос. заказов товаров и услуг, используемых для защиты данных, а также для обеспечения информации, касающейся атомной энергии и т.п.