Как работает электронная подпись
Содержание:
- Как работает: сертификаты
- Для чего нужна электронная подпись
- Что хранит в себе электронная подпись
- Обязательно или нет соблюдение ГОСТа
- Функции ЭП
- Сходства и принципиальные различия с ручной подписью
- Какие бывают электронные подписи
- Понятие ЭП
- Становление ЭЦП в мировой истории
- Виды цифровых подписей
- Формат электронной подписи: отсоединенная и присоединенная
- Где используется простая подпись
- Общие сведенья об ЭЦП
- Порядок получения ЭЦП. Пошаговая инструкция
Как работает: сертификаты
Электронная подпись состоит из двух принципиальных частей:
- Сертификат для удостоверения подписывающего.
- Криптографическая часть для проверки подлинности документа.
Грубо говоря, ЭП должна гарантировать, что документ подписали именно вы и что вы подписали именно этот документ.
В сертификате хранятся данные о владельце подписи:
- кто владелец этой подписи;
- открытый ключ для проверки подписи;
- когда заканчивается срок действия подписи;
- какого уровня документы можно подписывать этой подписью;
- кто выдал сертификат;
- и другие служебные данные.
Но смысл сертификата не в том, что там хранятся эти данные, а в том, кто эти данные туда положил. В России сертификаты и ЭП выдают специальные удостоверяющие центры — это компании, которые гарантируют, что сертификат выдаётся именно тому, кто в этом сертификате указан.
Чтобы получить сертификат, вы приходите лично в эту компанию (удостоверяющий центр), показываете документы, фотографируетесь. Вас заносят в базу удостоверяющего центра и выдают ключи электронной подписи. Так все участники электронного документооборота будут уверены, что все документы, подписанные вашими ключами, подписаны именно вами.
Для чего нужна электронная подпись
У людей, которые ещё не успели познакомиться с данным инструментом, возникают логичные вопросы о том, для чего, вообще, нужна ЭЦП, когда можно просто распечатать документ на принтере, завизировать его и поставить привычную печать?
Так вот, имеется целый ряд причин, по которым электронная подпись имеет большую ценность, чем реальная. Рассмотрим их подробнее:
1. Электронный документооборот. В условиях современной компьютеризации пропадает необходимость сохранять документы в бумажном виде, так как это делалось раньше. Сейчас все государственные организации признают юридическую силу и удобство электронных документов по нескольким причинам:
- они не занимают пространство;
- надёжно хранятся;
- процесс обмена информацией очень упрощается и прочее.
При межкорпоративном обороте документами электронная подпись и вовсе не имеет аналогов, так как полностью решает вопрос поездок с целью подписания документации в дочерних фирмах. Доступ с компьютера к документам объединённых компаний обеспечивается за счёт ЭП, которая является гарантией подлинности, а также облегчает общение руководителей.
2. Отчётность. Документация, подкреплённая электронной подписью, обладает юридической силой, а значит не требуется отправлять курьера либо отвозить документы самостоятельно, нужно просто открыть документ с отчётом, закрепить ЭЦП и отправить его адресату по электронной почте. Все действия отнимут всего несколько минут.
3. Государственные услуги. Основное достоинство – не нужно тратить время на длинные очереди. Физическое лицо может просто вписать электронную подпись на универсальную электронную карту (УЭК), на которой уже есть все важные данные.
4. Онлайн-торги. В этой ситуации ЭЦП гарантирует, что в торгах принимает участие настоящий человек, который несёт материальное обязательство за несоблюдение условий договора.
5. Арбитражный суд. Электронные документы, подкреплённые ЭП, признаются полноценными доказательствами.
6. Передача документации. Особенно полезен такой вариант юридическим лицам, потому что даёт право:
- Вводить электронную отчётность в компании, осуществляя таким образом, обмен документами между отделами, структурами и другими городами.
- Составлять и подписывать соглашения, имеющие юридическую силу с партнёрами из других городов и стран.
- Предоставлять при судебных разбирательствах доказательства в электронном виде, без личного присутствия.
- Отправлять отчётность в государственные органы, не выходя из кабинета.
- Получать услуги от государства, подтвердив на них право электронным документом.
Руководители организаций со встроенной системой электронного документооборота навсегда избавляются от вопросов по обработке и сохранности папок с важными бумагами. Думаете над тем, как же теперь олучить сертификат ключа электронной подписи? Ответ на этот и многие другие актуальные вопрося вы найдёте ниже.
Что хранит в себе электронная подпись
В законе прямо указано, какие именно данные должны содержаться в электронной подписи.
В них входит:
- ФИО владельца сертификата;
- Уникальная комбинация, по которой гражданин регистрируется в реестре;
- Даты начала и окончания действия сертификата;
- Вариация данной электронной подписи;
- Название удостоверяющего центра, который выпустил сертификат, адрес его регистрации. Вся остальная информация вносится в корневой сертификат УЦ.
- СНИЛС, ИНН и иные данные, позволяющие провести идентификацию владельца сертификата.
Поскольку в электронную подпись внесены персональные данные владельца, закон устанавливает обязанности гражданина, на которого выпущен сертификат.
Так, ему запрещено оставлять без присмотра либо передавать третьим лицам носитель с ЭЦП. При этом ответственность за незаконное использование цифровой подписи несет сам владелец.
Обязательно или нет соблюдение ГОСТа
Существует ГОСТ для электронной подписи. В едином реестре он числится под номером 7.0.97-2016. Стандарт содержит правила формирования документов как в бумажном, так и в электронном виде, и рассматривает такие вопросы, как:
- расположение на носителе необходимых реквизитов;
- требования к созданию и оформлению ЭД, включая использование ИТ.
Правила ГОСТа регулируются статьей 26 ФЗ 162 от 29.06.2015 г. В статье 6 ФЗ 162 предусмотрена обязательность применения документов по стандартизации для оборонной продукции, гос. заказов товаров и услуг, используемых для защиты данных, а также для обеспечения информации, касающейся атомной энергии и т.п.
Функции ЭП
Возможности, которые ЭП предоставляет владельцу, определяются ее видом. Простая ЭП производится с помощью паролей (кодов) без применения криптографических алгоритмов. Поэтому она не в состоянии подтвердить целостность и неизменность документа. Единственная ее функция – идентификация подписанта.
Следует отметить, что существование этого вида ЭП поддается жесткой критике. Скептики утверждают, что обычная ЭП является только историческим этапом развития электронных технологий в Европе и США. Они отрицают целесообразность существования в современном правовом поле этого вида ЭП. Ненадежность простой ЭП повлекла отказ удостоверяющих аккредитованных центров от работы с ней.
Усиленная ЭП:
- идентифицирует личность подписанта;
- при проверке выявляет любые правки, произведенные после подписания;
- конструируется с помощью криптографических алгоритмов с использованием ключа;
- подразумевает применение сертификата неакредитованного удостоверяющего центра либо работу вообще без сертификата ключа проверки подписи.
Она выполняет все функции усиленной ЭП, но, кроме того:
- производится посредством методов защиты, одобренных ФСБ;
- ключ проверки указан в квалифицированном сертификате, выпущенном удостоверяющим центром, который прошел аккредитацию;
- при ее формировании применяются средства ЭП.
Сходства и принципиальные различия с ручной подписью
Любой документ должен быть подтвержден и заверен подписью. Это касается работы с документацией как физических, так и юридических лиц. С развитием виртуальных сделок была открыта и внедрена в работу электронная (виртуальная) подпись. Такая подпись, идентично рукописной, придает документу юридическую силу. В этом заключается главное сходство.
Принципиальным различием, которое не нужно объяснять является формат подписи. Рассмотрим фактор безусловной защиты в качестве еще одного отличия у данных видов подписей.
Каждый человек старается придумать свою неповторимую, надежную подпись. Ведь чем сложнее будет ее «скопировать», тем безопаснее будет жизнь. У электронной подписи не возникает проблем с уникальностью. Ведь криптографические ключи неповторимы. Конечно, есть такие программисты, которые пытаются нарушить целостность криптографической защиты, но это уже является хакерской атакой, и вряд ли будет иметь отношение к ЭЦП физического лица. А вот сфальсифицировать подпись на бумаге, к сожалению, вполне возможно. Есть «таланты», которые справляются с данным правонарушением «на отлично». Поддельную подпись на бумаге может выявить судебная экспертиза. Однако не всегда и не все пострадавшие от мошенников обращаются за помощью к органам.
Какие бывают электронные подписи
Электронная подпись на документе — это аналог собственноручного автографа, оставленного на бумажном носителе. Закон №63-ФЗ определяет два вида электронной подписи (ЭП):
- простая электронная подпись имеет минимальную степень защиты,
- усиленная электронная подпись представляет собой шифрованный файл с двумя ключами и сертификатом для проверки.
Что такое простая электронная подпись
Простая электронная подпись (ПЭП) представляет собой несложное буквенно-цифровое обозначение, позволяющее пользователю авторизоваться в той или иной информационной системе, совершать в ней разрешенные операции. Чаще всего ПЭП представлена парой логин-пароль, где логином является электронный адрес или телефонный номер, а пароль сгенерирован самим пользователем или системой, с которой он намеревается взаимодействовать.
Сама по себе ПЭП не имеет юридической силы. К собственноручной подписи её можно приравнять, если об этом заключено специальное соглашение на сайте, внутри корпорации или между деловыми партнерами. Так, онлайн-банк одобрит перевод денег со счета, если получит подтверждение в виде цифрового кода, присланного на телефон или электронную почту клиента. Особое соглашение с клиентом позволяет приравнять сочетание «номер телефона + СМС-код» к личной подписи клиента. Кроме банковских операций, простую ЭП применяют:
- при обороте электронной документации внутри компании;
- для аутентификации и просмотра информации на государственных сайтах;
- для общения между деловыми партнерами, если между ними есть соглашение.
В системе ЕСИА подача запросов и доступ к электронным услугам на сайтах разрешается лишь после того, как получатель ключа ПЭП лично явится с паспортом в МФЦ, где будет идентифицирована его личность.
Что такое усиленная неквалифицированная электронная подпись (НЭП)
Усиленная ЭП – это созданный в дополнение к документу специальный файл с шифром. Его назначение – удостоверить личность автора и гарантировать неизменность информации в источнике. В отличие от ПЭП усиленную электронную подпись подделать практически невозможно: она генерируется специалистами, получившими от ФСБ лицензию на работу с программами шифрования. Без специального ключа открыть документ с такой подписью не удастся. Усиленную ЭП используют для подписи документов, которые на бумажном носителе должны иметь печать.
Усиленная подпись может быть неквалифицированной (НЭП) и квалифицированной (КЭП). Разница между ними – в степени доверия государства. НЭП генерируется для внутреннего электронного документооборота по произвольному криптографическому алгоритму, она действительна только для тех корреспондентов корпорации, с которыми имеется договор о признании юридической силы данной подписи. Без предъявления такого договора арбитражный суд признает контракт, подписанный НЭП, недействительным. Сервис Налоговой инспекции генерирует для своих пользователей НЭП для подписания документов по налоговой отчетности из личного кабинета на сайте. Не используется НЭП на портале Госуслуг, на ресурсах ПФР и ФСС, Росреестр, Росстат и др.
Понятие ЭП
Электронная подпись является технически сложной информационно-юридической категорией и выступает в таких основных проявлениях:
- является обязательным реквизитом официального документа, созданного и используемого в бездокументарной форме;
- представляет собой некий пласт технически зашифрованной информации, который, в зависимости от используемой технологии:
- вносится непосредственно в заверяемый документ;
- логически к нему прикрепляется;
- формируется в результате предельно сложных математических вычислений посредством криптографических методов.
Характеристики
Это юридическая категория, которая:
- имеет определенную сферу использования;
- обладает признаком юридической значимости;
- верифицирует (подтверждает) данные, которые содержатся в заверенном ею документе;
- выступает механизмом для обеспечения безопасности.
Исходя из законодательного определения, следует отнести к признакам ЭП также следующее:
- создается в результате видоизменения данных посредством криптографических алгоритмов с помощью закрытого личного ключа подписанта;
- обеспечивает выявление внесенных изменений в заверенный файл после формирования подписи хозяином сертификата ключа;
- устанавливает принадлежность ЭП владельцу сертификата ключа подписи.
Откуда пришло понятие
Термин «электронная подпись» был привнесен в отечественное делопроизводство из зарубежных технических стандартов. Новая редакция профильного закона РФ «Об ЭП» еще больше приблизила требования, нормативное регулирование и правила обращения с ЭП к международным стандартам.
Для стран-членов Евросоюза Директива Европарламента и совета ЭС 1999/93/ЕС от 1999 года «О порядке использования ЭП в ЕС» является определяющим документом, который дает исчерпывающий ответ на вопрос, что это — электронная подпись?
В названном документе ЭП определена как любые оцифрованные сведения, которые добавлены или другим способом ассоциированы с данными в электронной форме и служат подтверждением их подлинности. Интересно, что международные правовые документы трактуют понятие электронной подписи гораздо шире, чем отечественные.
При этом цифровой подписью могут быть признаны:
- простые пароли, которые создаются при помощи кодов или иных некриптографических методов;
- биометрические данные человека;
- фото или даже запись голоса владельца ЭП.
Таким образом, понятие ЭП в Евросоюзе никак не привязано к определенной технологии ее создания. В РФ наоборот, технология четко определена:
- простая подпись формируется с помощью кодов чисел либо паролей;
- усиленная – с использованием криптографических механизмов шифрования;
- квалифицированная – теми же методами, что и усиленная, если они проверены и одобрены ФСБ.
Становление ЭЦП в мировой истории
Само понятие «электронная цифровая подпись» появилось еще в далеком 1976 году. Тогда американские криптографы Уитфилд Диффи и Мартин Хеллман впервые предположили возможность появления таких электронных схем.
Уже на следующий год группа ученых (Рональд Ривест, Леонард Адлеман и Ади Шамир) разработала криптографический алгоритм, который можно было использовать для создания цифровых подписей. Через 7 лет разработчиками был определен алгоритм цифровой подписи и требования безопасности.
В России же первый стандарт электронной цифровой подписи был разработан лишь в 1994 году. Этим вопросом занималось Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ). Стандарту был присвоен ГОСТ Р 34.10-94. После 2002 года первоначальный ГОСТ был изменен на новый: ГОСТ Р 34.10-2001, после чего термины «электронная цифровая подпись» и «цифровая подпись» являются одинаковыми по смыслу терминами.
С течением времени в России был установлен новый ГОСТ: Р 34.10-2012, стандартам которого должны соответствовать все российские информационные технологии, криптографические защиты информации, а так же процессы формирования и проверки электронной цифровой подписи.
Каждая страна заботится об установлении нормативно-правовой базы и юридической значимости ЭЦП. Рассмотрим стандарты различных стран, в которых действует ЭЦП :
- Украина. Использование электронной подписи регулируется Законом №852-IV. Данный закон был принят в 2003 году. Центральный удостоверяющий орган выдает разрешения центрам сертификации ключей. Так же в его обязанности входит обеспечение доступа к электронным каталогам и контроль работы центров сертификации ключей, которые выдают электронные цифровые подписи.
-
Эстония. В данной стране активно функционирует система ID-карт. Такие карты используют в повседневной жизни более ¾ населения страны.
Интересный факт! В 2007 году в Эстонии были проведены выборы в местный парламент с возможностью электронного голосования (с использование ЭЦП).
- Австралия. В этой стране электронная цифровая подпись является неотъемлемым атрибутом ведения бизнеса. Однако у граждан (физ. лиц) не пользуется большой популярностью. Дело в том, что население боится пользоваться электронной подписью из-за сведений о том, что секретный ключ все-таки теоретически можно скомпрометировать.
- Германия. В этой стране особые жесткие технические требования к сертифицирующим органам. Для осуществления своей деятельности они должны полностью соответствовать требуемым критериям. В Германии основной упор законодательства в сфере электронных технологий сделан не на признании юридической силы электронной цифровой подписи, а на создание целостной инфраструктуры.
- Франция. В этой стране электронная цифровая подпись является юридически значимой, о чем свидетельствует Закон № 2000-230 «О придании доказательственной силы информационным технологиям и об электронной подписи» от 13.03.2000 года. С принятием данного закона были даже внесены изменения и дополнения в Гражданский Кодекс Франции. В вышеуказанном Законе излагаются условия, при соблюдении которых ЭЦП будет иметь юридическую силу.
- В Республике Беларусь был принят Закон № 113-З «Об электронном документе и электронной цифровой подписи», от 28.12.2009 года. В данном Законе изложена правовая основа использования ЭЦП в электронном документообороте. В настоящее время граждане Республики достаточно активно пользуются цифровой подписью.
Виды цифровых подписей
Федеральный Закон РФ «Об электронной цифровой подписи» № 63- ФЗ от 6 апреля 2011 года регламентирует четкое разделение электронной подписи на простую электронную подпись и усиленную. Последняя, в свою очередь, делится на подвиды.
Одним из основных отличий усиленной (квалифицированной) подписи от простой является ее формат: она представлена в виде криптографического ключа, а простая представляет собой комбинацию логина и пароля.
В таблице рассмотрены характеристики и особенности основных видов электронной цифровой подписи:
Простая | Усиленная | ||
---|---|---|---|
неквалифицированная | квалифицированная | ||
Основные черты | Устанавливает факт формирования электронной подписи определенным лицом. Простая подпись может применяться при получении услуг на электронном сервисе Государственных услуг. | Подтверждает авторство. Подходит для отправки подписанного документа в различные компании и инспекции. | С юридической точки зрения абсолютно идентична ручной подписи. Такую подпись можно получить исключительно в удостоверяющем центре, который имеет аккредитацию Минкомсвязи Российской Федерации. Используется для сдачи отчетности в контролирующие органы, в суде и для участия в электронных торгах. |
Особенности | Содержится в самом электронном документе. Не дает гарантии в неизменности содержания документа после его подписания. | Подтверждает, что в документ, с момент его подписания, никаких изменений не вносилось. | Для ее использования выдается два ключа (открытый и закрытый). Они работают только в паре. |
Формат электронной подписи: отсоединенная и присоединенная
Отсоединенная электронная подпись имеет расширение SIG. Она не содержится в самом документе, а является отдельным файлом к нему. То есть доказательтвом подписания документа является сам файл SIG. Для проверки подлинности документа нужно будет открывать оба файла. Файл ЭП можно открыть с помощью КриптоАРМ, Mozila Thunderbird, ViPNet CryptoFile. Основной же документ будет открываться как обычно. Следует учесть, что в случае, если в документ вносятся изменения после его подписания, то файл самой ЭП SIG становится неактуальным.
Формат присоединенной ЭП содержится в самом документе. После подписания документ необходимо проверять на наличие подписи специальными программами, в которых происходило подписание — КриптоПРО PDF, КриптоАРМ, плагин КриптоПро Office Signature или программы ЭДО (например Landocs).
И в заключение представим краткую таблицу, где и какую подпись можно получить.
Простая электронная подпись | Усиленная неквалифицированная электронная подпись | Усиленная квалифицированная электронная подпись |
---|---|---|
— Получаем в том сервисе, где она требуется. — На зайте Госуслуг, в клинт-банке, Почта России и т.д. Требуется заключение договора об ЭДО |
— Получаем в неаккредитованном Удостоверяющем центре. — Для ФНС – в личном кабинете налогоплательщика. Требуется заключение договора об ЭДО. |
— Получаем только в аккредитованном Минкомсвязью Удостоверяющем центре — Для работы в СУФД и на сайте закупок как заказчик по 44-ФЗ только в УЦ Федерального казначейства (по месту обслуживания) — С 01.07.2020 будут изменения |
Где используется простая подпись
Самый простой пример использования простой ЭП — это личные кабинеты пользователей в банках, на сайтах коммунальных служб, на Портале государственных услуг. При регистрации человек указывает свои паспортные данные, или СНИЛС, номер банковского счета, телефона — то есть личные данные, которые его однозначно идентифицируют в этой конкретной системе.
Сочетание логин + пароль — не что иное, как простая ЭП. Для дополнительной защиты банки используют двухфакторную идентификацию с получением подтверждения по SMS. Несколько больше защищен Портал госуслуг — к некоторым сервисам нельзя получить доступ, пока не подтвердишь свою личность, предоставив паспорт. Это можно сделать в любом МФЦ.
Общие сведенья об ЭЦП
Электронная цифровая подпись – это подпись гражданина в электронном формате. Она уникальна за счет своей криптографической защиты. Данная защита представляет собой преобразование информации при помощи закрытого ключа, который известен исключительно владельцу ЭЦП.
Несмотря на официальную аббревиатуру ЭП, которая закрепилась в России с 2011 года, общепринятым сокращением электронной цифровой подписи считается «ЭЦП» (по первым буквам). Аббревиатура ЭЦП была утверждена еще в 2002 году одновременно с принятием Федерального Закона «Об электронной цифровой подписи» от 10 января 2002 года. Однако позже, в 2011 году, Федеральный закон № 63- ФЗ от 06.04.2011 года сократил привычную аббревиатуру на 1 букву.
Электронная цифровая подпись включает в себя 3 составляющих:
1. Открытый ключ. Или ключ проверки электронной подписи. Он предназначен для подтверждения подписи. В открытом доступе для любого пользователя (то есть его могут увидеть все пользователи системы виртуального документооборота).
2. Закрытый ключ. Это уникальная последовательность символов, предназначенная для создания электронной подписи.
То есть, простыми словами, с помощью закрытого ключа создается электронная цифровая подпись, а с помощью открытого – проверяется.
У закрытого ключа есть и другие названия – приватный или секретный
Исходя из названия, владельцу данного ключа необходимо уделить особое внимание сохранности данных. Ответственность за хранение закрытого ключа полностью возложена на его владельца (в соответствии с ФЗ № 63 «Об электронной цифровой подписи»)
Существует несколько способов хранения секретного ключа:
- USB-брелки (токены);
- «таблетки» Touch-Memory;
- Смарт-карта. Является наиболее надежным способом хранения.
Если закрытый ключ станет известен злоумышленникам, он будет считаться скомпрометированным. Поэтому сертификат электронной подписи необходимо сразу отозвать, обратившись в удостоверяющий центр.
Обратите внимание! При желании, владелец может застраховать свою электронную цифровую подпись!
3. Сертификат ключа проверки электронной подписи. Чаще используется упрощенное название «сертификат ЭП». Это документ, подтверждающий принадлежность ключа проверки ЭП владельцу сертификата. Отражает информацию о владельце цифровой подписи. Содержит сведенья о персональных данных и реквизиты (для ИП).
Каждый сертификат имеет срок действия. Как правило, сертификат выдается сроком на 12 месяцев. По истечению этого срока подпись теряет свою юридическую силу. Для возобновления работы с ЭЦП нужно будет продлить действие сертификата.
Порядок получения ЭЦП. Пошаговая инструкция
Изучив все достоинства ЭЦП, вы приняли решение получить её. Прекрасно! Но тут появляется вопрос, как получить ключ электронной подписи? Ответ на него находится в развёрнутой пошаговой инструкции, представленной ниже.
- Выбор типа ЭЦП.
- Подбор удостоверяющей организации.
- Оформление заявления на изготовление электронной подписи.
- Оплата по счёту, после того как заявка будет подтверждена.
- Подготовка набора документов.
- Получение цифровой подписи. В удостоверяющий центр требуется явиться с оригиналами документов (либо ксерокопиями, заверенными нотариусом), которые требуются для оформления ЭЦП, с квитанцией об оплате по счёту, кроме того, юридическим лицам и ИП следует иметь при себе печать.
Процесс получения сам по себе очень прост, однако, в некоторых ситуациях в получении электронной подписи могут отказать, например, в заявление указаны ошибочные данные либо предоставлен неполный пакет документов. В таких случаях следует исправить ошибки и подать заявку повторно.
Далее, рассмотрим каждый пункт подробнее.