что значит электронная цифровая подпись
Что такое электронная подпись — простым языком для новичков мира цифровой экономики
В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.
Что такое электронная подпись?
Электронная подпись – это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.
Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т.д.
Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:
— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,
— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.
Возможности электронной подписи
Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.
Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.
Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.
Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?
Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.
Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.
Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).
Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.
Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.
Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.
Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?
Выданная электронная подпись состоит из 3 элементов:
1 – средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако». Подробнее прочитать о технологиях ЭЦП, связанных с использованием «электронного облака», можно будет в следующей статье Единого портала Электронной подписи.
Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.
2 – ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них – ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете. Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым». Он не содержится в тайне, однозначно привязан к «закрытому» ключу и необходим, чтобы любой желающий мог проверить корректность электронной подписи.
В соответствии с законодательством РФ различают:
— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;
— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.
Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр — понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.
Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:
Вопрос безопасности
Требуемые свойства подписываемых документов:
Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.
С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.
Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.
Как подписать файл электронной подписью?
1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».
2. Пройти путь в диалоговых окнах криптопровайдера:
Выбрать кнопку «Далее».
На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.
Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).
В блоке «Свойства подписи» выбираете «Подписано», при необходимости можно добавить комментарий. Остальные поля можно исключить/выбрать по желанию.
Из хранилища сертификатов выбираете нужный.
После проверки правильности поля «Владелец сертификата», нажимайте кнопку «Далее».
В данном диалоговом окне проводится финальная проверка данных, необходимых для создания электронной подписи, а затем после клика на кнопку «Готово» должно всплыть следующее сообщение:
Успешное окончание операции означает, что файл был криптографически преобразован и содержит реквизит, фиксирующий неизменность документа после его подписания и обеспечивающий его юридическую значимость.
Итак, как же выглядит электронная подпись на документе?
Фрагмент рабочего стола. Слева: файл, подписанный ЭП, справа: криптопровайдер (например, КриптоАРМ).
Визуализация электронной подписи в самом документе при его открытии не предусмотрена ввиду того, что она является реквизитом. Но есть исключения, например, электронная подпись ФНС при получении выписки из ЕГРЮЛ/ЕГРИП через онлайн сервис условно отображается на самом документе. Скриншот можно найти по ссылке.
Но как же в итоге «выглядит» ЭЦП, вернее, как факт подписания обозначается в документе?
Открыв через криптопровайдер окно «Управление подписанными данными», можно увидеть информацию о файле и подписи.
При нажатии на кнопку «Посмотреть» появляется окно, содержащее информацию о подписи и сертификате.
Последний скриншот наглядно демонстрирует как выглядит ЭЦП на документе «изнутри».
Приобрести электронную подпись можно по ссылке.
Задавайте другие вопросы по теме статьи в комментариях, эксперты Единого портала Электронной подписи обязательно ответят Вам.
Статья подготовлена редакцией Единого портала Электронной подписи iEcp.ru с использованием материалов компании SafeTech.
При полном или частичном использовании материала гиперссылка на www.iecp.ru обязательна.
Читайте также:
Информационная безопасность в мире цифровой экономики
Цифровая экономика стремительно вытесняет старый уклад во всех сферах деятельности современного общества. Трансформируется частная жизнь и рабочие места, появляются новые профессии и инструменты взаимодействия. В эпоху столь масштабных преобразований всё большую актульность принимает проблема информационной безопасности в организациях. Исполнительный директор АЭТП Илия Димитров и заместитель директора Академии Информационных Систем Игорь Елисеев прокомментировали вопрос становления цифровой экономики и основные аспекты обеспечения ИБ в современных компаниях.
Виды электронной подписи (ЭП или ЭЦП)
В России в электронном документообороте можно использовать три вида подписи: простую, усиленную неквалифицированную и усиленную квалифицированную. Посмотрим, чем они отличаются друг от друга, при каких условиях равнозначны собственноручной и придают подписанным файлам юридическую силу.
Виды электронной подписи
Простая электронная подпись, или ПЭП
Простая подпись — это знакомые всем коды доступа из СМС, коды на скретч-картах, пары “логин-пароль” в личных кабинетах на сайтах и в электронной почте. Простая подпись создается средствами информационной системы, в которой ее используют, и подтверждает, что электронную подпись создал конкретный человек.
Где используется простая электронная подпись?
Простая электронная подпись чаще всего применяется при банковских операциях, а также для аутентификации в информационных системах, для получения госуслуг, для заверения документов внутри корпоративного электронного документооборота (далее — ЭДО).
Простую электронную подпись нельзя использовать при подписании электронных документов или в информационной системе, которые содержат гостайну.
Юридическая сила ПЭП
Простая подпись приравнивается к собственноручной, если это регламентирует отдельный нормативно-правовой акт или между участниками ЭДО заключено соглашение, где прописаны:
Во многих информационных системах пользователь должен сначала подтвердить свою личность во время визита к оператору систему, чтобы его ПЭП в будущем имела юридическую силу. Например, для получения подтвержденной учетной записи на портале Госуслуг, нужно лично прийти в один из центров регистрации с документом, удостоверяющим личность.
Неквалифицированная электронная подпись, или НЭП
Усиленная неквалифицированная электронная подпись (далее — НЭП) создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки.
Человек получает в удостоверяющем центре два ключа электронной подписи: закрытый и открытый. Закрытый ключ хранится на специальном ключевом носителе с пин-кодом или в компьютере пользователя — он известен только владельцу и его нужно держать в тайне. С помощью закрытого ключа владелец генерирует электронные подписи, которыми подписывает документы.
Открытый ключ электронной подписи доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом и позволяет всем получателям подписанного документа проверить подлинность ЭП.
То, что открытый ключ принадлежит владельцу закрытого ключа, прописывается в сертификате электронной подписи. Сертификат также выдается удостоверяющим центром. Но при использовании НЭП сертификат можно не создавать. Требования к структуре неквалифицированного сертификата не установлены в федеральном законе № 63-ФЗ “Об электронной подписи”.
Где используется неквалифицированная электронная подпись?
НЭП можно использовать для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом.
Юридическая сила НЭП
Участникам ЭДО нужно соблюдать дополнительные условия, чтобы электронные документы, заверенные НЭП, считались равнозначными бумажным с собственноручной подписью. Сторонам нужно обязательно заключить между собой соглашение о правилах использования НЭП и взаимном признании ее юридической силы.
Квалифицированная электронная подпись или КЭП
Усиленная квалифицированная электронная подпись — самый регламентированный государством вид подписи. Так же, как и НЭП, она создается с помощью криптографических алгоритмов и базируется на инфраструктуре открытых ключей, но отличается от НЭП в следующем:
Где используется квалифицированная электронная подпись?
КЭП нужна, чтобы сдавать отчетность в контролирующие органы, участвовать в качестве поставщика и заказчика в электронных торгах, работать с государственными информационными системами, обмениваться формализованными документами с ФНС, вести электронный документооборот внутри компании или с ее внешними контрагентами.
Юридическая сила КЭП
КЭП — это подпись, которая придает документам юридическую силу без дополнительных условий. Если организации ведут ЭДО, подписывая документы КЭП, их юридическая сила признается автоматически согласно федеральному закону № 63-ФЗ “Об электронной подписи”.
Как электронная цифровая подпись ускоряет работу компании
Содержание статьи
Электронный документооборот, сдача отчетов через интернет и тендеры невозможны без электронной цифровой подписи. Рассказываем про виды ЭП, какие есть плюсы и недостатки, а также правила безопасного использования.
Что такое электронная подпись?
Это аналог подписи человека. Цифровые данные помогают идентифицировать владельца и подтвердить, что именно он подписал документы. Если раньше приходилось распечатывать бумаги, затем подписывать вручную, сканировать или отправлять почтой, то теперь это делается в электронном формате.
Предприниматели используют электронную подпись для значимых бизнес-процессов:
В России действует федеральный закон № 63-ФЗ «Об электронной подписи», который регулирует применение ЭП.
Виды электронных подписей
Простая электронная подпись
Это обычный набор данных: код с логином и паролем. То есть подтверждения по Email, SMS, USSD — примеры этой подписи. Ее можно сделать самостоятельно, используя специальное программное обеспечение, правда юридической значимости у простой ЭП нет. Она не подойдет для участия в тендерах или отправки отчетов в налоговую. Обычно простую подпись используют для заверения внутренних процессов компании, в банковских операциях или на Госуслугах.
Усиленная неквалифицированная электронная подпись (НЭП)
Для создания используют программы криптошифрования. НЭП подтверждает личность владельца и показывает, что в документ не внесли изменения после подписания. Подпись можно сделать самостоятельно с помощью программиста или заказать в Удостоверяющем центре (по цене от 1000 рублей). НЭП хранят на USB-флешке с паролем, который доступен только владельцу. Подходит для обмена документами с контрагентами. Но перед этим участники ЭДО заключают соглашение, что НЭП имеет юридическую значимость.
Усиленная квалифицированная подпись (КЭП)
«Электронные цифровые подписи бывают облачные и на электронных носителях. Я рекомендую использовать защищенные электронные носители, например, рутокен. Рутокен самый распространенный носитель. Кроме защищенности, он еще прост в настройке и работе на компьютере. Необходимо скачать и установить «панель управление рутокен» (это драйвер), без нее ваш компьютер просто не увидит КЭП»
Усиленная квалифицированная подпись дает больше возможностей и автоматом придает юридическую силу. Поэтому опытные предприниматели советуют выбирать КЭП. Перед тем как обратиться в удостоверяющий центр — проверьте аккредитацию на сайте Министерства цифрового развития, связи и массовых коммуникаций РФ.
Вениамин Бакалинский, генеральный директор Бюро переводов iTrex:
«Электронная цифровая подпись – это очень просто и удобно, никаких сложностей не было. Единственное, что могло у нас вызвать затруднения, — установка ПО и драйверов для работы ЭЦП, но эту работу берет на себя удостоверяющий центр. Сотрудник техподдержки удаленно подключился к одному из наших компьютеров, установил и настроил ПО. Все работы по настройке заняли максимум 20 минут»
Плюсы электронной подписи
Процессы становятся быстрее
Предприниматели подписывают акты или договоры, а контрагент сразу их получает. Значит, поставки и продажи совершаются быстрее.
Вениамин Бакалинский рассказывает про свой опыт использования ЭП:
«Сейчас около 70% всех наших клиентов обмениваются с нами организационными и отчетными документами в электронном виде. Особенно это помогает с новыми клиентами: раньше обмен подписанными договорами, выставление первых счетов, оформление первых ТЗ занимало много времени и иногда было серьезным поводом для беспокойства менеджеров на стороне клиента. Если менеджеру нужно было оперативно запустить проект в работу, и мы со своей стороны готовы были приступить немедленно, но юристы клиента требовали сначала полностью оформить все документы и обменяться оригиналами. Это логично, но очень мешает в ситуации, когда даже несколько часов влияют на выполнение работы в срок.
С переходом на ЭЦП такие ситуации перестали возникать. Также есть некоторая экономия за счет расходов на курьеров и печать документов»
Удобно работать с контролирующими органами
Не надо ехать в ФНС, чтобы сдать отчеты или декларации. Все данные отправляют из офиса или дома в любое время суток.
Минусы использования электронной подписи
Затраты на оформление и установку
Главный минус — это затраты на оформление подписи, настройка браузера и установка ПО для работы электронной подписи. КЭП обойдется для предпринимателя в 1500-6000 рублей (зависит от политики Удостоверяющего центра).
Тимур Алексеев, коммерческий директор Сервиса электронной подписи Sign Me
«Из-за разнообразия технологий реализации электронных носителей ключей электронной подписи, не существует «универсальной» подписи, которая была бы у человека одна и для всего (ну, или максимум две: как у физического лица и как у представителя юридического лица).
В настоящий момент многие сервисы, используемые бизнесом, «заточены» только под одну определенную технологию реализации электронной подписи, а это значит, что столкнувшись с сервисом с отличающейся технологией, придется выпускать еще одну новую подпись. В результате, у активного пользователя цифровых сервисов может наплодиться большое количество разных подписей, что увеличивает риск потери контроля доступа владельца к своим ключам»
Ограниченный срок действия
Например, он часто заканчивается во время сдачи отчетов в ФНС. И если удостоверяющий центр перевыпустит КЭП за пару часов, то на стороне налоговиков ее могут подтверждать пару дней. В итоге предприниматель сдает отчет позже срока, а это приводит к штрафу.
«Срок действия КЭП ограничен (как правило, год), нужно перевыпускать подпись на генерального директора, если он сменился (актуально для ООО). Кроме этого, возможны сложности для выпуска квалифицированной подписи, если заявитель является иностранным лицом»
Скоро электронная цифровая подпись понадобится почти всем
К 2024 году правительство планирует ввести обязательную маркировку для широкого круга товаров, а со следующего года введут обязательный электронный документооборот для тех, кто уже использует маркировку. Также ЭП используют для работы с онлайн-кассами: регистрация, замена фискального накопителя, заключение договора с ОФД. Поэтому оформить цифровую подпись в ближайшее время придется большинству предпринимателей.
Юрий Спирин, сооснователь магазина «Ячей»:
«У нас магазин, и нужно обязательно использовать онлайн-кассу, а торгуем мы одеждой и обувью, которые нужно маркировать. Поэтому давно используем электронную подпись. Конечно, это дополнительные затраты, но не такие большие. С другой стороны, это удобно: обмен документами происходит быстро. А если вы хотите взаимодействовать с крупными поставщиками, то придется внедрять ЭДО, а там без ЭП не обойтись»
Могут ли подделать электронную подпись?
Когда все процессы переходят в электронный вид, появляется угроза, что мошенники взломают систему и похитят данные. Но подделать усиленную квалифицированную подпись невозможно.
Михаил Александров, Руководитель представительства удостоверяющего центра «ИжТендер» в Санкт-Петербурге:
«Подделать электронную цифровую подпись невозможно, но бывают случаи, когда подпись используют без ведома владельца. Основные способы несанкционированного использования — это кража ключа и подмена подписываемой информации. Это делают с помощью шпионских программ или через кражу PIN-кода от токена»
Еще есть некоторые правовые сложности с оформлением без личного присутствия. По закону в удостоверяющем центре должны идентифицировать заявителя и после этого выдать КЭП, но бывают исключения.
Дмитрий Соломенников, генеральный директор ООО «Туртехнологии»:
«У меня несколько ЭЦП. Да, безусловно, это удобно. Сейчас регистрация на многих сервисах, связанных с бизнесом, идет по ЭЦП. Однако технология выдачи в России заставляет задумываться о безопасности выпуска подписи. Так, при аренде кассового аппарата у Сбербанка, сотрудник Сбера выпустил электронную цифровую подпись на меня даже без моего личного визита в удостоверяющий центр, только на основании представленных сканов. Как такое может быть? Я узнал об это только постфактум»
Скорее всего, в банке идентифицировали пользователя как клиента, внутренний регламент это разрешает. Михаил Александров считает, что подобные ситуации возникают из-за недоработанного законодательства:
Правила безопасности
Чтобы защитить себя от воровства электронной цифровой подписи, нужно соблюдать несложные правила. Их сформулировала эксперт в сфере закупок Дарья Опарина: