Создание электронной цифровой подписи необходимо для. Как определить владельца ЭЦП по документу подписанному ЭЦП? Усиленная неквалифицированная электронная подпись

Сертификат электронной подписи

Это электронный «паспорт» юридического или физического лица, который выдается удостоверяющим центром для идентификации владельца электронной подписи и подтверждения ее подлинности. Сертификат электронной подписи содержит:

сведения о владельце;
открытый ключ для проверки подлинности подписи получателем;
информация об удостоверяющем центре, выпустившем сертификат;
сведения об области применения сертификата.

Как правило, сертификат выдается на год, по истечении срока действия его необходимо продлевать. Это обусловлено требованиями информационной безопасности.

Электронные подписи - полезное дополнение для повседневного бизнеса

В деловой переписке безбумажная связь играет все более важную роль. Конечной целью электронных подписей является безопасное шифрование данных. Криптографические методы передачи обеспечивают безопасную отправку и получение файлов и документов. Помимо целостности и подлинности, цифровая подпись документов также создает ответственность. В результате компании могут все больше и больше полагаться на электронную связь и общаться с властями или судами быстрее и эффективнее - независимо от времени суток или часов работы.

Закрытый ключ

Это уникальная последовательность символов, с помощью которой происходит подписание и расшифрование документов. Закрытый ключ всегда идет в паре с общедоступным открытым ключом электронной подписи , который позволяет удостовериться в подлинности электронной подписи или зашифровать документы.

Закрытый ключ хранится на защищенном ключевом носителе - . Стоит помнить, что электронный документ и электронную подпись невозможно подделать только при условии хранениязакрытого ключа ЭП в тайне. В случае если токен с закрытым ключом попадает в чужие руки, происходит «компрометация» ключа, и сертификат электронной подписи должен быть отозван. Также компрометация закрытого ключа может произойти в случае заражения рабочего компьютера вредоносный программой.

В цифровом обществе это непреодолимое продвижение и неизбежное. Как отправитель, так и получатель могут сэкономить время и деньги и лучше использовать цифровые данные. Электронная связь пока недоступна для общения во всех сферах бизнеса. Для связи с клиентами и групповыми рассылками, например. Например, если приемник или большое количество приемников не имеют соответствующего программного обеспечения для расчета и проверки значений хэша. В этом случае имеет смысл продолжать отправлять соответствующие документы в бумажной форме.

Но даже здесь вы можете оцифровать процесс по частям и упростить. Все, что вам нужно сделать, это создать документ, и вы можете передать на внешний рынок фактическую работу по доставке цифровыми средствами. Так называемая электронная подпись изменяет способ выполнения бизнеса или контрактов в будущем!

Открытый ключ

Это уникальная последовательность символов, однозначно связанная с закрытым ключом, но открытый ключ электронной подписи является общедоступной информацией. С его помощью адресат, которому отправлен электронный документ, проверяет подлинность электронной подписи отправителя или зашифровывает документ.

Это означает, что вы можете безопасно настроить свою электронную подпись на любом конечном устройстве в любое время, независимо от местоположения, и тем самым юридически подписывать контракты. Это устраняет затраты и риски безопасности, связанные с печатью, отправкой факсов, сканированием или ночной доставкой. Вы можете легко заключать контракты и организовывать рабочие процессы как с домашними, так и с деловыми партнерами. Независимо от того, являются ли малые, средние или крупные предприятия, стоит задача создать интегрированное и в то же время эффективное, безопасное и масштабируемое решение электронной подписи.

Ключевой носитель

Это носитель, предназначенный для безопасного хранения закрытого ключа электронной подписи. Вместе с закрытым ключом на носителе обычно хранится и сертификат электронной подписи владельца. В основном используются два вида ключевых носителей: Рутокен и eToken, — ключевые носители в виде USB-ключей (флеш-карты)

Ваши документы, представленные в рабочий процесс, обрабатываются плавно в течение нескольких минут. Это означает, что для вашей компании требуется огромное количество времени. Воспользуйтесь часами, если клиент все еще горит и хочет подписаться немедленно. Ваше преимущество: вы можете быстрее генерировать доход и получать больше времени для работы с новыми заказами. Уникальный рабочий процесс, инициированный подписью, создает информацию и пересылает информацию другим участвующим отделам.

Служба может автоматически передавать информацию из существующих бизнес-систем, устраняя необходимость ручного ввода данных. Вы можете избежать ошибок при передаче, а затраты на процесс могут быть значительно уменьшены, поскольку сотрудники тратят время на создание, отправку, отслеживание, слияние и обработку документов. Таким образом, их сотрудники могут сосредоточиться на том, что действительно имеет значение: клиенты и их успех.

2. Электронная подпись

Электронная подпись (ЭП)

Реквизит электронного документа, предназначенный для обеспечения подлинности документа.

Электронная подпись формируется с использованием средств криптографической защиты информации (СКЗИ) и закрытого ключа электронной подписи. Технология позволяет идентифицировать автора документа и подтверждает отсутствие изменений в электронном документе после его подписания.

Ваши преимущества при использовании рабочих процессов электронной подписи. Электронная подпись - это возможность подписать контракт или документ с помощью программного решения. На самом деле просто, но на практике требуется юридически безопасная реализация, если вы хотите заключить контракты в цифровом виде. Для этих целей используется электронная подпись.

В качестве предпосылки необходимо доказать подлинность лиц. Кроме того, содержание электронных документов и, следовательно, цифровая подпись должны быть защищены от неправильного использования. Соответственно, важно проявлять особую осторожность при выборе службы подписи!

В отличие от собственноручной подписи, ЭП позволяет передавать подписанный документ по интернет без пересылки материального аналога и дает возможность проверить подлинность документа.

Простая электронная подпись

Самый незащищенный вид подписи, который чаще всего представляет собой код, отправляемый по СМС, а также логин и пароль. Простая подпись только утверждает авторство документа, поэтому сфера ее применения достаточно узка, а возможность и порядок использования устанавливается оператором системы.

Их электронная подпись свидетельствует о доверии к документу для их контрактных партнеров. Электронная подпись, на что вы должны обратить внимание? Важнейшим критерием для цифровой подписи является юридическая определенность. В конце концов, электронная подпись заменяет не только классическую подпись, но и печать, которая гарантирует целостность письма.

Качество и обработка. Конечно, при внедрении цифровой подписи компания не просто приобретает «виртуальную ручку», которая маркирует документы. Мы помогаем вам реализовать ваши контракты в эпоху цифровых технологий и создавать для вас интерфейсные решения. Поскольку «квалифицированные электронные подписи» заменяют собственноручную подпись в юридическом смысле, в принципе должно быть гарантировано, что лицо, использующее его, также имеет право. Это разрешение должно быть надлежащим образом прослежено в службе подписи.

Усиленная неквалифицированная электронная подпись

Вид подписи, который позволяет определить отправителя и подтвердить, что после подписания в документ не вносились изменения. Она приравнивает документ к собственноручно подписанному с печатью организации, если это установлено регламентом информационной системы, в котором используется данный вид подписи, либо соглашением сторон, участвующих в электронном документообороте. Именно этот вид подписи используется для торгов по Федеральному закону № 44-ФЗ .

Таким образом, решение использует разные параметры, которые позволяют сделать вывод, что подрядчик, который является электронно подписанным. Разумеется, правила безопасности применяются в обоих направлениях, как к подписи предпринимателя, так и, например, к подписям клиентов, полученным при доставке. Удобство использования. Предлагаемое приложение настолько интуитивно понятно, что начинающий или компьютерный профессионал может легко и быстро использовать цифровую подпись.

Порядок формирования ЭЦП

Компании поддержки, которые хотят работать с цифровыми подписями или подписями, должны в первую очередь информировать о возможностях получения помощи от службы онлайн-подписи. В идеале, личный контактный человек может быть достигнут днем и ночью, чтобы оперативно реагировать на чрезвычайные ситуации.

Усиленная квалифицированная электронная подпись

Самая широко применяемая и регулируемая из всех. Она обладает теми же свойствами, что и усиленная неквалифицированная подпись, но за счет дополнительного регулирования ее содержимого и правил выпуска в Федеральном законе 63-ФЗ, ее можно использовать в информационных системах без необходимости описания ее применения в регламенте/соглашении сторон. Квалифицированная подпись нужна для участия в торгах на некоторых коммерческих площадках и площадках по продаже имущества должников (банкротов), а также в юридически значимом электронном документообороте с контрагентами, при отправке отчетности в контролирующие органы через интернет и при работе с некоторыми порталами государственных органов.

Сокращение затрат. Для документооборота, печати, отправки факсов, сканирования, экспресс-доставки и отслеживания контрактов нет необходимости получать информацию и подписи. Фактор времени. Б. говорил по телефону, это присутствует в течение нескольких минут после подписания цифровой подписью, что вы завершаете его без промедления и подписываете.

Это легко, быстро и безопасно, в любое время, в любом месте и на любом устройстве. Уменьшить риски и повысить соответствие. Это определяет требования к положениям электронных подписей, которые были реализованы государствами-членами и другими государствами Европейской экономической зоны в национальных законах.

Усовершенствованная электронная подпись

Усовершенствованной называется электронная подпись, к которой в момент создания была присоединена дополнительная информация. Виды усовершенствованной подписи описаны в RFC 5126 .

Контур.Крипто создаёт подпись в формате CAdES-C, содержащую полную информацию, необходимую для проверки подлинности подписи даже после истечения строка действия сертификата. Для этого в подпись включаются данные о дате и времени подписания документа, полученные от сервера точного времени УЦ СКБ Контур. Кроме того, в подпись включаются сведения о цепочке доверия к сертификату и результаты проверки того, не был ли отозван сертификат и сертификаты из его цепочки доверия в момент создания подписи.

Электронная подпись - это данные, которые идентифицируют подписавшего или создателя подписи, и который проверяет целостность подписанных электронных данных. Таким образом, электронная подпись выполняет те же технические цели, что и рукописная подпись на бумажных документах.

В некоторых областях национальные законодатели налагают дополнительные требования к электронным подписям. «электронные подписи» в электронном виде, другие электронные данные. Прикрепленные или логически связанные с ними и используемые для аутентификации.

Кто является подрядчиками?

Электронные электронные подписывающие электронные подписи. Изменение данных может быть обнаружено. Электронных подписей «квалифицированных электронных подписей» после номера 2.

Является ли содержание документа неизменным

Аутентификация заявителя в смысле администрирования. Регулярность заявки. Идентификация и аутентификация лиц в области государственного управления в Австрии осуществляется посредством квалифицированных сертификатов в сочетании с функцией «Гражданская карта» и регулируется Законом об электронном правительстве.

Так как усовершенствованная подпись даёт возможность доказать, в какой момент времени она была создана и не был ли в данный момент времени отозван сертфикат, её использование является предпочтительным. Все сертификаты УЦ СКБ Контур поддерживают создание усовершенствованной подписи.

3. Инфраструктура электронной подписи

Средство криптографической защиты информации

Программный комплекс, реализующий на компьютере пользователя хотя бы один из следующих криптографических алгоритмов:

В настоящее время действующие требования законодательства Сообщества в отношении электронных подписей. Сертификаты, выданные поставщиком сертификационных услуг, созданным в Европейском сообществе или в Европейской экономической зоне, срок действия которых может быть проверен внутри страны, эквивалентны национальным сертификатам.

Электронная подпись: принцип

По меньшей мере три требования предъявляются к электронной подписи. Аутентичность: получатель подписанного документа может проверить личность создателя. Целое число: можно гарантировать, что документ не был изменен по пути от создателя к получателю. Неоспоримый: правовая презумпция того, что уполномоченная сторона подписала электронную подпись.

шифрование
расшифрование
создание
проверку электронных подписей.

В практике широкое применение получили средства криптографической защиты информации, реализующие все перечисленные алгоритмы, а значит, являющиеся также средствами электронной подписи. Самые распространенные из них: Крипто Про CSP, VipNet CSP.

Схемы и технологии ЭЦП

Для удовлетворения этих требований используются инструменты и методы криптографии, а именно хеши и асимметричная криптография. Но цифровая подпись может быть легко расширена этим свойством. Что необходимо обеспечить? Аутентичность: безопасность отправителя. Целостность: безопасность правильности содержимого.

Чтобы создать действительную подпись, недостаточно просто вычислить хэш-значение документа и отправить его вместе. Хотя хэш документа изменяется при изменении документа, значение хеша может быть просто пересчитано и отправлено из измененного документа. Собственность целостности не будет выполнена. Поэтому необходимы дальнейшие шаги, которые поясняются ниже.

В сервисах, предназначенных для подписания и шифрования документов, операции совершаются с помощью СКЗИ.

Компрометация ключа

Утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. Любое изменение реквизитов владельца ключа (сменилось название, поменялся руководитель организации) или компрометация закрытого ключа влечет к тому, что нужно отозвать действующий сертификат и получить новый.

Прежде чем вы сможете начать подписываться, необходимо создать инфраструктуру открытого ключа. Это создает для каждого человека пару ключей, состоящую из открытого и закрытого ключей, которые связаны друг с другом. Электронно подписанные документы подписываются с закрытым ключом подписавшего. Открытый ключ подписывающего лица используется для проверки целостности сообщения и передается вместе с подписанным документом или может быть восстановлен в общедоступных каталогах.

Электронная подпись: создание подписи

Все документы, зашифрованные открытым ключом, могут быть дешифрованы только с помощью закрытого ключа. Все документы, зашифрованные закрытым ключом, могут быть дешифрованы только открытым ключом. Каждый может расшифровать такие сообщения. Чтобы создать цифровую подпись для сообщения, сначала вычисляется значение хэша сообщения. Этот шаг используется только по соображениям эффективности, поскольку асимметричное шифрование более длинных документов очень интенсивно вычисляется. Вычисленный хэш теперь зашифрован с помощью закрытого ключа.

Метка времени

Технология, которая подтверждает момент подписания электронного документа. В файл подписи включается точное время создания подписи, полученное с сервера точного времени и подтвержденное электронной подписью удостоверяющего центра. Метка времени используется для проверки того, что на момент подписания документа действие сертификата не истекло или он не был отозван.

Полученный зашифрованный текст добавляется к сообщению.

Чтобы проверить правильность принятого подписанного сообщения, сначала отделяется сообщение от цифровой подписи и вычисляется хэш-значение сообщения. Затем подпись расшифровывается с помощью открытого ключа создателя, и вы получаете значение хэша, вычисленное создателем. Если эти два значения хеширования совпадают, цифровая подпись действительна. В противном случае либо подпись была подделана, либо сообщение изменилось.

Список отозванных сертификатов (СОС)

Электронный документ, включающий в себя список серийных номеров сертификатов ключей подписи, которые на определенный момент времени были аннулированы (отозваны). Достоверность и актуальность документа подтверждается электронной подписью Удостоверяющего Центра

Отсоединенная электронная подпись

Разновидность электронной подписи, при создании которой, файл подписи создается отдельно от подписываемого файла. Поскольку подписываемый файл никак не изменяется, его можно читать, не прибегая к специальным программам, работающим с электронной подписью.

Для проверки подписи нужно будет использовать программы либо сервисы, работающие с электронной подписью. При этом входными данными для таких программ будут служить файл с электронной подписью и подписанный ей файл.

Присоединенная электронная подпись

Разновидность электронной подписи, при создании которой, создаётся файл, содержащий как саму электронную подпись, так и исходный документ. В случае использования присоединенной подписи для чтения подписанного файла необходимо прибегнуть к специальным программам, работающим с электронной подписью, в которых можно как проверить подпись, так и «извлечь» подписанный файл для чтения. При этом входными данными для таких программ или сервисов будет служить единый файл, содержащий как электронной подпись, так и подписанный ей документ.

4. Операции с сертификатом электронной подписи в Контур.Крипто

Создание подписи

Каждая подпись создается с помощью закрытого ключа сертификата электронной подписи, который хранится на специальном носителе .

При создании файла подписи в него автоматически вкладывается сертификат электронной подписи, который содержит открытый ключ подписи для проверки ее подлинности получателем.

Проверка подписи

Электронная подпись, созданная с использованием сертификата, проверяется с помощью открытого ключа электронной подписи, который содержится в файле подписи.

Успешное прохождение проверки подтверждает, что данная электронная подпись была создана для полученного документа, и документ после этого не был изменен. Авторство документа получатель может проверить, ознакомившись со сведениями об авторе, которые содержатся в сертификате электронной подписи.

Шифрование документа

Шифрование документа обеспечивает конфиденциальность информации, содержащейся в документе любого формата.

Автор зашифровывает документ с помощью сертификата электронной подписи получателя , содержащего открытый ключ. Это открытая информация, которую автор документа может запросить у самого получателя. После завершения процедуры шифрования прочитать файл может только владелец того сертификата электронной подписи, с помощью которого был зашифрован документ.

Расшифрование документа

Расшифрование документа происходит с помощью сертификата электронный подписи (с помощью закрытого ключа данного сертификата), на который был зашифрован документ.

Данный сертификат должен быть установлен на компьютере получателя документа.

5. Удостоверяющие центры

Удостоверяющий центр

Организация, осуществляющая функции по созданию и выдаче сертификатов ключей проверки электронных подписей. Основным назначением удостоверяющего центра является выдача сертификатов ключей подписей. Помимо этого им осуществляется:

Изготовление сертификатов ключей подписей;
Создание закрытого и открытого ключа ЭП при обращении участников информационной системы;
Обеспечение конфиденциальности закрытого ключа ЭП, созданного удостоверяющим центром;
Аннулирование (отзыв) сертификатов ключей электронных подписей;
Ведение реестра сертификатов, обеспечение его актуальности и возможности свободного доступа к нему участников информационных систем;
Проверка уникальности открытых ключей ЭП в реестре сертификатов и архиве УЦ ;
Подтверждение подлинности ЭП в электронных документах в отношении выданных удостоверяющим центром сертификатов ключей подписей по обращениям пользователей сертификатов.

Удостоверяющий центр СКБ Контур

Крупнейший коммерческий федеральный центр выдачи электронных подписей.

Удостоверяющий бизнес СКБ Контур имеет аккредитацию Минкомсвязи, все необходимые лицензии и не только предлагает современные программы для эффективного ведения бизнеса, но и берёт на себя полную ответственность за их круглосуточную техническую поддержку.

Благодаря широкой партнерской сети Удостоверяющего центра центры выдачи сертификатов ЭП есть во многих городах России.

Аккредитация удостоверяющего центра

Признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона РФ от 6.04.2011г №63-ФЗ «Об электронной подписи» . Удостоверяющий центр, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным удостоверяющим центром и получает право выдавать квалифицированные сертификаты.

6. Электронные торговые площадки

Электронная торговая площадка (ЭТП)

Специализированный интернет-сайт, который объединяет в одном информационном пространстве поставщиков и потребителей, другими словами, это ряд сервисов, позволяющий заключать сделки купли-продажи между предприятиями.

ЭТП для размещения государственного заказа

ЭТП, отобранные Минэкономразвития РФ и ФАС РФ в рамках специальной процедуры. Данные площадки располагают функционалом для проведения открытых аукционов в электронной форме и действуют по регламенту, жестко определенному законодательством Российской Федерации (Федеральный Закон РФ № 44-ФЗ).

Перечень федеральных торговых площадок определен Министерством Экономического Развития РФ и Федеральной Антимонопольной Службой РФ для размещения госзаказов:

Сбербанк-АСТ (sberbank-ast.ru)
ЭТП ММВБ «Госзакупки» (etp-micex.ru)
РТС-Тендер (rts-tender.ru)
Единая электронная торговая площадка (etp.roseltorg.ru)
Система электронных торгов (zakazrf.ru)

Для аккредитации на ЭТП госзаказа необходимо иметь неквалифицированный сертификат электронной подписи .

ЭТП по продаже имущества должников (банкротов)

ЭТП, предназначенные для автоматизации процедуры проведения торгов в электронной форме при продаже имущества (предприятия) должников в ходе процедур, применяемых в деле о банкротстве в соответствии с требованиями Федерального закона «О несостоятельности (банкротстве)» и приказом Минэкономразвития № 54 от 15 февраля 2010 г. В настоящее время Комиссией Минэкономразвития РФ аккредитовано несколько ЭТП по реализации имущества банкротов:

ЭТП «Electro-torgi.ru»
Электронная торговая площадка ЭСП
ЭТП Электронный капитал
ЭТП «СЭЛТ»
ЭТП «Профит»

Для участия в торгах по продаже имущества банкротов требуется квалифицированный сертификат электронной подписи .

ЭТП для размещения заказов по 223-ФЗ

Электронные Торговые Площадки, на которых закупки осуществляют юридические лица, подпадающие под действие 223-ФЗ , и имеющие функционал, который разработан под закупочные процедуры, установленные в Положениях о закупках таких юридических лиц. Как правило, ЭТП для размещения заказов по 223-ФЗ совмещают свой функционал с процедурами, используемыми коммерческими заказчиками. Среди таких площадок можно назвать:

Торговый портал Fabrikant.ru
ЭТП «БашЗаказ»
и др.

В зависимости от требований ЭТП для торгов по 223—ФЗ может понадобиться как квалифицированный, так и неквалифицированный сертификат .

ЭТП для коммерческих заказчиков

Электронные Торговые Площадки, на которых электронные торги проводят не государственные компании (коммерческие заказчики). Таких ЭТП значительно больше, чем для государственных торгов и регламент проведения электронных аукционов на них более гибкий (в некоторых аукционах не требуется даже электронная подпись):

CЭТ ОАО «Российский аукционный дом»
ЭТП «SetOnline»
ЭТП «ELTORG»
ЭТП «Аукционный Конкурсный Дом»,
ЭТП «ТЗС Электра»
ООО Электронная торговая площадка,

В зависимости от требований ЭТП для коммерческих торгов может понадобиться как

В данной статье рассматривается такой способ защиты информации при организации юридически значимого документооборота как электронная подпись.

Терминология

Криптография (от др.-греч. κρυπτος - скрытый и γραφω - пишу) - наука, изучающая и разрабатывающая способы обеспечения конфиденциальности (недопущения прочтения текста посторонними лицами) и аутентичности (сохранения целостности данных, подтверждения и невозможности отказа от авторства) информации.

Электронная подпись (ЭП) - реквизит электронного документа, позволяющий обеспечить целостность и не допустить искажения информации в документе после его подписания. Также дает возможность установить принадлежность ЭП владельцу сертификата ключа. Электронная подпись формируется путем криптографического преобразования содержимого документа с использованием закрытого ключа.

Центр сертификации или Удостоверяющий центр (англ. Certification authority, CA ) - отдельная компания или подразделение организации, занимающиеся выпуском сертификатов ключей электронной подписи. Одновременно является элементом глобальной службы каталогов, отвечающим за управление ключами пользователей. Хранение информации о пользователях осуществляется в виде цифровых сертификатов.

Служба штампов времени (англ. Time Stamping Authority, TSA ) – специализированный сервис, обладающий точным и надёжным источником времени и оказывающий услуги по созданию штампов времени. Штамп времени является аналогом даты на подписываемом документе. Также он подтверждает, что сертификат был действителен на момент подписи документа. Значение хеш-функции от документа, на который получен штамп времени, служит для связи штампа с документом. При включении в штамп времени не самого документа, а значения хеш-функции, сохраняется конфиденциальность документа перед Службой штампов времени.

Сертификат ключа подписи - в соответствии с законодательством РФ – документ на бумажном носителе или в электронном виде содержащий в себе открытый ключ ЭП. Выдается УЦ владельцу электронной подписи после проверки предоставленных им документов. Используется для подтверждения подлинности ЭП и идентификации владельца сертификата. Электронный сертификат заверяется электронной подписью уполномоченного сотрудника УЦ.

Ключ - секретная информация (например, пара значений аргументов для подстановки в функцию), используемая криптографическим алгоритмом при шифровании/расшифровке информации. Также применяется для формирования и проверки электронной подписи, вычислении кодов аутентичности. Поскольку результат шифрования при использовании одного алгоритма зависит от ключа, его отсутствие влечет невозможность восстановления первоначальной информации.

Хеширование (иногда хэ ширование, англ. hashing ) - процесс преобразования произвольного набора данных в строку фиксированного формата. Закон, по которому осуществляется данная операция, называется хеш-функцией или функцией свертки. Результат преобразования именуют хешем или хеш-кодом. Также используется термин «дайджест сообщения». Одним из примеров использования хеш-функций является вычисление контрольной суммы файла.

Введение

Достоверно установлено, что шифрование передаваемых сообщений осуществлялось уже в 3-м тысячелетии до нашей эры.

До середины 70-х годов прошлого века, несмотря на совершенствование технологии и оборудования, применявшегося для защиты информации, базовый принцип оставался неизменным: кодирование и расшифровка данных производилась с использованием одного и того же секретного ключа. В связи со спецификой данного направления, криптография долгое время оставалась исключительно прерогативой государства.

Развитие информационных технологий привело к необходимости предоставления доступа к достижениям данной науки для широкого круга лиц. В связи с этим потребовалась, и была успешно выполнена, разработка алгоритмов шифрования, позволяющая надежно защищать информацию, передаваемую по сетям общего пользования большому количеству адресатов.

Возникновение ЭП

В середине 70-х годов прошлого века пришло понимание, что в ряде случаев необходимо иметь инструмент, который был бы способен подтвердить авторство и сохранность в неизменном виде передаваемой в цифровом виде информации.

В 1976 году для него было предложено название: «электронная цифровая подпись». Однако сама ЭП появилась несколько позже, после того, как в 1977 году разработали алгоритм RSA, получивший свое название по первым буквам фамилий создателей: Рональд Райвест (Ronald Linn Rivest), Ади Шамир (Adi Shamir) и Леонард Адлеман (Leonard Adleman). Он стал первым, который подходил как для шифрования данных, так и для аутентификации.

Требования к алгоритмам электронной подписи, обеспечивающие безопасность ее использования, были четко сформулированы в 1984. Тогда же были предложены и схемы, устойчивые к основным моделям атак злоумышленников.

В России первый стандарт, определяющий создание и использование электронной подписи, был разработан в 1994 году (ГОСТ Р 34.10-94). В законодательство понятие ЭП было введено в 1995 году. Термин появился в первой главе гражданского кодекса как один из аналогов собственноручной подписи.

Что такое ЭП?

Подпись – это рукописное и иногда стилизованное графически имя или другой графический знак под документом, идентифицирующий подписанта и означающий его согласие с текстом документа. Проверяется обычная подпись визуально (сличаем оригинал с подписью, поставленной на документе).

В мире электронных документов подписание документа с помощью графических символов теряет смысл, т.к. подделать и скопировать графический символ можно бесконечное количество раз.

Электронная Цифровая Подпись (ЭП) является полным электронным аналогом обычной подписи на бумаге, но реализуется не с помощью графических изображений, а с помощью математических преобразований над содержимым документа. Специальные криптографические алгоритмы, используемые для создания и проверки ЭП, гарантируют невозможность подделки такой подписи посторонними лицами (неопровержимость авторства). Процедура проверки ЭП выполняется компьютерной программой, что позволяет избежать человеческого фактора.

ЭП дает информацию не только о лице, подписавшем документ, но и позволяет удостовериться, что сам документ не был изменен или подделан после подписания (целостность документа).

Одним из компонентов ЭП может являться штамп времени, который показывает реальное время подписания документа в отличие от даты, указанной в самом документе. Использование штампов времени в электронном документообороте позволит вам создавать официальное доказательство факта существования документа на определённый момент времени.

Штамп времени - это подписанный ЭП документ, которым Служба штампов времени удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции от документа. Само значение хэш-функции также указывается в метке.

Наличие штампа времени в подписанном документе позволяет продлевать срок действия электронной подписи. Такой штамп удостоверяет, например, что подпись была создана до того, как сертификат ключа подписи был аннулирован (отозван). Таким образом, для проверки подписи, созданной до момента отзыва сертификата, можно использовать уже отозванный сертификат.

Схемы и технологии ЭП

Как уже говорилось выше, в основе технологии ЭП лежит криптографическое преобразование информации, в том числе различные схемы, использующие симметричные и ассиметричные криптографические алгоритмы.

Схемы ЭП, использующие в своей основе симметричные алгоритмы, получили меньшее распространение, в виду того, что в симметричном алгоритме для зашифровывания и расшифровывания используется один и тот же секретный ключ и стойкость такой системы, зависит от стойкости этого ключа. Кроме этого, применение ЭП, выполненной на основе симметричных схем, требует наличие в цепочке передачи информации третьей доверенной стороны, способной подтвердить ее достоверность.

Наиболее широкое распространение получили схемы ЭП на основе ассиметричных алгоритмов. В асимметричной схеме применяется пара ключей: открытый ключ, который зашифровывает данные, и соответствующий ему закрытый ключ (или секретный ключ), который их расшифровывает. Владелец открытого ключа может его смело распространять. В то же время, закрытый ключ держится в тайне. Любой человек с копией открытого ключа может зашифровать информацию, которую сможет прочитать только владелец закрытого ключа. Хотя ключевая пара математически связана, вычисление закрытого ключа из открытого в практическом плане невыполнимо. Каждый, у кого есть открытый ключ, может зашифровать данные, но не может их расшифровывать. Только человек, обладающим соответствующим закрытым ключом может расшифровать информацию.

Таким образом, главное достижение асимметричного шифрования в том, что оно позволяет людям, не имеющим существующей договорённости о безопасности, обмениваться секретными сообщениями. Необходимость отправителю и получателю согласовывать тайный ключ по специальному защищённому каналу полностью отпадает. Все коммуникации затрагивают только открытые ключи, тогда как закрытые хранятся в безопасности.

Другой особенностью современной технологии ЭП, является использование хеш-функций.

Поскольку подписываемые документы, как правило, достаточно большого объёма, при формировании ЭП используется не сам документ, а его хэш, который имеет небольшую фиксированную длину. Для вычисления хэша используются хэш-функции (односторонние функции), что гарантирует выявление изменений документа при проверке подписи.

Стоит заметить, что использование хеш-функции не обязательно, а сама функция не является частью алгоритма ЭП, поэтому хеш-функция может не использоваться вообще.

Таким образом, общепризнанная схема ЭП, основанная на ассиметричном алгоритме охватывает три процесса:

Генерация ключевой пары: При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.

Формирование подписи: Для заданного электронного документа с помощью хеш-функции и закрытого ключа вычисляется подпись.

Проверка подписи: Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.

Для того, чтобы использование электронной подписи имело смысл, необходимо выполнение двух условий: во-первых, проверка подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании. Во-вторых, без обладания закрытым ключом должно быть вычислительно сложно создать легитимную электронную подпись.

Невыполнение второго условия, использование плохо подобранных ключевых пар или хеш-функций, все это ведет к снижению надежности ЭП и усиливает риск подделки электронной подписи.

В настоящее время наиболее распространены три типа попыток фальсификации с использованием: открытого ключа, известных случайных и выбранных сообщений, но из-за надежности современных алгоритмов, успешное осуществление попыток взлома и подмены электронной подписи является крайне сложной задачей. Поэтому чаще стараются подделать не саму ЭП, а защищаемый ею документ.

Здесь возможны два варианта: попытка подбора случайного документа, подходящего к подписи и формирование двух документов с одинаковой подписью и подмена одного другим в нужный момент. Обе задачи также чрезвычайно сложно реализуемы. При этом первая практически не имеет шансов на успех. Связано это с тем, что подобрать документ, хэш которого полностью совпал бы с тем, который планируется сфальсифицировать, и при этом его содержимое представляло собой связный и осмысленный текст – нереально.

Порядок формирования ЭП

Для успешного создания и использования ЭП электронного документа в современных условиях обмена электронными сообщениями и документами, в том числе в сетях общего пользования, необходимо, чтобы открытый ключ (в том числе и закрытый ключ) был соотнесен с лицом, создающим ЭП, а для его создания использовалось сертифицированное средство (специальное программное обеспечение).

Для выполнения первого условия необходимо обратиться в центр сертификации.

Удостоверяющий центр или центр сертификации - это организация или подразделение организации, которая выпускает сертификаты ключей электронной подписи.

Сертификат открытого ключа удостоверяет принадлежность открытого ключа некоторому лицу. Сертификат открытого ключа содержит имя субъекта, открытый ключ, имя удостоверяющего центра (или центра сертификации), политику использования соответствующего удостоверяемому открытому ключу закрытого ключа и другие параметры, заверенные подписью уполномоченного лица удостоверяющего центра.

Сертификат открытого ключа используется для идентификации субъекта и уточнения операций, которые субъекту разрешается совершать с использованием закрытого ключа, соответствующего открытому ключу, удостоверяемому данным сертификатом. Структура цифровых сертификатов, а также списков отозванных сертификатов (CRL), определяется стандартом X.509.

Заявитель обращается в удостоверяющий центр и представляет документы, необходимые для его идентификации (например, паспорт). Уполномоченный сотрудник УЦ выполняет проверку документов, после чего формируется пара ключей. Достоверность первого удостоверяется сертификатом, заверенным ЭП сотрудника УЦ. Секретный ключ на съемном носителе передается заявителю, который, расписываясь в получении сертификата и секретного ключа, обязуется никому не передавать секретный ключ, а в случае его утраты, обратиться в удостоверяющий центр для отзыва сертификата.

После получения закрытого ключа и сертификата открытого ключа, необходимо установить сертификат на компьютер, где будет создаваться электронная подпись. Процедура установки корневого сертификата удостоверяющего центра, а также личного сертификата с привязкой к секретному ключу, производиться с помощью средств операционной системы и специального программного обеспечения, обеспечивающего работу с сертификатом и закрытым ключом при выполнении операций шифрования и создания ЭП.

В операционных системах Microsoft Windows такое программное обеспечение получило название - криптопровайдер (Cryptography Service Provider, CSP). Криптопровайдер - это независимый модуль, позволяющий осуществлять криптографические операции, управление которым происходит с помощью функций CryptoAPI . Проще говоря, криптопровайдер – это посредник между операционной системой и клиентской программой, предназначенной для выполнения уже вполне конкретных действий, например, шифрования данных или создания ЭП документа. Криптопровайдер обычно устанавливается в систему в момент установки клиентской программы, поэтому этот сложный процесс не заметен для пользователя.

Также нужно отметить, что криптопровайдеры поддерживающие различные зарубежные криптографические алгоритмы, поставляются вместе с операционной системой и не требуют отдельной установки. В частности поэтому, для того чтобы подписать электронное сообщение в почтовой программ MS Outlook на сертификате выпущенном в вашей организации, Вам нужно только установить выпущенный сертификат на Ваш компьютер. Однако, полученную таким образом ЭП можно использовать только в рамках Вашей организации или группы компаний, имеющих внутреннее соглашение об использовании такой ЭП. Для обеспечения юридической значимости, т.е для того, чтобы полученная ЭП признавалась любыми другими гражданами и организациями, в том числе государственными органами, необходимо: во-первых, изготовить сертификат и получить секретный ключ в удостоверяющем центре (аккредитованном и имеющими необходимые лицензии ФСТЭК и ФСБ), во-вторых, использовать для изготовления ЭП специальное сертифицированное средство. Например, одним из таких средств является комплекс Крипто-АРМ производства ООО «Цифровые технологии», который должен использоваться вместе с сертифицированным криптопровайдером, производства ООО «КРИПТО-ПРО».

После того, как на компьютере установлены сертификат, соответствующее средство изготовления ЭП и произведены необходимые настройки, можно легитимно применять ЭП.

При использовании электронной подписи для защиты документов она может передаваться несколькими способами. Конкретный вариант выбирается исходя из того, какие задачи решаются с ее помощью.

Присоединенная

В случае создания присоединенной подписи создается новый файл ЭП, в который помимо данных ЭП помещаются данные подписываемого документа. Этот процесс аналогичен помещению документа в конверт и его запечатыванию. Перед извлечением документа следует убедиться в сохранности печати (для ЭП в ее правильности). К достоинствам присоединенной подписи следует отнести простоту дальнейшего манипулирования с подписанными данными, т.к. все они вместе с подписями содержатся в одном файле. Этот файл можно копировать, пересылать и т.п. К недостаткам следует отнести то, что без использования средств создания ЭП уже нельзя прочесть и использовать содержимое файла, точно так же, как нельзя извлечь содержимое конверта, не расклеив его.

Отсоединенная

При создании отсоединенной подписи файл подписи создается отдельно от подписываемого документа, при этом сам файл подписываемого документа никак не изменяется. Преимуществом отсоединенной подписи является то, что подписанный файл можно читать, не прибегая к средству создания ЭП. Недостаток отсоединенной подписи - необходимость хранения подписанной информации подписанного файла и одного или нескольких файлов с подписями.

Внутри данных

Применение ЭП этого вида существенно зависит от приложения, которое их использует, например ЭП внутри документа Acrobat Reader. Вне приложения, создавшего ЭП, без знания структуры его данных проверить подлинность частей данных, подписанных ЭП затруднительно.

Законодательство

Долгое время развитие электронной подписи в России сдерживало отсутствие закона, определяющего сферы и порядок применения этого инструмента. Создавалась ситуация, при которой использование ЭП практически никак не регламентировалось. Это приводило к тому, что она применялась только как один из инструментов информационной безопасности в корпоративных сетях. Прежде всего, ее внедряли у себя крупные банки. В дальнейшем они использовали ЭП для развития системы «банк-клиент». А за пределами корпоративных сетей применение электронной подписи тормозилось отсутствием надежных гарантов ее подлинности.

Закон об ЭП

Сегодня, порядок использования ЭП на территории РФ регулируется федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».

Действующий закон определяет правовые условия, при которых ЭП на электронном документе может признаваться аналогом собственноручной подписи на бумажном носителе. Оговаривается порядок ее создания, использования и срок действия.

Также регулируется деятельность удостоверяющих центров (УЦ), осуществляющих выдачу сертификатов ключей подписи и, по заявлению владельца, подтверждающих ее подлинность. Определяется порядок взаимодействия УЦ с государственными службами и органами власти, обязанности удостоверяющих центров и владельцев электронной подписи. Также в нем прописана процедура прекращения деятельности центров и аннулирования сертификата ЭП.

Отдельная глава закона оговаривает особые случаи использования электронной подписи, к которым, например, относится признание ЭП, полученной из-за пределов РФ или применение данного инструмента в качестве замены печати.

На сегодняшний день в России данный инструмент используют более 600 тысяч предприятий различных форм собственности. По мере того, как электронная подпись становится привычнее, расширяется и сфера ее применения.

Проблемы законодательства

В государственную думу весной 2010 года внесен законопроект, призванный заменить действующий, но пока он не принят.

Необходимость создания нового варианта законопроекта об ЭП вызвана тем, что в действующем документе не в полной мере отражены все аспекты, связанные с использованием электронной подписи. В частности, в разделе, регулирующем деятельность удостоверяющих центров, четко не прописана процедура признания подлинности сертификатов, выданных разными УЦ. Речь идет о ситуации, когда получателю приходит документ, подпись к которому удостоверяется сертификатом, в надежности которого тот не уверен. На данный момент в подобных случаях применяется процедура кросс-сертификации. Технологически она заключается в выпуске сертификата удостоверяющим центром по заявке другой подобной структуры.

В действующем законе данная процедура не является обязательной. Как нет положения о том, что сертификаты любого удостоверяющего центра должны в обязательном порядке приниматься всеми субъектами на территории РФ.

Основные изменения в новом законопроекте направлены на упрощение процедуры использования электронной подписи, а также устранение пробелов, имевшихся в предыдущем документе.

В частности, расширяется перечень допустимых видов электронных подписей, использующих различные технологии, в том числе не предусматривающие обязательной сертификации ключей.

Простая

Используется без сертификата подписи. Применяется только для установления лица передавшего информацию, но не гарантирует неизменность передаваемых данных или самой ЭП. Предполагается, что данный вариант будет предназначен для отправки гражданами сообщений в государственные органы по электронной почте. Однако местным властям предоставляется право самостоятельно определять, в каких случаях допускается использование простой электронной подписи.

Усиленная

Может использоваться как с сертификатом, так и без него. В обязательном порядке должна обеспечивать неизменность исходного документа или позволять обнаруживать факт его редактирования после подписания.

Квалифицированная

Используется только с сертификатом, выданным удостоверяющим центром. Предназначается для ведения переписки с государственными и муниципальными органами власти и в других случаях, при передаче сведений большой важности.

Также в проекте закона более детально прописаны процедуры аккредитации удостоверяющих центров, и уточнен перечень и порядок оказания ими услуг. Также для УЦ и владельцев сертификатов устанавливается ответственность за вред, причиненный иным лицам, в связи с неисполнением ими своих обязанностей в соответствии с законом.

Области применения ЭП

Из свойств ЭП вытекает возможность использования ее в следующих целях:

организация удаленного взаимодействия хозяйствующих субъектов и частных лиц с государственными органами (таможня, налоговая инспекция, обращение в органы исполнительной власти, постановка транспорта на учет в автоинспекцию и т.п.);
организация электронной торговли;
удаленный доступ к управлению счетами в финансовых учреждениях;
защита авторских прав на объекты интеллектуальной собственности;
применение в других сферах деятельности, где используется передача информации по незащищенным каналам связи.

Юридически значимый электронный документооборот

Сегодня возрастают требования к скорости передачи и степени защищенности документов. При этом бумажные носители все в меньшей степени способны обеспечивать необходимые параметры. Почта – не слишком оперативно, велик риск утери или несанкционированного доступа к содержимому третьих лиц. Факс – приемлемая скорость, очень слабая защищенность от подделки. Неизбежность перехода на электронный документооборот очевидна всем.

Цифровая подпись соответствует всем требованиям, чтобы сделать информацию, защищенную ею юридически значимой. Учитывая необходимость обеспечения конфиденциальности, наилучшим вариантом в этом случае следует считать квалифицированную присоединенную ЭП.

Организация электронной торговли

Интернет, первоначально организовывавшийся как информационная сеть, все шире используется в качестве бизнес-площадки, на которой совершаются сделки различного рода. К сожалению, часто возможности удаленной торговли используют недобросовестные люди и компании-однодневки, «продавцы воздуха».

Сделать эту область деятельности безопаснее и увеличить перечень доступных операций, позволяет использование электронной подписи. При этом конкретный вид, который будет применяться в том или ином случае, зависит от типа сделки. Если при проведении операций С2С (англ. customer-to-customer - торговля «из рук в руки», в сделке принимают участие только физические лица) можно обойтись простой отсоединенной, то взаимодействие В2В (англ. Business to Business – сделки между юридическими лицами) требует защиты на уровне квалифицированной присоединенной ЭП.

Решимость российского руководства обеспечить внедрение электронной формы документооборота при работе в различных сферах деятельности нашла свое отражение в том, что принятый в 2005 году федеральный закон «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» (№94-ФЗ), содержит отдельную главу, в которой подробно описана процедура проведения аукционов в электронной форме.

В ней особое место отведено назначению и порядку использования электронной подписи всеми сторонами, участвующими в проведении торгов. В разделе 5 статьи 41.2 отмечается, что ЭП служит удостоверением подлинности и достоверности документов, а также подтверждает, что они направлены от конкретного лица.

Электронный нотариат

Как и в случае с бумажными носителями, при электронном документообороте, в некоторых случаях, возникает необходимость дополнительного подтверждения достоверности ЭП. В обычной жизни легитимность того или иного документа и подлинность подписи удостоверяет нотариус. Очевидно, что в случае электронного способа обмена документами также должна существовать структура, выполняющая аналогичные функции.

Роль нотариата, в соответствии с федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи», может играть удостоверяющий центр. Однако, количество ситуаций, в которых могут потребоваться услуги третей стороны, и перечень сервисных функций, позволяют говорить о целесообразности организации отдельной структуры для их исполнения. Уже сегодня эксперты сходятся во мнении, что выполнение задачи по построению электронного государства, которую поставило нынешнее руководство РФ, невозможно без организации и законодательного оформления электронного нотариата.

Прогнозы развития

Динамика роста количества субъектов, использующих электронную подпись, позволяет говорить о том, что в ближайшее время стоит ожидать увеличения не только числа пользователей, но и сфер деятельности, в которых она будет применяться. Если в 2005 году в России было выдано 200 тыс. сертификатов ключей, то в 2010 году эта цифра составляет уже 600 тыс. На сегодняшний день наибольшее распространение ЭП находит при сдаче налоговых деклараций и пользовании системой «Банк-клиент».

Самыми перспективными направлениями, в которых, по мнению экспертов, будет идти развитие данного инструмента, является заключение договоров между предприятиями различных форм собственности. Кроме этого, массовое внедрение электронной подписи позволит в большой степени автоматизировать документооборот, исключив из процесса подготовки и передачи информации операционистов. Ответственным лицам в компаниях будет достаточно лишь ознакомиться с созданным системой документом и дать согласие на дальнейшие действия.

Повышенное внимание уделяется упрощению процедуры получения сертификатов и использования ЭП для того, чтобы сделать ее применение привлекательным для частных лиц. Этому должно также способствовать развитие системы электронного нотариата. Оформление доверенностей на автомобиль и другие подобные операции можно будет осуществлять, не тратя время на ожидание в очередях и перемещениях между различными организациями.