Электронная подпись: виды и использование
Содержание:
- Виды ЭЦП
- Проверка подписи
- Что такое простая электронная подпись с точки зрения ее логической структуры
- Простая электронная подпись
- Выбираем подпись
- ЭЦП на пpактике
- Факторизация больших чисел
- Что такое штамп времени
- Использование электронной подписи в работе
- Какие документы нужно подписывать электронной подписью
- НОВОЕ В ЗАКОНОДАТЕЛЬСТВЕ ОБ ЭП
- Используемые понятия в законе
- Какие сведения содержит
- Становление ЭЦП в мировой истории
- Как работает технология?
Виды ЭЦП
ФЗ №63 устанавливает, что электронная подпись может быть:
- простой;
усиленной.
Усиленная, в свою очередь, бывает:
- неквалифицированной;
квалифицированной.
Простая электронно-цифровая подпись – это закодированная информация, которая при помощи кодов или паролей позволяет подтвердить факт подписания документа конкретным человеком.
Неквалифицированная ЭЦП – это тоже закодированная информация, однако она должна быть получена путем криптографического преобразования информации с использованием специального электронного ключа. Помимо определения лица, подписавшего документ, такая подпись позволяет обнаружить факты изменения документа после его подписания, то есть защищает информацию от искажения и подделки.
Особенностью квалифицированной электронной подписи является то, что она создается и проверяется при помощи таких средств криптозащиты, которые соответствуют специальным требованиям, установленным в ФЗ №63 от 6 апреля 2011 года «Об электронной подписи». При этом ключ для проверки ЭЦП должен обязательно быть указан в специальном сертификате, который может быть выдан только аккредитованным удостоверяющим центром.
Простая и неквалифицированная электронная подпись законом приравниваются к собственноручной подписи на бумажном носителе. Квалифицированная же считается сочетанием личного автографа человека и печати организации.
Важно!
Для использования электронного документооборота при общении с государственными органами чаще всего нужна именно квалифицированная электронно-цифровая подпись.
А стороны коммерческих отношений в случае обмена цифровыми документами должны определить такую возможность в специальном соглашении.
Проверка подписи
Вряд ли, конечно, вам самому придется проверять достоверность собственной электронной подписи, но если вдруг (на всякий случай) вам захочется это сделать, то нет ничего проще:
В реальности гораздо полезнее опубликовать где-нибудь в открытом доступе (например, на вашем персональном сайте или на сайте вашей организации):
- открытый ключ для того, чтобы все желающие могли проверить (верифицировать) вашу подпись с использованием, например, той же GPG;
- веб-интерфейс для проверки вашей подписи всеми желающими, не являющимися специалистами.
Описанию такого веб-интерфейса (причем без использования серверных технологий, с проверкой подписи исключительно на клиентской стороне) и будет посвящена последняя часть моего краткого туториала.
К счастью для нас, имеется свободная библиотека OpenPGP.js; скачиваем самый маленький по размеру (на момент написания данного туториала — 506 КБ) файл и пишем несложную html-страничку (для упрощения восприятия я удалил все описания стилей и очевидные meta-тэги):
Понятно, что файл с открытым ключом и файл библиотеки должны лежать в той же папке, что и эта страничка.
Вся работа по верификации подписей будет производиться подключенным скриптом :
Вот, собственно, и всё. Теперь вы можете в соответствии с пунктом 5.23 ГОСТ 7.0.97–2016 разместить на документе (в том месте, где должна стоять собственноручная подпись) вот такую красивую картинку:
Что такое простая электронная подпись с точки зрения ее логической структуры
В задачу любой электронной подписи входит защита подлинности любого скрепляемого ею документа. Каким образом вообще могут защищаться электронные документы? Паролем. Действительно это самый распространенный вид защиты, который дает доступ к документу только тому, кто знает код – численно-буквенно-символьное сочетание.
Однако в случае с подписью требуется не просто защитить документ, но нужно предотвратить возможность его изменения, то есть иметь возможность постоянно подтверждать его оригинальность. Каким же образом этого можно добиться? Например, можно изменить формат файла, чтобы вместо доступного для редактирования вордовского документа (в любом формате) он представлял собой электронный аналог рисунка. И тогда информацию, содержащуюся в файле, невозможно будет изменить. То есть, вносить какие-либо изменения в него станет невозможно.
Однако подпись нужна для того, чтобы тем или иным способом можно было подтвердить свое согласие с данными, изложенными на бумаге, или же удостоверить авторство подписанного документа. То есть контрагент, которому адресован данный документ, должен быть уверен в том, что настоящая бумага составлена именно вами (если речь идет о вашей подписи). В случае с индивидуальным росчерком пера все более ли менее понятно, но как быть в случае подписи цифровой? Ведь на пароле «автограф» не поставишь?
Одним из выходов является синхронизированная система. То есть, если у обоих контрагентов присутствует одинаковая программа-кодировщик/декодер, каждый экземпляр которой работает синхронно со своим «визави», то на основе одинаковой генерации кодов второй контрагент сможет разблокировать файл, созданный первым.
Простая электронная подпись
Такая электронная подпись создается посредством использования кодов, паролей или иных средств и подтверждает факт её формирования определенным лицом.
Под это понятие подпадает:
- использование логина и пароля для входа в личный кабинет сайта;
- использование одноразовых паролей, высылаются в SMS-сообщении при совершении транзакции;
- использование адреса электронной почты в качестве идентификатора.
Документ может считаться подписанным простой электронной подписью в двух случаях:
- Она содержится в самом электронном документе.
- Ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, в рамках использования которой документ создан и отправлен. При этом в документе должно быть указано лицо, которое его создало и отправило.
Обратите внимание, логин и пароль – это не сама электронная подпись, а ключи, с помощью которых подпись генерируется. Можно ли использовать простую электронную подпись для заключения договора?
Можно ли использовать простую электронную подпись для заключения договора?
В соответствии с ч. 2 ст. 6 Закона об ЭП электронный документ, подписанный простой электронной подписью, признается равнозначным бумажному, подписанному собственноручной подписью только в случае прямого указания закона или соглашения между участниками электронного взаимодействия.
Пока что законодательство предусматривает два случая, когда по юридической силе документ, подписанный простой электронной подписью приравнен к бумажному документу, подписанному собственноручной подписью:
- Использовать простую электронную подпись можно при направлении запроса и иных документов, необходимых для предоставления государственной или муниципальной услуги (ч. 3 ст. 21.2 Федерального закона от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»). Этим видом подписи мы пользуемся на портале «Госуслуг».
- Эту подпись может использовать страхователь, отправляя страховщику информацию в электронной форме при добровольном страховании (ч. 2 ст. 6.1 Закона РФ от 27.11.1992 № 4015-1 «Об организации страхового дела в Российской Федерации»).
Про возможность заключения договоров с использованием простой электронной подписи законодательство молчит. Поэтому использовать ее можно при наличии соглашения сторон.
Толковать это можно не только, как требование об обязательном заключении письменного соглашения, которое допускает дальнейший обмен электронными документами, подписанными простой электронной подписью.
Главное, чтобы соглашение имело место, признавалось всеми участниками электронного взаимодействия и соответствовало гражданскому законодательству.
Если в ответ на оферту (предложение заключить договор), направленную в электронной форме с использованием простой электронной подписи, направлен акцепт (принятие предложения о заключении договора) тоже в электронной форме с такой же подписью или в порядке, предписанном офертой, то это тоже может свидетельствовать о достижении соглашения путем совершения конклюдентных действий.
Основной недостаток такой электронной подписи — она не позволяет установить неизменность электронного документа после его подписания. При ее создании не используются криптографические технологии.
Выбираем подпись
Вид подписи | Описание |
---|---|
Простая | Пароли, коды подтверждения по e-mail, SMS — элементы простой ЭЦП. Активно применяется в сервисах онлайн-банкинга с использованием логинов-паролей и одноразовых SMS для подтверждения операций. При онлайн-страховании используется страхователем при оформлении заявки на покупку полиса. Аутентификация в информационных системах, получение госуслуг, заверение документов внутри корпоративного электронного документооборота также может происходить в рамках использования простого вида. |
Неквалифицированная усиленная (НЭП) | Создается в результате криптографического преобразования информации. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки. Состоит их двух ключей, открытого и закрытого, которые хранятся на специальном ключевом носителе в виде usb-брелока. НЭП необходима для участия в закупках в рамках контрактной системы по 44-ФЗ в качестве поставщика. Этот же вид можно использовать для внутреннего и внешнего электронного документооборота, если стороны предварительно договорились об этом. |
Квалифицированная усиленная (КЭП) |
ЭЦП на пpактике
В России, как и во многих развитых странах, электронная подпись имеет официальный юридический статус. У нас этот факт регламентирует закон № 63-ФЗ «Об электронной подписи». Однако он утверждает, что юридической силой обладает далеко не любая электронная подпись, а только соответствующая определенным критериям:
- подпись сгенерирована посредством криптографического преобразования с секретным ключом;
- этот ключ и соответствующий ему открытый ключ выданы квалифицированным удостоверяющим центром;
- по подписи можно достоверно установить ее обладателя.
Подпись также должна быть вычислена средствами, соответствующими требованиям закона. Этим требованиям удовлетворяет отечественный алгоритм шифровaния ГОСТ 34.10—2012. Он использует математический аппарат эллиптических кривых, является достаточно стойким и официaльно используется для разработки криптографических средств, реализующих электронную пoдпись. Для того чтобы попробовать неквалифицированную подпиcь — без сертификата удостоверяющего центра, можно воспользоваться известной PGP. Потестировать подпись можно, к примеру, на сайте ReadVerify.
Стоит сказать, что в нашей стране электронная подпись используется чаще, чем можно себе представить. В банках, налоговых, торгово-закупочных операциях, бухгалтерии — во всех этих организациях используется или внeдряется ЭЦП
Электронная подпись отважно борется со злом бюрократии, однако до полной победы еще далеко
За рубежом электронный документооборот процветает еще дольше. Официальный стандарт электронной подписи в США DSS (Digital Signature Standard) также использует эллиптические кривые и основан на описанной выше схеме Эль-Гамаля.
Факторизация больших чисел
Рассмотрим на практике электронную подпись на основе знаменитого алгоритма RSA. Шифрование RSA мы рассматривать не стали — это мейнстрим, и в той же «Википедии» есть его подробное описание.
1. Генерация ключей
Причина стойкости RSA кроется в слoжности факторизации больших чисел. Другими словами, перебором очень трудно подобрать такие простые числа, которые в произведении дают модуль n. Ключи генерируются одинаково для подписи и для шифрования.
Когда ключи сгенерированы, можно приступить к вычислению электронной подписи.
3. Проверка электронной подписи
RSA, как известно, собирается уходить на пенсию, потому что вычислительные мощности растут не по дням, а по часам. Недалек тот день, когда 1024-битный ключ RSA мoжно будет подобрать за считаные минуты. Впрочем, о квантовых компьютерах мы поговорим в следующий раз.
В общем, не стоит полагаться на стойкость этой схемы подписи RSA, особенно с такими «криптостойкими» ключами, как в нашем примере.
Что такое штамп времени
Клиенты системы КриптоПро TSP могут дополнительно получать штампы времени. В роли подписанных данных выступает значение хэш-функции и время проставления штампа. Реквизит связан с ЭД, на который он выдан, и обеспечивает его целостность.
Для выдачи штампом и реализации сервиса на базе КриптоПро необходимо создать отдельный сервер TSP и добавить КриптоПро TSP Client в ПО рабочего места.
Преимущество штампа времени:
- фиксация времени создания ЭД;
- фиксация времени формирования ЭЦП;
- фиксация времени проведения операции по обработке ЭД;
- долговременное хранение ЭД (даже после истечения срока действия сертификата ЭП пользователя).
При открытии документа и просмотре сведений об ЭЦП штамп времени будет выглядеть так:
Работа с протоколом TSP проста, и основывается на взаимодействии с сервером по типу «запрос-ответ». Пользователь создает запрос, посылая его серверу, и получает ответ, в котором содержится сформированный штамп времени. Если произошла ошибка, то вместо штампа в ответе будет указан код ошибки.
Использование электронной подписи в работе
Усиленная электронная подпись необходима при сдаче налоговых отчетов, заключении контрактов, деловой переписке; она открывает полный доступ к пользованию услугами на государственных электронных ресурсах.
1. Отчетность через интернет
Государственные и частные предприятия, индивидуальные предприниматели и физические лица обязаны регулярно отчитываться перед государством о своих доходах. Для отправки отчетности через интернет необходима квалифицированная электронная подпись. Такое требование содержится в письме ФНС № ПА-4-6/489. КЭП оформляется на имя индивидуального предпринимателя, главного бухгалтера или руководителя предприятия.
2. Отчетность в ЕГАИС для Росалкогольрегулирования
Для контроля оборота спиртсодержащих напитков ответственные сотрудники предприятий общепита и розничной торговли, поставщики и производители алкоголя обязаны с 2018 г. ежеквартально сдавать декларации об объемах реализации алкогольной продукции (ПП № 815). Отчеты сдаются в Единую государственную автоматизированную информационная систему (ЕГАИС) и переправляются в Росалкогольрегулирование (Федеральную службу по регулированию алкогольного рынка, ФСРАР). Поскольку ФСРАР принимает только электронную документацию, для оформления декларации необходимо:
- Приобрести сертификат КЭП – для корректной подписи и зашифровки посылаемых сведений.
- Установить программное обеспечение Крипто Про для работы с электронной подписью и зашифровки данных;
- Установить программу Декларант Алко – для корректного оформления отчетности по алкоголю.
3. Участие в электронных торгах
Для участия в государственных торгах по закону 44-ФЗ требуется сертификат квалифицированной электронной подписи, который оформляется на конкретного представителя предприятия.
Смешанные торги с участием коммерческих и государственных предприятий регулируются законом №223-ФЗ. Требования к сертификатам здесь самые различные:
- на одних площадках действуют базовые сертификаты КЭП,
- на других необходима дополнительная платная идентификация (OID),
- третьи выпускают свой сертификат неквалифицированной ЭП, который действителен в пределах одной торговой площадке.
По закону № 127-ФЗ участвовать в аукционах по реализации имущества банкротов могут все желающие, на этих площадках действуют базовые сертификаты КЭП, выданные в любом аккредитованном удостоверяющим центром страны.
4. Подписи для электронного обмена документами
Электронный обмен документами позволяет предприятиям сэкономить время и финансы.
- Для электронной документации не нужна бумага.
- Намного сокращается время поиска и передачи необходимого документа по адресу.
- Риск потери и порчи электронных файлов сводится к минимуму.
Квалифицированная подпись используется:
- для оформления трудовых договоров на удаленной работе;
- для ведения кадровой документации;
- для финансовой отчетности и уплаты налогов;
- при работе в государственных информационных системах.
5. Работа с государственными информационными ресурсами
Для того, чтобы активно работать на государственных порталах, нужна электронная подпись. Без неё невозможно:
- подать заявление/жалобу/запрос;
- подтвердить подлинность отсылаемых документов;
- оплатить расходы/налоги/сборы;
- провести платеж/ перевод денег
- послать отчет и т. д.
Большая часть государственных сервисов — Госуслуги, ЕАИС, Роскомнадзор, Росимущество, Центробанк, Росреестр — признает базовую КЭП.
На сайте ФНС юридическую силу имеет неквалифицированная ЭП. Сертификат ключа пользователь может получить после идентификации личности во время визита в отделение налоговой инспекции. Юридические организации и ИП могут работать на сайте ФНС лишь при наличии квалифицированной ЭП.
Как использовать ЭП в повседневной жизни
Использование электронной подписи в частной жизни может облегчить решение некоторых проблем. Обладателям КЭП открыт доступ к электронным услугам государственных сервисов.
- Можно отослать налоговую декларацию онлайн, не посещая налоговой организации.
- Абитуриентам доступна услуга подачи заявления в вуз любого города страны.
- Можно подать заявление на прием ребенка в детский сад, записать его в школу.
- Послать документы для оформления на работу можно без визита к работодателю.
- Стала доступной услуга оформления кредита онлайн.
Поменять полис ОМС, получить выписку из Росреестра, зарегистрировать недвижимость, поменять место прописки, поставить на учет купленный автомобиль, оформить патент или разрешение на индивидуальную деятельность – все эти действия становятся намного проще, если иметь квалифицированную электронную подпись.
Какие документы нужно подписывать электронной подписью
На сегодняшний день, когда практически весь документооборот становится безбумажным, подписание документов с помощью электронной подписи — обыденное дело.
Также цифровая подпись необходима в таких ситуациях:
- Отчетность для контролирующих органов. Можно сдать ее в электронном виде таким службам, как ФНС, Росстат, ПФР и ФСС. Это значительно упрощает передачу информации и повышает правильность: большинство сервисов предлагают автоматическую проверку на ошибки.
- Электронный документооборот (ЭДО). Одно из самых распространенных применений, так как подписанное таким способом письмо соответствует бумажному с печатью и визой. Позволяет перейти на безбумажный документооборот как внутри компании, так и за ее пределами.
- Государственные услуги. Гражданин РФ может визировать подаваемые заявления в ведомства через портал госуслуг, участвовать в общественных инициативах, пользоваться личным кабинетом на сайте ФНС, даже оформлять кредит.
- Обращение в арбитражный суд. В качестве доказательств можно использовать счет-фактуры, договоры, официальные письма, подписанные электронно. Согласно АПК РФ, такой документ является аналогом бумажного с собственноручной визой.
НОВОЕ В ЗАКОНОДАТЕЛЬСТВЕ ОБ ЭП
В конце декабря 2019 года в связи с совершенствованием регулирования в сфере ЭП Госдума приняла в третьем чтении законопроект № 747528-7 «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»» (далее – законопроект № 747528-7), который направлен на создание более безопасной цифровой среды. На момент публикации статьи законопроект одобрен Советом Федерации и направлен на подпись Президенту России. Это значит, что текст предлагаемых поправок сформирован окончательно. Проанализируем, какие изменения нас ожидают с 01.07.2020.
Изменение 1: все участники электронного взаимодействия будут признавать усиленную квалифицированную ЭП
Сейчас каждая структура устанавливает свои требования к содержанию сертификата ключа проверки ЭП. Организациям это не очень удобно, поскольку на разных порталах нужно получать свой вариант. Законопроект устраняет этот недостаток: теперь во всех информационных системах будет признаваться единая усиленная квалифицированная ЭП.
С момента вступления закона в силу ни один участник ЭДО не сможет ограничить признание усиленной квалифицированной ЭП на своей площадке. Ограничения можно будет устанавливать, только если это прямо предусмотрено Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон № 63-ФЗ).
Изменение 2: появится новый вид организаций – доверенные третьи стороны
Доверенные третьи стороны будут оказывать определенные услуги участникам электронного взаимодействия, а именно:
- подтверждать действительность ЭП и сертификатов на момент создания документа, наличие аккредитации удостоверяющего центра, выдавшего сертификат;
- проверять, все ли сертификаты, задействованные при подписании электронного документа, отвечают требованиям нормативных актов;
- проверять полномочия участников ЭДО;
- создавать квитанции, которые будут отражать результаты проверки квалифицированной ЭП и информацию о моменте ее подписания;
- оказывать услуги по хранению данных.
В законопроекте № 747528-7 не указано прямо, что эти услуги будут оказывать на коммерческой основе. Скорее всего, за них придется платить, если организация хочет максимально обезопасить работу с ЭП.
Доверенные третьи стороны будут получать аккредитацию и нести ответственность за неисполнение своих обязанностей или нарушение порядка исполнения функций.
Изменение 3: ужесточатся требования к УЦ
Срок действия аккредитации УЦ вместо пяти лет составит три года. Аккредитации, полученные УЦ до 01.01.2020, будут действовать до 01.01.2022. Соответственно, квалифицированные сертификаты, выданные УЦ до 01.07.2020, будут действовать до 01.01.2022.
Чтобы получить аккредитацию по новым правилам, УЦ должен отвечать более жестким требованиям:
- иметь минимум 1 млрд руб. собственных средств (капитала) или 500 млн. руб. капитала, но при этом один либо несколько филиалов или представительств не менее чем в 3/4 субъектов России;
- иметь финансовое обеспечение ответственности за убытки, причиненные третьим лицам в размере не менее 100 млн. руб. (сейчас это 30 млн. руб.);
- иметь лицензию на деятельность по производству, разработке и распространению шифровальных (криптографических средств), выполнению работ в области шифрования, техническому обслуживанию средств шифрования и т.п.;
- деловая репутация директора и учредителей УЦ должна соответствовать требованиям, установленным правительственной комиссией.
Изменение 4: изменятся правила выдачи и применения ЭП
В Федеральный закон № 63-ФЗ вводят новые статьи 17.1 – 17.6, регулирующие использование квалифицированной ЭП физическими лицами, гражданскими и муниципальными служащими, индивидуальными предпринимателями, организациями, государственными органами и органами местного самоуправления, а также использование ЭП в государственных информационных системах. Действие новых статей вступят в силу с 01.01.2021.
В Схеме отображено, где заявители смогут получить ЭП.
Изменения вступят в силу позже, поскольку требуют технической подготовки и модернизации IT-систем.
Анализируя сроки внедрения новых положений законодательства, действия прежних аккредитаций УЦ и выданных ими квалифицированных сертификатов, переходный период, во время которого будут внедряться изменения, продлится до 2022 года. Этого времени должно хватить для того, чтобы и УЦ, и государственные структуры, и, конечно, организации подготовились работать по новым правилам.
Используемые понятия в законе
Закон 63-ФЗ определяет основные понятие, которые используются для создания и работы с ЭЦП. В частности, там рассмотрены следующие понятия.
Удостоверяющий центр (УЦ)
Согласно данному нормативу УЦ – это организация, государственный или муниципальный орган, или предприниматель, которые занимаются созданием и регистрацией сертификатов ключей проверки электронных подписей, выполняющие функции, определенные в этом ФЗ.
Данный центр должен быть сертифицированным (прошедшим аккредитацию), зарегистрированным в Минкомсвязь.
Электронная цифровая подпись и её виды
Согласно ФЗ № 63 ЭЦП представляет собой сведения, содержащие в электронной форме, которые при присоединении к другим данным, предназначены для определения лица, который подписал их.
В настоящее время применяются следующие виды подписи:
- Простая – наборы символов, которые определяют владельца ЭЦП. Но они не придают документам, подписанным ими юридической силы. В настоящее время простая подпись представляет чаще всего комбинацию логин и пароля, которые позволяют быстро идентифицировать личность человека.
-
Усиленная – представляет собой набор определенных символов, которые не только определяют личность человека, подписавшего данный документ, но и определяют структуру этого документа.
- Усиленные ЭП могут быть неквалифицированные и квалифицированные. Они создаются с помощью шифрования.
При этом в первом случае используются стандартные шаблоны, а для создания квалифицированных инструменты и алгоритмы, сертифицированные ФСБ.
Квалифицированный сертификат
Квалифицированная электронная подпись – это сертификат электронной прописи, созданный аккредитованным удостоверяющим центром и используемый в соответствии с требованием ФЗ №63 для работы с ЭЦП.
При этом сертификатом признаются сведения на бумаге или в электронном виде, которые позволяют определить принадлежность ЭЦП определенному владельца электронной подписи. Он создается, регистрируется и выдается удостоверяющим центром.
Средства ЭП
Средства ЭЦП – инструменты специального назначения, используемые для криптографического преобразования данных.
Они представляют собой программы, устройства, с помощью которых проводится генерации, проверка ЭЦП, а также создания ключей подписи и ключей проверки ее подлинности.
ФЗ №63 определяет основные требования, которым должны соответствовать средства ЭЦП:
- Средство должно генерировать ЭЦП.
- Оно должно устанавливать модификацию электронного документа.
- Должно обеспечить уникальность и защиты от подделывания ЭЦП.
К ним относятся:
- Ключевой носитель, который выдан удостоверяющим центром;
- Криптографическая система, которую необходимо установить на компьютер, где планируется применение ЭЦП. Это может быть как отдельная программа, так и модуль-дополнение.
Какие сведения содержит
В состав сертификата входят 2 вида ключа:
- Открытый, включает:
- наименование средства ЭП (аппаратного, программного шифровального устройства, например криптопровайдера);
- официальное название УЦ;
- дату выдачи и период функционирования;
- область применения ЭП и ее ограничения;
- наименование и локацию (для организации), полное имя и СНИЛС (для частного лица), ИНН;
- дополнительные данные об издателе, владельце, области применения, адресе службы штампов времени и др.
- Закрытый. Создан для производства цифровых подписей.
Последний может храниться на незащищенных носителях (на флеш-картах), в реестре. Однако в целях обеспечения высокой степени безопасности эксперты советуют прибегать к специализированным хранилищам, несмотря на дополнительные расходы.
Рекомендуется придумать свой вариант, сразу заменив им стандартный. Если неверный код введен более 3 раз, доступ будет заблокирован. Вся работа с объектом выполняется в памяти хранилища, поэтому копирование закрытого ключа из компьютера с последующим использованием становится невозможным.
Авторизоваться в системе можно только по PIN-коду.
Становление ЭЦП в мировой истории
Само понятие «электронная цифровая подпись» появилось еще в далеком 1976 году. Тогда американские криптографы Уитфилд Диффи и Мартин Хеллман впервые предположили возможность появления таких электронных схем.
Уже на следующий год группа ученых (Рональд Ривест, Леонард Адлеман и Ади Шамир) разработала криптографический алгоритм, который можно было использовать для создания цифровых подписей. Через 7 лет разработчиками был определен алгоритм цифровой подписи и требования безопасности.
В России же первый стандарт электронной цифровой подписи был разработан лишь в 1994 году. Этим вопросом занималось Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ). Стандарту был присвоен ГОСТ Р 34.10-94. После 2002 года первоначальный ГОСТ был изменен на новый: ГОСТ Р 34.10-2001, после чего термины «электронная цифровая подпись» и «цифровая подпись» являются одинаковыми по смыслу терминами.
С течением времени в России был установлен новый ГОСТ: Р 34.10-2012, стандартам которого должны соответствовать все российские информационные технологии, криптографические защиты информации, а так же процессы формирования и проверки электронной цифровой подписи.
Каждая страна заботится об установлении нормативно-правовой базы и юридической значимости ЭЦП. Рассмотрим стандарты различных стран, в которых действует ЭЦП :
- Украина. Использование электронной подписи регулируется Законом №852-IV. Данный закон был принят в 2003 году. Центральный удостоверяющий орган выдает разрешения центрам сертификации ключей. Так же в его обязанности входит обеспечение доступа к электронным каталогам и контроль работы центров сертификации ключей, которые выдают электронные цифровые подписи.
-
Эстония. В данной стране активно функционирует система ID-карт. Такие карты используют в повседневной жизни более ¾ населения страны.
Интересный факт! В 2007 году в Эстонии были проведены выборы в местный парламент с возможностью электронного голосования (с использование ЭЦП).
- Австралия. В этой стране электронная цифровая подпись является неотъемлемым атрибутом ведения бизнеса. Однако у граждан (физ. лиц) не пользуется большой популярностью. Дело в том, что население боится пользоваться электронной подписью из-за сведений о том, что секретный ключ все-таки теоретически можно скомпрометировать.
- Германия. В этой стране особые жесткие технические требования к сертифицирующим органам. Для осуществления своей деятельности они должны полностью соответствовать требуемым критериям. В Германии основной упор законодательства в сфере электронных технологий сделан не на признании юридической силы электронной цифровой подписи, а на создание целостной инфраструктуры.
- Франция. В этой стране электронная цифровая подпись является юридически значимой, о чем свидетельствует Закон № 2000-230 «О придании доказательственной силы информационным технологиям и об электронной подписи» от 13.03.2000 года. С принятием данного закона были даже внесены изменения и дополнения в Гражданский Кодекс Франции. В вышеуказанном Законе излагаются условия, при соблюдении которых ЭЦП будет иметь юридическую силу.
- В Республике Беларусь был принят Закон № 113-З «Об электронном документе и электронной цифровой подписи», от 28.12.2009 года. В данном Законе изложена правовая основа использования ЭЦП в электронном документообороте. В настоящее время граждане Республики достаточно активно пользуются цифровой подписью.
Как работает технология?
Электронная подпись состоит из нескольких элементов: средство электронной подписи, необходимое для реализации криптографических функций, ключевая пара, состоящая из «открытого» и «закрытого» ключа, и сертификат ключа проверки, который выпускает удостоверяющий центр.
«Открытый» и «закрытый» ключ — обезличенные наборы байт (пара очень больших чисел), и одному «открытому» ключу соответствует определенный «закрытый» ключ. Ключ сгенерированы таким образом, что документ, зашифрованный «закрытым» ключом, можно расшифровать только «открытым» ключом.
Задача УЦ — связать «открытый» ключ с личностью владельца ЭП (физическим лицом или юридической организацией). В качестве подтверждения связи «открытого» ключа и владельца выступает сертификат ключа проверки. Владельцу ЭП удостоверяющий центр выдаёт токен — внешне напоминает USB-накопитель, на нем записаны сертификат и «закрытый» ключ.
Токен с сертификатом и «закрытым» ключом вставляется в компьютер. С помощью средств электронной подписи происходит шифрование документа «закрытым» ключом. Шифровать полностью документ — достаточно ресурсоемкая задача, поэтому шифруют только его хэш-функцию — набор данных, жестко привязанных к документу и подтверждающих его. Расшифровать хэш-функцию можно только «открытым» ключом, а соответствующий сертификат проверки подтверждает связь ключа и владельца ЭП.
Таким образом подтверждается целостность документа, факт подписания документа и принадлежность подписи владельцу.