Электронно-цифровая подпись (ЭЦП) - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Электронно-цифровая подпись - это программно-криптографическое средство, которое обеспечивает:
проверку целостности документов;
конфиденциальность документов;
установление лица, отправившего документ.
Преимущества использования электронно-цифровой подписи
Использование электронно-цифровой подписи позволяет:
значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;
гарантировать достоверность документации;
минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;
построить корпоративную систему обмена документами.
Виды электронно-цифровой подписи
Существует три вида электронной цифровой подписи:
Простая электронно-цифровая подпись
Посредством использования кодов, паролей или иных средств, простая электронно-цифровая подпись подтверждает факт формирования электронной подписи определенным лицом.
Простая электронно-цифровая подпись имеет низкую степень защиты. Она позволяет лишь определить автора документа.
Простая электронно-цифровая подпись не защищает документ от подделки.
Усиленная неквалифицированная электронно-цифровая подпись
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
Усиленная неквалифицированная электронно-цифровая подпись имеет среднюю степень защиты.
Чтобы использовать неквалифицированную электронную подпись, необходим сертификат ключа ее проверки.
Усиленная квалифицированная электронно-цифровая подпись
Для квалифицированной электронной подписи характерны признаки неквалифицированной электронной подписи.
Усиленная квалифицированная электронно-цифровая подпись соответствует следующим дополнительным признакам подписи:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям законодательства.
Усиленная квалифицированная электронно-цифровая подпись является наиболее универсальной и стандартизованной подписью с высокой степенью защиты.
Документ, визированный такой подписью, аналогичен бумажному варианту с собственноручной подписью.
Использовать такую подпись можно и без каких-либо дополнительных соглашений и регламентов между участниками электронного документооборота.
Если под документом стоит квалифицированная подпись, можно точно определить, какой именно сотрудник организации ее поставил.
А также установить, изменялся ли документ уже после того, как был подписан.
Когда применяются разные виды подписи
Простая электронно-цифровая подпись
Обращение заявителей - юридических лиц за получением государственных и муниципальных услуг осуществляется путем подписания обращения уполномоченным лицом с использованием простой электронной подписи.
Использование простой электронной подписи для получения государственной или муниципальной услуги допускается, если федеральными законами или иными нормативными актами не установлен запрет на обращение за получением государственной или муниципальной услуги в электронной форме, а также не установлено использование в этих целях иного вида электронной подписи
Усиленная неквалифицированная электронно-цифровая подпись
Случаи, в которых информация в электронной форме, подписанная неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в Налоговом кодексе не определены.
По мнению Минфина, для целей налогового учета документ, оформленный в электронном виде и подписанный неквалифицированной электронной подписью, не может являться документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.
Поэтому, хотя хозяйствующие стороны при наличии юридически действительного соглашения могут организовать электронный документооборот, применяя усиленную неквалифицированную электронную подпись, если есть вероятность возникновения споров с контролирующим органом, смысл в таких документах утрачивается.
Усиленная квалифицированная электронно-цифровая подпись
Для некоторых видов отчетности использование квалифицированной подписи прямо определено нормативными документами.
Например, такой порядок установлен для:
годовой бухгалтерской отчетности, которую необходимо сдать в Росстат;
формы РСВ-1 ПФР;
отчетности в налоговую инспекцию – декларации.
Электронный счет-фактуру следует подписывать только усиленной квалифицированной электронной подписью руководителя либо иных лиц, уполномоченных на это приказом (иным распорядительным документом) или доверенностью от имени организации, индивидуального предпринимателя.
Заявление о постановке на учет (снятии с учета) в налоговом органе заверяется только усиленной квалифицированной подписью.
Заявления о возврате или зачете суммы налога также принимаются только в случае, если они визированы усиленной квалифицированной электронной подписью.
Электронно-цифровая подпись (ЭЦП): подробности для бухгалтера
- Можно ли применять электронную цифровую подпись и факсимильную подпись при оформлении бухгалтерских документов?
Соглашением сторон. Электронная цифровая подпись (ЭЦП) В настоящее время отношения в... подробно о порядке применения видов ЭЦП при подписании документов бухгалтерского и...
- Электронное взаимодействие работника и работодателя при оформлении трудовых отношений
Что электронную цифровую подпись (ЭЦП) на кадровых документах можно будет... ограничен перечень документов, подписываемых ЭЦП, с целью защиты прав... существенных инвестиций. Высокая стоимость выпуска ЭЦП (с учетом выпуска квалифицированной... Сложность "массового" получения ЭЦП Невозможность подписания документов задним числом... перехода к использованию новых стандартов ЭЦП и функции хэширования». Предполагалось, ... перехода к использованию новых стандартов ЭЦП и функции хэширования». Уведомление...
- Чем рискует главбух: сравниваем работу по ТК РФ и ГК РФ
Помнит, на кого была оформлена электронная цифровая подпись. Главный бухгалтер пояснила, что ее...
- Формулы для определения нормативных значений ключевых показателей экономической ценности предприятий
Вида: показатели годовой ЭЦП; показатели периодной ЭЦП; показатели общей ЭЦП. В свою... три подвида: показатели допрогнозной ЭЦП; ожидаемые показатели прогнозной ЭЦП; предполагаемые (возможные) ... подвидов) расчётных нормативных показателей ЭЦП. Принятые измерители ЭЦП – миллионы/тысячи денежных... экономической единицы, а фактические показатели ЭЦП – являются обязательными отчётными показателями... . Как отмечалось выше, показатели ЭЦП характеризуют товаропроизводительность и/или услугопроизводительность...
- Регистрация бизнеса
Необходимо предварительно приобрести. Стоимость такой ЭЦП варьируется примерно в пределах от... учредителем выгода существенная. Если, например, ЭЦП будет приобретена за 1000 руб... направлены вам электронно, с усиленной ЭЦП налогового органа. Сайт госуслуг предоставляет...
- К вопросу об определениях понятий общей, периодной и годовой экономической ценности предприятия
Представления об экономической ценности предприятия (ЭЦП), то определение этого понятия, исходя... стоимости товаров, выглядит следующим образом: ЭЦП – ЭТО РАСЧЁТНАЯ НОРМА ЧИСТОГО ДОХОДА...
- Пошаговая инструкция по получению имущественного вычета
Порядке? Тогда вводим пароль от ЭЦП (электронной цифровой подписи). Если ранее... пароль от ЭЦП не был получен, то сохраняем... шестом шаге вводим пароль от ЭЦП, который придумали при ее создании...
- Электронный больничный – право, а не обязанность
Ранее найденного больничного плагин КриптоПро ЭЦП browser plug-in не видит...
- Оформление счетов-фактур: первая половина 2017 года
Этих целей используется усиленная квалифицированная ЭЦП (п. 6). В соответствии с... электронного образца, подписанного усиленной квалифицированной ЭЦП руководителя компании, неправомерно. В общем...
- Порядок уплаты НДС при импорте товаров из Беспублики Беларусь
Каков порядок уплаты НДС при импорте товаров из Беспублики Беларусь (в том числе сроки)? Какую отчетность нужно сдать в налоговый орган и таможенный орган? Каков порядок уплаты НДС при импорте товаров из Беспублики Беларусь (в том числе сроки)? Какую отчетность нужно сдать в налоговый орган и таможенный орган? Рассмотрев вопрос, мы пришли к следующему выводу: При импорте товаров из Республики Беларусь (далее - РБ) организация должна уплатить НДС не позднее 20-го числа месяца, следующего за...
- Регистры бухгалтерского учета в форме электронных документов
Если регистры бухгалтерского учета (первичные учетные документы) формируются в электронном виде, какие требования к их заполнению предъявляются? Если регистры бухгалтерского учета (первичные учетные документы) формируются в электронном виде, какие требования к их заполнению предъявляются? Согласно п. 11 Инструкции № 157н регистры бухгалтерского учета составляются по унифицированным формам, установленным в рамках бюджетного законодательства. Напомним, что в настоящее время необходимые формы...
Заполняется только заявление (которое заверяется ЭЦП кредитной организации), фотография не требуется...
- Изменения в Законе о контрактной системе: разъяснения Минфина в отношении переходного периода
С 01.07.2018 вступают в силу отдельные положения федеральных законов от 31.12.2017 № 504-ФЗ «О внесении изменений в Федеральный закон «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» и от 31.12.2017 № 505-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». В Письме от 25.06.2018 № 24-06-08/43650 Минфином сообщается позиция в отношении переходного периода с 01.07.2018 до 01.01. ...
Тема «Электронная цифровая подпись»
1. Понятие электронной цифровой подписи и ее техническое обеспечение
2. Организационное и правовое обеспечение электронной цифровой подписи.
1.Понятие электронной цифровой подписи и ее техническое
обеспечение
В мире электронных документов подписание файла с помощью графических символов теряет смысл, так как подделать и скопировать графический символ можно бесконечное количество раз. Электронная Цифровая Подпись (ЭЦП) является полным электронным аналогом обычной подписи на бумаге, но реализуется не с помощью графических изображений, а с помощью математических преобразований над содержимым документа.
Особенности математического алгоритма создания и проверки ЭЦП гарантируют невозможность подделки такой подписи посторонними лицами,
ЭЦП – реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца ключа, а
также установить отсутствие искажения информации в электронном документе.
ЭЦП представляет собой определенную последовательность символов,
которая формируется в результате преобразования исходного документа (или любой другой информации) при помощи специального программного обеспечения. ЭЦП добавляется к исходному документу при пересылке. ЭЦП является уникальной для каждого документа и не может быть перенесена на другой документ. Невозможность подделки ЭЦП обеспечивается значительным количеством математических вычислений, необходимых для
её подбора. Таким образом, при получении документа, подписанного ЭЦП,
Применение ЭЦП обеспечивает: простое разрешение спорных ситуаций (регистрация всех действий участника системы во времени),
невозможность изменения заявки участника до даты окончания закупки.
Кроме того, ЭЦП способствует: снижению затрат на пересылку документов, быстрому доступу к торгам, проходящим в любой точке России.
Пользоваться электронной подписью достаточно просто. Никаких специальных знаний, навыков и умений для этого не потребуется. Каждому пользователю ЭЦП, участвующему в обмене электронными документами,
генерируются уникальные открытый и закрытый (секретный)
криптографические ключи.
Закрытый ключ – это закрытый уникальный набор информации объемом 256 бит, хранится в недоступном другим лицам месте на дискете,
смарт-карте, ru-token. Работает закрытый ключ только в паре с открытым
Открытый ключ - используется для проверки ЭЦП получаемых документов/файлов. Технически это набор информации объемом 1024 бита.
Открытый ключ передается вместе с Вашим письмом, подписанным ЭЦП.
Дубликат открытого ключа направляется в Удостоверяющий Центр, где создана библиотека открытых ключей ЭЦП. В библиотеке Удостоверяющего Центра обеспечивается регистрация и надежное хранение открытых ключей во избежание попыток подделки или внесения искажений.
Вы устанавливает под электронным документом свою электронную цифровую подпись. При этом на основе секретного закрытого ключа ЭЦП и содержимого документа путем криптографического преобразования вырабатывается некоторое большое число, которое и является электронно-
цифровой подписью данного пользователя под данным конкретным документом. Это число добавляется в конец электронного документа или сохраняется в отдельном файле.
В подпись, в том числе, записывается следующая информация: имя
файла открытого ключа подписи, информация о лице, сформировавшем подпись, дата формирования подписи.
Пользователь, получивший подписанный документ и имеющий открытый ключ ЭЦП отправителя на основании текста документа и открытого ключа отправителя выполняет обратное криптографическое преобразование, обеспечивающее проверку электронной цифровой подписи отправителя. Если ЭЦП под документом верна, то это значит, что документ действительно подписан отправителем и в текст документа не внесено никаких изменений. В противном случае будет выдаваться сообщение, что сертификат отправителя не является действительным.
Термины и Определения: Электронный документ - документ, в
котором информация представлена в электронно-цифровой форме.
Владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах
(подписывать электронные документы).
Средства электронной цифровой подписи - аппаратные и (или)
программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.
Сертификат средств электронной цифровой подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.
Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Пользователь сертификата ключа подписи - физическое лицо,
использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.
Информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.
Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц,
определенный ее владельцем или соглашением участников этой
информационной системы.
Удостоверяющий центр - юридическое лицо, выполняющее функции по: изготовлению сертификатов ключей подписей, созданию ключей электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи, приостановлению и возобновлению действие сертификатов ключей подписей, а также аннулированию их,
ведению реестра сертификатов ключей подписей, обеспечению его актуальности и возможности свободного доступа к нему участников информационных систем, проверке уникальности открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра, выдаче сертификатов ключей подписей в форме документов на бумажных носителях и (или) в форме электронных
документов с информацией об их действии, осуществлению по обращениям пользователей сертификатов ключей подписей подтверждения подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей, предоставлению участникам информационных систем иных связанных с использованием электронных цифровых подписей услуг.
При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.
2. Организационное и правовое обеспечение электронной
цифровой подписи.
Правовое обеспечение электронной цифровой подписи следует понимать не только как совокупность нормативно-правовых актов,
обеспечивающих правовой режим ЭЦП и средств ЭЦП. Это гораздо более широкое понятие. Оно лишь начинается с государственного закона об электронной цифровой подписи, но развивается далее и впоследствии охватывает все теоретические и практические вопросы, связанные с электронной коммерцией вообще.
Первый в мире закон об электронной цифровой подписи был принят в марте 1995 г. Законодательным собранием штата Юта (США) и утвержден Губернатором штата.
Закон получил название Utah Digital Signature Act. Ближайшими последователями штата Юта стали штаты Калифорния, Флорида, Вашингтон,
где вскоре тоже были приняты соответствующие законодательные акты.
В качестве основных целей первого закона об электронной подписи были провозглашены:
Минимизация ущерба от событий незаконного использования и подделки электронной цифровой подписи;
обеспечение правовой базы для деятельности систем и органов сертификации и верификации документов, имеющих электронную природу;
правовая поддержка электронной коммерции (коммерческих операций, совершаемых с использованием средств вычислительной техники);
придание правового характера некоторым техническим стандартам,
ранее введенным Международным союзом связи (ITU - International Telecommunication Union) и Национальным институтом стандартизации США (ANSI - American National Standards Institute), а также рекомендациям Наблюдательного совета Интернета (IAB - Internet Activity Board),
выраженным в документах RFC 1421 - RFC 1424.
Закон состоит из пяти частей:
В первой части вводятся основные понятия и определения, связанные с использованием ЭЦП и функционированием средств ЭЦП. Здесь же рассматриваются формальные требования к содержательной части электронного сертификата, удостоверяющего принадлежность открытого ключа юридическому или физическому лицу.
Вторая часть закона посвящена лицензированию и правовому регулированию деятельности центров сертификации.
Прежде всего, здесь оговорены условия, которым должны удовлетворять физические и юридические лица для получения соответствующей лицензии, порядок ее получения, ограничения лицензии и условия ее отзыва. Важным моментом данного раздела являются условия признания действительности сертификатов, выданных нелицензированными удостоверителями, если участники электронной сделки выразили им совместное доверие и отразили его в своем договоре. Фактически здесь закрепляется правовой режим сетевой модели сертификации, рассмотренной нами выше.
В третьей части закона сформулированы обязанности центров сертификации и владельцев ключей. В частности, здесь рассмотрены:
порядок выдачи сертификата;
порядок предъявления сертификата и открытого ключа;
условия хранения закрытого ключа;
действия владельца сертификата при компрометации закрытого
порядок отзыва сертификата;
срок действия сертификата;
условия освобождения центра сертификации от ответственности за неправомерное использование сертификата и средств ЭЦП;
порядок создания и использования страховых фондов,
предназначенных для компенсации ущерба третьим лицам, возникшего в результате неправомочного применения ЭЦП.
Четвертая часть закона посвящена непосредственно цифровой подписи.
Ее основное положение заключается в том, что документ, подписанный цифровой подписью, имеет ту же силу, что и обычный документ,
подписанный рукописной подписью.
В пятой части закона рассмотрены вопросы взаимодействия центров сертификации с административными органами власти, а также порядок функционирования так называемых репозитариев - электронных баз данных, в которых хранятся сведения об изданных и отозванных сертификатах.
В целом закон об ЭЦП штата Юта отличается от других аналогичных правовых актов высокой подробностью.
Германский закон об электронной подписи (Signaturgesetz) был введен в действие в 1997 г. и стал первым европейским законодательным актом такого рода. Целью закона объявлено создание общих условий для такого применения электронной подписи, при котором ее подделка или фальсификация подписанных данных могут быть надежно установлены.
В Законе прослеживаются следующие основные направления:
установление четких понятий и определений;
подробное регулирование процедуры лицензирования органов сертификации и процедуры сертификации открытых ключей пользователей средств ЭЦП (правовой статус, порядок функционирования центров
сертификации, их взаимодействие с государственными органами и другими центрами сертификации, требования к сертификату открытого ключа электронной подписи);
Рассмотрение вопросов защищенности цифровой подписи и данных,
подписанных с ее помощью, от фальсификации;
Порядок признания действительности сертификатов открытых ключей.
По своему духу германский Закон об электронной подписи является регулирующим.
В отличие от аналогичного закона Германии, Федеральный Закон об электронной подписи США является координирующим правовым актом. Это связано с тем, что ко времени его принятия соответствующее регулирующее законодательство уже сложилось в большинстве отдельных штатов.
Как видно из названия Закона (Electronic Signatures in Global and National Commerce Act), его основное назначение состоит в обеспечении правового режима цифровой электронной подписи в электронной коммерции. Подписание Закона Президентом США состоялось в день национального праздника - 4 июля 2000 г. (День независимости), что должно придать этому законодательному акту особое значение. По мнению обозревателей принятие данного закона символизирует вступление человечества в новую эру - эру электронной коммерции.
ответственных за функционирование ее инфраструктуры. Не сосредоточиваясь на конкретных правах и обязанностях центров сертификации, которым уделяется особое внимание в законодательствах других стран, Федеральный Закон США относит их к понятию инфраструктура ЭЦП и в самых общих чертах оговаривает взаимодействие элементов этой структуры с правительственными органами.
В России с основными положениями Федерального Закона об
электронной подписи можно познакомиться на примере проекта. Согласно проекту, Закон состоит из пяти глав и содержит более двадцати статей.
В первой главе рассмотрены общие положения, относящиеся к Закону.
Как и аналогичные законы других государств, российский законопроект опирается на несимметричную криптографию. Основной целью Закона провозглашается обеспечение правовых условий для применения ЭЦП в электронном документообороте и реализации услуг по удостоверению ЭЦП участников договорных отношений.
Во второй главе рассмотрены принципы и условия использования электронной подписи. Здесь, во-первых, выражена возможность, а во-вторых,
приведены условия равнозначности рукописной и электронной подписи.
Кроме того, особо акцентировано внимание на характерных преимуществах ЭЦП:
лицо может иметь неограниченное количество закрытых ключей ЭЦП, то есть, создать себе разные электронные подписи и использовать их в разных условиях;
все экземпляры документа, подписанные ЭЦП, имеют силу оригинала.
Проект российского Закона предусматривает возможность ограничения сферы применения ЭЦП. Эти ограничения могут накладываться федеральными законами, а также вводиться самими участниками электронных сделок и отражаться в договорах между ними.
Интересно положение статьи о средствах ЭЦП, в которой закрепляется утверждение о том, что «средства ЭЦП не относятся к средствам,
обеспечивающим конфиденциальность информации». На самом деле это не совсем так. По своей природе средства ЭЦП, основанные на механизмах несимметричной криптографии, конечно же, могут использоваться для защиты информации. Возможно, это положение включено для того, чтобы избежать коллизий с другими нормативными актами, ограничивающими применение средств криптографии в обществе.
Важным отличием от аналогичных законов других государств является
положение российского законопроекта о том, что владелец закрытого ключа несет ответственность перед пользователем соответствующего открытого ключа за убытки, возникающие в случае ненадлежащим образом организованной охраны закрытого ключа.
Еще одной отличительной чертой российского законопроекта является список требований к формату электронного сертификата. Наряду с общепринятыми полями, рассмотренными нами выше, российский законодатель требует обязательного включения в состав сертификата наименования средств ЭЦП, с которыми можно использовать данный открытый ключ, номер сертификата на это средство и срок его действия,
наименование и юридический адрес центра сертификации, выдавшего данный сертификат, номер лицензии этого центра и дату ее выдачи. В
зарубежном законодательстве и в международных стандартах мы не находим требований столь подробного описания программного средства ЭЦП, с
помощью которого генерировался открытый ключ. По-видимому, это требование российского законопроекта продиктовано интересами безопасности страны.
Массовое применение программного обеспечения, исходный код которого не опубликован и потому не может быть исследован специалистами, представляет общественную угрозу. Это относится не только к программным средствам ЭЦП, но и вообще к любому программному обеспечению, начиная с операционных систем и заканчивая прикладными программами.
В третьей главе рассмотрен правовой статус центров сертификации (в
терминологии законопроекта - удостоверяющих центров открытых ключей электротой подписи). В России оказание услуг по сертификации электронной подписи является лицензируемым видом деятельности, которым могут заниматься только юридические лица. Удостоверение электронной подписи государственных учреждений могут осуществлять только государственные удостоверяющие центры.
По своему характеру структура органов сертификации -
В настоящее время электронная цифровая подпись широко применяется и используется, как во внутреннем документообороте компаний, так и при передаче документов в государственные органы, например, в налоговую. Кроме того, электронная цифровая подпись активно применяется в госзаказе, как заказчиками, так и поставщиками. В статье ознакомимся с историей возникновения электронной подписи, рассмотрим, как выглядит электронная подпись, ее применение и практику использования.
1. История электронной подписи
Тридцать лет назад в 1976 году Уитфрид Диффи и его соавтор, стэнфордский профессор Мартин Хеллман, положили начало криптографии с открытым ключом, в основу которого входит алгоритм обмена ключами. Он возник на основе идеи передачи информации от одного субъекта другому субъекту так, чтобы посторонние субъекты получив доступ к ней не могли ее понять. До нашего времени технология претерпела изменения, даже то как выглядит электронная цифровая подпись. Но с момента публикации их исследований началось использование электронно-цифровой подписи (ЭЦП). В Россию электронная подпись как технология пришла в начале 90-ых и была введена в 1995 году. Эти изменения были внесены в Гражданский кодекс РФ. Где статье 160 пункте 2 предусматривалось использование электронной подписи при оформлении сделок, как аналогов собственноручной подписи (АСП).
Данная технологи защиты стала интересна нашим отечественным банкам. В числе первых был Центральный банк России, помимо других кредитных организаций. Электронная цифровая подпись нашла применение для защиты информационных систем в таких организациях, позволяющая безопасно передавать данные, к примеру в системах «банк-клиент». До 2002 года защита передачи информации была основной целью использования электронной подписи.
2. Юридическая значимость электронной цифровой подписи.
По мере значительного расширения проблемы защиты информационного пространства и использования для этого электронной подписи был разработан соответствующий закон «Об электронной подписи» № 63-ФЗ от 06.04.2011 года, который бы регулировал работу с шифрованием данных и расширил область применения электронной подписи. Это дало возможность создания электронного документооборота.
Использование электронной подписи регулируются государством на федеральном уровне с помощью двух законов ФЗ-№1 и ФЗ-№63, которые помогают решать споры в гражданско-правовых отношениях.
Законопроект был принят, так как Гражданский кодекс только давал разрешение на использование электронной подписи, как аналога собственноручной подписи со значительными ограничениями. Этот закон также регулировал разрешение судебных споров, поскольку до этого это было затруднительно из-за отсутствия органов, отвечающих за подлинность при использовании электронной подписи. Хотя ранее и были судебные разбирательства, в которых в качестве доказательства фигурировал машинный документ (дело 1979 года о компьютерном хищении 78 тыс. 584 рублей в Вильнюсе). Потом был судебный процесс в 1982 году в городе Горьком (дело о хищении в крупном размере).
Самым главным сдвигом в принятии закона об ЭЦП стало юридическое принятие электронного документа как равноправного документу бумажному. В США закон о применении цифровой электронной подписи был принят в 1995 году в штате Юта.
Федеральный закон об ЭЦП имеет недоработки в формулировках. Они увеличивают риск использования электронной подписи, поэтому необходима детализация и более точно расписанные условия соглашений. Тому примером служит статья 4 закона об ЭЦП, которая назначает три условия равнозначности собственноручной подписи. Одно из них очень противоречиво, так как указывает на то, что сертификат действует на момент подписи или на момент проверки. Такая двусмысленность толкования требует дополнительных разъяснений. Хотя любой закон вызывает претензии, закон об ЭЦП не является исключением. Эти недоработки организаторы ИС сегодня успешно возмещают на уровне соглашений сторон. Основной недостаток этого закона состоит в том, что он не является законом прямого действия.
В России, когда принимался закон об ЭЦП, у разработчиков были определенные сложности. Все сертифицированные средства криптографической защиты информации были не совместимы друг с другом. Причем данная проблема до возникновения удостоверяющих центров была не столь остра, как после их появления. Часто сертификат, выданный одним удостоверяющим центром, не распознавался другим удостоверяющим центром.
Данную проблему частично решили подписанием соглашения, в котором говорилось, что формат зашифрованных сообщений и открытой части ключа будет разрабатываться ООО «Крипто-Про». Соглашение подписали непосредственно ООО «Крипто-Про», ФГУП НТЦ «Атлас», ООО «Фактор-ТС», ОАО «Инфотекс» и ЗАО «МО ПНИЭИ». Так проблема была решена отчасти, но она не исчезла полностью, хотя большинство разработчиков электронной подписи России формально или официально примкнули к данному соглашению.
3. Понятие и определение электронно-цифровой подписи. Использование электронной подписи
Электронная цифровая подпись (сокращенно ЭП) - это особый эталон атрибута документа, исключающий деструкцию данных передаваемых в электронном документе, с момента комплектации ЭП и подтверждает отношение ЭП такому владельцу. Содержание атрибута формируется с помощью криптографического преобразования данных.
Сертификат электронной цифровой подписи - атрибут, доказывающий отношение открытого ключа (ключа который проверяется) ЭП владельцу сертификата.
Выдаются сертификаты удостоверяющими центрами (УЦ) или их доверенными представителями.
Владелец сертификата ЭП, как правило, физическое лицо, на которого оформлен сертификат ЭП в удостоверяющем центре независимо от органиционно-правовой формы организации. У такого физического лица на электронном носителе сертификат включает в себя два ключа ЭП: закрытый и открытый.
Закрытый ключ электронной цифровой подписи (ключ ЭП) производит саму генерацию электронной подписи, которой будет подписан электронный документ.
Электронно-цифровая подпись формируется путем шифрования информации, находящейся в документе. Она представляет уникальную последовательность символов и располагается в теле подписанного файла, либо прилагается к нему.
Организация или владелец, приобретая сертификат должны обеспечить его безопасность, и обязан оберегать от кражи закрытый ключ.
Открытый ключ электронной цифровой подписи (ключ проверки ЭП) и закрытый ключ ЭП между собой связаны. Закрытый ключ предназначен для проверки подлинности ЭП.
Для этого были разработаны носители для ЭЦП с зашифрованной файловой системой. Он имеет ключевой контейнер, который ограничивает количество попыток расшифрования файловой системы и самого контейнера. Для этого активно используются смарт-карты и USB-токены. Для того чтобы начать пользоваться таким устройством нужно подключить устройство к компьютеру и ввести личный PIN-код. У ввода такого PIN-кода ограниченное количество ввода (как правило три), после того как попытки исчерпаны устройство блокируется.
Высокий уровень защиты закрытого ключа на данный момент обеспечивают Aladdin e-Token» и «Rutoken. Взаимодействие с закрытым ключом происходит на чипе хранилища устройства, т.е. ключ никогда его не покидает. Это исключает перехват ключа из оперативной памяти.
4. Квалифицированная и неквалифицированная электронная цифровая подпись и их разновидности
Простая электронная цифровая подпись - принадлежит физическому лицу для подтверждения подписания документов. Но отсутствует возможность определения факта изменения самого электронного документа, т.е. его содержимого. Она предназначена для электронного документооборота внутри компании.
Усиленная электронная цифровая подпись - такая подпись после редакций в законе об электронной подписи стала иметь разновидности.
Усиленная неквалифированная электронная цифровая подпись - функция данной усиленной неквалифицированной электронной цифровой подписи идентифицировать отправителя. Такую электронную подпись можно получить даже в неаккредитованных центрах. Документы, подписанные с использованием электронной подписи, приравниваются к документам в бумажной форме, подписанным собственноручно.
Усиленная квалифицированная подпись - данная подпись применяет наивысшую степень защиты, так как формируется средствами криптозащиты, которые могут применять удостоверяющие центры с лицензией ФСБ либо само ФСБ.
|
Параметры подписи |
Простая электронная цифровая подпись |
Усиленная неквалифированная подпись |
Усиленная квалифицированная подпись |
|
Образуется на основе кодов, паролей и др. |
|||
|
Образуется на основе криптографического изменения данных документа с использованием ключа электронной цифровой подписи |
|||
|
Присутствует возможность идентификации владельца документа |
|||
|
Присутствует возможность установления факта изменений в электронных документах после их подписания |
|||
|
Предельная степень защиты-ключ проверки электронной цифровой подписи находится в квалифицированном сертификате |
5. Как выглядит электронная подпись и носители для нее?
Электронный идентификатор Rutoken — это устройство, направленное на авторизацию владельца и на защиту электронной переписки. Выглядит электронная подпись на таком носителе как USB-брелок (флешка).
eToken - это защищенное устройство, поддерживающее работу и интеграцию со всеми основными системами и приложениями, смарт-карт или USB-ключа.
Сама электронная цифровая подпись выглядит либо как значок, либо как изображение печати. Просмотреть сертификат и как выглядит электронная подпись можно в свойствах обозревателя.
Перед тем как подписать документ WORD или письмо почтового сервера необходимо установить ЭЦП на компьютер. После этого можно подписывать документ.
Например, если есть необходимость в отправке письма с применением электронной подписи, то после установки необходимо зайти >файл > подготовить> добавить цифровую подпись или > добавить цифровую подпись (КРИПТО-ПРО)
Применяя электронную подпись, для ее визуализации можно добавить изображение печати, либо своей подписи.
После подписания документа в самом низу появится значок. Вот так будет выглядеть электронная подпись в документе WORD.
Электронную подпись можно добавить в почтовые клиенты и в Adobe Acrobat Pro для подписания PDF-файлов.
В Microsoft Outlook - подписание электронной подписью будет выглядеть так.
Для добавления электронной подписи в приложения возможно понадобиться установка дополнительного программного обеспечения, например, КриптоПро Office Signature. Это для версий WORD выше 7ой и для Adobe Acrobat Pro. Подписание документа pdf с использованием электронной подписью выглядит так:
А вот так выглядит электронная подпись Налоговой инспекции. Как правило, с ней можно столкнуться, получая выписки из ЕГРЮЛ в электронном виде. Банки используют похожие электронные подписи.
6. Где можно применить электронную подпись?
На данный момент существует много вариантов использования электронной подписи.
Например, электронную подпись используют при электронном документообороте, как внутреннем, так и внешнем. При внутреннем документообороте документы мигрируют внутри организации. Это, к примеру, приказы и распоряжения, с которыми сотрудникам необходимо ознакомиться и завизировать свое ознакомление.
При внешнем документообороте документы мигрируют между компаниями. Например, передаются документы с использованием электронной подписи в системах В2В или В2С.
Если необходимо предоставить отчетность в контролирующие органы, либо для возможности пользования Клиент-Банком, также используется электронная подпись. Физические лица для получения полноценной услуги на сайте Госуслуги также должны приобрести ЭЦП.
Электронная подпись - это математическая схема, предназначенная для отображения подлинности электронных сообщений либо документов. Действительная цифровая подпись предоставляет все основания для получателя полагать, что сообщение было создано с помощью известного отправителя, что оно действительно отправлено (аутентификация и безотказность), а также то, что письмо не изменили в процессе передачи (целостность).
Отвечая на вопрос: «ЭЦП - что это такое?» - стоит отметить, что являются стандартным элементом большинства криптографических наборов протоколов и обычно используются для распространения ПО, совершения финансовых операций, а также во многих иных случаях, когда это важно для определения подделки или фальсификации.
Цифровые подписи зачастую применяются для реализации электронных подписей. Это более широкий термин, который относится к любым данным электронного типа. Вместе с тем не каждая электронная подпись является цифровой.
Цифровые подписи используют асимметричную криптографию. Во многих случаях они обеспечивают определенный уровень проверки и безопасности для сообщений, которые были отправлены по незащищенному каналу. Будучи правильно реализованной, цифровая подпись позволяет полагать, что сообщение было отправлено с помощью заявленного отправителя. Цифровые печати и подписи эквивалентны собственноручным подписям и реальным печатям.
ЭЦП - что это такое?
Цифровые подписи подобны традиционным собственноручным подписям во многих отношениях, при этом их труднее подделать, чем рукописные. Цифровые схемы подписи имеют криптографические основы и должны быть выполнены должным образом, чтобы не потерять эффективность. Как подписать документ ЭЦП? Нужно использовать 2 парных криптоключа.
ЭЦП могут также реализовать принцип безотказности. Это означает, что подписчик не может успешно утверждать, что он не подписывал сообщение. Кроме того, некоторые схемы предлагают временную метку для цифровой подписи и даже если закрытый ключ подвергается воздействию, подпись остается действительной. ЭЦП могут быть представлены в виде битовой строки и могут быть применены в электронной почте, контрактах или сообщении, отправленном с помощью какого-либо криптографического протокола.
Криптография с открытым ключом или структура ЭЦП
Что это такое? Цифровая схема подписи включает в себя одновременно три алгоритма.
Алгоритм генерации ключа, выбирающий секретный ключ равномерным и случайным образом из множества возможных частных. Он выдает ключ секретный и идущий с ним в паре открытый.
Алгоритм подписи, который, учитывая сообщение и закрытый ключ, собственно и производит подпись.
Проверочный алгоритм подписи, который учитывает сообщение, открытый ключ и подпись и принимает или же отклоняет отправку письма, определяя подлинность.
Как установить ЭЦП?
Для того чтобы использовать цифровую подпись, необходимо наделить ее двумя основными свойствами. Что же нужно учитывать перед тем, как подписать документ ЭЦП?
Во-первых, подлинность подписи, генерируемой из фиксированного сообщения и секретного ключа, может быть проверена с помощью соответствующей открытой информации.
Во-вторых, должно быть вычислительно неосуществимо подобрать правильную подпись не зная секретного ключа. ЭЦП представляет собой механизм аутентификации, который позволяет создателю сообщения прикрепить код, который действует в качестве подписи.
Применение цифровых подписей
Поскольку современные организации постепенно отходят от бумажных документов с подписями, выполненными чернилами, ЭЦП могут обеспечить дополнительное заверение подлинности и доказательство авторства, идентичности и статуса документа. Кроме того, цифровая подпись может быть средством, подтверждающим информированное согласие и одобрение подписавшей стороны. Таким образом, ЭЦП для физических лиц - реальность.
Аутентификация
Несмотря на то что письма могут включать в себя подробную информацию, не всегда можно достоверно определить отправителя. Цифровые подписи могут быть использованы для аутентификации источника сообщений. Когда секретный ключ ЭЦП привязан к конкретному пользователю, это подтверждает, что сообщение было отправлено именно им. Значение уверенности в том, что отправитель подлинный, особенно очевидна в финансовых сферах.
Целостность
Во многих сценариях отправитель и получатель письма нуждаются в точном подтверждении, что оно не было изменено при передаче. Хотя шифрование скрывает содержимое отправленного объекта, возможно лишь изменить зашифрованное сообщение, без понимания его смысла. Некоторые способны предотвратить это, но не во всех случаях. В любом случае проверка ЭЦП при расшифровке обнаружит нарушение целостности письма.
Однако если сообщение подписано цифровой подписью, любое изменение в нем после подписания дезавуирует подпись. Кроме того, не существует эффективного метода изменить сообщение и произвести новое с действительной подписью, потому что это считается вычислительно невозможным.
Неотрекаемость
Неотрекаемость или невозможность отрицания происхождения письма является важным аспектом в развитии ЭЦП. Что это такое? Это означает, что юридическое лицо, отправившее некоторую информацию, не может в дальнейшем отрицать, что подписало ее. Аналогичным образом доступ к открытому ключу не позволяет злоумышленникам подделывать действительную подпись. Такие же последствия несет и применение ЭЦП для физических лиц.
При этом следует акцентировать внимание на том, что все свойства подлинности, безотказности и т.д. зависят от секретного ключа, который не должен быть отозван до его использования. Открытые ключи также должны быть аннулированы в паре с секретными после использования. Проверка ЭЦП на предмет «отзыва» происходит по определенному запросу.
Ввод секретного ключа на смарт-карте
Все криптосистемы, функционирующие на принципах использования открытого/закрытого ключа, полностью зависят от содержания данных в секрете. Секретный ключ ЭЦП может храниться на компьютере пользователя и быть защищен локальным паролем. Однако такой способ имеет два недостатка:
- пользователь может подписывать документы исключительно на данном конкретном компьютере;
- безопасность секретного ключа полностью зависит от безопасности компьютера.
Более надежная альтернатива для хранения секретного ключа - смарт-карта. Многие смарт-карты оснащены защитой от несанкционированного вмешательства.
Как правило, пользователь должен активировать свою смарт-карту, введя персональный идентификационный номер или PIN-код (таким образом обеспечивая Это может быть устроено так, что закрытый ключ никогда не покидает смарт-карту, хотя это не всегда реализуется в криптопро ЭЦП.
Если смарт-карта украдена, злоумышленнику будет по-прежнему нужен PIN-код для создания цифровой подписи. Это несколько снижает безопасность данной схемы. Смягчающим фактором является то, что сгенерированные ключи, если они хранятся на смарт-картах, как правило, трудно скопировать, предполагается, что они существуют только в одном экземпляре. Таким образом, когда потеря смарт-карты будет обнаружена владельцем, соответствующий сертификат может быть немедленно отозван. Закрытые ключи, защищенные только программным обеспечением, проще скопировать, и такие утечки гораздо труднее обнаружить. Поэтому использование ЭЦП без дополнительной защиты небезопасно.
Процедура формирования цифровой подписи
На подготовительном этапе этой процедуры абонент А − отправитель сообщения − генерирует пару ключей: секретный ключ k A и открытый ключ K A . Открытый ключ K A вычисляется из парного ему секретного ключа k A . Открытый ключ K A рассылается остальным абонентам сети (или делается доступным, например, на разделяемом ресурсе) для использования при проверке подписи.
Для формирования цифровой подписи отправитель А прежде всего вычисляет значение хэш-функции h(М) подписываемого текста М (рис. 1). Хэш-функция служит для сжатия исходного подписываемого текста М в дайджест m − относительно короткое число, состоящее из фиксированного небольшого числа битов и характеризующее весь текст М в целом. Далее отправитель А шифрует дайджест m своим секретным ключом k A . Получаемая при этом пара чисел представляет собой цифровую подпись для данного текста М . Сообщение М вместе с цифровой подписью отправляется в адрес получателя.
Рис.1. Схема формирования электронной цифровой подписи
Абоненты сети могут проверить цифровую подпись полученного сообщения М с помощью открытого ключа отправителя K A этого сообщения (рис. 2).
При проверке ЭЦП абонент В − получатель сообщения М − расшифровывает принятый дайджест m открытым ключом K A отправителя А . Кроме того, получатель сам вычисляет с помощью хэш-функции h(М) дайджест m’ принятого сообщения М и сравнивает его с расшифрованным. Если эти два дайджеста − m и m’ − совпадают, то цифровая подпись является подлинной. В противном случае либо подпись подделана, либо изменено содержание сообщения.
Рис.2. Схема проверки электронной цифровой подписи
Принципиальным моментом в системе ЭЦП является невозможность подделки ЭЦП пользователя без знания его секретного ключа подписывания. Поэтому необходимо защитить секретный ключ подписывания от несанкционированного доступа. Секретный ключ ЭЦП, аналогично ключу симметричного шифрования, рекомендуется хранить на персональном ключевом носителе в защищенном виде.
Электронная цифровая подпись представляет собой уникальное число, зависящее от подписываемого документа и секретного ключа абонента. В качестве подписываемого документа может быть использован любой файл. Подписанный файл создается из неподписанного путем добавления в него одной или более электронных подписей.
Помещаемая в подписываемый файл (или в отдельный файл электронной подписи) структура ЭЦП обычно содержит дополнительную информацию, однозначно идентифицирующую автора подписанного документа. Эта информация добавляется к документу до вычисления ЭЦП, что обеспечивает и ее целостность. Каждая подпись содержит следующую информацию:
· дату подписи;
· срок окончания действия ключа данной подписи;
· информацию о лице, подписавшем файл (Ф.И.О., должность, краткое наименование фирмы);
· идентификатор подписавшего (имя открытого ключа);
· собственно цифровую подпись.
Важно отметить, что, с точки зрения конечного пользователя, процесс формирования и проверки цифровой подписи отличается от процесса криптографического закрытия передаваемых данных следующими особенностями.
При формировании цифровой подписи используется закрытый ключ отправителя, тогда как при зашифровании применяется открытый ключ получателя. При проверке цифровой подписи используется открытый ключ отправителя, а при расшифровывании − закрытый ключ получателя.
Проверить сформированную подпись может любое лицо, так как ключ проверки подписи является открытым. При положительном результате проверки подписи делается заключение о подлинности и целостности полученного сообщения, то есть о том, что это сообщение действительно отправлено тем или иным отправителем и не было модифицировано при передаче по сети. Однако, если пользователя интересует, не является ли полученное сообщение повторением ранее отправленного или не было ли оно задержано на пути следования, то он должен проверить дату и время его отправки, а при наличии − порядковый номер.
Сегодня существует большое количество алгоритмов ЭЦП.
