Электронная подпись на документе обеспечивает. Что такое электронная подпись (ЭЦП)? Функции электронной подписи

Электронная подпись – это атрибут электронного документа, который позволяет установить авторство и неизменность после подписания. В зависимости от своего вида электронная подпись может быть полностью равнозначна рукописной и обеспечивает подписанным файлам юридическую силу.

Функции электронной подписи

Подписывать любые файлы электронной подписью могут и юридические, и физические лица. Электронная подпись:

  • идентифицирует автора,
  • позволяет определить, вносились ли изменения в документ после его подписания,
  • защищает документ от подделки и несанкционированного просмотра.

В России используется три вида подписи.

Простая электронная подпись, или ПЭП

Простая подпись — это знакомая многим пара логин-пароль в Личных кабинетах, СМС-код, коды на скретч-картах. Такая подпись подтверждает авторство, но не гарантирует неизменность документа после подпиcания, следовательно, не гарантирует его юридическую значимость. Простая электронная подпись чаще всего применяется для получения Госуслуг, при банковских транзакциях, аутентификации на сайтах.

Неквалифицированная электронная подпись, или НЭП

За счет криптографических алгоритмов НЭП не только позволяет определить автора подписанного документа, но и доказать неизменность содержащейся в нем информации. Неквалифицированную подпись нужно получать в удостоверяющих центрах на специальном ключевом носителе — токене.

НЭП подойдет для электронного документооборота внутри компании и с внешними контрагентами. Только в этом случае сторонам потребуется заключить между собой соглашение о взаимном признании юридической силы электронных подписей.

Квалифицированная электронная подпись, или КЭП

Так же, как НЭП, квалифицированная подпись создается с помощью криптографических алгоритмов, но отличается в следующем:

  • выдавать КЭП может только аккредитованный Минкомсвязи России удостоверяющий центр,
  • должно быть сертифицировано Федеральной службой безопасности.

Квалифицированная электронная подпись наделяет документы юридической силой и соответствует всем требованиям о защите конфиденциальной информацию.

Имеет самое широкое применение и используется:

  • для сдачи отчетности в контролирующие органы,
  • для участия в электронных торгах по 44-ФЗ компаний с госучастием в качестве поставщика,
  • для электронного документооборота, имеющего юридическую силу без дополнительных соглашений между участниками,
  • для организации и участия в закупках по 223-ФЗ,
  • для работы с государственными информационными системами (например, на порталах Росреестра, ФСТ, ФТС, в системах СМЭВ, ГИС ГМП, ГИС ЖКХ, АС АКОТ, подачи сведений на портал ЕРФСБ, ЕФРСФДЮЛ, для взаимодействия с ФГИС Росаккредитация и др.)..

Некоторые торговые площадки требуют, чтобы квалифицированный сертификат содержал объектный идентификатор (OID). Чтобы работать на ЭТП B2B-Center, Газпромбанк, Фабрикант, u-Tender, Центр реализации или в секции Роснефти на ТЭК-Торг, придется докупить отдельный OID для каждой площадки.

Здравствуйте! В этой статье мы расскажем об электронной цифровой подписи.

Сегодня вы узнаете:

  1. Что собой представляет ЭЦП и в каких сферах ее можно применить;
  2. О юридической силе подписи такого формата;
  3. О преимуществах, которые дает ее наличие.

ЭЦП с некоторого времени является инструментом, благодаря которому упрощается движение документации. Причем происходит это не только внутри компании, но и за ее пределами. Как стать ее обладателем, рассмотрим сегодня.

ЭЦП — что это такое простыми словами

Всем известно, что любой документ подписывает лицо, у которого есть такие полномочия. Делается это для того, чтобы придать документу юридическую силу. Благодаря современным технологиям, весь документооборот переходит в электронный вид. Причем это оказалось чрезвычайно удобным!

Что же такое ЭЦП простым языком?

ЭЦП это аналогия обычной подписи, применяют которую чтобы придать юридическую силу документации, находящейся на электронном носителе.

Хранят ее обычно на флеш-накопителе.

Преимущества:

  1. Упрощает и ускоряет процесс обмена данными (когда ведется сотрудничество с зарубежными компаниями);
  2. Сокращение расходов, связанных с документооборотом;
  3. Повышение уровня безопасности для информации, носящей коммерческий характер.

Термины, связанные с ЭЦП

С этим понятием тесно связаны два других: ключ и сертификат электронной подписи .Сертификат подтверждает, что ЭП принадлежит конкретному лицу. Он бывает усиленным и обычным. Усиленный сертификат выдается либо удостоверяющим центром, либо ФСБ.

Ключ – это символы, находящиеся в последовательности. Обычно они используются парой. Первый – это сама подпись, другой подтверждает, что она подлинная. Для подписи каждого вновь создаваемого документа, формируется новый ключ.

Информация, которую получают в УЦ – это не ЭЦП, это средство, чтобы создать ее.

Немного истории

Первые ЭП стали использоваться в России в 1994 году. А закон о регулировании их применения был принят в 2002. Он был крайне расплывчатым и неоднозначно толковал терминологию. Вопрос получения подписи также в нем практически не освещался.

Начиная с 2011 года на электронный документооборот перешли государственные структуры. А все должностные лица получили ЭЦП.

В 2012 году этот процесс приобрел глобальные масштабы и благодаря этому, мы сейчас можем стать обладателями универсальных современных подписей.

Как получить электронную цифровую подпись

Рассмотрим ситуацию, при которой лицо оценило все плюсы этого инструмента и принято решение получить ЭЦП. А значит, возник вопрос: что нужно для этого сделать? Поговорим об этом более детально.

Чтобы получить электронную цифровую подпись, нужно пройти несколько важных ступеней:

  • Определиться с видом подписи;
  • Выбрать удостоверяющий центр;
  • Заполнить заявку;
  • Оплатить выставленный счет;
  • Собрать необходимый пакет документации;
  • Получить ЭЦП.

Теперь каждый шаг обсудим подробно.

Шаг 1. Выберите вид подписи, который максимально вам подходит.

За последний период времени увеличилось количество тех, кто хочет получить усиленную электронную подпись.Это объясняется тем, что она может подтвердить не только личность отправившего документ, но и является защищенной по максимуму. По мнению ряда экспертов, простые ЭЦП в скором времени прекратят свое существование полностью.

Представим в виде таблицы, в каких сферах применяются различные виды подписей.

№ п/п Где применяют Простой вид Неквалифицированный Квалифицированный
1 Ведение внутреннего документооборота в небольших компаниях встречается да да
2 Ведение внешнего документооборота уже редко да да
3 В Арбитражном Суде да да да
4 При обращении к сайту Госуслуг да нет да
5 В контролирующих органах нет нет да
6 При проведении электронных торгов нет нет да

Шаг 2. Выбираем удостоверяющий центр.

Если ЭЦП нужно получить, чтобы сдавать отчеты, выбирайте квалифицированную, если же просто вести документооборот, то простую.

Уточним, что УЦ является юрлицом, цель работы которого – формирование и выдача ЭЦП.

Кроме этого, УЦ осуществляет следующую деятельность:

  • Подтверждает, что подпись достоверна;
  • При необходимости блокирует ЭЦП;
  • Является посредником, если вдруг возникает конфликтная ситуация;
  • Оказывает техническую поддержку;
  • Предоставляет необходимое ПО клиентам.

В РФ около 100 УЦ. Лучше выбрать тот, который подходит по вашему месторасположению и возможностям. Предварительно можно уточнить, есть ли таковые в вашем городе. Сделать это просто: достаточно просмотреть информацию на официальном сайте.

Шаг 3. Оформляем заявку.

Для этого либо посещаем офис центра, либо заполняем ее в режиме онлайн. Удаленный способ позволяет избежать личного посещения УЦ, то есть сэкономить некоторое количество времени.

Как только отправка заявки будет завершена, с клиентом связывается специалист УЦ, чтобы уточнить указанные в ней данные. Ему можно задать вопросы и получить консультацию.

Шаг 4. Оплачиваем.

Оплатить услугу придется заранее. Как только заявка будет принята, все детали согласованы, клиенту выставляется счет. Стоимость может варьироваться, так как она зависит от региона, где проживает клиент, от самой компании и от того, какую ЭЦП вы хотите получить.

Причем разброс цен довольно большой – от 1500 до 8000 рублей.

Документы для ЭЦП

При сборе документов важным нюансом является следующий: ЭЦП нужна для физического лица, ЭЦП для юридического лицалибо для ИП. Поэтому характеризовать документацию будем по отдельности.

Для получения подписи физлица должны собрать следующий набор документации:

  • Заполненный бланк заявления;
  • Паспорт с ксерокопией;
  • СНИЛС;
  • Квитанцию, подтверждающую оплату счета.

Если у получателя есть доверенное лицо, подачей документов может заняться оно. Единственно, нужна доверенность на совершение таких действий.

Юрлицам нужно подготовить:

  • Заполненное заявление;
  • Свид-во ОГРН;
  • Свид-во ИНН;
  • (не просроченную);
  • Паспорт с копией того лица, которое будет использовать ЭЦП;
  • Квитанцию об оплате;
  • СНИЛС лица, которое будет использовать ЭЦП;
  • Если подпись будет использовать директор, нужно предоставить приказ, на основании которого он занимает эту должность;
  • Для других сотрудников нужны доверенности, чтобы они могли использовать ЭЦП.

ИП предоставляют:

  • Заполненное заявление;
  • Свид-во ОГРНИП;
  • Свид-во ИНН;
  • Выписку из реестра предпринимателей, которой не более 6 месяцев (можно копию);
  • Квитанцию, которая подтвердит оплату.

Если заявка была подана удаленно, нужные документы направляют в УЦ по почте, если лично – то вместе с заявкой.

Электронная подпись для физических лиц

Для физлиц есть 2 типа подписей: квалифицированная и неквалифицированная. Процедура получения, если сравнивать с юрлицами, гораздо проще.

Частные лица обычно используют ЭП, чтобы подписывать некоторые бумаги.

Сейчас для ее применения разработаны такие системы, как:

  • Единый портал государственных услуг;
  • Сеть ЕСИА, для получения различных сведений.

Для ЕСИА достаточно простого типа ЭП, а вот для портала госуслуг используется квалифицированная.

Чтобы получить ЭЦП, гражданин также обращается в УЦ, со всеми документами и заявлением. Также при себе нужно иметь флеш-накопитель, на который запишут закрытую часть ключа, известную только владельцу.

Процедура выглядит так:

  • Обратиться в УЦ за сертификатом и чтобы получить ключ ЭЦП;
  • Подобрать пароль;
  • Заполнение бланков для получения ключей;
  • Подача всех документов;
  • Получение сертификата на ключи.

Электронная подпись для юридических лиц

Алгоритм получения практически не отличается от получения подписи физлицом. Точно так же выбирается УЦ, собираются все нужные документы, оплачивается выставленный счет. Единственное, не нужно забывать, что выписка из ЕГРЮЛ должна быть получена вовремя, так как процесс ее подготовки занимает около 5 дней.

Хеш-функция: зачем нужна

Хеш-функция является уникальным числом, которое получают из документа, преобразовав его с помощью алгоритма.

Она обладает повышенной чувствительностью к разного рода искажениям документа, если изменится хотя бы один знак в первоначальном документе, исказится большая часть знаков хеш-значения.

Хеш-функция устроена так, что по ее значению исходный документ восстановить невозможно, также нельзя найти 2 разных электронных документа, у которых одно и то же хеш-значение.

Для формирования ЭЦП отправитель вычисляет хеш-функцию документа и шифрует ее при помощи секретного ключа.

Говоря простыми словами, она предназначена для упрощения обмена данными между пользователями. Это ключевой инструмент по защите данных.

Подписываемый файл проходит процедуру хеширования. А получатель сможет удостовериться в подлинности документа.

Юридическая сила ЭЦП

ЭЦП обладает равной юридической силой с обычной подписью в бумажном варианте документа, в том случае если она наносилась без нарушений. Если же были выявлены отклонения, документ силы не имеет. Государство регулирует процесс использования ЭЦП Федеральным законодательством.

Срок действия ЭЦП

ЭЦП действительна в течение 12 месяцев, с того дня, когда она была получена. Как только этот срок заканчивается, ее продлевают либо получают другую.

Подведем итоги . Использование ЭЦП наибольшую выгоду приносит крупным компаниям и предприятиям. Благодаря ей удешевляется документооборот, открываются широкие горизонты для бизнеса.

Простым гражданам обладать ею также выгодно. Не нужно стоять в очередях, заказывать гос. услуги можно не выходя из дома. ЭЦП – современный, удобный и выгодный инструмент.

Электронная цифровая подпись – основа электронного документооборота с применением современных информационных технологий. Она является неотъемлемой частью работы таких проектов, как «Банк-Клиент» (автоматизированные банковские системы удалённого доступа), платёжных систем на основе smart–карт, системы электронных интернет-платежей и др.

Что собой представляет система цифровой электронной подписи

Основное назначение электронной цифровой подписи, представляющей собой особую математическую схему, – подтвердить подлинность электронных документов или сообщений. Надёжная цифровая подпись гарантирует получателю, что документ был создан отправителем и в процессе передачи не был изменён.

Электронные цифровые подписи активно применяются при совершении финансовых операций, для распространения программного обеспечения, а также в других проектах, требующих подтверждения подлинности электронного сообщения.

Стоит различать понятия «цифровая подпись» и «электронная подпись». Первый термин носит более общий характер, поскольку относится к любым электронным данным. При этом не все электронные подписи являются цифровыми.

В цифровых подписях применяется асимметричная криптография. Они призваны защитить электронные сообщения, передаваемые по небезопасному каналу. Цифровая подпись, созданная по всем правилам, гарантирует, что сообщение было отправлено составителем. По сути, цифровая подпись и печать – полноценный заменитель физическим печатям и подписям, поставленным вручную. Отличие в том, что цифровые сложнее подделать.

Одна из сфер применения электронной цифровой подписи – подтверждение достоверности сообщений и документов, передаваемых по электронной почте с помощью криптографического протокола. В основе ЭЦП лежит принцип безотказности, согласно которому лицо, подписавшее документ, не может доказать, что не ставило подпись на отправленном сообщении.

Роль цифровой подписи в электронной коммерции и документообороте

Популярность ЭП неуклонно растёт. Руководители компаний хотят уменьшить загруженность своих работников и сократить объёмы бумажного документооборота. Ведь с помощью ЭЦП и другие сотрудники смогут гораздо быстрее подписывать документы, что сократит время простоев и обеспечит рост эффективности бизнес-процессов в организации.

Федеральный закон «Об электронной цифровой подписи» определяет ЭЦП как равнозначную по юридической силе рукописной подписи и физической печати на традиционном документе в бумажном виде. Это позволяет организациям различных отраслей и направлений деятельности активно использовать её в электронном документообороте.

Но сфера применения ЭЦП этим не ограничивается. Она также используется для подтверждения авторства, целостности, подлинности и актуальности любых электронных сообщений и позволяет проверить, вносились ли какие-либо изменения в передаваемый документ посторонними людьми.

Ускорение всех процессов в жизни и в бизнесе вынуждает владельцев компаний оптимизировать организационные процессы, внедрять различные системы автоматизации. Электронная торговля – один из таких инструментов. Для участия в торгах нужна электронная цифровая подпись, которая позволяет:

  • гарантировать достоверность загруженных участниками электронных документов;
  • организаторам подписывать конкурсы, аукционы и заявки;
  • подписывать заявки на торгах;
  • использовать электронные документы наравне с бумажными;
  • обеспечить подлинность и целостность электронных документов, не допустить их подделки;
  • избежать возникновения спорных ситуаций по причине некорректной отправки документов и подачи заявок.

Применение цифровых технологий в электронной торговле может способствовать в ближайшем будущем внесению кардинальных изменений в практику ведения деловых переговоров. В первую очередь, за счёт использования цифровых каналов связи и сокращения расходов на коммуникацию. Так электронная цифровая подпись предоставляет владельцам малого и среднего бизнеса доступ к международным рынкам электронной торговли.

В недавнем прошлом для обмена сообщениями или документами применяли факс. Ценные бумаги также высылали по почте или курьерской службой. Теперь можно отправлять всю необходимую документацию, имеющую соответствующую юридическую силу, в кратчайшие сроки и без посредников. Ведь электронная цифровая подпись в документообороте полностью заменяет собственноручную и подтверждает её подлинность, гарантируя, что в документ не вносились исправления посторонними пользователями.

Экономическая целесообразность перехода на обмен электронными документами очевидна: в таком виде их проще хранить и передавать. Для этого нужно лишь оформить электронную цифровую подпись в одном из специальных удостоверяющих центров.

Ещё одним преимуществом электронного документооборота является высокая степень защиты передаваемых данных. Для ЭЦП используется специальный криптопровайдер с квалифицированным сертификатом. Максимальная его защита обеспечивается специальными аппаратно-программными комплексами (ключи I-Token или смарт-карты), в которых находится безопасное хранилище для применения PIN-кодов при работе с квалифицированным сертификатом. Если при вводе PIN-кода предпринимается несколько неудачных попыток, то сертификат блокируется и перестаёт работать.

Особенности использования электронной цифровой подписи

Перед тем как использовать ЭЦП для визирования документов, необходимо учесть следующее:

  1. Подлинность подписи можно проверить на основе данных, находящихся в открытом доступе. При этом она создаётся из фиксированного сообщения и закрытого ключа электронной цифровой подписи.
  2. Невозможно подделать или подобрать подпись без секретного ключа.

Применение ЭЦП целесообразно и актуально не только в организации документооборота юридических лиц (для заверения подлинности, авторства, идентичности и статуса документов), но и физических в том числе. Например, она может быть использована для подтверждения информированного согласия или одобрения одной из сторон, подписавших договор.

Электронная цифровая подпись применяется при аутентификации источника письма. Это связано с тем, что даже если в документе есть вся необходимая информация, сложно гарантировать подлинность отправителя. Ключ электронной цифровой подписи закрепляется за определённым пользователем. Такой механизм гарантирует, что письмо было отправлено владельцем ЭЦП. Это особенно актуально для финансовых и банковских организаций.

Ещё одно направление применения ЭЦП – подтверждение, что письмо было доставлено в целости и сохранности и в процессе передачи в него не были внесены какие-либо корректировки злоумышленниками. Шифрование с применением ключа ЭЦП не обеспечивает 100 %-й защиты от внесения изменений в исходное сообщение посторонними пользователями. Но при расшифровке письма адресат получит информацию в случае, если целостность письма нарушена. Это связано с тем, что любые действия с сообщением, подписанным электронной цифровой подписью, приводят к её дезактивации. Для того чтобы снова поставить подпись на изменённом документе, нужно иметь к ней доступ. Поэтому вероятность такого развития событий крайне мала.

Также электронная цифровая подпись – один из действенных инструментов подтверждения происхождения документа или сообщения. То есть электронная цифровая подпись для юридических лиц – гарантия неотрекаемости или невозможности отрицания факта, что организация подписала электронный документ. Этот принцип работы ЭЦП применим и в отношении физических лиц.

Стоит иметь в виду, что подлинность и безотказность письма, подписанного ЭЦП, возможны лишь в том случае, если секретный ключ не отозван перед использованием. При этом открытые ключи аннулируются одновременно с секретными. По предварительному запросу ЭП проверяется на вероятность отзыва.

Любые криптосистемы, в основе работы которых лежит использование открытого или закрытого ключа, напрямую зависят от степени секретности этих данных. Пользователь может хранить ключ электронной цифровой подписи на своем рабочём компьютере, защитив его паролем. Но у такого варианта есть свои недостатки:

  • подписывать документы можно только на компьютере владельца ЭЦП;
  • сохранность данных ЭЦП напрямую зависит от защищённости рабочего компьютера пользователя.

Намного надёжнее хранить секретный ключ на смарт-картах, так как большинство из них имеют высокую степень защиты от изменений несанкционированными пользователями.

Для активации смарт-карты пользователь вводит специальный PIN-код. Такая схема двухфакторной аутентификации и обеспечивает дополнительную защиту электронной цифровой подписи. В случае кражи или пропажи смарт-карты для её активации и использования ЭЦП также нужно будет ввести PIN-код, что уменьшает степень безопасности этой схемы. Обнадёживает тот факт, что ключи ЭЦП, находящиеся на смарт-картах, существуют в единственном экземпляре и не поддаются копированию. Поэтому владелец электронной цифровой подписи, обнаружив пропажу, может быстро заблокировать их действие. Ключи, хранящиеся на компьютере пользователя, намного проще скопировать, а сам факт утечки информации сложнее обнаружить. Поэтому очень важно применять дополнительную защиту электронной цифровой подписи.

Какие алгоритмы используются в работе электронной цифровой подписи

Цифровая схема подписи включает в себя одновременно три алгоритма электронной цифровой подписи:

  1. Алгоритм генерации ключа, который отбирает секретный ключ равномерным и случайным образом из множества возможных частных вариантов. Одновременно генерируются секретный и открытый ключи, которые идут в паре.
  2. Алгоритм подписи, который на основе закрытого ключа подписывает электронное сообщение.
  3. Проверочный алгоритм электронной цифровой подписи, который на основе открытого ключа, подписи и сообщения определяет подлинность и принимает решение о возможности или невозможности отправки электронного письма.

Алгоритм цифровой подписи RSA.

Одна из самых первых и наиболее распространенных систем ЭЦП работает на основе алгоритма RSA. Всё начинается с вычисления открытого и закрытого ключа. Отправитель электронного письма должен вычислить два больших простых числа P и Q, а потом рассчитать произведение и найти значение функции:

N = P * Q; φ (N) = (Р-1)(Q-1).

Затем нужно определить значение Е из условий:

Е £ φ (N), НОД (Е, φ (N)) = 1

и значение D:

D < N, Е *D º 1 (mod j (N)).

Числа E и N представляют собой открытый ключ. Эти показатели автор отправляет адресатам электронного письма для аутентификации электронной цифровой подписи. Параметр D – это секретный ключ, с помощью которого автор подписывает сообщение. Схематично работа алгоритма представлена на рисунке:

Недостатки применения алгоритма RSA для формирования электронной цифровой подписи:

  1. Вычисление значений параметров N, E и D – процесс трудоёмкий, поскольку требует проверки большого количества дополнительных условий. При этом, если хотя бы одно из них не будет выполнено, возникает риск подделки электронной цифровой подписи.
  2. Высокая стойкость к фальсификации ЭЦП, созданной по алгоритму RSA, обеспечивается за счёт существенных затрат на вычисление (на 20-30 % больше, чем у других алгоритмов).

Алгоритм цифровой подписи Эль-Гамаля (EGSA).

Главная идея этого алгоритма – невозможность подделки электронной цифровой подписи. Для реализации такой цели требуется решить более сложную вычислительную задачу, а не просто разложить на множители большое целое число. Кроме того, разработчик Эль-Гамаль смог устранить недостатки алгоритма RSA и предотвратить риски фальсификации ЭЦП без определения секретного ключа.

Для генерации открытого и закрытого ключа необходимо выбрать два простых целых числа P и G, при условии, что G < P. Отправитель и адресат электронного документа, подписанного ЭЦП, применяют одинаковые большие несекретные числа P (~10 308 = ~2 1024) и G (~10 154 = ~1 512). Первый из них берёт случайное целое число X, 1 < X £ (P - 1), и вычисляет: Y = G X mod P.

Параметр Y – открытый ключ, используемый для аутентификации электронной цифровой подписи отправителя. Параметр Х – секретный ключ, используемый им для подписи электронных документов. Для подписи сообщения М необходимо, чтобы отправитель захэшировал его с помощью хэш-функции h в целое число m: m = h(M), 1 < m < (P - 1), и сгенерировал случайное целое число К, 1 < K < (P - 1), при этом К и (P - 1) должны быть взаимно простыми. На следующем этапе он рассчитывает значение параметра a по формуле: a = G K mod P. На основе расширенного алгоритма Евклида с помощью секретного ключа Х определяет целое число b: m = X * a + K * b (mod (P - 1)). Пара чисел (a, b) формируют электронную цифровую подпись S: S = (a, b).

Значения параметров M, a и b передаются адресату, а значения чисел X и K не разглашаются. Затем получатель сообщения вычисляет значение m по формуле: m = h(M). Далее рассчитывается значение числа A = Y a a b mod (P). Если A = G m mod (P), сообщение М считается подлинным.

Можно привести строгое математическое доказательство, что последнее равенство будет верно тогда, когда подпись S под сообщением M рассчитана с помощью именно секретного ключа X, из которого был получен открытый ключ Y.

При этом стоит иметь в виду, что для создания каждой электронной цифровой подписи нужно новое значение числа К, которое определяется случайным образом.

Алгоритм EGSA – классический образец того, как происходит доставка сообщения в открытой форме вместе с аутентификатором (a, b). Отличие алгоритма Эль-Гамаля от алгоритма RSA:

  1. При схожей степени стойкости алгоритм EGSA работает на целых числах, которые короче аналогичных чисел в алгоритме RSA на 25%. Это сокращает время вычислений в среднем в 2 раза.
  2. Вычислить модуль Р легко, требуется лишь удостовериться, что число простое и у числа (Р - 1) есть большой простой множитель.
  3. Алгоритм EGSA не позволяет ставить электронную цифровую подпись на новых сообщениях без знания секретного ключа.
  4. Подпись, созданная по алгоритму EGSA, в 1,5 раза больше подписи, сгенерированной по схеме RSA.

Алгоритм цифровой подписи DSA.

Алгоритм DSA (Digital Signature Algorithm) является усовершенствованной версией алгоритмов цифровой подписи EGSA и К. Шнорра. Отправитель и адресат электронного письма вычисляют большие целые числа G и P - простые числа, L бит каждое (512 £ L £ 1024), q - простое число длиной 160 бит (делитель числа (P - 1)). Числа P, G, q открытые и могут быть общими для пользователей. Отправитель выбирает случайное целое число X - секретный ключ электронной цифровой подписи, при этом 1 < X < q. Далее он рассчитывает значение параметра Y (открытого ключа) по формуле: Y = G X mod P. Для подписи сообщения М отправитель хэширует его в целое хэш-значение m: m = h(M), 1 < m < q, затем выбирает случайное целое число К, при условии, что 1 < K < q, и вычисляет значение параметра r по формуле: r = (G K mod P) mod q. Далее он находит число s по формуле: s = ((m + r * X)/ K) mod q.

Пара чисел S = (r, s) формируют электронную цифровую подпись. Адресат проверяет выполнение условий: 0 < r < q, 0 < s < q. Если хотя бы одно из них не выполнено, то подлинность ЭЦП не подтверждается. Если же выполнены все условия, то адресат рассчитывает значение w по формуле: w = (l/s) mod q, хэш-значения m = h(M) и числа u 1 = (m * w) mod q, u 2 = (r * w) mod q. Далее он с помощью открытого ключа Y вычисляет v по формуле: v = ((G u 1 * Y u 2) mod P) mod q. Подпись S считается подлинной при условии, что выполняется равенство v = r.

Можно привести математическое доказательство, что последнее равенство будет верно тогда, когда подпись S под сообщением M рассчитана с помощью именно секретного ключа X, из которого был получен открытый ключ Y.

Преимущества алгоритм DSA по сравнению с алгоритмом EGSA:

  1. Длина электронной цифровой подписи, созданной по алгоритму DSA, существенно короче, чем у подписи, сгенерированной по алгоритму EGSA. При этом уровень стойкости одинаковый.
  2. Время вычисления подписи DSA меньше, чем в алгоритме EGSA.

К минусам алгоритма DSA можно отнести необходимость проведения сложных операций деления по модулю q для проверки подлинности электронной цифровой подписи. На практике работу алгоритма DSA можно ускорить за счёт проведения предварительных вычислений. Стоит отметить, что значение r не зависит от сообщения М и его хэш-значения m.

Какие виды электронной цифровой подписи наделены юридической силой

Федеральный закон «Об электронной подписи» №63-ФЗ выделяет два вида электронных подписей: простые и усиленные. Усиленные подписи бывают квалифицированные и неквалифицированные.

Простая ЭЦП.

Для создания такой подписи используются пароли, коды и другие средства. Простая электронная цифровая подпись – инструмент подтверждения подлинности электронных данных отправителем. Она считается действительной при соблюдении следующих условий:

  • электронный документ подписан ЭЦП;
  • ключ электронной подписи создан в соответствии с требованиями информационной системы, с помощью которой проводилась заверка и отправка электронных сообщений отправителем.

В нормативных и правовых документах, а также договорах участники в обязательном порядке определяют основные правила применения простой электронной цифровой подписи:

  • механизм идентификации автора подписи в электронном документе;
  • обязательное соблюдение требований конфиденциальности при использовании электронной подписи ответственными лицами;
  • выполнение требований Федерального закона №63-ФЗ в отношении использования простой электронной цифровой подписи;
  • невозможность применения ЭЦП к секретным государственным документам.

Усиленная неквалифицированная ЭП.

Для создания такой подписи используется криптографическая программа, работающая на основе ключа электронной цифровой подписи. Усиленная неквалифицированная подпись позволяет определить составителя документа, поставившего подпись, и наличие изменений в письме после его подписания. Применение неквалифицированной ЭП позволяет не использовать сертификат ключа электронной цифровой подписи (при условии соблюдения требований законодательства, других нормативных документов и договоров между отправителем и адресатом).

Усиленная квалифицированная ЭЦП.

Особенность этой разновидности электронной цифровой подписи в наличии специального ключа проверки, содержащегося в квалифицированном сертификате. Формирование и проверка усиленной квалифицированной ЭЦП происходит с помощью специальных средств электронной подписи, соответствующих требованиям Федерального закона №63-ФЗ.

Бумажные документы с рукописной подписью и электронные документы, на которых стоит усиленная квалифицированная подпись, имеют одинаковую юридическую силу (кроме случаев, признающих исключительно рукописную подпись, предусмотренных в законодательстве). Также законом допускается установление в нормативных актах и договорах между отправителем и получателем дополнительных требований к электронным документам, подписанным усиленной квалифицированной подписью.

Сравним рассмотренные виды электронной цифровой подписи по аналогии со знакомыми физическими средствами идентификации личности:

Простая ЭП похожа на бейдж – любой посторонний человек может ею воспользоваться, поэтому ответственность за сохранность данных лежит на владельце подписи.

Неквалифицированная ЭП аналогична пропуску в компании, при этом между сторонами сделки есть определённый уровень доверия.

Квалифицированная ЭП как паспорт – самый важный инструмент для идентификации, предоставляет возможность пользоваться всеми услугами.

В соответствии со ст. 7 Федерального закона «Об электронной подписи» ЭЦП, созданные по зарубежным стандартам, в Российской Федерации относятся к тому виду электронных подписей, признакам которого они соответствуют. Выдача сертификата ключа в иностранном государстве не может быть причиной непризнания юридической силы документа, на котором стоит такая подпись.

Как и где получить электронную цифровую подпись


Шаг 1. Выбор ЭП.

Для начала нужно понять, зачем вам электронная цифровая подпись. Например, вам нужен ключ для работы на сайте госуслуг. Или вы планируете сдавать отчётность во внебюджетные фонды, налоговые органы, федеральную службу по финансовому мониторингу или другие государственные и муниципальные органы. Также ЭЦП понадобится для участия в электронных аукционах или работы на электронных торговых площадках.

Шаг 2. Выбор удостоверяющего центра.

Список удостоверяющих центров, где можно получить электронную цифровую подпись, находится на сайте www.minsvyaz.ru (официальный интернет-ресурс Министерства связи и массовых коммуникаций). На главной странице сайта в разделе «Важно» есть активная ссылка «Аккредитация удостоверяющих центров», после клика по которой открывается окно, предлагающее скачать файл с актуальным перечнем аккредитованных удостоверяющих центров. По данным на 6.02.2018 г., в список входило 469 организаций.

Шаги 3 и 4. Заполнение заявки и оплата услуги.

После выбора удобного по расположению удостоверяющего центра нужно заполнить и отправить заявку на выпуск электронной цифровой подписи. Если нет возможности заполнить заявку на сайте, можно написать её вручную и передать сотрудникам в удостоверяющем центре. В заявке нужно указать Ф. И. О. получателя ЭЦП, электронный почтовый адрес и контактный телефон. Далее – оплатить услугу.

Шаг 5. Предоставление документов в удостоверяющий центр.

Одновременно с подачей заявления на создание сертификата ключа электронной цифровой подписи требуется передать определённый пакет документов.

Перечень документов для получения электронной цифровой подписи юридическими лицами

  • свидетельство о государственной регистрации юридического лица (ОГРН);
  • свидетельство о постановке на учёт в налоговом органе (ИНН);
  • выписка из ЕГРЮЛ (оригинал или нотариально заверенная копия). Требования к сроку давности выписки у разных удостоверяющих центров отличаются, но обычно это не более 6 месяцев с момента её получения;
  • страховое свидетельство государственного пенсионного страхования (СНИЛС) будущего владельца электронной цифровой подписи.

Если владельцем ЭЦП будет руководитель юридического лица, то требуется также приложить документ, подтверждающий его назначение на должность, заверенный подписью и печатью компании.

Если полномочия по владению ЭЦП планируется передать не руководителю, а сотруднику компании (уполномоченному представителю), то необходимо приложить к пакету документов доверенность о передаче соответствующих функций данному работнику, заверенную подписью и печатью компании. Если этот сотрудник будет подавать все необходимые документы и лично получать ЭЦП, то также нужно предоставить копии страниц его паспорта.

Перечень документов для индивидуальных предпринимателей (ИП)

  • заявление на выдачу электронной цифровой подписи;
  • свидетельство о государственной регистрации ИП;
  • свидетельство о постановке на учет в налоговом органе (ИНН);
  • выписка из ЕГРИП (оригинал или нотариально заверенная копия). Требования к сроку давности выписки у разных удостоверяющих центров могут не совпадать, но обычно это не более 6 месяцев с момента её получения;
  • копии страниц паспорта будущего владельца электронной цифровой подписи: с фото и с данными о прописке;
  • страховое свидетельство государственного пенсионного страхования (СНИЛС).

Если планируется, что электронную цифровую подпись для ИП будет получать уполномоченный представитель будущего владельца ЭП, то в удостоверяющий центр нужно также подать нотариально заверенную доверенность на указанного представителя.

В ситуации, когда будущий владелец электронной цифровой подписи хочет делегировать все обязанности по её получению своему уполномоченному представителю, то вместе с основным пакетом документов нужно предоставить и паспорт этого гражданина.

Шаг 6. Получение ЭП.

Для получения электронной цифровой подписи нужно предоставить в выбранный удостоверяющий центр оригиналы всех документов. После сверки информации они возвращаются владельцу ЭП.

Цена услуги по созданию электронной цифровой подписи может варьироваться в зависимости от следующих факторов:

  • вид и сфера применения ЭП;
  • особенности ценообразования в удостоверяющем центре;
  • местонахождение удостоверяющего центра.

Конечная стоимость услуги складывается из нескольких составляющих:

  • оформление и выпуск сертификата ключа электронной цифровой подписи;
  • предоставление прав на работу со специализированным программным обеспечением;
  • предоставление программ для работы с электронной цифровой подписью;
  • передача ключа защиты носителя электронной цифровой подписи;
  • техническая поддержка при работе с электронной цифровой подписью.

Например, итоговая стоимость ЭЦП для работы в электронных торгах составляет 5-7 тыс. рублей.

Срок выдачи электронной цифровой подписи может колебаться в диапазоне от часа до одной недели. Всё зависит от скорости подачи документов и оплаты услуг. В большинстве удостоверяющих центров ЭЦП изготавливают за 2-3 рабочих дня. Имейте в виду, что выписки из ЕГРЮЛ или ЕГРИП в налоговых органах выдают в течение 5 рабочих дней. Поэтому стоит получить их заблаговременно.

Срок действия электронной цифровой подписи 1 год. Поэтому ежегодно нужно её перевыпускать. Это можно сделать в любом удостоверяющем центре (не обязательно в том, где вы её получали).

Как реализуется надёжная защита электронной цифровой подписи

Одна из насущных проблем практического применения современной криптографии – обеспечение защиты информации электронной цифровой подписи, в первую очередь, ключа ЭП. Высокий уровень стойкости криптографических алгоритмов, в том числе разработанных в нашей стране, вынуждает злоумышленников красть файл электронной цифровой подписи с ключами, так как это единственный возможный способ взлома. Простой подбор ключа занимает слишком много времени и требует внушительных вычислительных ресурсов.

В соответствии с ГОСТ Р 34.10-2001 секретный ключ электронной цифровой подписи представляет собой 256 бит информации. Злоумышленники похищают эти данные из файлов пользователей, добывают из оперативной памяти или системного реестра. На теневом рынке сформировалась настоящая хакерская индустрия по производству программного обеспечения для кражи секретных ключей ЭЦП: различные трояны, руткиты, вирусы, эксплойты. Для того чтобы украсть ключ, не обязательно быть профессионалом, достаточно просто получить доступ к FLASH-носителю, на котором он хранится.

Создатели средств электронной цифровой подписи стараются обеспечить необходимую защиту секретных ключей. Есть разные методики шифрования ключа ЭЦП, хранящегося в файле. Пользователь придумывает пароль, который на основе специального алгоритма превращается в настоящий криптографический ключ шифрования. С его помощью и происходит шифрование ключевого контейнера. Минус в том, что защита такого рода может быть достаточно быстро взломана методом простого перебора паролей. Бонус для злоумышленников – неограниченное количество попыток и единственный критерий правильности (совпадение секретного и открытого ключей).

Похитить секретный ключ электронной цифровой подписи из системного реестра так же легко, как из ключевого контейнера в файле, потому что сам реестр тоже находится в файле.

Есть ещё одна сложность обеспечения безопасности хранения ключа ЭЦП. В операционной системе Windows происходит определённая «привязка» ключевого контейнера. Например, при первом подключении FLASH-носитель с ЭЦП определяется как «Съёмный диск G», а при последующей работе как «Съёмный диск K». В результате криптопровайдер не найдёт ключевые контейнеры по новому пути.

Кроме того, если секретный ключ ЭЦП находится в системном реестре, то могут возникнуть сложности с его переносом на другой компьютер.

Таким образом, обеспечение безопасного хранения ключа ЭЦП связано с множеством трудностей. Но какие последствия могут наступить в результате кражи ключевого контейнера? Рассмотрим потенциальные варианты такой гипотетической ситуации:

  1. Злоумышленники могут украсть деньги со счёта через систему дистанционного банковского обслуживания (ДБО). Доказать незаконные действия хакеров практически невозможно, ведь на всех банковских операциях стоит ваша электронная цифровая подпись.
  2. Защитная система ДБО предотвратила несанкционированные переводы денежных средств, заблокировав доступ к банковскому счёту. Деньги целы, но, возможно, важные сделки сорвались из-за несвоевременной оплаты.
  3. Ваши конкуренты украли ключ ЭЦП и поставили подпись на поддельном коммерческом предложении или конкурсной заявке. В результате вы потратите время и силы на прояснение ситуации, а ваша компания будет отстранена от электронных торгов за недобросовестность.
  4. Злоумышленники подписали с помощью похищенного ключа ЭЦП ложный отчёт, а вашу организацию оштрафовали.

Таким образом, кража ключа электронной цифровой подписи грозит вам потерей финансовых и временных ресурсов, ухудшением деловой репутации, срывом важных сделок, блокировкой банковских счетов и другими потенциальными и вполне реальными убытками. Даже если вы докажете факт кражи электронных данных, высока вероятность, что банк откажется возвращать похищенные деньги.

Хакеры могут и не рисковать и вместо похищения ключевого контейнера просто его удалить. Это приведёт к упущенным выгодам для владельца ЭЦП (недополученные доходы, срыв сделок) и непредвиденным расходам (потерянное время, оплата услуг по переоформлению ЭЦП).

Соблюдение правил информационной безопасности при использовании и хранении электронной цифровой подписи – залог бесперебойной работы всех участников электронного документооборота (банков, торговых площадок, владельцев ЭЦП, операторов по сдаче отчётности и др.).

Стоит иметь в виду, что владелец электронной подписи не должен давать свой секретный ключ другим сотрудникам компании. Ведь только он несёт ответственность за все документы, подписанные коллегами. Если есть подобная необходимость, следует сделать электронную цифровую подпись отдельно каждому сотруднику, имеющему право подписывать документы.

Мы уже говорили о небезопасности хранения ключевого контейнера в файле. Для устранения недостатков такой системы шифрования придумали отчуждаемые носители с собственной зашифрованной файловой системой, в которой располагается ключевой контейнер. В такой системе есть собственный управляющий микропроцессор, ограничивающий количество попыток взлома.

Например, в отечественной практике пользуются популярностью смарт-карты и USB-токены. Для активации секретного ключа ЭЦП пользователь вводит индивидуальный PIN-код. После нескольких некорректных попыток ввода доступ блокируется, что ограничивает возможности для взлома злоумышленниками.

В России популярны USB-токены благодаря ряду характеристик: надёжность, лёгкость использования и невысокая стоимость. Так, после выхода на рынок проекта «Рутокен-2001» было продано несколько миллионов USB-токенов этой компании. В некоторых сферах (например, при сдаче налоговой отчётности и в электронных торгах) Рутокены считаются стандартом безопасного хранения ключевых контейнеров.

Усовершенствованная вариация технологии USB-токенов работает на криптографических алгоритмах сразу «на борту» носителя. Секретный ключ не загружается в оперативную память компьютера, что исключает возможность его кражи вредоносными программами напрямую из компьютерной памяти. Такая технология активно используется в различных финансовых организациях, в частности, в системах ДБО организаций, где потенциальные убытки от кражи секретного ключа электронной цифровой подписи особенно высоки.

Как осуществляется проверка подлинности электронной цифровой подписи

Проверка электронной цифровой подписи проводится с помощью открытых онлайн-сервисов и специализированных программ. Результаты проверки позволяют выяснить, кто подписал электронный документ, провести аутентификацию подписи, выявить несанкционированные изменения в сообщении.

Многие современные информационные системы проверяют подлинность электронной цифровой подписи автоматически. Так, на сайте Росреестра (rosreestr.ru) можно легко определить подлинность ЭЦП на документе, полученном в ответ на запрос пользователя. Для этого нужно загрузить полученный файл с расширением *.sig в специальный сервис сайта и кликнуть по кнопке.

Схожие инструменты проверки можно найти и в других информационных системах, например, на электронных торговых площадках. Удостоверяющие центры также предоставляют пользователям сервисы для проверки подлинности ЭЦП. Кроме того, заинтересованные они могут провести эту процедуру самостоятельно с помощью специализированных программ.

В ходе проверки электронного документа сравнивается стоящая на нём электронная цифровая подпись, ключ ЭЦП, полученный от отправителя, и сертификат КЭП. Если адресат электронного письма не зарегистрирован ни в одном из действующих удостоверяющих центров, он может проверить подлинность ЭЦП самостоятельно:

  1. В открытых онлайн-сервисах, таких как КонтурКрипто и др.
  2. Установить на личном или рабочем компьютере программу КриптоПро CSP и скачать в неё базу сертификатов из публичных справочников удостоверяющих центров.
  3. На сайте www.gosuslugi.ru/pgu/eds можно проверить электронную цифровую подпись, выданную только УЦ, прошедшими государственную аккредитацию.
  4. Самый сложный способ – если у вас есть профессиональные знания и навыки, то вычислите хеш-функции на основе алгоритма шифрования.

Рассмотрим подробнее первые три способа, так как они более доступны для пользователей без компьютерного образования.

Проверка на КриптоПро CSP.

На официальном сайте разработчика можно скачать демо-версию программы и бесплатно пользоваться ей в течение двух недель, а потом купить полную версию. КриптоПро CSP позволяет не только проверять ЭЦП в электронных документах, но и подписывать собственные файлы, созданные в MS Word. После установки программы в выпадающем меню можно выбрать необходимое действие.

В дальнейшем КриптоПро CSP будет самостоятельно проводить проверку подписей во всех открытых документах, заверенных ЭЦП. В случае успешного результата пользователь увидит всплывающее окно

Если в ходе проверки программа предупредит, что сертификат полученного электронного документа невозможно проследить до корневого каталога, то пользователю следует переместить его в хранилище

Проверка электронной цифровой подписи на Портале госуслуг.

На сайте gosuslugi.ru можно легко проверить как собственную, так и полученную от отправителя в электронном документе квалифицированную ЭП и её сертификат. Онлайн-сервис сайта работает как с файлами с расширением *.sig, так и с текстовыми документами, в тело которых встроена ЭЦП.

Если сертификат и ЭП прошли проверку, то появляется сообщение «Действителен». Если нет, то сервис раскрывает причину: «Сертификат отозван» или «Не удалось проверить».

С помощью данного сервиса можно легко проверить и КЭП. Проверка в обоих случаях проходит в отношении только квалифицированных подписей, так как их сертификаты ключей находятся в открытых реестрах удостоверяющих центров. Вероятность того, что на документе будет недействительная электронная цифровая подпись, крайне низка, поскольку удостоверяющие центры следят за сроками действия их сертификатов.

Причины некорректной работы электронной цифровой подписи, и как их устранить

У большинства пользователей на электронных торговых площадках возникают трудности из-за некорректной работы электронной цифровой подписи. Подобные проблемы могут возникнуть в самый неподходящий момент, например, в ходе торгов, что приведёт к нежелательным результатам:

  • заявка на участие в конкурсе не будет вовремя подана;
  • участник проиграет электронный аукцион;
  • контракт на оказание услуг государственным органам не будет подписан.

Типичные трудности при работе с электронной цифровой подписью:

  1. На электронной торговой площадке не видно сертификата участника закупки.
  2. Нет технической возможности поставить подпись на электронном документе.
  3. При попытке входа на электронную площадку пользователь получает сообщение об ошибке.

На практике встречаются и другие проблемы, но мы рассмотрим способы решения самых популярных из них.

Сертификат ключа подписи не виден на площадке при попытке входа в систему.

Это может быть связано с одновременным действием нескольких факторов:

  • сертификат ключа ЭЦП настроен неверно;
  • интернет-браузер работает некорректно;
  • нет корневого сертификата УЦ.

Как решить проблему?

Для начала проверьте, что установка открытой части сертификата на компьютере через программу КриптоПро прошла правильно. Также убедитесь, что ваша операционная система поддерживает версию программного обеспечения, установленного на компьютере. Далее в настройках браузера добавьте электронные адреса торговых площадок в категорию надёжных, включив все элементы ActiveX. И в конце проведите установку корневого сертификата УЦ, выдавшего ЭЦП, в доверенные корневые центры сертификации.

Электронная подпись выдаёт ошибку при подписании документов.

Такая проблема может возникать по следующим причинам:

  • у вашей версии КриптоПро закончилась лицензия;
  • вы вставили носитель с другим сертификатом.

Как это исправить?

Получите новую лицензию в УЦ, откройте программу КриптоПро на вашем компьютере и введите данные лицензии.

Если дело в носителе ЭЦП, то проверьте все закрытые контейнеры в USB-разъемах и правильность загрузки требуемого сертификата.

Система выдаёт ошибку при входе на электронную площадку.

Корни этой проблемы могут лежать в ранее рассмотренных причинах. Обычно трудности возникают из-за некорректной установки библиотеки Capicom. Для устранения проблемы проверьте, установлена ли эта библиотека на вашем компьютере и скопированы ли два системных файла с расширением.dll в одну из папок Windows, при использовании 64-разрядной системы.

Предварительное изучение инструкции по установке и настройке электронной цифровой подписи поможет избежать описанных проблемных ситуаций. Если у вас всё равно возникают сложности при работе с ЭЦП, вы можете обратиться к профессионалам нашей компании.

В настоящее время электронная цифровая подпись широко применяется и используется, как во внутреннем документообороте компаний, так и при передаче документов в государственные органы, например, в налоговую. Кроме того, электронная цифровая подпись активно применяется в госзаказе, как заказчиками, так и поставщиками. В статье ознакомимся с историей возникновения электронной подписи, рассмотрим, как выглядит электронная подпись, ее применение и практику использования.

1. История электронной подписи

Тридцать лет назад в 1976 году Уитфрид Диффи и его соавтор, стэнфордский профессор Мартин Хеллман, положили начало криптографии с открытым ключом, в основу которого входит алгоритм обмена ключами. Он возник на основе идеи передачи информации от одного субъекта другому субъекту так, чтобы посторонние субъекты получив доступ к ней не могли ее понять. До нашего времени технология претерпела изменения, даже то как выглядит электронная цифровая подпись. Но с момента публикации их исследований началось использование электронно-цифровой подписи (ЭЦП). В Россию электронная подпись как технология пришла в начале 90-ых и была введена в 1995 году. Эти изменения были внесены в Гражданский кодекс РФ. Где статье 160 пункте 2 предусматривалось использование электронной подписи при оформлении сделок, как аналогов собственноручной подписи (АСП).

Данная технологи защиты стала интересна нашим отечественным банкам. В числе первых был Центральный банк России, помимо других кредитных организаций. Электронная цифровая подпись нашла применение для защиты информационных систем в таких организациях, позволяющая безопасно передавать данные, к примеру в системах «банк-клиент». До 2002 года защита передачи информации была основной целью использования электронной подписи.

2. Юридическая значимость электронной цифровой подписи.

По мере значительного расширения проблемы защиты информационного пространства и использования для этого электронной подписи был разработан соответствующий закон «Об электронной подписи» № 63-ФЗ от 06.04.2011 года, который бы регулировал работу с шифрованием данных и расширил область применения электронной подписи. Это дало возможность создания электронного документооборота.

Использование электронной подписи регулируются государством на федеральном уровне с помощью двух законов ФЗ-№1 и ФЗ-№63, которые помогают решать споры в гражданско-правовых отношениях.

Законопроект был принят, так как Гражданский кодекс только давал разрешение на использование электронной подписи, как аналога собственноручной подписи со значительными ограничениями. Этот закон также регулировал разрешение судебных споров, поскольку до этого это было затруднительно из-за отсутствия органов, отвечающих за подлинность при использовании электронной подписи. Хотя ранее и были судебные разбирательства, в которых в качестве доказательства фигурировал машинный документ (дело 1979 года о компьютерном хищении 78 тыс. 584 рублей в Вильнюсе). Потом был судебный процесс в 1982 году в городе Горьком (дело о хищении в крупном размере).

Самым главным сдвигом в принятии закона об ЭЦП стало юридическое принятие электронного документа как равноправного документу бумажному. В США закон о применении цифровой электронной подписи был принят в 1995 году в штате Юта.

Федеральный закон об ЭЦП имеет недоработки в формулировках. Они увеличивают риск использования электронной подписи, поэтому необходима детализация и более точно расписанные условия соглашений. Тому примером служит статья 4 закона об ЭЦП, которая назначает три условия равнозначности собственноручной подписи. Одно из них очень противоречиво, так как указывает на то, что сертификат действует на момент подписи или на момент проверки. Такая двусмысленность толкования требует дополнительных разъяснений. Хотя любой закон вызывает претензии, закон об ЭЦП не является исключением. Эти недоработки организаторы ИС сегодня успешно возмещают на уровне соглашений сторон. Основной недостаток этого закона состоит в том, что он не является законом прямого действия.

В России, когда принимался закон об ЭЦП, у разработчиков были определенные сложности. Все сертифицированные средства криптографической защиты информации были не совместимы друг с другом. Причем данная проблема до возникновения удостоверяющих центров была не столь остра, как после их появления. Часто сертификат, выданный одним удостоверяющим центром, не распознавался другим удостоверяющим центром.

Данную проблему частично решили подписанием соглашения, в котором говорилось, что формат зашифрованных сообщений и открытой части ключа будет разрабатываться ООО «Крипто-Про». Соглашение подписали непосредственно ООО «Крипто-Про», ФГУП НТЦ «Атлас», ООО «Фактор-ТС», ОАО «Инфотекс» и ЗАО «МО ПНИЭИ». Так проблема была решена отчасти, но она не исчезла полностью, хотя большинство разработчиков электронной подписи России формально или официально примкнули к данному соглашению.

3. Понятие и определение электронно-цифровой подписи. Использование электронной подписи

Электронная цифровая подпись (сокращенно ЭП) - это особый эталон атрибута документа, исключающий деструкцию данных передаваемых в электронном документе, с момента комплектации ЭП и подтверждает отношение ЭП такому владельцу. Содержание атрибута формируется с помощью криптографического преобразования данных.

Сертификат электронной цифровой подписи - атрибут, доказывающий отношение открытого ключа (ключа который проверяется) ЭП владельцу сертификата.

Выдаются сертификаты удостоверяющими центрами (УЦ) или их доверенными представителями.

Владелец сертификата ЭП, как правило, физическое лицо, на которого оформлен сертификат ЭП в удостоверяющем центре независимо от органиционно-правовой формы организации. У такого физического лица на электронном носителе сертификат включает в себя два ключа ЭП: закрытый и открытый.

Закрытый ключ электронной цифровой подписи (ключ ЭП) производит саму генерацию электронной подписи, которой будет подписан электронный документ.

Электронно-цифровая подпись формируется путем шифрования информации, находящейся в документе. Она представляет уникальную последовательность символов и располагается в теле подписанного файла, либо прилагается к нему.

Организация или владелец, приобретая сертификат должны обеспечить его безопасность, и обязан оберегать от кражи закрытый ключ.

Открытый ключ электронной цифровой подписи (ключ проверки ЭП) и закрытый ключ ЭП между собой связаны. Закрытый ключ предназначен для проверки подлинности ЭП.

Для этого были разработаны носители для ЭЦП с зашифрованной файловой системой. Он имеет ключевой контейнер, который ограничивает количество попыток расшифрования файловой системы и самого контейнера. Для этого активно используются смарт-карты и USB-токены. Для того чтобы начать пользоваться таким устройством нужно подключить устройство к компьютеру и ввести личный PIN-код. У ввода такого PIN-кода ограниченное количество ввода (как правило три), после того как попытки исчерпаны устройство блокируется.

Высокий уровень защиты закрытого ключа на данный момент обеспечивают Aladdin e-Token» и «Rutoken. Взаимодействие с закрытым ключом происходит на чипе хранилища устройства, т.е. ключ никогда его не покидает. Это исключает перехват ключа из оперативной памяти.

4. Квалифицированная и неквалифицированная электронная цифровая подпись и их разновидности

Простая электронная цифровая подпись - принадлежит физическому лицу для подтверждения подписания документов. Но отсутствует возможность определения факта изменения самого электронного документа, т.е. его содержимого. Она предназначена для электронного документооборота внутри компании.

Усиленная электронная цифровая подпись - такая подпись после редакций в законе об электронной подписи стала иметь разновидности.

Усиленная неквалифированная электронная цифровая подпись - функция данной усиленной неквалифицированной электронной цифровой подписи идентифицировать отправителя. Такую электронную подпись можно получить даже в неаккредитованных центрах. Документы, подписанные с использованием электронной подписи, приравниваются к документам в бумажной форме, подписанным собственноручно.

Усиленная квалифицированная подпись - данная подпись применяет наивысшую степень защиты, так как формируется средствами криптозащиты, которые могут применять удостоверяющие центры с лицензией ФСБ либо само ФСБ.

Параметры подписи

Простая электронная цифровая подпись

Усиленная неквалифированная подпись

Усиленная квалифицированная подпись

Образуется на основе кодов, паролей и др.

Образуется на основе криптографического изменения данных документа с использованием ключа электронной цифровой подписи

Присутствует возможность идентификации владельца документа

Присутствует возможность установления факта изменений в электронных документах после их подписания

Предельная степень защиты-ключ проверки электронной цифровой подписи находится в квалифицированном сертификате

5. Как выглядит электронная подпись и носители для нее?

Электронный идентификатор Rutoken — это устройство, направленное на авторизацию владельца и на защиту электронной переписки. Выглядит электронная подпись на таком носителе как USB-брелок (флешка).

eToken - это защищенное устройство, поддерживающее работу и интеграцию со всеми основными системами и приложениями, смарт-карт или USB-ключа.

Сама электронная цифровая подпись выглядит либо как значок, либо как изображение печати. Просмотреть сертификат и как выглядит электронная подпись можно в свойствах обозревателя.

Перед тем как подписать документ WORD или письмо почтового сервера необходимо установить ЭЦП на компьютер. После этого можно подписывать документ.

Например, если есть необходимость в отправке письма с применением электронной подписи, то после установки необходимо зайти >файл > подготовить> добавить цифровую подпись или > добавить цифровую подпись (КРИПТО-ПРО)

Применяя электронную подпись, для ее визуализации можно добавить изображение печати, либо своей подписи.

После подписания документа в самом низу появится значок. Вот так будет выглядеть электронная подпись в документе WORD.

Электронную подпись можно добавить в почтовые клиенты и в Adobe Acrobat Pro для подписания PDF-файлов.

В Microsoft Outlook - подписание электронной подписью будет выглядеть так.

Для добавления электронной подписи в приложения возможно понадобиться установка дополнительного программного обеспечения, например, КриптоПро Office Signature. Это для версий WORD выше 7ой и для Adobe Acrobat Pro. Подписание документа pdf с использованием электронной подписью выглядит так:

А вот так выглядит электронная подпись Налоговой инспекции. Как правило, с ней можно столкнуться, получая выписки из ЕГРЮЛ в электронном виде. Банки используют похожие электронные подписи.

6. Где можно применить электронную подпись?

На данный момент существует много вариантов использования электронной подписи.

Например, электронную подпись используют при электронном документообороте, как внутреннем, так и внешнем. При внутреннем документообороте документы мигрируют внутри организации. Это, к примеру, приказы и распоряжения, с которыми сотрудникам необходимо ознакомиться и завизировать свое ознакомление.

При внешнем документообороте документы мигрируют между компаниями. Например, передаются документы с использованием электронной подписи в системах В2В или В2С.

Если необходимо предоставить отчетность в контролирующие органы, либо для возможности пользования Клиент-Банком, также используется электронная подпись. Физические лица для получения полноценной услуги на сайте Госуслуги также должны приобрести ЭЦП.

Цифровая подпись

Электро́нная цифрова́я по́дпись (ЭЦП )- реквизит электронного документа , предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.

Общая схема

Схема электронной подписи обычно включает в себя:

  • алгоритм генерации ключевых пар пользователя;
  • функцию вычисления подписи;
  • функцию проверки подписи.

Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. В зависимости от алгоритма функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным. Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.
В настоящее время детерминированные схемы практически не используются. Даже в изначально детерминированные алгоритмы сейчас внесены модификации, превращающие их в вероятностные (так, в алгоритм подписи PKCS#1 добавила предварительное преобразование данных (OAEP), включающее в себя, среди прочего, зашумление).

Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.

Поскольку подписываемые документы - переменной (и достаточно большой) длины, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш . Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.

Алгоритмы ЭЦП делятся на два больших класса: обычные цифровые подписи и цифровые подписи с восстановлением документа. Обычные цифровые подписи необходимо пристыковывать к подписываемому документу. К этому классу относятся, например, алгоритмы, основанные на эллиптических кривых (ГОСТ Р 34.10-2001, ДСТУ 4145-2002). Цифровые подписи с восстановлением документа содержат в себе подписываемый документ: в процессе проверки подписи автоматически вычисляется и тело документа. К этому классу относится один из самых популярных алгоритмов - код аутентичности сообщения, несмотря на схожесть решаемых задач (обеспечение целостности документа и неотказуемости авторства). Алгоритмы ЭЦП относятся к классу асимметричных алгоритмов, в то время как коды аутентичности вычисляются по симметричным схемам.

Защищённость

Цифровая подпись обеспечивает:

  • Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
  • Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.
  • Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
  • Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;
  • Организацию юридически значимого электронного документооборота.

Возможные атаки на ЭЦП таковы…

Подделка подписи

Получение фальшивой подписи, не имея секретного ключа - задача практически нерешаемая даже для очень слабых шифров и хэшей.

Подделка документа (коллизия первого рода)

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

  • Документ представляет из себя осмысленный текст.
  • Текст документа оформлен по установленной форме.
  • Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

  • Случайный набор байт должен подойти под сложно структурированный формат файла.
  • То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
  • Текст должен быть осмысленным, грамотным и соответствующий теме документа.

Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.

Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма - килобайты.

Получение двух документов с одинаковой подписью (коллизия второго рода)

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования

Социальные атаки

Социальные атаки направлены на «слабое звено» криптосистемы - человека.

  • Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
  • Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.
  • Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

Алгоритмы ЭЦП

  • Американские стандарты электронной цифровой подписи: ECDSA
  • Российские стандарты электронной цифровой подписи: ГОСТ Р 34.10-94 (в настоящее время не действует), ГОСТ Р 34.10-2001
  • Украинский стандарт электронной цифровой подписи: ДСТУ 4145-2002
  • Стандарт RSA
  • схема Шнорра

Управление ключами

Юридические аспекты

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр . Правовые условия использования электронной цифровой подписи в электронных документах регламентирует ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 10.01.2002 N 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

Использование ЭЦП в России

После становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного ДОУ между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам Российской Федерации от 2 апреля 2002 г. N БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи» . Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи определяет общие принципы организации информационного обмена при представлении налогоплательщиками налоговой декларации в электронном виде по телекоммуникационным каналам связи.

В Законе РФ от 10.01.2002 № 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» прописаны условия использования электронной цифровой подписи, особенности ее использования в сферах государственоого управления и в корпоративной информационной системе. Благодаря электронной цифровой подписи теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли» , обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.

В Москве в рамках реализации ГЦП (Городской целевой программы) "Электронная Москва" был образован Уполномоченный удостоверяющий Центр ОАО "Электронная Москва" (http://www.uc-em.ru) для решения задач координации работ и привлечения инвестиций при выполнении Городской целевой программы.

Использование ЭЦП в других странах

Система электронных подписей широко используется в Эстонской Республике , где введена программа ID-карт, которыми снабжены 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент - Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Все это осуществляется через центральный гражданский портал Eesti.ee . Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии.

Примечания

Федеральный закон №149 - ФЗ от 27 июля 2006г. "Об информации, информационных технологиях и о защите информации" - http://uc-em.ru/download/02.doc

Федеральный закон № 126 - ФЗ от 07 июля 2003г. "О связи" - http://uc-em.ru/download/03.doc

Постановление Правительства РФ №319 от 30 июня 2004г. "Об утверждении Положения о Федеральном агентстве по информационным технологиям" - http://uc-em.ru/download/05.doc

Постановление Правительства Москвы №495 - ПП от 19 июня 2007г. "Об утверждении Положения о Головном удостоверяющем центре города Москвы" - http://uc-em.ru/download/06.doc

Постановление Правительства Москвы №249 - ПП от 10 апреля 2007г. "Об утверждении порядка работы органов исполнительной власти города Москвы, государственных учреждений и государственных унитарных предприятий города Москвы с электронными документами, подписанными электронной цифровой подписью" - http://uc-em.ru/download/07.doc

Постановление Правительства Москвы №997 - ПП от 19 декабря 2006г. "Об утверждении порядка использования электронной цифровой подписи органами исполнительной власти города Москвы и государственными заказчиками при размещении государственного заказа города Москвы" - http://uc-em.ru/download/08.doc

Постановление Правительства Москвы №544 - ПП "Об утверждении Положения о Системе уполномоченных удостоверяющих центров органов исполнительной власти города Москвы" - http://uc-em.ru/download/09.doc

Постановление Правительства Москвы №450 - ПП от 6 июля 2004г. "О дополнительных мерах по обеспечению эффективного использования бюджетных средств при формировании, размещении и исполнении городского государственного заказа и создании Единого реестра контрактов и торгов города Москвы" - http://uc-em.ru/download/10.doc

Постановление Правительства Москвы №299-ПП от 11 мая 2004г. "Об утверждении Положения о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти города Москвы" - http://uc-em.ru/download/11.doc

Постановление Правительства Москвы №1079-ПП от 30 декабря 2003г. "Об уполномоченном органе в области использования электронной цифровой подписи в информационных системах органов исполнительной власти города Москвы" - http://uc-em.ru/download/12.doc

Об определении уполномоченных удостоверяющих центров - http://uc-em.ru/download/14.doc

Ссылки

  • www.ECM-Journal.ru - Блоги и статьи. Просто об электронном документообороте

См. также

  • Обычная подпись
  • Быстрая цифровая подпись

Wikimedia Foundation . 2010 .

  • Цифровая пропасть
  • Цифран

Смотреть что такое "Цифровая подпись" в других словарях:

    цифровая подпись - ЦПД Данные, добавленные к блоку данных, или криптографическое преобразование блока данных, которое позволяет получателю данных удостовериться в происхождении и целостности блока данных и обеспечить защиту от мошенничества, например, получателем.… … Справочник технического переводчика

    цифровая подпись - 3.25 цифровая подпись (digital signature): Криптографическое преобразование, которое, будучи связано с элементом данных, обеспечивает услуги по аутентификации источника, целостности данных и неотказуемости подписавшей стороны. … … Словарь-справочник терминов нормативно-технической документации - числовое значение, вычисляемое по тексту сообщения с помощью секретного ключа отправителя, а проверяемое открытым ключом, соответствующим секретному ключу отправителя. Удостоверяет, что документ исходит от того лица, чья цифровая подпись… … Толковый словарь по информационному обществу и новой экономике

    Электронная цифровая подпись - Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии. Электронная подпись (ЭП) информация в электронной форме, присоединенная к другой информации в электронной… … Википедия

    ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ - (ЭЦП, цифровая подпись, электронная подпись, англ. digital signature), криптографическое средство, аналог подписи, позволяющий подтвердить подлинность электронного документа, созданного с помощью компьютера (см. КОМПЬЮТЕР). ЭЦП представляет… … Энциклопедический словарь, О. Н. Герман, Ю. В. Нестеренко. Учебник создан в соответствии с Федеральным государственным образовательным стандартом по направлениям подготовки `Информационная безопасность` и `Математика` (квалификация `бакалавр`). В…

  • Директор информационной службы №07/2017 , Открытые системы. «Директор информационной службы» (CIO.ru) – журнал для менеджеров, отвечающих за идеологию, стратегию и реализацию информационной поддержки бизнеса, руководителей ИТ-подразделений предприятий… Купить за 629 руб электронная книга