Електронний підпис на документі забезпечує. Що таке електронний підпис (ЕЦП)? Функції електронного підпису

Електронний підпис – це атрибут електронного документа, який дозволяє встановити авторство та незмінність після підписання. Залежно від свого виду електронний підпис може бути повністю рівнозначним рукописним і забезпечує підписаним файлам юридичну силу.

Функції електронного підпису

Підписувати будь-які файли електронним підписом можуть і юридичні та фізичні особи. Електронний підпис:

  • ідентифікує автора,
  • дозволяє визначити, чи вносилися зміни до документа після його підписання,
  • захищає документ від підробки та несанкціонованого перегляду.

У Росії використовується три види підпису.

Простий електронний підпис, або ПЕП

Простий підпис - це знайома багатьом пара логін-пароль Особистих кабінетахСМС-код, коди на скретч-картах. Такий підпис підтверджує авторство, але не гарантує незмінність документа після підписання, отже не гарантує його юридичну значущість. Простий електронний підпис найчастіше застосовується для отримання Держпослуг, при банківських транзакціях, автентифікації на сайтах.

Некваліфікований електронний підпис, або НЕП

За рахунок криптографічних алгоритмів НЕП не тільки дозволяє визначити автора підписаного документа, а й довести незмінність інформації, що міститься в ньому. Некваліфікований підпис потрібно отримувати в центрах, що засвідчують, на спеціальному ключовому носії — токені.

НЕП підійде для електронного документообігу всередині компанії та із зовнішніми контрагентами. Тільки в цьому випадку сторонам потрібно укласти між собою угоду про взаємне визнання юридичної сили підписів.

Кваліфікований електронний підпис, або КЕП

Так само, як НЕП, кваліфікований підпис створюється за допомогою криптографічних алгоритмів, але відрізняється у наступному:

  • видавати КЕП може лише акредитований Мінкомзв'язку Росії, що посвідчує центр,
  • має бути сертифіковано Федеральною службою безпеки.

Кваліфікований електронний підпис наділяє документи юридичною силою та відповідає всім вимогам щодо захисту конфіденційної інформації.

Має найширше застосування та використовується:

  • для подання звітності до контролюючих органів,
  • для участі в електронних торгах по 44-ФЗ компаній з держучастю як постачальник,
  • для електронного документообігу, що має юридичну чинність без додаткових угод між учасниками,
  • для організації та участі у закупівлях з 223-ФЗ,
  • для роботи з державними інформаційними системами (наприклад, на порталах Росреєстру, ФСТ, ФМС, в системах СМЕВ, ГІС ГМП, ГІС ЖКГ, АС АКОТ, подання відомостей на портал ЄРФСБ, ЄФРСФДЮЛ, для взаємодії з ФДІС Росакредитація та ін.).

Деякі торгові майданчики вимагають, щоб кваліфікований сертифікат містив об'єктний ідентифікатор (OID). Щоб працювати на ЕТП B2B-Center, Газпромбанк, Фабрикант, u-Tender, Центр реалізації або в секції Роснафти на ПЕК-Торг, доведеться докупити окремий OID для кожного майданчика.

Вітаю! У цій статті ми розповімо про електронний цифровий підпис.

Сьогодні ви дізнаєтесь:

  1. Що являє собою ЕЦП та в яких сферах її можна застосувати;
  2. Про юридичну силу підпису такого формату;
  3. Про переваги, що дає її наявність.

ЕЦП із певного часу є інструментом, завдяки якому спрощується рух документації. Причому відбувається це усередині компанії, а й її межами. Як стати її власником, розглянемо сьогодні.

ЕЦП - що це таке простими словами

Всім відомо, що будь-який документ підписує особа, яка має такі повноваження. Робиться це для того, щоб надати документу юридичної сили. Завдяки сучасним технологіям, весь документообіг перетворюється на електронний вигляд. Причому це виявилося надзвичайно зручним!

Що ж таке ЕЦП простою мовою?

ЕЦПце аналогія звичайного підпису, який застосовують надати юридичну силу документації, що знаходиться на електронному носії.

Зберігають її зазвичай на флеш-накопичувачі.

Переваги:

  1. Спрощує та прискорює процес обміну даними (коли ведеться співпраця із закордонними компаніями);
  2. Скорочення витрат, пов'язаних із документообігом;
  3. Підвищення рівня безпеки для інформації, що має комерційний характер.

Терміни, пов'язані з ЕЦП

З цим поняттям тісно пов'язані два інші: ключі сертифікат електронного підпису.Сертифікат підтверджує, що ЕП належить конкретній особі. Він буває посиленим та звичайним. Посилений сертифікат видається або центром, що засвідчує, або ФСБ.

Ключ – це символи, що у послідовності. Зазвичай вони використовуються парою. Перший – це сам підпис, інший підтверджує, що він справжній. Для підпису кожного новоствореного документа формується новий ключ.

Інформація, яку отримують в УЦ – це не ЕЦП, це засіб, щоб її створити.

Трохи історії

Перші ЕП почали використовувати у Росії 1994 року. А закон про регулювання їх застосування був прийнятий у 2002 році. Він був вкрай розпливчастим і неоднозначно тлумачив термінологію. Питання отримання підпису також у ньому практично не висвітлювалося.

Починаючи з 2011 року, на електронний документообіг перейшли державні структури. А всі посадовці отримали ЕЦП.

У 2012 році цей процес набув глобальних масштабів і завдяки цьому ми зараз можемо стати володарями універсальних сучасних підписів.

Як отримати електронний цифровий підпис

Розглянемо ситуацію, за якої особа оцінила всі плюси цього інструменту та прийнято рішення отримати ЕЦП. А отже, постало питання: що потрібно для цього зробити? Поговоримо про це детальніше.

Щоб отримати електронний цифровий підпис, потрібно пройти кілька важливих ступенів:

  • Визначитись з видом підпису;
  • Вибрати центр, що засвідчує;
  • Заповнити заявку;
  • Сплатити виставлений рахунок;
  • Зібрати потрібний пакет документації;
  • Отримати ЕЦП.

Тепер кожен крок докладно обговоримо.

Крок 1. Виберіть тип підпису, який максимально підходить вам.

За останній період часу збільшилася кількість тих, хто хоче отримати посилений електронний підпис. На думку ряду експертів, прості ЕЦП незабаром припинять своє існування повністю.

Подаємо у вигляді таблиці, в яких сферах застосовуються різні видипідписів.

№ п/п Де застосовують Простий вигляд Некваліфікований Кваліфікований
1 Ведення внутрішнього документообігу в невеликих компаніяхзустрічається так так
2 Ведення зовнішнього документообігу вже рідко так так
3 В Арбітражному Суді так так так
4 При зверненні на сайт Держпослуг так ні так
5 У контролюючих органах ні ні так
6 Під час проведення електронних торгів ні ні так

Крок 2 Вибираємо центр, що засвідчує.

Якщо ЕЦП потрібно отримати, щоб складати звіти, вибирайте кваліфіковану, а якщо просто вести документообіг, то просту.

Уточнимо, що УЦ є юрособою, мета роботи якої – формування та видача ЕЦП.

Крім цього, УЦ здійснює таку діяльність:

  • Підтверджує, що підпис є достовірним;
  • При необхідності блокує ЕЦП;
  • Є посередником, якщо раптом виникає конфліктна ситуація;
  • Надає технічну підтримку;
  • Надає необхідне програмне забезпечення клієнтам.

У Росії близько 100 УЦ. Краще вибрати той, який підходить за вашим місцезнаходженням та можливостями. Попередньо можна уточнити, чи є такі у вашому місті. Зробити це просто: достатньо переглянути інформацію на офіційному сайті.

Крок 3. Оформлюємо заявку.

Для цього або відвідуємо офіс центру або заповнюємо її в режимі онлайн. Віддалений спосіб дозволяє уникнути особистого відвідування УЦ, тобто заощадити деяку кількість часу.

Як тільки надсилання заявки буде завершено, з клієнтом зв'язується спеціаліст УЦ, щоб уточнити зазначені в ній дані. Йому можна поставити запитання та отримати консультацію.

Крок 4. Оплачуємо.

Сплатити послугу доведеться заздалегідь. Як тільки заявку буде прийнято, всі деталі узгоджені, клієнту виставляється рахунок. Вартість може змінюватись, оскільки вона залежить від регіону, де проживає клієнт, від самої компанії і від того, яку ЕЦП ви хочете отримати.

Причому розкид цін досить великий – від 1500 до 8000 рублів.

Документи для ЕЦП

При збиранні документів важливим нюансомє наступний: ЕЦП потрібна для фізичної особи, ЕЦП для юридичного лицяабо для ІП. Тому характеризуватимемо документацію окремо.

Для отримання підпису фізособи мають зібрати наступний набір документації:

  • Заповнений бланк заяви;
  • Паспорт із ксерокопією;
  • СНІЛЗ;
  • Квитанцію, що підтверджує оплату рахунку.

Якщо одержувач має довірену особу, подачею документів може зайнятися вона. Єдине, потрібна довіреність на вчинення таких дій.

Юрособам потрібно підготувати:

  • Заповнена заява;
  • Свид-во ОГРН;
  • Свид-во ІПН;
  • (не прострочену);
  • Паспорт із копією тієї особи, яка використовуватиме ЕЦП;
  • квитанцію про оплату;
  • СНІЛС особи, яка використовуватиме ЕЦП;
  • Якщо підпис використовуватиме директор, потрібно надати наказ, на підставі якого він обіймає цю посаду;
  • Для інших працівників потрібні доручення, щоб вони могли використовувати ЕЦП.

ІП надають:

  • Заповнена заява;
  • Свид-во ОГРНІП;
  • Свид-во ІПН;
  • Витяг з реєстру підприємців, якому не більше 6 місяців (можна копію);
  • Квитанцію, яка підтвердить оплату.

Якщо заявку було подано віддалено, потрібні документинаправляють в УЦ поштою, якщо особисто – разом із заявкою.

Електронний підпис для фізичних осіб

Для фізосіб є 2 типи підписів: кваліфікований та некваліфікований. Процедура отримання, якщо порівнювати з юросібами, набагато простіше.

Приватні особи зазвичай використовують ЕП, щоб підписувати деякі папери.

Зараз для її застосування розроблено такі системи, як:

  • Єдиний портал державних послуг;
  • Мережа ЕСІА для отримання різних відомостей.

Для ЕСІА достатньо простого типуЕП, а для порталу держпослуг використовується кваліфікована.

Щоб отримати ЕЦП, громадянин також звертається до УЦ, з усіма документами та заявою. Також при собі потрібно мати флеш-накопичувач, на який запишуть закриту частину ключа, відому лише власнику.

Процедура виглядає так:

  • Звернутися до УЦ по сертифікат і щоб отримати ключ ЕЦП;
  • Підібрати пароль;
  • Заповнення бланків для отримання ключів;
  • Подання всіх документів;
  • Отримуйте сертифікат на ключі.

Електронний підпис для юридичних осіб

Алгоритм отримання практично не відрізняється від отримання підпису фізособою. Так само вибирається УЦ, збираються всі необхідні документи, оплачується виставлений рахунок. Єдине, не слід забувати, що виписка з ЄДРЮЛ має бути отримана вчасно, оскільки процес її підготовки займає близько 5 днів.

Хеш-функція: навіщо потрібна

Хеш-функція є унікальним числом, яке одержують із документа, перетворивши його за допомогою алгоритму.

Вона має підвищеною чутливістюдо різного роду спотворень документа, якщо зміниться хоча б один знак у первісному документі, спотвориться більшість знаків хеш-значення.

Хеш-функція влаштована так, що за її значенням вихідний документ відновити неможливо, також не можна знайти 2 різних електронних документи, у яких те саме хеш-значення.

Для формування ЕЦП відправник обчислює хеш-функцію документа та шифрує її за допомогою секретного ключа.

Говорячи простими словамивона призначена для спрощення обміну даними між користувачами. Це ключовий інструмент захисту даних.

Файл, що підписується, проходить процедуру хешування. А одержувач зможе впевнитись у справжності документа.

Юридична сила ЕЦП

ЕЦП володіє рівною юридичною силою зі звичайним підписом у паперовому варіанті документа, у разі якщо вона наносилася без порушень. Якщо ж було виявлено відхилення, документ сили не має. Держава регулює процес використання ЕЦП Федеральним законодавством.

Термін дії ЕЦП

ЕЦП дійсна протягом 12 місяців з того дня, коли вона була отримана.Щойно цей термін закінчується, її продовжують чи отримують іншу.

Підведемо підсумки. Використання ЕЦП найбільшу вигоду приносить великим компаніям та підприємствам. Завдяки їй здешевлюється документообіг, відкриваються широкі обрії для бізнесу.

Простим громадянам мати нею також вигідно. Не треба стояти у чергах, замовляти держ. послуги можна не виходячи із дому. ЕЦП – сучасний, зручний та вигідний інструмент.

Електронний цифровий підпис – основа електронного документообігу із застосуванням сучасних інформаційних технологій. Вона є невід'ємною частиною роботи таких проектів, як Банк-Клієнт (автоматизовані банківські системи). дистанційного доступу), платіжних систем на основі smart-карт, системи електронних інтернет-платежів та ін.

Що являє собою система цифрового електронного підпису

Основне призначення електронного цифрового підпису, що є особливою математичною схемою, – підтвердити справжність електронних документів або повідомлень. Надійний цифровий підпис гарантує одержувачу, що документ був створений відправником і в процесі передачі не змінено.

Електронні цифрові підписи активно застосовуються під час здійснення фінансових операцій, поширення програмного забезпечення, соціальній та інших проектах, потребують підтвердження справжності електронного повідомлення.

Варто розрізняти поняття «цифровий підпис» та «електронний підпис». Перший термін має більше загальний характероскільки відноситься до будь-яких електронних даних. При цьому не всі підписи є цифровими.

У цифрових підписах застосовується асиметрична криптографія. Вони мають захистити електронні повідомлення, що надсилаються небезпечним каналом. Цифровий підпис, створений за всіма правилами, гарантує, що повідомлення надіслано укладачем. По суті, цифровий підпис та друк – повноцінний замінник фізичних печаток та підписів, поставлених вручну. Відмінність у тому, що цифрові складніше підробити.

Одна із сфер застосування електронного цифрового підпису – підтвердження достовірності повідомлень та документів, що передаються електронною поштою за допомогою криптографічного протоколу. В основі ЕЦП лежить принцип безвідмовності, згідно з яким особа, яка підписала документ, не може довести, що не ставила підпис на надісланому повідомленні.

Роль цифрового підпису в електронній комерції та документообігу

Популярність ЕП неухильно зростає. Керівники компаній хочуть зменшити завантаженість своїх працівників та скоротити обсяги паперового документообігу. Адже за допомогою ЕЦП та інші співробітники зможуть набагато швидше підписувати документи, що скоротить час простоїв та забезпечить зростання ефективності бізнес-процесів в організації.

Федеральний закон «Про електронний цифровий підпис» визначає ЕЦП як рівнозначну за юридичною силою рукописного підпису та фізичного друку на традиційному документі у паперовому вигляді. Це дозволяє організаціям різних галузейта напрямів діяльності активно використовувати її в електронному документообігу.

Але сфера застосування ЕЦП цим не обмежується. Вона також використовується для підтвердження авторства, цілісності, справжності та актуальності будь-яких електронних повідомленьі дозволяє перевірити, чи вносилися будь-які зміни до документа, що передається сторонніми людьми.

Прискорення всіх процесів у житті та бізнесі змушує власників компаній оптимізувати організаційні процеси, впроваджувати різні системи автоматизації. Електронна торгівля – один із таких інструментів. Для участі в торгах потрібен електронний цифровий підпис, який дозволяє:

  • гарантувати достовірність завантажених учасниками електронних документів;
  • організаторам підписувати конкурси, аукціони та заявки;
  • підписувати заявки на торгах;
  • використовувати електронні документи нарівні із паперовими;
  • забезпечити справжність та цілісність електронних документів, не допустити їх підробки;
  • уникнути виникнення спірних ситуацій через некоректне надсилання документів та подання заявок.

Застосування цифрових технологій в електронній торгівлі може сприяти найближчому майбутньому внесенню кардинальних змін до практики ведення ділових переговорів. Насамперед, за рахунок використання цифрових каналів зв'язку та скорочення витрат на комунікацію. Так електронний цифровий підпис надає власникам малого та середнього бізнесу доступ до міжнародним ринкамелектронної торгівлі.

Нещодавно для обміну повідомленнями або документами застосовували факс. Цінні папери також надсилали поштою або кур'єрською службою. Тепер можна надсилати всю необхідну документацію, що має відповідну юридичну силу, у найкоротші терміни та без посередників. Адже електронний цифровий підпис у документообігу повністю замінює власноручну та підтверджує її справжність, гарантуючи, що в документ не вносилися виправлення сторонніми користувачами.

Економічна доцільність переходу на обмін електронними документами очевидна: у такому вигляді їх простіше зберігати та передавати. Для цього потрібно лише оформити електронний цифровий підпис в одному зі спеціальних центрів, що засвідчують.

Ще однією перевагою електронного документообігу є високий рівень захисту даних, що передаються. Для ЕЦП використовується спеціальний криптопровайдер із кваліфікованим сертифікатом. Максимальний захист забезпечується спеціальними апаратно-програмними комплексами (ключі I-Token або смарт-карти), в яких знаходиться безпечне сховище для застосування PIN-кодів при роботі з кваліфікованим сертифікатом. Якщо під час введення PIN-коду робиться кілька невдалих спроб, сертифікат блокується і перестає працювати.

Особливості використання електронного цифрового підпису

Перед використанням ЕЦП для візування документів необхідно врахувати наступне:

  1. Справжність підпису можна перевірити на основі даних, що знаходяться у відкритому доступі. При цьому вона створюється із фіксованого повідомлення та закритого ключа електронного цифрового підпису.
  2. Не можна підробити або підібрати підпис без секретного ключа.

Застосування ЕЦП є доцільним та актуальним не тільки в організації документообігу юридичних осіб (для запевнення справжності, авторства, ідентичності та статусу документів), а й фізичних у тому числі. Наприклад, вона може бути використана для підтвердження поінформованої згоди або схвалення однієї із сторін, які підписали договір.

Електронний цифровий підпис застосовується під час аутентифікації джерела листа. Це пов'язано з тим, що навіть якщо документ має всю необхідну інформацію, складно гарантувати справжність відправника. Ключ електронного цифрового підпису закріплюється за певним користувачем. Такий механізм гарантує, що листа було надіслано власником ЕЦП. Це особливо актуально для фінансових та банківських організацій.

Ще один напрямок застосування ЕЦП – підтвердження, що лист було доставлено в цілості та збереження і в процесі передачі до нього не було внесено жодних коригування зловмисниками. Шифрування із застосуванням ключа ЕЦП не забезпечує 100% захисту від внесення змін до вихідного повідомлення сторонніми користувачами. Але при розшифровці листа адресат отримає інформацію у випадку, якщо порушена цілісність листа. Це з тим, що будь-які дії з повідомленням, підписаним електронним цифровим підписом, призводять до її дезактивації. Для того щоб знову поставити підпис на зміненому документі, потрібно мати доступ до нього. Тому ймовірність такого розвитку подій вкрай мала.

Також електронний цифровий підпис – один із дієвих інструментів підтвердження походження документа або повідомлення. Тобто електронний цифровий підпис для юридичних осіб – гарантія невідмовності чи неможливості заперечення факту, що організація підписала електронний документ. Цей принцип роботи ЕЦП можна застосувати і щодо фізичних осіб.

Варто мати на увазі, що справжність та безвідмовність листа, підписаного ЕЦП, можливі лише в тому випадку, якщо секретний ключ не відкликаний перед використанням. При цьому відкриті ключі анулюються одночасно із секретними. За попереднім запитом ЕП перевіряється на можливість відкликання.

Будь-які криптосистеми, основу роботи яких лежить використання відкритого чи закритого ключа, безпосередньо залежить від ступеня секретності цих даних. Користувач може зберігати ключ електронного підпису на своєму робочому комп'ютері, захистивши його паролем. Але такий варіант має свої недоліки:

  • підписувати документи можна лише на комп'ютері власника ЕЦП;
  • Безпека даних ЕЦП залежить від захищеності робочого комп'ютера користувача.

Набагато надійніше зберігати секретний ключ на смарт-картах, оскільки більшість із них мають високий рівень захисту від змін несанкціонованими користувачами.

Для активації смарт-картки користувач вводить спеціальний PIN-код. Така схема двофакторної аутентифікації забезпечує додатковий захист електронного цифрового підпису. У разі крадіжки або зникнення смарт-картки для її активації та використання ЕЦП також потрібно буде ввести PIN-код, що зменшує рівень безпеки цієї схеми. Обнадіює той факт, що ключі ЕЦП, що знаходяться на смарт-картах, існують в єдиному екземплярі і не копіюються. Тому власник електронного цифрового підпису, виявивши зникнення, може швидко заблокувати їхню дію. Ключі, що зберігаються на комп'ютері користувача, набагато простіше скопіювати, а факт витоку інформації складніше виявити. Тому дуже важливо застосовувати додатковий захист електронного цифрового підпису.

Які алгоритми використовуються в роботі електронного цифрового підпису

Цифрова схема підпису включає одночасно три алгоритми електронного цифрового підпису:

  1. Алгоритм генерації ключа, який відбирає секретний ключ рівномірним і випадковим чином з безлічі можливих окремих варіантів. Одночасно генеруються секретний та відкритий ключі, які йдуть у парі.
  2. Алгоритм підпису, який на основі закритого ключа підписує повідомлення електронної пошти.
  3. Перевірочний алгоритм електронного цифрового підпису, який на основі відкритого ключа, підпису та повідомлення визначає справжність та приймає рішення про можливість або неможливість надсилання електронного листа.

Алгоритм цифрового підпису RSA.

Одна з перших і найпоширеніших систем ЕЦП працює на основі алгоритму RSA. Все починається з обчислення відкритого та закритого ключа. Відправник електронного листа повинен обчислити два великі прості числа P і Q, а потім розрахувати твір і знайти значення функції:

N = P * Q; φ (N) = (Р-1) (Q-1).

Потім потрібно визначити значення Е із умов:

Е £ φ (N), НОД (Е, φ (N)) = 1

та значення D:

D< N, Е*D º 1 (mod j (N)).

Числа E і N є відкритим ключем. Ці показники автор надсилає адресатам електронного листа для автентифікації електронного цифрового підпису. Параметр D – секретний ключ, за допомогою якого автор підписує повідомлення. Схематично робота алгоритму представлена ​​малюнку:

Недоліки застосування алгоритму RSA для формування електронного цифрового підпису:

  1. Обчислення значень параметрів N, E та D – процес трудомісткий, оскільки потребує перевірки великої кількості додаткових умов. При цьому якщо хоча б одне з них не буде виконано, виникає ризик підробки електронного цифрового підпису.
  2. Висока стійкість до фальсифікації ЕЦП, створеної за алгоритмом RSA, забезпечується рахунок істотних витрат за обчислення (на 20-30 % більше, ніж в інших алгоритмів).

Алгоритм цифрового підпису Ель-Гамаль (EGSA).

Головна ідея цього алгоритму – неможливість підробки електронного цифрового підпису. Для реалізації такої мети потрібно вирішити складнішу обчислювальну задачу, а не просто розкласти на множники велике ціле число. Крім того, розробник Ель-Гамаль зміг усунути недоліки алгоритму RSA та запобігти ризикам фальсифікації ЕЦП без визначення секретного ключа.

Для генерації відкритого та закритого ключа необхідно вибрати два простих цілих числа P і G, за умови, що G< P. Отправитель и адресат электронного документа, подписанного ЭЦП, применяют одинаковые большие несекретные числа P (~10 308 = ~2 1024) и G (~10 154 = ~1 512). Первый из них берёт случайное целое число X, 1 < X £ (P - 1), и вычисляет: Y = G X mod P.

Параметр Y – відкритий ключ, який використовується для автентифікації електронного цифрового підпису відправника. Параметр Х – секретний ключ, який використовується для підпису електронних документів. Для підпису повідомлення М необхідно, щоб відправник захешував його за допомогою хеш-функції h ціле число m: m = h(M), 1< m < (P - 1), и сгенерировал случайное целое число К, 1 < K < (P - 1), при этом К и (P - 1) должны быть взаимно простыми. На следующем этапе он рассчитывает значение параметра a по формуле: a = G K mod P. На основе расширенного алгоритма Евклида с помощью секретного ключа Х определяет целое число b: m = X * a + K * b (mod (P - 1)). Пара чисел (a, b) формируют электронную цифровую подпись S: S = (a, b).

Значення параметрів M, a та b передаються адресату, а значення чисел X та K не розголошуються. Потім одержувач повідомлення обчислює значення m за такою формулою: m = h(M). Далі розраховується значення числа A = Y a b mod (P). Якщо A = G m mod (P), повідомлення М вважається справжнім.

Можна навести суворий математичний доказ, що остання рівність буде вірною тоді, коли підпис S під повідомленням M розрахований за допомогою саме секретного ключа X, з якого був отриманий відкритий ключ Y.

При цьому варто мати на увазі, що для створення кожного електронного цифрового підпису потрібне нове значення числа, яке визначається випадковим чином.

Алгоритм EGSA – класичний зразок того, як відбувається доставка повідомлення у відкритій формі разом із автентифікатором (a, b). Відмінність алгоритму Ель-Гамалю від алгоритму RSA:

  1. При такій мірі стійкості алгоритм EGSA працює на цілих числах, які коротші за аналогічні числа в алгоритмі RSA на 25%. Це скорочує час обчислень у середньому у 2 рази.
  2. Обчислити модуль Р легко, потрібно лише переконатися, що число просте і число (Р - 1) має великий простий множник.
  3. Алгоритм EGSA не дозволяє ставити цифровий підпис на нових повідомленнях без знання секретного ключа.
  4. Підпис, створений за алгоритмом EGSA, в 1,5 рази більший за підпис, згенерований за схемою RSA.

Алгоритм цифрового підпису DSA.

Алгоритм DSA (Digital Signature Algorithm) є вдосконаленою версією алгоритмів цифрового підпису EGSA та К. Шнорра. Відправник та адресат електронного листа обчислюють великі цілі числа G та P - прості числа, L біт кожне (512 £ L £ 1024), q - просте число довжиною 160 біт (ділитель числа (P - 1)). Числа P, G, q відкриті та можуть бути спільними для користувачів. Відправник вибирає випадкове ціле число X - секретний ключ електронного цифрового підпису, 1< X < q. Далее он рассчитывает значение параметра Y (открытого ключа) по формуле: Y = G X mod P. Для подписи сообщения М отправитель хэширует его в целое хэш-значение m: m = h(M), 1 < m < q, затем выбирает случайное целое число К, при условии, что 1 < K < q, и вычисляет значение параметра r по формуле: r = (G K mod P) mod q. Далее он находит число s по формуле: s = ((m + r * X)/ K) mod q.

Пара чисел S = (r, s) формують електронний цифровий підпис. Адресат перевіряє виконання умов: 0< r < q, 0 < s < q. Если хотя бы одно из них не выполнено, то подлинность ЭЦП не подтверждается. Если же выполнены все условия, то адресат рассчитывает значение w по формуле: w = (l/s) mod q, хэш-значения m = h(M) и числа u 1 = (m * w) mod q, u 2 = (r * w) mod q. Далее он с помощью открытого ключа Y вычисляет v по формуле: v = ((G u 1 * Y u 2) mod P) mod q. Подпись S считается подлинной при условии, что выполняется равенство v = r.

Можна навести математичний доказ, що остання рівність буде вірною тоді, коли підпис S під повідомленням M розрахований за допомогою саме секретного ключа X, з якого був отриманий відкритий ключ Y.

Переваги алгоритму DSA порівняно з алгоритмом EGSA:

  1. Довжина електронного цифрового підпису, створеного за алгоритмом DSA, значно коротша, ніж у підпису, згенерованого за алгоритмом EGSA. У цьому рівень стійкості однаковий.
  2. Час обчислення підпису DSA менший, ніж у алгоритмі EGSA.

До мінусів алгоритму DSA можна віднести необхідність проведення складних операцій поділу по q модулю для перевірки справжності електронного цифрового підпису. Насправді роботу алгоритму DSA можна прискорити рахунок проведення попередніх обчислень. Варто зазначити, що значення r не залежить від повідомлення М та його хеш-значення m.

Які види електронного цифрового підпису наділені юридичною силою

Федеральний закон «Про електронний підпис» №63-ФЗ виділяє два види електронних підписів: прості та посилені. Посилені підписи бувають кваліфіковані та некваліфіковані.

Проста ЕЦП.

Для створення такого підпису використовуються паролі, коди та інші засоби. Простий електронний цифровий підпис – інструмент підтвердження справжності електронних даних відправником. Вона вважається дійсною за дотримання таких умов:

  • електронний документ підписано ЕЦП;
  • ключ електронного підпису створено відповідно до вимог інформаційної системи, за допомогою якої проводилося завірення та надсилання електронних повідомлень відправником.

У нормативних та правових документах, а також договорах учасники обов'язково визначають основні правила застосування простого електронного цифрового підпису:

  • механізм ідентифікації автора підпису у електронному документі;
  • обов'язкове дотримання вимог конфіденційності під час використання електронного підпису відповідальними особами;
  • виконання вимог Федерального закону№63-ФЗ щодо використання простого електронного цифрового підпису;
  • неможливість застосування ЕЦП до таємних державних документів.

Посилена некваліфікована ЕП.

Для створення такого підпису використовується криптографічна програма, яка працює на основі ключа електронного цифрового підпису. Посилений некваліфікований підпис дозволяє визначити укладача документа, який поставив підпис, та наявність змін у листі після його підписання. Застосування некваліфікованої ЕП дозволяє не використовувати сертифікат ключа електронного цифрового підпису (за умови дотримання вимог законодавства, інших нормативних документів та договорів між відправником та адресатом).

Посилена кваліфікована ЕЦП.

Особливість цього різновиду електронного цифрового підпису є у наявності спеціального ключа перевірки, що міститься у кваліфікованому сертифікаті. Формування та перевірка посиленої кваліфікованої ЕЦП відбувається за допомогою спеціальних засобівелектронного підпису, які відповідають вимогам Федерального закону №63-ФЗ.

Паперові документи з рукописним підписом та електронні документи, на яких стоїть посилений кваліфікований підпис, мають однакову юридичну силу (крім випадків, які визнають виключно рукописний підпис, передбачених у законодавстві). Також законом допускається встановлення нормативні актита договори між відправником та одержувачем додаткових вимог до електронних документів, підписаних посиленим кваліфікованим підписом.

Порівняємо розглянуті види електронного цифрового підпису за аналогією зі знайомими фізичними засобами ідентифікації особи:

Проста ЕП схожа на бейдж - будь-яка стороння людина може нею скористатися, тому відповідальність за збереження даних лежить на власнику підпису.

Некваліфікована ЕП аналогічна перепустці в компанії, при цьому між сторонами угоди є певний рівеньдовіри.

Кваліфікована ЕП як паспорт – найважливіший інструмент для ідентифікації, надає можливість користуватись усіма послугами.

Відповідно до ст. 7 Федерального закону «Про електронний підпис» ЕЦП, створені за зарубіжними стандартами, Російської Федераціїналежать до виду електронних підписів, ознаками якого вони відповідають. Видача сертифіката ключа в іноземній державі не може бути причиною невизнання юридичної сили документа, на якому стоїть такий підпис.

Як і де отримати електронний цифровий підпис


Крок 1. Вибір ЕП.

Для початку потрібно зрозуміти, навіщо вам електронний цифровий підпис. Наприклад, вам потрібний ключ для роботи на сайті держпослуг. Або ви плануєте здавати звітність у позабюджетні фонди, податкові органи, федеральну службу фінансового моніторингу або інші державні та муніципальні органи. Також ЕЦП знадобиться для участі в електронних аукціонах або на електронних торгових майданчиках.

Крок 2. Вибір центру, що посвідчує.

Список центрів, що засвідчують, де можна отримати електронний цифровий підпис, знаходиться на сайті www.minsvyaz.ru (офіційний інтернет-ресурс Міністерства зв'язку та масових комунікацій). На головній сторінці сайту в розділі «Важливо» є активне посилання «Акредитація центрів, що засвідчують», після кліка по якій відкривається вікно, що пропонує завантажити файл з актуальним переліком акредитованих центрів, що посвідчують. За даними на 6.02.2018 р., до списку входило 469 організацій.

Кроки 3 та 4. Заповнення заявки та оплата послуги.

Після вибору зручного за розташуванням посвідчувального центру потрібно заповнити та надіслати заявку на випуск електронного цифрового підпису. Якщо немає можливості заповнити заявку на сайті, можна написати її вручну та передати співробітникам у центрі, що засвідчує. У заявці потрібно вказати П. І. О. одержувача ЕЦП, електронну поштову адресу та контактний телефон. Далі – сплатити послугу.

Крок 5. Надання документів у центр, що посвідчує.

Одночасно з поданням заяви на створення сертифіката ключа електронного цифрового підпису потрібно передати певний пакет документів.

Перелік документів для отримання електронного цифрового підпису юридичними особами

  • свідоцтво про державну реєстрацію юридичної особи (ОДРН);
  • свідоцтво про постановку на облік у податковому органі (ІПН);
  • виписка з ЄДРЮЛ (оригінал або нотаріально завірена копія). Вимоги до терміну давності виписки в різних центрів, що засвідчують, відрізняються, але зазвичай це не більше 6 місяців з моменту її отримання;
  • страхове свідоцтво державного пенсійного страхування (СНІЛЗ) майбутнього власника електронного цифрового підпису.

Якщо власником ЕЦП буде керівник юридичної особи, то потрібно також додати документ, що підтверджує його призначення на посаду, завірений підписом та печаткою компанії.

Якщо повноваження щодо володіння ЕЦП планується передати не керівнику, а співробітнику компанії (уповноваженому представнику), необхідно додати до пакету документів доручення про передачу відповідних функцій цьому працівникові, засвідчену підписом і печаткою компанії. Якщо цей співробітник подаватиме всі необхідні документи та особисто отримуватиме ЕЦП, то також потрібно надати копії сторінок його паспорта.

Перелік документів для індивідуальних підприємців(ІП)

  • заяву на видачу електронного цифрового підпису;
  • свідоцтво про державну реєстрацію ІП;
  • свідоцтво про постановку на облік у податковому органі (ІПН);
  • виписка з ЄДРІП (оригінал або нотаріально завірена копія). Вимоги до терміну давності виписки в різних центрів, що засвідчують, можуть не збігатися, але зазвичай це не більше 6 місяців з моменту її отримання;
  • копії сторінок паспорта майбутнього власника електронного цифрового підпису: з фото та з даними про прописку;
  • страхове свідоцтво державного пенсійного страхування (СНДЛЗ).

Якщо планується, що електронний цифровий підпис для ІП отримуватиме уповноважений представник майбутнього власника ЕП, то в центр, що засвідчує, потрібно також подати нотаріально завірену довіреність на зазначеного представника.

У ситуації, коли майбутній власник електронного цифрового підпису хоче делегувати всі обов'язки щодо її отримання своєму уповноваженому представнику, то разом із основним пакетом документів потрібно надати і паспорт цього громадянина.

Крок 6. Отримання ЕП.

Для отримання електронного цифрового підпису потрібно надати у вибраний центр посвідчення оригінали всіх документів. Після звіряння інформації вони повертаються власнику ЕП.

Ціна послуги зі створення електронного цифрового підпису може змінюватись в залежності від наступних факторів:

  • вид та сфера застосування ЕП;
  • особливості ціноутворення в центрі, що засвідчує;
  • місцезнаходження центру, що посвідчує.

Кінцева вартість послуги складається з кількох складових:

  • оформлення та випуск сертифіката ключа електронного цифрового підпису;
  • надання прав працювати зі спеціалізованим програмним забезпеченням;
  • надання програм для роботи з електронним цифровим підписом;
  • передача ключа захисту носія електронного цифрового підпису;
  • технічна підтримкапід час роботи з електронним цифровим підписом.

Наприклад, підсумкова вартість ЕЦП до роботи на електронних торгах становить 5-7 тис. рублів.

Термін видачі електронного цифрового підпису може коливатися в діапазоні від години до одного тижня. Все залежить від швидкості подання документів та оплати послуг. У більшості центрів, що засвідчують, ЕЦП виготовляють за 2-3 робочі дні. Майте на увазі, що виписки з ЄДРЮЛ або ЄДРІП у податкових органах видають протягом 5 робочих днів. Тому варто отримати їх завчасно.

Термін дії електронного цифрового підпису 1 рік. Тому щороку її потрібно перевипускати. Це можна зробити в будь-якому центрі, що засвідчує (не обов'язково в тому, де ви її отримували).

Як реалізується надійний захист електронного цифрового підпису

Одна з нагальних проблем практичного застосуваннясучасної криптографії – забезпечення захисту інформації електронного цифрового підпису насамперед ключа ЕП. Високий рівеньстійкості криптографічних алгоритмів, у тому числі розроблених у нашій країні, змушує зловмисників красти файл електронного цифрового підпису з ключами, оскільки це єдиний можливий спосіб злому. Простий підбір ключа займає дуже багато часу і потребує значних обчислювальних ресурсів.

Відповідно до ГОСТ Р 34.10-2001 секретний ключ електронного цифрового підпису є 256 біт інформації. Зловмисники викрадають ці дані з файлів користувачів, добувають із оперативної пам'яті чи системного реєстру. На тіньовому ринку сформувалася справжня індустрія хакера з виробництва програмного забезпечення для крадіжки секретних ключів ЕЦП: різні трояни, руткіти, віруси, експлойти. Для того, щоб вкрасти ключ, не обов'язково бути професіоналом, достатньо просто отримати доступ до FLASH-носія, на якому він зберігається.

Автори засобів електронного цифрового підпису намагаються забезпечити необхідний захист секретних ключів. Існують різні методики шифрування ключа ЕЦП, що зберігається у файлі. Користувач вигадує пароль, який на основі спеціального алгоритму перетворюється на справжній криптографічний ключ шифрування. З його допомогою відбувається шифрування ключового контейнера. Мінус у тому, що захист такого роду може бути досить швидко зламаний методом простого перебору паролів. Бонус для зловмисників – необмежену кількість спроб та єдиний критерій правильності (збіг секретного та відкритого ключів).

Викрасти секретний ключ електронного цифрового підпису із системного реєстру так само легко, як із ключового контейнера у файлі, тому що сам реєстр теж знаходиться у файлі.

Є ще одна складність забезпечення безпеки зберігання ключа ЕЦП. В операційній системі Windows відбувається певна "прив'язка" ключового контейнера. Наприклад, при першому підключенні FLASH-носій з ЕЦП визначається як «Знімний диск G», а при подальшій роботі як «Знімний диск K». В результаті криптопровайдер не знайде ключові контейнери по новому шляху.

Крім того, якщо секретний ключ ЕЦП знаходиться в системному реєстрі, можуть виникнути труднощі з його перенесенням на інший комп'ютер.

Таким чином, забезпечення безпечного зберігання ключа ЕЦП пов'язане з багатьма труднощами. Але які наслідки можуть виникнути в результаті крадіжки ключового контейнера? Розглянемо потенційні варіанти такої гіпотетичної ситуації:

  1. Зловмисники можуть вкрасти гроші з рахунку через систему дистанційного банківського обслуговування (ДПВ). Довести незаконні дії хакерів практично неможливо, адже на всіх банківських операціях стоїть ваш електронний цифровий підпис.
  2. Захисна система ДБО запобігла несанкціонованим перекладам грошових коштів, заблокувавши доступ до банківського рахунку. Гроші цілі, але, можливо, важливі угоди зірвалися через невчасну оплату.
  3. Ваші конкуренти вкрали ключ ЕЦП та поставили підпис на підробленому комерційну пропозиціючи конкурсної заявки. В результаті ви витратите час та сили на прояснення ситуації, а ваша компанія буде відсторонена від електронних торгів за несумлінність.
  4. Зловмисники підписали за допомогою викраденого ключа ЕЦП помилковий звіт, а вашу організацію оштрафували.

Таким чином, крадіжка ключа електронного цифрового підпису загрожує втратою фінансових та тимчасових ресурсів, погіршенням ділової репутації, зривом важливих угод, блокуванням банківських рахунків та іншими потенційними та цілком реальними збитками. Навіть якщо ви доведете факт крадіжки електронних даних, висока ймовірність того, що банк відмовиться повертати викрадені гроші.

Хакери можуть і не ризикувати і замість викрадення ключового контейнера його просто видалити. Це призведе до втрачених вигод для власника ЕЦП (недоотримані доходи, зрив угод) та непередбачених витрат (втрачений час, оплата послуг з переоформлення ЕЦП).

Дотримання правил інформаційної безпеки під час використання та зберігання електронного цифрового підпису – запорука безперебійної роботи всіх учасників електронного документообігу (банків, торгових майданчиків, власників ЕЦП, операторів зі складання звітності та ін.).

Варто мати на увазі, що власник електронного підпису не повинен давати свій секретний ключ іншим співробітникам компанії. Адже тільки він відповідає за всі документи, підписані колегами. Якщо є подібна необхідність, слід зробити електронний цифровий підпис окремо кожному співробітнику, який має право підписувати документи.

Ми вже говорили про небезпеку зберігання ключового контейнера у файлі. Для усунення недоліків такої системи шифрування вигадали відчужувані носії з власною зашифрованою файловою системою, в якій розташовується ключовий контейнер. У такій системі є власний мікропроцесор, що керує, що обмежує кількість спроб злому.

Наприклад, у вітчизняній практиці користуються популярністю смарт-картки та USB-токени. Для активації секретного ключа ЕЦП користувач вводить PIN-код. Після кількох некоректних спроб введення доступу блокується, що обмежує можливості для злому зловмисниками.

У Росії популярні USB-токени завдяки ряду характеристик: надійність, легкість використання та невисока вартість. Так, після виходу на ринок проекту "Рутокен-2001" було продано кілька мільйонів USB-токенів цієї компанії. У деяких сферах (наприклад, при здачі податкової звітностіта в електронних торгах) Рутокени вважаються стандартом безпечного зберігання ключових контейнерів.

Удосконалена варіація технології USB-токенів працює на криптографічних алгоритмах одразу «на борту» носія. Секретний ключ не завантажується в оперативну пам'ять комп'ютера, що унеможливлює його крадіжки шкідливими програмами безпосередньо з комп'ютерної пам'яті. Така технологія активно використовується в різних фінансових організаціях, зокрема, у системах ДБО організацій, де потенційні збитки від крадіжки секретного ключа електронного цифрового підпису особливо високі.

Як здійснюється перевірка автентичності електронного цифрового підпису

Перевірка електронного цифрового підпису проводиться за допомогою відкритих онлайн-сервісів та спеціалізованих програм. Результати перевірки дозволяють з'ясувати, хто підписав електронний документ, провести автентифікацію підпису, виявити несанкціоновані зміни у повідомленні.

Багато сучасних інформаційних систем перевіряють справжність електронного цифрового підпису автоматично. Так, на сайті Росреєстру (rosreestr.ru) можна легко визначити справжність ЕЦП на документі, отриманому у відповідь на запит користувача. Для цього потрібно завантажити отриманий файл із розширенням *.sig у спеціальний сервіс сайту та клацнути по кнопці.

Схожі інструменти перевірки можна знайти і в інших інформаційних системахнаприклад, на електронних торгових майданчиках. Центри, що засвідчують, також надають користувачам сервіси для перевірки справжності ЕЦП. Крім того, зацікавлені вони можуть провести цю процедуру самостійно за допомогою спеціалізованих програм.

У ході перевірки електронного документа порівнюється електронний цифровий підпис, що стоїть на ньому, ключ ЕЦП, отриманий від відправника, і сертифікат КЕП. Якщо адресат електронного листа не зареєстрований в жодному з діючих засвідчувальних центрів, він може перевірити справжність ЕЦП самостійно:

  1. У відкритих онлайн-сервісах, таких як КонтурКріпто та ін.
  2. Встановити на власному або робочому комп'ютері програму КриптоПро CSP і завантажити в неї базу сертифікатів з публічних довідників центрів, що засвідчують.
  3. На сайті www.gosuslugi.ru/pgu/eds можна перевірити електронний цифровий підпис, виданий лише УЦ, що пройшли державну акредитацію.
  4. Найскладніший спосіб – якщо у вас є професійні знання та навички, то обчисліть хеш-функції на основі алгоритму шифрування.

Розглянемо докладніше перші три способи, оскільки вони доступні для користувачів без комп'ютерної освіти.

Перевірка на КриптоПро CSP.

На офіційному сайті розробника можна завантажити демо-версію програми та безкоштовно користуватися нею протягом двох тижнів, а потім купити повну версію. КриптоПро CSP дозволяє не тільки перевіряти ЕЦП в електронних документах, а й підписувати власні файли, створені у MS Word. Після встановлення програми у меню, що випадає, можна вибрати необхідну дію.

Надалі КриптоПро CSP самостійно проводитиме перевірку підписів у всіх відкритих документах, завірених ЕЦП. У разі успішного результату користувач побачить спливаюче вікно

Якщо під час перевірки програма попередить, що сертифікат отриманого електронного документа неможливо простежити до кореневого каталогу, то користувачеві слід перемістити його до сховища

Перевірка електронного цифрового підпису на Порталі держпослуг.

На сайті gosuslugi.ru можна легко перевірити як власну, так і отриману від відправника в електронному документі кваліфіковану ЕП та її сертифікат. Онлайн-сервіс сайту працює як із файлами з розширенням *.sig, так і з текстовими документами, в тіло яких вбудована ЕЦП.

Якщо сертифікат та ЕП пройшли перевірку, з'являється повідомлення «Дійсний». Якщо ні, то сервіс розкриває причину: Сертифікат відкликаний або Не вдалося перевірити.

За допомогою цього сервісу можна легко перевірити і КЕП. Перевірка в обох випадках відбувається щодо лише кваліфікованих підписів, оскільки їх сертифікати ключів знаходяться у відкритих реєстрах центрів, що засвідчують. Імовірність того, що на документі буде недійсний електронний цифровий підпис, вкрай низька, оскільки центри, що засвідчують, стежать за термінами дії їх сертифікатів.

Причини некоректної роботи електронного цифрового підпису та як їх усунути

У більшості користувачів на електронних торгових майданчиках виникають труднощі через некоректну роботу електронного цифрового підпису. Подібні проблеми можуть виникнути в невідповідний момент, наприклад, у ході торгів, що призведе до небажаних результатів:

  • заявку на участь у конкурсі не буде вчасно подано;
  • учасник програє електронний аукціон;
  • Договір на надання послуг державним органам не буде підписано.

Типові труднощі при роботі з електронним цифровим підписом:

  1. На електронному торговому майданчику не видно сертифікату учасника закупівлі.
  2. Нема технічної можливості поставити підпис на електронному документі.
  3. При спробі входу на електронний майданчик користувач отримує повідомлення про помилку.

Насправді зустрічаються й інші проблеми, але ми розглянемо способи вирішення найпопулярніших із них.

Сертифікат ключа підпису не видно на майданчику під час спроби входу до системи.

Це може бути пов'язано з одночасною дією кількох факторів:

  • сертифікат ключа ЕЦП налаштований неправильно;
  • інтернет-браузер працює некоректно;
  • немає кореневого сертифікату УЦ.

Як вирішити проблему?

Для початку перевірте, що інсталяція відкритої частини сертифіката на комп'ютері через програму КриптоПро пройшла правильно. Також переконайтесь, що ваша операційна системапідтримує версію програмного забезпечення, інстальованого на комп'ютері. Далі в налаштуваннях браузера додайте електронні адреситоргових майданчиків у категорії надійних, включивши всі елементи ActiveX. І наприкінці проведіть встановлення кореневого сертифіката УЦ, який видав ЕЦП, довірені кореневі центри сертифікації.

Електронний підпис видає помилку під час підписання документів.

Така проблема може виникати з таких причин:

  • у вашої версії КриптоПро закінчилася ліцензія;
  • ви вставили носій із іншим сертифікатом.

Як це виправити?

Отримайте нову ліцензію в УЦ, відкрийте програму КриптоПро на вашому комп'ютері та введіть ці ліцензії.

Якщо справа в носії ЕЦП, перевірте всі закриті контейнери в USB-роз'ємах та правильність завантаження необхідного сертифіката.

Система видає помилку під час входу на електронний майданчик.

Коріння цієї проблеми може лежати в раніше розглянутих причинах. Зазвичай проблеми виникають через некоректну установку бібліотеки Capicom. Щоб вирішити цю проблему, перевірте, чи встановлена ​​ця бібліотека на вашому комп'ютері і чи скопійовано два системні файли з розширенням .dll в одну з папок Windows під час використання 64-розрядної системи.

Попереднє вивчення інструкції з встановлення та налаштування електронного цифрового підпису допоможе уникнути описаних проблемних ситуацій. Якщо у вас все одно виникають складнощі під час роботи з ЕЦП, ви можете звернутися до професіоналів нашої компанії.

В даний час електронний цифровий підпис широко застосовується і використовується як у внутрішньому документообігу компаній, так і при передачі документів у державні органи, наприклад, у податкову. Крім того, електронний цифровий підпис активно застосовується у держзамовленні, як замовниками, так і постачальниками. у статтіознайомимося з історією їй виникнення електронного підпису,розглянемо, як виглядає електронний підпис, його застосування та практику використання.

1. Історія електронного підпису

Тридцять років тому в 1976 році Уітфрід Діффі та його співавтор, стенфордський професор Мартін Хеллман, започаткували криптографію з відкритим ключем, основою якого входить алгоритм обміну ключами. Він виник основі ідеї передачі від одного суб'єкта іншому суб'єкту те щоб сторонні суб'єкти отримавши доступом до неї було неможливо її зрозуміти. До нашого часу технологія зазнала змін, навіть як виглядає електронний цифровий підпис. Але з моменту публікації їх досліджень розпочалося використання електронно-цифрового підпису (ЕЦП). У Росію електронний підпис як технологія прийшов на початку 90-х і був введений у 1995 році. Ці зміни було внесено до Цивільного кодексу РФ. Де статтею 160 пункту 2 передбачалося використання електронного підпису при оформленні угод як аналогів власноручного підпису (АСП).

Дана технологи захисту стала цікавою для наших вітчизняних банків. Серед перших був Центральний банк Росії, крім інших кредитних організацій. Електронний цифровий підпис знайшов застосування для захисту інформаційних систем у таких організаціях, що дозволяє безпечно передавати дані, наприклад, у системах «банк-клієнт». До 2002 року захист передачі був основною метою використання електронного підпису.

2. Юридична значимість електронного цифрового підпису.

У міру значного розширення проблеми захисту інформаційного простору та використання для цього електронного підпису було розроблено відповідний закон «Про електронний підпис» № 63-ФЗ від 06.04.2011 року, який би регулював роботу із шифруванням даних та розширив сферу застосування електронного підпису. Це дало можливість створення електронного документообігу.

Використання електронного підпису регулюється державою на федеральному рівніза допомогою двох законів ФЗ-№1 та ФЗ-№63, які допомагають вирішувати суперечки у цивільно-правових відносинах.

Законопроект був прийнятий, оскільки Цивільний кодекс лише давав дозвіл на використання електронного підпису як аналога власноручного підпису зі значними обмеженнями. Цей закон також регулював вирішення судових спорів, оскільки до цього це було важко через відсутність органів, які відповідають за справжність під час використання електронного підпису. Хоча раніше і були судові розгляди, в яких як доказ фігурував машинний документ (справа 1979 про комп'ютерне розкрадання 78 тис. 584 рублів у Вільнюсі). Потім був судовий процес у 1982 році у місті Горькому (справа про розкрадання у великому розмірі).

Найголовнішим зрушенням у прийнятті закону про ЕЦП стало юридичне ухвалення електронного документа як рівноправного паперового паперу. У США закон про застосування цифрового електронного підпису було прийнято 1995 року в штаті Юта.

Федеральний закон про ЕЦП має недоробки у формулюваннях. Вони збільшують ризик використання електронного підпису, тому необхідна деталізація та точніше розписані умови угод. Тому прикладом є стаття 4 закону про ЕЦП, яка призначає три умови рівнозначності власноручного підпису. Одне дуже суперечливо, оскільки вказує на те, що сертифікат діє на момент підпису або на момент перевірки. Така двозначність тлумачення потребує додаткових роз'яснень. Хоча будь-який закон викликає претензії, закон про ЕЦП не є винятком. Ці недоробки організатори ІС сьогодні успішно відшкодовують на рівні угод сторін. Основний недолік цього закону полягає в тому, що він не є законом прямої дії.

У Росії, коли ухвалювався закон про ЕЦП, у розробників були певні складнощі. Усі сертифіковані засоби криптографічного захисту були несумісні друг з одним. Причому дана проблемадо виникнення посвідчувальних центрів була настільки гостра, як після появи. Часто сертифікат, виданий одним центром, що засвідчує, не розпізнавався іншим центром, що засвідчує.

Цю проблему частково вирішили підписанням угоди, в якій говорилося, що формат зашифрованих повідомлень та відкритої частини ключа розроблятиметься ТОВ «Кріпто-Про». Угоду підписали безпосередньо ТОВ «Кріпто-Про», ФГУП НТЦ «Атлас», ТОВ «Фактор-ТС», ВАТ «Інфотекс» та ЗАТ «МО ПНДЕІ». Так проблема була вирішена частково, але вона не зникла повністю, хоча більшість розробників електронного підпису Росії формально або офіційно приєдналися до цієї угоди.

3. Поняття та визначення електронно-цифрового підпису. Використання електронного підпису

Електронний цифровий підпис (скорочено ЕП) - це особливий зразок атрибуту документа, що виключає деструкцію даних, що передаються в електронному документі, з моменту комплектації ЕП та підтверджує відношення ЕП такому власнику. Зміст атрибуту формується з допомогою криптографічного перетворення даних.

Сертифікат електронного цифрового підпису - атрибут, що доводить ставлення відкритого ключа (ключа, який перевіряється) ЕП власнику сертифіката.

Видаються сертифікати посвідчувальними центрами (УЦ) або їх довіреними представниками.

Власник сертифіката ЕП, як правило, фізична особа, на яку оформлено сертифікат ЕП у центрі, що засвідчує, незалежно від організаційно-правової форми організації. У такої фізичної особи на електронному носії сертифікат включає два ключі ЕП: закритий і відкритий.

Закритий ключ електронного цифрового підпису (ключ ЕП) здійснює саму генерацію електронного підпису, яким буде підписано електронний документ.

Електронно-цифровий підпис формується шляхом шифрування інформації, що міститься у документі. Вона представляє унікальну послідовність символів і знаходиться в тілі підписаного файлу, або додається до нього.

Організація або власник, купуючи сертифікат, повинні забезпечити його безпеку, і зобов'язаний оберігати від крадіжки закритий ключ.

Відкритий ключ електронного цифрового підпису (ключ перевірки ЕП) та закритий ключ ЕП між собою пов'язані. Закритий ключ призначений для автентифікації ЕП.

Для цього були розроблені носії для ЕЦП із зашифрованою файловою системою. Він має ключовий контейнер, який обмежує кількість спроб розшифрування файлової системи та самого контейнера. Для цього активно використовуються смарт-картки та USB-токени. Щоб почати користуватися таким пристроєм, потрібно підключити пристрій до комп'ютера та ввести особистий PIN-код. Введення такого PIN-коду має обмежену кількість введення (зазвичай три), після того як спроби вичерпані пристрій блокується.

Високий рівень захисту закритого ключа на даний момент забезпечують Aladdin e-Token та Rutoken. Взаємодія із закритим ключем відбувається на чипі сховища пристрою, тобто. ключ ніколи його не залишає. Це унеможливлює перехоплення ключа з оперативної пам'яті.

4. Кваліфікований та некваліфікований електронний цифровий підпис та їх різновиди

Простий електронний цифровий підпис- Належить фізичній особі для підтвердження підписання документів. Проте немає можливість визначення факту зміни самого електронного документа, тобто. його вмісту. Вона призначена для електронного документообігу усередині компанії.

Посилений електронний цифровий підпис- такий підпис після редакцій у законі про електронний підпис став мати різновиди.

Посилений некваліфікований електронний цифровий підпис- функція даного посиленого некваліфікованого електронного цифрового підпису ідентифікувати відправника. Такий електронний підпис можна отримати навіть у неакредитованих центрах. Документи, підписані з використанням електронного підпису, прирівнюються до документів у паперовій формі, підписаних власноруч.

Посилений кваліфікований підпис- цей підпис застосовує найвищу ступінь захисту, оскільки формується засобами криптозахисту, які можуть використовувати посвідчувальні центри з ліцензією ФСБ чи ФСБ.

Параметри підпису

Простий електронний цифровий підпис

Посилений некваліфікований підпис

Посилений кваліфікований підпис

Утворюється на основі кодів, паролів та ін.

Утворюється на основі криптографічної зміни даних документа з використанням ключа електронного цифрового підпису

Є можливість ідентифікації власника документа

Є можливість встановлення факту змін в електронних документах після їх підписання

Граничний ступінь захисту – ключ перевірки електронного цифрового підпису знаходиться у кваліфікованому сертифікаті

5. Як виглядає електронний підпис та носії для нього?

Електронний ідентифікатор Rutoken – це пристрій, спрямований на авторизацію власника та захист електронного листування. Виглядає електронний підпис на такому носії як USB-брелок (флешка).

eToken - це захищений пристрій, що підтримує роботу та інтеграцію з усіма основними системами та програмами, смарт-карт або USB-ключа.

Сам цифровий підпис виглядає або як значок, або як зображення друку. Переглянути сертифікат і як виглядає електронний підпис можна у властивостях браузера.

Перед тим як підписати документ WORDабо лист поштового сервера необхідно встановити ЕЦП на комп'ютер. Після цього можна підписувати документ.

Наприклад, якщо є необхідність у надсиланні листа із застосуванням електронного підпису, то після встановлення необхідно зайти >файл > підготувати > додати цифровий підпис або > додати цифровий підпис (КРИПТО-ПРО)

Застосовуючи електронний підпис, для візуалізації можна додати зображення друку, або свого підпису.

Після підписання документа внизу з'явиться значок. Ось так виглядатиме електронний підпис у документі WORD.

Електронний підпис можна додати до поштових клієнтів та Adobe Acrobat Pro для підписання PDF-файлів.

У Microsoft Outlook - підписання електронним підписом виглядатиме так.

Для додавання електронного підпису до програм можна знадобитися інсталяція додаткового програмного забезпечення, наприклад, КриптоПро Office Signature. Це для версій WORD вище 7-ї та для Adobe Acrobat Pro. Підписання документа pdf з використанням електронного підпису виглядає так:

А ось так виглядає електронний підпис Податкової інспекції. Як правило, з нею можна зіткнутися, отримуючи виписки з ЄДРЮЛ в електронному вигляді. Банки використовують подібні електронні підписи.

6. Де можна застосувати електронний підпис?

На даний момент існує багато варіантів використання електронного підпису.

Наприклад, електронний підпис використовують при електронному документообігу як внутрішньому, так і зовнішньому. При внутрішньому документообіг документи мігрують всередині організації. Це, наприклад, накази та розпорядження, з якими співробітникам необхідно ознайомитися та завізувати своє ознайомлення.

За зовнішнього документообігу документи мігрують між компаніями. Наприклад, передаються документи з використанням електронного підпису у системах В2В або В2С.

Якщо необхідно надати звітність до контролюючих органів або для можливості користування Клієнт-Банком, також використовується електронний підпис. Фізичні особидля отримання повноцінної послуги на сайті Держпослуги також мають придбати ЕЦП.

Цифровий підпис

Електронний цифровий підпис (ЕЦП)- реквізит електронного документа, призначений для захисту даного електронного документавід підробки, отриманий в результаті криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису і що дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити відсутність спотворення інформації в електронному документі, а також забезпечує невідмовність підписувача.

Загальна схема

Схема електронного підпису зазвичай включає:

  • алгоритм генерації ключових пар користувача;
  • функцію обчислення підпису;
  • функцію перевірки підпису.

Функція обчислення підпису на основі документа та секретного ключа користувача обчислює власне підпис. Залежно від алгоритму, функція обчислення підпису може бути детермінованою або імовірнісною. Детерміновані функції завжди обчислюють однаковий підпис за однаковими вхідними даними. Імовірнісні функції вносять до підпису елемент випадковості, що посилює криптостійкість алгоритмів ЕЦП. Однак, для ймовірнісних схем необхідний надійне джерело випадковості (або апаратний генератор шуму, або криптографічно надійний генератор псевдовипадкових біт), що ускладнює реалізацію.
Нині детерміновані схеми мало використовуються. Навіть спочатку детерміновані алгоритми зараз внесені модифікації, що перетворюють їх на імовірнісні (так, в алгоритм підпису PKCS#1 додала попереднє перетворення даних (OAEP), що включає, серед іншого, зашумлення).

Функція перевірки підпису перевіряє, чи відповідає цей підпис даному документута відкритого ключа користувача. Відкритий ключ користувача доступний всім, тому будь-хто може перевірити підпис під даним документом.

Оскільки документи, що підписуються, - змінної (і досить великої) довжини, в схемах ЕЦП найчастіше підпис ставиться не на сам документ, а на його хеш. Для обчислення хеш використовуються криптографічні хеш-функції, що гарантує виявлення змін документа під час перевірки підпису. Хеш-функції є частиною алгоритму ЭЦП, у схемі може бути використана будь-яка надійна хеш-функція.

Алгоритми ЕЦП поділяються на два великі класи: звичайні цифрові підписи та цифрові підписи з відновленням документа. Звичайні цифрові підписи необхідно пристиковувати до документа, що підписується. До цього класу належать, наприклад, алгоритми, що ґрунтуються на еліптичних кривих (ГОСТ Р 34.10-2001, ДСТУ 4145-2002). Цифрові підписи з відновленням документа містять підписуваний документ: у процесі перевірки підпису автоматично обчислюється і тіло документа. До цього класу належить один із найпопулярніших алгоритмів - код автентичності повідомлення, незважаючи на схожість розв'язуваних завдань (забезпечення цілісності документа та невідмовності авторства). Алгоритми ЕЦП належать до класу асиметричних алгоритмів, тоді як коди автентичності обчислюються за симетричними схемами.

Захищеність

Цифровий підпис забезпечує:

  • Посвідчення джерела документа. Залежно від деталей визначення документа може бути підписано такі поля, як «автор», «внесені зміни», «мітка часу» тощо.
  • Захист від змін документа. При будь-якій випадковій або навмисній зміні документа (або підпису) зміниться хеш, отже, підпис стане недійсним.
  • Неможливість відмовитися від авторства. Так як створити коректний підпис можна лише знаючи закритий ключ, а він відомий тільки власнику, то власник не може відмовитися від свого підпису під документом.
  • Підприємствам та комерційним організаціям здачу фінансової звітностідо державних установ в електронному вигляді;
  • Організацію юридично значимого електронного документообігу.

Можливі атаки на ЕЦП такі…

Підробка підпису

Отримання фальшивого підпису, не маючи секретного ключа – завдання практично не вирішуване навіть для дуже слабких шифрів та хешів.

Підробка документа (колізія першого роду)

Зловмисник може спробувати підібрати документ до цього підпису, щоб підпис до нього підходив. Однак у переважній більшості випадків такий документ може бути лише один. Причина наступного:

  • Документ є осмисленим текстом.
  • Текст документа оформлений за встановленою формою.
  • Документи рідко оформлюють як Plain Text - файла, найчастіше у форматі DOC чи HTML.

Якщо у фальшивого набору байт і відбудеться колізія з хешем вихідного документа, то повинні виконатися 3 наступні умови:

  • Випадковий набір байт повинен підійти під складний структурований формат файлу.
  • Те, що текстовий редакторпрочитає у випадковому наборі байт, що має утворювати текст, оформлений за встановленою формою.
  • Текст має бути осмисленим, грамотним та відповідним до теми документа.

Втім, у багатьох структурованих наборах даних можна вставити довільні дані до деяких службових полів, не змінивши вигляд документа для користувача. Саме цим користуються зловмисники, підробляючи документи.

Імовірність подібної події також дуже мала. Можна вважати, що на практиці такого трапитися не може навіть із ненадійними хеш-функціями, оскільки документи зазвичай великого обсягу – кілобайти.

Отримання двох документів з однаковим підписом (колізія другого роду)

Куди вірогідніша атака другого роду. У цьому випадку зловмисник фабрикує два документи з однаковим підписом і в потрібний момент підміняє один іншим. При використанні надійної хеш-функції така атака має бути також обчислювально складною. Однак ці загрози можуть реалізуватися через слабкості конкретних алгоритмів хешування, підпису або помилок у їх реалізаціях. Зокрема, таким чином можна провести атаку на SSL-сертифікати та алгоритм хешування.

Соціальні атаки

Соціальні атаки спрямовані на «слабку ланку» криптосистеми – людину.

  • Зловмисник, який викрав закритий ключ, може підписати будь-який документ від імені власника ключа.
  • Зловмисник може обманом змусити власника підписати будь-який документ, наприклад, використовуючи протокол сліпого підпису.
  • Зловмисник може підмінити відкритий ключ власника (див. управління ключами) на власний, видаючи себе за нього.

Алгоритми ЕЦП

  • Американські стандарти електронного цифрового підпису: ECDSA
  • Російські стандарти електронного цифрового підпису: ГОСТ Р 34.10-94 (нині діє), ГОСТ Р 34.10-2001
  • Український стандарт електронного цифрового підпису: ДСТУ 4145-2002
  • Стандарт RSA
  • схема Шнорра

Керування ключами

Юридичні аспекти

У Росії юридично значимий сертифікат електронного підпису видає центр, що засвідчує. Правові умови використання електронного цифрового підпису в електронних документах регламентує ФЕДЕРАЛЬНИЙ ЗАКОН ВІД 10.01.2002 N 1-ФЗ «ПРО ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС»

Використання ЕЦП у Росії

Після становлення ЕЦП при використанні в електронному документообігу між кредитними організаціями та кредитними бюро у 2005 році активно почала розвиватися інфраструктура електронного ДОП між податковими органамита платниками податків. Почав працювати наказ Міністерства з податків і зборів Російської Федерації від 2 квітня 2002 р. N БГ-3-32/169 "Порядок подання податкової декларації в електронному вигляді по телекомунікаційним каналам зв'язку". Порядок подання податкової декларації в електронному вигляді на телекомунікаційних каналах зв'язку визначає загальні принципиорганізації інформаційного обміну при поданні платниками податків податкової декларації в електронному вигляді телекомунікаційними каналами зв'язку.

У Законі РФ від 10.01.2002 № 1-ФЗ «ПРО ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС» прописані умови використання електронного цифрового підпису, особливості його використання у сферах державного управління та в корпоративній інформаційній системі. Завдяки електронному цифровому підпису тепер, зокрема, багато російських компаній здійснюють свою торгово-закупівельну діяльність в Інтернеті, через «Системи електронної торгівлі», обмінюючись з контрагентами необхідними документамив електронному вигляді, підписаними ЕЦП. Це значно спрощує та прискорює проведення конкурсних торгових процедур.

У Москві в рамках реалізації ГЦП (Міської цільової програми) "Електронна Москва" було утворено Уповноважений посвідчувальний Центр ВАТ "Електронна Москва" (http://www.uc-em.ru) для вирішення завдань координації робіт та залучення інвестицій при виконанні Міської цільової програми.

Використання ЕЦП в інших країнах

Система електронних підписів широко використовується в Естонській Республіці, де введено програму ID-карт, якими забезпечено 3/4 населення країни. За допомогою електронного підпису у березні 2007 року було проведено вибори до місцевого парламенту – Рійгікогу. Під час голосування електронний підпис використали 400 000 осіб. Крім того, за допомогою електронного підпису можна надіслати податкову декларацію, митну декларацію, різні анкети як до місцевих самоврядувань, так і до державних органів. У великих містахза допомогою ID-картки можлива купівля місячних автобусних квитків. Все це здійснюється через центральний цивільний портал Eesti.ee. Естонська ID-картка є обов'язковою для всіх жителів з 15 років, які проживають тимчасово чи постійно на території Естонії.

Примітки

Федеральний закон №149 – ФЗ від 27 липня 2006р. "Про інформацію, інформаційні технології та про захист інформації" - http://uc-em.ru/download/02.doc

Федеральний закон № 126 – ФЗ від 07 липня 2003р. "Про зв'язок" - http://uc-em.ru/download/03.doc

Постанова Уряду РФ №319 від 30 червня 2004р. "Про затвердження Положення про Федеральне агентство з інформаційних технологій" - http://uc-em.ru/download/05.doc

Постанова Уряду Москви №495 – ПП від 19 червня 2007р. "Про затвердження Положення про Головний центр міста Москви, що засвідчує" - http://uc-em.ru/download/06.doc

Постанова Уряду Москви №249 – ПП від 10 квітня 2007р. "Про затвердження порядку роботи органів виконавчої влади міста Москви, державних установта державних унітарних підприємств міста Москви з електронними документами, підписаними електронним цифровим підписом" - http://uc-em.ru/download/07.doc

Постанова Уряду Москви №997 – ПП від 19 грудня 2006р. "Про затвердження порядку використання електронного цифрового підпису органами виконавчої влади міста та державними замовниками при розміщенні державного замовлення міста Москви" - http://uc-em.ru/download/08.doc

Постанова Уряду Москви №544 - ВП "Про затвердження Положення про Систему уповноважених центрів органів виконавчої влади міста Москви, що засвідчує" - http://uc-em.ru/download/09.doc

Постанова Уряду Москви №450 – ПП від 6 липня 2004р. "Про додаткові заходи щодо забезпечення ефективного використання бюджетних коштів при формуванні, розміщенні та виконанні міського державного замовлення та створення Єдиного реєстру контрактів та торгів міста Москви" - http://uc-em.ru/download/10.doc

Постанова Уряди Москви №299-ПП від 11 травня 2004р. "Про затвердження Положення про порядок організації видачі та відкликання сертифікатів ключів електронних цифрових підписів уповноважених осіб органів виконавчої влади міста Москви" - http://uc-em.ru/download/11.doc

Постанова Уряди Москви №1079-ПП від 30 грудня 2003р. "Про уповноважений орган у сфері використання електронного цифрового підпису в інформаційних системах органів виконавчої влади міста Москви" - http://uc-em.ru/download/12.doc

Про визначення уповноважених центрів, що посвідчують, - http://uc-em.ru/download/14.doc

Посилання

  • www.ECM-Journal.ru - Блоги та статті. Просто про електронний документообіг

Див. також

  • Звичайний підпис
  • Швидкий цифровий підпис

Wikimedia Foundation. 2010 .

  • Цифрова прірва
  • Цифран

Дивитись що таке "Цифровий підпис" в інших словниках:

    цифровий підпис- ЦПД Дані, додані до блоку даних, або криптографічне перетворення блоку даних, що дозволяє одержувачу даних переконатися в походженні та цілісності блоку даних та забезпечити захист від шахрайства, наприклад, одержувачем. Довідник технічного перекладача

    цифровий підпис- 3.25 цифровий підпис (digital signature): Криптографічне перетворення, яке, будучи пов'язане з елементом даних, забезпечує послуги з автентифікації джерела, цілісності даних та невідмовності сторони, що підписала. … … Словник-довідник термінів нормативно-технічної документації- числове значення, що обчислюється за текстом повідомлення за допомогою секретного ключа відправника, а перевіряється відкритим ключем, що відповідає секретному ключі відправника. Свідчить, що документ походить від тієї особи, чий цифровий підпис… … Тлумачний словникз інформаційного суспільства та нової економіки

    Електронний цифровий підпис- Стиль цієї статті неенциклопедичний чи порушує норми російської мови. Статтю слід виправити згідно з стилістичними правилами Вікіпедії. Електронний підпис (ЕП) інформація в електронній формі, приєднана до іншої інформації в електронній формі.

    ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС- (ЕЦП, цифровий підпис, електронний підпис, англ. digital signature), криптографічний засіб, аналог підпису, що дозволяє підтвердити справжність електронного документа, створеного за допомогою комп'ютера (див. КОМП'ЮТЕР). ЕЦП представляє… … Енциклопедичний словник, О. Н. Герман, Ю. В. Нестеренко. Підручник створено відповідно до Федерального державного освітнього стандарту за напрямами підготовки `Інформаційна безпека` та `Математика` (кваліфікація `бакалавр`). У…

  • Директор інформаційної служби №07/2017, Відкриті системи. «Директор інформаційної служби» (CIO.ru) – журнал для менеджерів, які відповідають за ідеологію, стратегію та реалізацію інформаційної підтримки бізнесу, керівників ІТ-підрозділів підприємств… Купити за 629 руб електронна книга

Схожі статті
Оснащення методичного кабінетуОснащення методичного кабінету Моє щеня Хто написав щеняМоє щеня Хто написав щеня Конспект НОД (підготовча група) Інтелектуальна гра «Що?Конспект НОД (підготовча група) Інтелектуальна гра «Що? Що де колись для підготовчої групиЩо де колись для підготовчої групи