- приложение. требования к форме квалифицированного сертификата ключа проверки электронной подписи | гарант
- Как государство регулирует рынок?
- Как получить электронную подпись
- Как проверить подлинность подписи
- Как работает квалифицированная электронная подпись
- Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)
- Усиленная электронная подпись
приложение. требования к форме квалифицированного сертификата ключа проверки электронной подписи | гарант
Требования к форме квалифицированного сертификата ключа проверки электронной подписи
I. Общие положения
2. В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона:
1) электронная подпись (далее – ЭП) – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
2) ключ ЭП – уникальная последовательность символов, предназначенная для создания ЭП;
3) ключ проверки ЭП – уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее – проверка ЭП);
5) сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;
7) владелец сертификата ключа проверки ЭП – лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки ЭП;
9) средства ЭП – шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций – создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;
10) средства УЦ – программные и (или) аппаратные средства, используемые для реализации функций УЦ;
12) заявитель – коммерческая организация, некоммерческая организация, индивидуальный предприниматель, физическое лицо, не зарегистрированное в качестве индивидуального предпринимателя, но осуществляющее профессиональную деятельность, приносящую доход, в соответствии с федеральными законами на основании государственной регистрации и (или) лицензии, в силу членства в саморегулируемой организации, а также любое иное физическое лицо, лица, замещающие государственные должности Российской Федерации или государственные должности субъектов Российской Федерации, должностные лица государственных органов, органов местного самоуправления, работники подведомственных таким органам организаций, нотариусы и уполномоченные на совершение нотариальных действий лица, обращающиеся с соответствующим заявлением на выдачу сертификата ключа проверки ЭП в УЦ за получением сертификата ключа проверки ЭП в качестве будущего владельца такого сертификата.
3. Настоящие Требования устанавливают требования к совокупности и порядку расположения полей квалифицированного сертификата (далее – форма квалифицированного сертификата).
4. При включении в состав квалифицированного сертификата дополнительных полей требования к их назначению и расположению в квалифицированном сертификате определяются в техническом задании на разработку (модернизацию) средств УЦ.
II. Требования к совокупности полей квалифицированного сертификата
5. Требования к совокупности полей квалифицированного сертификата устанавливаются на основании Федерального закона.
6. В соответствии со статьями 14 и 17 Федерального закона квалифицированный сертификат должен содержать следующую информацию:
– уникальный номер квалифицированного сертификата;
– даты начала и окончания действия квалифицированного сертификата;
– фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата – для физического лица, либо наименование и место нахождения владельца квалифицированного сертификата – для юридического лица, а также в случаях, предусмотренных Федеральным законом, фамилия, имя и отчество (если имеется) физического лица, действующего от имени владельца квалифицированного сертификата – юридического лица на основании учредительных документов юридического лица или доверенности (далее – уполномоченный представитель юридического лица);
– страховой номер индивидуального лицевого счета (далее – СНИЛС) владельца квалифицированного сертификата – для физического лица;
– основной государственный регистрационный номер (далее – ОГРН) владельца квалифицированного сертификата – для российского юридического лица;
– основной государственный регистрационный номер индивидуального предпринимателя (далее – ОГРНИП) – владельца квалифицированного сертификата – для физического лица, являющегося индивидуальным предпринимателем;
– идентификационный номер налогоплательщика (далее – ИНН) владельца квалифицированного сертификата – для физического лица, российского юридического лица и, при наличии, для иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации);
– уникальный ключ проверки ЭП;
– наименование используемого средства ЭП и (или) стандарты, требованиям которых соответствует ключ ЭП и ключ проверки ЭП;
– наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с Федеральным законом;
– наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат;
– номер квалифицированного сертификата аккредитованного УЦ;
– идентификатор, однозначно указывающий на то, что идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась либо при его личном присутствии, либо без его личного присутствия с использованием квалифицированной ЭП при наличии действующего квалифицированного сертификата либо посредством идентификации заявителя – гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, или путем предоставления сведений из федеральной государственной информационной системы “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме” 1 (далее – единая система идентификации и аутентификации) и единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее – единая биометрическая система), в порядке, установленном Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации” 2.
------------------------------
1Постановление Правительства Российской Федерации от 28 ноября 2021 г. N 977 “О федеральной государственной информационной системе “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме” (Собрание законодательства Российской Федерации, 2021, N 49 (ч. V), ст. 7284; 2020, N 34, ст. 5484).
2 Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3448; 2020, N 24, ст. 3751.
------------------------------
7. Квалифицированный сертификат должен содержать квалифицированную ЭП аккредитованного УЦ (доверенного лица аккредитованного УЦ, уполномоченного федерального органа), подтверждающую принадлежность ключа проверки ЭП владельцу квалифицированного сертификата.
III. Требования к порядку расположения полей квалифицированного сертификата
10. Структура квалифицированного сертификата в форме электронного документа, определенная в соответствии со спецификацией абстрактной синтаксической нотации версии один 2, должна иметь следующий общий вид:
Certificate ::= SIGNED { SEQUENCE {version [0] Version DEFAULT v l,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueIdentifier [1] IMPLICIT UniqueIdentifier OPTIONAL,
subjectUniqueIdentifier [2] IMPLICIT UniqueIdentifier OPTIONAL,
extensions [3] Extensions OPTIONAL } }
SIGNED { ToBeSigned } ::= SEQUENCE {toBeSigned ToBeSigned,
COMPONENTS OF SIGNATURE { ToBeSigned } }SIGNATURE { ToBeSigned } ::= SEQUENCE {algorithmIdentifier AlgorithmIdentifier,
encrypted ENCRYPTED-HASH { ToBeSigned } }ENCRYPTED-HASH { ToBeSigned } ::= BIT STRING (CONSTRAINED BY { ToBeSigned }).------------------------------
2 Справочно: Спецификация абстрактной синтаксической нотации версии один определена в ГОСТ Р ИСО/МЭК 8824-1-2001 “Информационная технология. Абстрактная синтаксическая нотация версии один (АСН.1). Часть 1. Спецификация основной нотации”.
------------------------------
12. Поле encrypted содержит ЭП, сформированную аккредитованным УЦ, доверенным лицом аккредитованного УЦ либо уполномоченным федеральным органом под структурированной совокупностью полей квалифицированного сертификата (toBeSigned).
15. Поле signature (подпись) содержит идентификатор криптографического алгоритма, с использованием которого аккредитованный УЦ, доверенное лицо аккредитованного УЦ либо уполномоченный федеральный орган сформировали ЭП данного квалифицированного сертификата. Содержимое данного поля должно совпадать с содержимым поля algorithmIdentifier.
17. Стандартные атрибуты имени описаны в справочнике выбранных типов атрибутов 1. При описании формы квалифицированного сертификата используются следующие стандартные атрибуты имени:
------------------------------
1 Справочно: Выбранные типы атрибутов определены в ГОСТ Р ИСО/МЭК 9594-6-98 “Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 6. Выбранные типы атрибутов” и в международном стандарте ISO/IEC 9594-6:2008 “Information technology – Open systems interconnection – The Directory: Selected attribute types”, опубликованном по адресу в информационно-телекоммуникационной сети Интернет: http://www.itu.int/rec/T-REC-X.520-200811-I/en.
------------------------------
18. К дополнительным атрибутам имени, необходимость использования которых устанавливается в соответствии с Федеральным законом, относятся:
20. Поле subject имеет тип Name и идентифицирует владельца квалифицированного сертификата.
22. Необязательные поля issuerUniqueIdentifier и subjectUniqueIdentifier имеют тип UniqueIdentifier. Настоящие Требования не устанавливают требований к использованию указанных полей.
25. Дополнение keyUsage определяет область использования ключа проверки ЭП, содержащегося в поле subjectPublicKeylnfo квалифицированного сертификата. Дополнение keyUsage имеет тип KeyUsage, структура которого определяется следующим образом:
KeyUsage ::= BIT STRING {digitalSignature (0),
contentCommitment (1),
keyEncipherment (2),
dataEncipherment (3),
keyAgreement (4),
keyCertSign (5),
cRLSign (6),
encipherOnly (7),
decipherOnly (8)}.
Значение “1” в нулевом бите означает, что область использования ключа включает проверку ЭП под электронными документами, отличными от квалифицированных сертификатов и списков уникальных номеров квалифицированных сертификатов ключей проверки ЭП, действие которых на определенный момент было прекращено УЦ до истечения их действия (далее – список аннулированных сертификатов), предназначенными для выполнения процедур аутентификации или контроля целостности.
Значение “1” в первом бите означает, что область использования ключа включает проверку ЭП под электронными документами, отличными от квалифицированных сертификатов и списков аннулированных сертификатов, в отношении которых ставится задача обеспечения невозможности отказа подписавшего лица от своего действия.
Значение “1” во втором бите означает, что область использования ключа включает зашифрование закрытых или секретных ключей, например в целях их защищенной доставки.
Значение “1” в третьем бите означает, что область использования ключа включает непосредственно зашифрование пользовательских данных без дополнительного использования методов симметричной криптографии.
Значение “1” в четвертом бите означает, что область использования ключа включает согласование ключей.
Значение “1” в пятом бите означает, что область использования ключа включает проверку подписей под квалифицированными сертификатами.
Значение “1” в шестом бите означает, что область использования ключа включает проверку подписей под списками аннулированных сертификатов.
Значение “1” в седьмом бите означает, что область использования ключа включает зашифрование данных в процессе согласования ключей (при этом в четвертом бите должно быть значение “1”).
Значение “1” в восьмом бите означает, что область использования ключа включает расшифрование данных в процессе согласования ключей (при этом в четвертом бите должно быть значение “1”).
Объектный идентификатор дополнения keyUsage имеет вид 2.5.29.15.
28. Сведения о классе средств ЭП владельца квалифицированного сертификата должны быть указаны в дополнении certificatePolicies путем включения следующих идентификаторов:
– для класса средств ЭП КС 1: 1.2.643.100.113.1,
– для класса средств ЭП КС2: 1.2.643.100.113.1, 1.2.643.100.113.2,
– для класса средств ЭП КС3: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3,
– для класса средств ЭП КВ1: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4,
– для класса средств ЭП КВ2: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5,
– для класса средств ЭП КА1: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5, 1.2.643.100.113.6.
Для средств ЭП, класс которых отличается от класса средств УЦ, в которых используются указанные средства ЭП, следует указывать идентификаторы для класса средств ЭП, соответствующего классу средств УЦ.
28.1. Для указания в квалифицированном сертификате идентификатора, однозначно указывающего на то, что идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась при его личном присутствии или без его личного присутствия с использованием квалифицированной ЭП при наличии действующего квалифицированного сертификата либо без личного присутствия заявителя – гражданина Российской Федерации с применением информационных технологий путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, или путем предоставления сведений из единой системы идентификации и аутентификации и единой биометрической системы в порядке, установленном Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”, должно использоваться некритичное дополнение identificationKind типа IdentificationKind, имеющего следующее представление:
IdentificationKind ::= INTEGER { personal(O), remote_cert(l), remote_passport(2), remote_system(3) }.
В случае, если идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась при его личном присутствии, дополнение identificationKind должно иметь значение 0.
В случае, если идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с использованием квалифицированной ЭП при наличии действующего квалифицированного сертификата, дополнение identificationKind должно иметь значение 1.
В случае, если идентификация заявителя – гражданина Российской Федерации при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с применением информационных технологий путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, дополнение identificationKind должно иметь значение 2.
В случае, если идентификация заявителя – гражданина Российской Федерации при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой биометрической системы в порядке, установленном Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”, дополнение identificationKind должно иметь значение 3.
Объектный идентификатор типа IdentificationKind имеет вид 1.2.643.100.114.
29. Для указания в квалифицированном сертификате наименования используемого владельцем квалифицированного сертификата средства ЭП должно использоваться некритичное дополнение subjectSignTool типа UTF8String SIZE(1..200), объектный идентификатор которого имеет вид 1.2.643.100.111.
30. Для указания в квалифицированном сертификате наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизитов документа, подтверждающего соответствие указанных средств требованиям, установленным законодательством Российской Федерации, должно использоваться некритичное дополнение issuerSignTool типа IssuerSignTool, имеющего следующее представление:
IssuerSignTool ::= SEQUENCE {signTool UTF8String SIZE(1.200),
cATool UTF8String SIZE(1..200),
signToolCert UTF8String SIZE(1.. 100),
cAToolCert UTF8String SIZE(1.100) }.
В строковом поле signTool должно содержаться полное наименование средства ЭП, которое было использовано для создания ключа ЭП, ключа проверки ЭП и квалифицированного сертификата.
В строковом поле cATool должно содержаться полное наименование средства аккредитованного УЦ, которое было использовано для создания ключа ЭП, ключа проверки ЭП и квалифицированного сертификата.
В строковом поле signToolCert должны содержаться реквизиты заключения ФСБ России о подтверждении соответствия средства ЭП, которое было использовано для создания ключа ЭП, ключа проверки ЭП, требованиям, установленным в соответствии с Федеральным законом (далее – заключение о подтверждении соответствия средства электронной подписи).
В строковом поле cAToolCert должны содержаться реквизиты заключения ФСБ России о подтверждении соответствия средства УЦ, которое было использовано для создания квалифицированного сертификата, требованиям, установленным в соответствии с Федеральным законом (далее – заключение о подтверждении соответствия средства удостоверяющего центра).
Объектный идентификатор типа IssuerSignTool имеет вид 1.2.643.100.112.
IV. Требования к форме квалифицированного сертификата
на бумажном носителе
Как государство регулирует рынок?
В конце декабря прошлого года Президент РФ подписал поправки к закону № 63-ФЗ, который реформирует систему выдачи электронных подписей — № 476-ФЗ. Он вступит в силу 1 июля 2020 года. Предварительно, исходя из законодательства, ситуация изменится следующим образом.
Появится ДТС — доверенная третья сторона. Её роль — проверка ЭП для «обеспечения доверия». Это юрлицо, то есть частный бизнес, который предоставляет услуги OCSP (онлайн-проверки валидности сертификатов) и TSP (метки доверенного времени, которые тоже ввели в закон).
Аккредитованные Минкомсвязью удостоверяющие центры не смогут выдавать электронные подписи юридическим лицам, а будут работать только с физлицами. Минимальный размер собственного капитала УЦ должен будет составлять 1 млрд руб. (сейчас – не менее 7 млн руб.).
Также предварительно выдачу КЭП будут осуществлять:
— УЦ ФНС России: юридическим лицам, ИП (кроме кредитно-финансовой сферы) и нотариусам
— УЦ Банка России: кредитным организациям, операторам платежных систем, финансовым организациям и ИП.
— УЦ Федерального казначейства: государственным служащим.
— УЦ, получившие аккредитацию Минкомсвязи: только физическим лицам.
По мнению авторов законопроекта, это поможет сократить масштабы мошенничества с использованием электронных подписей. Но бизнес сообщество выразило недовольство поправкам. Одним из решений для среднего бизнеса может стать переход на неквалифицированную ЭП. В рамках двусторонних отношений компаниям не нужна усиленная подпись, если включить в договор пункт об использовании НЭП.
Как получить электронную подпись
Для получения усиленной квалифицированной электронной подписи вам понадобятся:
- документ, удостоверяющий личность;
- страховое свидетельство обязательного пенсионного страхования (СНИЛС);
- индивидуальный номер налогоплательщика (ИНН);
- основной государственный регистрационный номер записи о государственной регистрации физического лица в качестве индивидуального предпринимателя (если вы являетесь индивидуальным предпринимателем);
- дополнительный комплект документов, подтверждающий ваши полномочия действовать от имени юридического лица (если вы получаете подпись представителя юридического лица).
Документы необходимо представить в аккредитованный удостоверяющий центр (найти их вы можете в списке или на карте) или в центр услуг для бизнеса в ВАО по адресу: Москва, улица Средняя Первомайская, дом 3. Сотрудник центра, после того как установит вашу личность и проверит документы, запишет сертификат и ключи электронной подписи на сертифицированный электронный носитель — электронную карту или флеш-накопитель. Там же можно приобрести средства криптозащиты информации.
Стоимость услуги по предоставлению сертификата и ключей электронной подписи определяется регламентом аккредитованного удостоверяющего центра и зависит, в частности, от области применения электронной подписи.
Кто может получить квалифицированную электронную подпись бесплатно
С 1 июля 2021 года юридические лица (лица, имеющие право действовать от имени юридического лица без доверенности), индивидуальные предприниматели и нотариусы могут бесплатно получить квалифицированную электронную подпись в удостоверяющем центре C 1 января 2022 года на ФНС России возлагаются функции по выпуску квалифицированных электронных подписей для юридических лиц (лиц, имеющих право действовать от имени юридического лица без доверенности), индивидуальных предпринимателей и нотариусов.
В рамках бесшовного перехода от платной услуги по выпуску электронной подписи к бесплатной государственной с 1 июля 2021 года получить квалифицированную электронную подпись можно в удостоверяющем центре ФНС России.
Срок действия квалифицированных подписей, выпущенных коммерческими удостоверяющими центрами, закончится 1 января 2022 года.
“>Федеральной налоговой службы (УЦ ФНС) России.
Для этого:
- предварительно запишитесь в территориальный налоговый орган (их перечень можно скачать по ссылке);
- лично подайте заявление о выпуске подписи, паспорт и СНИЛС. Граждане, имеющие право действовать от имени организации без доверенности, и индивидуальные предприниматели могут подать заявление через личный кабинет налогоплательщика — физлица на сайте ФНС;
- пройдите идентификацию;
- предоставьте В частности Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta-2 SE (JaCarta-2 PKI/ГОСТ/SE), JaCarta LT, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta PKI, ESMART Token, ESMART Token ГОСТ, а также другие, соответствующие установленным требованиям.
Один такой носитель можно использовать для хранения до 32 подписей и сертификатов к ним, выданных как коммерческими, так и государственными удостоверяющими центрами. При этом неважно, какой удостоверяющий центр их выдал.
“>носитель ключевой информации
формата USB (тип А), сертифицированный Федеральной службой по техническому и экспортному контролю или Федеральной службой безопасности России.
Вы можете купить носитель ключевой информации у дистрибьюторов производителей и в специализированных интернет-магазинах или же использовать уже имеющийся при условии, что он соответствует требованиям. Вы также можете купить носитель и подготовить заявление, обратившись к операторам электронного документооборота.
Если вы получили квалифицированную электронную подпись в УЦ ФНС России и у вас возникли вопросы, вы можете обратиться в службу технической поддержки или по телефону единого контакт-центра ФНС России: 8 (800) 222-22-22.
Как проверить подлинность подписи
Проверку подписи проводят, чтобы убедиться в юридической силе документа. Это нужно, если партнеры отправляют документы не через системы ЭДО. Например, заказчик принимает заявки от участников тендера не через торговую площадку, а обычной электронной почтой.
Проверить подлинность электронной подписи можно через специальные сервисы.
Сервис КриптоПро
Контур.Крипто
Сайт госуслуг
Как работает квалифицированная электронная подпись
Технически КЭП — сгенерированный файл с уникальной последовательностью цифр, который прикрепляется к документу.
Электронная подпись состоит из трех компонентов:
- закрытого ключа, который генерирует электронную подпись;
- открытого ключа для проверки подлинности подписи;
- сертификата ЭП с данными о владельце подписи и об удостоверяющем центре.
Закрытый ключ — набор символов, с помощью которого создается уникальная электронная подпись для документа. Закрытый ключ можно хранить на компьютере, диске, флешке, в облаке, но лучше всего использовать токен.
Токен — специальный USB-носитель для электронной подписи. Внешне он похож на обычную флешку. В токен встроена защищенная карта памяти, поэтому использовать его безопаснее: никто не сможет взломать или перехватить вашу подпись в интернете.
Открытый ключ содержит публичную информацию. По нему получатель документа может проверить подлинность подписи и целостность документа.
Для работы с подписью нужна специальная программа — СКЗИ, средство криптографической защиты информации. Она шифрует и дешифрует электронные документы. Есть разные СКЗИ: КриптоПро CSP, Signal-COM CSP, ЛИССИ-CSP, VipNet CSP. Когда пойдете получать подпись, в удостоверяющем центре расскажут, какую программу нужно будет использовать.
Подписание документа, по сути, процесс взаимодействия открытого и закрытого ключей. К примеру, вы хотите отправить договор партнеру через систему электронного документооборота (ЭДО). Упрощенно, процесс такой:
- Вы подписываете документ в системе. С помощью СКЗИ для договора создается хэш-сумма — уникальная последовательность цифр, которая генерируется на основе содержания документа.
- Хэш-сумма шифруется с помощью закрытого ключа. Это и есть уникальная подпись договора.
- Вы отправляете зашифрованный документ партнеру через систему ЭДО. Этот документ передается вместе с подписью и данными сертификата, где указан открытый ключ.
- Партнер получает документ. С помощью открытого ключа он расшифровывает документ. СКЗИ на стороне получателя тоже вычисляет хэш-сумму и сравнивает ее с той, которую вы зашифровали при подписании документа.
Если эти две последовательности чисел совпадают, подпись верна, договор подписан и имеет юридическую силу. Если не совпадают, значит, документ меняли после подписания: подпись признается недействительной, а договор не имеет юридической силы.
Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)
К началу страницы
Свойство экспортируемости или неэкспортируемости закрытого ключа присваивается на этапе формирования закрытого ключа и записи его на ключевой носитель. Указанное свойство может быть реализовано в средствах электронной подписи и управляться его настройками, которые следует установить до формирования закрытого ключа.
Для экспортируемых закрытых ключей доступно их копирование, что несет риски нарушения конфиденциальности закрытого ключа.
Для копирования закрытого ключа нарушителю потребуется получить физический доступ к ключевому носителю и узнать пароль (PIN-код).
Возможность копирования закрытого ключа создаёт риск возникновения неучтенных копий, усложняет контроль за его хранением, использованием и уничтожением. Также указанное усложняет определение возможного нарушителя, особенно когда нарушитель начнет использовать копию не сразу.
Неэкспортируемые закрытые ключи обладают большей защищенностью, так как записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи стандартных СКЗИ. Получение доступа к такому ключу требует применения специальных средств и техники.
Извлекаемые и неизвлекаемые закрытые ключи
Свойство неизвлекаемости закрытого ключа достигается способом его создания и хранения, и напрямую зависит от вида ключевого носителя. Для обеспечения свойства неизвлекаемости закрытого ключа используются только активные ключевые носители, содержащие в себе аппаратно реализованные функции СКЗИ, при использовании которых создается и используется неизвлекаемый закрытый ключ.
Для некоторых ключевых носителей существует возможность записи закрытого ключа на активные ключевые носители сторонними СКЗИ (установленными локально на компьютерное устройство или непосредственно в информационной системе удостоверяющего центра) и, в таком случае, такой носитель применяется как пассивный ключевой носитель, который может обеспечить только свойство неэкспортируемости закрытого ключа.
К извлекаемым закрытым ключам относятся все виды закрытых ключей, за исключением неизвлекаемых, включая экспортируемые и неэкспортируемые.
Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.
Для доступа к защищенному содержимому данного ключевого носителя необходимо ввести пароль (PIN-код). Закрытый ключ хранится в ключевом контейнере на ключевом носителе. Пароль (PIN-код), которым защищён от доступа закрытый ключ на таком носителе, при получении следует изменить, обеспечить его надежное хранение и исключить доступ к паролю любых лиц.
При подписании электронного документа с использованием пассивного носителя и средства электронной подписи вычисляется уникальный набор символов – хэш документа, однозначно связанных с содержанием электронного документа. Далее закрытый ключ копируется в память компьютерного устройства, где с его помощью средство электронной подписи выполняет криптографические операции формирования электронной подписи – подписание электронного документа. По завершении процедуры подписания закрытый ключ удаляется из памяти компьютерного устройства. Процедура подписания электронного документа происходит незаметно для пользователя в течение нескольких секунд.
На ключевом носителе установлено ограничение попыток неправильного ввода пароля (PIN-кода) и при превышении такого лимита ключевой носитель блокируется. Несмотря на это пассивный ключевой носитель обладает средним уровнем защищенности от атак злоумышленников – в момент подписания документа образуется короткий промежуток времени, когда закрытый ключ находится в памяти компьютерного устройства, где существует возможность его перехвата злоумышленником с высоким уровнем технических знаний и/или с использованием специальных технических средств. Для исключения такого вида атак существует активный ключевой носитель.
Активный ключевой носитель (криптографический ключевой носитель)
Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.
Активный ключевой носитель содержит в себе функции СКЗИ. Закрытый ключ на таком ключевом носителе хранится в защищенном ключевом контейнере и в специальном внутреннем формате.
У такого носителя существует ряд технических преимуществ перед пассивным ключевым носителем:
- создание закрытого ключа происходит на самом носителе с использованием аппаратных криптографических функций ключевого носителя;
- при подписании электронного документа закрытый ключ не копируется в память или реестр компьютерного устройства – подписание электронного документа происходит на самом ключевом носителе;
- закрытый ключ ни в какой момент времени не покидает ключевой носитель.
Вычисление значения хэш документа может происходить на компьютерном устройстве, а итоговое формирование электронной подписи только на самом активном ключевом носителе.
Компрометация закрытого ключа на таком носителе возможна только в случае его хищения вместе с паролем (PIN-кодом).
Активный ключевой носитель (криптографический ключевой носитель) обладает высоким уровнем защищенности от атак злоумышленников. Риск атаки «подмена хэша» злоумышленником присутствует, но такие случаи крайне редки.
При выборе вида ключевого носителя для хранения закрытого ключа электронной подписи следует учитывать, что электронная подпись считается равнозначной собственноручной подписи в случаях, установленных Федеральным законом от 06.04.2021 № 63-ФЗ «Об электронной подписи». Рекомендуется использовать ключевые носители с наивысшей степенью защиты закрытого ключа.
Рекомендуется сменить пароль доступа к ключевому носителю (PIN-код), установленный его изготовителем, на уникальный – известный только владельцу электронной подписи. Рекомендуемая длина пароля – не менее 6 символов с использованием специальных символов, прописных и строчных латинских букв. Рекомендуется периодическая смена пароля.
Не рекомендуется при выборе пароля основываться на типовых шаблонах и идущих подряд на клавиатуре или алфавите символов (qwerty, abcde, 12345 и другие) на каком-либо идентификаторе, паспортных данных, кличек питомцев и подобных ассоциаций.
Не рекомендуется активировать функцию «запомнить пароль» в средствах электронной подписи и настройках программного обеспечения, которое необходимо для использования ключевого носителя.
Организационные меры предосторожности
Не рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:
- передавать ключевой носитель третьим лицам;
- записывать пароль доступа к ключевому носителю (PIN-код) на бумаге или непосредственно на ключевом носителе, запоминать пароли в реестровой памяти систем электронных устройств и хранить парольную информацию в общедоступных местах;
- оставлять ключевой носитель без присмотра в доступных или общественных местах;
- оставлять без присмотра ключевой носитель в компьютерном устройстве, на котором осуществляется подписание электронных документов (usb-порты в системном блоке компьютера, ноутбука, планшета или других электронных устройствах).
Рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:
- при необходимости, обеспечивать сотрудников организации, не имеющих права действовать без доверенности, их персональными закрытыми ключами и сертификатами электронной подписи, с наделением их правом подписи распорядительными документами организации путем оформления доверенности;
- хранить ключевой носитель в недоступном для третьих лиц месте;
при потере или краже ключевого носителя незамедлительно обратиться в удостоверяющий центр, выпустивший сертификат электронной подписи, и прекратить действие такого сертификата электронной подписи, и, не дожидаясь завершения процедуры аннулирования, уведомить контрагентов о том, что утраченный сертификат с соответствующим серийным номером, считается уже недействительным.
Усиленная электронная подпись
В КЭП и НЭП заложены криптографические алгоритмы. Чем эти виды подписи отличаются друг от друга?
- Средствами и алгоритмами, при помощи которых создается ЭП. В случае с НЭП на них не накладываются никакие дополнительные ограничения. Это может быть американский, российский, белорусский и другой криптографический алгоритм.
- ПО для работы с ЭП. В случае с НЭП на средства ЭП не накладываются ограничения. В случае с КЭП, наоборот, к средствам предъявляются дополнительные требования — они должны быть сертифицированы в ФСБ и соответствовать определенным стандартам. Это сразу же влечет за собой ограничение на криптографический алгоритм, а именно должны применяться только российские алгоритмы в соответствии с ГОСТ. Накладываются требования и на сам сертификат ЭП по его структуре, то есть существуют жесткие требования, определяющие структуру этого сертификата.
- Аккредитованный удостоверяющий центр (УЦ). Квалифицированные сертификаты ЭП должны выпускаться УЦ, которые прошли процедуру аккредитации в Минкомсвязи. Такие УЦ удовлетворяют ряду довольно серьезных требований, гарантирующих их надежность.
- Структура сертификата ЭП. Квалифицированный сертификат ЭП должен удовлетворять требованиям по структуре, например, содержать СНИЛС владельца. К неквалифицированным таких требований не предъявляется.
Таким образом, суть отличия между НЭП и КЭП прозрачна: так как на КЭП накладывается несколько жестких ограничений, ее юридический статус выше. КЭП — это единственная подпись, которая признается равной собственноручной подписи без дополнительных мероприятий.
Что касается НЭП, то для признания ее равной собственноручной подписи требуются дополнительные соглашения между участниками электронного документооборота (ЭДО) либо отдельный нормативно-правовой акт, регламентирующий факт равнозначности. Например, если между двумя компаниями осуществляется ЭДО, то документы они подписывают ЭП.
В этом случае компании могут пользоваться НЭП, но тогда им придется заключить между собой соглашение, устанавливающее правила использования и признания этой ЭП. Они могут пользоваться, допустим, американской криптографией, встроенной в Windows, не прикладывая никаких дополнительных усилий.
При этом в суде им нужно будет доказывать юридическую значимость на основе данного соглашения. В случае допущения в соглашении о документообороте каких-то ошибок, значимость электронного документа может быть не признана. Если те же самые компании ведут ЭДО, используя КЭП, то им не понадобятся дополнительные соглашения друг с другом, а юридическая значимость документов будет в силу ФЗ признаваться автоматически.