Что такое электронная подпись — простым языком для новичков мира цифровой экономики
30 октября 2021
В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.
Что такое электронная подпись?
Электронная подпись – это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.
Справочно:
Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т.д.
Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:
— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,
— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.
Возможности электронной подписи
Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.
Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.
Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.
Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?
Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.
Справочно:
Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.
Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).
Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.
Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.
Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.
Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?
Выданная электронная подпись состоит из 3 элементов:
1 – средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако». Подробнее прочитать о технологиях ЭЦП, связанных с использованием «электронного облака», можно будет в следующей статье Единого портала Электронной подписи.
Справочно:
Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.
Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона № 63.
2 – ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них – ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете. Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым». Он не содержится в тайне, однозначно привязан к «закрытому» ключу и необходим, чтобы любой желающий мог проверить корректность электронной подписи.
3 – сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией). На практике это выглядит следующим образом: например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову. Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим. Таким образом, преступник получит возможность выдавать себя за подписанта. В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.
В соответствии с законодательством РФ различают:
— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;
— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.
Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр — понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.
Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:
- Клиент приобрел средство электронной подписи.
- Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.
- УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.
Вопрос безопасности
Требуемые свойства подписываемых документов:
- целостность;
- достоверность;
- аутентичность (подлинность; «неотрекаемость» от авторства информации).
Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.
С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.
Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.
Как подписать файл электронной подписью?
Для подписания файла ЭЦП нужно выполнить несколько шагов. В качестве примера рассмотрим, как поставить квалифицированную электронную подпись на свидетельство на товарный знак Единого портала Электронной подписи в формате .pdf. Нужно:
1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».
2. Пройти путь в диалоговых окнах криптопровайдера:
Выбрать кнопку «Далее».
На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.
Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).
В блоке «Свойства подписи» выбираете «Подписано», при необходимости можно добавить комментарий. Остальные поля можно исключить/выбрать по желанию.
Из хранилища сертификатов выбираете нужный.
После проверки правильности поля «Владелец сертификата», нажимайте кнопку «Далее».
В данном диалоговом окне проводится финальная проверка данных, необходимых для создания электронной подписи, а затем после клика на кнопку «Готово» должно всплыть следующее сообщение:
Успешное окончание операции означает, что файл был криптографически преобразован и содержит реквизит, фиксирующий неизменность документа после его подписания и обеспечивающий его юридическую значимость.
Итак, как же выглядит электронная подпись на документе?
Для примера берем файл, подписанный электронной подписью (сохраняется в формате .sig), и открываем его через криптопровайдер.
Фрагмент рабочего стола. Слева: файл, подписанный ЭП, справа: криптопровайдер (например, КриптоАРМ).
Визуализация электронной подписи в самом документе при его открытии не предусмотрена ввиду того, что она является реквизитом. Но есть исключения, например, электронная подпись ФНС при получении выписки из ЕГРЮЛ/ЕГРИП через онлайн сервис условно отображается на самом документе. Скриншот можно найти по ссылке.
Но как же в итоге «выглядит» ЭЦП, вернее, как факт подписания обозначается в документе?
Открыв через криптопровайдер окно «Управление подписанными данными», можно увидеть информацию о файле и подписи.
При нажатии на кнопку «Посмотреть» появляется окно, содержащее информацию о подписи и сертификате.
Последний скриншот наглядно демонстрирует как выглядит ЭЦП на документе «изнутри».
Приобрести электронную подпись можно по ссылке.
Задавайте другие вопросы по теме статьи в комментариях, эксперты Единого портала Электронной подписи обязательно ответят Вам.
Статья подготовлена редакцией Единого портала Электронной подписи my-sertif.ru с использованием материалов компании SafeTech.
При полном или частичном использовании материала гиперссылка на www.my-sertif.ru обязательна.
Статья 25. обязательная сертификация / консультантплюс
1. Обязательная сертификация осуществляется органом по сертификации на основании договора с заявителем. Схемы сертификации, применяемые для сертификации определенных видов продукции, устанавливаются соответствующим техническим регламентом. Круг заявителей устанавливается соответствующим техническим регламентом.
(в ред. Федерального закона от 21.07.2021 N 255-ФЗ)
(см. текст в предыдущей редакции)
2. Соответствие продукции требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации.
Сертификат соответствия включает в себя:
наименование и местонахождение заявителя;
наименование и местонахождение изготовителя продукции, прошедшей сертификацию;
наименование и местонахождение органа по сертификации, выдавшего сертификат соответствия;
информацию об объекте сертификации, позволяющую идентифицировать этот объект;
наименование технического регламента, на соответствие требованиям которого проводилась сертификация;
информацию о проведенных исследованиях (испытаниях) и измерениях;
информацию о документах, представленных заявителем в орган по сертификации в качестве доказательств соответствия продукции требованиям технических регламентов;
срок действия сертификата соответствия;
информацию об использовании или о неиспользовании заявителем национальных стандартов Российской Федерации, включенных в перечень документов по стандартизации, в результате применения которых на добровольной основе обеспечивается соблюдение требований технического регламента.
(абзац введен Федеральным законом от 21.07.2021 N 255-ФЗ; в ред. Федерального закона от 05.04.2021 N 104-ФЗ)
(см. текст в предыдущей редакции)
Сертификат соответствия выдается на серийно выпускаемую продукцию, на отдельно поставляемую партию продукции или на единичный экземпляр продукции.
(абзац введен Федеральным законом от 21.07.2021 N 255-ФЗ)
Срок действия сертификата соответствия определяется соответствующим техническим регламентом. В случае расхождения сведений между сертификатом соответствия, выданным на бумажном носителе, и сведениями, внесенными в реестр сертификатов соответствия и деклараций о соответствии, приоритет имеют сведения, внесенные в реестр сертификатов соответствия и деклараций о соответствии.
(в ред. Федерального закона от 22.12.2020 N 460-ФЗ)
(см. текст в предыдущей редакции)
Форма сертификата соответствия и состав сведений, содержащихся в сертификатах соответствия, утверждаются федеральным органом исполнительной власти по техническому регулированию по согласованию с национальным органом по аккредитации и иными заинтересованными федеральными органами исполнительной власти.
(в ред. Федерального закона от 22.12.2020 N 460-ФЗ)
(см. текст в предыдущей редакции)
2.1. Орган по сертификации, выдавший сертификат соответствия на серийно выпускаемую продукцию, обязан проводить периодическую оценку сертифицированной продукции (далее – инспекционный контроль) в порядке и с периодичностью, которые предусмотрены требованиями права Евразийского экономического союза и законодательства Российской Федерации о техническом регулировании. Сведения о прохождении инспекционного контроля подлежат включению в реестр сертификатов соответствия и деклараций о соответствии.
В случаях непроведения в установленный срок инспекционного контроля, если инспекционный контроль предусмотрен техническим регламентом, схемой обязательной сертификации, договором, или непредставления органом по сертификации сведений о прохождении инспекционного контроля в реестр сертификатов соответствия и деклараций о соответствии сертификат соответствия прекращает действие по истечении 30 дней со дня наступления последнего дня месяца, в котором должен быть проведен инспекционный контроль, но не позднее чем по истечении одного года со дня прекращения действия аккредитации (сокращения области аккредитации в соответствующей части) аккредитованного лица, который выдал сертификат соответствия, аккредитация которого в качестве органа по сертификации была прекращена или область аккредитации которого была сокращена в соответствии с законодательством Российской Федерации об аккредитации в национальной системе аккредитации (в части проведения соответствующих работ по обязательной сертификации). Сведения о прекращении действия сертификата соответствия вносятся органом по аккредитации в реестр сертификатов соответствия и деклараций о соответствии. В случае невозможности проведения инспекционного контроля орган по сертификации обязан уведомить об этом заявителя за 30 дней до истечения срока проведения инспекционного контроля.
В случае прекращения в соответствии с абзацем вторым настоящего пункта действия сертификата соответствия, выданного в отношении серийно выпускаемой продукции, выпущенной в обращение на основании такого сертификата соответствия, данная продукция может находиться в обращении в течение срока ее годности или срока службы, установленных в соответствии с законодательством Российской Федерации, без проведения новых процедур по оценке соответствия при условии, что данная продукция произведена до даты прекращения действия указанного сертификата соответствия.
(п. 2.1 введен Федеральным законом от 22.12.2020 N 460-ФЗ)
2.2. В случае прекращения аккредитации органа по сертификации (сокращения области аккредитации) заявитель вправе заключить договор о передаче сертификата соответствия, выданного на серийно выпускаемую продукцию, в том числе по выполнению инспекционного контроля, с иным аккредитованным в национальной системе аккредитации органом по сертификации с действующей на момент передачи сертификата соответствия областью аккредитации, распространяющейся на продукцию, которая была сертифицирована.
Орган по сертификации, с которым был заключен договор о передаче сертификата соответствия, выданного на серийно выпускаемую продукцию, пользуется всеми правами и несет все обязанности и ответственность, которые предусмотрены законодательством Российской Федерации для органа по сертификации, выдавшего сертификат соответствия.
(п. 2.2 введен Федеральным законом от 22.12.2020 N 460-ФЗ)
3. В случае, если в отношении впервые выпускаемой в обращение продукции отсутствуют или не могут быть применены документы по стандартизации, в результате применения которых на добровольной основе обеспечивается соблюдение требований технического регламента, и такая продукция относится к виду, типу продукции, подлежащей обязательной сертификации, изготовитель (лицо, выполняющее функции иностранного изготовителя) вправе осуществить декларирование ее соответствия на основании собственных доказательств. При декларировании соответствия такой продукции изготовитель (лицо, выполняющее функции иностранного изготовителя) указывает в декларации о соответствии, в сопроводительной документации и при маркировке такой продукции сведения о том, что обязательная сертификация такой продукции не осуществлялась.
(в ред. Федерального закона от 05.04.2021 N 104-ФЗ)
(см. текст в предыдущей редакции)
В случае, если в отношении впервые выпускаемой в обращение продукции отсутствуют или не могут быть применены документы по стандартизации, в результате применения которых на добровольной основе обеспечивается соблюдение требований технического регламента, и такая продукция относится к виду, типу продукции, в отношении которой предусмотрено декларирование соответствия на основании доказательств, полученных с участием третьей стороны, изготовитель (лицо, выполняющее функции иностранного изготовителя) вправе осуществить декларирование ее соответствия на основании собственных доказательств. При декларировании соответствия такой продукции изготовитель (лицо, выполняющее функции иностранного изготовителя) указывает в декларации о соответствии, в сопроводительной документации и при маркировке такой продукции сведения об отсутствии у него доказательств, полученных с участием третьей стороны.
(в ред. Федерального закона от 05.04.2021 N 104-ФЗ)
(см. текст в предыдущей редакции)
Особенности маркировки впервые выпускаемой в обращение продукции, в том числе знаком обращения на рынке, порядок информирования приобретателя, в том числе потребителя, о возможном вреде такой продукции и о факторах, от которых он зависит, определяются Правительством Российской Федерации.
(п. 3 введен Федеральным законом от 21.07.2021 N 255-ФЗ)