- Что такое квалифицированная оэп?
- Активация ключа в «mydss»
- Второй шаг. установить криптопро cloud csp.
- Где используется облачная электронная подпись?
- Как получить облачную электронную подпись и как пользоваться?
- Как работает оэп?
- Как стали использовать облачные электронные подписи (оэп)?
- Как установить оэп и начать работать?
- Ответы на самые распространенные вопросы
- Отправка документов с использованием облачной подписи
- Первый шаг. авторизоваться в криптопро dss.
- Передача данных
- Подключение организации к эдо с использование облачной подписи
- Подписание файлов
- Преимущества
- Преимущества облачной эп
- Проверка подписи
- Схема решения
- Третий шаг. установить сертификат из dss в локальное хранилище.
- Четвертый шаг. установить сертификат из криптопро dss в криптоарм.
Что такое квалифицированная оэп?
На сайте компании «КриптоПро», которая занимается разработкой и внедрением программ и приложений для работы с ЭП дается формулировка ОЭП, которая, по нашему мнению, наиболее соответствует действительности:
«Электронная подпись в облаке (облачная электронная подпись) – это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем».
Эта формулировка не исключает возможности для ОЭП использовать и локальное средство ЭП. Например, используя КриптоПро DSS Lite, пользователь через веб-браузер может подписывать электронный документ с помощью средства ЭП, установленного на его компьютер или планшет.
Другой вариант облачной ЭП получается при использовании средства ЭП, хранящегося на облаке. Чтобы не путать это понятие с первым, назовем такую цепочку «полностью облачной ЭП». В среде специалистов до сих пор не утихают споры по поводу ее безопасности, так как информация передается на облако.
Известно, что ЭП должна принадлежать одному собственнику. Записанную на носитель подпись владелец может хранить, например, в сейфе, чтобы ограничить доступ к ней третьих лиц. А как обеспечивается безопасность на облаке? Могут ли его взломать мошенники? Как сами разработчики гарантируют конфиденциальность информации, размещенной на облаке, и имеют ли сами доступ к ней?
Вопросами защищенности облака занимаются «безопасники» и консультирующие их юристы. Сведения должны не просто попасть на облако, но и быть обработаны и сохранены. С локальным средством все понятно: ЭП находится в защищенном пространстве пользователя.
Некоторые пользователи не доверяют надежности облака, так как не до конца понимают механизмы его действия. На облако передается ключ ЭП, а это информация, которая конфиденциальна и принадлежит конкретному человеку – собственнику. Защищенность ключа зависит от уровня безопасности средств, которые используются при аутентификации, и от ответственности владельца.
Разработчики КриптоПРО внедрили программу КриптоПро DSS, которая в тестовом режиме испытывалась экспертами. В этот сервер передаются ключи и сертификаты пользователей, а чтобы получить к ним доступ, необходимо пройти аутентификацию, которая возможна только для одного лица – владельца.
Активация ключа в «mydss»
После отправки заявления на выдачу облачной подписи на мобильный телефон, номер которого был указан в заявлении, поступит код активации ключа в «myDSS».
1. В меню приложения «myDSS» выберитеСканировать QR-код. Выполните сканирование.
2. Введите код активации ключа, который поступил в СМС при обработке заявления на подключение облачной подписи.
3. Укажите имя ключа (например название организации). В дальнейшем ключ можно будет переименовать.
4. Сохраните ключ. При необходимости задайте пароль, либо привяжите отпечаток пальца. В дальнейшем пароль или способ идентификации можно будет изменить В меню приложения «myDSS» – «Управление ключами». А также вы можете сохранить ключ без пароля.
Второй шаг. установить криптопро cloud csp.
Криптопровайдер КриптоПро Cloud CSP доступен для скачивания по ссылке. Помимо дистрибутива в архиве будет также краткая инструкция по использованию. Установка дистрибутива не вызовет сложностей. Но есть одно условие, перед установкой КриптоПро Cloud CSP нужно предварительно удалить все другие криптопровайдеры.
Где используется облачная электронная подпись?
Применение виртуальной цифровой подписи официально разрешено в области закупок — коммерческих и государственных торгах, при сдаче отчётов в контролирующие организации, на портале госуслуг. Облачная ЭЦП пригодится при получении более 200 услуг в государственном секторе, а также в ведении коммерческого и делового документооборота.
Как получить облачную электронную подпись и как пользоваться?

Как работает оэп?
Рассмотрим пример, характерный для участников торгов. Допустим, поставщик направляет свое предложение на участие в тендере. До появления ОЭП подписать документ невозможно было без установленного на компьютер пользователя плагина. Этот плагин и софт локального средства сообщались друг с другом и работали в неразрывной связке.
Теперь вытащим из этой схемы флеш-накопитель: софт подключается к облачному хранилищу по защищенному каналу.
Одной из первых площадок, которая оценила возможности новых технологий и внедрила в свои процессы использование облачной ЭП, стала федеральная торговая площадка «Росэлторг».
Как стали использовать облачные электронные подписи (оэп)?
Использование электронных подписей прочно вошло во многие сферы нашей жизни. В различных компаниях сотрудников переводят на электронный документооборот (ЭДО), что делает все процессы удобными и быстрыми. Для подписания документов (договоров, актов, ведомостей, бухгалтерских отчетов и т.д.) требуется наличие электронной подписи. С помощью нее также осуществляется вход в личный кабинет пользователя ЭДО.
В своей работе применяют ЭП онлайн-специалисты и фрилансеры, которые ведут свою деятельность легально и заключают договора с заказчиками. Физические лица могут приобрести ЭП и пользоваться услугами государственных учреждений: записываться на прием в ФНС, к врачу районной больницы, подавать заявления, справки, заходить на «Госуслуги».
Наши читатели – это, в основном, участники торгов и заказчики, которые такие торги организовывают. Они тоже пользуются ЭП для входа в личный кабинет ЕИС, на электронную торговую площадку, при непосредственном участии в торгах.
Мы уже привыкли к электронной цифровой подписи (ЭЦП), которая записана на рутокен (флеш-накопитель), принадлежит одному конкретному владельцу и обеспечивает безопасность данных о нем. Сегодня аббревиатура ЭЦП уже не используется, так говорить неправильно.
На смену понятию электронной подписи, записанной на цифровой носитель, пришло понятие облачной электронной подписи (ОЭП), которая реализована с помощью современных технологий. Она не требует записи сертификата и ключа на какой-либо носитель, а хранится на специальном облаке, в связи с чем у пользователей возникает вопрос о ее надежности. В статье максимально подробно постараемся на него ответить.
Для ЭП на носителе необходима установка специальных программ на компьютер пользователя (СКЗИ) и дополнительных надстроек. В связи с тем, что на смену таким приложениям пришли облачные приложения, у IT-разработчиков появилось желание внедрить их в работу с ОЭП.
Как установить оэп и начать работать?
Для работы на локальном компьютере потребуется:
Чтобы пользоваться ОЭП на мобильном устройстве, оно должно работать на базе операционных систем не ниже Android 7.0 или iOS 8/9/10/11. Кроме этого, нужно установить приложение MyDss
Установка и настройка на смартфоне приложения MyDss
- Зайдите в приложение Play Market или Apple Store (зависит от устройства, которое Вы используете).
- В поисковую строку вбейте «MyDss» и запустите установку приложения.
- После завершения скачивания нажмите кнопку «Открыть».
4. Для начала работы система уведомит вас о необходимости сканирования QR-кода. Предоставьте камере доступ к этому действию.
5. Считайте QR-код с сертификата, который получили в УЦ.
6. Придумайте имя для сохраняемого ключа, например, «ОЭП для торгов».
7. Выберите способ авторизации (с паролем, без пароля, отпечаток пальца, Face ID).
8. Программа готова к использованию.
Установка СКЗИ КриптоПро CSP 5
Чтобы пользоваться облачной ЭП потребуется наличие операционной системы Windows 7, 8, 8.1 или 10. Проверьте, что Ваша ОС подходит для работы с ОЭП. Для этого откройте «Центр обновлений Windows» и запустите поиск и обновления компонентов Windows.
Ответы на самые распространенные вопросы
А можно без софта на локальном компьютере?
Да, это возможно, если на ЭТП есть дополнительный сервер, который обрабатывает входящую информацию и выступает в роли этого самого локального средства. В этом случае пользователь может использовать любой браузер.
В чем отличие стандартной ЭП от облачной?
Оба эти варианта имеют общее ядро с сертификатом и уровнем безопасности. По своей сути, они аналогичны, просто меняется схема внутреннего API-шифрования при кодировке информации. В первом случае ключ извлекается из локального средства, а во втором – с виртуального (удаленного).
Для использования облачной ЭП тоже нужна авторизация?
Да. Однако теперь авторизация имеет два уровня защиты, и нет привязки к компьютеру. При этом авторизация для пользователя не вызовет никаких сложностей:
Отправка документов с использованием облачной подписи
Используя облачную подпись, при отправке документов необходимо подтверждать действие в приложении «myDSS».
Расшифровка и шифрование служебных транзакций (извещение о получении и т.д.) происходит автоматически и не требует подтверждения в «myDSS».
При отправке документа документа в мобильном устройстве отобразится push-уведомление, необходимо нажать кнопку Подтвердить, либо Отказать:
После подтверждения у системе Астрал.ЭДО появится уведомление о том, что документ подписан и отправлен контрагенту.
Первый шаг. авторизоваться в криптопро dss.
Для этого нужно пройти регистрацию или войти с уже имеющимися учетными данными.
После авторизации становится доступен раздел «Сертификаты». Если нет действующих сертификатов, то можно создать запрос на новый сертификат. Для этого нужно выбрать УЦ и заполнить необходимые поля. При создании запроса в сервисе будет создан контейнер с ключами, и получен сертификат электронной подписи. В реальном обстоятельствах, ключ электронной подписи выдает Удостоверяющий центр.
Передача данных
Данные необходимые для загрузки, выгрузки и проверки подписи передаются в виде данных формы.
Для загрузки данных c портала по ссылке DownloadURL будет использоваться метод GET. Для выгрузки результатов операции по ссылке UploadURL будет использован метод POST. Эти операции выполняются на уровне СОК. Перенаправление по ссылкам SuccessURL и ErrorURL осуществляется веб-клиентом.
Подключение организации к эдо с использование облачной подписи
При добавлении организации выберите вкладку Облачная подпись. Введите номер телефона, привязанный к Вашей облачной подписи и подтвердите запрос в мобильном приложении «myDSS», нажмите кнопку Продолжить:
На подтверждение запроса в мобильном приложении «myDSS» дается 5 минут.
На последней минуте таймера доступна повторная отправка запроса, при необходимости нажмите Повторить:
По окончанию таймера, если запрос не был подвержен в мобильном приложении, нажмите Повторить:
После подтверждения запроса в мобильном приложите продолжите подключение организации к ЭДО.
Подписание файлов
Для отправки запроса на подпись требуется выполнить переход с использованием метода [POST]/Sign по адресу веб-клиента и передать следующие параметры:
- portalId – уникальный идентификатор портала, выданный при регистрации
- dataId – уникальный идентификатор данных
- hash – контрольная сумма SHA1. Формируется по строке, состоящей из portalId, dataId и password в кодировке UTF-8.
- certThumb – отпечаток сертификата, которым требуется подписать данные
- (необязательный параметр). Если параметр не передается, то пользователю портала, возвращается список всех доступных ему сертификатов для подписи
- signType – тип подписи. Для создания открепленной подписи, значение параметра должно быть равно нулю.
Преимущества
- Владелец стандартной ЭП на USB-носителе при утере флешки должен будет получить новый ключ. Владелец облачной ЭП просто поменяет пароль.
- Мобильность пользователя. Раньше нужно было находиться поблизости к компьютеру, на который установлены все программы и надстройки. Теперь при использовании ОЭП привязка к рабочему месту не нужна.
- Нет привязки к браузеру: раньше это был IE, а это вызывало трудности еще на этапе выбора ОС: Linux-админы находили пути обхода, а вот на Mac-устройствах это невозможно.
- Нет территориальной привязки. Пользователь не обязательно должен находиться в РФ. Раньше владельцы должны были находиться внутри страны, ввиду особенностей защиты подписей на носителях.
- Двухуровневая защита обеспечивает более надежную сохранность информации о пользователе.
- Возможность подписывать документы через приложение на смартфоне.
Преимущества облачной эп
Основные плюсы использования облачного сертификата электронной подписи состоят в следующем:
- Статус законного инструмента — новая редакция Федерального закона № 63-ФЗ «Об электронной подписи» включает положения, согласно которым с 1.01.2021 года удостоверяющим центрам разрешено хранить ключи электронных подписей.
- Удаленное применение — обладатель облачной ЭЦП может осуществлять подписание электронных документов в мобильном режиме. Это означает, что он не привязан локально к рабочему месту. Пользователь может использовать облачный цифровой сертификат из любого места, с компьютера, ноутбука, планшета или смартфона.
- Отсутствуют риски потери или повреждения физического носителя — облачная цифровая подпись всегда доступна, утеря или поломка исключены.
Важно знать! Правообладатель ЭЦП — удостоверяющий центр. Эта организация несёт ответственность за сохранность и неприкосновенность электронного ключа, а не то лицо, на кого оформлен сертификат облачной цифровой подписи.
Проверка подписи
Для отправки запроса на проверку подписи требуется выполнить переход с использованием метода [POST] CheckSign по адресу веб-клиента и передать туда параметры:
- portalId – уникальный идентификатор портала, выданный при регистрации
- dataId – уникальный идентификатор данных
- hash – контрольная сумма SHA1. Формируется по строке, содержащей portalId, dataId и пароль в кодировке UTF-8, выданный при регистрации
Схема решения
Решение поддерживает операции:
- Создание открепленной подписи
- Проверка открепленной подписи
При регистрации портала со стороны Такском будут выданы данные:
- Уникальный идентификатор, который используется для определения портала в Сервисе облачной криптографии (СОК)
- Пароль
Со стороны портала ожидается предоставление 4 ссылок:
- DownloadURL
- UploadURL
- SuccessURL
- ErrorURL
Третий шаг. установить сертификат из dss в локальное хранилище.
Найти в папке Tools утилиту cptools и запустить ее. входящую в дистрибутив КриптоПро Cloud CSP.
Четвертый шаг. установить сертификат из криптопро dss в криптоарм.
В начале открываем программу КриптоПро CSP. Выбираем вкладку «Сервис» и кнопку «Просмотреть сертификаты в контейнере…».
В списке ключевых контейнеров находим тот, чей тип считывателя называется DSS keys.
Выбрав нужный контейнер, нажать «OK» и «Далее». Затем в окне «Сертификат для просмотра» нажимаем «Установить». Появится сообщение об успешной установке сертификата в хранилище «Личные». Нажимаем «Готово».
Сертификат из облачного хранилища КриптоПро DSS успешно установлен. Открываем программу КриптоАРМ находим его в «Личном хранилище сертификатов». С этого момента, данный сертификат можно использовать для подписи любых файлов, находящихся на локальном компьютера.
Ключ подписи по прежнему хранится в облаке. Интернет и телефон по прежнему необходимы для подписи. Но теперь вы можете подписывать любые файлы без ограничений. Можете подписывать их прямо с рабочего стола не запуская браузер и не заходя на страницу веб-сервиса. Или подписывать из знакомого приложения.
Резюмируя, порталы и веб-сервисы, предлагающие облачную подпись становятся с каждым годом все более доступными и массовыми. Но в силу своей специфики у такого вида подписей есть ряд ограничений, главное из которых привязанность к определенной информационной системе.
