- приложение. требования к форме квалифицированного сертификата ключа проверки электронной подписи | гарант
- Как продлить эцп (электронную подпись) в сбис
- Какие документы необходимы для выпуска ключа электронной подписи | сбис помощь
- Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)
- Фнс разъяснила, кто и как может получить бесплатную кэп с 1 июля | фнс россии | 77 город москва
приложение. требования к форме квалифицированного сертификата ключа проверки электронной подписи | гарант
Требования к форме квалифицированного сертификата ключа проверки электронной подписи
I. Общие положения
2. В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона:
1) электронная подпись (далее – ЭП) – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
2) ключ ЭП – уникальная последовательность символов, предназначенная для создания ЭП;
3) ключ проверки ЭП – уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее – проверка ЭП);
5) сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;
7) владелец сертификата ключа проверки ЭП – лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки ЭП;
9) средства ЭП – шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций – создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;
10) средства УЦ – программные и (или) аппаратные средства, используемые для реализации функций УЦ;
12) заявитель – коммерческая организация, некоммерческая организация, индивидуальный предприниматель, физическое лицо, не зарегистрированное в качестве индивидуального предпринимателя, но осуществляющее профессиональную деятельность, приносящую доход, в соответствии с федеральными законами на основании государственной регистрации и (или) лицензии, в силу членства в саморегулируемой организации, а также любое иное физическое лицо, лица, замещающие государственные должности Российской Федерации или государственные должности субъектов Российской Федерации, должностные лица государственных органов, органов местного самоуправления, работники подведомственных таким органам организаций, нотариусы и уполномоченные на совершение нотариальных действий лица, обращающиеся с соответствующим заявлением на выдачу сертификата ключа проверки ЭП в УЦ за получением сертификата ключа проверки ЭП в качестве будущего владельца такого сертификата.
3. Настоящие Требования устанавливают требования к совокупности и порядку расположения полей квалифицированного сертификата (далее – форма квалифицированного сертификата).
4. При включении в состав квалифицированного сертификата дополнительных полей требования к их назначению и расположению в квалифицированном сертификате определяются в техническом задании на разработку (модернизацию) средств УЦ.
II. Требования к совокупности полей квалифицированного сертификата
5. Требования к совокупности полей квалифицированного сертификата устанавливаются на основании Федерального закона.
6. В соответствии со статьями 14 и 17 Федерального закона квалифицированный сертификат должен содержать следующую информацию:
– уникальный номер квалифицированного сертификата;
– даты начала и окончания действия квалифицированного сертификата;
– фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата – для физического лица, либо наименование и место нахождения владельца квалифицированного сертификата – для юридического лица, а также в случаях, предусмотренных Федеральным законом, фамилия, имя и отчество (если имеется) физического лица, действующего от имени владельца квалифицированного сертификата – юридического лица на основании учредительных документов юридического лица или доверенности (далее – уполномоченный представитель юридического лица);
– страховой номер индивидуального лицевого счета (далее – СНИЛС) владельца квалифицированного сертификата – для физического лица;
– основной государственный регистрационный номер (далее – ОГРН) владельца квалифицированного сертификата – для российского юридического лица;
– основной государственный регистрационный номер индивидуального предпринимателя (далее – ОГРНИП) – владельца квалифицированного сертификата – для физического лица, являющегося индивидуальным предпринимателем;
– идентификационный номер налогоплательщика (далее – ИНН) владельца квалифицированного сертификата – для физического лица, российского юридического лица и, при наличии, для иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации);
– уникальный ключ проверки ЭП;
– наименование используемого средства ЭП и (или) стандарты, требованиям которых соответствует ключ ЭП и ключ проверки ЭП;
– наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с Федеральным законом;
– наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат;
– номер квалифицированного сертификата аккредитованного УЦ;
– идентификатор, однозначно указывающий на то, что идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась либо при его личном присутствии, либо без его личного присутствия с использованием квалифицированной ЭП при наличии действующего квалифицированного сертификата либо посредством идентификации заявителя – гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, или путем предоставления сведений из федеральной государственной информационной системы “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме” 1 (далее – единая система идентификации и аутентификации) и единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее – единая биометрическая система), в порядке, установленном Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации” 2.
------------------------------
1Постановление Правительства Российской Федерации от 28 ноября 2021 г. N 977 “О федеральной государственной информационной системе “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме” (Собрание законодательства Российской Федерации, 2021, N 49 (ч. V), ст. 7284; 2020, N 34, ст. 5484).
2 Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3448; 2020, N 24, ст. 3751.
------------------------------
7. Квалифицированный сертификат должен содержать квалифицированную ЭП аккредитованного УЦ (доверенного лица аккредитованного УЦ, уполномоченного федерального органа), подтверждающую принадлежность ключа проверки ЭП владельцу квалифицированного сертификата.
III. Требования к порядку расположения полей квалифицированного сертификата
10. Структура квалифицированного сертификата в форме электронного документа, определенная в соответствии со спецификацией абстрактной синтаксической нотации версии один 2, должна иметь следующий общий вид:
Certificate ::= SIGNED { SEQUENCE {version [0] Version DEFAULT v l,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueIdentifier [1] IMPLICIT UniqueIdentifier OPTIONAL,
subjectUniqueIdentifier [2] IMPLICIT UniqueIdentifier OPTIONAL,
extensions [3] Extensions OPTIONAL } }
SIGNED { ToBeSigned } ::= SEQUENCE {toBeSigned ToBeSigned,
COMPONENTS OF SIGNATURE { ToBeSigned } }SIGNATURE { ToBeSigned } ::= SEQUENCE {algorithmIdentifier AlgorithmIdentifier,
encrypted ENCRYPTED-HASH { ToBeSigned } }ENCRYPTED-HASH { ToBeSigned } ::= BIT STRING (CONSTRAINED BY { ToBeSigned }).------------------------------
2 Справочно: Спецификация абстрактной синтаксической нотации версии один определена в ГОСТ Р ИСО/МЭК 8824-1-2001 “Информационная технология. Абстрактная синтаксическая нотация версии один (АСН.1). Часть 1. Спецификация основной нотации”.
------------------------------
12. Поле encrypted содержит ЭП, сформированную аккредитованным УЦ, доверенным лицом аккредитованного УЦ либо уполномоченным федеральным органом под структурированной совокупностью полей квалифицированного сертификата (toBeSigned).
15. Поле signature (подпись) содержит идентификатор криптографического алгоритма, с использованием которого аккредитованный УЦ, доверенное лицо аккредитованного УЦ либо уполномоченный федеральный орган сформировали ЭП данного квалифицированного сертификата. Содержимое данного поля должно совпадать с содержимым поля algorithmIdentifier.
17. Стандартные атрибуты имени описаны в справочнике выбранных типов атрибутов 1. При описании формы квалифицированного сертификата используются следующие стандартные атрибуты имени:
------------------------------
1 Справочно: Выбранные типы атрибутов определены в ГОСТ Р ИСО/МЭК 9594-6-98 “Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 6. Выбранные типы атрибутов” и в международном стандарте ISO/IEC 9594-6:2008 “Information technology – Open systems interconnection – The Directory: Selected attribute types”, опубликованном по адресу в информационно-телекоммуникационной сети Интернет: http://www.itu.int/rec/T-REC-X.520-200811-I/en.
------------------------------
18. К дополнительным атрибутам имени, необходимость использования которых устанавливается в соответствии с Федеральным законом, относятся:
20. Поле subject имеет тип Name и идентифицирует владельца квалифицированного сертификата.
22. Необязательные поля issuerUniqueIdentifier и subjectUniqueIdentifier имеют тип UniqueIdentifier. Настоящие Требования не устанавливают требований к использованию указанных полей.
25. Дополнение keyUsage определяет область использования ключа проверки ЭП, содержащегося в поле subjectPublicKeylnfo квалифицированного сертификата. Дополнение keyUsage имеет тип KeyUsage, структура которого определяется следующим образом:
KeyUsage ::= BIT STRING {digitalSignature (0),
contentCommitment (1),
keyEncipherment (2),
dataEncipherment (3),
keyAgreement (4),
keyCertSign (5),
cRLSign (6),
encipherOnly (7),
decipherOnly (8)}.
Значение “1” в нулевом бите означает, что область использования ключа включает проверку ЭП под электронными документами, отличными от квалифицированных сертификатов и списков уникальных номеров квалифицированных сертификатов ключей проверки ЭП, действие которых на определенный момент было прекращено УЦ до истечения их действия (далее – список аннулированных сертификатов), предназначенными для выполнения процедур аутентификации или контроля целостности.
Значение “1” в первом бите означает, что область использования ключа включает проверку ЭП под электронными документами, отличными от квалифицированных сертификатов и списков аннулированных сертификатов, в отношении которых ставится задача обеспечения невозможности отказа подписавшего лица от своего действия.
Значение “1” во втором бите означает, что область использования ключа включает зашифрование закрытых или секретных ключей, например в целях их защищенной доставки.
Значение “1” в третьем бите означает, что область использования ключа включает непосредственно зашифрование пользовательских данных без дополнительного использования методов симметричной криптографии.
Значение “1” в четвертом бите означает, что область использования ключа включает согласование ключей.
Значение “1” в пятом бите означает, что область использования ключа включает проверку подписей под квалифицированными сертификатами.
Значение “1” в шестом бите означает, что область использования ключа включает проверку подписей под списками аннулированных сертификатов.
Значение “1” в седьмом бите означает, что область использования ключа включает зашифрование данных в процессе согласования ключей (при этом в четвертом бите должно быть значение “1”).
Значение “1” в восьмом бите означает, что область использования ключа включает расшифрование данных в процессе согласования ключей (при этом в четвертом бите должно быть значение “1”).
Объектный идентификатор дополнения keyUsage имеет вид 2.5.29.15.
28. Сведения о классе средств ЭП владельца квалифицированного сертификата должны быть указаны в дополнении certificatePolicies путем включения следующих идентификаторов:
– для класса средств ЭП КС 1: 1.2.643.100.113.1,
– для класса средств ЭП КС2: 1.2.643.100.113.1, 1.2.643.100.113.2,
– для класса средств ЭП КС3: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3,
– для класса средств ЭП КВ1: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4,
– для класса средств ЭП КВ2: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5,
– для класса средств ЭП КА1: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5, 1.2.643.100.113.6.
Для средств ЭП, класс которых отличается от класса средств УЦ, в которых используются указанные средства ЭП, следует указывать идентификаторы для класса средств ЭП, соответствующего классу средств УЦ.
28.1. Для указания в квалифицированном сертификате идентификатора, однозначно указывающего на то, что идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась при его личном присутствии или без его личного присутствия с использованием квалифицированной ЭП при наличии действующего квалифицированного сертификата либо без личного присутствия заявителя – гражданина Российской Федерации с применением информационных технологий путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, или путем предоставления сведений из единой системы идентификации и аутентификации и единой биометрической системы в порядке, установленном Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”, должно использоваться некритичное дополнение identificationKind типа IdentificationKind, имеющего следующее представление:
IdentificationKind ::= INTEGER { personal(O), remote_cert(l), remote_passport(2), remote_system(3) }.
В случае, если идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась при его личном присутствии, дополнение identificationKind должно иметь значение 0.
В случае, если идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с использованием квалифицированной ЭП при наличии действующего квалифицированного сертификата, дополнение identificationKind должно иметь значение 1.
В случае, если идентификация заявителя – гражданина Российской Федерации при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с применением информационных технологий путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, дополнение identificationKind должно иметь значение 2.
В случае, если идентификация заявителя – гражданина Российской Федерации при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой биометрической системы в порядке, установленном Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”, дополнение identificationKind должно иметь значение 3.
Объектный идентификатор типа IdentificationKind имеет вид 1.2.643.100.114.
29. Для указания в квалифицированном сертификате наименования используемого владельцем квалифицированного сертификата средства ЭП должно использоваться некритичное дополнение subjectSignTool типа UTF8String SIZE(1..200), объектный идентификатор которого имеет вид 1.2.643.100.111.
30. Для указания в квалифицированном сертификате наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизитов документа, подтверждающего соответствие указанных средств требованиям, установленным законодательством Российской Федерации, должно использоваться некритичное дополнение issuerSignTool типа IssuerSignTool, имеющего следующее представление:
IssuerSignTool ::= SEQUENCE {signTool UTF8String SIZE(1.200),
cATool UTF8String SIZE(1..200),
signToolCert UTF8String SIZE(1.. 100),
cAToolCert UTF8String SIZE(1.100) }.
В строковом поле signTool должно содержаться полное наименование средства ЭП, которое было использовано для создания ключа ЭП, ключа проверки ЭП и квалифицированного сертификата.
В строковом поле cATool должно содержаться полное наименование средства аккредитованного УЦ, которое было использовано для создания ключа ЭП, ключа проверки ЭП и квалифицированного сертификата.
В строковом поле signToolCert должны содержаться реквизиты заключения ФСБ России о подтверждении соответствия средства ЭП, которое было использовано для создания ключа ЭП, ключа проверки ЭП, требованиям, установленным в соответствии с Федеральным законом (далее – заключение о подтверждении соответствия средства электронной подписи).
В строковом поле cAToolCert должны содержаться реквизиты заключения ФСБ России о подтверждении соответствия средства УЦ, которое было использовано для создания квалифицированного сертификата, требованиям, установленным в соответствии с Федеральным законом (далее – заключение о подтверждении соответствия средства удостоверяющего центра).
Объектный идентификатор типа IssuerSignTool имеет вид 1.2.643.100.112.
IV. Требования к форме квалифицированного сертификата
на бумажном носителе
Как продлить эцп (электронную подпись) в сбис
1. Создайте заявку на продление одним из способов.
Если осталось менее 30 дней до окончания, на стартовой странице кабинета появится предупреждение «истекает ваша электронная подпись», кликните по нему.

Либо откройте личную страницу и перейдите на вкладку «Подписи». Наведите курсор на ЭП, у которой истекает срок использования, и кликните «Продлить».

Если необходимо продлить ЭП, до окончания срока действия которой осталось больше 30 дней, или ЭП, которая не добавлена в личный кабинет (например, коммерческую), вставьте носитель и нажмите «Другие операции/Продлить ЭП». В открывшемся списке доступных электронных подписей выберите ту, которую нужно продлить.

2. В открывшейся заявке сведения о владельце и компании уже заполнены, проверьте их. Если какие-то из них поменялись — отредактируйте. Укажите паспортные данные.
3. Ознакомьтесь с регламентом удостоверяющего центра и установите флаг «Согласен на обработку моих персональных данных УЦ Тензор и присоединяюсь к регламенту УЦ».
4. Приложите сканы документов, необходимых для выпуска ЭП. Заявление на изготовление сертификата загружать не нужно — оно будет сформировано автоматически по данным заявки.
5. Проверьте применения. Если продлевать подпись будете не на токен, а на мобильный телефон, в списке применений выберите «На мобильный телефон» и действуйте по инструкции.
6. Вставьте носитель со старой подписью и нажмите «Получить подпись».

7. Подпишите приложенные сканы документов действующей ЭП кнопкой «Документы верны, подписать». По умолчанию выбирается более новая подпись. Чтобы использовать другую ЭП — нажмите «Выбрать другую».

8. В открывшемся окне убедитесь, что «Заявление на изготовление сертификата ключа проверки электронной подписи» заполнено верно и нажмите «Подписать».

9. В открывшемся окне убедитесь, что «Заявление на изготовление сертификата ключа проверки электронной подписи» заполнено верно и нажмите «Подписать».

10. Выполните генерацию ЭП, следуя инструкции.
11. Сертификат выпущен. В открывшемся листе ознакомления проверьте данные:
– все реквизиты указаны правильно — вставьте в компьютер действующую подпись и нажмите «Всё верно, с памяткой ознакомился»;
– обнаружили ошибки в реквизитах — нажмите «Есть ошибки», сертификат будет автоматически отозван, свяжитесь с менеджером для исправления ошибок.
Если не получается подписать лист ознакомления, например срок действия старой подписи уже истек, распечатайте его, подпишите, сканируйте и загрузите в заявку. Также вы можете обратится в офис УЦ для идентификации владельца и продления ЭП.
Неподписанный лист ознакомления может стать причиной для автоматического отзыва сертификат.

Новая ЭП готова — она появилась в разделе «Сотрудники/Доступ и права/Электронные подписи».
Все квалифицированные ЭП, которые на вас выпущены, можно увидеть на портале госуслуг.
Подписывать документы/отчеты можно как новой, так и старой подписью (до окончания ее срока действия).
Какие документы необходимы для выпуска ключа электронной подписи | сбис помощь
В соответствии с п.2 статьи 18 Федерального закона № 63-ФЗ «Об электронной подписи» для получения электронной подписи вам необходимо предоставить в Удостоверяющий центр (УЦ) следующие документы:
- заявление на изготовление СКП
Заполняется автоматически на основании сведений, внесенных в заявку. Подписывает владелец ЭП (подпись как в паспорте). - паспорт владельца ЭП
Если владелец ЭП гражданин другой страны, в качестве удостоверения личности могут быть предоставлены:- паспорт иностранного гражданина с нотариально заверенным переводом (в том числе для граждан ДНР (Донецкой народной Республикой) или ЛНР (Луганской Народной Республики));
- либо удостоверение личности (для граждан Республики Казахстан, Республики Кыргызстан);
- либо вид на жительство, выданный УФМС РФ;
- либо разрешение на временное проживание;
- либо удостоверение беженца или свидетельство о предоставлении временного убежища на территории РФ (только для граждан Украины).
- СНИЛС или универсальная электронная карта (УЭК) владельца ЭП
- доверенность на полномочного представителя
Требуется, если за электронной подписью обратится не руководитель организации. Предоставляется оригинал доверенности, заверенный печатью ЮЛ, с подписями руководителя и владельца ЭП.
- Документы не должны быть повреждены или испорчены.
- В заявку должны быть загружены сканы или фото оригиналов.
Допустимые форматы файлов: *.jpg, *.jpeg, *.png, *.gif, *.pdf, *.doc, *.docx, *.dotx, *.zip, *.rar, *.7z, *.dotm, *.xls, *.xlt, *.xlsx, *.xlsm, *.ods, *.xlsb, *.rtf, *.heic, *.heif, *.psd, *.webp, *.svg, *.rgb, *.rgba, *.bmp, *.html, *.htm, *.tiff, *.tif, *.odt, *.docm, *.dot, *.csv, *.ppt, *.pptx, *.odp, *.pot, *.potx, *.ppsx, *.pps, *.ppsm, *.potm, *.pptm.
Если у вас нет технической возможности, предоставьте документы менеджеру УЦ — он сделает это за вас. - Скан паспорта и СНИЛС может быть сделан с надлежащим образом заверенной копии документа, если копия заверена не более 30 дней назад.
- Если в документе, удостоверяющем личность иностранного гражданина, его имя, фамилия, отчество (при его наличии), дата рождения приведены на иностранном языке, то при обращении за электронной подписью должен быть предоставлен нотариально заверенный перевод документа.
- Доверенность должна быть заверена печатью организации. Если компания работает без печати, дополнительно предоставьте устав, в котором отсутствует запись, что организация работает с печатью.
- Доверенности и заявление на изготовление СКП не могут быть подписаны факсимильной подписью.
Вам нужно оформить заявку на получение ЭП и с документами подойти в наш офис, либо вызвать нашего специалиста: он на месте проверит достоверность подготовленных вами документов и выпустит электронную подпись. По всем вопросам по получению электронной подписи обращайтесь к вашему менеджеру или в любой офис продаж СБИС.
Нашли неточность? Выделите текст с ошибкой и нажмите ctrl enter.
Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)
https://www.youtube.com/watch?v=RjBmUOMU1ek
К началу страницы
Свойство экспортируемости или неэкспортируемости закрытого ключа присваивается на этапе формирования закрытого ключа и записи его на ключевой носитель. Указанное свойство может быть реализовано в средствах электронной подписи и управляться его настройками, которые следует установить до формирования закрытого ключа.
Для экспортируемых закрытых ключей доступно их копирование, что несет риски нарушения конфиденциальности закрытого ключа.
Для копирования закрытого ключа нарушителю потребуется получить физический доступ к ключевому носителю и узнать пароль (PIN-код).
Возможность копирования закрытого ключа создаёт риск возникновения неучтенных копий, усложняет контроль за его хранением, использованием и уничтожением. Также указанное усложняет определение возможного нарушителя, особенно когда нарушитель начнет использовать копию не сразу.
Неэкспортируемые закрытые ключи обладают большей защищенностью, так как записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи стандартных СКЗИ. Получение доступа к такому ключу требует применения специальных средств и техники.
Извлекаемые и неизвлекаемые закрытые ключи
Свойство неизвлекаемости закрытого ключа достигается способом его создания и хранения, и напрямую зависит от вида ключевого носителя. Для обеспечения свойства неизвлекаемости закрытого ключа используются только активные ключевые носители, содержащие в себе аппаратно реализованные функции СКЗИ, при использовании которых создается и используется неизвлекаемый закрытый ключ.
Для некоторых ключевых носителей существует возможность записи закрытого ключа на активные ключевые носители сторонними СКЗИ (установленными локально на компьютерное устройство или непосредственно в информационной системе удостоверяющего центра) и, в таком случае, такой носитель применяется как пассивный ключевой носитель, который может обеспечить только свойство неэкспортируемости закрытого ключа.
К извлекаемым закрытым ключам относятся все виды закрытых ключей, за исключением неизвлекаемых, включая экспортируемые и неэкспортируемые.
Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.
Для доступа к защищенному содержимому данного ключевого носителя необходимо ввести пароль (PIN-код). Закрытый ключ хранится в ключевом контейнере на ключевом носителе. Пароль (PIN-код), которым защищён от доступа закрытый ключ на таком носителе, при получении следует изменить, обеспечить его надежное хранение и исключить доступ к паролю любых лиц.
При подписании электронного документа с использованием пассивного носителя и средства электронной подписи вычисляется уникальный набор символов – хэш документа, однозначно связанных с содержанием электронного документа. Далее закрытый ключ копируется в память компьютерного устройства, где с его помощью средство электронной подписи выполняет криптографические операции формирования электронной подписи – подписание электронного документа. По завершении процедуры подписания закрытый ключ удаляется из памяти компьютерного устройства. Процедура подписания электронного документа происходит незаметно для пользователя в течение нескольких секунд.
На ключевом носителе установлено ограничение попыток неправильного ввода пароля (PIN-кода) и при превышении такого лимита ключевой носитель блокируется. Несмотря на это пассивный ключевой носитель обладает средним уровнем защищенности от атак злоумышленников – в момент подписания документа образуется короткий промежуток времени, когда закрытый ключ находится в памяти компьютерного устройства, где существует возможность его перехвата злоумышленником с высоким уровнем технических знаний и/или с использованием специальных технических средств. Для исключения такого вида атак существует активный ключевой носитель.
Активный ключевой носитель (криптографический ключевой носитель)
Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.
Активный ключевой носитель содержит в себе функции СКЗИ. Закрытый ключ на таком ключевом носителе хранится в защищенном ключевом контейнере и в специальном внутреннем формате.
У такого носителя существует ряд технических преимуществ перед пассивным ключевым носителем:
- создание закрытого ключа происходит на самом носителе с использованием аппаратных криптографических функций ключевого носителя;
- при подписании электронного документа закрытый ключ не копируется в память или реестр компьютерного устройства – подписание электронного документа происходит на самом ключевом носителе;
- закрытый ключ ни в какой момент времени не покидает ключевой носитель.
Вычисление значения хэш документа может происходить на компьютерном устройстве, а итоговое формирование электронной подписи только на самом активном ключевом носителе.
Компрометация закрытого ключа на таком носителе возможна только в случае его хищения вместе с паролем (PIN-кодом).
Активный ключевой носитель (криптографический ключевой носитель) обладает высоким уровнем защищенности от атак злоумышленников. Риск атаки «подмена хэша» злоумышленником присутствует, но такие случаи крайне редки.
При выборе вида ключевого носителя для хранения закрытого ключа электронной подписи следует учитывать, что электронная подпись считается равнозначной собственноручной подписи в случаях, установленных Федеральным законом от 06.04.2021 № 63-ФЗ «Об электронной подписи». Рекомендуется использовать ключевые носители с наивысшей степенью защиты закрытого ключа.
Рекомендуется сменить пароль доступа к ключевому носителю (PIN-код), установленный его изготовителем, на уникальный – известный только владельцу электронной подписи. Рекомендуемая длина пароля – не менее 6 символов с использованием специальных символов, прописных и строчных латинских букв. Рекомендуется периодическая смена пароля.
Не рекомендуется при выборе пароля основываться на типовых шаблонах и идущих подряд на клавиатуре или алфавите символов (qwerty, abcde, 12345 и другие) на каком-либо идентификаторе, паспортных данных, кличек питомцев и подобных ассоциаций.
Не рекомендуется активировать функцию «запомнить пароль» в средствах электронной подписи и настройках программного обеспечения, которое необходимо для использования ключевого носителя.
Организационные меры предосторожности
Не рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:
- передавать ключевой носитель третьим лицам;
- записывать пароль доступа к ключевому носителю (PIN-код) на бумаге или непосредственно на ключевом носителе, запоминать пароли в реестровой памяти систем электронных устройств и хранить парольную информацию в общедоступных местах;
- оставлять ключевой носитель без присмотра в доступных или общественных местах;
- оставлять без присмотра ключевой носитель в компьютерном устройстве, на котором осуществляется подписание электронных документов (usb-порты в системном блоке компьютера, ноутбука, планшета или других электронных устройствах).
Рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:
- при необходимости, обеспечивать сотрудников организации, не имеющих права действовать без доверенности, их персональными закрытыми ключами и сертификатами электронной подписи, с наделением их правом подписи распорядительными документами организации путем оформления доверенности;
- хранить ключевой носитель в недоступном для третьих лиц месте;
при потере или краже ключевого носителя незамедлительно обратиться в удостоверяющий центр, выпустивший сертификат электронной подписи, и прекратить действие такого сертификата электронной подписи, и, не дожидаясь завершения процедуры аннулирования, уведомить контрагентов о том, что утраченный сертификат с соответствующим серийным номером, считается уже недействительным.
Фнс разъяснила, кто и как может получить бесплатную кэп с 1 июля | фнс россии | 77 город москва
Дата публикации: 12.05.2021 09:30
C 1 января 2022 года на ФНС России возлагаются функции по выпуску квалифицированной электронной подписи для юридических лиц (лиц, имеющих право действовать от имени юридического лица без доверенности), индивидуальных предпринимателей и нотариусов.
Срок действия КЭП, выпущенных коммерческими удостоверяющими центрами, заканчивается 1 января 2022 года. До 1 июля 2021 года им необходимо переаккредитоваться. Чтобы обеспечить «бесшовный» переход от платной к соответствующей безвозмездной государственной услуге по выпуску электронной подписи с 1 июля получить квалифицированную электронную подпись можно будет в Удостоверяющем центре ФНС России.
Сделать это смогут все юридические лица и индивидуальные предприниматели с учетом следующих ограничений:
- Удостоверяющий центр ФНС России бесплатно выдает квалифицированные сертификаты только для юридических лиц (как правило, генеральному директору, который действует от лица компании без доверенности), индивидуальных предпринимателей и нотариусов;
- Квалифицированный сертификат физического лица, а также лица, планирующего действовать от имени юридического лица по доверенности, можно получить в коммерческих аккредитованных удостоверяющих центрах;
- Квалифицированные сертификаты для заявителей, указанных в п.1, выпускаются территориальными налоговыми органами по предварительной записи. Заявитель должен лично предоставить заявление на выпуск КЭП, паспорт и СНИЛС в налоговый орган и пройти процедуру идентификации.
- Квалифицированный сертификат записывается на предоставляемый заявителем носитель ключевой информации, сертифицированный ФСТЭК России или ФСБ России. Это необходимо для обеспечения конфиденциальности ключей электронной подписи пользователя, исключения риска их компрометации и использования без ведома владельца. УЦ ФНС России поддерживает ключевые носители формата USB Тип-А, в частности: Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta-2 SE (JaCarta-2 PKI/ГОСТ/SE), JaCarta LT, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta PKI, ESMART Token, ESMART Token ГОСТ, а также иные, соответствующие установленным требованиям.
Приобрести такие носители можно у дистрибьюторов производителей и в специализированных интернет-магазинах. Кроме того, можно использовать уже имеющиеся носители при условии их соответствия требованиям. Один ключевой носитель может использоваться для хранения нескольких (до 32 экз.) КЭП и сертификатов к ним, выданных как коммерческими, так и государственными УЦ.
Для подготовки заявления на выдачу квалифицированного сертификата, а также приобретения ключевых носителей можно обратиться к оператору электронного документооборота. Полученные в рамках «пилотного» выпуска квалифицированные сертификаты являются легитимными, имеют срок действия 15 месяцев и могут использоваться для сдачи отчетности и ведения хозяйственной деятельности в рамках Федерального закона от 06.04.2021 № 63-ФЗ «Об электронной подписи».
Пользователи, получившие КЭП в УЦ ФНС России, могут обращаться в Службу технической поддержки или по телефону Единого контакт-центра ФНС России: 8-800-222-2222.
С 1 июля 2021 года лица, имеющие право действовать без доверенности от имени организации, и индивидуальные предприниматели смогут подать заявление на выпуск КЭП через «Личный кабинет налогоплательщика – физического лица».
ФНС напоминает, что с 1 января 2022 года вступают в силу следующие ограничения:
- Квалифицированную электронную подпись кредитных организаций, операторов платежных систем, некредитных финансовых организаций и индивидуальных предпринимателей можно будет получить в Удостоверяющем центре Центрального банка Российской Федерации;
- Квалифицированную электронную подпись должностных лиц государственных органов, органов местного самоуправления либо подведомственных государственному органу или органу местного самоуправления организации можно будет получить в Удостоверяющем центре Федерального Казначейства;
- Квалифицированную электронную подпись физических лиц, а также лиц, действующих от имени юридического лица по доверенности, можно будет получить
в коммерческих удостоверяющих центрах после их переаккредитации.
