|
|
|
|
|
|
|
|
|
Электронная цифровая подпись для чайников: с чем ее есть, и как не подавиться. Часть 1. Цифровая подпись что это6 простых шагов к намеченной цели!Добрый день, уважаемые читатели! Эта статья посвящена владельцам бизнеса вне зависимости от его размеров и организационной формы и простым гражданам нашей страны. Одинаково полезна и интересна она будет, как простым индивидуальным предпринимателями, так и хозяевам крупных коммерческих предприятий. Что между ними общего? Ответ прост — документооборот и необходимость взаимодействия с различными государственными инстанциями! Поэтому поговорим об инструменте, который существенно упростит движение документации, как внутри предприятия, так и за его пределами! Сегодня детально рассмотрим, как получить электронную подпись (ЭЦП)! Содержание:1. Что такое электронная цифровая подпись?2. Как возникла идея использования ЭПЦ?3. Подпись ЭЦП: преимущества и использование 4. Как получить электронную подпись. Пошагово!4.1. Шаг 1. Выбор вида ЭП4.2. Шаг 2. Посещение удостоверяющего центра4.3. Шаг 3. Заполнение документов4.4. Шаг 4. Оплата счета: деньги вперед!4.5. Шаг 5. Документы для получения ЭЦП4.6. Шаг 6. Получаем цифровую подпись 5. ЭЦП своими руками. Выгодно!6. Заключение Начнем с сути электронной подписи и механизма ее функционирования, далее рассмотрим сферу применения и безусловную полезность, после чего обсудим, как ее получить ФЛ, ИП и юридическим лицам, а также поговорим о необходимых документах. Мы собрали максимально полную информацию о том, как получить ЭЦП! Кстати, при необходимости, с ее помощью можно закрыть ИП. В статье «Как закрыть ИП: 5 способов ликвидации + 2 способа списания долгов!» описано, как это сделать! Что такое электронная цифровая подпись: простая суть сложного понятия!Каждый документ на предприятии обязательно подписывается уполномоченным лицом. Подпись придает ему юридическую силу. Современные технологии перевели документооборот в электронный формат. Что оказалось крайне удобным! Во-первых, электронные документы упростили и ускорили обмен данными на предприятии (особенно при интернациональном сотрудничестве). Во-вторых, сократился расход, связанный с их оборотом. В-третьих, существенно повысилась безопасность коммерческой информации. Несмотря на электронный формат, каждый документ должен быть подписан, поэтому была разработана ЭЦП. Что такое электронная цифровая подпись? Это аналог традиционной росписи в цифровом формате, который применяется для придания юридической силы документам на электронных носителях. Под словом «аналог» нужно понимать последовательность криптографических символов, сгенерированная случайным образом с помощью специального программного обеспечения. Хранится он на электронном носителе. Обычно используются флэш-накопители. С ЭП связанно два важных понятия: сертификат и ключ. Сертификат – это документ, который удостоверяет принадлежность электронной подписи определенному лицу. Он бывает обычный и усиленный. Последний выдается только некоторыми аккредитованными удостоверяющими центрами или непосредственно ФСБ. Ключ электронной подписи – это та самая последовательность символов. Ключи используют в паре. Первый – это и есть подпись, а второй – это ключ проверки, который удостоверяет ее подлинность. Для каждого нового подписываемого документа генерируется новый уникальный ключ. Важно понимать, что информация, полученная на флэшке в удостоверяющем центре, не является ЭП, – это всего лишь средство для ее создания. Подпись в электронном формате имеет такой же юридический вес и силу, как и под документом в бумажном варианте. Конечно, если при нанесении этого параметра не было никаких нарушений. При выявлении несоответствия или каких-либо отклонений от нормы документ не приобретет силу. Использование ЭЦП регулируются государством с помощью двух законов ФЗ-№1 и ФЗ-№63. Они затрагивают все сферы применения подписи: в гражданско-правовых отношениях, при взаимодействии с муниципальными и государственными органами. Как возникла идея использования ЭПЦ: вспомним прошлое!В 1976 году два американских криптографа Диффи и Хеллманом выдвинули предположение, что можно создать электронные цифровые подписи. Это была всего лишь теория, но она нашла отклик у общественности. В результате чего уже в 1977 году свет увидел криптографический алгоритм RSA, который позволил создавать первые ЭП. В сравнении с настоящими они были очень примитивными, но именно в этот момент была заложена основа для будущего стремительного развития отрасли и повсеместного распространения электронного документооборота. Миллениум принес существенные перемены. В США приняли закон, согласно которому подпись на бумажном носителе приравнивалась по юридической силе к электронной. Так появился новый быстро растущий сегмент рынка, объем которого по прогнозам американских аналитиков к 2020 году составит 30 млрд. $. В России первые ЭП начали использовать только в 1994 году. Первый закон, который регулировал их применение, приняли в 2002 году. Однако он отличался крайней расплывчатостью формулировок и неоднозначностью трактования терминов. Закон не давал однозначного ответа на вопрос, как получить электронную подпись и использовать ее. В 2010 году был разработан масштабный проект по созданию виртуальной среды для предоставления государственных услуг в электронном формате, который в августе того же года был предоставлен на рассмотрение Президенту РФ. Одно из ключевых направлений проекта – это возможность использования ЭЦП. Регионы обязали создать условия для свободного доступа физических и юридических лиц к возможностям электронного документооборота, чтобы каждый желающий смог получить ЭП. С тех пор в России активно развивается «электронное государство». В 2011 году Президент обязал органы исполнительной власти перейти на электронный документооборот внутри структур. К июню того же года все должностные лица были обеспечены ЭЦП. Финансирование программы происходило за счет федерального бюджета. В 2012 году электронный документооборот заработал во всех без исключения органах исполнительной власти РФ. После этих преобразований остро стояли два вопроса. Во-первых, ЭП не был универсальным. Для каждой цели нужно было получить новую подпись. Во-вторых, некоторые криптопровайдеры были не совместимы с другими, что ставило их клиентов в затруднительное положение. Поэтому с 2012 года начался глобальный процесс унификации в сфере электронного документооборота. Благодаря чему мы имеем современные универсальные подписи и программное обеспечение. Подпись ЭЦП: 5 преимуществ и 6 вариантов использования!Многие предприниматели еще не применяют в своей хозяйственной деятельности ЭПЦ. Во многом причина тому элементарное незнание всех ее возможностей и преимуществ. Используя для подписи документов электронный формат, субъекты предпринимательской деятельности (ИП, ЮЛ) получают следующие выгоды:
Так как компьютер очень сложно обмануть. В данном случае полностью исключается человеческий фактор. Ведь можно попросту не заметить, что подпись под документом отличается от подлинной. Электронную подпись подделать невозможно. Для этого нужно очень большие вычислительные мощности, что практически невозможно реализовать на современном уровне развития устройств, и очень много времени.
Полное исключение возможности утечки данных или потери важных бумаг. Любой экземпляр, заверенный электронным идентификатором, гарантированно будет получен адресатом в отправленном виде: никакие чрезвычайные обстоятельства не могут вызвать его порчу.
Для небольших фирм ведение документации в бумажном виде не было обременительным, чего нельзя сказать о крупных предприятиях. Многим из них приходилось арендовать отдельные помещения, склады для хранения документов в течение 5 лет. Помимо расходов на бумагу, принтеры, чернила, канцелярские принадлежности, добавлялась еще арендная плата! Кроме того, в зависимости от сферы деятельности, некоторые компании могли снизить издержки за счет сокращения количества работников, которые занимались документами: приемом, обработкой и т.п. Также исчезда и необходимость утилизировать бумагу: для отдельных видов органицаций, деятельность которых связана с конфеденциальной информацией, даже эта строка расходов оказывалась существенной. Процесс уничтожения документов под ЭЦП — несколько кликов компьютерной мышью.
Можно получить ЭП, которая позволит использовать ее на всех необходимых площадках. Прежде чем перейти к рассмотрению вопроса, как получить электронную подпись, перечислим все возможные варианты ее использования:
biz-anatomy.ru с чем ее есть и как не подавиться. Часть 3 / ХабрЧасть 1Часть 2В этой части сделаем небольшое отступление от цифровых подписей в сторону того, без чего непосредственно цифровых подписей, да и защиты информации в привычном понимании, не было бы: шифрования. Ведь первое, что приходит на ум, когда идет речь о защите наших данных — это не дать эти данные нехорошему человеку прочитать. Поэтому, перед тем, как продолжить рассмотрение стандартов PGP и S/MIME, стоит закрасить некоторые остающиеся в знаниях белые пятна, и рассмотреть процесс шифрования немного поподробнее. Шифры и коды существуют, наверное, с того момента, как человечество научилось записывать свои впечатления об окружающем мире на носителях. Если немного вдуматься, даже обыкновенный алфавит — уже шифр. Ведь когда мы читаем какой-либо текст, в нашей голове каждому нарисованному символу сопоставляется некий звук, сочетание звуков, или даже целое понятие, а в голове соседа, который читать не умеет, этого уже не происходит. Не зная, какому символу и что сопоставлено, мы никогда не сможем понять, что же именно писавший имел ввиду. К примеру, попробуйте взять и прочитать что-то, написанное на иврите, или на китайском языке. Сами алфавиты этих языков будут являться для вас непреодолимым препятствием, даже если с помощью этих символов написаны понятия вашего родного языка. Но, тем не менее, простое использование чужого алфавита все же недостаточная мера для защиты ваших данных. Ведь любой алфавит, так или иначе, создавался для удобства пользования им и является неразрывно связанным с языком, которому данный алфавит характерен. А значит, выучив этот язык и некоторый набор базовых понятий на нем (а то и просто воспользовавшись услугами человека, знающего данный язык), нехороший человек может прочитать вашу информацию. Значит, надо придумать алфавит, который знает только ограниченный круг лиц, и с его помощью записать информацию. Наверняка все читали (или, по крайней мере, слышали) цикл историй про Шерлока Холмса. В этом цикле фигурировал алфавит, составленный из пляшущих человечков (а многие, я думаю, в детстве на его основе составляли свой). Однако, как показывает данная история, наблюдательный человек может разгадать, какой символ и к чему относится. А значит наша информация опять попадет не в те руки. Что же делать? Придумывать все более и более сложные алфавиты? Но чем более сложный и громоздкий алфавит, тем более неудобно с ним работать, хранить его в тайне. К тому же, насчет тайны есть замечательная поговорка: знают двое – знают все. Ведь самое слабое звено в любом шифре – это человек, который знает, как этот шифр расшифровать. А почему бы не сделать так, чтобы способ шифрования был сразу известен всем, но расшифровать наши данные было бы нельзя без какого-то ключа? Ведь ключ (в отличие от всего алфавита) маленький, его достаточно легко сделать новый, если что (опять же, в отличие от переработки всего алфавита), легко спрятать. Наиболее наглядно плюсы ключевых систем показывает следующий пример: получателю надо прочитать сосланное вами сообщение. Обычное, на бумаге. Допустим, вы используете секретный алфавит. Тогда, чтобы прочитать сообщение, получатель должен знать алфавит, иметь большой пыльный талмуд, в котором описаны способы расшифровки (ведь алфавит должен быть сложным, чтобы быть надежным) и понимать, как же с этим талмудом работать. С ключами же все проще: вы кладете сообщение в коробку с замком, а получателю достаточно просто вставить подходящий ключик, а знать, как же устроен замок ему совершенно но нужно. Итак, общеизвестные «алфавиты» и ключи — механизм, существенно более удобный, чем просто алфавиты. Но как же так зашифровать, чтобы все расшифровывалось простым ключом? И вот тут нам на помощь приходит математика, а конкретнее – математические функции, которые можно использовать для замены наших исходных символов на новые. Вспомним же, что такое функция. Это некоторое соотношение, по которому из одного числа можно получить другое. Зная x и подставляя его в известное нам соотношение y=A*x, мы всегда получим значение y. Но ведь, как правило, верно и обратное: зная y, мы можем получить и x. Как правило, но далеко не всегда. Для многих зависимостей получить y легко, тогда как x – уже очень трудно, и его получение займет продолжительное время. Вот именно на таких зависимостях и базируется используемое сейчас шифрование. Но, вернемся к самому шифрованию. Шифрование подразделяют на симметричное, асимметричное и комбинированное. Рассмотрим, в чем суть каждого из них. Симметричное шифрование, по большому счету, достаточно слабо отличается от старого доброго секретного алфавита. Собственно говоря, отличается оно как раз наличием ключа – некоторой сравнительно маленькой последовательности чисел, которая используется для шифрования и расшифровывания. При этом, каждая из обменивающихся информацией сторон должна этот ключ знать и хранить в секрете. Огромным плюсом такого подхода является скорость шифрования: ключ, по сути, является достаточно простой и короткой инструкцией, какой символ, когда, и на какой надо заменять. И работает данный ключ в обе стороны (то есть с его помощью можно как заменить все символы на новые, так и вернуть все как было), за что такой способ шифрования и получил название симметричного. Столь же огромным минусом является именно то, что обе стороны, между которыми информация пересылается, должны ключ знать. При этом, стоит нехорошему человеку заполучить ключ, как он тут же прочитает наши столь бережно защищаемые данные, а значит проблема передачи ключа принимающей стороне становится в полный рост. Асимметричное шифрование поступает несколько хитрее. Здесь и у нас, и у нашего получателя есть уже два ключа, которые называют открытый и закрытый. Закрытый ключ мы и получатель храним у себя (заметьте, каждый хранит только свой ключ, а значит, мы уже выходим за пределы той самой поговорки про двоих знающих), а открытый мы и получатель можем спокойно передавать кому угодно – наш закрытый, секретный, по нему восстановить нельзя. Итого, мы используем открытый ключ получателя для шифрования, а получатель, в свою очередь, использует свой закрытый ключ для расшифровывания. Плюс данного подхода очевиден: мы легко можем начать обмениваться секретной информацией с разными получателями, практически ничем (принимая условие, что наш получатель свой закрытый ключ не потерял/отдал и т.п., то есть не передал его в руки нехорошего человека) не рискуем при передаче информации. Но, без огромного минуса не обойтись. И здесь он в следующем: шифрование и расшифровывание в данном случае идут очень, очень, очень медленно, на два-три порядка медленнее, чем аналогичные операции при симметричном шифровании. Кроме того, ресурсов на это шифрование тратится также значительно больше. Да и сами ключи для данных операций существенно длиннее аналогичных для операций симметричного шифрования, так как требуется максимально обезопасить закрытый ключ от подбора по открытому. А значит, большие объемы информации данным способом шифровать просто невыгодно.Пример использования асимметричного шифрования [Wikipedia] e — открытый ключ получателя B d — закрытый ключ получателя B m — исходная информация отправителя A c — зашифрованная исходная информация И снова возникает вопрос: что же делать? А делать нужно следующее: взять, и скомбинировать оба способа. Собственно, так мы и получаем комбинированное шифрование. Наш большой объем данных мы зашифруем по первому способу, а чтобы донести ключ, с помощью которого мы их зашифровали, до получателя, мы сам ключ зашифруем по второму способу. Тогда и получим, что хоть асимметричное шифрование и медленное, но объем зашифрованных данных (то есть ключа, на котором зашифрованы большие данные) будет маленьким, а значит расшифровывание пройдет достаточно быстро, и дальше уже в дело вступит более быстрое симметричное шифрование. Пример применения комбинированной системы [Wikipedia] Все эти механизмы нашли свое применение на практике, и оба наших больших лагеря PGP и S/MIME их используют. Как говорилось в первой статье, асимметричное шифрование используется для цифровой подписи (а именно, для шифрования нашего хэша). Отличие данного применения от обычного асимметричного шифрования в том, что для шифрования используется наш закрытый ключ, а для расшифровывания достаточно наличие связанного с ним (то есть, тоже нашего) открытого ключа. Поскольку открытый ключ мы не прячем, наш хэш можем прочитать кто угодно, а не только отдельный получатель, что и требуется для цифровой подписи.Комбинированное же шифрование применяется в обоих стандартах непосредственно для шифрования отправляемых данных. Таким образом, начиная пользоваться цифровыми подписями для защиты наших данных от подмены, мы автоматически (для этих двух стандартов) получаем и замечательную возможность защитить наши данные еще и от прочтения, что, согласитесь, весьма удобно. Теперь, когда мы познакомились с общими принципами работы механизмов, используемых для защиты наших данных, можно наконец перейти к практике и рассмотрению, что же использовать. Но об этом в следующих статьях. habr.com Цифровая подпись - это... Что такое Цифровая подпись?Управлением ключами занимаются центры распространения сертификатов. Обратившись к такому центру пользователь может получить сертификат какого-либо пользователя, а также проверить, не отозван ли ещё тот или иной открытый ключ. Юридические аспектыВ России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 10.01.2002 N 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» Использование ЭЦП в РоссииПосле становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного ДОУ между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам Российской Федерации от 2 апреля 2002 г. N БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи». Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи определяет общие принципы организации информационного обмена при представлении налогоплательщиками налоговой декларации в электронном виде по телекоммуникационным каналам связи. В Законе РФ от 10.01.2002 № 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» прописаны условия использования электронной цифровой подписи, особенности ее использования в сферах государственоого управления и в корпоративной информационной системе. Благодаря электронной цифровой подписи теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли», обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур. В Москве в рамках реализации ГЦП (Городской целевой программы) "Электронная Москва" был образован Уполномоченный удостоверяющий Центр ОАО "Электронная Москва" (http://www.uc-em.ru) для решения задач координации работ и привлечения инвестиций при выполнении Городской целевой программы. Использование ЭЦП в других странахСистема электронных подписей широко используется в Эстонской Республике, где введена программа ID-карт, которыми снабжены 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент — Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Все это осуществляется через центральный гражданский портал Eesti.ee [1]. Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии. ПримечанияФедеральный закон №149 - ФЗ от 27 июля 2006г. "Об информации, информационных технологиях и о защите информации" - http://uc-em.ru/download/02.doc Федеральный закон № 126 - ФЗ от 07 июля 2003г. "О связи" - http://uc-em.ru/download/03.doc Постановление Правительства РФ №319 от 30 июня 2004г. "Об утверждении Положения о Федеральном агентстве по информационным технологиям" - http://uc-em.ru/download/05.doc Постановление Правительства Москвы №495 - ПП от 19 июня 2007г. "Об утверждении Положения о Головном удостоверяющем центре города Москвы" - http://uc-em.ru/download/06.doc Постановление Правительства Москвы №249 - ПП от 10 апреля 2007г. "Об утверждении порядка работы органов исполнительной власти города Москвы, государственных учреждений и государственных унитарных предприятий города Москвы с электронными документами, подписанными электронной цифровой подписью" - http://uc-em.ru/download/07.doc Постановление Правительства Москвы №997 - ПП от 19 декабря 2006г. "Об утверждении порядка использования электронной цифровой подписи органами исполнительной власти города Москвы и государственными заказчиками при размещении государственного заказа города Москвы" - http://uc-em.ru/download/08.doc Постановление Правительства Москвы №544 - ПП "Об утверждении Положения о Системе уполномоченных удостоверяющих центров органов исполнительной власти города Москвы" - http://uc-em.ru/download/09.doc Постановление Правительства Москвы №450 - ПП от 6 июля 2004г. "О дополнительных мерах по обеспечению эффективного использования бюджетных средств при формировании, размещении и исполнении городского государственного заказа и создании Единого реестра контрактов и торгов города Москвы" - http://uc-em.ru/download/10.doc Постановление Правительства Москвы №299-ПП от 11 мая 2004г. "Об утверждении Положения о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти города Москвы" - http://uc-em.ru/download/11.doc Постановление Правительства Москвы №1079-ПП от 30 декабря 2003г. "Об уполномоченном органе в области использования электронной цифровой подписи в информационных системах органов исполнительной власти города Москвы" - http://uc-em.ru/download/12.doc Об определении уполномоченных удостоверяющих центров - http://uc-em.ru/download/14.doc Ссылки
См. такжеdic.academic.ru с чем ее есть, и как не подавиться. Часть 1 / ХабрИтак, все чаще в кругах, работающих с документами все чаще звучат слова «электронный документ» и, связанное с ним почти неразрывно «электронная цифровая подпись», иначе — ЭЦП.Данный цикл статей предназначен для того, чтобы раскрыть «тайное знание» о том, что это такое, когда и как это можно и нужно использовать, какие есть плюсы и минусы. Естественно, статьи пишутся не для специалистов по криптографии, а для тех, кто эту самую криптографию будет использовать, или же только начинает ее изучение, желая стать специалистом, поэтому я старался максимально упростить понимание всего процесса, приводя аналогии и рассматривая примеры. Зачем нам вообще что-то подписывать? Естественно, чтобы удостоверить, что мы ознакомились с содержимым, согласны (а иногда наоборот, не согласны) с ним. А электронная подпись еще и защищает наше содержимое от подмены. Итак, начать, естественно, стоит с того, что такое электронная цифровая подпись. В самом примитивном случае это — результат хэш-функции. Что это такое лучше меня разъяснит википедиа, в нашем же случае главное, что с высокой степенью вероятности ее результат не повторяется для разных исходных данных, а также что результат этой функции мало того, что короче исходных данных, так еще по нему исходную информацию восстановить нельзя. Результат функции называют хэшем, а применение этой функции к данным называют хешированием. Грубо, можно назвать хэш функцию архивированием, в результате чего мы получаем очень маленькую последовательность байт, но восстановить исходные данные из такого «архива» нельзя. Итак, мы читаем файлик в память, хэшируем прочитанное. И что, уже получаем ЭЦП? Почти. Наш результат с большой натяжкой можно назвать подписью, но, все же, полноценной подписью он не является, потому что: 1. Мы не знаем, кто сделал данную подпись 2. Мы не знаем, когда была сделана подпись 3. Сама подпись не защищена от подмены никак. 4. Ну и да, хэш функций много, какая из них использовалась для создания этого конкретного хэша? Поэтому применять к хэшу слово «подпись» еще нехорошо, будем называть его дальше просто хэш. Вы посылаете ваш файл другому человеку, допустим, по почте, будучи уверенными, что он точно получит и прочитает именно то, что вы послали. Он же, в свою очередь, тоже должен хэшировать ваши данные и сравнить свой результат с вашим. Если они совпали — все хорошо. Это значит что данные защищены? Нет. Ведь хэшировать может кто угодно и когда угодно, и вы никогда не докажете, что он хэшировал не то, что вы послали. То есть, если данные будут перехвачены по дороге злоумышленником, или же тот, кому вы посылаете данные — не очень хороший человек, то данные могут быть спокойно подменены и прохэшированы. А ваш получатель (ну или вы, если получатель — тот самый нехороший человек) никогда не узнает, что он получил не то, что вы отправляли, или сам подменил информацию от вас для дальнейшего использования в своих нехороших целях. Посему, место для использование чистой хэш функции — транспорт данных в пределах программы или программ, если они умеют общаться между собой. Собственно, с помощью хэш функций вычисляются контрольные суммы. И эти механизмы защищают от случайной подмены данных, но не защищают от специальной. Но, пойдем дальше. Нам хочется защитить наш результат хеширования от подмены, чтобы каждый встречный не мог утверждать, что это у него правильный результат. Для этого самое очевидное что (помимо мер административного характера)? Правильно, зашифровать. А ведь с помощью шифрования же можно и удостоверить личность того, кто хэшировал данные! И сделать это сравнительно просто, ведь есть ассиметричное шифрование. Да, оно медленное и тяжелое, но ведь нам всего-то и надо — зашифровать маленькую последовательность байт. Плюсы такого действия очевидны — для того, чтобы проверить нашу подпись, надо будет иметь наш открытый ключ, по которому личность зашифровавшего (а значит, и создавшего хэш) можно легко установить. Суть этого шифрования в следующем: у вас есть закрытый ключ, который вы храните у себя. И есть открытый ключ. Открытый ключ вы можете всем показывать и раздавать, а закрытый — нет. Шифрование происходит с помощью закрытого ключа, а расшифровывание — с помощью открытого. Приводя аналогию, у вас есть отличный замок и два ключа к нему. Один ключ замок открывает (открытый), второй — закрывает (закрытый). Вы берете коробочку, кладете в нее какую-то вещь и закрываете ее своим замком. Так, как вы хотите, чтобы закрытую вашим замком коробочку открыл ее получатель, то вы открытый, открывающий замок, ключик спокойно отдаете ему. Но вы не хотите, чтобы вашим замком кто-то закрывал коробочку заново, ведь это ваш личный замок, и все знают, что он именно ваш. Поэтому закрывающий ключик вы всегда держите при себе, чтобы кто-нибудь не положил в вашу коробочку мерзкую гадость и не говорил потом, что это вы ее положили и закрыли своим замком. И все бы хорошо, но тут сразу же возникает проблема, а, на самом деле, даже не одна. 1. Надо как-то передать наш открытый ключ, при этом его должна понять принимающая сторона. 2. Надо как-то связать этот открытый ключ с нами, чтобы нельзя было его присвоить. 3. Мало того, что ключ надо связать с нами, надо еще и понять, какой зашифрованный хэш каким ключом расшифровывать. А если хэш не один, а их, скажем, сто? Хранить отдельный реестр — очень тяжелая задача. Все это приводит нас к тому, что и закрытый ключ, и наш хэш надо хранить в каких-то форматах, которые нужно стандартизировать, распространить как можно шире и уже тогда использовать, чтобы у отправителя и получателя не возникало «трудностей перевода». Как водится у людей, к чему-то единому прийти так и не смогли, и образовалось два больших лагеря — формат OpenPGP и формат S/MIME + X.509. Но об этом уже в следующей статье. Часть 2 habr.com Электронная цифровая подпись: разбираемся в вопросе28 сентября | День Генерального Директора >> Вам доступен свежий номер:
Рубрики
www.gd.ru Электронная подпись (ЭЦП)Электроная подпись (ЭП) - это программно-криптографическое средство, которое обеспечивает:
Электронная подпись используется физическими и юридическими лицами в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица и скрепленного печатью. Электронный документ - это любой документ, созданный при помощи компьютерных технологий и хранящийся на носителях информации, обрабатываемых при помощи компьютерной техники, будь то письмо, контракт или финансовый документ, схема, чертеж, рисунок или фотография. Преимущества использования ЭПИспользование ЭП позволяет:
Подделать ЭП невозможно - это требует огромного количества вычислений, которые не могут быть реализованы при современном уровне математики и вычислительной техники за приемлемое время, то есть пока информация, содержащаяся в подписанном документе, сохраняет актуальность. Дополнительная защита от подделки обеспечивается сертификацией Удостоверяющим центром открытого ключа подписи. С использованием ЭП работа по схеме "разработка проекта в электронном виде - создание бумажной копии для подписи - пересылка бумажной копии с подписью - рассмотрение бумажной копии - перенос ее в электронном виде на компьютер" уходит в прошлое. Три вида электронной подписиЭлектронные подписи разделяются законом 2011 г. на три вида.
Простые и неквалифицированные подписи заменяют подписанный бумажный документ в случаях, оговоренных законом или по согласию сторон. Например, простые подписи могут использовать граждане для отправки сообщений органам власти. Усиленная подпись также может рассматриваться как аналог документа с печатью. Квалифицированные подписи заменяют бумажные документы во всех случаях, за исключением тех, когда закон требует наличие исключительно документа на бумаге. Например, с помощью таких подписей граждане могут получать госуслуги в электронном виде, а органы государственной власти могут отправлять сообщения гражданам и взаимодействовать друг с другом через информационные системы. Ранее выданные сертификаты ЭЦП и подписанные с их помощью документы приравниваются к квалифицированным подписям. Иностранные электронные подписи приравниваются в России к тем видам подписей, которым они соответствуют. Простая электронная подпись, в отличие от прежней электронно-цифровой подписи, не предназначена для защиты документа от подделки. Она не позволяет обнаружить возможное искажение содержания документа. Единственная ее функция — подтверждение факта формирования электронной подписи (а не самого документа!) определенным лицом. Целям определения лица, подписавшего электронный документ, а также обнаружения факта внесения изменений в документ после его подписания служит усиленная электронная подпись. Именно эта подпись (в двух видах — неквалифицированная и квалифицированная) является аналогом прежней электронной цифровой подписи. Поскольку простая электронная подпись требует использования кодов, паролей или иных средств, станет ясно, что можно считать электронной подписью, а что нет. Очевидно, что в случае электронного письма роль электронной подписи не может играть имя отправителя, вручную поставленное после текста, так как оно никак не зависит от пароля, используя который отправитель сформировал и отправил письмо. Информацией, указывающей на лицо, от имени которого был послан документ, может служить, вероятно, идентификатор сообщения в сочетании с IP-адресом компьютера отправителя, свидетельствующие о том, что сообщение было создано в результате доступа к почтовой системе, сопровождавшегося вводом пароля, принадлежащего определенному пользователю. Электронный адрес отправителя и имя отправителя можно считать подписью лишь в том случае, если оператор информационной системы обеспечивает их достоверность, ведь почтовый протокол позволяет указывать любое имя и любой обратный адрес, и некоторые почтовые системы не накладывают здесь никаких ограничений. Средства ЭЦПСредствами ЭЦП являются аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:
Криптографическая основаВ основе электронной подписи лежит криптография открытого ключа. С ее помощью формируется специальный сертификат пользователя. Он содержит данные о пользователе, открытый ключ и электронную подпись сертификата, ее можно проверить с помощью открытого ключа удостоверяющего центра. Алгоритм гарантирует, что произвести генерацию подписи может только удостоверяющий центр, который имеет секретный ключ шифрования и доверие к которому является основой для работы всей системы ЭЦП. Доверие к удостоверяющим центрам основано на иерархическом принципе: сертификат удостоверяющего центра нижнего уровня заверяется электронной подписью удостоверяющего центра более высокого уровня. Высочайшим уровнем удостоверяющих центров является федеральный, который находится под управлением государственных органов. Вся система доверия, построенная на сертификатах, образует так называемую инфраструктуру открытых ключей (Public Key Infrastructure, PKI). При такой инфраструктуре требуется проверка не только легитимности ключа удостоверяющего центра, выдавшего сертификат, но и всех вышестоящих удостоверяющих центров. В частности, при формировании электронной транзакции необходимо проверить не только математическую корректность ЭЦП, но и валидность всей цепочки сертификатов, задействованных при изготовлении сертификата подписанта, на момент подписания им конкретного электронного документа. В России сейчас создается система PKI, которая доступна практически всем желающим. Изначально она была создана агентством Росинформтехнологии на базе Общероссийского государственного информационного центра (ОГИЦ). Однако сейчас федеральный удостоверяющий центр передан в ведение «Ростелекома». Этот телекоммуникационный оператор активно предлагает развивать различные проекты с использованием PKI. Равнозначность собственноручной подписиЭлектронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
Область применения ЭЦП определяется идентификатором, называемым OID. У каждой области действия свой OID. Например, область применения, которая позволяет подписывать документы для постановки объектов на ГКН, имеет OID 1.2.643.5.1.24.2.1.3.1 «Формирование кадастровым инженером документов для получения услуг со стороны заявителя». ЭЦП с таким OID выдается только кадастровым инженерам, которые для получения предъявляют Аттестат кадастрового инженера. Область применения, которая позволяет органу кадастрового учёта подтверждать документы – результаты кадастрового учета имеет OID - 1.2.643.5.1.24.2.1.2 «Формирование документов как результата оказания услуги со стороны органов кадастрового учета». ЭЦП с такими OID нами не выдается. И не может быть выдан без специальной аккредитации. Электронная подпись для госзакупокОсновная статья: Электронная подпись в закупках Для участия в закупочных процедурах необходимо наличие электронной подписи. Каких типов бывают ЭП, что влияет на стоимость подписи и какой пакет документов необходимо подготовить для её получения? Подробнее здесь. Удостоверяющие центрыОсновная статья: Удостоверяющие центры Удостоверяющий центр (Центр сертификации) (англ. Certification authority, CA) — организация, выпускающая сертификаты ключей электронной цифровой подписи. Хроника2018: Минкомсвязи предложило ввести для ЭЦП единый сертификат проверки ключейВ начале апреля 2018 года появилась информация о том, что полномочия пользователей электронных цифровых подписей могут быть закреплены в едином сертификате проверки ключа усиленной квалифицированной ЭЦП. Минкомсвязи России опубликовало на портале проектов правовых актов соответствующий законопроект. В пояснении к проекту закона указывается, что согласно текущему положению дел пользователи ЭЦП — физические и юридические лица, государственные органы и чиновники — не могут получить доступ к информационным системам различных ведомств, так как они требуют наличия в квалифицированном сертификате объектных идентификаторов (OID). В то же время, сертификаты, выданные аккредитованными Минкомсвязи России удостоверяющими центрами, как отмечают авторы законопроекта, не могут использоваться для проверки электронной подписи в информационных системах таких отдельных ведомств. OID отсутствуют в единых сертификатах, так что на рынке работает множество компаний, продающих квалифицированные сертификаты проверки ключа, предназначенные для работы с единственным ведомством и, соответственно, не позволяющие работать с другими.
Теперь Минкомсвязи предлагает ввести понятие «полномочный сертификат», в котором будут содержаться и OID пользователя, и сведения о его полномочиях. Тем самым проблема множества сертификатов — в случае принятия законопроекта — будет снята www.tadviser.ru ЭЦП - электронно цифровая подписьПоявление и распространение ЭП объясняется повсеместным внедрением средств электрокоммуникации во всех сферах жизни: бизнес, искусство, быт, отдых. Возникли принципиально новые взаимоотношения, объект которых – обмен цифровыми данными. Их активными участниками на данный момент являются:
Это привело к появлению проблемы сохранности электронных документов от просмотра, копирования, изменения и подделки. Ее разрешение требует специфических комплексных юридико-технических средств и методов защиты. Наиболее эффективным, а потому и самым распространенным из них является электронная подпись. Что такое электронная подписьСуществует несколько правильных ответов на этот вопрос, и каждый раскрывает некую сторону этого комплексного юридического и технического явления. Итак, электронная подпись (ЭП) – это:
Таким образом, ЭП – это реквизит документа, который создан с помощью криптографического видоизменения сведений посредством закрытого ключа подписи, обеспечивающий возможность определить отсутствие внесения изменений в документ после проставления подписи хозяином сертификата. ТерминологияВопрос, требующий ответа: что такое ЭП и ЭЦП, чем они отличаются. Отдельные авторы называют электронно-цифровую видом электронной подписи. Обозначение одного неизвестного понятия через другое загоняет неспециалиста в ступор. Но все просто: имели место изменения в законодательной терминологии. В 2002 г. был принят федеральный закон «Об ЭЦП», а в 2011 г. его заменил такой же силы акт «Об ЭП». Но за девять лет все привыкли к старому названию, поэтому оно так и осталось в обороте. Сейчас электронная и электронно-цифровая подписи в юридической плоскости РФ – абсолютные синонимы. Общая характеристикаЭлектронная подпись генерируется путем криптографического видоизменения ряда компьютерных сведений с помощью электронного регистрационного свидетельства (сертификата) и закрытого (личного) ключа ЭП. Она присоединяется к этому ряду или же связывается с ним логически. Сертификат, как и закрытый ключ, находятся на SMART-карте. Это исключает повреждение, утрату целостности этих ведомостей или копирование закрытого ключа. Применение SMART-карты осуществляется с помощью PIN-кода. Это, с одной стороны, обеспечивает ей использование владельцем, а с другой – исключает доступ третьих лиц. Подпись проверяется с помощью открытого ключа, которым должен обладать тот, кому документ предназначен. Электронная подпись – это технически сгенерированная подпись и вместе с тем ее расшивка, а для служебного или должностного лица – заодно еще и гербовая печать. На вопрос, что такое ЭП, можно ответить и короче: это извлеченный способом шифровального видоизменения данных с помощью личного ключа атрибут документа, уготовленный для предохранения от прочтения сторонними лицами, копирования и подделывания. ПараметрыПризнаки цифровой подписи удобнее всего рассматривать в сравнении с рукописной. Подпись физического лица имеет только один параметр – удостоверение его личности. Если человек работает на ответственной должности одновременно в нескольких организациях – его подпись все равно неизменна. Но поскольку, подписывая документы, он действует от имени разных юридических лиц, эта подпись будет совмещаться с разными печатями. С ЭП юридического лица все иначе. Она характеризуется четырьмя неразделимыми признаками и удостоверяет одновременно:
Если раньше определялась система, в пределах которой данная ЭП имела оборот и значимость (ее называют OID), то после изменений в Законе «Про ЭП» 2015 г. все сертификаты проверки ключа ЭП позволяют построить цепочки сертификатов до Головного Удостоверяющего центра (ГУЦ), то есть пользователю достаточно иметь в доверенных только сертификат ГУЦ. Раньше один человек мог обладать несколькими ЭП для разных случаев. Юридические лица могли обмениваться электронными документами, заверенными таким образом, только в случае, когда оба они являлись членами одной системы – получили сертификаты у одного сервисного центра. Для того чтобы наладить документооборот, одному из предприятий нужно было стать участником системы второго и сформировать новый набор ключей. Человек, подписывающий документы от имени нескольких юридических лиц или одновременно являющийся частным предпринимателем, должен был каждый раз выбирать из имеющихся соответствующий ключ. В целях безопасности и по техническим мотивам, срок действия сертификата ключа обычно устанавливается в один год. В свою очередь, сертификат используется как для подписания, так и с целью шифрования документов. Поэтому в текущий момент для подписания документов нужно пользоваться новым ключом, а для расшифровки документации, созданной больше года назад, – старым. Очевидно, что количество ключей будет неуклонно расти. Сейчас эта проблема пока не разрешена. Цель использования ЭПОсновная цель употребления ЭП – обеспечить сохранность и подлинность документов при переходе от бумажного документооборота к электронному. Ведь в новой системе документация изначально составляется в оцифрованном виде и не переносится в последующем на бумажные носители. Переход к безбумажному документообороту имеет ряд выгод. Передача электронной документации посредством каналов электросвязи происходит в считаные секунды. Этот тезис в равной мере правилен для:
Нужно сказать, что все участники информационной системы при отправке и получении документов находятся в одинаковых временных рамках. Финансовая выгодаИз списка ежемесячных расходов исключаются дорогостоящие услуги курьерской доставки и почтовые издержки. В разы сокращаются траты на канцтовары, в первую очередь – бумагу. Отпадает потребность содержать архив. Скопившаяся документация подлежит сканированию с размещением на электронных носителях. Появляется свободное помещение. Для выполнения другой работы высвобождается сотрудник-делопроизводитель. Основные функцииНа электронную подпись возложены следующие задачи:
При использовании этих параметров можно также точно узнать время создания, визирования и внесения санкционированных правок. ПреимуществаПодпись ЭЦП способна:
НадежностьЗакрытый (личный) ключ создается из набора случайно сгенерированных чисел специальным датчиком. Открытый – рассчитывается исходя из личного, способом, который делает невозможным обратное действие. Личный ключ ЭП является неповторимой последовательностью рядов символов длиной порядка 250 бит. Личный ключ существует в единственном экземпляре и находится у хозяина. Открытый ключ могут иметь неопределенное количество партнеров. Подделать ЭП очень сложно. В этом принципиальная разница ее от рукописного росчерка. Такое действие требует проведения огромного количества вычислений. К чему такие сложности?Задумаемся о том, что было бы, если бы ЭП не существовало. Тогда оборот юридически значимой документации и дальше проходил бы по такому алгоритму:
Допустим, что описанные метаморфозы происходили с проектом хозяйственного договора. Получатель бумажного письма желает внести минимальные правки. Для этого у него одна возможность – сканировать бумажный документ и методом распознавания и проверки воссоздать текст отправителя. На отправку и возвращение проекта уйдет около месяца. Технические моментыАккредитованный удостоверяющий центр не вправе наделять третьих лиц полномочиями по созданию ключей квалифицированных электронных подписей и квалифицированных сертификатов от своего имени. Он непосредственно сам создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением. Ведомствам-издателям сертификатов теперь запрещено вносить в сертификаты дополнительные поля и требования их обязательности. Имея одну-единственную квалифицированную ЭП, вы можете быть авторизованы и использовать все государственные информационные системы. Итак, ЭП – это новейшая технология, которая уже прочно вошла в деловую жизнь и вряд ли когда-нибудь ее покинет. Вести бизнес на высоком уровне в ногу со временем можно только с ЭП. Становится очевидным, что переход с бумажной на электронную систему документооборота, и соответственно, обзаведение электронно-цифровой подписью для конкурентоспособного субъекта хозяйственной деятельности – только вопрос времени. На данный момент бесплатная ЭП доступна только государственным органам. Они получают ее в Федеральном казначействе. Остается надеяться, что заинтересованность государства в использовании ЭП при подаче отчетности заставит перенять опыт Украины, где налогоплательщики получают бесплатные подписи в налоговых органах. Электронно-цифровая подпись для торгов. ЭЦП. Что это и где ее получить. Что такое ЭЦП? Для чего нужна цифровая подпись? Виды электронных подписей? Электронная цифровая подпись (ЭЦП): регистрация и использование B2B-Center [электронная цифровая подпись эцп видео инфографика] Поделитесь материалом в соц сетях: documentooborot.com
|