|
|
|
|
|
|
|
|
|
Электронная подпись и бизнес: применяют ли в России облачную ЭП? Dokusing электронная подпись в россии«работает» или нет? / Блог компании Pravo.ru / ХабрВ пояснительной записке к новому закону говорится о том, что ЭЦП «старого образца» не была популярной: до 2007 года было выдано всего около двусот тысяч сертификатов ключей подписи, количество лиц, использующих ее, было меньше одного процента населения России. Это привело к тому, что многие россияне считают, будто «электронная подпись в России не работает». Симптомом этого стали многочисленные заголовки о том, что свежепринятый закон «узаконил электронную подпись»: действительно, большинство наших граждан в повседневной жизни с нею не встречается вообще. Для того, чтобы понять, для чего нам новый закон об электронных подписях и что изменится с его принятием, необходимо немного углубиться в историю российской «гражданской криптографии», то есть, программ, предназначенных для шифрования и подписи сообщений. Всеми гонимая.В отличие от ведомственной, «гражданская криптография» всегда существовала «на птичьих правах». Государство смотрело на нее косо, виной тому − функции по шифрованию, которые присутствуют в таком ПО наряду с возможностью генерировать электронную подпись. Ведь отсутствие в программах, созданных независимыми разработчиками, «черного хода» (то есть, возможности расшифровать сообщение, не зная ключа) серьезно затрудняет работу спецслужб, если им вдруг захочется прочитать, о чем общаются пользователи между собой. Неприятности начали преследовать гражданскую криптографию с самого ее зарождения. В начале девяностых годов программист Филипп Циммерман создал программу PGP («Pretty Good Privacy»), которая и по сей день остается самой популярной в этой области. Программа позволяла подписывать сообщения и файлы, а также шифровать их. Для подписи и шифрования использовались два ключа, открытый и закрытый. Открытыми ключами пользователи свободно обменивались, а закрытые полагалось хранить в тайне. Для шифровки сообщения использовалась комбинация из открытого ключа адресата и закрытого ключа автора письма. Для расшифровки требовались, наоборот, закрытый ключ адресата и открытый − автора. Такая схема позволяла обмениваться шифрованными сообщениями не опасаясь того, кто-то перехватит ключ, необходимый для расшифровки, поскольку ключей использовалось два, и один из них перехватить просто нельзя. Именно из-за этого шифрование с открытым ключом (или, как его еще называют, «асимметричное шифрование») получило массовое распространение в Интернете. Однако, вскоре после создания PGP на Циммермана завели уголовное дело. Причиной стало то, что Филипп якобы нарушил запрет на экспорт из США программ, реализующих стойкое шифрование. Дело было прекращено только через три года, с Циммермана были сняты все обвинения. Вскоре после этого он основал компанию PGP, inc., которая продолжила заниматься разработкой программы. А запрет на ее экспорт был обойден очень просто. Распространялся он только на электронные копии, поэтому «зарубежная» версия PGP была скомпилирована из отсканированного исходного текста, который был вывезен из США в распечатанном виде. Это, конечно, экзотика, но примерно так государство относилось к гражданской криптографии и в России. Многим памятен знаменитый ельцинский «указ №334», которым просто запрещалось использовать любые криптографические средства, не сертифицированные ФАПСИ. Причем запрет распространялся не только на государственные организации − разрабатывать их и ввозить на территорию России запрещалась вообще всем. Правда, никакой ответственности за нарушение этого запрета указ не предусматривал, так что многие смотрели на него сквозь пальцы. Именно в период его действия распространились массовые технологии шифрования, включая программы, поставляющиеся с операционными системами семейства Windows, а также та самая PGP, ставшая сегодня стандартом де-факто в этой области. И вот, в 2002 году принимается первый закон об ЭЦП. Распространялся он только на правоотношения, возникающие при совершении гражданско-правовых сделок. В соответствии с этим законом, средства для создания «полноценной» цифровой подписи должны были иметь сертификат. Все остальные криптографические программы мгновенно приобели непонятный статус: теоретически, подписывать ими документы было можно, это законом не запрещалось. Но правовой статус такой подписи никак не регламентировался. Для раздачи ключей закон предусматривал создание сети «удостоверяющих центров», организаций, которые должны были заниматься созданием ключей по запросам пользователей. И, похоже, именно из-за этого ЭЦП в России была такой непопулярной. Как вы знаете, подпись на основе асимметричного шифрования требует двух ключей – открытого, которым владелец ключа может свободно обмениваться, и закрытого, который должен храниться в тайне. Ваш закрытый ключ не должен знать никто, а по российскому закону об ЭЦП этот ключ генерировался «удостоверяющим центром», то есть, совершенно посторонними людьми. Поэтому столь малое количество выданных подписей вполне объяснимо. Закон требовал от удостоверяющего центра свято хранить тайну ключа, но вот элементарные представления о предосторожности требовали вообще никому этот ключ не доверять. Предосторожность, как правило, побеждала. Как в ЕвропеНовый закон «Об электронной подписи» по сравнению со своим предшественником представляет собой прямо-таки шедевр либерализма. Основные принципы выдачи и использования ключей в нем поменялись коренным образом, образцом для новых правил стала директива Евросоюза «Об общих принципах электронных подписей». Прежде всего − закон распространяется не только на гражданско-правовые сделки: с использованием электронной подписи можно теперь совершать любые «юридически значимые действия», в качестве примера которых закон упоминает «оказание государственных и муниципальных услуг» и «исполнение государственных и муниципальных функций». В ближайшем будущем начнется массовая продажа специальных «флешек» с записанными ключами, которые смогут быть использованы при доступе к порталу госуслуг. Законом вводится несколько видов электронных подписей, самая простая из них так и называется − «простая». Она представляет собой «электронную подпись» которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. В будущем она может стать источником путаницы, поскольку раньше «электронной подписью» не считалась, а называлась «аналогом собственноручной подписи». Это − разного рода пароли, коды подтверждения, и прочие средства идентификации. Кроме «простой», есть и «усиленная» электронная подпись, и вот она уже предполагает использование средств шифрования. Перечень таких средств не ограничивается, они должны соответствовать минимальным требованиям к надежности, установленным в четвертой статье закона. Это одно из важных и полезных нововведений: для подписи теперь можно использовать не только сертифицированные программы. Общим требованием для любой «усиленной» подписи является получение сертификата, то есть, документа, подтверждающего то, что закрытый ключ принадлежит определенному лицу. Сертификат также выдается удостоверяющим центром. Однако, если соответствие подписи установленным требованиям может быть подтверждено без него, то получать его необязательно. «Усиленная» подпись бывает «неквалифицированной» и «квалифицированной» − вот в последнем случае и требуются услуги удостоверяющего центра. Порядок работы таких центров по новому законодательству похож на прежний: они тоже создают ключи подписей для клиентов, используя сертифицированные программы − собственно, сертификация государством и делает подпись «квалифицированной». Те ключи, которые выданы в период действия старого закона, могут использоваться в дальнейшем, по закону новому они признаются «усиленными квалифицированными» подписями. И еще одно важное нововведение: удостоверяющие центры по новому закону выдают «средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем». Из этой запутанной формулировки видно, что сам ключ теперь может генерироваться не только центром, но и самим пользователем. То есть, доверять его дяде больше не надо: основной функцией УЦ становится выдача так называемых «сертификатов ключа», подтверждающих, что этот ключ принадлежит определенному лицу. Кроме этого, в новом законе появился целый ряд других полезных нововведений, которые могут привести к увеличению числа людей, подписывающих документы в электронном виде. Так, раньше электронной подписью могли пользоваться только физические лица, а теперь такая подпись может принадлежать и организации, юридическому лицу или государственному органу. Закон описывает требования к таким подписям, в частности, при получении сертификата в нем должна быть указана не только сама организация, но и лицо, которое уполномочено подписывать документы от ее имени. Правда, о том, как заменить такое уполномоченное лицо в случае его увольнения, прекращения срока доверенности и прочих форс-мажорных обстоятельств: неясно, что в таких случаях делать с сертификатом, можно ли в него вписать нового работника, который распоряжается подписью, или нужно получать новый сертификат (а то и менять ключ подписи). По вопросу юридической силы «бумажного» документа и его электронной копии закон устанавливает следующие правила: «по умолчанию» электронная копия документа считается идентичной бумажной только в том случае, если она подписана «квалифицированной» подписью, то есть, с помощью сертифицированных программ. Если же программа не имеет сертификата или используется «простая» подпись, электронный документ считается соответствующим «бумажному» только если это прямо указано в законе либо установлено соглашением сторон. habr.com Получить электронную подпись поможет "ТРИАР"Характеристики, нюансы использования и получения ЭЦПЧто это?ЭЦП представляет собой ключ, зашифрованный определенным образом с помощью криптографического приложения. Он уникален и надежно защищен от дублирования. Использовать цифровую подпись необходимо практически при любой операции, связанной с документооборотом компании или частного лица. В некоторых случаях это позволяет значительно сократить время регистрации тех или иных бумаг, а также количество усилий на заверение, т. к. электронный ключ не требуется проставлять на каждой странице документа. В других получение услуги через интернет без ЭЦП вообще невозможно.По физической форме она представляет собой USB-накопитель, на который записана специальная программа. По этой причине особых нюансов ее использования не существует. Достаточно вставить "флешку" в соответствующий порт рабочей станции и произвести заверение нажатием определенной кнопки непосредственно при формировании электронного документа. При этом она может быть как приложена отдельно, так и включена в тело заявления. Видов ЭЦП существует несколько. Классификацию проводят по степени надежности ключа. При этом чем выше этот показатель, тем больше возможностей в интернете у его владельца. Так:
Как получить ЭЦП в Москве?Для начала вам следует собрать соответствующий пакет документов. Для физического лица их потребуется значительно меньше, чем для юридического. Это могут быть:
Упростить и ускорить (до нескольких минут!) этот процесс вы можете, решив купить ЭЦП в нашей компании. Опытные специалисты быстро подготовят пакет документов и отправят его на приоритетное рассмотрение. Также они проконсультируют по видам ключей, их необходимому количеству в конкретном случае. С нашей помощью получить электронную подпись можно не только быстро, но и выгодно. Дело в том, что мы гарантируем вам отсутствие ошибок в заявлении, нарушений в комплекте документов, а потому нашему клиенту никогда не приходится переделывать ЭЦП. Также мы оперативно поможем постоянным контрагентам, которые расширились и хотят оформить дополнительные ключи для тех или иных сотрудников. Преимущества использования электронной цифровой подписиЕсли говорить о тех ситуациях, когда ЭЦП - не необходимость, то она позволяет:
Шаг 1. Оформите заявку (отправить электронный запрос) или позвоните по телефону 8 (495) 258-76-31 доб.236 или 223 Шаг 2. Оплатите счет после подтверждения заявки Шаг 3. Соберите комплект документов Шаг 4. Получите сертификат электронной подписи triar.su Министерство цифрового развития, связи и массовых коммуникаций Российской ФедерацииЗаконом предусмотрены два типа электронных подписей: простая и усиленная. Последняя имеет две формы: квалифицированная и неквалифицированная. Простая электронная подпись представляет собой комбинацию из логина и пароля и подтверждает, что электронное сообщение отправлено конкретным лицом. Усиленная неквалифицированная подпись не только идентифицирует отправителя, но и подтверждает, что с момента подписания документ не менялся. Сообщение с простой или неквалифицированной электронной подписью может (по предварительной договоренности сторон и в специально предусмотренных законом случаях) быть приравнено к бумажному документу, подписанному собственноручно. Усиленная квалифицированная электронная подпись подтверждается сертификатом от аккредитованного удостоверяющего центра и во всех случаях приравнивается к бумажному документу с «живой» подписью. Для того чтобы электронный документ считался подписанным простой электронной подписью необходимо выполнение в том числе одного из следующих условий:
При этом закон не уточняет, кто именно может быть владельцем ключа простой электронной подписи, но устанавливает ограничения по ее использованию. Простая электронная подпись однозначно не может быть использована при подписании электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну. Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:
В свою очередь усиленная неквалифицированная и усиленная квалифицированная электронные подписи получаются в результате криптографического преобразования информации с использованием ключа электронной подписи, позволяют определить лицо, подписавшее электронный документ, позволяют обнаружить факт внесения изменений в электронный документ после момента его подписания, создаются с использованием средств электронной подписи. Квалифицированная электронная подпись наравне с вышеуказанными признаками должна соответствовать следующим дополнительным признакам:
При этом основное отличие квалифицированного сертификата ключа проверки электронной подписи заключается в том, что он должен быть выдан аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра. Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе. Другие вопросы по темеminsvyaz.ru применяют ли в России облачную ЭП?12.08.2014 Михаил Захаров, руководитель продуктового направления «ДоксВижн»В статье на сайте «Компьютерра» предлагается новый подход к работе с подписями: хранение ключей (в частности, закрытого) во внешней системе, а не локально. При этом пользователь будет делать подпись, авторизуясь в этой системе, например, через SMS. Действительно, удобство работы с электронной подписью на документах на данный момент снижено необходимостью использовать только один конкретный ключ. Проведу аналогию: поставить подпись на бумажном документе мы можем в любом месте и любой ручкой, так как защитой выступает уникальность рисунка подписи. Поставить же электронную подпись — это как ставить подпись на бумаге только одной особой «ручкой», и любой, кто ей завладеет, сможет поставить такую же. Получается парадокс – Вы можете получить электронный документ почти мгновенно в любое место, но подписать его сможете, только имея эту специальную «ручку» — закрытый ключ. В статье предлагается решение – хранить закрытый ключ во внешней специальной системе, и получать к нему доступ по авторизации. Выглядит удобно, так как доступ к возможности подписать документ есть везде. Однако, на мой взгляд, такой революционный способ работы с подписью если и будет развиваться на рынке, то очень маленькими шагами. Давайте рассмотрим детально особенности работы с ЭЦП и текущее законодательство. Прежде всего, потенциальный сегмент потребителей продукта ограничивается пользователями системы обмена электронными документами (например, как описываемый в статье Диадок). В случаях использования другого ПО, необходимо будет интегрировать его с облачным хранилищем ключей. При этом возникнет препятствие в том, чтобы защитить каналы связи и сделать надежную авторизацию. Согласно ФЗ-63, регулирующему отношения в области использования ЭЦП, обязанность по обеспечению безопасности ложится на того, кому принадлежит ключ. В том числе, обязанность уведомлять о компрометации ключа. Если хранение и операции с ключом можно передоверить, то перевести обязанности на другое юридическое лицо нельзя. В статье приводится тезис о том, что хранить ключи на внешнем облачном сервисе надежнее, чем локально в компании. Позволю себе его опровергнуть. Наиболее надежным способом хранения закрытых ключей является смарт-карта. Так как в этом случае закрытый ключ не только не копируется из смарт-карты, но и она сама защищена пин-кодом от несанкционированного доступа в случае утери. Не стоит забывать, что сами интернет-сервисы являются мишенью для атак, причем результативных. Приведу примеры: Успешная атака на центр сертификации Comodo – создание действительных сертификатов (https://technet.microsoft.com/en-us/library/security/2524375.aspx, http://www.symantec.com/connect/blogs/fraudulent-comodo-digital-certificates-affect-multiple-services ). Причем проблема связана не с утечкой каких-либо данных, а с компрометацией УЦ. Это показывает, что даже такие надежные сервисы, как удостоверяющие центры, могут иметь проблемы. Множество утечек данных банковских карт. Последние крупные связаны с ошибкой Heartbleed (http://ru.wikipedia.org/wiki/Heartbleed), например, карт, по которым делались покупки билетов РЖД (http://www.vedomosti.ru/finance/news/26228171/banki-nachali-blokirovat-karty-iz-za-utechki-dannyh-rzhd ) Нельзя забывать о «силовом» и «государственном» факторах, типа нашумевшего скандала с АНБ и доступом к персональным данным: http://www.washingtonpost.com/blogs/the-switch/wp/2013/11/04/how-we-know-the-nsa-had-access-to-internal-google-and-yahoo-cloud-data/ Отечественные примеры также есть. Еще одним сдерживающим фактором является то, что данная возможность хранения закрытого ключа в облаке предлагает на замену известным и принятым на практике протоколам работы с шифрованием и хранением ключей новые, а зачастую и сильно различные, новые способы. Например, нужно предлагать схему удостоверения личности пользователя. Будет ли она являться надежной – это вопрос реализации. Предложенная в статье схема удостоверения по SMS, как минимум, будет требовать контроля смены SIM-карты, что даже не во всех интернет-банках реализовано. Таким образом, в схему «Сотрудник – Удостоверяющий центр» добавляется облачное хранилище и оператор связи, что может снизить безопасность. Данный способ работы с ключами для подписи, конечно, будет применяться: он добавляет удобство работы с ЭЦП. Но он, скорее, для малого бизнеса, где использование интернет-сервисов больше, и где не нужно администрировать инфраструктуру. В компаниях чуть более крупных применение данного способа будет редким, в основном из-за вопросов безопасности и новизны технологии, к которой нет доверия. www.docsvision.com Электронно-цифровая подписьВ наш XXI век – век больших скоростей увеличился объем потребляемой и отправляемой информации. А скорость передачи информации посредством Интернет выросла до рекордных цифр. Этот факт помогает нам экономить время. Кто хоть раз не вспоминал всевышнего, когда часами ожидал своей очереди в банках, административных учреждениях и тому подобных предприятиях, и только ради того, чтобы прочитать и завизировать документ. Для экономии нашего времени и средств создана Электронная цифровая подпись. Что это за подпись? Надежно ли? Этими вопросами задается человек, столкнувшийся впервые с необходимостью ее использования.
ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ – средство контроля подлинности информации в электронном виде, обеспечения целостности электронных данных, подтверждения их авторства и актуальности. Она поможет убедиться в том, что после подписи документа конкретным человеком, никто «незаметно» этот документ не изменит, проверит надежность отправителя электронного письма и сохранность его содержания, однозначно определит автора статьи, опубликованной в сети Интернет, и укажет дату публикации. Распространенное мнение об электронной подписи, что это что-то криптографическое, верно лишь отчасти. По сути своей это электронный документ, состоящий из набора обязательных и не обязательных атрибутов. В первый набор и входит криптографическая часть, обеспечивающая надёжную идентификацию подписываемых данных и гарантирует надёжность источника информации о подписавшем. В основу создания подписи заложена математическая функция – хеширование. Результат шифрования не повторяется для разных исходных данных, а первоначальную информацию по нему восстановить нельзя. Электронная подпись обязательно содержит минимальную информацию о подписавшем и некоторую техническую информацию. Для прикладного использования, электронная подпись может содержать дату и время подписания, сведения для дополнительных механизмов проверки подписи, расширенную информацию о подписавшем, его полномочия и отношение к подписываемым данным, комментарии, файлы, графическое изображение собственноручной подписи и другие, функционально востребованные, данные. Электронно-цифровая подпись (ЭЦП) состоит из двух частей – открытого и закрытого ключей. Закрытый ключ вы храните у себя, с его помощью вы как раз подписываете и шифруете данные. Открытый ключ вы можете раздавать контрагентам, расшифровывание данных и ваша идентификация происходит с его помощью.
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ. КРИПТОПРОВАЙДЕР Открытый и закрытый ключ это просто набор байт, без специального программного обеспечения и процедур идентификации они имеют мало проку. Для распознания ключей нужны отдельные реестры, которые бы однозначно привязывали ключи к Вашей личности. Эти реестры формируются и хранятся, а сертификаты ЭЦП выдаются третьей стороной, гарантом вашей личности: Удостоверяющим Центром (УЦ). Получающий ваши подписи человек всегда может обратиться в такой центр и спросить интересующую его информацию по конкретному сертификату. Удостоверяющие центры в России аккредитуются Государством. Для выполнения самих процедур подписания, шифрования и идентификации ЭЦП, нужна программа – криптопровайдер. В России наибольшей популярностью пользуются программные продукты по двум технологиям VipNet и Крипто Про. Не каждый удостоверяющий центр может похвастаться тем, что поддерживает обе технологии. И одним из таких центров является ЗАО «Калуга Астрал». В Забайкальском крае представителем Удостоверяющего центра «Калуга Астрал» является ООО «ЗабЦВИТ». Применение электронной подписи
Для чего можно использовать электронно-цифровую подпись? Закон «Об электронной подписи» определяет условия применения электронной подписи как ответственной подписи в документе, аналога собственноручной подписи и печати. Подобным образом электронная подпись используется в системах электронного документооборота различного назначения (организационно-распорядительного, кадрового, законотворческого, торгово-промышленного и прочего). Наконец, вы можете организовать электронный документооборот с партнерами и филиалами компании. Иметь доступ к электронному счету в банке. К примеру, для организации электронного документооборота с налоговыми органами и Пенсионным фондом, для проведения аукционов и многое другое Однако область применения электронной подписи не ограничивается приведенными областями. Сама по себе, она – великолепный механизм обеспечения целостности и подтверждения авторства и актуальности любых данных, представленных в электронном виде.
Аналог собственноручной подписи Электронная подпись может быть использована как ответственная подпись на электронном документе – то есть в качестве аналога собственноручной подписи и/или печати на бумажном документе. В частности, в этой ипостаси электронная подпись используется в системах электронного документооборота разного назначения.
Пароль Точно также электронная подпись широко используется для подписи программ или отдельных модулей, чтобы пользователь компьютера, загружая эти программы из Интернета, и используя их в работе, мог быть убежден в надежности и корректности их работы и надежности источника получения этих программ.
Подтверждение авторства Электронная подпись – это очень надежный инструмент, который позволяет, как установить авторство, так и подтвердить целостность любых данных в электронном виде. Например, полученное вами от, казалось бы, знакомого человека, письмо без электронной подписи может оказаться на самом деле поддельным или содержать искаженную после его отправления информацию. Использование электронной подписи такую возможность исключает. При проверке электронной подписи будет установлено, что документ был изменен после его подписания.
Деловая переписка. Конверт При ведении деловой переписки канцеляриями или секретарями разных компаний электронная подпись может служить в качестве «конверта» – на одном конце письмо запечатывают с помощью электронной подписи, а на финише получатель «вскрывает» конверт, предварительно убедившись в полной неприкосновенности и подлинности данных.
Согласование С помощью электронной подписи можно согласовывать электронные варианты документов (например, договоров) как между различными службами внутри одной организации, так и между разными организациями. В таком случае текст договора будет защищен от несогласованных изменений, а каждая ответственная инстанция должна будет согласовать документ с помощью собственной электронной подписи, подтвердив тем самым свое отношение к нему. Такая подпись безошибочно расскажет не только о том, кто подписал документ, но и укажет дату и время подписи. Если же сотрудник решит отказаться от ответственности за визирование документа или отправку информации в письме, скрепленном его электронной подписью, то электронная подпись легко его уличит. Например, часто договор требуется согласовывать с юридическим отделом, бухгалтерией и другими подразделениями компании, и лишь после этого его подпишут руководители обеих сторон. Такое согласование и визирование всеми ответственными службами можно проводить уже сейчас в электронном виде, применяя электронную подпись. ecp.zabcvit.ru Что такое электронная подпись? — СКБ КонтурЭлектронная подпись — это, по сути, аналог собственноручной подписи и печати на документе бумажного формата. Электронная подпись идентифицирует автора; позволяет определить, вносились ли изменения в документ после его подписания; защищает документ от просмотра третьими лицами. Каждая подпись уникальна и создается с помощью средств криптографической защиты информации и закрытого ключа электронной подписи, который содержится на ключевом носителе (токене) владельца сертификата. Именно с помощью электронной подписи можно сделать электронные документы юридически значимыми и защитить их от подделки. С развитием электронных услуг (таких как сдача отчетности через интернет, проведение госзакупок в электронном виде и внедрение электронного документооборота) технология становится все более привычной для российского бизнеса и при этом более защищенной. Десять лет назад Удостоверяющий центр СКБ Контур выдавал сертификаты электронной подписи в основном для системы интернет-отчетности в контролирующие органы Контур.Экстерн. Сегодня это крупнейший удостоверяющий центр в России, где можно получить сертификат для работы на большинстве электронных торговых площадок, государственных порталов и коммерческих площадок, работающих с технологией электронной подписи. Накопленный опыт позволяет разрабатывать для пользователей востребованные тарифные планы и сервисы. А количество выдаваемых в месяц сертификатов увеличилось более чем в 200 раз. Оставить заявку на получение сертификата подписи (в том числе и в ускоренном режиме) можно прямо на сайте. Если вы не знаете, какой именно сертификат вам нужен для работы и какой тариф будет максимально выгоден, вы можете задать вопросы позвонив в круглосуточную службу техподдержки 8 800 500-05-08. «Электронная подписью 2.0» — доступ к максимальному числу площадок и нужные в работе сервисы. Получитьkontur.ru Структура электронной подписи и ее форматы. Cades-AАлександр Евтушенко, системный аналитик Synerdocs Сохраняется ли юридическая значимость документов после того, как истекает срок действия сертификатов последних штампов времени? Чтобы ответить на этот вопрос, предлагаю разобраться в структуре электронной подписи и в ее форматах. Так как для долгосрочного хранения документов подходит формат Cades-A, о нем и пойдет речь. Поднимаемая тема не проста и требует детальной проработки, поэтому предлагаю разобрать ее в два подхода. В первой части поговорим о базовой теории электронной подписи (далее – ЭП), ключах, сертификатах, критериях действительности, службе штампов времени. Во второй, более технической, я подробно остановлюсь на форматах электронных подписей, расскажу об архивном штампе времени и интересующем нас Cades-A, используемом для долговременного хранения юридически значимых документов. Электронная подпись: простая и усиленнаяОбратимся к Федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – 63-ФЗ). Исходя из него, ЭП – это сущность, которая: ● является информацией; ● связана с подписываемой информацией; ● позволяет определить подписанта.
Признаки усиленной квалифицированной электронной подписи (далее – УКЭП): ● является информацией; ● связана с подписываемой информацией; ● предоставляет возможность определить подписанта; ● получена с помощью ключа ЭП (закрытого) в результате криптографического преобразования информации; ● позволяет установить факт внесения изменений в подписываемые данные; ● ключ проверки ЭП (открытый) указан в квалифицированном сертификате; ● для создания и проверки подписи используются сертифицированные средства ЭП. Всё вышеперечисленное накладывает дополнительные ограничения, в том числе и на техническую часть. В процессе работы с электронной подписью должны присутствовать открытый и закрытый ключи, квалицированный сертификат, средства создания и проверки ЭП. Удостоверяющие центры (далее – УЦ), аккредитованные Минкомсвязью России, по запросам пользователей выпускают для них сертификаты. Требования к форме последних, средствам УЦ и средствам электронной подписи устанавливает ФСБ России (Приказ ФСБ РФ от 27 декабря 2011 г. № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»; Приказ ФСБ РФ от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра»). Примером сертифицированных ФСБ средств ЭП служит средство криптографической защиты «КриптоПро CSP». Действительность подписиВ соответствии с 63-ФЗ (Статья 11) документ с УКЭП обладает юридической силой, если: ● квалифицированный сертификат был действителен на момент подписания либо в момент проверки подписи; ● сертификат соответствует сформированной подписи; ● в подписанный документ не вносили изменения. С технической точки зрения, с помощью открытого ключа проверяется соответствие значения ЭП подписанным данным (соответствие предоставленного открытого ключа закрытому, с помощью которого производились «криптографические преобразования»). Также устанавливается действительность сертификата либо на день проверки, либо на момент подписания документа. Если срок действия квалифицированного сертификата истек, появляется необходимость достоверно установить время подписания. СертификатыМы уже выяснили, что квалифицированные сертификаты выдают удостоверяющие центры, аккредитованные головным УЦ (Минкомсвязь России). Квалифицированный сертификат хранит открытые сведения: данные владельца закрытого ключа, открытый ключ (создается в пару к закрытому), срок действия сертификата, уникальный номер, ограничения по его использованию и др. Эту информацию подписывает удостоверяющий центр, которому в свою очередь тоже был выдан квалифицированный сертификат, подписанный другим вышестоящим УЦ. Таким образом, формируется цепочка сертификатов, приводящая к головному УЦ. Он априори является доверенной стороной для всех остальных участников процесса. В ряде случаев удостоверяющий центр может отозвать выпущенный ранее сертификат до завершения его срока действия. Такое может произойти при компрометации закрытого ключа пользователя. Информацию по отзыву конкретного сертификата можно узнать, отправив запрос и получив OCSP-ответ со статусом действительности данного конкретного экземпляра или запросив от УЦ список отозванных сертификатов за все время его существования. CRL (Certificate Revocation List) также подписывается удостоверяющим центром, и снова по цепочке мы должны прийти к Минкомсвязи, чтобы убедиться в подлинности полученных данных. Служба штампов времениВернемся к проблеме того, как определить время подписания документа. Если ЭП проверяют после истечения срока действия сертификата, то необходимо установить момент подписания. Технически возможно указать его в структуре самой подписи, но доверять этому значению мы не можем, так как оно формируется на стороне подписанта. Например, берется из настроек компьютера пользователя. Поэтому существует еще одна доверенная сторона – служба штампов времени (Time stamping authority, TSA). Штампом времени называют подписанный ответ TSA с фиксацией момента, в котором существовала штампуемая информация. Данные, а строго говоря их хэш, отправляются запросом по протоколу TSP (Time stamp protocol). Служба штампов формирует ответ, в котором в определенном формате фиксируется точное время существования полученного в запросе хэша. После формирования подписи, чтобы зафиксировать момент ее создания, устанавливается штамп времени. Если в будущем сертификат подписанта истечет или закрытый ключ будет скомпрометирован, документ не потеряет юридическую значимость (при условии, что в указанное время сертификат подписанта был действителен). А достаточно ли штампа?Простая проштамповка подписи сразу после ее формирования – необходимое, но недостаточное условие того, чтобы доказать ее действительность через длительное время. При проверке нужно будет убедиться, что в зафиксированный момент подписания сертификат был не отозван. Для этого потребуется получить списки отзывов. Но что делать, если удостоверяющий центр ко времени проверки расформировался, и получить CRL уже невозможно? А если сертификат службы штампов времени уже истек? На эти и другие вопросы я отвечу во второй части статьи, где разберу на составляющие электронную подпись и различные ее форматы. См. также Обзор форматов стандарта CAdES (pdf) Источник: Synerdocs ecm-journal.ru
|