Простая электронная подпись для физических лиц это – «Подводные камни» простой электронной подписи / Habr

В 1977 году Рональд Ривест, Ади Шамир и Леонард Адлеман разработали криптографический алгоритм RSA, который без дополнительных модификаций можно использовать для создания примитивных цифровых подписей.^[2]

Вскоре после RSA были разработаны другие ЭЦП, такие, как алгоритмы цифровой подписи Рабина, Меркле.

В 1984 году Шафи Гольдвассер, Сильвио Микали и Рональд Ривест первыми строго определили требования безопасности к алгоритмам цифровой подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям (Криптосистема Гольдвассер — Микали).

Россия[править | править код]

В 1994 году Главным управлением безопасности связи ФАПСИ был разработан первый российский стандарт ЭЦП — ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

В 2002 году для обеспечения большей криптостойкости алгоритма взамен ГОСТ Р 34.10-94 был введён одноимённый стандарт ГОСТ Р 34.10-2001, основанный на вычислениях в группе точек эллиптической кривой. В соответствии с этим стандартом, термины «электронная цифровая подпись» и «цифровая подпись» являются синонимами.

Существует несколько схем построения цифровой подписи:

• На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица — арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру.^[4]
• На основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭП наиболее распространены и находят широкое применение.

Кроме этого, существуют другие разновидности цифровых подписей (групповая подпись, неоспоримая подпись, доверенная подпись), которые являются модификациями описанных выше схем.

Использование хеш-функций[править | править код]

Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хеш. Для вычисления хеша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хеш-функция.

Использование хеш-функций даёт следующие преимущества:

• Вычислительная сложность. Обычно хеш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хеша являются более быстрыми, чем алгоритмы ЭП. Поэтому формировать хеш документа и подписывать его получается намного быстрее, чем подписывать сам документ.
• Совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хеш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат.
• Целостность. Без использования хеш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.

Использование хеш-функции не обязательно при электронной подписи, а сама функция не является частью алгоритма ЭП, поэтому хеш-функция может использоваться любая или не использоваться вообще.

В большинстве ранних систем ЭП использовались функции с секретом, которые по своему назначению близки к односторонним функциям. Такие системы уязвимы для атак с использованием открытого ключа (см. ниже), так как, выбрав произвольную цифровую подпись и применив к ней алгоритм верификации, можно получить исходный текст.^[5] Чтобы избежать этого, вместе с цифровой подписью используется хеш-функция, то есть, вычисление подписи осуществляется не относительно самого документа, а относительно его хеша. В этом случае в результате верификации можно получить только хеш исходного текста, следовательно, если используемая хеш-функция криптографически стойкая, то получить исходный текст будет вычислительно сложно, а значит атака такого типа становится невозможной.

Симметричная схема[править | править код]

Симметричные схемы ЭП менее распространены, чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи, основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятия ЭП Диффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощью блочного шифра.

В связи с этим симметричные схемы имеют следующие преимущества:

• Стойкость симметричных схем ЭП вытекает из стойкости используемых блочных шифров, надежность которых также хорошо изучена.
• Если стойкость шифра окажется недостаточной, его легко можно будет заменить на более стойкий с минимальными изменениями в реализации.

Однако у симметричных ЭП есть и ряд недостатков:

• Нужно подписывать отдельно каждый бит передаваемой информации, что приводит к значительному увеличению подписи. Подпись может превосходить сообщение по размеру на два порядка.
• Сгенерированные для подписи ключи могут быть использованы только один раз, так как после подписывания раскрывается половина секретного ключа.

Из-за рассмотренных недостатков симметричная схема ЭЦП Диффи-Хелмана не применяется, а используется её модификация, разработанная Березиным и Дорошкевичем, в которой подписывается сразу группа из нескольких бит. Это приводит к уменьшению размеров подписи, но к увеличению объёма вычислений. Для преодоления проблемы «одноразовости» ключей используется генерация отдельных ключей из главного ключа.

Асимметричная схема[править | править код]

Асимметричные схемы ЭП относятся к криптосистемам с открытым ключом.

Но в отличие от асимметричных алгоритмов шифрования, в которых шифрование производится с помощью открытого ключа, а расшифровка — с помощью закрытого (расшифровать может только знающий секрет адресат), в асимметричных схемах цифровой подписи подписание производится с применением закрытого ключа, а проверка подписи — с применением открытого (расшифровать и проверить подпись может любой адресат).

Общепризнанная схема цифровой подписи охватывает три процесса^{[источник не указан 1129 дней]}:

• Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.
• Формирование подписи. Для заданного электронного документа с помощью закрытого ключа вычисляется подпись.
• Проверка (верификация) подписи. Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.

Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:

• Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.
• Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.

Следует отличать электронную цифровую подпись от кода аутентичности сообщения (MAC).

Виды асимметричных алгоритмов[править | править код]

Как было сказано выше, чтобы применение ЭП имело смысл, необходимо, чтобы вычисление легитимной подписи без знания закрытого ключа было вычислительно сложным процессом.

Обеспечение этого во всех асимметричных алгоритмах цифровой подписи опирается на следующие вычислительные задачи:

Вычисления тоже могут производиться двумя способами: на базе математического аппарата эллиптических кривых (ГОСТ Р 34.10-2012, ECDSA) и на базе полей Галуа (ГОСТ Р 34.10-94, DSA)^[6]. В настоящее время самые быстрые алгоритмы дискретного логарифмирования и факторизации являются субэкспоненциальными. Принадлежность самих задач к классу NP-полных не доказана.

Алгоритмы ЭП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением документа^[7]. При верификации цифровых подписей с восстановлением документа тело документа восстанавливается автоматически, его не нужно прикреплять к подписи. Обычные цифровые подписи требуют присоединение документа к подписи. Ясно, что все алгоритмы, подписывающие хеш документа, относятся к обычным ЭП. К ЭП с восстановлением документа относится, в частности, RSA.

Схемы электронной подписи могут быть одноразовыми и многоразовыми. В одноразовых схемах после проверки подлинности подписи необходимо провести замену ключей, в многоразовых схемах это делать не требуется.

Также алгоритмы ЭП делятся на детерминированные и вероятностные^[7]. Детерминированные ЭП при одинаковых входных данных вычисляют одинаковую подпись. Реализация вероятностных алгоритмов более сложна, так как требует надежный источник энтропии, но при одинаковых входных данных подписи могут быть различны, что увеличивает криптостойкость. В настоящее время многие детерминированные схемы модифицированы в вероятностные.

В некоторых случаях, таких как потоковая передача данных, алгоритмы ЭП могут оказаться слишком медленными. В таких случаях применяется быстрая цифровая подпись. Ускорение подписи достигается алгоритмами с меньшим количеством модульных вычислений и переходом к принципиально другим методам расчёта.

Перечень алгоритмов ЭП[править | править код]

Асимметричные схемы:

На основе асимметричных схем созданы модификации цифровой подписи, отвечающие различным требованиям:

• Групповая цифровая подпись
• Неоспоримая цифровая подпись
• «Слепая» цифровая подпись и справедливая «слепая» подпись
• Конфиденциальная цифровая подпись
• Цифровая подпись с доказуемостью подделки
• Доверенная цифровая подпись
• Разовая цифровая подпись

Анализ возможностей подделки подписей — задача криптоанализа. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют «атака».

Модели атак и их возможные результаты[править | править код]

В своей работе Гольдвассер, Микали и Ривест описывают следующие модели атак, которые актуальны и в настоящее время^[3]:

• Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.
• Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.
• Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.

Также в работе описана классификация возможных результатов атак:

• Полный взлом цифровой подписи. Получение закрытого ключа, что означает полный взлом алгоритма.
• Универсальная подделка цифровой подписи. Нахождение алгоритма, аналогичного алгоритму подписи, что позволяет подделывать подписи для любого электронного документа.
• Выборочная подделка цифровой подписи. Возможность подделывать подписи для документов, выбранных криптоаналитиком.
• Экзистенциальная подделка цифровой подписи. Возможность получения допустимой подписи для какого-то документа, не выбираемого криптоаналитиком.

Ясно, что самой «опасной» атакой является адаптивная атака на основе выбранных сообщений, и при анализе алгоритмов ЭП на криптостойкость нужно рассматривать именно её (если нет каких-либо особых условий).

При безошибочной реализации современных алгоритмов ЭП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭП построена. Гораздо более вероятен поиск криптоаналитиком коллизий первого и второго родов. Коллизия первого рода эквивалентна экзистенциальной подделке, а коллизия второго рода — выборочной. С учётом применения хеш-функций, нахождение коллизий для алгоритма подписи эквивалентно нахождению коллизий для самих хеш-функций.

Подделка документа (коллизия первого рода)[править | править код]

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

• документ представляет из себя осмысленный текст;
• текст документа оформлен по установленной форме;
• документы редко оформляют в виде txt-файла, чаще всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться три следующих условия:

• случайный набор байт должен подойти под сложно структурированный формат файла;
• то, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме;
• текст должен быть осмысленным, грамотным и соответствующим теме документа.

Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы. Некоторые форматы подписи даже защищают целостность текста, но не служебных полей.^[9]

Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма — килобайты.

Получение двух документов с одинаковой подписью (коллизия второго рода)[править | править код]

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хеш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хеширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования MD5.^[10]

Социальные атаки[править | править код]

Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключами^[11].

• Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
• Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.
• Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.

Использование протоколов обмена ключами и защита закрытого ключа от несанкционированного доступа позволяет снизить опасность социальных атак.

Управление открытыми ключами[править | править код]

Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзы́в ключа в случае его компрометации.

Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.

Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзы́в истекших и компрометированных сертификатов и ведёт базы (списки) выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.

Хранение закрытого ключа[править | править код]

Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищённость ключа полностью зависит от защищённости компьютера, и пользователь может подписывать документы только на этом компьютере.

В настоящее время существуют следующие устройства хранения закрытого ключа:

Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат должен/может быть немедленно отозван.

Наиболее защищённый способ хранения закрытого ключа — хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хеш передаётся в карту, её процессор осуществляет подписывание хеша и передаёт подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты немного сложнее, чем с других устройств хранения.

В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несёт сам.

Общее назначение[править | править код]

Использование ЭП предполагается для осуществления следующих важных направлений в электронной экономике:

• Полный контроль целостности передаваемого электронного платежного документа: в случае любого случайного или преднамеренного изменения документа цифровая подпись станет недействительной, потому как вычисляется она по специальному алгоритму на основании исходного состояния документа и соответствует лишь ему.
• Эффективная защита от изменений (подделки) документа. ЭП даёт гарантию, что при осуществлении контроля целостности будут выявлены всякого рода подделки. Как следствие, подделывание документов становится нецелесообразным в большинстве случаев.
• Фиксирование невозможности отказа от авторства данного документа. Этот аспект вытекает из того, что вновь создать правильную электронную подпись можно лишь в случае обладания так называемым закрытым ключом, который, в свою очередь, должен быть известен только владельцу этого самого ключа (автору документа). В этом случае владелец не сможет сформировать отказ от своей подписи, а значит — от документа.
• Формирование доказательств подтверждения авторства документа: исходя из того, что создать корректную электронную подпись можно, как указывалось выше, лишь зная Закрытый ключ, а он по определению должен быть известен только владельцу-автору документа, то владелец ключей может однозначно доказать своё авторство подписи под документом. Более того, в документе могут быть подписаны только отдельные поля документа, такие как «автор», «внесённые изменения», «метка времени» и т. д. То есть, может быть доказательно подтверждено авторство не на весь документ.

Перечисленные выше свойства электронной цифровой подписи позволяют использовать её в следующих основных целях электронной экономики и электронного документального и денежного обращения:

• Использование в банковских платежных системах.
• Электронная коммерция (торговля).
• Электронная регистрация сделок по объектам недвижимости.
• Таможенное декларирование товаров и услуг (таможенные декларации). Контролирующие функции исполнения государственного бюджета (если речь идет о стране) и исполнения сметных назначений и лимитов бюджетных обязательств (в данном случае если разговор идет об отрасли или о конкретном бюджетном учреждении). Управление государственными заказами.
• В электронных системах обращения граждан к органам власти, в том числе и по экономическим вопросам (в рамках таких проектов как «электронное правительство» и «электронный гражданин»).
• Формирование обязательной налоговой (фискальной), бюджетной, статистической и прочей отчетности перед государственными учреждениями и внебюджетными фондами.
• Организация юридически легитимного внутрикорпоративного, внутриотраслевого или национального электронного документооборота.
• Применение ЭЦП в различных расчетных и трейдинговых системах, а также Forex.
• Управление акционерным капиталом и долевым участием.
• ЭП является одним из ключевых компонентов сделок в криптовалютах.

В России[править | править код]

Согласно Гражданскому кодексу РФ, квалифицированная электронная подпись предназначена для определения лица, подписавшего электронный документ, и является аналогом собственноручной подписи в случаях, предусмотренных законом^[12].

Квалифицированная электронная подпись применяется при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий^[13].

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».

После становления ЭП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного документооборота между налоговыми органами и налогоплательщиками.

ru.wikipedia.org

Что такое простая электронная подпись

Применение простой электронной цифровой подписи (ПЭП) позволяет пользователям работать на многих интернет-ресурсах, а ее получение не занимает много времени. Простота получения не гарантирует полной юридической силы, но при определенных обстоятельствах документы, подписанные ПЭП, могут приравниваться к заверенным собственноручно.

Что такое простая подпись

Простая электронная подпись — это цифровой реквизит, имеющий наименьшую степень защиты. Ее назначение — подтверждение личности автора, создавшего и отправившего электронный документ. К ПЭП относятся коды подтверждения, высылаемые в виде СМС, проверочные коды и т.д.

Пароли, коды и иные элементы ПЭП называют также ключами ПЭП. Ключи простой электронной подписи обычно состоят из открытой и закрытой части: при входе в почтовый ящик логин является открытой или публичной частью, а пароль — закрытой или личной. Федеральный закон 63 обязывает пользователей соблюдать сохранность и неизменность закрытых ключей, т.к. их потеря приводит к компрометации ПЭП и потере ею юридической значимости. Согласно этому же законопроекту все электронные подписи делятся на простые и усиленные. Разница между ними в том, что ПЭП не дает возможности проследить изменения в подписанном документе после его заверения. Усиленная квалифицированная или неквалифицированная подпись формируется программным обеспечением, сертифицированным ФСБ, при участии сложных криптографических процессов и фунцкий хэширования. Получить ее можно только в удостоверяющих центрах, имеющих аккредитацию Минкомсвязи РФ и при предоставлении пакета документов. Еще одно важное отличие: оформление ПЭП всегда бесплатно, а услуги по получению усиленной подписи пользователь оплачивает по тарифу выбранного центра.

Юридическая сила ПЭП

В соответствии с ФЗ-63 от 06.04.2011 электронные документы, заверенные ПЭП, не имеют юридической силы. Признаются они равнозначными документам с собственноручной подписью, только если имеется дополнительное соглашение между сторонами. Нормативный акт, признающий силу простой подписи, должен содержать:

• условия и порядок проверки ПЭП;
• правила и способы определения личности, заверившей документ, по его простой подписи;
• обязанности лица, применяющего или создавшего ключ ПЭП, по соблюдению его конфиденциальности.

В иных случаях юридическая сила цифровой простой подписи не признается за исключениями, прописанными в законодательстве и правилах пользования некоторыми интернет-ресурсами.

Получение ПЭП

Каждый пользователь сети интернет может получить простую электронную подпись. Для этого нужно лишь следовать правилам информационной системы, в которой проходит регистрация и получение пары логин/пароль. Посещение МФЦ или иных центров для получения ПЭП не требуется, как не требуется и специальное лицензионное ПО для работы с ней.

Исключение составляет ПЭП для банка. Чтобы сделать простую электронную подпись для работы в личном кабинете банка нужно сначала посетить офис, получить карту и зарегистрироваться на сайте (в мобильном приложении). Во время регистрации указывается логин и пароль, полученный в банке. Пароль после прохождения регистрации меняется на пользовательский.

Еще одно исключение — сайт государственных услуг. Чтобы получить ПЭП для работы на портале нужно использовать один из двух доступных вариантов: посещение офиса для процедуры подтверждения личности или получение заказного письма. В этом случае код подтверждения будет отправлен на почтовый адрес, а для его получения необходим паспорт.

Правила использования подписи

Согласно Федеральному закону документ признается заверенным цифровой простой подписью при обязательном соблюдении 3 условий:

1. ПЭП проставлена в теле документа.
2. Ключ используется по правилам, которые были установлены оператором-владельцем информационной системы.
3. В созданном и отправленном документе содержатся информационные данные, подтверждающие или указывающие на лицо, создавшее и отправившее данный документ.

Дополнительные соглашения и правовые акты, составленные участниками документооборота и определяющие случаи признания силы документа с ПЭП, должны отвечать требованиям ФЗ.

Применение ПЭП запрещено для работы на ресурсах, содержащих государственную тайну, а также для подписания документов, имеющих государственное значение.

Где и как применяется ПЭП

Простая электронная подпись активно используется в сервисах онлайн-банка для физических лиц. Обычно она имеет вид кода-СМС, приходящего на телефон для подтверждения операции и пары логин-пароль. В этом случае идентификация пользователя проходит автоматически по номеру паспорта, который был предоставлен при получении карты. Также ПЭП используется в системах страхования, государственных услуг, электронных почтовых сервисах, информационных системах, социальных сетях.

Часто простую подпись используют между юридическим лицом или ИП и физическим лицом, т.е. между организацией и потребителем, в удаленном документообороте. В таком схеме потребитель обязательно должен ознакомиться с правилами пользования ПЭП и подтвердить свое согласие. Обычно правила публикуются отдельно в форме договора на оказание услуг или в виде оферты. Организация сверяет личность потребителя с его паспортными данными и принимает решение о выдаче ключа простой подписи. Сверка с документом проходит при подписании договора на обслуживание или при покупке товара или услуги.

Возможно применение простой подписи и в Единой системе идентификации и аутентификации (ЕСИА) в упрощенной учетной записи. Она дает пользователю право на получение лишь услуг, не требующих подтверждения личности или не связанных с финансовой стороной.

Механизм ПЭП можно использовать и в услугах связи. Ключ ПЭП может быть встроен в сим-карту. При покупке сим-карты пользователь подтверждает свою личность паспортом и в дальнейшем может удаленно менять тарифы связи или подписываться/отказываться от услуг оператора. Еще один возможный способ применения ПЭП — удаленная работа, когда сотрудник при помощи ПЭП подтверждает авторство отчетов, текстов, изображений и т.д. Такое сотрудничество требует предварительного заключения соглашения о признании силы ПЭП и подтверждения личности сотрудника на личной встрече.

Использование ПЭП можно найти и в учебных заведениях, предоставляющих услуги дистанционного образования. Абитуриенты, студенты и региональные представители могут подписывать документы при помощи ПЭП, которая признана внутри информационной или рабочей системы. Идентификация личности и выдача ключа ПЭП в этом случае происходит через регионального представителя.

По новым правилам применение ПЭП допустимо и в транспортной системе. Водители, заполняющие транспортную накладную, могут подписывать ее любой удобной электронной подписью, в т.ч. и ПЭП.

Пример использования ПЭП

С применением простой электронной подписи может быть заключен договор на обслуживание. Условия договора будут соблюдены только при исполнении сторонами обязательств. Обслуживание может быть как страховым, так и банковским, и техническим. В этих случаях клиенту и представителю не нужно лично встречаться, а договор заключается при помощи ЭП.

Также ПЭП используется при подписании заявления или письма, адресованного государственным органам или внутри электронного документооборота. В сфере коммунальных услуг простая подпись также применяется часто, т.к. общение между клиентом и представителем услуг часто происходит удаленно.

Самый распространенный пример использования ЭЦП — введение логина и пароля или подтверждающего кода для входа на личную страницу в социальной сети или в почтовой системе.

Простая электронная подпись позволяет пользователям не только работать в разных информационных системах, но и подписывать документы, участвовать в электронном документообороте, пользоваться услугами онлайн-банкинга. Чтобы получить ПЭП нужно лишь пройти простую процедуру регистрации. Эта услуга бесплатна, а процесс не занимает много времени. Простота получения подписи имеет и обратную сторону: ЭП не обладает юридической силой и для ее признания участники документооборота должны заключить дополнительное соглашение. Нормативный акт обязательно должен отвечать требованиям ФЗ. Пользователь, обладающий конфиденциальным ключом ПЭП, обязан соблюдать его сохранность, иначе подпись может быть скомпрометирована вплоть до утери ею юридической силы.

myedo.ru

Как выглядит электронная подпись (ЭЦП) на документе

Работа с электронной подписью удобна и для физических, и для юридических лиц. Использование реквизита снижает затраты времени и финансов на заверение документов и отправку их в различные государственные органы, позволяет вести электронный документооборот и т.п. На документе ЭП может отражаться в виде печати или штампа, и иметь дополнительно поле для эмблемы или штамп времени. А документ с ЭП действителен как в электронной форме, так и в распечатанной.

Как выглядит ЭЦП на документе

Электронная подпись представляет собой уникальную последовательностиь символов. Она выступает в роли обязательного реквизита, проставляемого на официальных электронных документах. Для формирования подписи используются надежные криптографические методы и математические вычисления, а программное обеспечение имеет сертификацию ФСБ.

Существует 3 вида ЭЦП:

• простая;
• неквалифицированная;
• квалифицированная.

Простая электронная подпись (ПЭП) — это код или пароль, созданный системой, и отправленный на телефон или на электронный адрес пользователя. Обычно используется на сайтах для подтверждения действия. Неквалифицированная подпись (НЭП) отличается тем, что требует подтверждения личности клиента, и формируется при помощи криптографического преобразования.

Самая надежная — квалифицированная цифровая подпись (КЭП). Она подтверждается сертификатом проверки, имеет закрытый и открытый ключ, и наделяет документ полной юридической силой.

Сертификат ключа — это файл с расширением .crt, содержащий информацию о владельце, отпечаток сертификата и сроки действия подписи.

Электронная подпись на документе выглядит как:

• последовательность букв или цифр, которая соответствует ключу, указанному в сертификате;
• графическая картинка или штамп с указанием подписи владельца сертификата.

Самой надежной является невидимая ЭП, которая визуально не определяется. Она применяется при составлении документов MS Word, Excel, и генерируется автоматически. Установить ее наличие можно по отметке, которая появляется в графе «состояние».

Примером того, как выглядит усиленная квалифицированная электронная цифровая подпись, является выписка ЕГРЮЛ, заверенная ФНС. Подпись тут представляет собой печать с указанием номера сертификата, владельца, срока действия ЭП.

Образец:

Как выглядит документ, подписанный ЭЦП:

Что включает штамп на визуализации ЭД

Согласно ГОСТу Р-7.0.97-2016 от 1.07.2018 г. в форме электронной подписи должна содержаться новая форма с атрибутом «отметка об электронной подписи». Она обязательна для любого ЭД при его визуализации, сканировании или на печати в том месте, где обычно подпись проставляется на бумаге от руки.

Отметку ставят на документе, подписанном электронной подписью, который представляет собой:

• распечатку электронного контракта;
• распечатку протокола рассмотрения заявок и их оценку для участия в торгах на ЭТП;
• ответы на запросы контролирующих органов.

Штамп электронной подписи обязательно включает такие реквизиты, как:

• номер сертификата ключа подписи;
• ФИО владельца ЭЦП;
• срок окончания действия сертификата;
• фразу о том, что документ подписан ЭП.

Дополнительно штамп может содержать эмблему:

По требованиям стандарта отметка об электронной подписи должна быть читаемой, а ее элементы не должны пересекаться или накладываться друг на друга.

Как поставить отметку

Обычно для постановки отметки об электронной подписи используется два варианта:

• изготовление штампа с последующей вставкой его в копии;
• настройка подписи в MS Office.

Чтобы настроить ЭЦП через MS Office нужно в открытом документе перейти в подменю «Вкладка» и выбрать «Строка подписи»:

Далее выбрать «подписание»:

Если изготавливается штамп, то в копию он вставляется обычным способом через вставку картинки или рисунка и размещается на нужном месте.

Что такое штамп времени

Клиенты системы КриптоПро TSP могут дополнительно получать штампы времени. В роли подписанных данных выступает значение хэш-функции и время проставления штампа. Реквизит связан с ЭД, на который он выдан, и обеспечивает его целостность.

Для выдачи штампом и реализации сервиса на базе КриптоПро необходимо создать отдельный сервер TSP и добавить КриптоПро TSP Client в ПО рабочего места.

Преимущество штампа времени:

• фиксация времени создания ЭД;
• фиксация времени формирования ЭЦП;
• фиксация времени проведения операции по обработке ЭД;
• долговременное хранение ЭД (даже после истечения срока действия сертификата ЭП пользователя).

При открытии документа и просмотре сведений об ЭЦП штамп времени будет выглядеть так:

Работа с протоколом TSP проста, и основывается на взаимодействии с сервером по типу «запрос-ответ». Пользователь создает запрос, посылая его серверу, и получает ответ, в котором содержится сформированный штамп времени. Если произошла ошибка, то вместо штампа в ответе будет указан код ошибки.

Обязательно или нет соблюдение ГОСТа

Существует ГОСТ для электронной подписи. В едином реестре он числится под номером 7.0.97-2016. Стандарт содержит правила формирования документов как в бумажном, так и в электронном виде, и рассматривает такие вопросы, как:

• расположение на носителе необходимых реквизитов;
• требования к созданию и оформлению ЭД, включая использование ИТ.

Правила ГОСТа регулируются статьей 26 ФЗ 162 от 29.06.2015 г. В статье 6 ФЗ 162 предусмотрена обязательность применения документов по стандартизации для оборонной продукции, гос. заказов товаров и услуг, используемых для защиты данных, а также для обеспечения информации, касающейся атомной энергии и т.п.

На основании нормативных документов требования ГОСТа о стандартах по информации не являются обязательной и их несоблюдение не нарушает действующее законодательство.

Потеря юридической значимости ЭП

Официальный документ имеет юридическую силу и юридическую значимость. Первый термин означает, что документ обладает правовыми последствиями. Значимость — это подтверждение деловой деятельности.

Федеральный закон об электронной подписи определяет, что в ЭДО документ заверяется при помощи специальных технологий и ЭП. Чтобы обладать юридической силой и служить доказательством действия, ЭД должен обладать следующими реквизитами:

• названием;
• номером;
• указанием ФИО автора подписи, названием фирмы и человека, имеющего право на подписание;
• дату составления;
• подпись.

Также закон прописывает три вида ЭП, характеристики каждой из них, юридическую силу, способ получения и сроки действия. Согласно законопроекту юридической силой обладают только документы, подписанные квалифицированной электронной подписью. НЭП наделяет ЭД юридической силой, если отдельно имеется соглашение между участниками ЭДО.

Юридическую силу теряет ЭЦП в следующих случаях:

• подпись поставлена лицом, не имеющим право действовать от собственного имени или от имени организации;
• в ЭД указаны не все обязательные реквизиты;
• не соблюден формат и способ передачи ЭД;
• сертификат утратит силу на момент подписания или проверки ЭД;
• ЭП использована с нарушением сведений, указанных в сертификате.

В договоренности между участниками ЭДО прописываются требования о признании равнозначности документов с ЭП и на бумажных носителях, и их нарушение также ведет к потере юридической значимости документа. Обычно к ним относят:

• обязательную отправку ЭД с надежного почтового ящика, доступ к которому имеется лишь у владельца подписи;
• открытый ключ должен прилагаться в письме;
• почтовый сервис должен иметь ограниченный доступ.

Эти же условия используются и для корпоративной ЭЦП. Работа с публичными почтовыми сервисами снижает юридическую силу простой подписи, и делает ее невозможным ее использования для заверения документации.

Использование ЭП в судебной практике

Применение электронной подписи иногда осложняет судебное разбирательство. Отчетность вместо руководителя может заверить главный бухгалтер, а юрист — заявление для суда заверяет вместо истца. Похожие нарушения встречаются при использовании ПО «клиент-банк», когда платежные поручения отправляются не самим владельцем ЭП.

При рассмотрении исков о неправомерном списании денежных средств с расчетного счета организации суд признает правильность действия банка, поскольку ЭП корректна, а передачу права подписи третьему лицу рассматривает как нарушение договорных отношений и правил обслуживания клиентов.

Аналогичная практика возникает и при участии в электронных государственных торгах. Если организация своевременно не подписала выигранный контракт, то она признается стороной, уклонившейся от заключения договора и вносится в реестр недобросовестных поставщиков. В судебной практике часты и случаи, когда организацию заносят в реестр из-за контракта, подписанного лицом, неимеющим права на заверение подобных документов.

В гражданско-правовых отношениях возникают споры контрагентов о законности документов, подписанных ЭП неуполномоченных лиц. При вынесении решения суд исходит из проверки действительности сертификата ЭП.

В законодательстве РФ нет прямых запретов на передачу ЭП третьим лицам с согласия владельца, и при возникновении спорных ситуаций суд признает владельца подписи лицом, подписавшим документ. Вся ответственность за использование ЭЦП лежит на владельце сертификата, и в случае компрометации ключа он обязан обратиться в УЦ с заявлением о приостановке деятельности подписи. В спорных случаях такое обращение может служить доказательством причинения ущерба не владельцем подписи, а сторонним лицом.

Как распечатать документ с ЭЦП

Электронный документ, заверенный квалифицированной подписью, равнозначен бумажному, и обычно не требует распечатки. Однако, иногда требуется подать документ только на бумажном носителе или бумажный вызывает больше доверия у принимающей стороны. Чтобы распечатать ЭД нужно открыть его через КриптоПро, затем перейти в «Настройки» и «Управление настройками»:

В разделе «Профили» дважды кликнуть мышкой по нужному профилю:

В подменю «Общие» поставить галочку в пункте о добавлении ЭП в документ для распечатки:

При помощи мастера КриптоАРМ проверить ЭП документа, который нужно будет отправить на печать:

Затем нужно перейти в раздел «Детали»:

Документ можно распечатать отдельно, если нажать на «Печать», или перейти в подраздел «Посмотреть», и распечатать документ вместе с подписью:

При стандартной ЭЦП выглядеть она будет так:

Реже требуется распечатать сертификат ЭЦП. Сделать это можно в несколько простых шагов через кабинет налогоплательщика. Из списка предложенных организаций выбрать интересующую, затем перейти в раздел «Ответственные частные лица» и отправить на печать бланк сертификата. Программа автоматически сформирует бланк сертификата и даст команду к печати.

Работа с электронной подписью удобна и надежна только при условии соблюдения всех правил ее использования. Если произошла компрометация сертификата ЭП или были нарушены правила использования реквизита, то он теряет юридическую силу. При передаче закрытого ключа ЭЦП ответственность за применение подписи лежит на владельце. В судебном порядке доказать причинение ущерба и неиспользование владельцем ЭЦП бывает сложно. Информационно-технические детали и процесс работы подписи регулируется как Федеральным законодательством, так и ГОСТом. И если соблюдение ФЗ обязательно, но ГОСТа нужно придерживаться лишь в отдельных случаях (работа с секретными данными и т.п.). В законе прописаны не только вид и юридическая сила подписи, особенности ее получения и сроки действительности, но и наличие штампа времени, отметки на электронных документах о наличии ЭП, реквизиты владельца сертификата.

myedo.ru

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

Законом предусмотрены два типа электронных подписей:  простая и усиленная. Последняя имеет две формы: квалифицированная и неквалифицированная.

Простая электронная подпись представляет собой комбинацию из логина и пароля и подтверждает, что электронное сообщение отправлено конкретным лицом.

Усиленная неквалифицированная подпись не только идентифицирует отправителя, но и подтверждает, что с момента подписания документ не менялся. Сообщение с простой или неквалифицированной электронной подписью может (по предварительной договоренности сторон и в специально предусмотренных законом случаях) быть приравнено к бумажному документу, подписанному собственноручно.

Усиленная квалифицированная электронная подпись подтверждается сертификатом от аккредитованного удостоверяющего центра и во всех случаях приравнивается к бумажному документу с «живой» подписью.

Для того чтобы электронный документ считался подписанным простой электронной подписью необходимо выполнение в том числе одного из следующих условий:

1. простая электронная подпись содержится в самом электронном документе;
2. ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.

При этом закон не уточняет, кто именно может быть владельцем ключа простой электронной подписи, но устанавливает ограничения по ее использованию. Простая электронная подпись однозначно не может быть использована при подписании электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну.

Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:

1. правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
2. обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.

В свою очередь усиленная неквалифицированная и усиленная квалифицированная электронные подписи получаются в результате криптографического преобразования информации с использованием ключа электронной подписи,

позволяют определить лицо, подписавшее электронный документ,

позволяют обнаружить факт внесения изменений в электронный документ после момента его подписания,

создаются с использованием средств электронной подписи.

Квалифицированная электронная подпись наравне с вышеуказанными признаками должна соответствовать следующим дополнительным признакам:

1. ключ проверки электронной подписи указан в квалифицированном сертификате;
2. для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Законом об электронной подписи.

При этом основное отличие квалифицированного сертификата ключа проверки электронной подписи заключается в том, что он должен быть выдан аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра.

Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.

Другие вопросы по теме

digital.gov.ru

Электронная подпись (ЭЦП) — Единый портал ЭП

Стоит отметить сохранившуюся популярность аббревиатуры ЭЦП, которая объясняется тем, что данное сокращение использовали длительное время, начиная с 2002 г. (год принятия Федерального закона «Об электронной цифровой подписи»). Оно успело прочно закрепиться среди специалистов, перед тем, как в 2011 г. ФЗ-63 сократил его до двух букв. Аббревиатура ЭП также имеет существенный недостаток, при внесении ее в поисковую строку можно получить результаты выдачи по электрическим перфораторам и плитам, эпоксидным эмалям и ряду других нетематических продуктов. ЭЦП в свою очередь не имеет других популярных альтернативных расшифровок, что облегчает процесс поиска.

Виды электронной подписи

Федеральным законом от 06 апреля 2011 года № 63-ФЗ «Об электронной подписи» определены три вида электронной подписи:

Простая электронная подпись (ПЭП)

Придает подписанному документу юридическую значимость только в случаях, прямо предусмотренных законодательными и иными нормативными правовыми актами РФ, или соглашением между участниками электронного взаимодействия. При этом указанные соглашения должны предусматривать порядок проверки простой электронной подписи. Данный вид ЭЦП позволяет подтвердить авторство (т.е. факт формирования электронной подписи определенным лицом), но не гарантирует неизменность документа с момента подписания. Использование ПЭП для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается.
Простая электронная подпись чаще всего применяется для получения доступа к возможностям Единого портала госуслуг.

Неквалифицированная электронная подпись (НЭП)

Позволяет определить автора подписанного документа и доказать неизменность содержащейся в нем информации. В неквалифицированную электронную подпись заложены криптографические алгоритмы, которые обеспечивают защиту документов.
Такая подпись подойдет для внутреннего документооборота, а также для отправки электронных документов из одной компании в другую. Во втором случае, стороны должны заключить между собой соглашение, устанавливающие правила использования и признания ЭЦП.

Квалифицированная электронная подпись (КЭП)

Квалифицированная электронная подпись обладает всеми признаками неквалифицированной, однако она может быть получена только в удостоверяющем центре, аккредитованном Минкомсвязи России. Программное обеспечение, необходимое для работы с КЭП, должно быть сертифицировано Федеральной службой безопасности. Следовательно, квалифицированная ЭЦП наделяет документы полной юридической силой и соответствует всем требованиям о защите конфиденциальной информации.
КЭП используется для сдачи отчетности в контролирующие органы государственной власти и для участия в электронных торгах.

Где используется электронная подпись?

Электронные торги

Электронные торги — это современная форма торговли, при которой заказы на поставку товаров или услуг размещаются на специализированных электронных площадках, которые находятся в Интернете. Их участники имеют доступ к государственным закупкам и закупкам коммерческих фирм. Торги открыты для юридических и физических лиц.
Электронная подпись необходима для прохождения аккредитации на торговых площадках. Также ЭЦП заверяются документы, необходимые для участия в конкурсе, подачи ценового предложения и подписания контракта с победителем. Вид используемой подписи определяется самой площадкой, на которой проходят торги.

Узнать больше

Электронный документооборот

Электронный документооборот (ЭДО) — это способ обмена документами, который осуществляется с помощью специализированной электронной системы, через сеть Интернет. Систему ЭДО используют крупные и мелкие компании с целью отправки информации сотрудникам внутри компании и внешним контрагентам, а также физические лица.
Электронная подпись необходима для того, чтобы обмениваться через Интернет не только информативными письмами, но также юридически значимыми документами: договорами, актами, счетами-фактур и другим. Для организации такого документооборота можно использовать любой вид ЭЦП: все зависит от целей, стоящих перед пользователем, а также от его договоренности с другими участниками онлайн обмена информацией.

Узнать больше

Электронная отчетность

Процесс сдачи отчетности в контролирующие органы власти становится намного проще благодаря электронной подписи. Ежеквартальные отчеты для налоговой, пенсионного фонда и другое теперь можно заполнять в электронных бланках, заверять ЭЦП и отправлять через Интернет. Такая система отчетности значительно экономит рабочее время, гарантирует конфиденциальность данных, а также сканирует отчет на наличие в нем ошибок, что является неоспоримым преимуществом.
Для сдачи отчетности будет необходима КЭП.

Узнать больше

iecp.ru

как сделать, проверить, сколько стоит — Жиза

Что такое электронная подпись

Электронная подпись (ЭП, ЭЦП) — это аналог вашей подписи, но для электронных документов. Она позволяет подтвердить, что именно вы подписали документ.

Подписи бывают трех видов: простая, усиленная неквалифицированная и усиленная квалифицированная. Они отличаются тем, насколько они надежны и где их можно применять.

Простая электронная подпись

63-ФЗрегулирует работу с электронными подписями

К простым электронным подписям (ПЭП) относятся пары «логин-пароль», коды подтверждения и скретч-карты. Их задача — удостоверить, что вы тот, за кого себя выдаете. Например, когда вы расплачиваетесь через интернет, банку нужно подтверждение, что это именно вы переводите деньги. Вам на телефон приходит смс с одноразовым кодом. Если вы ввели этот код, вы подписали чек, но не рукой, а цифрами. Платеж прошел.

Код подтверждения от Альфа-Банка — это ваша простая подпись, поэтому банк предупреждает, чтобы вы никому не говорили этот код. Хранить его в тайне так же важно, как не светить лишний раз паспортные данные

Как получить

Простая подпись формируется программой, в которой вы работаете. По умолчанию, ПЭП не имеет юридической силы и работает просто как указание вашего имени. Логин-пароль от электронной почты — это ваша ПЭП, но она не имеет юридической силы: если хотите подписать договор, нужно что-то посущественнее.

Пример такого соглашения на сайте Ситибанка

Закон может признать ПЭП равнозначной «живой» подписи на документах, если вы составили «Соглашение о простой электронной подписи». Такое соглашение нужно подписать у всех, с кем будете обмениваться документами. Закон не регулирует форму соглашения, но в нем должны быть два пункта:
— обязательство соблюдать конфиденциальность;
— правила определения подписавшего лица.

Пример такого текста из соглашения Йоты

Обязательство соблюдать конфиденциальность — это текст о том, что владелец подписи должен сделать всё, чтобы злоумышленники не получили доступ к его информации: никому не сообщать свой логин-пароль, не показывать коды и т. п.

Правила определения подписавшего лица — как понять, что подпись настоящая. Подписавшее лицо можно определить двумя способами: договориться об однозначной идентификации или использовать шифрование.

В первом случае в соглашении вы указываете, что определенный электронный адрес или телефон «однозначно идентифицирует отправителя», а хозяин обязан держать все данные для доступа в секрете. Так можно действовать, если у вас на работе есть свой почтовый сервер. Вы пишете в соглашении, что почтовый адрес ivanovpp@kompania. ru принадлежит Иванову П. П., только он имеет к нему доступ и факт отправки письма с этого адреса равнозначен собственноручной подписи. Это самый простой путь, но и наименее безопасный. Если вы забыли выйти из почты, а кто-то этим воспользовался — это только ваша головная боль.

Пример соглашения о ПЭП в договоре оказания услуг

Второй вариант — это использование в самом документе кода подписи в любом виде: буквы, цифры, штрих-код. Например, вы можете использовать захэшированный код пароля:

Источник: erp-platforma. com

Чтобы создать такой код, нужно придумать пароль и применить к нему хэш-функцию. Это делают специальные сервисы-генераторы, например, SHA1 online. Получится последовательность цифр фиксированной длины — ее и вставляем в письмо. Получатель может проверить подпись с помощью того же сервиса. Так он убедится, что письмо отправили вы. При этом способе последовательность цифр — это аналог вашей подписи от руки на электронном документе. Подробно такой путь описан на хабрахабре.

Что подписать

Простая подпись защищена слабее всех остальных. Она подойдет для внутреннего документооборота, заказа услуг или подтверждения оплаты товаров, но заверить электронный документ для госорганов вы не сможете.

Для бизнеса удобно использовать ПЭП с юридической силой. Например, вы — команда из трех человек, обмениваетесь рабочими документами через почту. Чтобы придать вашей переписке юридическую силу, вам нужно составить и подписать соглашение о ПЭП, а потом во все документы вписывать свой код электронной подписи. Просто и дешево.

Неквалифицированная электронная подпись

Усиленная неквалифицированная электронная подпись (НЭП) — более сложная и защищенная подпись. Она не только подтверждает, что документ подписали именно вы, но и гарантирует, что после вас его никто не изменял.

Как получить

НЭП создает система, в которой вы подписываете документы. Например, если вы — физическое лицо и хотите подавать в ФНС декларации о доходах, налоговая создаст для вас такую подпись бесплатно у себя на сайте. Если вы — юрлицо и хотите отправлять служебки через систему электронного документооборота, эта система создаст подпись. В таком случае за подпись вы не платите — ее стоимость входит в плату за программу документооборота.

Если у вас установлена НЭП, документ можно подписать прямо в ворде, но узнает эту подпись только та система, которая ее выпустила

Что подписать

Неквалифицированная подпись — аналог подписи на документах без печати, то есть документов физических лиц и внутреннего документооборота компании.

НЭП будет работать только в той системе, где ее создали. Это значит, что, если вы получили НЭП на сайте налоговой, использовать ее можно только для взаимодействия с налоговой. Если у вашей компании есть система электронного документооборота, которая генерирует электронные подписи, вы можете подписать документ с помощью НЭП только внутри этой системы.

Квалифицированная электронная подпись

Усиленная квалифицированная электронная подпись (КЭП) — та подпись, которую обычно имеют в виду, когда говорят об ЭЦП и электронном правительстве. Именно такую подпись требуют все госорганы для работы в своих личных кабинетах для подачи отчетов. КЭП — самая защищенная и регламентированная законом подпись: она зашифрована специальными сертифицированными средствами, поэтому госорганы принимают ее на документах юрлиц.

Как получить

456 удостоверяющих центров могут выдавать электронные подписи в России

За квалифицированную электронную подпись придется заплатить. Разрешение производить и продавать КЭП есть только у удостоверяющих центров, аккредитованных Минкомсвязи. Эти центры пользуются специальными средствами шифрования, которые утвердила ФСБ — они гарантируют, что взломать вашу подпись невозможно.

Удостоверяющий центр выдает вам сертификат подписи и ключ. Сертификат — это документ, который подтверждает, что ключ действительно принадлежит вам. В нем указаны ваши данные, открытый ключ подписи и сфера применения КЭП — площадки, которые ее принимают. Электронный сертификат устанавливается на компьютер. Ключ — это код, записанный на электронный носитель. Носители могут быть разными: похожими на флешку, карту памяти или банковскую карту с чипом.

Чтобы вы могли подписывать документы, у вас на компьютере должен стоять криптопровайдер — программа-посредник между ЭЦП и операционной системой. Самые известные — КриптоПро CSP и ViPNet CSP. Выбор одной конкретной остается за производителем электронной подписи: этот пункт будет в правилах установки.

Это ключи от разных производителей: КЭП JaCarta, eToken и Рутокен. Они выполняют одинаковые функции, но отличаются требованиями к ПО

Что подписать

С квалифицированной ЭЦП вы можете подписывать любые документы как внутри компании, так и с другими компаниями и госорганами.

Квалифицированная подпись имеет больше прав, чем неквалифированная: если закон говорит, что разрешена неквалифицированная подпись, КЭП вы тоже можете использовать. Например, при проведении госзакупок закон допускает неквалифицированную подпись. Это значит, что вам нужна подпись «не ниже, чем НЭП», то есть простая подпись не подойдет, а квалифированная — вполне.

Некоторые госорганы требуют свою особую подпись с ограниченной сферой применения. Например, Росреестр и Таможенная служба требуют подписи только под них. Если вы попробуете отправить им запрос с другой КЭП, у вас ничего не получится: система выдаст ошибку. Определитесь, куда вы будете отправлять документы, и ищите на сайтах удостоверяющих центров подходящий сертификат.

Сертификат КЭП действителен 12 месяцев. Через год вам придется оплатить его снова или перестать использовать электронную подпись. Учитывайте это, когда планируете график сдачи отчетности.

Некоторые удостоверяющие центры продают комплексную услугу: электронную подпись и программу подачи отчетности. Такая программа дает готовые шаблоны отчетов, напоминает вам, когда пора сдавать отчеты, и отправляет их в госорганы. Еще один плюс таких программ в том, что они позволяют отправлять отчеты даже в те госорганы, которые требуют сертификат с указанной сферой применения. Вместо того, чтобы покупать отдельную подпись для каждого госоргана, можно купить программу и «подпись на все».

Как действовать

1. Определитесь, для чего вам нужна подпись. Внутренний документооборот можно настроить с простой электронной подписью или с неквалифицированной. Для госорганов нужна КЭП.
2. Если собираетесь общаться с госорганами через личный кабинет, будьте готовы раз в год оплачивать КЭП.
3. Определитесь, в какие госорганы вы будете подавать отчеты и внимательно читайте пункт про сферу применения сертификата. Узнавайте, есть ли у удостоверяющего центра один сертификат, который работает с нужными госорганами. Помните, что некоторые госорганы требуют специальной электронной подписи для своего личного кабинета.
4. Если вы сдаете много отчетов в разные госорганы, спросите в удостоверяющем центре о программах передачи отчетности. В таких программах есть нужные шаблоны для вашей системы налогообложения и график сдачи. Чтобы проверить, подходит ли она именно вам, просите триальную версию или демонстрацию.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите 111 Ctrl+Enter.

zhiza.evotor.ru

No related posts.