что обеспечивает электронная подпись на документе подконтрольность или целостность
Что такое электронная подпись (ЭЦП)?
Электронная подпись — это атрибут электронного документа, который позволяет установить авторство и неизменность после подписания. В зависимости от своего вида электронная подпись может быть полностью равнозначна рукописной и обеспечивает подписанным файлам юридическую силу.
Функции электронной подписи
Подписывать любые файлы электронной подписью могут и юридические, и физические лица. Электронная подпись:
В России используется три вида подписи.
Простая электронная подпись, или ПЭП
Простая подпись — это знакомая многим пара логин-пароль в Личных кабинетах, СМС-код, коды на скретч-картах. Такая подпись подтверждает авторство, но не гарантирует неизменность документа после подпиcания, следовательно, не гарантирует его юридическую значимость. Простая электронная подпись чаще всего применяется для получения Госуслуг, при банковских транзакциях, аутентификации на сайтах.
Неквалифицированная электронная подпись, или НЭП
За счет криптографических алгоритмов НЭП не только позволяет определить автора подписанного документа, но и доказать неизменность содержащейся в нем информации. Неквалифицированную подпись нужно получать в удостоверяющих центрах на специальном ключевом носителе — токене.
НЭП подойдет для электронного документооборота внутри компании и с внешними контрагентами. Только в этом случае сторонам потребуется заключить между собой соглашение о взаимном признании юридической силы электронных подписей.
Квалифицированная электронная подпись, или КЭП
Так же, как НЭП, квалифицированная подпись создается с помощью криптографических алгоритмов, но отличается в следующем:
Квалифицированная электронная подпись наделяет документы юридической силой и позволяет проверить, изменяли ли документ после подписания.
КЭП для торгов имеет самое широкое применение и используется:
Некоторые торговые площадки требуют, чтобы квалифицированный сертификат содержал специальный идентификатор (OID). Так, чтобы работать на площадках uTender или Центр реализации, придется докупить отдельный OID для каждой площадки. Площадки могут отказываться от OIDов или вводить их — точную информацию о том, нужен ли площадки дополнительный идентификатор, нужно уточнять в техподдержке площадки или читать в ее регламенте.
Что обеспечивает электронная подпись на документе подконтрольность или целостность
Это комбинация цифровых данных, с помощью которых можно идентифицировать личность. Простой пример — логин и пароль, которые вводим на сайтах для авторизации, или смс-код, который присылают на телефон для входа в личный кабинет. Это электронная подпись для повседневной жизни.
Как получить
Простую электронную подпись (ПЭП) можно создать с помощью программного обеспечения, например:
Для оформления простого электронного сертификата (подписи) нужно создать документ, открыть меню «Файл», выбрать пункт «Защита документа», а потом выбрать «Добавить цифровую подпись». Если подпись создаётся впервые, программа выдаст запрос на получение программного обеспечения от партнеров. В этом случае поможет русскоязычная версия приложения «Карма», которое установит подпись в операционную систему.
После завершения всех действий нужно сохранить файл.
Приложение КриптоПро CSP
Этот метод сложнее, зато с помощью этого ПО можно создать усиленные ключи.
Ещё один способ — получить заверенную простую электронную подпись в удостоверяющем центре, где сертификат запишут на USB-токен. Этот вариант подойдёт тем, кто создаёт документы в текстовых программах: с помощью сертификата получится защитить документ от плагиата и подтвердить авторство.
Где можно применять
Недостатки
Простая электронная подпись не имеет юридической силы. Её нельзя использовать для подачи документов в государственные инстанции, а также для участия в торгах по 44-ФЗ и 223-ФЗ.
Чтобы при помощи ПЭП можно было подписывать обычные документы (например, договоры с контрагентами), нужно составить соглашение о простой электронной подписи. Такое соглашение должно содержать пункты об обязанности соблюдать конфиденциальность сведений и правила определения подписавшего лица — подлинности подписи. И подписывать его придётся всем сторонам, участвующим в электронном взаимодействии. Иначе все документы, подписанные ПЭП, закон признает недействительными.
Неквалифицированная электронная подпись
Неквалифицированная электронная подпись (НЭП) — чаще всего это ключ, хранящийся на USB-носителе. Иногда НЭП может создать программа, в которой работаете (только она и опознает эту подпись). Функционал такой подписи тоже частично ограничен, но, по сравнению с ПЭП, она обладает рядом преимуществ.
Как получить
Юридические лица и ИП могут оформить неквалифицированную подпись в удостоверяющих центрах или даже сделать её самостоятельно при помощи опытного программиста.
Где можно применять
Для аккредитации и участия в торгах на электронных площадках с помощью неквалифицированной подписи поставщик может создавать заявки и осуществлять сделки при наличии дополнительного соглашения между сторонами. Однако НЭП позволяет совершать не все типы операций.
Недостатки
НЭП подходит скорее физлицам. Юридическим лицам и ИП неквалифицированная электронная подпись подойдёт только при внушительном объёме внутреннего или внешнего документооборота, в других ситуациях её функционала может быть недостаточно.
Квалифицированная электронная подпись
Наиболее совершенный вид электронной подписи — усиленная квалифицированная подпись (КЭП). Это ключ, сформированный с помощью сертифицированных криптографических средств, который записывается на USB-носитель.
Ключ электронной подписи указан в сертификате, который выдаёт удостоверяющий центр, аккредитованный в Минкомсвязи.
КЭП состоит из двух частей:
КЭП способна обеспечить надёжную защиту информации от посторонних лиц, а степень конфиденциальности данных владелец устанавливает сам. Данные будут защищены даже когда срок действия ключа истечёт.
Как получить
Для подачи заявления в аккредитованный удостоверяющий центр придётся собрать пакет уставных документов организации и документов, удостоверяющих личность владельца.
Для работы с квалифицированной подписью потребуются:
Где можно применять
Если коротко — везде.
Недостатки
У КЭП существует один недостаток: нужно ежегодно оплачивать сертификат электронной подписи.
Update
Медиа о технологиях в бизнесе
Что такое электронная подпись и зачем она нужна
Карантин вынуждает бизнес переносить работу с документами на удаленный формат — и здесь не обойтись без электронного документооборота и электронной подписи. В статье вы узнаете, как работает электронная подпись, какие виды бывают и как она регулируется законодательством.
Электронная подпись (ЭП) — это программно-криптографическое средство для защиты конфиденциальности и целостности документов. С помощью неё можно подписывать юридически значимые документы и осуществлять электронный документооборот. ЭП выполняет две основные функции: подтверждает, что документ подписал именно владелец подписи, и фиксирует документ — после создания и подписания изменения уже невозможны. Электронная подпись используется во внутреннем документообороте компаний, а также для налоговой отчетности, банковских операций и совершения сделок.
Типы электронных подписей
ЭП могут получать физические и юридические лица, а выбор зависит от уровня защищенности и области применения подписи. Сейчас электронные подписи выдают аккредитованные Минкомсвязью удостоверяющие центры (УЦ), которых сотни по всей России.
Федеральный закон от 06.04.2011 № 63-ФЗ выделяет три вида электронной подписи, которые группируются в два блока: простая ЭП и усиленная ЭП. Усиленная ЭП делится на два вида: неквалифицированную электронную подпись (НЭП) и квалифицированную электронную подпись (КЭП).
Простая ЭП
Простая ЭП используется для госуслуг, транзакций и аутентификации на сайтах. Такая подпись не содержит криптографические механизмы, поэтому является наименее защищенной. Она работает по принципу связки логина-пароля и кода подтверждения, что не исключает риска изменения документа. Самый простой пример такой подписи — SMS из банка.
Усиленная ЭП: НЭП и КЭП
НЭП позволяет определить автора подписи и проверить, были ли внесены в документ изменения после отправки. Подписанный НЭП документ заменяет бумажный только по согласию сторон. Удостоверяющий центр не обязан дополнительно подтверждать такую подпись (как это происходит в случае с КЭП). Документы, которые нужны для получения подписи, и порядок ее получения устанавливает сам УЦ и контрагенты, которые будут использовать НЭП. Такая подпись является юридически значимой и её можно использовать для заверения деловых бумаг, но только если между организациями заключено соответствующее соглашение.
Как работает технология?
Электронная подпись состоит из нескольких элементов: средство электронной подписи, необходимое для реализации криптографических функций, ключевая пара, состоящая из «открытого» и «закрытого» ключа, и сертификат ключа проверки, который выпускает удостоверяющий центр.
«Открытый» и «закрытый» ключ — обезличенные наборы байт (пара очень больших чисел), и одному «открытому» ключу соответствует определенный «закрытый» ключ. Ключ сгенерированы таким образом, что документ, зашифрованный «закрытым» ключом, можно расшифровать только «открытым» ключом.
Задача УЦ — связать «открытый» ключ с личностью владельца ЭП (физическим лицом или юридической организацией). В качестве подтверждения связи «открытого» ключа и владельца выступает сертификат ключа проверки. Владельцу ЭП удостоверяющий центр выдаёт токен — внешне напоминает USB-накопитель, на нем записаны сертификат и «закрытый» ключ.
Токен с сертификатом и «закрытым» ключом вставляется в компьютер. С помощью средств электронной подписи происходит шифрование документа «закрытым» ключом. Шифровать полностью документ — достаточно ресурсоемкая задача, поэтому шифруют только его хэш-функцию — набор данных, жестко привязанных к документу и подтверждающих его. Расшифровать хэш-функцию можно только «открытым» ключом, а соответствующий сертификат проверки подтверждает связь ключа и владельца ЭП.
Таким образом подтверждается целостность документа, факт подписания документа и принадлежность подписи владельцу.
Как государство регулирует рынок?
В конце декабря прошлого года Президент РФ подписал поправки к закону № 63-ФЗ, который реформирует систему выдачи электронных подписей — № 476-ФЗ. Он вступит в силу 1 июля 2020 года. Предварительно, исходя из законодательства, ситуация изменится следующим образом.
Появится ДТС — доверенная третья сторона. Её роль — проверка ЭП для «обеспечения доверия». Это юрлицо, то есть частный бизнес, который предоставляет услуги OCSP (онлайн-проверки валидности сертификатов) и TSP (метки доверенного времени, которые тоже ввели в закон). Иностранные ЭП будут полностью признаваться российской стороной после её проверки аккредитованной ДТС, что поможет бизнесу, работающему на экспорт.
Аккредитованные Минкомсвязью удостоверяющие центры не смогут выдавать электронные подписи юридическим лицам, а будут работать только с физлицами. Минимальный размер собственного капитала УЦ должен будет составлять 1 млрд руб. (сейчас – не менее 7 млн руб.). При наличии у удостоверяющего центра филиалов или представительства по России, достаточным будет размер собственных средств (капитала) в 500 млн руб.
Также предварительно выдачу КЭП будут осуществлять:
— УЦ ФНС России: юридическим лицам, ИП (кроме кредитно-финансовой сферы) и нотариусам
— УЦ Банка России: кредитным организациям, операторам платежных систем, финансовым организациям и ИП.
— УЦ Федерального казначейства: государственным служащим.
— УЦ, получившие аккредитацию Минкомсвязи: только физическим лицам.
По мнению авторов законопроекта, это поможет сократить масштабы мошенничества с использованием электронных подписей. Но бизнес сообщество выразило недовольство поправкам. Одним из решений для среднего бизнеса может стать переход на неквалифицированную ЭП. В рамках двусторонних отношений компаниям не нужна усиленная подпись, если включить в договор пункт об использовании НЭП.
МЭП от МегаФона
МегаФон также предоставляет услугу по созданию усиленной квалифицированной подписи, равнозначной собственноручной на бумаге, — это мобильная электронная подпись или МЭП. Классический носитель с электронной подписью все-таки не до конца «цифровой» — он все еще может быть украден или потерян. МЭП же лишена такого недостатка. Технология использует мобильную связь, а подпись можно использовать в любой географической точке, где есть покрытие сотовой сети.
МЭП работает следующим образом. В мобильное устройство устанавливается специальная SIM-карта с установленным на нее апплетом. Он обеспечивает связь между абонентом и сервисом ЭП через защищенный SMS-канал. Пользователь МЭП получает на мобильный телефон текстовое push-уведомление с описанием документа на подпись, а подтверждает личность с помощью пин-кода. Особенность в том, что на самой SIM-карте нет сертификата и «закрытого» ключа. Все вычисления происходят на криптографическом модуле, а создание и хранение ключей пользователей осуществляется на защищенном программно-аппаратном комплексе МЭП. Это делает электронную подпись максимально защищенной от действий злоумышленников. При потере телефона достаточно заблокировать SIM-карту и прийти в офис для прохождения повторной идентификации и перевыпуска SIM-карты.
Словарь терминов
1. Из чего состоит электронная подпись?
Сертификат электронной подписи
Это электронный «паспорт» юридического или физического лица, который выдается удостоверяющим центром для идентификации владельца электронной подписи и подтверждения ее подлинности. Сертификат электронной подписи содержит:
Как правило, сертификат выдается на год, по истечении срока действия его необходимо продлевать. Это обусловлено требованиями информационной безопасности.
Закрытый ключ
Это уникальная последовательность символов, с помощью которой происходит подписание и расшифрование документов. Закрытый ключ всегда идет в паре с общедоступным открытым ключом электронной подписи, который позволяет удостовериться в подлинности электронной подписи или зашифровать документы.
Открытый ключ
Это уникальная последовательность символов, однозначно связанная с закрытым ключом, но открытый ключ электронной подписи является общедоступной информацией. С его помощью адресат, которому отправлен электронный документ, проверяет подлинность электронной подписи отправителя или зашифровывает документ.
Ключевой носитель
Это носитель, предназначенный для безопасного хранения закрытого ключа электронной подписи. Вместе с закрытым ключом на носителе обычно хранится и сертификат электронной подписи владельца. В основном используются два вида ключевых носителей: Рутокен и eToken, — ключевые носители в виде USB-ключей (флеш-карты)
2. Электронная подпись
Электронная подпись (ЭП)
Реквизит электронного документа, предназначенный для обеспечения подлинности документа.
Электронная подпись формируется с использованием средств криптографической защиты информации (СКЗИ) и закрытого ключа электронной подписи. Технология позволяет идентифицировать автора документа и подтверждает отсутствие изменений в электронном документе после его подписания.
В отличие от собственноручной подписи, ЭП позволяет передавать подписанный документ по интернет без пересылки материального аналога и дает возможность проверить подлинность документа.
Простая электронная подпись
Самый незащищенный вид подписи, который чаще всего представляет собой код, отправляемый по СМС, а также логин и пароль. Простая подпись только утверждает авторство документа, поэтому сфера ее применения достаточно узка, а возможность и порядок использования устанавливается оператором системы.
Усиленная неквалифицированная электронная подпись
Вид подписи, который позволяет определить отправителя и подтвердить, что после подписания в документ не вносились изменения. Она приравнивает документ к собственноручно подписанному с печатью организации, если это установлено регламентом информационной системы, в котором используется данный вид подписи, либо соглашением сторон, участвующих в электронном документообороте. Именно этот вид подписи используется для торгов по Федеральному закону № 44-ФЗ.
Усиленная квалифицированная электронная подпись
Самая широко применяемая и регулируемая из всех. Она обладает теми же свойствами, что и усиленная неквалифицированная подпись, но за счет дополнительного регулирования ее содержимого и правил выпуска в Федеральном законе 63-ФЗ, ее можно использовать в информационных системах без необходимости описания ее применения в регламенте/соглашении сторон. Квалифицированная подпись нужна для участия в торгах на некоторых коммерческих площадках и площадках по продаже имущества должников (банкротов), а также в юридически значимом электронном документообороте с контрагентами, при отправке отчетности в контролирующие органы через интернет и при работе с некоторыми порталами государственных органов.
Усовершенствованная электронная подпись
Усовершенствованной называется электронная подпись, к которой в момент создания была присоединена дополнительная информация. Виды усовершенствованной подписи описаны в RFC 5126.
Контур.Крипто создаёт подпись в формате CAdES-C, содержащую полную информацию, необходимую для проверки подлинности подписи даже после истечения срока действия сертификата. Для этого в подпись включаются данные о дате и времени подписания документа, полученные от сервера точного времени УЦ СКБ Контур. Кроме того, в подпись включаются сведения о цепочке доверия к сертификату и результаты проверки того, не был ли отозван сертификат и сертификаты из его цепочки доверия в момент создания подписи.
Так как усовершенствованная подпись даёт возможность доказать, в какой момент времени она была создана и не был ли в данный момент времени отозван сертфикат, её использование является предпочтительным. Все сертификаты УЦ СКБ Контур поддерживают создание усовершенствованной подписи.
3. Инфраструктура электронной подписи
Средство криптографической защиты информации
Программный комплекс, реализующий на компьютере пользователя хотя бы один из следующих криптографических алгоритмов:
В практике широкое применение получили средства криптографической защиты информации, реализующие все перечисленные алгоритмы, а значит, являющиеся также средствами электронной подписи. Самые распространенные из них: Крипто Про CSP, VipNet CSP.
В сервисах, предназначенных для подписания и шифрования документов, операции совершаются с помощью СКЗИ.
Компрометация ключа
Утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. Любое изменение реквизитов владельца ключа (сменилось название, поменялся руководитель организации) или компрометация закрытого ключа влечет к тому, что нужно отозвать действующий сертификат и получить новый.
Метка времени
Технология, которая подтверждает момент подписания электронного документа. В файл подписи включается точное время создания подписи, полученное с сервера точного времени и подтвержденное электронной подписью удостоверяющего центра. Метка времени используется для проверки того, что на момент подписания документа действие сертификата не истекло или он не был отозван.
Список отозванных сертификатов (СОС)
Электронный документ, включающий в себя список серийных номеров сертификатов ключей подписи, которые на определенный момент времени были аннулированы (отозваны). Достоверность и актуальность документа подтверждается электронной подписью Удостоверяющего Центра
Отсоединенная электронная подпись
Разновидность электронной подписи, при создании которой, файл подписи создается отдельно от подписываемого файла. Поскольку подписываемый файл никак не изменяется, его можно читать, не прибегая к специальным программам, работающим с электронной подписью.
Для проверки подписи нужно будет использовать программы либо сервисы, работающие с электронной подписью. При этом входными данными для таких программ будут служить файл с электронной подписью и подписанный ей файл.
Присоединенная электронная подпись
Разновидность электронной подписи, при создании которой, создаётся файл, содержащий как саму электронную подпись, так и исходный документ. В случае использования присоединенной подписи для чтения подписанного файла необходимо прибегнуть к специальным программам, работающим с электронной подписью, в которых можно как проверить подпись, так и «извлечь» подписанный файл для чтения. При этом входными данными для таких программ или сервисов будет служить единый файл, содержащий как электронной подпись, так и подписанный ей документ.
4. Операции с сертификатом электронной подписи в Контур.Крипто
Создание подписи
Электронная подпись гарантирует авторство и целостность данных, а значит, обеспечивает доверие к информации, содержащейся в электронном документе.
Каждая подпись создается с помощью закрытого ключа сертификата электронной подписи, который хранится на специальном носителе токене.
При создании файла подписи в него автоматически вкладывается сертификат электронной подписи, который содержит открытый ключ подписи для проверки ее подлинности получателем.
Проверка подписи
Электронная подпись, созданная с использованием сертификата, проверяется с помощью открытого ключа электронной подписи, который содержится в файле подписи.
Успешное прохождение проверки подтверждает, что данная электронная подпись была создана для полученного документа, и документ после этого не был изменен. Авторство документа получатель может проверить, ознакомившись со сведениями об авторе, которые содержатся в сертификате электронной подписи.
Шифрование документа
Шифрование документа обеспечивает конфиденциальность информации, содержащейся в документе любого формата.
Автор зашифровывает документ с помощью сертификата электронной подписи получателя, содержащего открытый ключ. Это открытая информация, которую автор документа может запросить у самого получателя. После завершения процедуры шифрования прочитать файл может только владелец того сертификата электронной подписи, с помощью которого был зашифрован документ.
Расшифрование документа
Расшифрование документа происходит с помощью сертификата электронный подписи (с помощью закрытого ключа данного сертификата), на который был зашифрован документ.
Данный сертификат должен быть установлен на компьютере получателя документа.
5. Удостоверяющие центры
Удостоверяющий центр
Организация, осуществляющая функции по созданию и выдаче сертификатов ключей проверки электронных подписей. Основным назначением удостоверяющего центра является выдача сертификатов ключей подписей. Помимо этого им осуществляется:
Удостоверяющий центр СКБ Контур
Крупнейший коммерческий федеральный центр выдачи электронных подписей.
Удостоверяющий бизнес СКБ Контур имеет аккредитацию Минкомсвязи, все необходимые лицензии и не только предлагает современные программы для эффективного ведения бизнеса, но и берёт на себя полную ответственность за их круглосуточную техническую поддержку.
Благодаря широкой партнерской сети Удостоверяющего центра центры выдачи сертификатов ЭП есть во многих городах России.
Аккредитация удостоверяющего центра
6. Электронные торговые площадки
Электронная торговая площадка (ЭТП)
Специализированный интернет-сайт, который объединяет в одном информационном пространстве поставщиков и потребителей, другими словами, это ряд сервисов, позволяющий заключать сделки купли-продажи между предприятиями.
ЭТП для размещения государственного заказа
ЭТП, отобранные Минэкономразвития РФ и ФАС РФ в рамках специальной процедуры. Данные площадки располагают функционалом для проведения открытых аукционов в электронной форме и действуют по регламенту, жестко определенному законодательством Российской Федерации (Федеральный Закон РФ № 44-ФЗ).
Перечень федеральных торговых площадок определен Министерством Экономического Развития РФ и Федеральной Антимонопольной Службой РФ для размещения госзаказов:
Для аккредитации на ЭТП госзаказа необходимо иметь неквалифицированный сертификат электронной подписи.
ЭТП по продаже имущества должников (банкротов)
ЭТП, предназначенные для автоматизации процедуры проведения торгов в электронной форме при продаже имущества (предприятия) должников в ходе процедур, применяемых в деле о банкротстве в соответствии с требованиями Федерального закона «О несостоятельности (банкротстве)» и приказом Минэкономразвития № 54 от 15 февраля 2010 г. В настоящее время Комиссией Минэкономразвития РФ аккредитовано несколько ЭТП по реализации имущества банкротов:
Для участия в торгах по продаже имущества банкротов требуется квалифицированный сертификат электронной подписи.
ЭТП для размещения заказов по 223-ФЗ
Электронные Торговые Площадки, на которых закупки осуществляют юридические лица, подпадающие под действие 223-ФЗ, и имеющие функционал, который разработан под закупочные процедуры, установленные в Положениях о закупках таких юридических лиц. Как правило, ЭТП для размещения заказов по 223-ФЗ совмещают свой функционал с процедурами, используемыми коммерческими заказчиками. Среди таких площадок можно назвать:
В зависимости от требований ЭТП для торгов по 223—ФЗ может понадобиться как квалифицированный, так и неквалифицированный сертификат.
ЭТП для коммерческих заказчиков
Электронные Торговые Площадки, на которых электронные торги проводят не государственные компании (коммерческие заказчики). Таких ЭТП значительно больше, чем для государственных торгов и регламент проведения электронных аукционов на них более гибкий (в некоторых аукционах не требуется даже электронная подпись):
В зависимости от требований ЭТП для коммерческих торгов может понадобиться как квалифицированный, так и неквалифицированный сертификат.