В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.
Что такое электронная подпись?
Электронная подпись - это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.
Справочно:
Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т.д.
Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:
— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,
— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.
Возможности электронной подписи
Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.
Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.
Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.
Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?
Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.
Справочно:
Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.
Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).
Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.
Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.
Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.
Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?
Выданная электронная подпись состоит из 3 элементов:
1 - средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако». Подробнее прочитать о технологиях ЭЦП, связанных с использованием «электронного облака», можно будет в следующей статье Единого портала Электронной подписи.
Справочно:
Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.
Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона № 63.
2 - ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них - ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете. Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым». Он не содержится в тайне, однозначно привязан к «закрытому» ключу и необходим, чтобы любой желающий мог проверить корректность электронной подписи.
3 - сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией). На практике это выглядит следующим образом: например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову. Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим. Таким образом, преступник получит возможность выдавать себя за подписанта. В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.
В соответствии с законодательством РФ различают:
— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;
— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.
Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр — понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.
Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:
- Клиент приобрел средство электронной подписи.
- Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.
- УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.
Вопрос безопасности
Требуемые свойства подписываемых документов:
- целостность;
- достоверность;
- аутентичность (подлинность; «неотрекаемость» от авторства информации).
Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.
С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.
Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.
Как подписать файл электронной подписью?
Для подписания файла ЭЦП нужно выполнить несколько шагов. В качестве примера рассмотрим, как поставить квалифицированную электронную подпись на свидетельство на товарный знак Единого портала Электронной подписи в формате.pdf. Нужно:
1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».
2. Пройти путь в диалоговых окнах криптопровайдера:
На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.
Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).
В блоке «Свойства подписи» выбираете «Подписано», при необходимости можно добавить комментарий. Остальные поля можно исключить/выбрать по желанию.
Из хранилища сертификатов выбираете нужный.
После проверки правильности поля «Владелец сертификата», нажимайте кнопку «Далее».
В данном диалоговом окне проводится финальная проверка данных, необходимых для создания электронной подписи, а затем после клика на кнопку «Готово» должно всплыть следующее сообщение:
Успешное окончание операции означает, что файл был криптографически преобразован и содержит реквизит, фиксирующий неизменность документа после его подписания и обеспечивающий его юридическую значимость.
Итак, как же выглядит электронная подпись на документе?
Для примера берем файл, подписанный электронной подписью (сохраняется в формате.sig), и открываем его через криптопровайдер.
Фрагмент рабочего стола. Слева: файл, подписанный ЭП, справа: криптопровайдер (например, КриптоАРМ).
Визуализация электронной подписи в самом документе при его открытии не предусмотрена ввиду того, что она является реквизитом. Но есть исключения, например, электронная подпись ФНС при получении выписки из ЕГРЮЛ/ЕГРИП через онлайн сервис условно отображается на самом документе. Скриншот можно найти по
Но как же в итоге «выглядит» ЭЦП , вернее, как факт подписания обозначается в документе?
Открыв через криптопровайдер окно «Управление подписанными данными», можно увидеть информацию о файле и подписи.
При нажатии на кнопку «Посмотреть» появляется окно, содержащее информацию о подписи и сертификате.
Последний скриншот наглядно демонстрирует как выглядит ЭЦП на документе «изнутри».
Приобрести электронную подпись можно по .
Задавайте другие вопросы по теме статьи в комментариях, эксперты Единого портала Электронной подписи обязательно ответят Вам.
Статья подготовлена редакцией Единого портала Электронной подписи сайт с использованием материалов компании SafeTech.
При полном или частичном использовании материала гиперссылка на www..
Процедура формирования цифровой подписи
На подготовительном этапе этой процедуры абонент А − отправитель сообщения − генерирует пару ключей: секретный ключ k A и открытый ключ K A . Открытый ключ K A вычисляется из парного ему секретного ключа k A . Открытый ключ K A рассылается остальным абонентам сети (или делается доступным, например, на разделяемом ресурсе) для использования при проверке подписи.
Для формирования цифровой подписи отправитель А прежде всего вычисляет значение хэш-функции h(М) подписываемого текста М (рис. 1). Хэш-функция служит для сжатия исходного подписываемого текста М в дайджест m − относительно короткое число, состоящее из фиксированного небольшого числа битов и характеризующее весь текст М в целом. Далее отправитель А шифрует дайджест m своим секретным ключом k A . Получаемая при этом пара чисел представляет собой цифровую подпись для данного текста М . Сообщение М вместе с цифровой подписью отправляется в адрес получателя.
Рис.1. Схема формирования электронной цифровой подписи
Абоненты сети могут проверить цифровую подпись полученного сообщения М с помощью открытого ключа отправителя K A этого сообщения (рис. 2).
При проверке ЭЦП абонент В − получатель сообщения М − расшифровывает принятый дайджест m открытым ключом K A отправителя А . Кроме того, получатель сам вычисляет с помощью хэш-функции h(М) дайджест m’ принятого сообщения М и сравнивает его с расшифрованным. Если эти два дайджеста − m и m’ − совпадают, то цифровая подпись является подлинной. В противном случае либо подпись подделана, либо изменено содержание сообщения.
Рис.2. Схема проверки электронной цифровой подписи
Принципиальным моментом в системе ЭЦП является невозможность подделки ЭЦП пользователя без знания его секретного ключа подписывания. Поэтому необходимо защитить секретный ключ подписывания от несанкционированного доступа. Секретный ключ ЭЦП, аналогично ключу симметричного шифрования, рекомендуется хранить на персональном ключевом носителе в защищенном виде.
Электронная цифровая подпись представляет собой уникальное число, зависящее от подписываемого документа и секретного ключа абонента. В качестве подписываемого документа может быть использован любой файл. Подписанный файл создается из неподписанного путем добавления в него одной или более электронных подписей.
Помещаемая в подписываемый файл (или в отдельный файл электронной подписи) структура ЭЦП обычно содержит дополнительную информацию, однозначно идентифицирующую автора подписанного документа. Эта информация добавляется к документу до вычисления ЭЦП, что обеспечивает и ее целостность. Каждая подпись содержит следующую информацию:
· дату подписи;
· срок окончания действия ключа данной подписи;
· информацию о лице, подписавшем файл (Ф.И.О., должность, краткое наименование фирмы);
· идентификатор подписавшего (имя открытого ключа);
· собственно цифровую подпись.
Важно отметить, что, с точки зрения конечного пользователя, процесс формирования и проверки цифровой подписи отличается от процесса криптографического закрытия передаваемых данных следующими особенностями.
При формировании цифровой подписи используется закрытый ключ отправителя, тогда как при зашифровании применяется открытый ключ получателя. При проверке цифровой подписи используется открытый ключ отправителя, а при расшифровывании − закрытый ключ получателя.
Проверить сформированную подпись может любое лицо, так как ключ проверки подписи является открытым. При положительном результате проверки подписи делается заключение о подлинности и целостности полученного сообщения, то есть о том, что это сообщение действительно отправлено тем или иным отправителем и не было модифицировано при передаче по сети. Однако, если пользователя интересует, не является ли полученное сообщение повторением ранее отправленного или не было ли оно задержано на пути следования, то он должен проверить дату и время его отправки, а при наличии − порядковый номер.
Сегодня существует большое количество алгоритмов ЭЦП.
Как получить ЭЦП в удостоверяющем центре? Где купить электронную цифровую подпись? Что регулирует закон об электронной подписи?
Погода никудышная: дождь со снегом, пронизывающий ветер. Да еще этот процесс в Арбитражном суде, для которого требуется срочно представить дополнительные документы. Вот бы отправить их туда, не выходя из дома... Что-то подобное знакомо и вам?
Сейчас электронная подпись применяется как юридическими, так и физическими лицами. Она признается судами, контролирующими органами и госструктурами.
Материал публикации позволит вам составить четкое представление о процессе оформления и использования ЭЦП.
1. Что такое электронная цифровая подпись
Начнем знакомство с основного понятия статьи.
Электронная цифровая подпись (ЭЦП) - аналог личной подписи, предоставляет возможность визировать электронную документацию. Служит гарантом ее целостности и подлинности.
Электронная подпись (ЭП) позволяет:
- аутентифицировать источник сообщения;
- контролировать неизменность отправления;
- сделать невозможным отказ от факта визирования сообщения.
Схема ЭП включает в себя два процесса: алгоритм генерации подписи и алгоритм проверки.
Чтобы лучше представить этот процесс я изобразила его схематично.
Часто возникает вопрос о правомерности такого визирования. По этому поводу имеется большая судебная практика, подтверждающая законность ЭЦП.
Пример
Показательно решение Волжско-Вятского суда по одному из дел, рассматриваемых в 2010 году.
Компания «А» подала иск к своему партнеру компании «В» о возврате денежных средств за поставленный, но неоплаченный товар. В процессе сделки применялись электронные документы, заверенные ЭЦП.
Ответчик отсутствие оплаты пояснял тем, что представленные документы, заверенные таким образом, недействительны, а значит, не могут служить основанием для совершения расчетов.
Суд не принял пояснения ответчика, так как ранее между бывшими партнерами было подписано допсоглашение, позволяющие применять в рамках этих договорных отношений документацию, завизированную ЭП.
А, следовательно, все документы составлены надлежащим образом и имеют визу уполномоченного лица. Иск суд удовлетворил полностью.
Регулирование ЭП проводится в рамках ФЗ №63 «Об электронной подписи».
Он регулирует ее использование:
- при гражданско-правовых сделках;
- предоставлении госуслуг;
- оказании муниципальных услуг;
- выполнении госфункций и т. д.
К ЭП предъявляются некоторые требования.
Основными из них считаются:
- легкость проверки подлинности;
- высокая сложность ее подделки.
2. Какие бывают виды ЭЦП - ТОП-3 главных вида
Разновидности ЭЦП прописаны законодательно. В ст.5 ФЗ-63 упоминаются: простая и усиленная. Усиленная, в свою очередь, бывает неквалифицированной (УНЭП) и квалифицированной (УКЭП).
Познакомимся с ними поближе!
Вид 1. Простая электронная подпись
Итак, простой электронный «автограф», сформированный с помощью спецкодов (паролей), свидетельствует о визировании пересылаемых посланий.
Никакими другими полномочиями он не наделен.
Вид 2. Усиленная неквалифицированная электронная подпись
Этот вариант образуется в процессе криптографического преобразования информации с использованием ключа ЭП.
Такое визирование делает возможным не только определить автора, но и выявить несанкционированные корректировки отправляемого сообщения.
Вид 3. Усиленная квалифицированная электронная подпись
Это наиболее защищенный вид.
Он обладает всеми признаками УНЭП и некоторыми дополнительными качествами:
- проверочный ключ содержится в квалифицированном сертификате;
- создается и проверяется УКЭП с помощью средств, утвержденных ФСБ.
3. Где используется электронная подпись - обзор основных вариантов
Электронная подпись в зависимости от вида применяется в различных сферах.
Возможные сферы применения электронной подписи:
Рассмотрим каждый из вариантов использования более подробно.
Вариант 1. Внутренний и внешний документооборот
Особо востребована ЭП во внутреннем и внешнем документообороте. Завизированная таким образом документация компании считается утвержденной и становится защищенной от корректировок.
При электронном документообороте между контрагентами документы, подписанные ЭЦП, получают законный статус. Заверяться могут как договора, так и первичные бухдокументы (счета-фактуры и т. д.).
Вариант 2. Арбитражный суд
Нередко при рассмотрении дел в Арбитражном суде могут потребоваться дополнительные доказательства, которые разрешено представлять в электронном виде.
Законодательно требуется заверка таких документов ЭП. Тогда они имеют юридическую силу и приравниваются к письменным доказательствам на бумаге.
Сегодня арбитражными судами РФ принимаются к рассмотрению следующие документы, заверенные ЭЦП:
- заявления;
- ходатайства;
- отзывы.
Вариант 3. Документооборот с физическими лицами
Физические лица пока ещё редко подписывают какие-либо документы цифровой подписью, хотя с каждым годом такая практика становится всё более популярной, особенно среди лиц, работающих удалено.
Электронная цифровая подпись позволяет им обмениваться актами приема-сдачи своих услуг в электронном виде. С помощью ЭП физлица-изобретатели имеют право подать патентную заявку на сайте Роспатента. Её обладатели могут написать заявление на госрегистрацию ИП или юрлица прямо на сайте налогового ведомства.
Вариант 4. Госуслуги
Портал госуслуг значительно облегчает жизнь россиян. Хотите без проблем получить полный доступ к сервисам портала, оформите ЭЦП.
С ее помощью можно взаимодействовать с ГИБДД, подавать заявления на оформление паспорта, в ЗАГС и пр.
Вариант 5. Контролирующие органы
Электронная отчетность, заверенная с помощью квалифицированной электронной подписи, имеет юридическую силу и признается контролирующими ведомствами.
С ее помощью сдают отчеты не только в налоговую, но и в ПФР, ФСС, Росстат и т. д.
Вариант 6. Электронные торги
Электронные торги - это специализированные сайты, места, где встречаются поставщики и покупатели, заключаются сделки по покупке/продаже услуг, работ и товаров.
Чтобы участвовать в них, необходимо приобрести ЭЦП. Подписанные таким образом документы подтверждают реальность предложений, становятся законными.
4. Как получить электронную подпись - 6 простых шагов
Вы слышали, что ЭЦП позволяет своим обладателям совершать различные юридически значимые действия, не выходя из офиса или дома.
Загорелись желанием получить такую подпись и пополнить ряды её счастливых обладателей, но не знаете, как сделать это правильно?
Вы пришли по нужному адресу! В своей мини-инструкции я расскажу, как получить ЭП быстро и правильно.
Шаг 1. Определяемся с видом электронной подписи
Перед тем, как заказывать сертификат электронной подписи, рекомендую еще раз ответить себе на вопрос: «А для чего она мне нужна?».
Если вы планируете использовать ее только для внутреннего электронного документооборота своей компании, то вам подойдет простая или неквалифицированная ЭЦП для юридического лица.
Если же вы будете применять подпись во внешнем электронном обмене, то здесь уже нужна квалифицированная ЭП.
Шаг 2. Выбираем удостоверяющий центр
Удостоверяющий центр (УЦ) - юридическое лицо, один из уставных видов деятельности которого - формирование и выдача ЭЦП.
Выбирайте УЦ, который максимально близко расположен к вашему местонахождению. Также обращайте внимание на стоимость услуг и сроки изготовления ЭП.
Возможно, вам интересна услуга «Выездное оформление», тогда выбирайте центр, предлагающий эту услугу.
Шаг 3. Заполняем и отправляем заявку
Вид подписи определен, удостоверяющий центр выбран, наступил черед заявки.
Её вы можете подать двумя способами:
- нанести личный визит в офис;
- заполнить форму на сайте центра.
Она содержит только самые необходимые сведения: ФИО, контактные данные (телефон, эл. почта).
Получив заявку, с вами на связь выйдет менеджер УЦ и уточнит все необходимые для выпуска ЭЦП данные, проконсультирует по ценам и условиям.
Шаг 4. Оплачиваем счет
После обработки заявки специалистами центра, вы получите счет для оплаты. Как известно, услуги обычно оплачиваются по принципу «Вечером деньги, утром стулья» , то есть на условиях 100% предоплаты.
Стоимость ЭП в среднем составляет 5-7 тыс. руб., минимальная цена 1,5 тыс. руб.
В нее входит:
- формирования сертификата ключа подписи;
- необходимое программное обеспечение;
- техподдержка.
Оплатить счет вы сможете как безналично, так и наличными средствами.
Шаг 5. Предоставляем документы
Перечень документов зависит от статуса заявителя: юрлицо, ИП, физлицо.
В таблице представлены необходимые документы с учетом статуса заявителя:
№ Статус заявителя Необходимые документы 1 Юрлицо Копии: свидетельство о постановке на учет в ФНС, подтверждение полномочий руководителя юрлица, паспорт заявителя, СНИЛС владельца сертификата, доверенность, подтверждающая полномочия владельца сертификата, доверенность на получение сертификата (если получает не владелец) Оригинал: заявление на изготовление сертификата
2 ИП Копии: свидетельство о госрегистрации физлица в качестве ИП, паспорт, СНИЛС Оригиналы: заявление на изготовление сертификата, нотариально заверенная доверенность, подтверждающая полномочия владельца сертификата, действующего от имени ИП (если владелец Сертификата не ИП), нотариально заверенная доверенность на получение сертификата (если сертификат получает представитель ИП)
3 Физлицо Копии: СНИЛС, паспорт Оригинал: заявление
Шаг 6. Получаем ЭЦП
Получить подпись можно в пунктах выдачи, которых сейчас множество. Их адреса вы найдете на сайте выбранного центра.
Изготавливается электронная подпись обычно 2-3 дня. Некоторые УЦ оказывают услугу по ее срочному оформлению и выдаче (в пределах часа). Посетив пункт в назначенное время, предоставив оригиналы документов (для контрольной сверки), вы получите свою ЭЦП.
Помните! Электронная подпись действительна год, затем требуется ее продление или перевыпуск.
5. Где получить ЭЦП - обзор ТОП-3 удостоверяющих центров
Традиционно представляю вам в помощь подборку компаний, оказывающих услуги по оформлению ЭЦП.
Сегодня вашему вниманию я предлагаю 3 специализированных центра.
Фирма предлагает своим клиентам оформление различных сертификатов ключей ЭП.
Госпорталы, электронный аукцион, тендеры, госзакупки станут доступны владельцам ЭЦП, выпущенной высококлассными специалистами Альфа-Сервис.Компания готова срочно изготовить любую ЭП и тогда процедура ее получения займет не больше 10 минут.
Гибкие цены и постоянные акции в рамках программы лояльности компании делают ЭЦП доступной для всех желающих.
УЦ «Такском» ведет свою деятельность в сфере электронного документооборота с 2000 года. За время своего существования фирма наладила постоянное сотрудничество с различными организациями, предприятиями и госструктурами.
Партнерами и клиентами стали:
- различные министерства и ведомства (МИД, Минэкономразвития, ФНС и пр.);
- известные бренды (Nokia, Связной, HeadHunter и др.):
- кредитные организации (Сбербанк, Альфа-Банк и т. д.);
- Почта России и др.
Клиентов привлекает надежность и безупречная репутация фирмы и те неоспоримые преимущества, которыми обладает «Такском».
Преимущества работы:
- имеется аккредитация;
- широкий выбор ЭП для разных целей (запрос котировок, строительные тендеры и т. п.);
- опытные специалисты;
- новое поколение защищенных информационных носителей.
«Центр безбумажных технологий» основан в 2016 путем выделения в отдельную компанию направления безбумажных технологий из ООО «Гарант-Парк».
Центр представляет широкий спектр услуг по 2 большим направлениям:
- безбумажные технологии в документообороте;
- электронные торги.
Компания предлагает своим клиентам увеличение продаж благодаря онлайн-сервису Центра по подбору аукциона по заданным ими параметрам.
Он позволяет:
- находить подходящий тендер или закупки;
- отслеживать торги в РФ и за ее рубежами;
- выигрывать больше аукционов.
6. Как хранить электронную цифровую подпись - 3 проверенных способа
В современном мире все актуальнее становится проблема защиты различных сведений, в том числе и электронной подписи.
Для ее сохранности владельцы используют различные способы. О наиболее распространенных я вам вкратце расскажу.
Способ 1. Локальное хранение
Весьма распространенный способ хранения - локальный. В этом случае электронный автограф размещается на компьютере, например, в реестре.
Минусы локального способа:
- отсутствует мобильность ключа;
- нет возможности постоянно контролировать ключ его обладателем.
Способ 2. Хранение в облаке
Такой способ подразумевает хранение ключа на удаленном защищенном сервисе.
Чтобы им воспользоваться, необходимо пройти жесткую многоступенчатую аутентификации, которая во много раз повышает безопасность этого хранилища.
Способ 3. Хранение на токенах
И, наконец, способ третий - токены.
Токен - устройство, способное формировать ключевую пару и ЭЦП. Основное назначения этого приспособления - хранение электронных ключей.
Доверив свою электронную цифровую подпись токену, вы надежно защите ее от злоумышленников.
Чтобы им воспользоваться, необходимо ввести ПИН-код. Подобрать его практически невозможно. Кроме того, 3 неудачные попытки и токен заблокируется.
Преимущества хранения ЭП на токене:
- высоконадежный способ хранения;
- доступ по ПИН-коду;
- ПИН-код не передается по сети, а значит, его невозможно перехватить;
- длительный срок использования (5-20 лет);
- не требует проводки, блока питания, спецсчитывателей.
Некоторые дополнительные сведения вы узнаете, посмотрев видеоролик.
7. Заключение
Подведем итог! Во времена сплошной компьютеризации электронная подпись необходима как организациям, так и физлицам. Она экономит время, расширяет возможности!
Электронная цифровая подпись (ЭЦП) дает ее обладателям доступ из любого удобного места, где есть интернет, к широкому спектру госуслуг, электронным торгам, аукционам, электронной отчетности и т. д.
Вопросы к читателям
Какие моменты этой темы, по вашему мнению, нужно осветить более подробно или даже написать для этого отдельную статью?
Идите в ногу со временем, не отказывайтесь от современных технологий!
Будем признательны за отзывы и комментарии по теме статьи! Если материал оказался полезен, пусть о нем узнают ваши друзья и коллеги в соцсетях - ставьте лайки!
Как и все люди, абоненты сети передачи данных могут не доверять друг другу или вести себя нечестно. Они могут подделывать чужие сообщения, отрицать свое авторство или выдавать себя за другое лицо. Особенно актуальными становятся эти проблемы в связи с развитием электронной коммерции и возможностью оплаты услуг через Интернет . Поэтому во многих системах связи получатель корреспонденции должен иметь возможность удостовериться в подлинности документа, а создатель электронного послания должен быть в состоянии доказать свое авторство получателю или третьей стороне. Следовательно, электронные документы должны иметь аналог обычной физической подписи. При этом подпись должна обладать следующими свойствами:
- подпись воспроизводится только одним лицом, а подлинность ее может быть удостоверена многими;
- подпись неразрывно связывается с данным сообщением и не может быть перенесена на другой документ;
- после того, как документ подписан, его невозможно изменить;
- от поставленной подписи невозможно отказаться, то есть лицо, подписавшее документ, не сможет потом утверждать, что не ставило подпись.
Асимметричные алгоритмы шифрования могут быть использованы для формирования цифровой (электронной) подписи ( digital signature ) – уникального числового дополнения к передаваемой информации, позволяющего проверить ее авторство. Электронная (цифровая) подпись ( ЭЦП ) представляет собой последовательность бит фиксированной длины, которая вычисляется определенным образом с помощью содержимого подписываемой информации и секретного ключа.
При формировании цифровой подписи специальным образом шифруется или все сообщение целиком, или результат вычисления хеш-функции от сообщения. Последний способ обычно оказывается предпочтительнее, так как подписываемое сообщение может иметь разный размер, иногда довольно большой, а хеш-код всегда имеет постоянную не очень большую длину. Рассмотрим подробнее оба варианта формирования ЭЦП .
Самый простой способ основывается, так же как и при открытом шифровании, на использовании пары связанных между собой ключей (открытого и закрытого). Однако роли закрытого и открытого ключей меняются – ключ подписывания становится секретным, а ключ проверки – открытым. Если при этом сохраняется свойство, что по открытому ключу нельзя практически найти закрытый ключ , то в качестве подписи может выступать само сообщение, зашифрованное секретным ключом. Таким образом подписать сообщение может только владелец закрытого ключа, но каждый, кто имеет его открытый ключ , может проверить подпись.
Пусть, например, пользователь А хочет отправить пользователю Б подписанное сообщение. Процедура создания и проверки подписи состоит из следующих шагов:
- Пользователь А шифрует сообщение М своим закрытым ключом R и получает зашифрованное сообщение С .
- Зашифрованное сообщение пересылается пользователю Б.
- Пользователь Б расшифровывает полученное сообщение С , используя открытый ключ пользователя А. Если сообщение расшифровалось, значит, оно подписано пользователем А.
рис. 9.2 .
Рис.
9.2.
До тех пор, пока пользователь А надежно хранит свой закрытый ключ , его подписи достоверны. Кроме того, невозможно изменить сообщение, не имея доступа к закрытому ключу абонента А; тем самым обеспечивается аутентичность и целостность данных.
Физическое представление пары ключей зависит от конкретной системы, поддерживающей использование ЭЦП . Чаще всего ключ записывается в файл , который, в дополнение к самому ключу, может содержать, например, информацию о пользователе - владельце ключа, о сроке действия ключа, а также некий набор данных, необходимых для работы конкретной системы (подробнее об этом см. "Электронная цифровая подпись"). Данные о владельце ключа позволяют реализовать другую важную функцию ЭЦП - установление авторства, поскольку при проверке подписи сразу же становится ясно, кто подписал то или иное сообщение. Обычно программные продукты, осуществляющие проверку ЭЦП , настраиваются так, чтобы результат исполнения появлялся на экране в удобном для восприятия виде с указанием поставившего подпись пользователя, например, так:
"Подпись файла приказ.doc верна (
На рис. 9.2 представлена схема формирования так называемой цифровой подписи с восстановлением документа . Цифровые подписи с восстановлением документа как бы содержат в себе подписываемый документ: в процессе проверки подписи автоматически вычисляется и тело документа . Если при расшифровывании сообщение восстановилось правильно, значит, подпись была верной. Цифровая подпись с восстановлением документа может быть реализована, например, с помощью одного из самых популярных алгоритмов формирования ЭЦП – RSA .
В случае использования цифровой подписи с восстановлением документа все сообщение целиком подписывается, то есть шифруется. В настоящее время на практике так обычно не делается. Алгоритмы шифрования с открытым ключом достаточно медленные, кроме того, для подтверждения целостности сообщения требуется много памяти. К тому же практически все применяемые алгоритмы вычисления ЭЦП используют для расчета сообщения заранее заданной стандартной длины. Например, в российском алгоритме формирования цифровой подписи ГОСТ Р34.10-94 этот размер определен равным 32 байтам. Поэтому для экономии времени и вычислительных ресурсов, а также для удобства работы асимметричный алгоритм обычно используется вместе с какой-нибудь однонаправленной хеш-функцией. В этом случае вначале с помощью хеш-функции из сообщения произвольной длины вычисляется хеш-код нужного размера, а затем для вычисления ЭЦП производится шифрование полученного на предыдущем этапе хеш-кода от сообщения.
ЭЦП , вычисленные по хеш-коду документа, называют присоединяемыми цифровыми подписями . Такие цифровые подписи представляют собой некоторый числовой код, который необходимо пристыковывать к подписываемому документу. Само сообщение при этом не шифруется и передается в открытом виде вместе с цифровой подписью отправителя.
Если пользователь А хочет отправить пользователю Б сообщение М , дополненное присоединенной цифровой подписью, то процедура создания и проверки подписи должна состоять из следующих шагов:
- Пользователь А посылает пользователю Б свой открытый ключ U по любому каналу связи, например, по электронной почте.
- Пользователь А с помощью некоторой надежной хеш-функции Н вычисляет хеш-код своего сообщения h = H(M) .
- Затем пользователь А шифрует хеш-код сообщения h своим закрытым ключом R и получает цифровую подпись С .
- Исходное сообщение М вместе с цифровой подписью С пересылаются пользователю Б.
- Пользователь Б вычисляет хеш-код h полученного сообщения М , а затем проверяет цифровую подпись С , используя открытый ключ пользователя А.
Этот протокол можно изобразить в виде схемы, как на
Цифровая подпись
Электро́нная цифрова́я по́дпись (ЭЦП )- реквизит электронного документа , предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.
Общая схема
Схема электронной подписи обычно включает в себя:
- алгоритм генерации ключевых пар пользователя;
- функцию вычисления подписи;
- функцию проверки подписи.
Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. В зависимости от алгоритма функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным. Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.
В настоящее время детерминированные схемы практически не используются. Даже в изначально детерминированные алгоритмы сейчас внесены модификации, превращающие их в вероятностные (так, в алгоритм подписи PKCS#1 добавила предварительное преобразование данных (OAEP), включающее в себя, среди прочего, зашумление).
Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.
Поскольку подписываемые документы - переменной (и достаточно большой) длины, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш . Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.
Алгоритмы ЭЦП делятся на два больших класса: обычные цифровые подписи и цифровые подписи с восстановлением документа. Обычные цифровые подписи необходимо пристыковывать к подписываемому документу. К этому классу относятся, например, алгоритмы, основанные на эллиптических кривых (ГОСТ Р 34.10-2001, ДСТУ 4145-2002). Цифровые подписи с восстановлением документа содержат в себе подписываемый документ: в процессе проверки подписи автоматически вычисляется и тело документа. К этому классу относится один из самых популярных алгоритмов - код аутентичности сообщения, несмотря на схожесть решаемых задач (обеспечение целостности документа и неотказуемости авторства). Алгоритмы ЭЦП относятся к классу асимметричных алгоритмов, в то время как коды аутентичности вычисляются по симметричным схемам.
Защищённость
Цифровая подпись обеспечивает:
- Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
- Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.
- Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
- Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;
- Организацию юридически значимого электронного документооборота.
Возможные атаки на ЭЦП таковы…
Подделка подписи
Получение фальшивой подписи, не имея секретного ключа - задача практически нерешаемая даже для очень слабых шифров и хэшей.
Подделка документа (коллизия первого рода)
Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:
- Документ представляет из себя осмысленный текст.
- Текст документа оформлен по установленной форме.
- Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML.
Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:
- Случайный набор байт должен подойти под сложно структурированный формат файла.
- То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.
- Текст должен быть осмысленным, грамотным и соответствующий теме документа.
Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.
Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма - килобайты.
Получение двух документов с одинаковой подписью (коллизия второго рода)
Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования
Социальные атаки
Социальные атаки направлены на «слабое звено» криптосистемы - человека.
- Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
- Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.
- Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.
Алгоритмы ЭЦП
- Американские стандарты электронной цифровой подписи: ECDSA
- Российские стандарты электронной цифровой подписи: ГОСТ Р 34.10-94 (в настоящее время не действует), ГОСТ Р 34.10-2001
- Украинский стандарт электронной цифровой подписи: ДСТУ 4145-2002
- Стандарт RSA
- схема Шнорра
Управление ключами
Юридические аспекты
В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр . Правовые условия использования электронной цифровой подписи в электронных документах регламентирует ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 10.01.2002 N 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»
Использование ЭЦП в России
После становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного ДОУ между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам Российской Федерации от 2 апреля 2002 г. N БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи» . Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи определяет общие принципы организации информационного обмена при представлении налогоплательщиками налоговой декларации в электронном виде по телекоммуникационным каналам связи.
В Законе РФ от 10.01.2002 № 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» прописаны условия использования электронной цифровой подписи, особенности ее использования в сферах государственоого управления и в корпоративной информационной системе. Благодаря электронной цифровой подписи теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли» , обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.
В Москве в рамках реализации ГЦП (Городской целевой программы) "Электронная Москва" был образован Уполномоченный удостоверяющий Центр ОАО "Электронная Москва" (http://www.uc-em.ru) для решения задач координации работ и привлечения инвестиций при выполнении Городской целевой программы.
Использование ЭЦП в других странах
Система электронных подписей широко используется в Эстонской Республике , где введена программа ID-карт, которыми снабжены 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент - Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Все это осуществляется через центральный гражданский портал Eesti.ee . Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии.
Примечания
Федеральный закон №149 - ФЗ от 27 июля 2006г. "Об информации, информационных технологиях и о защите информации" - http://uc-em.ru/download/02.doc
Федеральный закон № 126 - ФЗ от 07 июля 2003г. "О связи" - http://uc-em.ru/download/03.doc
Постановление Правительства РФ №319 от 30 июня 2004г. "Об утверждении Положения о Федеральном агентстве по информационным технологиям" - http://uc-em.ru/download/05.doc
Постановление Правительства Москвы №495 - ПП от 19 июня 2007г. "Об утверждении Положения о Головном удостоверяющем центре города Москвы" - http://uc-em.ru/download/06.doc
Постановление Правительства Москвы №249 - ПП от 10 апреля 2007г. "Об утверждении порядка работы органов исполнительной власти города Москвы, государственных учреждений и государственных унитарных предприятий города Москвы с электронными документами, подписанными электронной цифровой подписью" - http://uc-em.ru/download/07.doc
Постановление Правительства Москвы №997 - ПП от 19 декабря 2006г. "Об утверждении порядка использования электронной цифровой подписи органами исполнительной власти города Москвы и государственными заказчиками при размещении государственного заказа города Москвы" - http://uc-em.ru/download/08.doc
Постановление Правительства Москвы №544 - ПП "Об утверждении Положения о Системе уполномоченных удостоверяющих центров органов исполнительной власти города Москвы" - http://uc-em.ru/download/09.doc
Постановление Правительства Москвы №450 - ПП от 6 июля 2004г. "О дополнительных мерах по обеспечению эффективного использования бюджетных средств при формировании, размещении и исполнении городского государственного заказа и создании Единого реестра контрактов и торгов города Москвы" - http://uc-em.ru/download/10.doc
Постановление Правительства Москвы №299-ПП от 11 мая 2004г. "Об утверждении Положения о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти города Москвы" - http://uc-em.ru/download/11.doc
Постановление Правительства Москвы №1079-ПП от 30 декабря 2003г. "Об уполномоченном органе в области использования электронной цифровой подписи в информационных системах органов исполнительной власти города Москвы" - http://uc-em.ru/download/12.doc
Об определении уполномоченных удостоверяющих центров - http://uc-em.ru/download/14.doc
Ссылки
- www.ECM-Journal.ru - Блоги и статьи. Просто об электронном документообороте
См. также
- Обычная подпись
- Быстрая цифровая подпись
Wikimedia Foundation . 2010 .
- Цифровая пропасть
- Цифран
Смотреть что такое "Цифровая подпись" в других словарях:
- Директор информационной службы №07/2017 , Открытые системы. «Директор информационной службы» (CIO.ru) – журнал для менеджеров, отвечающих за идеологию, стратегию и реализацию информационной поддержки бизнеса, руководителей ИТ-подразделений предприятий… Купить за 629 руб электронная книга
цифровая подпись - ЦПД Данные, добавленные к блоку данных, или криптографическое преобразование блока данных, которое позволяет получателю данных удостовериться в происхождении и целостности блока данных и обеспечить защиту от мошенничества, например, получателем.… … Справочник технического переводчика
цифровая подпись - 3.25 цифровая подпись (digital signature): Криптографическое преобразование, которое, будучи связано с элементом данных, обеспечивает услуги по аутентификации источника, целостности данных и неотказуемости подписавшей стороны. … … Словарь-справочник терминов нормативно-технической документации - числовое значение, вычисляемое по тексту сообщения с помощью секретного ключа отправителя, а проверяемое открытым ключом, соответствующим секретному ключу отправителя. Удостоверяет, что документ исходит от того лица, чья цифровая подпись… … Толковый словарь по информационному обществу и новой экономике
Электронная цифровая подпись - Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии. Электронная подпись (ЭП) информация в электронной форме, присоединенная к другой информации в электронной… … Википедия
ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ - (ЭЦП, цифровая подпись, электронная подпись, англ. digital signature), криптографическое средство, аналог подписи, позволяющий подтвердить подлинность электронного документа, созданного с помощью компьютера (см. КОМПЬЮТЕР). ЭЦП представляет… … Энциклопедический словарь, О. Н. Герман, Ю. В. Нестеренко. Учебник создан в соответствии с Федеральным государственным образовательным стандартом по направлениям подготовки `Информационная безопасность` и `Математика` (квалификация `бакалавр`). В…
