Электронная подпись: практическое использование на предприятии программного продукта CyberSafe Enterprise. Часть первая / Хабр

Что делать, если компании необходимо множество электронных подписей?

Все больше компаний понимают, что использование электронной подписи позволяет сэкономить время и деньги, а потому покупают сотрудникам электронные подписи для различных целей – бухгалтеру для сдачи отчетности, закупщику – для работы на электронных торговых площадках. В данном случае возникает сразу несколько сложностей:

1. Трудно контролировать все электронные подписи – люди уходят из компании и уносят с собой токены с подписями.

2. Сроки действия электронных подписей заканчиваются неожиданно в самый неподходящий момент, их необходимо перевыпускать в срочном порядке.

3. Покупка электронной подписи может затянуться: закупщик запросил счет в Удостоверяющем центре, отдал его бухгалтеру. Бухгалтер считала зарплату и счет оплатила только через неделю. За это время интересная закупка уже закончилась – компания потеряла возможность подписать выгодный контракт с крупным заказчиком.

Удостоверяющие Центры предлагают крупным компаниям и организациям с разветвленной филиальной структурой решения, которые позволяют подавать заявления на выпуск сертификатов электронной подписи, не покидая собственного рабочего места. Данные сервисы позволяют сотрудникам организации оперативно получать КЭПы и управлять жизненным циклом каждого конкретного сертификата. Один сотрудник в вашей компании берет на себя функции администратора такой системы и осуществляет:

· регистрацию пользователей для получения сертификата;

· отправку заявки на проверку в УЦ;

· создает запросы на выпуск электронных подписей и их аннулирование.

Подробнее о решении для работы с множеством электронных подписей в компании можно почитать по ссылке

Безопасность при использовании кэп

Статьей 10 Федерального закона от 06.04.2022 №63-ФЗ «Об электронной подписи (далее — Федеральный закон №63-ФЗ) установлена обязанность участников электронного взаимодействия обеспечивать конфиденциальность ключей электронных подписей.

При использовании электронной подписи стоит помнить, что токен в ваших руках — не просто флешка, а важный инструмент с помощью которого недоброжелатели могут вывести деньги со счета организации или даже переоформить ее на себя.

Чтобы не стать участником аферы, не передавайте свой ключ электронной подписи третьим лицам. Примером такой ситуации является случай, когда генеральный директор приобретает УКЭП и передает его бухгалтеру для сдачи отчетности, а бухгалтер выводит средства с расчетного счета компании.

В любом случае, чтобы обезопасить себя и свой бизнес, вам необходимо придерживаться трех простых правил:

Спасибо, за внимание! Если у вас остались вопросы, от отвечу в комментариях.

#Электронная_Подпись#ЭЦП#крипто

Виды эп

Существует два вида ЭП: простая и усиленная. Усиленная ЭП может быть неквалифицированной и квалифицированной. В Таблице 1 указаны особенности всех ЭП.

ПРОСТАЯ ЭП

Простую ЭП создают средствами информационной системы, в которой ее используют. Эта подпись подтверждает только то, что ее создал конкретный человек. Простая ЭП – это пароли, коды и прочие простые средства идентификации.

Простая ЭП приравнивается к собственноручной (следовательно, документ с такой подписью приобретает юридическую силу), если это регламентирует отдельный нормативный правовой акт или между участниками электронного документооборота (далее – ЭДО) заключено соглашение, где прописаны:

Простую ЭП применяют при банковских операциях, на портале государственных услуг, на сайте Пенсионного фонда России, для аутентификации в информационных системах, а также для заверения документов внутри корпоративного ЭДО.

УСИЛЕННАЯ НЕКВАЛИФИЦИРОВАННАЯ ЭП

Усиленную неквалифицированную ЭП создают с помощью специальных программных средств путем криптографического шифрования. Ее выдают в удостоверяющем центре (далее – УЦ). Чтобы ее получить, нужно представить:

• паспорт (для физического лица);
• учредительные документы (если обращается организация);
• доверенность (если заявление подает доверенное лицо).

После проверки документов заявитель получает сертификат ЭП и два ключа усиленной неквалифицированной ЭП: закрытый и открытый. В сертификате ЭП обязательно указано соответствие открытого ключа закрытому и владельцу усиленной неквалифицированной ЭП.

Закрытый ключ ЭП хранят на специальном ключевом носителе с ПИН-кодом или на компьютере в виде файла в зашифрованном формате. С помощью него владелец генерирует электронные подписи, которыми подписывает документы.

Открытый ключ ЭП доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом ЭП и позволяет всем получателям подписанного документа проверить подлинность ЭП.

Такой подписью можно подписывать документы, которые в бумажном виде заверяют печатью. Участники ЭДО должны обязательно заключить между собой соглашение о правилах использования усиленной неквалифицированной ЭП и взаимном признании ее юридической силы.

Юридические лица применяют усиленную неквалифицированную ЭП:

• внутри организации или при обмене электронными документами с проверенными контрагентами (если есть стороннее соглашение, подтверждающее юридическую силу такой подписи);
• во время участия в официальных торгах;
• при закупках товаров или работ.

УСИЛЕННАЯ КВАЛИФИЦИРОВАННАЯ ЭП

Усиленная квалифицированная ЭП – самый регламентированный государством вид подписи.

Усиленную квалифицированную ЭП выдают в аккредитованном УЦ. Чтобы ее получить, нужно заполнить заявку и предоставить:

• паспорт и СНИЛС (физическое лицо);
• учредительные документы (юридическое лицо);
• заверенную выписку из ЕГРЮЛ или ЕГРИП (для участия в торгах), выписка должна быть выдана не более 6 месяцев назад;
• доверенность (если заявление подает доверенное лицо).

Срок изготовления усиленной квалифицированной ЭП – два рабочих дня.

Так же, как и усиленная неквалифицированная ЭП, она создается с помощью криптографических алгоритмов и базируется на инфраструктуре ключей.

Код ключа – это длинная и сложная цепочка чисел и символов объемом до 256 бит. Запомнить или набрать электронный ключ невозможно, поэтому он сохраняется на цифровом носителе. Хранить ключи усиленной квалифицированной ЭП нужно на токенах с USB-разъемом или смарт-картах.

Усиленная квалифицированная ЭП обязательно имеет квалифицированный сертификат ключа проверки ЭП в бумажном или электронном виде. Сертификат подтверждает подлинность подписи, которую можно оспорить только судебным решением. Срок действия сертификата определяет аккредитованный УЦ, а его структура определена приказом ФСБ России № 795 от 27.12.2022.

Сертификат содержит информацию об уникальном номере, сроке действия и персональных данных владельца усиленной квалифицированной ЭП. Дополнительно сертификат может содержать:

• точное название средств ЭП;
• информацию об удостоверяющем центре, выдавшем сертификат;
• перечень ограничений в использовании ЭП;
• ключ для проверки.

Усиленная квалифицированная ЭП – это подпись, которая придает документам юридическую силу без дополнительных условий. Документы, подписанные такой подписью, признают равнозначными подписанным собственноручно и используют в документах, которые сопровождают любые правовые отношения.

Усиленную квалифицированную ЭП применяют:

• при сдаче отчетности в контролирующие органы;
• в работе с государственными информационными системами;
• для работы с интернет-ресурсами;
• при участии в качестве поставщика и заказчика в электронных торгах;
• при обмене формализованными документами с ФНС России;
• для ведения ЭДО внутри организации и с контрагентами;
• для оформления удаленных трудовых отношений.

ПРЕИМУЩЕСТВА УСИЛЕННОЙ ЭП

1. Сформированный с помощью программы код нельзя запомнить или заново воспроизвести, поэтому подделать усиленную ЭП практически невозможно.

2. Усиленная подпись позволяет точно определить момент создания документа.

3. После подписания документа усиленной ЭП в него нельзя внести никакие изменения (даже автору документа): любые попытки внести их отразятся при расшифровке.

4. Усиленная ЭП позволяет пересылать документы по электронным каналам без передачи носителя информации.

5. Заверенный усиленной ЭП документ передается адресату в течение нескольких секунд, а все участники ЭДО имеют равные возможности для работы вне зависимости от их местоположения.

6. Риск потери документов при электронном обмене намного ниже, чем при передаче бумажных документов.

Внутренний документооборот

Самый распространенный вариант внутреннего документооборота предприятия — это служебные записки. Больше нет смысла распечатывать документ и подписывать его собственноручно, если можно подписать его цифровой подписью и отправить дальше по цепочке.

Электронная подпись здесь экономит не только время, но и деньги — снижается расход бумаги и тонера принтера. Конечно, себестоимость одного распечатанного листа бумаги может и не сильно высока, но за год можно сэкономить вполне приличную сумму, и это уже не говоря о времени, которое сегодня стоит дорого.

Как правило, на предприятии используются сетевые принтеры. Сетевой принтер может быть расположен в другом кабинете или вообще на другом этаже. Сотруднику, распечатавшему служебную записку, нужно выйти из своего кабинета, добраться до принтера и найти среди остальных документов свою записку.

Второй пример — это процесс согласования договора. Представим, что сотрудник Иванов подготавливает договор и отправляет его на согласование руководителю. Принцип такой же, как и со служебной запиской — зачем тратить время на печать говора, если можно подписать его электронной подписью?

В больших корпоративных сетях, где у руководителя и даже у рядового сотрудника Иванова могут быть недоброжелатели электронная подпись — это надежный способ убедиться в авторстве документа и его неизменности (что никто без ведома Иванова или его руководителя не внес в него какие-то изменения).

Вы можете возразить, мол есть права доступа и видно, кто последний раз редактировал документ. Зачем нужна электронная подпись? Все как бы правильно, если бы не одно но. В любой системе есть пользователь с максимальными правами — администратор, который может не только изменить сам документ, но и его атрибуты (в том числе время/дату изменения, автора последнего изменения и т.д.).

Где получить квалифицированную электронную подпись?

Издавать квалифицированные ключи электронной подписи имеют право только специальные организации — аккредитованные удостоверяющие центры, деятельность которых регулируется Минкомсвязи и ФСБ России. Выбирая удостоверяющий центр, прежде всего убедитесь, что он имеет аккредитацию Минкомсвязи, лицензии ФСБ и желательно ФСТЭК.

Для того, что бы Удостоверяющий Центр начал функционировать, ему необходимо приобрести специализированное дорогостоящее оборудование и иметь в штате высококвалифицированных сотрудников с образованием в области информационной безопасности и опытом работы в данной сфере.

Беря в расчет что в условиях самоизоляции каждый выход на улицу может обернуться штрафами, то лучше заказать доставку ЭП себе домой или в офис, часть Удостоверяющих Центров оказывают данную услугу. Лично у нас, в КОРУС Консалтинг СНГ, доставка реализована через курьеров Спецсвязи, так как они уполномочены работать с секретными документами.

Генерирование открытого и секретного ключей

Итак, вы решили самостоятельно изготовить усиленную неквалифицированную электронную подпись и научиться подписывать ею свои документы. Начать необходимо, конечно, с генерирования пары ключей, открытого (public key) и секретного (private key).

Существует множество стандартов и алгоритмов асимметричного шифрования. Одной из библиотек, реализующих эти алгоритмы, является PGP (Pretty Good Privacy). Она была выпущена в 1991 году под проприетарной лицензией, поэтому имеются полностью совместимые с ней свободные библиотеки (например, OpenPGP).

Одной из таких свободных библиотек является выпущенная в 1999 году GNU Privacy Guard (GnuPG, или GPG). Утилита GPG традиционно входит в состав почти всех дистрибутивов Линукса; для работы из-под Windows необходимо установить, например, gpg4win. Ниже будет описана работа из-под Линукса.

Сначала сгенерируем собственно ключи, подав (из-под обычного юзера, не из-под root’а) команду

gpg --full-generate-key

В процессе генерирования вам будет предложено ответить на ряд вопросов:

После ввода вами всех запрошенных данных утилита GPG попросит вас указать пароль, необходимый для доступа к секретному ключу. Дело в том, что сгененрированный секретный ключ будет храниться на вашем компьютере, что небезопасно, поэтому GPG дополнительно защищает его паролем.

Сгенерированные ключи (во всяком случае, открытый, но можно также и секретный, на тот случай, если ваш компьютер внезапно сломается) необходимо экспортировать в текстовый формат:

gpg --export -a "Иван Иванович Иванов" > public.key
gpg --export-secret-key -a "Иван Иванович Иванов" > private.key

Понятно, что private.key вы должны хранить в секрете, а вот public.key вы можете открыто публиковать и рассылать всем желающим.

Как получить кэп?

1. Подайте заявление в удостоверяющий центр. УЦ — аккредитованные Минкомсвязи организации, которые имеют право выдавать электронные подписи. Компания «Сигнал-КОМ» является одной из них. Вы можете связаться с нами, оставив заявку на сайте или позвонив по номеру 8 (495) 259-40-21.
2. Вам отправят список необходимых документов для получения ЭЦП и образцы их заполнения. Также сотрудники УЦ пришлют счет на оплату.
3. • Для физических лиц:
   • Для юридических лиц и ИП:
     • Паспорт.
     • СНИЛС.
     • Свидетельство ЕГРЮЛ/ЕГРИП.
     • ИНН .Вы вносите на счет удостоверяющего центра требующуюся сумму и предоставляете копии документов (позже потребуются оригиналы):
4. Удостоверяющий центр проверяет полученные документы и подтверждает оплату. Обычно процедура занимает не более 3 дней. Если КЭП требуется срочно, за дополнительную плату можно сократить процесс до нескольких часов.
5. После проверки документов вас приглашают в офис, куда вы приносите оригиналы всех вышеперечисленных документов и заверенные нотариусом копии.
6. Вы получаете флешку-рутокен, которая содержит ключ, сертификат и программу для создания подписи.

Как получить электронную подпись?

Пакет документов для получения электронной подписи различается для юридических и физических лиц. Но общий порядок действий одинаков:

1. Определите, для чего нужна подпись: тип подписи отличается в зависимости от сферы применения. Основные сферы использования мы описали выше.
2. Заполните заявку на выпуск сертификата электронной подписи в удостоверяющем центре (УЦ).
3. Оплатите стоимость выбранного сертификата, подготовьте и отправьте специалисту УЦ нужный комплект документов.
4. Придите в УЦ, чтобы получить сертификат.

Получить электронную подпись

Квалифицированная электронная подпись

Усиленная электронная квалифицированная подпись является наиболее защищенным вариантов ЭП. Создается при помощи криптографических средств, разрешенных к использованию ФСБ. Дополнительную гарантию безопасности подписи дает сертификат, выданный аккредитованным удостоверяющим центром. Сертификат подтверждает подлинность подписи, которую можно оспорить только судебным решением.

Использование КЭП определяется действующим законодательством РФ. Применяют ее:

• При сотрудничестве с различными государственными структурами и внутренними органами;
• Для работы с Интернет-ресурсами;
• Для участия в торгах (как государственных, так и коммерческих);
• Для работы с внутренним электронным документооборотом;
• В удаленных трудовых отношениях.

Формируется КЭП только в удостоверяющем центре, в работу которого также входит создание ключей и сертификатов. Аккредитованный удостоверяющий центр определяет и сроки действия сертификатов. При подаче заявления на изготовления ЭЦП сотрудники УЦ создают ключи ЭП и ключи для проверки ЭП, а обо всех изменениях в работе КЭП и рисках при использовании компания уведомляет в письменном виде. Об условиях применения и обеспечении безопасности КЭП сотрудники УЦ рассказывают при получении готовой подписи.

Неквалифицированная электронная подпись

При помощи неквалифицированной электронной цифровой подписи индивидуальные предприниматели и юридические лица могут:

• Проводить внутри компании электронную документацию или отсылать электронные документы проверенным контрагентам. Это возможно при наличии стороннего соглашения, подтверждающего юридическую силу НЭП;
• Участвовать в официальных торгах;
• Участвовать в сфере закупок товаров, работ.

Дополнительно физические лица при помощи НЭП могут через личный кабинет на сайте налоговой службы отправлять документы.

НЭП более сложная, чем простая подпись: она хранится на электронном носителе и дает возможность не только определить лицо, заверившее документ. А усиленная неквалифицированная электронная подпись позволяет подтвердить отсутствие правок после его подписания.

Создается НЭП при помощи программы криптошифрования с обязательным использованием закрытого ключа ЭЦП. В удостоверяющей центре заявитель получает закрытый и открытый ключ. Первый записан на специальный ключевой носитель, защищенный пин-кодом. Нужен ключ для генерирования ЭЦП для заверения документа.

В сертификате электронной подписи обязательно указывается соответствие открытого ключа закрытому и владельцу НЭП.

Обмен документами с филиалами и партнерами

При обмене информацией с удаленными филиалами и партнерами компании обычно используется электронная почта. И здесь можно использовать электронную подпись, чтобы ваши партнеры и сотрудники удаленных филиалов могли быть уверены в том, что это сообщение отправили именно вы, а не кто-то, кто хочет вами казаться.

Да, пока нет практики заключения договоров полностью в электронном виде. Все равно еще необходима мокрая печать и подпись. Поэтому скрепить договор с партнером в полностью электронном виде не получится. Но зато вы можете безопасно обмениваться сообщениями с вашими партнерами и не сомневаться, что кто-то подделает ваше сообщение или сообщение партнера.

Что же касается обмена документами с удаленными филиалами, то здесь можно использоваться электронную подпись, как и при внутреннем документообороте. Сейчас документооборот между филиалами проходит в полуцифровой форме. А именно: документ сначала нужно распечатать, затем его должен подписать руководитель, после чего секретарь руководителя его сканирует и отправляет по электронной почте в удаленный филиал, где он опять распечатывается.

Электронная подпись позволяет сократить этот процесс: документ подписывается электронной подписью и отправляется в удаленный филиал, где получатель может проверить электронную подпись и убедиться, что документ был подписан именно руководителем.

Особенности получения кэп

Получить квалифицированную электронную подпись можно только в центрах, имеющих аккредитацию. Процесс аккредитации добровольный, а сертификат действует в течение 5 лет. Подавать заявку на проведение аккредитации могут организации, имеющие чистые активны в размере не менее 1 млн. руб., а также располагающие программным обеспечением для создания ЭП.

Квалифицированный сертификат ЭЦП — это гарантия подлинности ЭП, документ, который создается при помощи ПО УЦ. Сертификат содержит информацию об уникальном номере, сроке действия и персональных данных владельца. Дополнительно сертификат может содержать точное название средств электронной подписи, УЦ, выдавший сертификат, ограничения в использовании ЭП и ключ для его проверки.

Для подписания официальной бумаги КЭП необходимо иметь средства криптографической защиты информации, ключ ЭП и ключ для проверки ЭП, сертификат квалифицированной ЭП.

Отчетность в егаис фсрар

Особняком стоит взаимодействие с единой государственной автоматизированной информационной системой (ЕГАИС) ФСРАР. Система создана, чтобы контролировать алкогольный рынок: производство, оптовую и розничную продажу спиртосодержащих напитков.

Для подключения к системе и взаимодействия с ней организации или индивидуальному предпринимателю нужна специальная квалифицированная электронная подпись — КЭП для ЕГАИС ФСРАР. Это связано с требованиями безопасности и техническими особенностями ключевых носителей: криптографические операции происходят в самом носителе, а не на компьютере пользователя.

Получить электронную подпись

Подписание документа

Нет ничего проще, чем создать отсоединенную ЭЦП в текстовом (ASCII) формате:

gpg -ba имя_подписываемого_файла

Файл с подписью будет создан в той же папке, где находится подписываемый файл и будет иметь расширение asc. Если, например, вы подписали файл privet.doc, то файл подписи будет иметь имя privet.doc.asc. Можно, следуя традиции, переименовать его в privet.sig, хотя это непринципиально.

Если вам не хочется каждый раз заходить в терминал и вводить руками имя подписываемого файла с полным путем, можно написать простейшую графическую утилиту для подписания документов, например, такую:

#!/usr/bin/python
# -*- coding: utf-8 -*-
from Tkinter import *
from tkFileDialog import *
import os, sys, tkMessageBox

def die(event):
    sys.exit(0)

root = Tk()
w = root.winfo_screenwidth()//2 - 400
h = root.winfo_screenheight()//2 - 300
root.geometry("800x600 {} {}".format(w, h))
root.title("Подписать документ")

flName = askopenfilename(title="Что подписываем?")

if flName:
    os.system("gpg -ba "   flName)
    button = Button(text="ЭЦП создана")
    button.bind("<Button-1>", die)
    button.pack(expand=YES, anchor=CENTER)
else:
    die()

root.mainloop()

Принцип работы эцп

Механизм работы электронной подписи можно объяснить простыми словами: при подписании документа добавляется блок данных, который и называется ЭЦП. Процесс его получения происходит в два этапа. С помощью ПО и математической функции происходит вычисление отпечатка сообщения, обладающего некоторыми особенностями:

• По отпечатку сообщения невозможно восстановить тело документа;
• Отпечаток уникален для каждого сообщения и имеет фиксированную длину.

На втором этапе ПО и ключ шифрует отпечаток, расшифровать который можно будет только открытым личным ключом электронной подписи.

Как работает ЭЦП при получении электронного документа:

• При помощи ПО адресат расшифровывает подписанный документы для получения отпечатка исходного документа;
• При помощи ПО и функции хэширования вычисляется отпечаток полученного документа;
• Во время проверки сравниваются отпечатки полученного и исходного электронного документа.

Если отпечатки равны, то ЭЦП подтверждает целостность и верность документа. Если во время пересылки в тело документы были внесены изменения и нарушена его целостность, то это будет отображено.

Еще один важный момент в работе ЭЦП — отметка времени подписания документа. Она позволяет точно определить момент создания файла и не дает вносить изменения даже автору документа. При необходимости дополнить электронный документ после установления отметки, его требуется заново подписать с установлением нового времени. Отметка синхронизируется со Всемирным координированным временем.

Работа с государственными информационными системами

Многие ведомства и госорганы предоставляют услуги или принимают отчетность в электронном виде. Чтобы работать на этих порталах, также понадобится электронная подпись.

Большинство площадок принимают базовые квалифицированные подписи, например:

• ЕФРСБ, ЕФРСФДЮЛ, ЕАИС ФСТ, ЦБ РФ Финансовые рынки, Росимущество, Главгосэкспертиза, Мой Арбитр, Роскомнадзор, Госуслуги и другие.

Для некоторых нужен квалифицированный сертификат, который содержит в структуре специальный идентификатор, например:

• ФТС, порталы для раскрытия информации и некоторые коммерческие торговые площадки: B2B-Center, ЭТП ГПБ, Фабрикант и др.

Выберите сертификат для работы с конкретным ведомством с помощью Мастера подбора сертификатов.

Получить электронную подпись

Участие в электронных торгах

Больше половины закупок всех бюджетных организаций проводятся в формате электронных аукционов. До июля 2022 года для участия в госзакупках нужна неквалифицированная электронная подпись (НЭП) — это требование 44-ФЗ «О контрактной системе».

С помощью НЭП участники госзакупок аккредитуются на электронных торговых площадках и подписывают контракты в случае победы в закупке. Но специалисты рекомендуют сразу же оформить КЭП, необходимую для других действий, связанных с участием в госзакупках: например, она нужна, чтобы оформить банковскую гарантию через интернет, обратиться в ФАС или арбитраж.

Кроме того, КЭП подойдет для участия в электронных закупках компаний с госучастием и коммерческий компаний, которые тоже проводят часть своих закупок  на электронных площадках.

Чтобы приобрести подходящую электронную подпись для участия в торгах в качестве поставщика, уточните требования к виду подписи на тех площадках, на которых планируете участвовать в электронных торгах.

Планируете участвовать в электронных торгах впервые? СКБ Контур поможет разобраться в сложных процедурах государственных и коммерческих торгов с помощью услуги Сопровождение торгов. Вы пройдете полный цикл от аккредитации на площадке до подписания контракта вместе с нашими специалистами. Услуги сопровождения торгов предотвратят ошибки, которые допускают новички. Мы проанализируем документацию, правильно составим и подадим заявки. Для победы вам останется подготовить конкурентное предложение.

Получить электронную подпись

Функция хэширования и эцп

Электронная подпись предназначена для аутентификации документов, пересылаемых через Интернет. А система ЭЦП состоит из двух процессов: формирования ЭЦП и проверки ЭЦП. Во время формирования ПО использует закрытый ключ электронной цифровой подписи, а при проверке — открытый ключ отправителя.

Однако при формировании документа происходит еще один важный теневой процесс — хэширование. Хэш-функция необходима для сжатия исходного документа в короткое число, которое содержит весь текст документа и представляет собой фиксированное количество битов.

Нужно это для того, чтобы даже объемные документы без проблем проходили по электронной почте с ограниченным объемом для одного сообщения. Хэш-функция обладает рядом важных свойств:

Ее можно использовать для аргументов любого размера;

• Получаемое на выходе число имеет фиксированный размер;
• Скорость вычисления функции не превышает скорость выработки и проверки ЭЦП;
• Чувствительность к выбросам, вставкам, перестановкам и т.п. внутри документа;
• Однонаправленность;
• Уникальность — вероятность того, что хэш-функции двух разных документов совпадут очень мала.

Хэширование служит и для обнаружения изменений в теле документа, т.е. используется для образования криптографической контрольной суммы. Это позволяет контролировать целостность пересылаемого документа на стадии формирования и проверки ЭЦП. Шифрование при помощи односторонней хэш-функции применяется также для соблюдения правил информационной безопасности.

Хэширование имеет несколько алгоритмов:

• По ГОСТУ РФ P34.11—94 функция вычисляет хэш, объемом 32 байта;
• В 16 байтное число преобразует информацию алгоритм MD (Message Digest), используемый в большинстве стран мира;
• Функция SHA-1 (Secure Hash Algorithm) универсальна.

Применяется алгоритм SHA-1 (Secure Hash Algorithm) во всем мире, а также в большинстве сетевых протоколов защиты информации. Во время работы функции информация преобразуется в 160-битный код.

Электронная подпись: как создать и получить, как защитить и где использовать

Электронный документооборот

Все больше организаций, особенно с большим количеством контрагентов, переходят на электронный документооборот, оценив плюсы этой технологии:

• быстрый обмен любыми документами, в том числе бухгалтерской «первичкой»,
• сокращение издержек на обработку и передачу документов.

По договоренности между собой стороны могут использовать любой вид электронной подписи, но гарантом юридической силы электронных документов без подписания дополнительных соглашений между участниками документооборота является только КЭП. Кроме того, государство установило обязанность использовать квалифицированную электронную подпись для счетов-фактур.

Получить электронную подпись

Юридическая сила эцп

Для электронных документов есть несколько вариантов гарантов юридической силы, которые зависят от типа документа.

К формализованным документам относят отчетности, трудовые договоры, описи, счета-фактуры в электронном виде.

Юридическую силу они получают, если:

• Имеют формат, соответствующий ГОСТу;
• Передаются в соответствии с регламентом;
• Заверены квалифицированной электронной подписью.

Подписанный КЭП документ приравнивают к подписанному собственноручно, он имеет полную юридическую силу.

Неформализованные документы — это доверенности, официальные письма, договоры и иные документы, формат которых не регулируется государством. Юридическую силу им придают подписанием КЭП и НЭП.

Обязательное условие: сотрудники электронного документооборота заключают дополнительное соглашение о признании юридической силы видов ЭЦП. В нем указывают требования к виду подписи, формату документа, реквизитам и т.п. Наличие соглашения дает право использовать документы в любых инстанциях.

На государственном уровне законопроект «Об электронной подписи» действует на территории РФ с 06.04.2022 г.

Согласно закону, электронные документы всегда признаются тождественными бумажному носителю, кроме специально оговоренных случаев. Гражданский кодекс РФ в статье о бухгалтерском учете не имеет уточнением о том, каким типов ЭЦП должны быть подписаны бухгалтерские документы.

Оговаривается лишь (Закон 402-Ф3, ст. 21, ч.3, п4), что ЭЦП должна соответствовать действующему на момент подписи стандарту. Налоговый кодекс РФ признает лишь усиленную квалифицированную подпись. Исключение — физические лица, которые работают с услугами через личный кабинет. Они могут пользоваться НЭП.

Выводы

Из всего написанного ранее можно сделать вывод, что ЭП — очень полезное нововведение на предприятии, поскольку предприятия при использовании ЭП получат следующие преимущества:

1. Возможность защиты документов от несанкционированного чтения и изменения
2. Сокращение бумажного документооборота благодаря переводу части внутренних документов в электронный вид
3. Возможность определять юридический статус документа по ЭП (устанавливать авторство документа).

Вся описанная выше система сгодится только для коммерческих организаций, но ее нельзя использовать для государственных предприятий, где нужен сертифицированный криптопровайдер. Также описанную систему можно использовать между разными организациями для любых документов, если стороны договорились считать ключи и УЦ доверенными.

Стоит отметить, что настоящая версия CyberSafe не является полноценной корпоративной версией, поскольку на данный момент пока нет централизованной выдачи и распределения ключей. Поэтому в этой версии администратор шифрования может сам формировать ключи и сертификаты и записывать пользователям на токены (будут рассмотрены во второй части статьи). Полноценная корпоративная версия ожидается к середине 2022 года.

На этом заканчивается первая часть статьи. Во второй части мы поговорим как раз об использовании электронной подписи в государственных организациях и банках. Речь пойдет об использовании сертифицированного криптопровайдера и токенов. В принципе, все, о чем пойдет речь во второй части статьи, можно будет использовать и на коммерческих предприятиях, если есть на то необходимость.