Применение электронной подписи | ФНС России | 77 город Москва

Применение электронной подписи | ФНС России | 77 город Москва ЭЦП
На чтение 26 мин. Просмотров 4 Опубликовано
Содержание
  1. Основные изменения в области применения электронной подписи
  2. Что еще может потребоваться для работы с эцп
  3. Что делать, если произошло мошенничество с использованием электронной подписи, выданной на ваше имя?
  4. Техника: что такое эцп и ее виды
  5. сменился руководитель — что делать?
  6. Забрать готовую подпись
  7. Signmachinew32
  8. Vipnet pki client
  9. Архитектура решения
  10. Внешний документооборот
  11. Выпуск электронной подписи при оказании сервисных услуг в качестве дополнительной услуги, без надлежащего информирования заявителя («укэп в придачу»)
  12. Доверенная третья сторона
  13. Зачем электронная подпись в crm-системах и интранет-порталах?
  14. Зачем?
  15. Как выглядит усиленная подпись
  16. Как узнать, какая у вас подпись?
  17. Квалифицированная цифровая подпись (кэп)
  18. Когда и какую электронную подпись использовать
  19. Количество ключей = количество станций
  20. Крипто про
  21. Криптоарм
  22. Меры предосторожности
  23. Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)
  24. Неквалифицированная цифровая подпись (нэп)
  25. Помогла ли вам эта статья?
  26. Применение электронной подписи
  27. Пример применения в реальном проекте для cedis (энергосистема черногории)
  28. Простая цифровая подпись
  29. Противодействие мошенничеству в области применения электронной подписи
  30. Термины
  31. Усиленная цифровая подпись
  32. Утверждение внутренних документов
  33. как отозвать подпись?
  34. как проверить сертификат эцп?
  35. Выводы

Основные изменения в области применения электронной подписи

К началу страницы

Федеральным законом от 27.12.2022 № 476 – ФЗ вносятся значимые изменения в области регулирования применения электронной подписи.

В целях обеспечения подготовки всех информационных систем для выполнения нового порядка, положения закона вступают в силу поэтапно:

  • С 01 июля 2021 года вступает в силу положение Федерального закона от 27.12.2022 № 476-ФЗ, в соответствии с которым, удостоверяющие центры, не прошедшие аккредитацию в соответствии с новыми требованиями, не вправе выдавать квалифицированные электронные подписи.
  • Квалифицированные электронные подписи, выданные удостоверяющими центрами, не прошедшими аккредитацию в соответствии с новыми требованиями, действуют до истечения срока, на который они выданы, но не более срока действия аккредитации выдавших их удостоверяющих центров либо не более чем до 1 января 2022 года.

Что еще может потребоваться для работы с эцп

Средство криптографической защиты информации (СКЗИ) —
программа, отвечающая за работу с подписью и шифрование документов. Стоимость от 1 200 рублей.

Носитель — защищенное устройство в виде USB‑флешки, на которое устанавливается
сертификат электронной подписи. Записать КЭП на обычную флешку нельзя. Стоимость от 1 400 рублей.

Что делать, если произошло мошенничество с использованием электронной подписи, выданной на ваше имя?

Незамедлительно обратитесь в удостоверяющий центр, который выдал этот сертификат электронной подписи на ваше имя, и напишите заявление на его аннулирование! Это не позволит злоумышленникам в дальнейшем совершать мошеннические действия с использованием этого сертификата.

Если злоумышленники за вас сдали отчетность, как можно скорее подайте в налоговую инспекцию заявление в произвольной форме о недостоверности сведений. Это можно сделать как при непосредственном посещении налоговой инспекции, так и по почте или через интернет.

Если на ваше имя зарегистрировано юридическое лицо или ИП, следует незамедлительно внести в реестр ЕГРЮЛ или реестр ЕГРИП информацию о недостоверности данных о вас, как о руководителе. Для этого в налоговую инспекцию следует направить заявление о недостоверности сведений о юридическом лице или ИП по форме № Р34001 (рекомендуем направить такое заявление непосредственно в инспекцию по месту регистрации юридического лица или ИП). Это можно сделать как при непосредственном посещении инспекции, так и по почте или через интернет.

Если вы потеряли пароль доступа к закрытому ключу (PIN-код) или сам ключевой носитель , или он сломан, то необходимо приостановить бизнес-процессы электронного документооборота до перевыпуска электронной подписи.

Если действия посторонних лиц с вашей электронной подписью причинили ущерб, от вашего имени совершена незаконная сделка в электронной форме, подписаны значимые документы в электронной форме, то необходимо обратиться с заявлением в полицию или прокуратуру и зафиксировать факт такого события.

Техника: что такое эцп и ее виды

image

Различают три вида электронной подписи:

  1. Простая электронная цифровая подпись (ПЭП)
  2. Усиленная неквалифицированная цифровая подпись (НЭП)
  3. Усиленная квалифицированная цифровая подпись (КЭП)


В отличие от простой, усиленная подпись защищает ее автора от модификации документа после формирования подписи.

Чтобы сформировать любую цифровую подпись документа, нужно три вещи:

  1. Сам документ
  2. Публичный ключ
  3. Секретный ключ

сменился руководитель — что делать?

В этом случае потребуется выпустить новый ключ электронной подписи, а старую — аннулировать, обратившись
к своему менеджеру в удостоверяющем центре.

Забрать готовую подпись

Если вы подавали заявку дистанционно, в назначенный день придите в УЦ и предоставьте оригиналы документов,
чтобы удостоверить личность. Менеджер сверит с приложенными сканами и, если все верно, выпустит
квалифицированный сертификат электронной подписи и выдаст вам полностью готовый к использованию носитель.

Получить квалифицированную электронную подпись можно в офисе компании «Тензор» или наших партнеров в регионе. Подпись сделают в течение часа. А можно отправить онлайн‑заявку. Менеджер проверит заявку, после чего пригласит вас в офис для получения ЭП.

Вы можете заказать доставку электронной подписи на дом или в офис. Наш специалист, прошедший обучение и сертифицированный по требованиям ФСБ, привезет ЭЦП, не допустив компрометации.

Signmachinew32

SignMachineW32 — единственное бесплатное решение для электронной подписи в нашем списке, однако для его использования все-таки необходимо приобрести сертификат криптопровайдера КриптоПро CSP или VipNet CSP. Без этого получить ЭЦП будет либо невозможно, либо она не будет иметь юридической силы.

Второй провайдер предоставляет свои услуги бесплатно после регистрации, а первый требует приобретения лицензии или наличия пробного периода, предоставляемого на полтора месяца. Конечно, сами создатели КриптоПро и VipNet предлагают пользователям свои приложения для ЭЦП, но они платные.

В SignMachineW32 формируется подпись в форматах CADES-BES, CADES-T и CADES-T. При этом к ней добавляется временной штамп (опционально) на весь документ или только на подпись. Есть пара примечательных дополнительных возможностей: проверка подлинности ЭЦП и указание адреса сервера штампа времени. На официальном сайте разработчика размещено подробное русскоязычное руководство по всем функциям программы.

Vipnet pki client

ViPNet PKI Client — это программный комплекс для работы с электронными цифровыми подписями, который поддерживает все актуальные стандарты и провайдеров ЭЦП, шифрование документов и файлов, а также авторизацию пользователей для доступа к веб-сервисам и возможность формирования TLS-соединения.

Включает в себя следующие компоненты: «File Unit» (файлы), «Web Unit» (веб-документы), «CRL Unit» (сертификаты формата CRL), «Certificate Unit» (менеджер сертификатов), «TLS Unit» (организация TLS-соединений) и «ViPNet CSP» (менеджер криптографических процедур).

ViPNet PKI Client успешно интегрируется в «Проводник» Windows. Так, пользователю достаточно кликнуть по нужному файлу правым кликом мыши и открыть контекстное меню, чтобы подписать и зашифровать объект. Само приложение нужно открывать только для его настройки.

На сегодняшний день поддерживаются следующие стандарты: PKCS#11, XMLDSig и CAdES-BES, а также КС1, КС2, КС3 для ФСБ России. В основной версии программы присутствует русскоязычный интерфейс. Есть демо-версия для ознакомления с предлагаемыми функциями.

Архитектура решения

Есть несколько способов решения для работы с ЭЦП. Давайте рассмотрим их.

Внешний документооборот

Для внешнего документооборота нужно применять квалифицированную электронную подпись. Тогда документы будут иметь полную юридическую силу. Вы сможете обмениваться ими с клиентами, партнерами и государственными структурами.

С точки зрения интерфейсов, всё выглядит похожим на внутренний документооборот — отдельная форма для утверждения или автоматической подтверждение в рамках бизнес-процесса.

Важный момент — нужно больше внимания уделить безопасности. Так как речь идет о документах, имеющих полную юридическую силу. Безопасность обеспечивается ограничением доступа, логированием и отдельными оповещениями.

Простой пример использования подписи в CRM — подписать в сделке договор. После подписи можно отправить клиенту. Нет необходимости отправлять документы почтой, ждать несколько дней, а то и недель (если клиент в другом городе), а потом столько же ждать возврата. Документ утвержден электронной подписью и считается юридически значимым.

Остался главный технический вопрос – а как включить ЭЦП в логику работы CRM или внутреннего портала?

Выпуск электронной подписи при оказании сервисных услуг в качестве дополнительной услуги, без надлежащего информирования заявителя («укэп в придачу»)

Современный рынок диктует условия – сервис должен быть простым, понятным и проактивным. Организации, которые оказывают предпринимателям различные услуги, будь то регистрация ККТ или помощь в оформлении расчетного счета, в борьбе за клиента стараются сделать обслуживание максимально комфортным.

При этом в погоне за простотой и удобством часто опускаются важные детали. Например, могут не обратить внимание клиента на то, что при регистрации в качестве индивидуального предпринимателя необходимо подписать от его имени электронные документы. То есть сертификат электронной подписи выпускается, но клиент даже не знает об этом.

В таких случаях заявление на выпуск УКЭП, как и согласие на обработку персональных данных присутствуют в общей массе документов, которые подписываются при заключении договора на получение услуг. Либо такого рода дополнительная услуга прописана в договоре, но при этом не привлекает внимание, так как документ объемный, формулировки – нечеткие, а представитель обслуживающей организации не дает никаких дополнительных устных пояснений.

Дальше события могут развиваться в зависимости от добросовестности организации. УКЭП могут выдать вам на носителе с пакетом документов об оказании услуги, а могут хранить ее в «облачном» хранилище организации. УКЭП могут аннулировать сразу после оказания услуги, а могут продолжить использовать ее для совершения юридически значимых действий от вашего имени.

Как избежать получения «УКЭП в придачу»:

  • прочитайте внимательно договор и другие документы в рамках сделки;
  • обратите внимание, есть ли там слова «электронная подпись»;
  • обратите внимание на условия выдачи УКЭП, как она хранится и аннулируется, кто обеспечивает ее сохранность;
  • спросите у представителя обслуживающей организации: можно ли отказаться от выпуска УКЭП и для чего это вообще требуется. 

Далее действуйте по ситуации, оценив риски возможной компрометации электронной подписи в рамках предложенных условий.

Проверить, не выпущена ли на ваше имя УКЭП, можно в личном кабинете на Едином портале государственных и муниципальных услуг (Госуслуги). В разделе «Настройки и безопасность» необходимо выбрать «Электронная подпись». Здесь содержатся данные о выдавшем на ваше имя квалифицированную электронную подпись удостоверяющем центре, ее серийном номере и сроке действия.

Если вам стало известно о выдаче УКЭП на ваше имя без вашего ведома или о факте компрометации, то НЕМЕДЛЕННО аннулируйте ее, обратившись в удостоверяющий центр, в котором данная УКЭП выпущена. 

Если есть подозрение о мошенничестве с вашей электронной подписью, то обращайтесь в полицию. Если в полиции откажутся возбуждать дело, то можно обратиться в прокуратуру и Минцифры.

Доверенная третья сторона

К началу страницы

Доверенная третья сторона (ДТС) — юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами.

Функции и обязанности ДТС, а также требования к средствам ДТС, определены Федеральным законом от 27.12.2022 №476-ФЗ.

Юридические лица, претендующие на выполнение функций ДТС обязаны пройти процедуру аккредитации в соответствии с Федеральным законом от 27.12.2022 № 476-ФЗ в порядке, установленном Минцифры России.

К основным функциям ДТС также относится деятельность по признанию электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, которые соответствуют признакам усиленной электронной подписи.

Зачем электронная подпись в crm-системах и интранет-порталах?

В CRM есть 2 сценария использования цифровой подписи:

  1. Для внутренней переписки и доверия “нажатию кнопки”. Часто в интерфейсе CRM-систем и интранет-порталах согласуются внутренние документы, а также скидки, договоры и дилерские соглашения.
  2. Для отправки официальных ответов клиентам и государственным органам.

Разные сценарии – разные требования. В первом случае подписываются:

Второй случай серьезнее – не обойтись без квалифицированной электронной подписи.

Зачем?


Иногда документы нужно подписать и отправить, а руководителя нет на месте. Вполне можно потом забыть или нарушить сроки. Документы скапливаются целыми горами. Руководитель сидит и тратит много времени на подписание бумаг.

Да и вообще “бумаги” в 21 веке – неэкологичный анахронизм. Лучше вообще без них. А подписывать надо.

В чем суть электронной подписи? Как и в “мире оффлайна”, когда человек согласен, он ставит подпись. Только бумага и подпись физически не существуют.

Зачем нужна подпись? Коротко — для аутентификации (подтверждения) документа. То есть, чтобы убедиться, что подписант выразил согласие с положениями именно этой версии документа.

Как выглядит усиленная подпись

Технически, подпись — это отдельный файл (помните, в случае простой подписи это была некая строка?). То есть, чтобы передать подписанный документ другой стороне, нужно передать исходник и файл подписи. Однако, некоторые форматы документов позволяют встраивать цифровые подписи.

Например, PDF и почти все форматы Microsoft Office это поддерживают. А сами программные пакеты имеют функцию создания и проверки таких подписей. Таким образом, для технически неподготовленных пользователей процесс подписания выглядит как нажатие нескольких кнопок в Word, Excel или Adobe Reader.

Как узнать, какая у вас подпись?

Если у вас есть только физический носитель электронной подписи, то это означает, что перед вами неквалифицированная
или квалифицированная ЭП.

Чтобы узнать, какая именно, позвоните в техподдержку удостоверяющего центра. Если вы получали подпись
в УЦ «Тензор», сообщите специалисту техподдержки ваш ИНН и он подскажет тип ЭП.

Квалифицированная цифровая подпись (кэп)

Такая подпись имеет юридическую силу и признается государством. Например, можно отправлять документы в налоговую. Никаких дополнительных соглашений с участниками документооборота заключать не нужно — таким подписям все доверяют «по-умолчанию».

Секретный ключ для такой подписи передается пользователю на сертифицированном ФСБ защищенном носителе — USB-токене («флешка»), смарт-карте и др.

Для работы с носителем используется специальное программное обеспечение. Чаще всего, это ПО интегрируется с ОС таким образом, чтобы Microsoft Office, Adobe Reader и другие программные пакеты могли использовать носитель при создании подписей.

То есть, для пользователей процесс подписания документов почти не усложняется (нужно только «флешку» не забыть подключить).

С помощью такой подписи можно взаимодействовать с государственными системами, участвовать в торгах, работать с клиентами и партнерами.

Когда и какую электронную подпись использовать

Простая электронная подпись подойдет любым физическим лицам, которые пользуются интернет‑сервисами
для покупок товаров и услуг, управления средствами в банке. Может использоваться для оплаты штрафов ГИБДД и
получения некоторых услуг на портале «Госуслуги».

Неквалифицированная электронная подпись нужна сотрудникам компаний для обмена документами с
партнерами и внутреннего документооборота (для подписания приказов, инструкций, заявлений, справок). Используется
для работы в личном кабинете налогоплательщика.

Квалифицированная электронная подпись требуется всем, кто сдает отчетность в ФСС, ФНС, ПФР и другие
государственные органы, подписывает договоры с контрагентами, участвует в госзакупках и других видах торгов.
С помощью квалифицированной ЭП можно зарегистрировать онлайн‑кассу в ФНС, подать в суд или заключить трудовой
договор с удаленным сотрудником без личной встречи.

Квалифицированная электронная подпись универсальна, она подходит для работы на большинстве площадок.
Однако некоторые торговые площадки предъявляют дополнительные требования к электронным подписям. Например, чтобы
в сертификате подписи был объектный идентификатор (OID), содержащий дополнительную информацию о владельце ЭП
и его полномочиях. В «Тензоре» выдадут ЭП для любой торговой площадки.

Каждый человек может пользоваться одной или несколькими электронными подписями. Каких‑либо ограничений по
количеству и разнообразию используемых ЭП нет.

Количество ключей = количество станций


Предположим у нас у каждого сотрудника, который имеет права подписывать документы, есть ключ для ЭЦП.

Как это работает:

  1. Разрабатываем приложение для рабочих станций, которое будет работать с криптопровайдером (самое популярное — криптоПРО)
  2. Сотрудник формирует и подписывает запрос на своей рабочей станции
  3. Запрос отправляется на сервер.
  4. Полученный ответ конвертируется в PDF-файл или любой другой
  5. PDF-файл загружается в CRM

В данном случае мы имеем повышенную безопасность, т.к. подписывать документы могут только доверенные сотрудники, и мы знаем кто конкретно подписал конкретный запрос.

Крипто про

Крипто Про считается самым популярным и надежным средством защиты информации в нашей стране. Представляет собой приложение для удобного оформления и использования электронной подписи, а также является лидирующим криптопровайдером, использующим в своей системе одновременно российские и зарубежные алгоритмы криптографии.

Как и в случае с VipNet PKI Client, Крипто Про является комплексом компонентов, однако они могут скачиваться и устанавливаться отдельно по мере необходимости. Например, если пользователь планирует применять подпись в PDF-файлах, стоит загрузить Крипто Про PDF.

Поддерживаются следующие стандарты криптографических подписей: Microsoft CryptoAPI, PKCS#11, Qt SSL, OpenSSL engine и Java SCP. Рассматриваемый комплекс проверен и активно используется в Microsoft Office, Microsoft Outlook, любых продуктах от Adobe, браузерах Яндекс, Спутник, Explorer и Edge, а также в веб-серверах и средствах удаленных рабочих столов, подписи приложений от Microsoft.

Криптоарм

КриптоАРМ — одна из самых популярных платформ для ЭЦП в России, которая отлично подходит для подписания котировочных заявок, нотариального заверения документов, представления алкогольных деклараций, подписания межевых актов, договоров, контрактов и других документов.

Это лишь основные сферы применения, изложенные на сайте разработчика, на деле их куда больше. Помимо добавления электронной подписи в документ, аудиофайл, видеозапись или другой файл, КриптоАРМ предоставляет возможность шифровки. Обработке подвергаются любые текстовые файлы, а также форматы PDF, JPEG, JPEG и PNG.

Среди дополнительных возможностей КриптоАРМ стоит выделить управление рабочими местами в Инфраструктуре PKI. Модуль администрирования средств криптографической защиты информации позволяет взаимодействовать со стандартами Microsoft CryptoAPI 2.0 и PKCS#11.

Рассматриваемый софт разделен на три версии: Старт, Плюс и Терминал. Первая распространяется на бесплатной основе и предназначена для ознакомления с системой, однако она не поддерживает официальные стандарты ЭЦП. Присутствует русскоязычный интерфейс.

Меры предосторожности

Не передавайте ключевой носитель третьим лицам, даже тем, кому вы доверяете!

Если вы руководитель организации и ваш сотрудник должен подписывать документы с помощью электронной подписи, обеспечьте его собственным ключевым носителем с закрытым ключом электронной подписи и сертификатом на его имя, а также выдайте доверенность на подписание документов.

Обеспечьте надежное хранение носителя с электронной подписью (ключевой носитель), которое исключает доступ к нему посторонних лиц (например, храните его в сейфе). Не оставляйте ключевой носитель подключенным к компьютеру без присмотра.

При потере или краже ключевого носителя незамедлительно обратитесь с заявлением на отзыв сертификата в удостоверяющий центр, который его выдал.

Замените «заводской» пароль (PIN-код)ключевого носителя на свой собственный при получении электронной подписи, как вы это делаете с банковской картой. Обеспечьте надежное хранение пароля, исключите доступ к паролю любых лиц.

Внимательно читайте документы при оформлении различных сервисов в организациях, оказывающих услуги для бизнеса и банках. Если вы видите в тексте соглашения словосочетание “электронная подпись”, уделите этому разделу особое внимание. Возможно, на вас оформят сертификат электронной подписи, закрытый ключ от которой будет храниться в недоступном для вас месте.

Не соглашайтесь на предложения выдать электронную подпись без личной явки при первичном ее получении. Во-первых, это незаконно. Во-вторых, закрытый ключ могут скопировать, и так же, как в предыдущем сценарии, использовать его без вашего ведома для формирования электронной подписи на электронном документе.

Регулярно проверяйте информацию о выпуске на ваше имя сертификатов электронных подписей на Едином портале государственных и муниципальных услуг (Госуслуги). Информация о выпущенных на ваше имя электронных подписях и удостоверяющих центрах, которые их выпустили, размещены на сайте «Госуслуги» в вашем личном кабинете в разделе «Настройки и безопасность» => «Электронная подпись».

Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)

К началу страницы

Экспортируемые и неэкспортируемые закрытые ключи

Свойство экспортируемости или неэкспортируемости закрытого ключа присваивается на этапе формирования закрытого ключа и записи его на ключевой носитель. Указанное свойство может быть реализовано в средствах электронной подписи и управляться его настройками, которые следует установить до формирования закрытого ключа.

Для экспортируемых закрытых ключей доступно их копирование, что несет риски нарушения конфиденциальности закрытого ключа.

Для копирования закрытого ключа нарушителю потребуется получить физический доступ к ключевому носителю и узнать пароль (PIN-код).

Возможность копирования закрытого ключа создаёт риск возникновения неучтенных копий, усложняет контроль за его хранением, использованием и уничтожением. Также указанное усложняет определение возможного нарушителя, особенно когда нарушитель начнет использовать копию не сразу.

Неэкспортируемые закрытые ключи обладают большей защищенностью, так как записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи стандартных СКЗИ. Получение доступа к такому ключу требует применения специальных средств и техники.

Извлекаемые и неизвлекаемые закрытые ключи

Свойство неизвлекаемости закрытого ключа достигается способом его создания и хранения, и напрямую зависит от вида ключевого носителя. Для обеспечения свойства неизвлекаемости закрытого ключа используются только активные ключевые носители, содержащие в себе аппаратно реализованные функции СКЗИ, при использовании которых создается и используется неизвлекаемый закрытый ключ.

Для некоторых ключевых носителей существует возможность записи закрытого ключа на активные ключевые носители сторонними СКЗИ (установленными локально на компьютерное устройство или непосредственно в информационной системе удостоверяющего центра) и, в таком случае, такой носитель применяется как пассивный ключевой носитель, который может обеспечить только свойство неэкспортируемости закрытого ключа.

К извлекаемым закрытым ключам относятся все виды закрытых ключей, за исключением неизвлекаемых, включая экспортируемые и неэкспортируемые.

Пассивный ключевой носитель

Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.

Для доступа к защищенному содержимому данного ключевого носителя необходимо ввести пароль (PIN-код). Закрытый ключ хранится в ключевом контейнере на ключевом носителе. Пароль (PIN-код), которым защищён от доступа закрытый ключ на таком носителе, при получении следует изменить, обеспечить его надежное хранение и исключить доступ к паролю любых лиц.

При подписании электронного документа с использованием пассивного носителя и средства электронной подписи вычисляется уникальный набор символов — хэш документа, однозначно связанных с содержанием электронного документа. Далее закрытый ключ копируется в память компьютерного устройства, где с его помощью средство электронной подписи выполняет криптографические операции формирования электронной подписи – подписание электронного документа. По завершении процедуры подписания закрытый ключ удаляется из памяти компьютерного устройства. Процедура подписания электронного документа происходит незаметно для пользователя в течение нескольких секунд.

На ключевом носителе установлено ограничение попыток неправильного ввода пароля (PIN-кода) и при превышении такого лимита ключевой носитель блокируется. Несмотря на это пассивный ключевой носитель обладает средним уровнем защищенности от атак злоумышленников – в момент подписания документа образуется короткий промежуток времени, когда закрытый ключ находится в памяти компьютерного устройства, где существует возможность его перехвата злоумышленником с высоким уровнем технических знаний и/или с использованием специальных технических средств. Для исключения такого вида атак существует активный ключевой носитель.

Активный ключевой носитель (криптографический ключевой носитель)

Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.

Активный ключевой носитель содержит в себе функции СКЗИ. Закрытый ключ на таком ключевом носителе хранится в защищенном ключевом контейнере и в специальном внутреннем формате.

У такого носителя существует ряд технических преимуществ перед пассивным ключевым носителем:

  1. создание закрытого ключа происходит на самом носителе с использованием аппаратных криптографических функций ключевого носителя;
  2. при подписании электронного документа закрытый ключ не копируется в память или реестр компьютерного устройства – подписание электронного документа происходит на самом ключевом носителе;
  3. закрытый ключ ни в какой момент времени не покидает ключевой носитель.

Вычисление значения хэш документа может происходить на компьютерном устройстве, а итоговое формирование электронной подписи только на самом активном ключевом носителе.

Компрометация закрытого ключа на таком носителе возможна только в случае его хищения вместе с паролем (PIN-кодом).

Активный ключевой носитель (криптографический ключевой носитель) обладает высоким уровнем защищенности от атак злоумышленников. Риск атаки «подмена хэша» злоумышленником присутствует, но такие случаи крайне редки.

Технические меры предосторожности

При выборе вида ключевого носителя для хранения закрытого ключа электронной подписи следует учитывать, что электронная подпись считается равнозначной собственноручной подписи в случаях, установленных Федеральным законом от 06.04.2022 № 63-ФЗ «Об электронной подписи». Рекомендуется использовать ключевые носители с наивысшей степенью защиты закрытого ключа.

Рекомендуется сменить пароль доступа к ключевому носителю (PIN-код), установленный его изготовителем, на уникальный – известный только владельцу электронной подписи. Рекомендуемая длина пароля – не менее 6 символов с использованием специальных символов, прописных и строчных латинских букв. Рекомендуется периодическая смена пароля.

Не рекомендуется при выборе пароля основываться на типовых шаблонах и идущих подряд на клавиатуре или алфавите символов (qwerty, abcde, 12345 и другие) на каком-либо идентификаторе, паспортных данных, кличек питомцев и подобных ассоциаций.

Не рекомендуется активировать функцию «запомнить пароль» в средствах электронной подписи и настройках программного обеспечения, которое необходимо для использования ключевого носителя.

Организационные меры предосторожности

Не рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:

  • передавать ключевой носитель третьим лицам;
  • записывать пароль доступа к ключевому носителю (PIN-код) на бумаге или непосредственно на ключевом носителе, запоминать пароли в реестровой памяти систем электронных устройств и хранить парольную информацию в общедоступных местах;
  • оставлять ключевой носитель без присмотра в доступных или общественных местах;
  • оставлять без присмотра ключевой носитель в компьютерном устройстве, на котором осуществляется подписание электронных документов (usb-порты в системном блоке компьютера, ноутбука, планшета или других электронных устройствах).

Рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:

  • при необходимости, обеспечивать сотрудников организации, не имеющих права действовать без доверенности, их персональными закрытыми ключами и сертификатами электронной подписи, с наделением их правом подписи распорядительными документами организации путем оформления доверенности;
  • хранить ключевой носитель в недоступном для третьих лиц месте;

при потере или краже ключевого носителя незамедлительно обратиться в удостоверяющий центр, выпустивший сертификат электронной подписи, и прекратить действие такого сертификата электронной подписи, и, не дожидаясь завершения процедуры аннулирования, уведомить контрагентов о том, что утраченный сертификат с соответствующим серийным номером, считается уже недействительным.

Неквалифицированная цифровая подпись (нэп)

Такая подпись имеет юридическую силу (с точки зрения суда), если стороны заключили соответствующее соглашение. Такое соглашение нельзя заключить с гос. структурами.

Пользователи получают сертификат с публичным и секретным ключом в том виде и таким способом, которому стороны доверяют. Например, в виде файла, присланного по электронной почте.

Для создания подписи может использоваться любое программное обеспечение, которому стороны доверяют. Хоть утилиты OpenSSL, хоть КриптоАРМ, хоть встроенные средства подписи Microsoft Office или Adobe Reader.

Помогла ли вам эта статья?

ДАНЕТ

Применение электронной подписи

К началу страницы

При подписании электронного документа формируется уникальный набор символов (hash), однозначно привязанный к содержанию электронного документа и созданный средством электронной подписи путем обработки этого электронного документа с помощью различных криптографических алгоритмов. Такой уникальный набор символов неразрывно связан с электронным документом: в случае изменения электронного документа, даже незначительного, например, добавления в текст пробела, электронный документ уже не будет соответствовать этому уникальному набору символов.

Средство электронной подписи шифрует уникальный набор символов (hash), используя ваш закрытый ключ. Зашифрованный уникальный набор символов и есть электронная подпись на электронном документе. Она может быть, как встроенной в электронный документ, так и отсоединенной от него и преобразованной в отдельный файл.

При направлении адресату подписанного электронного документа (документ подпись) необходимо направлять еще сертификат ключа проверки электронной подписи, полученный вами в удостоверяющем центре, чтобы обеспечить адресату возможность проверки авторства и неизменности документа.

Пример применения в реальном проекте для cedis (энергосистема черногории)

Бизнес задача: сотрудники должны подписывать документы и отправлять их клиентам.

Какие ресурсы? Один сервер, один ключ ЭЦП, CRM.

Простая цифровая подпись


Коротко о работе ПЭП:

Противодействие мошенничеству в области применения электронной подписи

К началу страницы

Вы получили квалифицированный сертификат электронной подписи?

Будьте внимательны и осторожны!

Электронная подпись — это аналог собственноручной подписи, ключ к вашему имуществу, деньгам и репутации!

Получение квалифицированного сертификата электронной подписи по значимости даже важнее получения паспорта! Когда вы используете паспорт для совершения юридически значимых действий, вас идентифицируют, сравнивая ваше лицо с фотографией в паспорте. Электронная подпись (авторство электронного документа) обычно проверяется дистанционно, то есть предполагается, что никто кроме вас не может поставить вашу электронную подпись на электронный документ.

Поэтому если кто-то использует вашу электронную подпись вместо вас, юридически это расценят как ваши действия. В этом разделе описаны различные жизненные ситуации, которые могут привести к мошенничеству с УКЭП. ФНС России обращает внимание, что это не список потенциальных преступлений, а перечень ситуаций, когда стоит быть особенно внимательным.

Термины

К началу страницы

Электронная подпись — это аналог собственноручной подписи для подписания электронных документов.

Сертификат ключа проверки электронной подписи (сертификат электронной подписи, квалифицированный сертификат электронной подписи) – это электронный и бумажный документ, который подтверждает связь электронной подписи с ее владельцем (человеком или организацией).

Открытый ключ (ключ проверки электронной подписи) – это уникальный набор символов (байт), сформированный средством электронной подписи и однозначно привязанный к закрытому (секретному) ключу. Открытый ключ необходим для того, чтобы любой желающий мог проверить электронную подпись на электронном документе. Он передается получателю электронного документа в составе файла электронной подписи и может быть известен всем.

Закрытый (секретный) ключ электронной подписи – это уникальный набор символов (байт), сформированный средством электронной подписи. Используется для формирования самой электронной подписи на электронном документе и хранится в зашифрованном виде на ключевом носителе. Доступ к закрытому ключу защищен паролем (PIN-кодом) и его нужно хранить в секрете.

Ключевая пара – это набор из открытого и закрытого ключей электронной подписи, однозначно привязанных к друг другу.

Ключевой носитель – это устройство для хранения закрытого ключа. Ключевой носитель внешне напоминает “флешку” для компьютера, но отличается по своим свойствам: память у него защищена паролем (PIN-кодом). Может иметь встроенное средство электронной подписи.

Средство электронной подписи – это программно-аппаратное или только программное средство, предназначенное для создания ключевой пары, формирования и проверки электронной подписи на электронном документе. Его еще называют “криптопровайдером” или СКЗИ (средством криптографической защиты информации).

Усиленная цифровая подпись

Усиленная цифровая подпись позволяет защищаться от модификации документа. То есть, если после подписания внести изменения в документ, то усиленная подпись автоматически становится недействительной.

Для формирования подписей используют сертификаты (как SSL, в основе та же технология). А сертификат имеет ограниченный срок действия.

Усиленная подпись бывает неквалифицированной и квалифицированной. Разница в том, кто выпустил сертификат. Если сертификат выпущен аккредитованным Минкомсвязи удостоверяющим центром, имеющим дополнительный сертификат ФСБ, то такая подпись называется квалифицированной.

Если используется самоподписанный сертификат или выпущенный неаккредитованным УЦ (Удостоверяющий Центр), то такая подпись является неквалифицированной.

Утверждение внутренних документов

Заявления на отпуск, служебные записки, отчеты, оформление командировок и т.д. — бумажных документов в компаниях хватает. Обычно, процедура оформления такого документа напоминает квест. Надо найти форму, заполнить, лично передать в руки утверждающему и т.д.

Если вы все в одном офисе, то это дело получаса. А если производство в одном месте, а отдел кадров в другом? Всё затягивается на несколько дней. Выходом становится внедрение систем документооборота. У нас даже есть отдельный модуль документооборота.

Один минус — сотрудники иногда недостаточно серьезно воспринимают «электронные документы». Исправить это может внедрение электронной подписи. Тут как раз хорошо подойдёт неквалифицированная электронная подпись.

По сценарию использования можно выделить две возможности:

  1. Подписать документ, загрузив его в специальной форме на отдельной странице CRM
  2. Автоматическое утверждение документа при прохождении через бизнес-процесс

как отозвать подпись?

Обратитесь к менеджеру вашего удостоверяющего центра. Он оформит заявку на отзыв и отправит вам заявление
на подпись. Если вы работаете в СБИС, то заявку на отзыв вы можете
отправить самостоятельно.

как проверить сертификат эцп?

Проверить подлинность сертификата электронной подписи можно на нашем сайте
по серийному номеру или по данным владельца.

Выводы


Внедрение подписи документов в CRM-системы (да и вообще куда угодно) – интересная техническая задача на стыке разработки, информационной безопасности и оптимизации процессов.

Эта задача может быть решена описанным нами способом. Интересно мнение о других решениях такой задачи.

-
Оцените статью
ЭЦП64
Добавить комментарий

© 2022 ЭЦП64