ПРОГРАММА ДЛЯ ПРОВЕРКИ ЭЛЕКТРОННОЙ ПОДПИСИ

Из нашей статьи вы узнаете:

Цифровые документы заверяются электронной подписью (ЭП, ЭЦП). Чтобы убедиться в том, что электронный документ юридически значимый, пользователю требуется проверить ЭЦП на её подлинность.

В статье подробно расскажем, как проверить ЭЦП различными способами.

Какую подпись можно проверить самостоятельно

Проверка ЭЦП необходима в ситуациях, когда цифровые документы заверяются электронной подписью вне рамок информационных систем электронного документооборота (ЭДО). Например, в таких случаях как:

• получение работодателем трудового договора от физического лица;
• заключение сделки между контрагентами с использованием электронной почты;
• проверка банком подписи налогового инспектора электронной выписки из ЕГРЮЛ.

Проверке подлежат подписи, которые имеют закрытый и открытый ключ. Закрытый ключ создаёт подпись, а открытый — проверяет. К ним относят:

• усиленную неквалифицированную электронную подпись (НЭП) — для юридической силы подписи между контрагентами составляется дополнительное соглашение;
• усиленную квалифицированную электронную подпись (КЭП) — юридическая сила закреплена на законодательном уровне, дополнительные соглашения не требуются.

В свою очередь, КЭП делятся на присоединённые и отсоединённые. Присоединённые формируются сразу в подписанном документе, а отсоединённые — в отдельном файле расширения .sig. Во втором случае проверке подлежат оба документа: файл, содержащий электронную подпись и заверенный документ.

Успешная проверка электронной подписи доказывает, что документ подписан именно владельцем ЭЦП. А также, что подпись создана для этого файла, и изменения в него после заверения не вносились. Проверка сертификата ключа подписи подтверждает, что у ЭЦП не закончился срок действия.

УЦ «Калуга Астрал» входит в перечень аккредитованных удостоверяющих центров и имеет все необходимые лицензии для выпуска электронных подписей для физлиц и работников ЮЛ — «Астрал Подпись»
и «1С-ЭТП»
. Данные ЭЦП позволяют сдавать отчётность и участвовать в торгах.

Как проверить электронную подпись

Далее расскажем, какими способами проверить электронную подпись. Подлинность КЭП и НЭП можно посмотреть через специальные сервисы или плагины для Word, Excel и PDF.

Применение онлайн-сервисов для проверки ЭЦП

Госуслуги

Чтобы проверить электронную подпись на портале Госуслуги, потребуется выполнить следующие шаги:

1. Перейти по адресу www.gosuslugi.ru.





2. В строке поиска портала ввести запрос «Проверка электронной подписи» и выбрать «Сервис проверки УКЭП».





3. Перетащить или загрузить вручную электронный документ, в котором нужно проверить подлинность. А также файл, содержащий отсоединённую электронную подпись в формате .sig.





4. Нажать кнопку «Проверить».
5. Результат проверки появится на экране.

Данный метод проверки подходит для отсоединённых электронных подписей в формате файла pkcs#7 электронного документа. Сертификат и документы с иным форматом можно проверить по ссылке https://www.gosuslugi.ru/pgu/eds.
Сервис проверяет КЭП и НЭП.

КриптоПро

Через сервис КриптоПро можно проверить подписанный документ и сертификат электронной подписи. Загрузить можно КЭП и НЭП.

Для проверки документа с электронной подписью необходимо:

1. Перейти по адресу сервиса: https://dss.cryptopro.ru/verify/.





2. Переместить документ.





3. Выбрать, какая подпись проверяется КЭП или НЭП. Если осуществляется юридически значимый документооборот, требуется поставить отметку «Проверка требований к квалифицированному сертификату».





4. Выбрать «Параметры подписи» в автоматическом режиме или задать настройки вручную.
5. Нажать «Проверить».
6. Результат проверки подписанного документа появится на экране.

Чтобы проверить сертификат электронной подписи, нужно воспользоваться соответствующей вкладкой «Проверка сертификата» на главном экране. Достаточно загрузить файл подписи. Действия аналогичны вышеописанным.

Проверка подписи с помощью плагинов для Word, Excel и PDF

Чтобы проверить подпись в документе Word или Excel, нужно:

• Нажать на значок подписи в документе.
• Щёлкнуть правой кнопкой мыши на строке подписи и выбрать пункт «Состав подписи».

При успешной проверке в сообщении будет указана информация о владельце подписи и действительности сертификата. Если сертификат недействителен или в документ после подписания вносили изменения, появится сообщение о том, что документ содержит недействительную подпись.
PDF.

Отдельный плагин есть и для продуктов Adobe — это КриптоПро PDF. Для проверки подписи им можно пользоваться бесплатно. Кроме плагина, также потребуется криптопровайдер КриптоПро CSP. Чтобы проверить подпись для документа PDF, необходимо:

• Открыть документ, для которого была создана подпись.
• Нажать кнопку Signatures (Подписи) в панели слева.
• Выбрать электронную подпись, которую следует проверить, и нажать правую кнопку мыши.
• В открывшемся контекстном меню выбрать пункт Validate Signature (Проверить подпись).

Программа проверит подпись и откроет окно с результатом проверки подписи.

Причины возникновения ошибок

При контроле достоверности могут возникнуть ошибки в ЭЦП. Чаще всего они связаны со следующими причинами:

• отправитель подкорректировал содержание документа после простановки ЭЦП. В этом случае подпись автоматически становится недействительной, и необходимо её повторное проставление;
• сертификат установлен некорректно либо повреждён. Решит проблему тестирование и, при необходимости, переустановка;
• период действия сертификата истёк либо он отозван. Выходом будет обращение в УЦ для перевыпуска.

Проверить работоспособность ЭЦП можно с КриптоПРО CSP. Для этого зайдите в приложение и выполните следующие действия:

• зайдите во вкладку «Сервис»;
• подключите токен;
• кликните на пункт меню «Протестировать контейнер закрытого ключа»;
• выберите нужный контейнер для проверки.

После завершения процедуры появится отчёт с указанием типов ошибок. Их можно скопировать и отправить в службу технической поддержки удостоверяющего центра.

Проверка подписи важна, так как позволяет убедиться в правильности подписи и, соответственно, ее юридической значимости.

Самый простой вариант — воспользоваться одним из специальных онлайн сервисов. Их преимущества — мобильность и доступность: для проверки нужны только браузер и интернет, а документы можно проверить даже со смартфона.

Первый сервис: Портал Госуслуг

Это, наверное, самый популярный сервис. В нем можно проверить файлы как с отсоединенной подписью, так и с присоединенной. Есть возможность проверить отсоединенную подпись по значению хэш-функции.

Особенность проверки на Госуслугах — это то, что сайт проверяет подлинность документов, подписанных исключительно квалифицированными сертификатами. В случаях, когда сертификат подписи выдан неаккредитованным в Минкомсвязи удостоверяющим центром, подпись проверить будет невозможно.

Результат проверки отображается на отдельной странице. Мы можем увидеть общий статус проверки, статус сертфиката подписи, кому, кем и когда он был выдан.

Второй сервис: Контур. Крипто

Контур. Крипто от компании СКБ «Контур» дает возможность, помимо проверки электронной подписи, еще и подписать, зашифровать и расшифровать любой документ.

Все что нужно — это иметь сертификат выданный в УЦ «Контур» либо в любом другом аккредитованном удостоверяющем центре.

Третий: КриптоПро DSS

Онлайн сервис проверки электронной подписи, разработан компанией «КРИПТО-ПРО» . Называется КриптоПро DSS.

В нем есть возможность проверки присоединенной и отсоединенной подписи формата CMS, есть поддержка других форматов подписанных данных: а именно, проверка подписи в документах PDF, Word и Excel. И еще можно проверить подпись в XML документах — XMLDsig.

Вот такие сервисы могут быть полезны, когда нужно быстро проверить подпись.

Если вы хотите иметь возможность проверить любую подпись на своем рабочем месте, можно установить две программы:  КриптоПро CSP
и КриптоАРМ
, и проверять подписи на документах. Обе программы не требуют покупки лицензии для проверки электронной подписи, эта функциональность у них является бесплатной. 

КриптоПро ЭЦП Browser plug-in
предназначен для создания и проверки электронной подписи (ЭП) на веб-страницах и поддерживает работу с широким набором алгоритмов, как встроенных в операционную систему, так и доустановленных дополнительно.

Вниманию пользователей браузеров на основе Chromium



Для стабильной работы браузерного расширения рекомендуется обновить браузер до последней версии ( 104+
). Причина описана на форуме
.

Для работы плагина выполните следующие шаги

Для создания и проверки электронных подписей по алгоритмам ГОСТ  требуется обязательная установка криптопровайдера, поддерживающего ГОСТ
 (мы рекомендуем  КриптоПро CSP
).

  Установите КриптоПро ЭЦП Browser plug-in

Приложение осуществляет взаимодействие веб-страниц в вашем браузере с криптопровайдером в операционной системе и предназначено для создания и проверки электронной подписи на веб-страницах. Рекомендуем воспользоваться инструкцией по установке

  Проверьте работу установленного плагина

Чтобы убедиться, что всё установлено верно и все элементы системы надёжно взаимодействуют, мы создали специальную площадку для тестирования и проверки создания электронной подписи.

Проверить работу плагина

Описание принципов работы плагина

КриптоПро ЭЦП Browser plug-in
легко встраивается и применим в любом из современных браузеров с поддержкой сценариев JavaScript:

• Яндекс. Браузер
• Internet Explorer
• Microsoft Edge (на базе Chromium версии 104+)
• Mozilla Firefox
• Google Chrome (в том числе Chromium-Gost
  . На базе Chromium версии 104+)
• Apple Safari
• Opera

Поддерживаемые операционные системы:

• Microsoft Windows
  ( инструкция по установке
  );
• Linux
  ( инструкция по установке
  );
• Apple MacOS
  ( инструкция по установке
  ).

КриптоПро ЭЦП Browser plug-in
позволяет подписывать различные типы данных:

• электронный документ;
• данные веб-формы;
• файл, загруженный с компьютера пользователя;
• текстовое сообщение и т.п.

С точки зрения бизнес-функций, плагин позволяет использовать ЭП:

• на клиентских порталах;
• в системах интернет-банкинга;
• в электронных офисах с доступом через web и т.п.

Например: В онлайн-банке подтверждение операции по переводу средств усовершенствованной электронной цифровой подписью обеспечит гарантию того, что счетом распорядился владелец в конкретный (подтвержденный) момент времени и сертификат ключа подписи на момент совершения транзакции был действителен.

КриптоПро ЭЦП Browser plug-in
позволяет создавать и проверять как обычную электронную подпись, так и усовершенствованную электронную подпись
. Поскольку плагин является частью стандарта применения усовершенствованной электронной цифровой подписи
, автоматически решаются задачи:

• доказательство момента подписи документа и действительности сертификата ключа подписи на этот момент;
• отсутствие необходимости сетевых (онлайн) обращений при проверке подписи;
• архивное хранение электронных документов.

Создание и проверка подписи происходят на стороне пользователя. При создании подписи с помощью КриптоПро ЭЦП Browser plug-in
, электронная подпись может быть либо добавлена к подписываемым данным (присоединенная ЭП), либо создана отдельно (отделенная ЭП).

КриптоПро ЭЦП Browser plug-in распространяется бесплатно (лицензионное соглашение)
.

На нашем сайте доступна демо-страница
для пробной работы с КриптоПро ЭЦП Browser plug-in. Полная инструкция по установке доступна по ссылке
.

• версия 2.0 для пользователей
  (автоматическая загрузка версии плагина, соответствующей Вашей ОС)
  • Актуальная, развивающаяся версия.
  • Поддерживает работу с алгоритмами ГОСТ Р 34.10/11-2012 (при использовании с КриптоПро CSP 4.0
     и выше).
  • Для Microsoft Windows совместима с КриптоПро CSP версии 3.6 R4 и выше, для других ОС – с КриптоПро CSP версии 4.0 и выше.
  • Компоненты КриптоПро TSP Client 2.0 и КриптоПро OCSP Client 2.0, входящие в данную версию,  не принимают 
    лицензию от версий 1.x.
  • Для работы в Firefox версии 52 и выше требуется дополнительно установить расширение для браузера
    .
• все версии для разработчиков
  (полный комплект дистрибутивов КриптоПро ЭЦП Browser plug-in).

Подробное описание КриптоПро ЭЦП Browser plug-in приведено в Руководстве разработчика КриптоПро ЭЦП SDK
.

Цифровые технологии оказали серьёзное воздействие на жизненный уклад, в том числе на привычные алгоритмы ведения бизнеса: совершение платежей, оформление документов. Одна из самых серьёзных инноваций — электронная подпись (ЭП или ЭЦП), прочно занявшая нишу системы обмена информацией.

ЭЦП — это устаревшее понятие. Расшифровывается как «электронная цифровая подпись». В настоящее время законодательством закреплено название ЭП, которое расшифровывается как «электронная подпись».

ЭЦП позволяет: подписать, подтвердить подлинность цифрового документа, установить его авторство. По сути, это криптографически преобразованные сведения, эквивалент индивидуальной подписи, которые могут существенно усилить устойчивость электронного документа к взлому и подделке.

Разновидности ЭЦП

По законодательству РФ в предпринимательской деятельности используются такие виды ЭЦП:

простая — сформированная простыми кодами и паролями.

усиленная — бывает неквалифицированная и квалифицированная.

Для создания неквалифицированной ЭЦП нужен особый ключ, который представляет собой ряд символов определённой последовательности. Такая подпись определяет внесение изменений в документ, позволяет удостоверять своего собственника.

Квалифицированная подпись имеет такие же свойства, но её выдают только аккредитованные центры и ведомства. Норма 63-ФЗ от 06.04.2011 уравняла собственноручную и электронную подписи. Последняя имеет юридическую силу, если:

• усилена электронным ключом;
• подтверждена её подлинность;
• используется по назначению. Соответствует данным, которыми владеет сертификат.

Существуют различные методики валидации ЭЦП по этим параметрам.

Тонкости технологии

Сертификаты ключа проверки электронной подписи (или СКПЭП) могут быть выданы как обычное бумажное удостоверение или электронный файл, подтверждающий право предъявителя на подпись, её проверочный код.

Ключ, используемый для установления корректности ЭЦП, всегда связан с непосредственным кодом ЭЦП

Существуют два типа таких ключей:

Закрытые ключи ЭЦП известны только их владельцам, представляют собой неповторимую комбинацию символов, предназначенных для подтверждения цифровой документации

Открытые ключи связаны и напрямую взаимодействуют с закрытыми. Они доступны всем пользователям сети, передаются в составе сертификата в Росреестр на сервер во время верификации достоверности цифрового автографа. С помощью открытого ключа можно проверить авторство файла, но не получить закрытый ключ или внести изменения в документ.

Сертификат ЭЦП

СКПЭП подтверждает соответствие ЭЦП лишь одному уникальному собственнику. Сертификат электронной подписи выдаёт квалифицированный орган — удостоверяющий центр (УЦ).

Индивидуальные предприниматели и руководители организаций получают сертификат КЭП в УЦ ФНС и её доверенных лиц. Физическим лицам выдают электронную подпись в удостоверяющем центре, который аккредитован Министерством цифрового развития.

Для отправки цифровых документов рекомендуем квалифицированные электронные подписи от УЦ «Калуга Астрал». В каталоге
представлены тарифы для физических лиц. Индивидуальные предприниматели и руководители юрлица могут воспользоваться услугой Получение КЭП в ФНС под ключ.

СКПЭП содержит в себе:

• порядковый, уникальный номер;
• срок действия;
• персональные данные физлица — Ф. И. О.;
• проверочный код;
• стандарты, которым соответствуют код проверки и код ЭЦП, или название используемой подписи;
• название удостоверяющего центра.

Законодательством РФ предусмотрены случаи, когда сертификат прекращает своё действие: по окончании срока действия, на основе заявления владельца, при аннулировании его в УЦ вследствие нарушений или сбоев.

Методика верификации

Законодательством регулируется само право использования СКПЭП. Участники электронного взаимодействия сами решают, как будет осуществляться проверка электронной подписи.

Существует несколько методов проверки подлинности цифровой подписи. Самыми простыми из них являются проверки:

онлайн, на портале Госуслуг

с помощью специального программного обеспечения, например, программы «КриптоПро».

Выбрать
подходящую лицензию КриптоПро рекомендуем в нашем интернет-магазине. Оставьте короткую заявку для бесплатной консультации специалиста.

Существуют также продвинутые методы верификации средствами комплекса Microsoft Word или по значениям хеш-функций.

Проверка ЭЦП, параметры

на отсутствие ключа в базе отозванных сертификатов

кем и где представлен СКПЭП

Чтобы проверить квалифицированную ЭЦП на валидность, нужно вставить носитель с подписью, например, «РУТокен» или любой другой, в порт компьютера. В браузере ввести адрес специального портала проверки. Выполнив верификацию, можно получить доступ к используемой площадке, например, электронным торгам и начать работу.

Необходимо учитывать тот факт, что ЭП может быть не только в теле файла с документом, часто она прикрепляется отдельно. Её данные могут не отображаться или визуализироваться как картинка/ряд цифр.

Использование программы «КриптоАРМ»

Когда нужна оперативная проверка подлинности электронной подписи, выбирают комплекс «КриптоАРМ». Это платное приложение, имеющее демонстрационную версию («Старт»), которую можно загрузить с портала разработчика.

Во вкладке «Файл» найдите строку «Проверить подпись»

Откроется окно, в котором можно найти проверку отдельного файла («Добавить файл») или целой папки («Добавить папку»),
нажатием «Далее» запускается процедура проверки.

нажатием «Далее» запускается процедура проверки

Программой «КриптоАРМ» можно подтвердить достоверность даже квалифицированных ЭП. Проверка ЭЦП напоминает графологическую экспертизу, но не требует длительных лабораторных исследований. Достаточно использовать программу или сайт, и они покажут, кто подписал документ. Информация пригодится для обжалований решений респондента, отказывающегося от своих обязательств.

Верификация в браузере, портал gosuslugi

Если пользователь не хочет применять стороннее ПО или сложные методы проверки, на ресурсе Госуслуг он сможет установить подлинность:

Электронного документа ЭП — в формате #PKCS7

Электронного документа ЭП — отсоединённая, в формате #PKCS7

Электронного документа ЭП — отсоединённая, в формате #PKCS7 по значению хеш-функции.

Для верификации нужно посетить сайт gosuslugi.ru/pgu/eds и в главном окне выбрать документы для подтверждения и загрузить нужный файл для проверки. После этого останется ввести капчу и нажать «Проверить».

Юридическую силу документа обеспечивает электронная подпись. Чтобы убедиться в юридической силе электронного документа, необходимо проверить действительность электронной подписи, которой его подписали. Расскажем, как это сделать.

Зачем проверять подлинность электронного документа

Проверка нужна при получении любого документа, подписанного ЭЦП, для защиты от мошенников и недобросовестных контрагентов. Например, при получении договора от контрагента, заявки от участника аукциона или тендера, перед проведением платёжного поручения в банке.

Действительный сертификат электронной подписи позволяет:

• идентифицировать лицо, подписавшее документ;
• подтвердить подлинность документа;
• убедиться в том, что документ подписали не случайно;
• призвать к ответственности лицо, подписавшее документ, в случае отказа выполнять обязательства;
• убедиться в том, что у ЭЦП не закончился срок действия.

Действительной электронной подписью считается та, что одновременно отвечает трём требованиям:

• сформирована с применением сертификата, срок действия которого не истёк на момент оформления документа;
• поставлена непосредственно владельцем сертификата и его личность можно определить;
• сформирована непосредственно для данного документа, и он после этого не редактировался.

Важно поддерживать подлинность документов, которые нужно хранить в течение установленного законам срока. Для этого необходимо следить за своевременным перевыпуском сертификата электронной подписи, которой подписан электронный документ.

Какими средствами можно проверить электронную подпись

Установить подлинность ЭП можно несколькими способами:

• С помощью специальных плагинов для Word, Excel, PDF.
• На сайте Госуслуг. Самым простым способом определения подлинности ЭП является проверка её сертификата. Для этого надо загрузить его электронную версию в специальную форму на сайте.
• Используя интернет-сервисы различных удостоверяющих центров.

Проверка действительности ЭЦП плагинами

Для контроля достоверности ЭЦП компания КриптоПро предлагает два плагина. Один бесплатный и служит для проверки PDF-файлов, а второй платный и предназначен для контроля юридической правомочности документов в форматах офисного ПО Word, Excel. Проверка в последнем случае требует дополнительного наличия программы КриптоПро CSP.

В случае успешного прохождения проверки плагин покажет сообщение с указанием данных о сертификате и его владельце. В противном случае появится информация о недействительности ЭЦП.

Проверка ЭЦП с помощью онлайн-сервисов

Существует множество онлайн-сервисов, чтобы проверять цифровые подписи и сертификаты любого типа вне пределов систем электронного документооборота. Часто их создают удостоверяющие центры, электронные торговые площадки или разработчики криптопровайдеров.

Например, такие сервисы есть у ЭТП Росэлторг, на официальном сайте ЕИС, в УЦ Росреестра и у КриптоПро — сервис КриптоПро DSS.

Проверка ЭЦП на портале Госуслуг

На сайте Госуслуг есть раздел для проверки действительности электронной подписи. Для этого достаточно загрузить нужный файл в систему, ввести защитную капчу и нажать «Проверить». Если ЭЦП расположена в отдельном файле, то дополнительно нужно на портал загрузить и её.

Результат проверки подписи будет представлен на отдельной странице — показан статус сертификата подписи, кто владелец подписи и в каком удостоверяющем центре она была выдана, а также её срок действия.

Если электронная подпись, которой подписан документ, успешно проходит проверку, то документ имеет юридическую силу.

«Калуга Астрал» предлагает два вида электронных подписей для физических лиц — «Астрал-ЭТ»
и «1С-ЭТП»
. Они подходят для торгов, внутреннего и внешнего ЭДО и для работы на федеральных порталах. Мы обеспечиваем оперативный выпуск и безбумажное продление сертификата, чтобы ваши электронные документы сохраняли свою юридическую силу. Также наши специалисты помогут руководителям организаций и ИП получить
электронную подпись в УЦ ФНС «под ключ».

Из нашей статьи вы узнаете:

Электронный документооборот предполагает возможность проверки достоверности электронной подписи, которая должна удостоверять личность человека, подписавшего документ, и отсутствие изменений документа. Только так ЭЦП имеет юридическую значимость, может служить для отправки в налоговую службу отчетов и подписи договоров.

Как проверить подпись

Для всех пользователей доступен бесплатный сервис по онлайн-проверке подписи КриптоПро DSS на сайте cryptopro.ru. После захода на сайт выполните следующие действия:

• перейдите на вкладку «Услуги» (находится в меню главной страницы);
• выберите пункт «Сервис электронной подписи»;





• нажмите после перехода на кнопку «Проверить электронную подпись».

Таким образом, вы попадете в онлайн-сервис КриптоПро DSS для проверки достоверности ЭЦП.

Он позволяет осуществить контроль действительности отсоединенной или присоединенной подписи (в первом случае она должна иметь формат cms). Также доступна проверка ЭЦП для документов Excel, Word, PDF, XMLDsig.

Для совершения операций выполните следующие действия:

• выберите проверяемый сертификат или подпись в левой колонке страницы;
• загрузите проверяемый файл с помощью формы;
• нажмите кнопку «Проверить».

В результате на экране появится страница, где указана информация о подписи, удостоверяющем центре, выдавшем сертификат и другие данные. Если проверка не пройдена, то появится соответствующее сообщение.

Неудобством данного сервиса являются сложности при необходимости проверять большой объем документов. Альтернативой здесь станет специальная служба проверки сертификатов КриптоПро SVS 2.0. С его помощью можно проверить следующие виды документов:

• PDF;
• Word;
• Excel;
• XML.

Также для проверки приложением доступны необработанные и усовершенствованные подписи.

Данный сервис по контролю действительности ЭЦП предполагает выполнение обработки на стороне модуля, а не клиента. Это требует только наличия браузера и не предполагает установку дополнительного программного обеспечения.

Где купить сервис для проверки электронной подписи

Если для работы на государственных порталах и ведения документооборота вам необходимо ПО КриптоПро или ЭЦП, то обращайтесь в УЦ «Астрал-М», заполнив форму обратной связи. Мы являемся официальным партнером КриптоПро, что гарантирует приобретение качественного лицензионного софта по ценам от разработчика.

Выбирая наш удостоверяющий центр, вы получаете:

• доступную цену на услуги;
• помощь в выборе тарифного плана ЭЦП под конкретную задачу клиента;
• быстрое выполнение заказов (обычно занимает все 2-3 дня);
• возможность оформления любой подписи;
• весь спектр лицензий на семейство продуктов КриптоПро;
• любую форму оплаты.

Дополнительно доступно оформление ЭЦП и настройка рабочего места в офисе клиента, предоставление подписи в ускоренном формате.

Цифровой документооборот входит в нашу жизнь уверенными шагами и если для юридических лиц это уже суровые будни, то многие физические лица могли с этим еще не столкнуться. Но со временем оставаться в стороне становится всё сложнее и нужно приспосабливаться к меняющимся условиям, иначе можно получить не совсем приятные последствия.

Заключение договоров — дело привычное. Их заключают в банках, в больницах, при покупке мебели, оплате обучения. Прочитать договор, проверить реквизиты юридического лица, с которым заключается договор, убедиться в наличии печати и подписи — стандартная процедура, которая уменьшает риск обмана. Однако приобретённые навыки работы с бумажными договорами не могут просто так перейти в цифровой мир в силу специфики электронных документов.

В этой статье хочется рассказать о своем опыте знакомства с российскими электронными подписями (ЭП), которые используются для подписания договоров с физическими лицами в том числе и страховыми компаниями, а также подводных камнях, на которые наткнулся при этом.

Для меня эта история началась при заключении договора со страховой компанией ООО СК “Сбербанк страхование”. После оформления мне показались подозрительными некоторые факты (небольшой спойлер: всё оказалось хорошо) и я стал разбираться, как же мне проверить, что полученный документ действительно выдан страховой компанией, а не некими третьими лицами.

Что же меня насторожило?

После расчёта суммы в калькуляторе на сайте и заполнения формы с паспортными и контактными данными мне на электронную почту пришло письмо, в котором кроме общей информации, полезных ссылок и контактов было 3 вложения: памятка, правила страхования и сам полис. Я ознакомился с документами, оплатил страховку и стал ждать подписанную версию полиса.

Через полчаса ожидания я стал волноваться, быстрый поиск показал, что у страховой компании есть аж 3 разных активных домена: www.sberbank-insurance.ru
, www.sberins.ru
и sberbankins.ru
, что не добавляло мне уверенности в компании.

Звонок в контакт центр принёс информацию о том, что присланный полис и является финальным документом с ЭП страховой компании. Мне показалось странным, что компания отдаёт уже подписанный документ еще до факта оплаты клиентом и я стал проверять полученный pdf файл.

Глава первая

Все манипуляции с PDF документом приведены в чистой версии ОС Windows 10, русская домашняя редакция, как наиболее вероятной среде работы простого пользователя. Набор софта, используемый в статье, также является непрофессиональным и доступным для всех.

Для начала я открыл документ в просмотрщике Foxit Reader, который использую как основной:

Это выглядит очень и очень подозрительно — документ модифицирован непонятно кем, сертификат также не является доверенным. Система не может проверить цепочку доверия для данного сертификата и помечает его недействительным.

Кроме имени организации, которой выдан сертификат, видно наименование выдавшей его организации, ООО “ИТК”. Поиск по запросу “ООО ИТК сертификат” вывел меня на страницу Установка корневого сертификата Удостоверяющего центра ООО «ИТК»
. Это официальный сайт ООО «Интернет Технологии и Коммуникации», который является одним из удостоверяющих центров, выдающих сертификаты ЭП.

Снова открываем сертификат из документа. И чуда не произошло, цепочка доверия от корневого до конечного не строится!

Изучаем ЭП подробнее: в Foxit Reader есть дополнительная информация о свойствах подписи:

Ага, алгоритм хеширования ГОСТовский, ЭП создана в КриптоПро PDF. Возможно, Windows не знает про ГОСТ шифрование и поэтому ему нужен дополнительный криптопровайдер.

Идём на сайт КриптоПро, регистрируемся, скачиваем пробную версию КриптоПро CSP 5.0 на 3 месяца. Что будет дальше — не совсем понятно, возможно всё превратится в тыкву, посмотрим.

Снова открываем просмотр сертификата ЭП:

Выглядит уже лучше. Видно, что система считает сертификат действительным, построена цепочка от корневого сертификата через промежуточный.

Сообщение о проверке немного улучшилось, но всё равно Foxit Reader не может проверить сертификат (вероятно дело в ГОСТовском алгоритме):

В Adobe Acrobat Reader DC проверка тоже не успешна:

И на этом вроде бы можно остановиться: Foxit Reader подтверждает, что документ не был изменен после подписания, руками можно проверить, что сертификат подтверждается системой и действителен. Но всё же хочется довести дело до конца, чтобы хотя бы одна программа сказала: да, документ действителен, всё хорошо.

Вспоминаем, что полис подписан в программе КриптоПро PDF. Вероятно, что раз она может создавать такие подписи, то уж наверняка должна их и проверять. Ставим.

+1 триал версия на 90 дней, хотя вроде бы надпись при установке успокаивает, что при использовании продукта в Adobe Acrobat Reader DC лицензия не нужна.

Ура, долгожданное сообщение о том, что всё хорошо.

Подведем промежуточный итог. Для проверки действительности ЭП на документе нужно:

• Узнать, какой удостоверяющий центр выдал сертификат, которым подписан документ, установить его промежуточный и, если такого еще нет, корневой сертификат (в нашем случае из rar архива с Google Drive);
• Установить в систему криптопровайдер (вероятно, существуют другие криптопровайдеры, которые обучат Windows ГОСТовским криптоалгоритмам) КриптоПро CSP с триалом на 3 месяца и неизвестностью после;
• Для проверки подписи из Adobe Acrobat Reader DC установить КриптоПро PDF (без CSP он не ставится).

Вот такой алгоритм вырисовывается из поверхностного анализа темы за вечер. Проблема проверки цифровой подписи была решена, но видно трудности, которые могут возникнуть у рядового пользователя:

• Нужно как-то найти и скачать корневой и промежуточный сертификаты. Непонятно, откуда его можно скачать официально, а поиск в сети может привести к установке левых сертификатов, через которые мошенники могут атаковать незадачливого пользователя;
• Нужно понять, какого софта не хватает в системе и где его взять, из коробки ничего не работает. В данной статье приведены примеры на основе продуктов КриптоПро только потому, что это название встретилось в информации о создании ЭП. Нужно изучать тему в поиске аналогов;
• Проверка полноценно заработала только в Adobe Acrobat Reader DC, в Foxit Reader проверка ЭП неполная, нет долгожданной зелёной галочки. Нужно копать дальше, вероятно есть решения.

Глава вторая

Порывшись в почте, я нашел еще один электронный договор. По счастливой случайности, им тоже оказался страховой полис, но на этот раз еОСАГО от АО “Тинькофф Страхование”. Открываем сертификат, смотрим выпустившую сертификат организацию. Ей оказывается АО “Тинькофф банк”. Да, оказывается у них есть свой УЦ, который выдает сертификаты дочерним организациям (у Сбербанка тоже есть свой УЦ, но в дочерних структурах он не используется).

По отработанному алгоритму идём в поисковую систему с запросом “тинькофф сертификат”, находим официальный сайт УЦ АО Тинькофф Банк
. Тут нас встречает изобилие ссылок на корневые сертификаты, списки отозванных сертификатов и даже видеоинструкция по их установке. Скачиваем “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2012”, на этот раз ссылка ведёт не на сторонний сервис, а на сайт банка. Формат файла P7B не очень известный, но открывается Windows без установки стороннего софта и показывает находящиеся в нём сертификаты. Здесь уже привычный корневой сертификат от Минкомсвязи (другой, не тот, что в первом случае) и промежуточный сертификат УЦ банка.

Ставим оба, проверяем сертификат в полисе. Но нет, сертификат не является доверенным, т.к. система не может подтвердить поставщика сертификата. На сайте УЦ было 2 ссылки на 2 цепочки сертификатов, один для ГОСТ Р 34.10.2001, другой для ГОСТ Р 34.10.2012. Полис был выпущен в этом году, логичнее бы его подписать уже более современным криптоалгоритмом (тем более уже есть версия ГОСТ от 2018 года, алгоритмы обновляются довольно часто), но давайте проверим старый.

В новом файле формата P7B оказывается уже 3 файла сертификатов. Можно поставить все 3, однако стоит заметить, что сертификат “Головного удостоверяющего центра” мы поставили в первой главе из RAR архива ООО “ИТК”, они идентичны. А сертификат с не очень говорящим названием “УЦ 1 ИС ГУЦ” поставил КриптоПро CSP, т.к. галочка об установке корневых сертификатов была установлена по-умолчанию в его инсталляторе. Единственным новым является сертификат АО “Тинькофф Банк”, который мы и ставим.

После установки сертификатов из “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2001” путь в сертификате прорисовался и система радостно сообщила, что он является доверенным. Adobe Acrobat Reader DC также подтвердил, что подпись действительна.

На этом приключения с проверкой ЭП на полисе еОСАГО завершаются. Заметно, что после того, как в системе уже установлен необходимый софт, а пользователь понимает принципы работы и поиска промежуточных сертификатов, то проверка подписи занимает уже меньше времени.

Но проблемные места по-прежнему видны: необходимо искать в интернете официальные сайты удостоверяющих центров, разбираться в инструкциях по установке сертификатов. Даже при установленных корневых сертификатах необходимо искать промежуточный, иначе цепочка доверия будет не полной и система не сможет подтвердить достоверность подписи.

Немного про корневые и промежуточные сертификаты

Проделав всю эту работу, меня не покидало чувство, что вся система построена не очень безопасно, требует от пользователя кучу дополнительных операций и доверия многим факторам: от поисковой системы, которая может не выдать первой строкой официальный сайт УЦ, до работы самого персонала УЦ, который выкладывает сертификаты без контрольных сумм на сторонние веб сервисы в проприетарных форматах контейнеров.

Однако просто списка недостаточно, нужны хотя бы ссылки на сайты этих УЦ, а также надо найти корневые сертификаты непосредственно от первоисточника, Минкомсвязи. Следующий точкой в поиске этой информации стал портал pravo.gov.ru
, где перечислены ссылки на некоторые корневые сертификаты. Страница доступна только по http протоколу, контрольных сумм опять нет.

Приглядевшись, можно заметить, что первые 4 ссылки ведут на портал https://e-trust.gosuslugi.ru
. Не совсем понятно, почему именно поддомен сайта госуслуг стал центральным в системе корневых сертификатов, но, кажется, тут приведена вся актуальная информация по корневым и промежуточным сертификатам.

На странице головного УЦ https://e-trust.gosuslugi.ru/MainCA
приведены 10 корневых сертификатов от Минкомсвязи, для разных ГОСТ алгоритмов и с разными сроками действия. Тут же доступны слепки ключей, можно проверить, что скачанный сертификат никто не подменил. Сам сайт имеет сертификат от Thawte
.

У сертификатов есть поле точки распространения списка отзывов (CRL), в котором прописан путь получения списка отозванных сертификатов. При проверке ЭП на каком-то документе кроме установки промежуточного и корневых сертификатов нужно также установить и последний список отозванных и обновлять его перед каждой проверкой (данная процедура автоматизируется специализированным софтом, но штатные средства вроде бы так не умеют). На портале e-trust у каждого сертификата указан путь к такому списку и он может отличаться от того, что написано в самом сертификате. Чему верить? Не совсем понятно.

В заключение статьи хочется отметить, что проверка ЭП на электронных документах по силам каждому, однако это не совсем тривиальный процесс, требующий некоторых знаний. Возможно, что в будущем этот процесс упростится. Кроме этого остается открытым вопрос проверки ЭП на мобильных устройствах, а ведь они сейчас стали основным инструментом пользователей, давно опередив персональные компьютеры.

После написания статьи осталось несколько открытых вопросов, которые хотелось бы обсудить с сообществом:

1. аналоги КриптоПро, особенно opensource инструменты для создания и проверки ЭП;
2. добавление валидации ЭП не только в Adobe Acrobat Reader DC, но и в Foxit Reader и другие;
3. оставшиеся за пределами данной статьи проблемы, которые также важны и требуют внимания, но не проявились в моём случае.

UPD 0
: В комментариях подсказали онлайн сервис на портале госуслуг для проверки ЭП документов: https://www.gosuslugi.ru/pgu/eds
. К сожалению, не заработало в моём случае, но может быть полезно.

UPD 1
: После написания статьи мне подсказали, что есть ещё один криптопровайдер, ViPNet CSP, который тоже может помочь с ГОСТовскими криптоалгоритмами в системе. Одновременная установка его с КриптоПро CSP под вопросом.

КДПВ: edar, Pixabay

Только зарегистрированные пользователи могут участвовать в опросе. Войдите
, пожалуйста.

Всегда-ли вы проверяете ЭЦП в полученных электронных документах?

Проголосовали 73 пользователя.

Воздержались 28 пользователей.