RSA ПРОВЕРЬТЕ В КАКОМ ВИДЕ РАБОТАЕТ SD

Электронная подпись (ЭП) — самое, что обычная подпись, но в электронном виде. Она приравнивает любой электронный документ к бумажному оригиналу.

Что такое электронная подпись

По сути подпись — это специально сгенерированный файл с цифрами, который крепится к электронному документу. Этот файл отвечает на три главных вопроса:

Электронная подпись гарантирует, что документ подписал владелец электронной подписи, а сам документ не изменялся после подписания, то есть остался подлинным.

Зачем нужна электронная подпись

Электронная подпись понадобится тем, кто собирается использовать в работе электронные документы, сдавать отчетность и получать услуги в интернете, автоматизировать внутренний документооборот, заключать договоры и подписывать электронные контракты.

Вот как используют электронную подпись компании и ИП:

Все эти операции призваны облегчить жизнь представителям бизнеса — сократить расходы на бумагу, принтеры и работу секретарей, меньше бегать по инстанциям, получать государственные услуги удаленно и кредиты в банке без визита в офис.

А вот что могут сделать с электронной подписью обычные граждане:

Обычно люди делают электронную подпись, чтобы передавать документы госслужбам — например, удаленно подают заявление на регистрацию по месту жительства или отправляют иск или доверенность в суд. Но на самом деле электронная подпись может заменить рукописную в любых случаях. Вот как, к примеру, ее можно использовать:

О том, как еще обычный человек может использовать электронную подпись в жизни, мы рассказывали в другой статье.

Как устроена ЭП

Технически электронная подпись — файл с уникальной последовательностью цифр, который прикрепляется к документу. В ее формировании участвуют закрытый и открытый ключ.

Закрытый ключ есть только у автора подписи. Это «перо», оно хранится у владельца на любом удобном носителе: компьютере, внешнем диске или токене — защищенной флешке, которую можно носить с собой. Еще подпись может быть на диске, смарт- или симкарте.

Открытый ключ доступен всем. Это файл со сведениями о владельце подписи, он нужен, чтобы можно было проверить ее подлинность и неизменность документа.

Сама электронная подпись формируется с помощью специальной программы — средства криптографической защиты информации (СКЗИ). Предположим, вы хотите отправить договор через систему электронного документооборота. Кратко процесс выглядит так:

Виды ЭП и их отличия

В законе описаны несколько видов электронной подписи: простая, неквалифицированная и квалифицированная.

Также подпись позволяет подтвердить обращение в органы власти или подписать заявку на услугу. Например, когда подаете документы на налоговый вычет в личном кабинете на сайте налоговой службы.

Простая электронная подпись уязвима, поэтому ее нельзя применять при работе с государственной или коммерческой тайной. Если вы работаете с имущественными и финансовыми документами, то лучше ее не использовать. Она не гарантирует, что документ не меняли и что его подписал нужный человек. Это будет проверять районный или арбитражный суд, если возникнет спорная ситуация.

Неквалифицированная электронная подпись формируется с помощью более сложных программ и функций для шифрования. Считается, что подделать подпись, созданную с помощью такой программы, невозможно или очень сложно. Эта подпись говорит: документ подписал человек в  время и не менял его после.

Эту подпись используют во внутреннем электронном документообороте: в распоряжениях, письмах, приказах и некоторых кадровых документах. Ей подписывают договоры, контракты и агентские отчеты, но только если стороны заключили соглашение о доверии таким подписям и электронным документам.

Неквалифицированные подписи можно генерировать внутри компании или сервиса с помощью бесплатных инструментов. Государство не может контролировать неквалифицированную подпись: кто угодно может ее выдать и владеть ею, и она не защищена средствами, которым доверяют власти. Именно поэтому в судебных инстанциях не принимают такие подписи.

Квалифицированная электронная подпись — самый надежный вид электронной подписи. Она подтверждена квалифицированным сертификатом, специальным бумажным или электронным документом, отвечающим требованиям ФСБ. Программа, которая предназначена для работы с квалифицированной подписью, тоже отдельно сертифицирована ФСБ.

Квалифицированную КЭП для физлиц, доверенных лиц организаций и ИП выдают в удостоверяющих центрах. Это организации, которые прошли сертификацию ФСБ и аккредитацию у Минкомсвязи, уполномочены выдавать сертификаты электронных подписей и осуществлять услуги по криптозащите информации.

Руководители компаний и ИП получают КЭП только в налоговой.

Главное отличие квалифицированной подписи в том, что ее целостность дополнительно проверяется по двум реквизитам:

Так определяют, что подпись не была утеряна, украдена или просрочена, когда ее использовали. Сертификат квалифицированной подписи необходимо обновлять каждый год — помнить, когда она перестает действовать, и вовремя заказывать перевыпуск.

У квалифицированной подписи есть два важных преимущества.

Взломать квалифицированную подпись почти невозможно — это потребует слишком больших вычислительных ресурсов. Если вы потеряете закрытый ключ, по вашему сигналу удостоверяющий центр или налоговая отзовет сертификат — подписывать документы с его помощью будет нельзя. Также нельзя передавать токен  — если об этом узнает удостоверяющий центр или налоговая, то аннулируют подпись как скомпрометированную.

Ее можно использовать в любых операциях с электронными документами. Ей доверяют районные и арбитражные суды и налоговые инспекции, поэтому чаще всего ею подписывают электронные счета-фактуры, налоговые декларации и договоры.

Где можно использовать электронную подпись

Нужно подготовить рабочее место и приобрести сертификат подписи. Сертификат выдают быстро — в течение часа.

Рабочее место — это ваш компьютер, на котором вы будете подписывать документы. На нем должна быть операционная система Виндоус или и браузер с доступом в сеть. Линукс тоже подойдет, но его придется настроить. Это могут бесплатно сделать в удостоверяющем центре, но туда, возможно, придется везти компьютер.

Еще для работы с квалифицированной подписью надо будет установить программу для криптозащиты информации (СКЗИ). Самые распространенные средства криптозащиты в России — это «Криптопро CSP», CSP, «Лисси CSP», Vipnet CSP. Все они работают примерно одинаково.

Какое конкретно СКЗИ потребуется и какие настройки будут нужны, вам скажут в удостоверяющем центре, налоговой или МФЦ.

Как приобрести подпись компании и ИП

Руководители фирм и ИП получают квалифицированные сертификаты подписи только в налоговых инспекциях. Дистанционно получить подпись нельзя, нужно обращаться лично.

Налоговые инспекции выдают сертификаты подписи бесплатно. Что нужно сделать, чтобы получить подпись:

Подпись, которую вы получите в ИФНС, выдается в единственном экземпляре и предназначается только для руководителя компании и ИП. У сотрудников должны быть свои подписи. Они получают их в удостоверяющих центрах.

Как получить подпись доверенному лицу организации или ИП

Получить подпись для доверенных лиц компаний и ИП можно в удостоверяющих центрах. Нужно выбрать ближайший центр в списке на сайте Минцифры и оформить заявку в офисе организации или на ее сайте.

Потребуются следующие документы:

Цена сертификата зависит от региона. В Москве — от 2000 ₽, а в Хакасии, например, это может стоить от 1000 ₽.

После оплаты электронную подпись запишут на ваш токен. Его можно купить в удостоверяющем центре за 2000—2500 ₽. С этого момента сертификат начинает действовать.

Чтобы сотрудники имели право подписывать электронные документы, нужна не только КЭП. Вы также должны сделать для них машиночитаемую доверенность.

Это специальный электронный документ, который может распознать система документооборота. Требования к нему описаны в приказе ФНС от 30.04.2021.

Как приобрести подпись обычному человеку или самозанятому

Обычные граждане могут пользоваться любой подписью — простой, неквалифицированной и квалифицированной.

Как правило, простая подпись используется для авторизации на госуслугах.

Неквалифицированной подписью можно пользоваться по договоренности для обмена документами с компаниями или ИП.

А с помощью квалифицированной подписи получают госуслуги, связанные с имущественными операциями. Например, ею можно подписать договор купли-продажи квартиры и подать его на государственную регистрацию. Или оформить компанию без посещения налоговой, назначить ее директора и других должностных лиц.

В Москве электронная подпись для граждан стоит от 900 ₽. Цена с носителем — 2700—3500 ₽. Отдельно носитель будет стоить от 1840 ₽. Стоимость зависит от тарифа удостоверяющего центра и того, насколько защищенную подпись вы хотите использовать.

Еще квалифицированную ЭП можно получить бесплатно — через мобильное приложение «Госключ». Для этого потребуется подтвержденная учетная запись на госуслугах, действующий загранпаспорт с чипом, который выдают на десять лет, и смартфон с NFC-модулем. Такой подписью можно подписывать любые документы на госуслугах и коммерческих площадках, которые интегрированы с «Госключом».

Расходы на электронную подпись в Москве для компаний и ИП —

Для подписания нужна программа, которая в контекстное меню вашей операционной системы — Windows или macOS — добавит специальный раздел. Таким образом, можно подписать любой документ просто нажатием правой кнопки мыши. На сайте каждого разработчика СКЗИ можно найти подробную инструкцию, как подписывать документ.

Например, так работает процесс подписания с помощью программы «»:

Запуск мастера создания электронной подписи с помощью «Крипто⁠-⁠АРМ» в Виндоус

Документы «» подписать еще проще:

В результате документ становится недоступным для изменения, а рядом с ним в папке появится файл подписи в формате .

Если у вас установлена СКЗИ и есть подпись, то подписать документ можно прямо в ворде

Документы можно подписывать в электронной почте и облачных хранилищах — например, в «Дропбоксе» и на «Яндекс-диске». Для этого нужно установить специальное расширение для браузера. Такое расширение добавляет в интерфейс вашего файлового хранилища кнопку «Подписать».

В «» плагины для электронной подписи можно найти во вкладке «Дополнения».

Чтобы подписать документ в «Гугл⁠-⁠докс» с помощью плагина eSignGSA, найдите плагин в разделе «Дополнения» и установите его. Затем нажмите Start

Как проверить подлинность подписи

Чтобы проверить подлинность подписи и неизменность документа, воспользуйтесь любым из бесплатных сервисов:

На сайте госуслуг нужно выбрать тип подписи, который вы хотите проверить. После этого загрузить подписанный КЭП документ для проверки

Для проверки подписи на сайте «Мос-ру» нужно загрузить документ, подписанный электронной подписью, и файл с самой подписью

Можно ли передать подпись другому

Теоретически можно. По закону вы должны не допускать того, чтобы подпись попала в чужие руки без вашего согласия. Получается, другой человек может использовать вашу подпись, если вы согласились на это. Но ответственность за любой подписанный документ все равно несет владелец подписи.

Что делать, если потеряли электронную подпись

Если вы потеряли ключ от подписи или его украли, сразу обратитесь в удостоверяющий центр или МФЦ, который выдавал вам сертификат. Центр отзовет сертификат, чтобы его не могли использовать мошенники. Еще обязательно сообщите об этом контрагентам, чтобы они знали, что вашей утерянной подписью могут воспользоваться злоумышленники.

Восстановить утерянный сертификат или ключ ЭП невозможно. Нужно получать новый: собирать документы и идти в налоговую или удостоверяющий центр.

Как перевыпустить сертификат

Срок действия сертификата электронной подписи — год. Когда он подойдет к концу, выпустите новый сертификат. Для этого обратитесь с заявлением в налоговую, удостоверящий центр или МФЦ. Если в документах ничего не изменилось, нести их снова не нужно. Если документы поменялись, нужно принести оригиналы только этих документов. Можно не дожидаться окончания срока действия текущего сертификата и заказать новую подпись заранее — тогда это делается онлайн, если получать подпись через УЦ.

Время на прочтение

Ассиметричный алгоритм криптографии RSA, датой возникновения концепции которого считается 1976 год сейчас очень активно используется для обмена данными, верификацией источника программного обеспечения и в других сферах, где необходимо обмениваться данными или верифицировать отправителя. Кроме того, он является базовой частью HTTPS протокола, использование которого в России достигло 98% по данным Яндекс. Радара.

Например, звоня любимой бабушке через популярный мессенджер или вводя данные своей банковской карточки в онлайн маркетплейсе, перед обменом видеоизображением или данными банковской карты, происходит процедура проверки подлинности и обмена ключом шифрования по алгоритму RSA.

Но что же это за алгоритм такой и как он работает? В этой статье я постараюсь разложить по полочкам основные принципы его работы и ассиметричной криптографии в целом.

RSA ключи и шифрование данных

В отличии от симметричных алгоритмов шифрования, имеющих всего один ключ для шифрования и расшифровки информации, в алгоритме RSA используется 2 ключа – открытый (публичный) и закрытый (приватный).

Публичный ключ шифрования передаётся по открытым каналам связи, а приватный всегда держится в секрете. Но зачем нужно целых два ключа и как они работают?

В ассиметричной криптографии и алгоритме RSA, в частности, публичный и приватный ключи являются двумя частями одного целого и неразрывны друг с другом. Для шифрования информации используется открытый ключ, а для её расшифровки приватный.

Предположим, Боб хочет передать Алисе какое-то сообщение, но лично он это сделать не может, поэтому ему необходимо использовать посредника, например Стива. Однако Боб передаёт Алисе информацию про сюрприз для Стива на его день рождения, так что не может допустить, чтобы Стив это сообщение увидел. И тут ему пригодится протокол RSA.

Таким образом, Стив видел открытый ключ Алисы и зашифрованное сообщение от Боба, но без закрытого ключа Алисы это сообщение не расшифровать. То есть, пусть Стив и держал в руках все передаваемые данные, но он не может узнать, что Боб передал Алисе!

RSA шифрование сообщений

Вы можете задаться вопросом, а почему Стив не может подменить ключ Алисы на свой, расшифровать сообщение, а потом, подглядев его, зашифровать обратно на ключ Алисы? Ещё как может, это называется атака «человек посередине» (Man in the middle (MITM)), и выглядит она следующим образом:

Но есть ли решение этой проблемы? Да! Chain of Trust, или «Цепочка доверия»

Подпись данных и цепочка доверия

Перед тем как разбирать что такое «Цепочка доверия», нужно знать про ещё одну возможность закрытого ключа – подпись информации. Она осуществляется с помощью закрытого ключа и проверяется открытым.

То есть, если Боб и Алиса заранее обменялись своими открытыми ключами, они могут писать друг другу сообщения и прикреплять к ним некий набор данных. Если взять этот набор данных, открытый ключ и само сообщение, можно проверить действительно ли сообщение было отправлено собеседником и не подменил ли его кто-то по дороге.

RSA подпись данных

С функцией подписи закрытого ключа разобрались, действительно полезная штука! Но как это решает проблему человека по середине, ведь если Боб и Алиса не могут без посредников обменяться открытыми ключами, Стив может подменить их при передаче и постоянно перехватывать сообщения?

А всё просто! Поскольку, с помощью закрытого ключа можно подписать какие-то данные, с его помощью можно подписать и сам открытый ключ.

Если есть кто-то, предположим Грант, которому Боб и Алиса могут доверять и чей открытый ключ у них уже есть, то Грант может подписать их открытые ключи. Таким образом, если Стив попытается подменить открытый ключ Алисы, которая посылает его Бобу, то Боб сразу обнаружит подмену, ведь на ключе не будет подписи Гранта.

Также Грант может подписать открытый ключ Марку, который подпишет открытые ключи Боба и Алисы, создав таким образом ту самую «цепочку доверия».

В реальном мире существуют доверенные корневые центры сертификации (Грант), промежуточные центры (Марк) и конечные получатели (Боб и Алиса).

Компрометация ключей и списки отзыва

А теперь предположим, что Алиса оставила на виду свой закрытый ключ, его увидел Стив и теперь может подписывать любые сообщения, а также перехватывать и расшифровывать все данные, которые шифруются на открытый ключ Алисы. Такая проблема называется «Компрометация ключа».

На такой случай, умные люди придумали «список отзыва» (Certificate Revocation List (CRL)), в котором будут публиковаться скомпрометированные ключи, к которым больше нет доверия.

Адрес, где находится такой список отзыва встроен во все сертификаты корневых и промежуточных центров сертификации. То есть, если Алиса заподозрит, что Стив увидел её закрытый ключ, она должна будет немедленно сказать от этом Марку, который опубликует номер её сертификата в своём списке отзыва. Боб со своей стороны, при получении старого сертификата, которым попытается воспользоваться Стив, найдёт запись о его отзыве в списке Марка и будет понимать, что Алиса была скомпрометирована и доверять её старому сертификату уже нельзя.

CRL в сертификате

Под капотом

С базовыми аспектами RSA алгоритма разобрались, теперь давайте заглянем «под капот» и посмотрим, как работает эта магия.

Вся ассиметричная криптография держится на принципе «в одну сторону быстро, в другую неразумно долго».

Например, если мы перемножим числа 592939 и 592967 мы получим число 351593260013. Но как имея только число 351593260013 узнать числа 592939 и 592967? А если каждое из этих двух чисел будут длиной более 1000 знаков? Это называется «сложность задачи факторизации произведения двух больших простых чисел», т.е. в одну сторону просто, а в обратную невероятно сложно.

Теперь рассмотрим процедуру создания публичного и приватного ключей:

Расширенный алгоритм ЕвклидаРасширенный алгоритм ЕвклидаГде a =(N), b = eПосле вычисления x2 и y2 вычисляем d по простой формуле, где x — меньшее из этих двух чисел

После произведённый вычислений, у нас будут:

e и n – открытый ключ

d и n – закрытый ключ

А теперь создадим эти ключи на примере малых простых чисел:

Пусть p = 19, q = 41

Ключи мы с вами вычислили, теперь перейдём к шифрованию сообщений.

Предположим, что Боб спрашивает у Алисы во сколько сегодня вечеринка. Алиса знает, что вечеринка в 21, но что ей нужно сделать чтобы передать это Бобу так, чтобы Стив об этом не узнал?

Заключение

Мы рассмотрели основные аспекты криптографического алгоритма RSA, однако многое осталось за кадром, надеюсь у меня получилось достаточно понятно объяснить, как это работает даже тем, кто очень далёк от криптографии и подобных вещей.

Также рекомендую почитать пару интересных статей на тему криптографии от коллег с Хабра:

Первые несколько миллисекунд HTTPS соединения – про то, как работает криптография работает на сайтах

Доступно о криптографии на эллиптических кривых — альтернатива RSA

Полное руководство по переходу с HTTP на HTTPS – о том как настроить HTTPS у себя на сайте

Let’s Encrypt выдал миллиард сертификатов – о том как Let’s Encrypt помогает обезопасить интернет